Britse Royal Society pleit voor end-to-end-encryptie
De Royal Society, de Britse Academie voor Wetenschappen, heeft een rapport gepubliceerd waarin het onder andere pleit voor end-to-end-encryptie en stelt dat overheden het gebruik hiervan juist moeten aanmoedigen. Niet alle aanbevelingen in het rapport kunnen echter op goedkeuring rekenen.
Het rapport genaamd "Progress and research in cybersecurity" richt zich op de cybersecurity-uitdagingen en de onderzoeksuitdagingen van de komende vijf tot tien jaar. Het behandelt verschillende thema's, zoals vertrouwen, weerbaarheid en onderzoek in de digitale wereld. Volgens de Royal Society is encryptie een essentiële technologie om vertrouwen in digitale systemen te realiseren.
"Nu digitale technologieën een steeds grotere rol in ons leven spelen, wordt encryptie steeds belangrijker en eventuele zwakheden in de implementatie een groter risico. Overheden moeten zich dan ook inzetten voor de robuustheid van end-to-end-encryptie en het wijdverbreid gebruik ervan aanmoedigen", aldus het rapport. Volgens de onderzoekers die aan het rapport meewerkten brengt het verzwakken van encryptie juist allerlei risico's voor burgers met zich mee.
Ross Anderson, hoogleraar aan de Universiteit van Cambridge, werkte mee aan het rapport. Hij is tevreden over de steun voor sterke encryptie, maar heeft ook kritiek op andere aanbevelingen. Zo pleit de Royal Society ook voor het niet inlichten van slachtoffers van een datalek, zoals de Britse geheime dienst GCHQ wil. Daarnaast wordt in het rapport gesteld dat de Britse overheid de richting van cybersecurity-onderzoek moet sturen. Iets waar Anderson het niet mee eens is, omdat er al teveel geld naar gericht onderzoek gaat in plaats van onderzoek dat door nieuwsgierigheid wordt gedreven.
Brexit
Het rapport is volgens Anderson al ingehaald door nieuwe ontwikkelingen, zoals Brexit en de aanstelling van Theresa May als nieuwe Britse premier. Volgens de hoogleraar is dit slecht voor het vestigingsklimaat van Groot-Brittannië voor it-bedrijven. May is altijd voorstander geweest van vergaande bevoegdheden voor de opsporingsdiensten. Bevoegdheden die door Brexit niet meer aan het Europees Hof van Justitie moeten worden voorgelegd.
Volgens Anderson krijgen opsporingsdiensten zo de bevoegdheid om bedrijven in Groot-Brittannië te dwingen gegevens af te staan en GCHQ te helpen bij het hacken van hun klanten. Dit maakt het weer lastiger voor Britse bedrijven om aan de Europese databeschermingswetgeving te voldoen. Deze samenloop kan ervoor zorgen dat it-bedrijven niet in het Verenigd Koninkrijk zullen investeren, aldus Anderson.
Stel ik wil een berichtje sturen naar een kennis. Hoe kom ik aan zijn sleutel? Ik vraag het op bij Allo/Facetime/Skype/Telegram/etc. Met die sleutel vercijfer ik mijn bericht en geef de ciphertext aan hetzelfde platform.
Dat is dus een Man-in-the-Middle waiting to happen.
De oorzaak is drieledig:
1. Het adresboek met namen en sleutels is in beheer bij Google/Apple/Microsoft/etc;
2. We gebruiken dat platform voor zowel voor sleutels als voor berichtenverkeer;
3. Wie controleert de lokale software - dat de versleuteling doet - dat dit correct gebeurd.
Er is in dit huidige model geen controle mogelijk dat de sleutel die ik krijg van het platform ook de sleutel is die mijn kennis heeft gegenereerd. We moeten maar vertrouwen dat de platformen dat niet misbruiken.
De uitdaging is om een eenvoudig protocol te bedenken waarmee gebruikers (lees: client software) de authenticiteit van sleutels kunnen controleren alvorens gebruik.
mvg, Guido.
Ik zie niet in hoe je het verificatieproces simpeler en meer low-tech kan krijgen dan het vergelijken van een rijtje woorden.
Helaas is er een grote groep voor wie dingen "gewoon" moeten werken zonder dat ze er iets voor moeten doen, ik ben in mijn leven de nodige mensen tegengekomen die onmiddelijk afhaken als iets waarvan ze vinden dat het vanzelf moet werken een kleine inspanning vereist, vaak met een "kom nou, dat is toch niet meer van deze tijd"-achtige houding. Die mensen zijn op de een of andere manier wel in staat om SSID's en WiFi-wachtwoorden uit te wisselen en draadloze verbindingen te leggen. Het lijkt meer te gaan om met welke verwachtingen ze rondlopen dan om waar ze intellectueel toe in staat zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.