image

PGP-bedenker: consument wil niet voor privacy betalen

maandag 12 oktober 2015, 10:25 door Redactie, 21 reacties

Consumenten geven aan privacy belangrijk te vinden en dit ook te willen, maar ze willen er niet voor betalen, zo stelt PGP-bedenker Phil Zimmermann. Zimmermann is tegenwoordig actief bij Silent Circle, het bedrijf dat de beveiligde smartphone Blackphone ontwikkelde en onlangs de Blackphone 2 lanceerde.

Hij gaf onlangs een keynote tijdens de IP Expo Europe, zo meldt The Register. Toen Silent Circle werd opgericht richtte het bedrijf zich vooral op persoonlijke privacy. De afgelopen maanden is er echter vooral naar het toevoegen van zakelijke features gekeken. Volgens Zimmermann is er vanuit de consumentenmarkt weinig vraag naar een telefoon waarmee versleuteld kan worden gecommuniceerd. "Consumenten hebben dit vreemde idee dat ze privacy willen, maar er niet voor willen betalen", zo liet hij het publiek weten.

Reacties (21)
12-10-2015, 10:38 door Anoniem
Ik wil ook wel een Blackphone hoor, maar het apparaat is simpelweg te duur. Als ze budgetmodellen zouden uitbrengen voor 150 - 200 euro, dan zal ik er zeker een aanschaffen. Er is nog veel winst te behalen voor dit bedrijf.
12-10-2015, 10:43 door CSO.
Zimmerman heeft hier vooral belang om zijn privacy beschermende producten te verkopen.

Privacy is wat mij betreft niet iets om 'extra' voor te betalen, het hoort in een ontwerp te zitten. Dat er dan wat hogere generieke ontwerpkosten zijn neem ik graag voor lief, maar verantwoordelijkheid voor privacybescherming ligt toch echt bij de ontwerper. Door privacy op deze manier te positioneren gaan de marketeers er graag mee vandoor en behandelen het als een 'unique selling point' ipv een basisvoorziening. Dat is de omgekeerde wereld.
12-10-2015, 11:06 door Plopeye - Bijgewerkt: 12-10-2015, 11:10
Ik wil niet betalen voor privacy schendende producten betalen...

@CSO op zich is privacy niet iets om extra voor te betalen, maar een betaalde variant van iets tegenover "gratis" wat mijn privacy schendt dan ga ik liever voor de betaalde variant...
Kan ik dat niet betalen dan is niet gebruiken voor mij ook een optie...

Weet je wanneer mensen hun privacy weer echt belangrijk gaan vinden? Als ze op basis van hun facebook profiel thuis opgehaald worden en in goederentreinen naar een of ander kamp gestuurd worden...
Klinkt hard maar eerder willen mensen het toch niet weten...
12-10-2015, 11:11 door Anoniem
@CSO, mee eens dat privacy als basis in het ontwerp van een mobile telefoon hoort te zitten. Hoewel ik op zich geen probleem heb om wat meer voor een goede telefoon / blackphone te betalen. Het feit dat die en de verbeterde opvolger daarvan binnen een jaar weer exclusief via KPN aangeboden wordt weerhoud mij ervan om die aan te schaffen. Ik heb totaal geen behoefte aan die koppel verkopen met een provider, zodat je daar met je gegevens weer vast zit en je weer geen SIM kan swappen in het buitenland. En een goede telefoon voor mij moet toch zeker een jaar of 5 meegaan en 10 jaar ondersteund worden en moet je gewoon zonder provider lock in contract kunnen kopen. Zoniet dan maar een goedkopere telefoon en een goedkoop appje voor een SIP en/of IAX client en met ZRTP versleuteld bellen.
12-10-2015, 11:23 door Anoniem
Wordt dit ondersteund door een onderzoek, wat Phil Zimmermann hier zegt?
Zelfs de providers die Black Phone uitgeven hebben mij laten weten alleen rekening te houden met de zakelijke markt. Waarom werd de consumentenmarkt (lees: de vette kluif) zomaar overgeslagen?
12-10-2015, 11:31 door Anoniem
Met een prijs van 875 euro incl. btw is de Blackphone 2 gewoon een totaal oninteressant product wat zichzelf de markt uitprijst. Want wat krijg je eigenlijk voor die prijs?

- Het PrivatOS wat erop staat is niet open source, dus minder goed te controleren op beveiligingslekken. Elke goede Android ROM zonder de Google applicatiebundel (lees: Cyanogenmod) is wel volledig open source en kun je met de handleiding ook zelf vanaf 0 compileren voor je eigen toestel.
- De firmware van het toestel zelf bevat nog altijd binaire blobs en ander closed source spul, niet veel anders dan andere telefoons dus. Alleen met volledige open source hardware kun je pas zeker zijn dat er in de mobiele communicatiechips geen lekken of backdoors zitten. (Zie bijvoorbeeld OsmocomBB)
- De end-user applicaties om beveiligde chats en telefonie mogelijk te maken zijn wel open source, maar daarom dus ook op andere platforms te draaien, wat dus geen USP meer is voor deze telefoon.
12-10-2015, 11:46 door Anoniem
Precies, hetzelfde als 'burger wil niet voor schone lucht betalen' of 'burger wil niet betalen om niet in elkaar geslagen te worden"... Vreemd he?
Ik begrijp dat het een probleem is voor zijn baas, Silent Circle, die toch wel prijzige GSM's verkoopt met bijbehorende abbo voor secure mailen/bellen/chatten.
Leuke en mooie en goede producten, maar je kunt niet leven van die 3 CEO/CIO's die #1 een android achtige telefoon aandurven in hun 'wat? geen gouden iphone 9S met 128GB ?"-wereldje, waar de blackberry nog maar net aan het afsterven is.

Google moet 2 takken gaan uitbrengen van Android. Een genaamd "Android" voor het gepeupel, en iets van Terminator voor bedrijven, in de vorm van wat CC nu uit brengt.
12-10-2015, 12:29 door Anoniem
Complimentje voor iedereen tot nu toe (inclusief redactie).

0 x 'wilt' !
12-10-2015, 12:44 door Anoniem
Door Anoniem: Met een prijs van 875 euro incl. btw is de Blackphone 2 gewoon een totaal oninteressant product wat zichzelf de markt uitprijst. Want wat krijg je eigenlijk voor die prijs?

- Het PrivatOS wat erop staat is niet open source, dus minder goed te controleren op beveiligingslekken. Elke goede Android ROM zonder de Google applicatiebundel (lees: Cyanogenmod) is wel volledig open source en kun je met de handleiding ook zelf vanaf 0 compileren voor je eigen toestel.
- De firmware van het toestel zelf bevat nog altijd binaire blobs en ander closed source spul, niet veel anders dan andere telefoons dus. Alleen met volledige open source hardware kun je pas zeker zijn dat er in de mobiele communicatiechips geen lekken of backdoors zitten. (Zie bijvoorbeeld OsmocomBB)
- De end-user applicaties om beveiligde chats en telefonie mogelijk te maken zijn wel open source, maar daarom dus ook op andere platforms te draaien, wat dus geen USP meer is voor deze telefoon.

hoe kan het ook anders dan dat overgegaan wordt van privacy naar een open/closed source discussie.

1. open source is niet veiliger dan closed source. Het betreft alleen een ander model voor wat betreft Intellectueel eigenschap. Ik heb liever een closed source oplossing, gemaakt door mensen die weten waar ze mee bezig zijn, dan een open source oplossing gemaakt door amateurs. Niet alle open source software is namelijk van hoogstaande kwaliteit.
2. open source hardware: dit geldt alleen wanneer ieder afzonderlijk geproduceerd model ook daadwerkelijk wordt gecontroleerd. voor alle hardware geldt namelijk dat dit aanpasbaar is na productie en voor levering (supply chain attack). Je kan zelfs stellen dat een goed beschermde closed source binary blob veiliger is dan open source (moeilijker aan te passen).

Het al dan niet open source zijn van een applicatie, zegt nog niet zo veel over de portability van een applicatie. De "dus" is derhalve een nogal kort door de bocht.

Verder zijn er weer vooral typisch Nederlandse (liever gratis dan niet) reacties op een, op zich, valide observatie. Ik begrijp wel dat iedereen het liefste in een utopische wereld wil leven waarin alles prima geregeld is (door wie dan eigenlijk?), maar helaas: dat is niet zo.
12-10-2015, 13:58 door Anoniem
@12.44. Dit heeft niks te maken met een intellectueel eigenschap. Dit heeft te maken met transparantie op de manier waarop code tot stand is gekomen. Ik ben het met je eens dat dit niet wil zeggen dat die code altijd netjes is (denk aan de OpenSSL library), anderzijds biedt het wel het mogelijkheden tot peer reviews en als het noodzakelijk is een grote community die ermee aan de slag gaat (wederom is OpenSSL daar een goed voorbeeld van). Bij closed source kun je alleen maar hopen dat het team van professionals ook daadwerkelijk professioneel ermee omspringen, je kunt het (als leek) helaas nooit volledig controleren. Daar bovenop komt dat je ook niet kunt controleren of er achterdeuren zijn ingebakken, hetgeen je in sommige landen ook nog eens niet mag vertellen als de overheid je daartoe gedwongen heeft.

Met open source hardware gaat het niet eens om de hardware zelf, maar voornamelijk om de firmware die de hardware aanstuurt. Als die firmware closed binaries gebruikt, kun je wederom niet vaststellen hoe die code eruit ziet. Met open hardware en bijbehorende open firmware kan dat wel. Mits de juiste tools, kun je eventueel zelf de firmware ergens bekomen, compileren en zelf flashen naar je hardware, op die manier worden supply chain attacks al een stuk minder effectief. Zeker met de verdere integratie van allerlei componenten in SoC's, wordt de drang om hier meer openheid in te krijgen steeds groter.

Het "dus" sloeg in dit geval specifiek op de open source apps die Blackphone meelevert. Die kun je gewoon op Github vinden en zelf compileren voor je eigen Android toestel. Ja, in dit geval dus wel gewoon portabiliteit.

Open source is voor mij helemaal geen discussie om geld, maar een discussie om het principe. Echt, als de Blackphone 100% (of heel dicht in de buurt) open source was, had ik er vandaag nog één besteld voor die prijs (en misschien zelfs voor meer). Ik wilde alleen maar aangeven dat de Blackphone eigenlijk niet veel beter is dan elke andere Android telefoon op de markt. Sterker nog met het gesloten PrivatOS is het zelfs een verslechtering ten opzichte van open sourced ROMs. Het gebundelde abonnement op een VPN tunnel bij Disconnect kun je ook als een bedreiging van je privacy zien bij verkeerd gebruik. Al met al is het gewoon geen aanrader.
12-10-2015, 14:53 door Anoniem
"Consumenten hebben dit vreemde idee dat ze privacy willen, maar er niet voor willen betalen"
Consumenten? Mensen!

Er is niets vreemds aan als je privacy even vanzelfsprekend vindt als de lucht die je inademt. Dan is het opeens ook helemaal niet zo gek dat mensen zich gedragen alsof de privacy er is in situaties waar dat tegenvalt. je adem inhouden als de lucht vervuild is houd je ook niet eindeloos vol. Die vervuilde lucht vermijden terwijl hij zich van alle kanten aan je opdringt, vaak de indruk wekkend dat hij wel schoon is, lukt lang niet iedereen.

De schijnbare tegenstelling tussen wat mensen zeggen te willen en hoe ze zich gedragen komt omdat dit iets is dat zo vanzelfsprekend zou moeten zijn dat je je er niet druk over hoeft te maken. Het probleem ligt niet bij mensen die hun privacy laten schenden niet voor bescherming daartegen willen betalen, het probleem licht bij de privacyschenders.
12-10-2015, 16:23 door N4ppy
@13:58
OpenSSl
Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.

StageFright
Because libStageFright dates back to Android 2.2, hundreds of millions of phones contain this flawed library.

Hoe vaak heb jij al jouw opensource software gecontroleerd?

Dan hebben we nog de OpenBSD fbi backdoor scare gehad, en zo zijn er genoeg verhalen dat open source niets over de kwaliteit en veiligheid van software zegt.

Kunnen betekent meestal niet dat het ook daarwerkelijk gebeurt.

http://istruecryptauditedyet.com/ is een uitzondering (en die software bestaat niet meer)
12-10-2015, 16:43 door Anoniem
Nee, natuurlijk wil ik hier niet voor betalen. Privacy had ik al. Nu pakken anderen dit van mij af, iets waar ik de hand niet echt in heb. En nu zouden ze me er voor willen laten betalen om er zogenaamd iets van terug te krijgen.
Hoe krom willen ze hem hebben?
12-10-2015, 17:45 door Anoniem
@N4ppy

Ik begrijp je voorbeelden niet helemaal. Ik kan ook talloze closed source projecten noemen waar bepaalde bugs al jaren in de code bleek te zitten.

Ik zeg ook niet dat open source een garantie voor hoge kwaliteit, maar dat is ook niet wat ik verdedig. Ik geef alleen aan dat een open source nu eenmaal een vereiste om te -kunnen- controleren dat beveiliging op een goede manier geimplementeerd is.

Daarnaast zal je zien dat er bij problemen in een open source project, het meestal niet erg lang duurt voordat de oplossing gevonden is. Bij closed source software kan een fabrikant nog wel eens weigeren of heel lang zijn tijd nemen om een oplossing te verzorgen. In worst case (zoals Truecrypt) waarbij er geen oplossing komt, fork je gewoon de software en doe je je eigen ding.

En ja, op elk stukje 'beveiligingssoftware' die ik gebruik wil ik weten hoe het met de controls gesteld is. Ik ga niet over elke regel code, maar bekijk wel globaal de opzet om een gevoel te krijgen bij de manier waarop het opgebouwd is. Maar dat is slechts een facet. Ik kijk bijvoorbeeld ook naar de manier waarop het project gemanaged wordt (ook op een open transparante manier of niet), wie het er voor het zeggen heeft, en welke belangen er de grootste rol spelen (commerciele vs die van de gebruiker).

Uiteindelijk moet je natuurlijk voor jezelf bepalen waar je meer belang aan hecht. Voor mij is die keer op keer overduidelijk in het voordeel van open source software.
12-10-2015, 18:53 door karma4
De PGP bedenke wil geld verdienen.
Dat strookt niet met de gangbare opvatting dat open source gratis is. Het een hoeft het andere niet uit sluiten maar pak een document naar beslissers en je ziet dat argument terug.
Als open source gratis is, wat is dan het verdienmodel?

Nu is selinux door de NSA gesponsord. Gewoon open source. Het mag geen probleem zijn want het is open. Toch zie je vervende voorstanders van open source er problemen mee hebben. Ze kunnen verborgen functies niet met zekerheid uitsluiten.

Niemand is in staat alle code te overzien. Het argument dat je als afnemer voldoende waarborg wilt hebben kan Door review centers ingevuld worden. Dat wordt ook gedaan.
12-10-2015, 19:26 door VriendP
Privacy is het recht van iedere consument. Dat is niet onderhandelbaar en je kunt er geen prijs aan hangen. Het recht op privacy is vanzelfsprekend en moet niet verkrijgbaar zijn tegen betaling.

Water is nat, ik heb recht op privacy. Leuk om te zien hoe hier een balletje wordt opgegooid voor zogenaamde commerciële, waterdichte oplossingen maar zodra ze commercieel zijn is dat de omgekeerde wereld en waterdicht zijn ze ook niet. Succes met je onderneming.
12-10-2015, 20:38 door Anoniem
Nee natuurlijk niet,ik wil voor geen goud voor privacy betalen.
Privacy is een eigen gedachten goed,waar niemand zo maar aan mag komen.
Zo zie ik dat.
13-10-2015, 00:15 door Anoniem
Toen ik +/- 25 jaar geleden een pc kocht en een internet verbinding had waren er geen privacy issues. Je kon gewoon het internet op. Virussen, troyans, spyware en adware en andere zeugenzooi bestonden niet. Wie tegenwoordig het internet op wil moet een halve I.T. specialist zijn om allerlei rotzooi buiten de pc te houden en je moet er ook nog stevig voor betalen. Een voorbeeld: WatchGuard Firebox M200 - € 2.283,27 incl. btw. Dat is dus nog afgezien van de heel veel goedkopere antivirustroep zoals Bitdefender of Bullguard. Nu de hamvraag. Is er iemand die software kan maken waardoor de pc's van virusverspreiders spontaan kortsluiting maken. Uiteraard embedded in beveiligingssoftware. Off topic. Ik ben mijn aluhoedje kwijt, ligt die bij jou thuis?
13-10-2015, 10:06 door Anoniem
Ik wil best voor privacy betalen, maar niet leeggezogen worden door maandelijkse abonnementen.
13-10-2015, 13:56 door rsterenb
Door Anoniem: Toen ik +/- 25 jaar geleden een pc kocht en een internet verbinding had waren er geen privacy issues. Je kon gewoon het internet op. Virussen, troyans, spyware en adware en andere zeugenzooi bestonden niet. Wie tegenwoordig het internet op wil moet een halve I.T. specialist zijn om allerlei rotzooi buiten de pc te houden en je moet er ook nog stevig voor betalen.

Dat valt best mee. Je hoeft alleen maar met een ander OS te leren werken en daar zijn voldoende gratis varianten van. Heel vreemd dat mensen er met een Apple (waar je voor moet betalen) minder last van hebben dan bij een ander product. Het zal wel tussen de oren zitten.

Maar on-topic: nee, natuurlijk wil ik niet betalen voor iets dat ik (in veel hogere mate) al had en wat me wordt afgenomen.
22-10-2015, 07:34 door jep_z11
Merkwaardige conclusie van Phil Zimmerman.

Ik begrijp dat het een dure, hardwarematige oplossing is die hij aanbiedt.
Dat is dan volgens mij een keus, en geen keus voor de 'normale' consument.
Wil je dat iets beschikbaar is voor gewone mensen, dan moet je het betaalbaar maken.

Deze man heeft voor commercie gekozen, voor geld verdienen dus. Dat verdraagt zich niet met idealisme, van het soort idealisme dat privacy voor iedereen beschikbaar is.


Ik vermoed dat het dichter bij de waarheid zal zijn dat gewone mensen niet geïnteresseerd zijn in privacy, punt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.