Rol NSA bij opstellen encryptiestandaarden ingeperkt
Een comité van de Amerikaanse overheid heeft deze week de rol van de NSA bij het opstellen van encryptiestandaarden ingeperkt. Het House Science and Technology Comité bepaalde dat het National Institute for Standards and Technology (NIST) niet langer verplicht is om bij het opstellen van encryptiestandaarden de NSA te consulteren.
Het NIST heeft een voortrekkersrol bij het ontwikkelen van standaarden en richtlijnen en doet dit in nauw overleg en in samenwerking met standaardisatieorganisaties, het bedrijfsleven en andere belanghebbenden. Onder die laatste categorie valt ook de NSA. Het NIST is zelfs sinds 1987 wettelijk verplicht om met de NSA samen te werken. Iets wat in 2002 middels nieuwe wetgeving nog eens werd versterkt.
Vorig jaar september werd via klokkenluider Edward Snowden bekend dat de NSA opzettelijk backdoors aan encryptiestandaarden had toegevoegd. Het zou in ieder geval om de Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) gaan, waarmee willekeurige getallen worden gegenereerd.
Door de backdoor zouden de gegenereerde getallen helemaal niet willekeurig zijn en was het mogelijk om versleutelde informatie te ontsleutelen. Volgens documenten van Snowden was de NSA erin zijn geslaagd om het algoritme door het NIST goedgekeurd te krijgen. Onlangs verwijderde het NIST het algoritme al van de advieslijst. Nu hoeft het orgaan ook niet meer bij de NSA langs te gaan voor het opstellen van nieuwe standaarden, aldus Access, een organisatie die zich inzet voor digitale vrijheid.
Uhm...? Dus omdat de NIST niet meer langs de NSA hoeft zijn we ineens veilig? Wie zegt dat die NIST mannetjes niet stiekem door de NSA betaald worden? Is er niet een echt onafhankelijke organisatie die ook mensen van buiten de VS in dienst heeft die dit kan regelen? Een soort van VN voor ICT zeg maar?
Uhm...? Dus omdat de NIST niet meer langs de NSA hoeft zijn we ineens veilig? Wie zegt dat die NIST mannetjes niet stiekem door de NSA betaald worden? Is er niet een echt onafhankelijke organisatie die ook mensen van buiten de VS in dienst heeft die dit kan regelen? Een soort van VN voor ICT zeg maar?
En jij vertrouwd de VN wel? ;-)
Open source and audit is key here. En vooral de audit dan, hebben we recent geleerd door Heartbleed.
Uhm...? Dus omdat de NIST niet meer langs de NSA hoeft zijn we ineens veilig? Wie zegt dat die NIST mannetjes niet stiekem door de NSA betaald worden? Is er niet een echt onafhankelijke organisatie die ook mensen van buiten de VS in dienst heeft die dit kan regelen? Een soort van VN voor ICT zeg maar?
"We" ? Waarom zijn "we" gebonden aan NIST of wat dan ook ? En waarom zouden mensen in _dienst_ van een organisatie moeten zijn om een organisatie geschikte adviezen te laten geven ?
De N van NIST staat voor National (institute of standards and technology). National slaat hier op de VS.
Letterlijk is deze aankondiging een puur binnenlandse aangelegenheid voor de VS.
Voorheen was NIST verplicht de NSA te 'consulteren' over encryptie zaken, en die verplichting is vervallen. Het is volkomen logisch dat alleen de Amerikaanse overheid wettelijke plichten voor een Amerikaans instituut kan wijzigen.
NIST heeft een stuk geloofwaardigheid en vertrouwen ingeleverd sinds de NSA onhullingen, wat ook schadelijk is het bedrijfsleven in de VS.
Het opheffen van de formele verplichting de NSA te consulteren is een nuttig (en noodzakelijk) symbool om te beginnen dat te repareren.
Het is vanwege de grote economie van de VS dat NIST standaarden ook ver buiten de VS keuzes beinvloeden.
Overigens zijn veel van de NIST standaarden tot stand gekomen vanuit competities en reviews met externe (buitenlandse ) experts. Die allemaal in dienst zijn van hun eigen werkgever (universiteiten, bedrijven, overheden) .
Gelukkig wat dat betreft ( en deels om die reden) was het winnende AES design (Rijndael) van twee Belgen.
En jij vertrouwd de VN wel? ;-)
Open source and audit is key here. En vooral de audit dan, hebben we recent geleerd door Heartbleed.
De NSA zoekt toch altijd mogelijkheden om ergens in te kunnen infiltreren.
De NSA zoekt toch altijd mogelijkheden om ergens in te kunnen infiltreren.
Wel duh. Een open standaard kan natuurlijk door iedereen _bekeken_ worden.
Ze kunnen er ook nog commentaar op geven, net als iedereen.
Wat veranderd is, is dat NIST niet meer _verplicht_ is om de NSA te 'consulteren'. Hoe zwaar op grond van die verplichting een NSA advies/opinie woog bij NIST is niet bekend. Maar de verplichting is er dus niet meer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.