Privacy - Wat niemand over je mag weten

Op zoek naar encrypted smartphone

29-05-2016, 14:07 door Anoniem, 6 reacties
In mijn zoektocht naar een veilige encrypted smartphone kwam ik op de site www.encro.nl terecht, ze bieden een smartphone aan met een pgp e-mail functie, een zrtp voip functie en een chatprogramma (denk otr). Is er iemand bekend met dit product en kan diegene me er meer over vertellen?
Reacties (6)
30-05-2016, 13:58 door Vandy - Bijgewerkt: 30-05-2016, 13:59
"EncroChat is zonder twijfel de veiligste communicatiesysteem op de markt."
"EncroTalk maakt gebruik van de ZRTP protocol en verstuurt gesprekken binnen een gesloten netwerk."

Klinkt legit, zelfs met grammaticafouten erbij...

Ook een mooie, geeft te denken over de reputatie van deze club:
"Let wel op: Enkele PGP-domeinnamen hebben @encromail.ch geblokkeerd vanwege concurrentiemotieven (!?). (@publicpgp.com, @pgpclass.li, @pgpghost.com, @pgpelite.com)"

"Daarnaast bent u 6 maanden gegarandeerd van veilige communicatie"
En wat gebeurt er na zes maanden? (plus kromme zin)

1500 euro voor een toestelletje dat los 269 euro kost, is wellicht ook wat fors (http://tweakers.net/reviews/4252/oneplus-x-luxe-look-voor-weinig-euros.html)

Voorts: bestelformulier via gewone http (http://encro.nl/bestel-encrochat/), en onderaan elke pagina een "PGP e-mailadres" maar nergens een public key te vinden.

Moet ik nog doorgaan?

Nergens op de site gegevens van het bedrijf erachter (if any) te vinden, en in de domeinregistratie is evenmin iets te vinden (contactadres salim@live.nl)...
30-05-2016, 14:37 door johanw - Bijgewerkt: 30-05-2016, 14:43
Dit klinkt als dat bedrijf uit Nijmegen dat laatst opgedoekt is door de politie: veel geld vragen aan mensen die niet weten wat er te koop/downloaden is.

Als het gaat om encryptie in transit, dus de communicatie is versleuteld, dan kan ik Signal (https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms) aanraden. Gratis te downloaden en gebruiken, open source en geaudit. Als je even zonder internet zit is er zelfs een port die encrypted sms berichten stuurt via hetzelfde protocol: https://play.google.com/store/apps/details?id=org.smssecure.smssecure

Als het gaat om encryptie van het device zelf, dus opgeslagen chats en logs moeten veilig zijn als het toestel in beslag genomen wordt, dan zou ik een iPhone 5s of hoger nemen en GEEN cloudbackup maken. Er is ook een Signal versie voor iOS.

Beide oplossingen zijn VEEL goedkoper dan Encro, en ook veel toegankelijker voor anderen (een gratis app downloaden, dat is alles).

Edit: ik kwam deze reddit reactie tegen die niet bepaald lovend is over dit product: https://www.reddit.com/r/encryption/comments/4dczi6/encrochat_is_working_with_the_nsa_and_other/
30-05-2016, 14:43 door Anoniem
Ziet er een beetje amateuristisch uit.. bestel formulier met zonder ssl? over beveiliging gesproken.. Ik zal trouwens als ik jou was ook niet zo vertrouwen op zulke "Security" providers zie: (https://www.security.nl/posting/468243/Politie+haalt+versleuteld+crimineel+communicatienetwerk+offline)

Zoals Vandy al aangaf kijk is naar een gewone android telefoon i.c.m apps zoals Threema of kijk in de F-Droid repro voor open source beveiliging apps (bv OpenKeychain i.c.m K9 Mail). In android kan je er ook voor kiezen je telefoon zelf te encrypten en voor extra beveiliging kan je met SnooperStopper (F-Droid) instellen dat bijvoorbeeld naar 3 verkeerde ontgrendel pogingen je telefoon opnieuw opstart waarbij alles weer geencrypt is. Moet je natuurlijk wel een sterke wachtwoord instellen voor decryptie en zorgen dat deze anders is dan het ontgrendelen van je telefoon.
30-05-2016, 14:43 door Anoniem
De website ziet er amateuristisch uit. Support via een 06-telefoonnummer. Zwaar overpriced product. En de domeinnaam is anoniem geregistreerd. Zoveel red flags.

Waarom geen BlackBerry, een custom Android rom of een Windows Phone met device encryption geactiveerd?
30-05-2016, 15:23 door Anoniem
Eerlijk gezegdt vindt ik de EncroChat een steekhoudendt verhaal hebben, in tegenstelling tot Blackphone, Blackberry en al helemaal een belachelijk verhaal van iPhone en de Federale.
Teldt voor mij meer als spelfouten.

Kant en klare oplossingen uit de Play store bieden sowieso niet een offline key uitwisselling, het deel waar ZRTP net-niet-perfect is.
En de uitwisseling zoals bij Signal schijnt ondanks de woord-uitwisseling ook niet te vertrouwen te zijn.

Kortom duur? Wellicht gewoon nogal kostbaar.
OnePlus X is overigens wel een perfect toestel voor zoiets.
Sowieso meer black dan m'n Blackphone was en de Boeing Black zou zijn geweest.
30-05-2016, 17:30 door johanw
Keys kun je bij Signal gewoon eenmalig vergelijken. Dat kan ook offline door bij elkaar te komen. Van deze oplossing is geen source bekend, hoe weet je of het veilig is? Ze maken alvast reclame met SHA1 (wordt momenteel uitgefaseerd wegens zwakheden) en ze bieden zo te lezen ook geen forward secrecy, dus als je versleutelde berichten onderschept worden en men maakt je telefoon buit kunnen ze die achteraf ontcijferen. Dat is bij het Signal protocol niet mogelijk omdat encryptiekeys maar een keer gebruikt worden. Alleen je identity key blijft hetzelfde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.