Beveiligingsexpert ziet overwinning voor encryptie in WhatsApp
De man die ervoor zorgde dat meer dan 1 miljard mensen versleuteld via WhatsApp met elkaar communiceren noemt het een overwinning voor encryptie. In het verleden werkten telecomaanbieders nauw samen met opsporingsdiensten, waardoor het aftappen van gesprekken eenvoudig was.
Doordat nu steeds meer applicaties end-to-end-encryptie bieden, zoals WhatsApp, Signal en Facebook Messenger, kan er een communicatie-infrastructuur worden opgezet die tegen dergelijke surveillance bestand is. "De grote winst voor ons is dat een miljard mensen WhatsApp gebruiken en niet eens weten dat het versleuteld is", zegt beveiligingsexpert Moxie Marlinspike, de man die voor de end-to-end-encryptie in WhatsApp verantwoordelijk is. "Ik denk dat we de toekomst al hebben gewonnen", zo laat hij tegenover Wired weten.
Marlinspike ontwikkelde de afgelopen jaren allerlei applicaties, protocollen en systemen die de privacy, data en communicatie van mensen beschermen. Op dit moment werkt hij met zijn onderneming Open Whisper Systems aan Signal, de app om versleuteld mee te communiceren, en het Signal Protocol, dat WhatsApp en Signal voor de end-to-end-encryptie gebruiken.
De beveiligingsexpert en privacy-activist kijkt echter uit naar het moment dat hij kan stoppen. "Op een gegeven moment zal Signal verdwijnen." Hij stelt dat de nalatenschap van Open Whisper Systems is dat nu ook commerciële apps encryptie toepassen. Daardoor ziet hij ook voor zichzelf een andere toekomst. "Ik wil dit niet de rest van mijn leven doen. Uiteindelijk moet je de overwinning opeisen." Daarmee doelt Marlinspike op het debat tussen opsporingsdiensten en voorstanders van encryptie en privacy.
Wat een onzin.
Gebruikersnaam is het telefoonnummer, wat je aanvaller toch al meestal heeft en je password is niets meer dan een reversed hash van je imei code op android...
Op iOS is het nog erger imo, waar je dus het WLAN MAC adres hebt en dat dan 2x hasht met md5...
Leuk hoor, zo'n hot term als encryptie, maar als je het fout implementeert is het alsnog ruk.
Wat een onzin.
Gebruikersnaam is het telefoonnummer, wat je aanvaller toch al meestal heeft en je password is niets meer dan een reversed hash van je imei code op android...
Op iOS is het nog erger imo, waar je dus het WLAN MAC adres hebt en dat dan 2x hasht met md5...
Leuk hoor, zo'n hot term als encryptie, maar als je het fout implementeert is het alsnog ruk.
De encryptie van Skype is uiteraard breekbaar, MS werkt goed mee met de inlichtingendiensten. Hetzelfde geldt voor BBM.
Wat een onzin.
Gebruikersnaam is het telefoonnummer, wat je aanvaller toch al meestal heeft en je password is niets meer dan een reversed hash van je imei code op android...
Op iOS is het nog erger imo, waar je dus het WLAN MAC adres hebt en dat dan 2x hasht met md5...
Leuk hoor, zo'n hot term als encryptie, maar als je het fout implementeert is het alsnog ruk.
De encryptie van Skype is uiteraard breekbaar, MS werkt goed mee met de inlichtingendiensten. Hetzelfde geldt voor BBM.
Interessant... Source beschikbaar en datum van publicatie?
Hier heb ik wel oor naar namelijk :).
Dat gaat niet gebeuren, sinds Skype is overgenomen door Microsoft is die kans verkeken
Zelfs wanneer de telefoon waarop de private key(s) te vinden zijn niet meer functioneert kun je gewoon via je google account de berichten herstellen !?!?
Weg encryptie
1. centraal adresboek voor de koppeling tussen id en sleutel;
2. centraal platform voor het sturen van het bericht;
3. centraal geleverde client-software.
WhatsApp kan dus op elk moment een nieuwe versie van de software leveren dat:
1. een valse sleutel levert;
2. dit bericht ontcijfert en hercijfert met de sleutel van de geaddresseerde;
3. zonder dat de applicatie mij op de hoogte brengt.
End-to-end encryptie is dus waardeloos zonder end-to-end authenticatie.
http://eccentric-authentication.org/blog/2016/07/17/end-to-end-encryption-is-useless
Guido.
Het heet niet voor niets end-to-end encryption?! Als het goed is wordt er in de app zelf per gesprek een aparte key gemaakt (en regelmatig vervangen) en gaan er alleen versleutelde berichten over de lijn en whatsapp servers.
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf
Of dit te controleren is weet ik niet.
Waar lees ik dat de metadata geencrypt is?
Afgeschreven protocol dus.
Alleen weten dat de meeste skypisten niet.
niemand hier gebruikt die troep toch ?
Hier heb ik wel oor naar namelijk :).
Dat hoeven ze ook niet, je kunt encrypten wat je wil ook ze hebben wel veel exploits waar 95% geen weet van heeft.
M.a.w. je kunt zoveel encrypten op je machine, maar als ze gewoon kunnen binnenkomen met een backdoor, expolit
of rat dan heeft encryptie geen enkele zin.
En neem maar van mij aan dat ze dat ook doen.
Voorbeeld: opportunistic encryption (mits daadwerkelijk gebruikt en correct geïmplementeerd door beide partijen) tussen mailservers onderling betekent dat passieve afluisteraars tussen die twee mailservers niet meer kunnen afluisteren. Maar of zo'n maatregel ertoe leidt dat passieve afluisteraars het dan maar opgeven (c.q. zich bij de groep actieve afluisteraars voegen en/of zich toegang verschaffen tot de betrokken mailservers zelf), is natuurlijk de vraag...
Voice messages are encrypted when they're delivered to you. However, after you have listened to a voice message, it is transferred from our servers to your local machine, where it is stored as an unencrypted file.
Beveiliging is niet absoluut; de vraag is welke delen van de keten je beheerst en hoeveel resources je hebt. Die zijn al heel snel eindig omdat interceptie waanzinnige hoeveelheid data genereren. De NP krijg via de data hoses > 500 Miljoen tweets binnen; super gaaf maar haal er maar wat uit; hoe strenger je filtert, hoe zekerder je weet dat de known unknows verdwijnen.
Mass surveillance op content niveau gebeurt overigens nog niet op kanalen als WhatsApp, wel pattern tracking etc op basis van metadata. Daar mee kun je al mooi command chains, communities en burn phones oppikken. Kleine moeite, groot plezier.
Het heet niet voor niets end-to-end encryption?! Als het goed is wordt er in de app zelf per gesprek een aparte key gemaakt (en regelmatig vervangen) en gaan er alleen versleutelde berichten over de lijn en whatsapp servers.
https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf
Of dit te controleren is weet ik niet.
Hmmm.... dus zoals hij zegt is het dus onzin. 3 keer raden waar ik mijn afluister apparatuur plaats?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.