Het gaat conceptueel al fout bij het feit dat M$ die sleutels heeft. Daar zit het probleem. Niet bij het al dan niet delen met de Roverheid.

Als inlichtingendiensten, zoals de NSA, om dit soort gegevens vragen, bood de Patriot Act de mogelijkheid om de betrokken organisatie (Microsoft in dit geval) zwijgplicht op te leggen. Ik vermoed dat de huidige wet (USA FREEDOM Act) dat ook doet. Zo'n statement kan dus best een leugen zijn.

Los daarvan, Microsoft heeft op elk Windows systeem met internet-connectiviteit een uiterst effectieve backdoor geïnstalleerd met SYSTEM rechten. Daarmee kunnen zij, naar believen (of op verzoek) bijv. rootcertificaten toevoegen, aangepaste applicaties installeren en allerlei informatie op systemen opvragen. Microsoft kan daarmee ook willekeurige bestanden vanaf jouw PC downloaden (bijv. onder het mom van "malware onderzoek").

Je zult Microsoft dus voor 100% moeten kunnen vertrouwen als je een Windows systeem aan internet hangt (of heel veel moeite doen om zo'n systeem zo dicht te timmeren dat Microsoft niet meer overal bij kan - maar dan heb je, binnen de kortste keren, een erg onveilig systeem gecreëerd).

Alternatieven ken ik overigens niet. Als je een Linux of een Apple systeem gebruikt, zul je de ontwikkelaars en distributeurs daarvan moeten vertrouwen, en dat geldt ook voor allerlei hardware die je gebruikt (inclusief chipfabrikanten).

Slecht vind ik het daarom vooral dat Microsoft hard bezig is dit vertrouwen steeds verder te beschamen (zie bijv. https://www.security.nl/posting/463846/MS16-023+%28IE%29%3A+W10+upgrade en https://www.security.nl/posting/448208/W10+upgrade+zonder+autorisatie+%282%29).

Met dat in het achterhoofd is bovenstaand artikel niet meer dan zinloze marketing bla.

Ach je hoeft de sleutel niet bij MS op te slaan, het kan als optie. Dus staat hij er dan is dat je eigen schuld, niet die van Microsoft. Je kunt hem ook printen, of op USB stick opslaan, whatever.

Aan de andere kant, het is een heel mooi bedacht iets.

iedere thuis gebruiker heeft encryptie aan staan en de sleutel is veilig opgeborgen.
Hierbij is de data beschermt bij diefstal van de computer. En dit is juist iets wat veel voor komt. Ofwel het beschermt bijna alle thuis gebruikers zonder enig risico.
Vergeet niet dat 99% van de eind gebruikers helemaal niets van Encryptie weet of er ook maar iets vanaf wil weten.
Wachtwoorden van Internet providers zijn al lastig terug te vinden bij Computer problemen, een encryptie key, helemaal, waarna de data niet meer te recoveren is en alle foto's van de kleine weg zijn.

Ofwel bij issues, is er dan geen mogelijkheid meer om data terug te halen, and de key is niet meer terug te vinden.

Dat bij deze oplossng een overheid eventueel ook de mogelijkheid heeft, is voor 99% ook weer helemaal niet van belang. Overheid heeft ook niet "even" toegang tot de key.

Ofwel het concept is goed, en bied veel veiligheid voor de normale gebruikers tegen minimale risico

Conclusie is dus: Je moet even verder denken, en niet meteen domme opmerkingen maken, maar je even in de schoenen zetten van eind gebruikers.

(al kunnen die wel eens slimmer zijn, gezien je opmerkingen)

Ik zou die sleutel ook niet uit handen geven, als ik MS was, maar de overheidsdienst gewoon verzoeken om de schijf op te sturen en dan een ontsleutelde kloon van de HD terug sturen. Dan weet je als MS dat de sleutel zelf nooit en verkeerde handen kan vallen. Als MS of Apple moet je niet de criminelen gaan beschermen. Hun data mag gerust 'vogelvrij' zijn.

Dit soort antwoorden kunnen ook waarheids-leugens zijn...
"we hebben de sleutel nog nooit aan de NSA gegeven"... kan dan ook gewoon betekenen, WIJ ZELF hebben het decrypt en vervolgens de inhoud aan de NSA gegeven. Zeggen hetzelfde maar bedoelen verschillend...

en zoals ze in de VS weten, leugens verkoop je het beste met een beetje waarheid.

Stel jouw belastingadviseur heeft allerlei gevoelige informatie van jou op zijn Surface tablet. Omdat vermoed wordt dat hij illegaal gewone films downloadt, wordt zijn tablet in beslag genomen. De politie liegt aan Microsoft dat het daarbij wel eens om kinderporno zou kunnen gaan.

Wil je echt dat Microsoft gaat uitzoeken welke schijven zij wel/niet gaat ontsleutelen? Hoe weet Microsoft zeker dat de aanvrager is wie hij zegt dat hij is en de waarheid spreekt? Zie je het wespennest al een beetje voor je?

Zie ook mijn reactie in https://www.security.nl/posting/464307/Afweging+privacy+en+security#posting464373.

In dergelijke gevallen wordt van een negatieve melding (warrant canary) gebruik gemaakt. Een leugen komt altijd uit, maar niet vertellen dat er geen verzoek is geweest is effectief en (nog) niet strafbaar.



Peter

Laat u toch geen zand in de ogen strooien door de grote jongens uit Silicon Valley. Even ietsje verder kijken dan de persberichtjes van de marketingafdelingen van Apple, Microsoft, WhatsApp, etc.
Het ENIGE waar corporate America in geïnteresseerd is, is de eigen monopoliepositie en geld verdienen aan uw en mijn privégegevens. Als het gewone volk er nu eindelijk achter dreigt te gaan komen dat het misschien toch niet zo'n heel erg slim idee was om alle gegevens maar bij de grote ICT bedrijven in te leveren gaan ze hun hele verdienmodel kwijtraken.

Als je niet wilt dat de overheidsdiensten bij je gegevens kunnen dan moet je natuurlijk gewoon zorgen dat je zelf de encryptiesleutels hebt.
Als er een opsporingsdienst met een gerechtelijk bevel bij een bedrijf komt om gegevens op te vragen dienen ze die gewoon af te geven. Dat is de wet en daar moeten ze zich aan houden, anders kunnen we wel ophouden met de rechtstaat. En dat weten die bedrijven ook echt wel, maar het ziet er publicitair natuurlijk veel beter uit als je publiekelijk ontzettend gaat tegenspartelen. Zeker als je dan heel hard roept dat je opkomt voor een ongecensureerd en open Internet en voor de rechten van je gebruikers. Dat is natuurlijk een gotspe van de eerste orde. Facebook, WhatsApp, Google, Apple en Microsoft die opkomen voor privacy. ROFLMAO!

Eens, het zijn commerciele bedrijven. Die er *alle* belang bij hebben dat hun diensten als veilig worden ervaren.
Waarom zouden zij ooit vrijwillig meewerken aan het delen van data met de overheid en er dan over liegen?
Zo'n complot zouden duizenden en duizenden mensen bij betrokken moeten zijn, en zoiets komt altijd uit: http://www.bbc.com/news/science-environment-35411684

Het kan de volledige waarheid zijn, terwijl ze die diensten bijvoorbeeld wel toegang verschaffen tot een Windows 10 systeem.

Indien Microsoft zorgt draagt voor de decryptie, dan hebben ze inderdaad nooit encryptie sleutels afgestaan. Of dat ook betekent dat ze nooit toegang hebben verschaft aan de overheid tot versleutelde Win10 systemen, is een geheel andere vraag.

Woordvoerders zijn erg goed in het vinden van de juiste woordkeuze om bepaalde zaken te suggereren, en je op het verkeerde been te zetten. Deze uitlatingen zeggen mij daarom weinig.

Suggestief en ongefundeerde reactie.

1. De volledige tekst van de freedom act is na te lezen. Expliciet is hier de geheimhoudingsplicht afgeschaft.
2. Schijfencrypty werkt tegen offline attacks. Ieder OS is inherent onveilig wanneer het aanstaat.
3. Automatic root certificate updating is uit te zetten of te tweaken. Overigens is dat wel de slechtste aanvalsvectoren die ik lange tijd heb gehoord. De overheden hebben nl al root CAS in iedere lijst
4. als argumentatie verwijzen naar subjectieve posts versterkt het argument niet. Het lijkt eerder op dezelfde argumentatie die creationisten gebruiken voor intelligent design. (Als je x niet 100 % sluitend kan bewijzen, moet y wel waar zijn. Om met de woorden van wijlen Richard Dawkins te spreken: wat een maloten).

Ik vind het allemaal een zorgelijke ontwikkeling.
Ik ben al zover dat Windows hier op mijn interne netwerk thuis verboden is.
Gasten kunnen bij ons met hun windows laptop of phone via het gasten wifi gebruik maken van het internet.
We gebruiken voornamelijk Debian en Slackware, daar heb ik een beter gevoel bij.

Schaf elk systeem dat je in huis hebt af. Geen MS Apple Linux of wat dan ook, overal zitten backdoors in en kan je dat misbruikt worden. Als je FUD wil zaaien moet je niets uitsluiten. Wie garandeert dat b.v. veracrypt 100% betrouwbaar is (nee niet 99.9999). Met truecrypt leek er wat aan de hand te zijn.

Dit verhaal is eerder aan de orde geweest. Waar gaat het om: Bitlocker in thuisgebruik situatie.
http://windows.microsoft.com/nl-nl/windows/protect-files-bitlocker-drive-encryption#1TC=windows-7
•BitLocker beveiligt alle persoonlijke en systeembestanden op uw pc als deze wordt gestolen, of als onbevoegde gebruikers proberen om de pc te gebruiken. Gebruik BitLocker voor het versleutelen van alle bestanden op vaste stations (zoals interne harde schijven) en gebruik BitLocker To Go om bestanden op verwisselbare gegevensstations (zoals externe harde schijven of USB-flashstations) te versleutelen."
Je moet toegang tot het fysieke apparaat en de encryptie sleutel hebben. Ik alle hackers al overal de computers uit huizen weghalen en bij Microsoft met de persoonlijke keys de encryptiesleutels er bij zoeken voor een "van de wagen gevallen" handeltje in jouw vakantiekiekjes. Zeer onwaarschijnlijk scenario.

Bij bedrijfsmachines is het de bedoeling dat de gegevens die er op staan niet benaderbaar zijn. De hardware zelf is minder interessant. Herinstallaties en interne opslag op bedrijfsnetwerken zijn de werkmethodes. risico/impact kosten/baten

Je bedoelt, neem ik aan, dat van een canary gebruik gemaakt kan worden. Ik kan me niet herinneren ooit gelezen te hebben dat Microsoft van dat soort methodes gebruikmaakt.

Oh? In jouw, anoniem geposte (de lezer kan jouw denkwijze niet op basis van eerdere reacties inschatten) bijdrage staat geen enkele inhoudelijke verwijzing en bovendien verkoop je onzin of bevestig je wat ik schreef.

Halve waarheid. De betrokken organisaties mogen, onder zeer strikte voorwaarden, enige statistische informatie publiceren (bron: https://www.congress.gov/bill/113th-congress/house-bill/3361 vanaf "Sec. 604").

Bovendien staat voor mij vast dat Microsoft sowieso niet altijd de waarheid spreekt (A spokeswoman for Microsoft has been in touch to say: Since launching Windows 10, our number-one customer support request has been “how do I get my upgrade?” uit
http://www.theregister.co.uk/2016/03/11/microsoft_adds_nonsecurity_updates_to_security_patches/ met dank aan Spiff die naar deze pagina verwees). Dus waarom zouden ze zich hier niet haasten, in de voetsporen van Apple, te claimen dat jouw en mijn data volstrekt veilig zijn bij Microsoft?

En waar beweer ik het tegendeel?

Bekende certificaten (ook root-) kun je eenvoudig "distrusten". Met jou nog onbekende certificaten kan dat niet.

Wat is er "subjectief" aan mijn bijdrage bovenaan https://www.security.nl/posting/463846/MS16-023+%28IE%29%3A+W10+upgrade met copy/paste van Microsoft tekst met minimaal waardeoordeel?

De relatie tussen wat je hier schrijft en met het redactieartikel plus mijn reactie daarop ontgaat mij volledig en "maloten" [sic] staat niet in mijn woordenboek.

Ze gaan daar niet over liegen want dan is het onder valse voorwendselen verkregen bewijsmateriaal tegen de adviseur helemaal niet bruikbaar meer. Los daarvan, als die gast zijn niet-versleutelde tablet kwijt raakt liggen jouw gegevens op straat, zonder dat iemand maar ergens een key hoeft op te vragen.

Dit soort uitspraken zijn denk ik allemaal bullshit. De overheid legt tegenwoordig altijd zwijg plichten op aan iedereen die bij dit soort zaken betrokken zijn. Ze moeten liegen in opdracht van de overheid anders raken ze hun bedrijf kwijt.

Alsof dat in de praktijk ook maar zou kunnen. "Zij", dat zijn gewoon net zulke mensen als "wij".
"Zij" maken net zulke overwegingen, net zulke fouten, etc.

Als die duizenden en duizenden betrokkenen bij Amazon, Google, Apple, Rackspace, HP, IBM, Dell, Microsoft, etc allemaal "moeten liegen", dan zou die ballon al lang uit elkaar gespat zijn.

Wereldwijde complotten: meestal al een armoedig boek of film, maar in de werkelijkheid al helemaal onzin.

Als reactie op Erik van Straaten:
Wat is er subjectief: een post op een forum zonder bewezen onderzoek is altijd subjectief. Om te beginnen klopt de aanname die is gedaan niet.

Om de discussie nog verder op scherp te zetten: privacy en security zijn, hoewel voor een deel betrekking hebbend op hetzelfde domein, aparte entiteiten en niet naar goeddunken uitwisselbaar. Het is best wel aardig om dit onderscheid niet te maken, maar dit draagt niet bij tot de discussie.

Mbt autoupdate certificaten: conform serveromgevingen alleen die certificaten opnemen die je wilt, is bijzonder eenvoudig. Serieus, er zijn legio artikelen op TechNet over dit onderwerp.

Mbt vermeende (non)security updates: Feit is dat op gebied van security (lees dus niet security en privacy) windows 10 substantieel. veiliger is dan windows 8.1 en lager. Ergo: iedere update die een upgrade voorsteld van een onveiligere versie van windows naar windows 10, kan derhalve worden beschouwd als (onder meer) een security update. (Wellicht met negatieve privacy effecten, maar op gebied van operational security is het een Major fix.

Over privacy: Verder is het grappig om te zien dat iemand die wantrouwen heeft tav privacy door Microsoft, commentaar heeft op het anoniem posten. Beschouw nu maar een post op datgene wat er staat, niet wat iemand eerder heeft geschreven. Dat scheelt een boel flames. (Reaties aan het adres van karma4 wijzen uit dat dit forum hier niet wars van is]

over argumentatiestijl: Ik vermoed dat anoniem met de verwijzing van argumentatie doelde op: wanneer Microsoft (lees hier eventueel ookiedere andere softwareontwikkelaar) niet voor 100% kan aantonen dat ze volledig te vertrouwen zijn, is de aanname dat ze niet te vertrouwen zijn bewezen.
Dit is een onzinargumentatie die er vanuit gaat dat er maar twee mogelijkheden zijn. Statistisch gezien is het namelijk veel aannemelijker dat er meerdere verklaringen zijn. Bijvoorbeeld: zoals de meeste mensen zijn ook de personen die bij [softwareleverancier] X werken over het algemeen prima te vertrouwen. De basis-intentie is derhalve ook prima in orde. Dat er wel eens iets mis gaat, hoort erbij maar dat bewijst niet dat er kwade opzet in het spel is.
Zo zijn er wel meerdere, waarschijnlijkere verklaringen te verzinnen.

Het uitgaan van wantrouwen in dit geval zorgt voor, minimaal, een vertekend wereldbeeld.

[cynisme]Om ook maar sofistisch af te sluiten: iedereen die het hier niet mee eens is, heeft derhalve dus dit vertekende wereldbeeld. Q.E.D.[/cynisme]

anoniem, juist om flames te voorkomen.