Google en Dropbox crypto-kampioenen volgens EFF
Als het om het gebruik van encryptie gaat lopen Google en Dropbox voorop, zo blijkt uit onderzoek van de Amerikaanse digitale burgerrechtenbeweging Electronic Frontier Foundation (EFF). De organisatie vergeleek verschillende grote IT- en internetbedrijven op het gebruik van encryptie.
Dan blijkt dat Google, Dropbox, SpiderOak en Sonic.net vijf van de vijf "best practices" voor encryptie toepassen. Het gaat om zaken als het versleutelen van de verbindingen tussen de datacentra en het ondersteunen van HTTPS, HTTPS Strict (HSTS), Forward Secrecy en STARTTLS. Door het toepassen van deze maatregelen kunnen bedrijven hun gebruikers beter tegen het afluisteren door inlichtingendiensten beschermen.
Encryptie
De EFF wijst naar het onlangs onthulde MUSCULAR-programma van de NSA, waarbij de glasvezelkabels die de datacentra van Google en Yahoo verbinden werden afgetapt. Daarom pleit de burgerrechtenbeweging voor het gebruik van sterke encryptie. Als een inlichtingendienst dan gegevens wil moet het dit bij de bedrijven in kwestie vragen, waarvoor het een gerechtelijk bevel nodig heeft.
In het overzicht van de EFF is verder te zien dat Facebook op weg is om ook de vijf best practices toe te passen. Dat kan echter niet van Microsoft worden gezegd, dat slechts twee punten heeft geïmplementeerd.
Het betreft hier dus voornamelijk maatregelen die bedoeld zijn om data in-transit te beschermen (en deze reeds verzonden data in de toekomst, Forward Secrecy). Er zijn nog veel meer aspecten op dit gebied die ik in oogschouw zou nemen voordat ik een bedrijf een crypto-kampioen zou noemen (een titel die de auteur van Security.nl heeft verzonnen).
We kennen allemaal wel het voorbeeld van de deduplicatie van Dropbox. Bestanden worden gescanned bij uploaden om te kijken of deze zich al niet op één van de Dropbox servers bevind, om dan (als dit het geval is) als het ware gelinkt te worden in plaats van het aangeboden bestand uniek te accepteren. Op die manier is veilige opslag met persoonlijke sleutels (per user) dus nooit mogelijk.
De onderzoekers waarderen overigens het initiatief van de bedrijven die bezig zijn met de implementatie van maatregelen ook met een mooie groene box, mijns inziens een gevalletje dwaling.
Goed dat het onderzoek is uitgevoerd en deze organisaties de informatie hebben aangeleverd (direct of indirect), maar houd dus de scope in het achterhoofd bij het interpreteren van de resultaten. :)
Ik ga er vanuit dat als een bestand met een persoonlijke sleutel is versleuteld, het anders is en dus niet te dedupliceren is. Of bedoel je hier iets anders?
Hier had een grijs vlak met een groen kruis beter op zijn plaats geweest.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.