In afwachting van een grondige controle van de code heeft het Amerikaanse National Institute of Standards and Technology (NIST) geadviseerd om een bepaald algoritme niet te gebruiken. Er bestaan vermoedens dat het algoritme door de inlichtingendienst NSA van een backdoor is voorzien.
Het NIST heeft een voortrekkersrol bij het ontwikkelen van standaarden en richtlijnen en doet dit in nauw overleg en in samenwerking met standaardisatieorganisaties, het bedrijfsleven en andere belanghebbenden. Onder die laatste categorie valt ook de NSA.
Uit documenten van klokkenluider Edward Snowden zou blijken dat de NSA in het geheim een eigen versie van een voorgestelde beveiligingsstandaard door het NIST kreeg goedgekeurd. Het NIST liet eerder al weten dat het geen backdoors aan encryptiestandaarden heeft toegevoegd. Door deze backdoors zou het eenvoudiger worden om versleuteld verkeer te ontsleutelen.
Het NIST heeft nu aangegeven dat het vanwege alle zorgen drie publicaties openbaar zal maken. Het gaat om Special Publication 800-90A en draft Special Publications 800-90B en 800-90C. Hierin worden aanbevelingen gedaan voor het genereren van willekeurige getallen middels Deterministic Random Bit Generators (DRBG).
Vanwege de vermeende rol die de NSA bij het opstellen van deze documenten speelde, zijn er nu zorgen over de betrouwbaarheid van het DRBG-algoritme zoals dat in publicatie 800-90A is voorgesteld. Daarom adviseert het NIST nu dat dit algoritme zolang het onderzoek loopt niet gebruikt moet worden.
De verklaring die het NIST op de eigen website plaatste werd door ondersecretaris Patrick Gallagher tijdens de Amazon Web Services Public Sector Summit herhaald. "We zijn niet opzettelijk bezig om bewust encryptietechnologieën te ondermijnen of verzwakken." Cryptograaf Bruce was niet onder de indruk van het pleidooi van Gallagher, zo meldt IDG. "Wat doet hem verschillen van de andere bedrijfs- en overheidsfunctionarissen die hebben gelogen over wat de NSA doet?", aldus Schneier.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.