Kraakbare encryptie is gelijk aan geen encryptie en staat daarmee gelijk aan een verspilling van energie. De grens is volstrekt duidelijk, daarover is geen discussie nodig. Triest dat een 'expert' mee gaat in die onzin, laten we liever daarover discussiëren.

Off-topic: Ik vind het altijd frapant dat iedereen wil uitlichten dat ze "expert zijn", volgens mij is het security.nl forum dan ook één grote ego trip / "ik ben belangrijk" kreet om aandacht.

On-topic: Interessante video voor iedereen om te kijken.

Even een nadeel van kraakbare (of afwezige) encryptie:
De staat verzend een aantal dingen per email, een hoop mail servers zijn in handen van Amerikaanse bedrijven.
Door de emails van onze overheid te lezen, weten ze, dat de JSF best wel een miljoentje duurder mag/kan worden.

Zouden ze ook alle email tussen Amerikaanse VW dealers en de Duitse fabrikant ook niet meelezen?

Beschuldigen doe ik niemand, maar ik heb een gezond portie argwaan :-)

Die heb ik ook. Even die video aangezien enne ...Het begint goed zoek de overeenkomsten en verschillen tussen de fysieke en virtuele wereld. Oeps, slaat dan de plank volledig mis door de vrituele wereld op de fysieke smartphones te betrekken. Waar je fysiek toegang tot hebt valt het fysiek altijd wel te kraken. Die fysieke toegang heeft niets meer met massa surveillance te maken, het is op dat punt immers zeer gericht.

Hardware/software -fouten met encryptie komen constant voorbij met hacks. Een oudere: http://tweakers.net/nieuws/52381/mifare-chips-eenvoudig-volledig-te-kraken.html Wat je ook doet het zal altijd een afweging blijven in kosten/baten (risico impact).
Die deuren uit het filmpje, denk eens aan al die deuren in huis. Hoe doe je de beveiliging? De toiletdeur is anders dan de voordeur. Voor insluipers/inbrekers neem je andere stappen dan bij brand, ook dat is veiligheid. Die nuanceringen ontbreken nogal eens in de virtuele wereld. Laat staan het ontbreken van een gedegen visie voor toegangsbeleid.

Om het even simpel te houden ik ben faliekant tegen achterdeurtjes of verplicht inbouwen van zwakheden. Ik ben ook faliekant tegen het geloven vna uitspraken van commerciële bedrijven. De te bewandelen weg zal ergens in het midden liggen. Opsporing en handhaving dient (mits gericht) mogelijk te zijn. Privacy dient zo veel mogelijk gewaarborgd te blijven.

Uhh Ron die argwaan en dat wantrouwen, heb je het rapport Accenture LHM gelezen? ris 4027760
Het is het kernpunt van de zaak daar.

Excuses, zo had ik het niet bedoeld. Meer in de zin van "ook voor de geavanceerdere gebruiker kan de video interessant zijn "

In principe is elke encryptie kraakbaar met een brute-force attack (ook al duurt dat jaren/decennia/millennia). Stel je nu dat elke encryptie verspilling van energie is?

Ik heb heel lang datzelfde gedacht, maar ik ben ondertussen tot een ander inzicht gekomen.

Maar wat is "kraakbaar"? Mijn ervaring is dat het antwoord afhangt van aan wie je het vraagt.

In de ogen van een cryptograaf is encryptie kraakbaar zodra, onder de meest ongunstige omstandigheden, een kleinst mogelijk fragment (minstens 1 bit) van de plaintext achterhaald kan worden.

Als je daarbij niet zeker weet of de zodanig ontcijferde informatie, te allen tijde, daadwerkelijk overeenkomt met de feitelijke plaintext, hoort daarbij de aanvullende eis dat de ontcijferde plaintext in meer dan 50% van de gevallen exact moet overeenkomen met de oorspronkelijke plaintext.

Met andere woorden: als een cryptograaf "kraakbaar" zegt, betekent dat, in de praktijk, vaak dat een aanvaller daar nog niets aan heeft, maar wel dat het tijd is om te zoeken naar alternatieven en het betreffende algoritme uit te faseren. Exact zo is het gegaan bij MD5 en RC4, en zo gaat het nu bij SHA1.

In mijn ogen bestaat er echter wel degelijk onkraakbare encryptie, d.w.z. dat elke brute force aanval iets op zal leveren waarvan je niet zeker weet of het resultaat, voor 100% of, voor welk percentage ( > 0%) dan ook, overeenkomt met de oorspronkelijke plaintext (in de situatie dat jij, als aanvaller, niet over die oorspronkelijke plaintext beschikt - want dan zou je überhaupt geen moeite doen).

In https://www.security.nl/posting/468370/Encryptie+voor+leken+-+en+waarom+verzwakken+onverstandig%2C+en+verbieden+zinloos+is leg ik uit hoe onkraakbare encryptie werkt (excuus, eerder schreef ik abusievelijk: https://www.security.nl/posting/467761/%5BEncryptie%5D+Should+all+locks+have+keys%3F; met dank aan Anoniem van 10:47 hieronder voor het wijzen op mijn fout!).

Verkeerde link, dit bedoelde je: https://www.security.nl/posting/468370/Encryptie+voor+leken+-+en+waarom+verzwakken+onverstandig%2C+en+verbieden+zinloos+is

Duidelijk nog nooit van een one-time pad gehoord.
Daarbij kan je proberen wat je wil, er zijn heel veel sleutels die op geldige data uitkomen, het is alleen nooit zeker wat de juiste is.

Ben ik het niet mee eens. Het hangt er vanaf waar je je tegen wilt beveiligen.
Wil je je beveiligen tegen een gelegenheid dief => Dan is het geen probleem.Voor 99% van de gebruikers meer dan voldoende.
Wil je je beveiligen tegen professionele hackers (NSA, Russen, enz ezn) => Dan is het in eens een heel ander verhaal. Je kunt je afvragen waarom je dit zou moeten als normale gebruiker. Maar er zijn zeker redenen voor te zinnen om het dan inderdaad onkraakbaar te hebben.

Ik moet zeggen dat dat ik de film niet gekeken heb..... (geen tijd momenteel).

Waarom zou je je niet willen indekken tegen die categorie die juist vele-malen-grotere-schade kan berokkenen? Ik kan geen enkele geldige onderbouwing daarvoor bedenken, anders dan "teveel moeite", wat enkel een excuus is.

Tevens, de verwoording "Should all locks have keys" raakt kant nog wal... als een slot niet geopend kan worden...
De verwoording had dan moeten wezen "Should all locks have master-keys".

Laten we daar iets verder op in gaan;
Vraagstelling: Welke partijen "vragen" eigenlijk hierom?
Mijn antwoord: De partijen die eigenlijk kundig genoeg behoren te zijn om ook zónder die middelen hun taken te kunnen vervullen.

De reden dát er om gevraagd wordt kan dan logischerwijs enkel wezen:
- Gemakzucht (de ideale reden waarom kapstokredenaties als "TERRORISME!" worden aangedragen)
- Incompetentie (wat reden zou moeten zijn om die partijen te schorten, if-anything... )