image

Expert: smartphone-encryptie is wassen neus

donderdag 5 maart 2015, 11:37 door Redactie, 15 reacties

Deze week ontstond enige ophef omdat Google ondanks eerdere uitspraken het niet verplicht stelt dat Android-toestellen met het Lollipop-besturingssysteem standaard versleuteld zijn, maar volgens één expert maakt dit niet zoveel uit. "Volledige schijfversleuteling is zinloos en een gevaarlijk placebo, tenzij je de encryptiesleutel beheert, in de vorm van een sterk wachtwoord, een sleutelhanger of iets soortgelijks", zegt Patrick Nielsen, onderzoeker bij Kaspersky Lab.

"Als de encryptie in het product is ingebouwd dat je gebruikt: telefoon, laptop, Amazon S3 bucket of wat dan ook, dan is encryptie in principe zinloos, en geeft alleen een vals gevoel van veiligheid. Encryptie op legerniveau heeft weinig zin als een aanvaller toegang tot de sleutel heeft." Op smartphones is het helemaal een probleem, omdat een hardware-token niet te gebruiken is en wachtwoorden die complex genoeg zijn om als encryptiewachtwoord te dienen te lang zijn om op een smartphone in te typen.

"Daarnaast zou het één ding zijn als Android vereist dat je een sterk wachtwoord of passphrase gebruikt bij het opstarten van het toestel, maar voor één of andere absurde reden vereisen ze ook dat je hetzelfde wachtwoord gebruikt voor het vergrendelen van je scherm, ook al biedt dit geen veiligheid", laat Nielsen tegenover ThreatPost weten. Als Google dit zou veranderen zou het volgens hem een "nobel streven" zijn om volledige schijfencryptie in te schakelen.

De onderzoeker vreest echter weerstand van fabrikanten die dit helemaal niet willen, omdat mensen continu hun wachtwoorden zouden vergeten. Hoewel Google in een document dat eerder dit jaar verscheen aangaf dat encryptie nu niet verplicht is, werden fabrikanten wel geadviseerd dit in te schakelen. Daarnaast liet de internetgigant weten dat het standaard versleutelen van toestellen in toekomstige Androidversies wel verplicht zal worden.

Reacties (15)
05-03-2015, 11:51 door Anoniem
Tijd voor encryptie waarbij de encryptiesleutel wordt bepaald door een biometrische verificatie; vingerafdruk, irisscan. Zo moeilijk lijkt me dat niet.
05-03-2015, 11:59 door Anoniem
Encryptie is zinloos. Of zo complex dat niemand er mee wil werken. En dus zinloos.
05-03-2015, 12:14 door Anoniem
Door Anoniem: Tijd voor encryptie waarbij de encryptiesleutel wordt bepaald door een biometrische verificatie; vingerafdruk, irisscan. Zo moeilijk lijkt me dat niet.

Biometrische gegevens voor authenticatie is niet slim. Deze kun je niet wijzigen als ze gestolen worden. Dus je kunt dan 10 keer je ww veranderen, want je hebt 10 vingers. En dan houd het op. Dus dit is in mijn ogen nog slechter.

Irisscan, twee keer en dan houd het op. Meer ogen heb je niet.

Het is al aangetoond, dat je met een foto camera zeer goede namaak vinger afdrukken kunt maken, die ook nog werken...
http://www.theregister.co.uk/2008/03/30/german_interior_minister_fingerprint_appropriated/

TheYOSH
05-03-2015, 12:28 door Anoniem
Door Anoniem: Encryptie is zinloos. Of zo complex dat niemand er mee wil werken. En dus zinloos.

Als je een lange onhandige passphrase moet invoeren voor de encryptie en je moet deze ook iedere keer invoeren om op te kunnen nemen als je gebeld wordt, dan vrees ik dat er heel wat CRA gaat optreden.

Even met je vingerafdruk aanmelden op de smartphone is gebruikersvriendelijker en veiliger dan geen bescherming.

Ja, vingerafdrukken zijn makkelijk te achterhalen en na te maken. Maar dan moet je wel bijhouden welke vingerafdruk bij welk toestel hoort anders ben je nog wel een tijd bezig.

Bij een gerichte aanval op een specifieke gebruiker is dat te doen, als het gewoon om simpele diefstal van een mobieltje gaat dan denk ik dat men niet de moeite neemt. Resetten en verkopen is dan het motto.

Het is dus altijd de vraag welk niveau van beveiliging je zoekt en waartegen, tegen diefstal van je mobieltje (waarbij je wel zeker wilt stellen dat je data niet op straat komt) of tegen diefstal van je data zelf.

Het blijft een heel gedoe, als je geen enkele leverancier echt vertrouwt en toch zelf geen chipfabriekje hebt staan noch cryptoalgoritmes kan ontwerpen en testen.
05-03-2015, 12:40 door Anoniem
Door Anoniem:
Door Anoniem: Tijd voor encryptie waarbij de encryptiesleutel wordt bepaald door een biometrische verificatie; vingerafdruk, irisscan. Zo moeilijk lijkt me dat niet.

Biometrische gegevens voor authenticatie is niet slim. Deze kun je niet wijzigen als ze gestolen worden. Dus je kunt dan 10 keer je ww veranderen, want je hebt 10 vingers. En dan houd het op. Dus dit is in mijn ogen nog slechter.

Irisscan, twee keer en dan houd het op. Meer ogen heb je niet.

Het is al aangetoond, dat je met een foto camera zeer goede namaak vinger afdrukken kunt maken, die ook nog werken...
http://www.theregister.co.uk/2008/03/30/german_interior_minister_fingerprint_appropriated/

TheYOSH
En als de overheid dan ook nog eens jouw vingerafdruk heeft,en die hebben ze,want is verplicht voor paspoort aanvraag en anders wel bij evt.aanhouding verkregen dan kunnen ook zij jouw vingerafdruk namaken en inloggen op je accounts en zelfs apparaten zoals smartphone en pc.O ja,daar dromen ze van bij de regering,vooral Opstelten en Plasterk.
05-03-2015, 12:46 door Anoniem
Door Anoniem:
Door Anoniem: Tijd voor encryptie waarbij de encryptiesleutel wordt bepaald door een biometrische verificatie; vingerafdruk, irisscan. Zo moeilijk lijkt me dat niet.

Biometrische gegevens voor authenticatie is niet slim. Deze kun je niet wijzigen als ze gestolen worden. Dus je kunt dan 10 keer je ww veranderen, want je hebt 10 vingers. En dan houd het op. Dus dit is in mijn ogen nog slechter.

Irisscan, twee keer en dan houd het op. Meer ogen heb je niet.

Het is al aangetoond, dat je met een foto camera zeer goede namaak vinger afdrukken kunt maken, die ook nog werken...
http://www.theregister.co.uk/2008/03/30/german_interior_minister_fingerprint_appropriated/

TheYOSH
Tja dan moet je nieuwe vingerafdrukken hebben,al dan niet middels een kunst/bionische hand en hetzelfde geldt voor de ogen,of een paar donor-ogen of bionische ogen,maar ik vrees dat de technologie nog niet zover is en ben bang dat het niet wordt vergoedt door de ziektekostenverzekering ;)
05-03-2015, 13:06 door Anoniem
Daarnaast ben je in enkele gevallen verplicht je vingerafdruk af te staan om bijvoorbeeld je iPhone 5S te unlocken, je kan in sommge gevallen dus niet wijgeren mee te werken aan het onderzoek tegen je

met een wachtwoord kan je je beroepen op je vergeetachtigheid, echter bij het niet afgeven gelden tegenwoordig ook standaard straffen van 2 jaar gevangenis..
05-03-2015, 13:18 door Anoniem
Door Anoniem: Encryptie is zinloos. Of zo complex dat niemand er mee wil werken. En dus zinloos.

Ik denk dat dit echt te kort door de bocht is. Hopelijk geef je dit soort adviezen niet in professionele context.
05-03-2015, 14:35 door Anoniem
Daarnaast zou het één ding zijn als Android vereist dat je een sterk wachtwoord of passphrase gebruikt bij het opstarten van het toestel, maar voor één of andere absurde reden vereisen ze ook dat je hetzelfde wachtwoord gebruikt voor het vergrendelen van je scherm, ook al biedt dit geen veiligheid
Ik ben geen expert, maar ja, ik hadzelfde al ontdekt. Als je screenlock een pin is, is je encrytie pwd diezelfde pin.

Los daarvan, als je geboot bent, en een Samsung backdoor hebt (die storage via FOTA aanspreekbaar maakte), dan wat is het werkelijke nut van encryptie?

En; als je vervolgens een MicroSD kaartje gebruikt; blijft die nog altijd unencrypted.

Ik ben nog steeds geen encryptie expert, maar eh (....).
05-03-2015, 15:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Tijd voor encryptie waarbij de encryptiesleutel wordt bepaald door een biometrische verificatie; vingerafdruk, irisscan. Zo moeilijk lijkt me dat niet.

Biometrische gegevens voor authenticatie is niet slim. Deze kun je niet wijzigen als ze gestolen worden. Dus je kunt dan 10 keer je ww veranderen, want je hebt 10 vingers. En dan houd het op. Dus dit is in mijn ogen nog slechter.

Irisscan, twee keer en dan houd het op. Meer ogen heb je niet.

Het is al aangetoond, dat je met een foto camera zeer goede namaak vinger afdrukken kunt maken, die ook nog werken...
http://www.theregister.co.uk/2008/03/30/german_interior_minister_fingerprint_appropriated/

TheYOSH
En als de overheid dan ook nog eens jouw vingerafdruk heeft,en die hebben ze,want is verplicht voor paspoort aanvraag en anders wel bij evt.aanhouding verkregen dan kunnen ook zij jouw vingerafdruk namaken en inloggen op je accounts en zelfs apparaten zoals smartphone en pc.O ja,daar dromen ze van bij de regering,vooral Opstelten en Plasterk.

Sterker nog, als je verdachte bent kan je biometrische informatie gewoon geclaimd worden voor onderzoek; die valt volgens het Nederlands recht namelijk niet onder het zwijgrecht omdat het informatie betreft die ook zonder de wil van de verdachte bestaat.

Om dezelfde reden kun je geen bloedproef weigeren zonder een misdaad te begaan: je bloed is, net als je vingerafdruk en je iris, ook te verkrijgen zonder dat jij als verdachte dat wilt of eraan meewerkt. Een goede ezelsbrug is je af te vragen of de gevorderde informatie nog bestaat als de verdachte overleden is; als het antwoord daarop ja is dan valt die informatie niet onder het zwijgrecht (wachtwoorden die alleen in het geheugen van de verdachte bestaan vallen er dus wel onder).
05-03-2015, 21:09 door johanw
Door Anoniem:Ja, vingerafdrukken zijn makkelijk te achterhalen en na te maken. Maar dan moet je wel bijhouden welke vingerafdruk bij welk toestel hoort anders ben je nog wel een tijd bezig.
Zoals altijd hangt dat van je treat model af. Als je voral bang bent voor diefstal door criminelen is bovenstaande inderdaad waar, als je je vooral wilt beschermen tegen de politie die je toestel in beslag neemt moet je vooral geen biometrische vergrendelingen gebruiken omdat men je daarbij wel kan dwingen die te gebruiken om in je telefoon te komen.
06-03-2015, 07:35 door Anoniem
Door Anoniem: Tijd voor encryptie waarbij de encryptiesleutel wordt bepaald door een biometrische verificatie; vingerafdruk, irisscan. Zo moeilijk lijkt me dat niet.
Ja lekker nog meer gegevens van ons op straat, zeker geen kennis van wat de overheid nu doet ?
06-03-2015, 08:40 door Orion84
Door Anoniem: Tijd voor encryptie waarbij de encryptiesleutel wordt bepaald door een biometrische verificatie; vingerafdruk, irisscan. Zo moeilijk lijkt me dat niet.
Dat is wel degelijk erg lastig, aangezien een vingerprintscan of irisscan niet steeds exact hetzelfde resultaat geeft. Het is nauwkeurig genoeg om het te vergelijken met een opgeslagen scan en zo jouw identiteit te verifiëren, maar je kan de output van de scan niet 1:1 als sleutel gebruiken. Je zult dan dus de sleutel alsnog in het apparaat moeten opslaan en de biometrische authenticatie moeten gebruiken om hem vrij te geven. Dat voegt niet extreem veel toe in vergelijking met een gebruik van een wachtwoord/pincode om de sleutel vrij te geven (mits het raden van het wachtwoord degelijk beveiligd is en de sleutel dus in een of ander tamper proof chip zit opgeslagen die zelf ook de restricties op het raden van het wachtwoord afdwingt).

Met daarbij inderdaad alle nadelen van biometrische authenticatie die al genoemd werden.
09-03-2015, 12:19 door intrax
Je kunt wel degelijk een encryptie wachtwoord kiezen en bij
standaard gebruik je phone unlocken met een patroon of pin code!
Dit hoeft NIET hetzelfde te zijn. Dit artikel blaat gewoon weer eens wat andere artikelen na, die
zelf geen enkel onderzoek verrichten!
Stel je unlock in zoals je zelf wilt… patroon, pincode, pw whatever… encrypt daarna je telefoon via de
command line met een sterk password en voila DONE!
10-03-2015, 09:51 door Anoniem
Dergelijke artikelen vergeten alleen bijna standaard aan te geven tegen welke aanvaller dergelijke encryptie dan zinloos is. Om mijn tuin staat een hek, en op mijn voordeur zit een slot. Je kan dan als onderzoeker ook stellen dat dit zinloos is, aangezien je met een tank er zo doorheen komt.

Encryptie op je telefoon is niet zinloos, maar niet 100% garantie tegen iedereen. Groot verschil.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.