Skype biedt gebruikers end-to-end versleutelde gesprekken
In navolging van verschillende andere chatdiensten biedt nu ook Skype end-to-end versleutelde gesprekken. De optie staat echter niet standaard ingeschakeld. Begin dit jaar werd bekend dat Microsoft en Open Whisper Systems samenwerkten om end-to-end-encryptie aan Skype toe te voegen.
Open Whisper Systems is de ontwikkelaar van het Signal Protocol, dat onder andere door WhatsApp en Signal worden gebruikt voor het end-to-end versleutelen van gesprekken. Hierdoor is de inhoud van een gesprek of bericht alleen toegankelijk voor de afzender en ontvanger. Om van de beveiligingsmaatregel in Skype gebruik te maken moeten gebruikers de optie "New Private Conversation" kiezen.
De ontvanger ontvangt nu een uitnodiging. Zodra de ontvanger die accepteert worden alle gesprekken en berichten in die conversatie end-to-end versleuteld, totdat de gebruikers ermee stoppen. Een gebruiker kan op elk gegeven moment aan één versleuteld gesprek op één apparaat deelnemen. Het is mogelijk om het gesprek op een ander apparaat voort te zetten, maar de berichten die worden verstuurd en ontvangen zijn alleen beschikbaar op het apparaat dat op dat moment in gebruik is, zo meldt MSPoweruser.
Ik merk dat discussies over de veiligheid van E2E encryptie meestal gaat over de vraag of het te kraken is. De vraag of het ook uit te schakelen is, wordt vaak over het hoofd gezien.
Zo staat in de voorwaarden van WhatsApp bijvoorbeeld dat E2E ''default'' aan staat. Wat impliceert dat er ook een ''non-default'' mode is ?
Ik merk dat discussies over de veiligheid van E2E encryptie meestal gaat over de vraag of het te kraken is. De vraag of het ook uit te schakelen is, wordt vaak over het hoofd gezien.
Zo staat in de voorwaarden van WhatsApp bijvoorbeeld dat E2E ''default'' aan staat. Wat impliceert dat er ook een ''non-default'' mode is ?
1 Je mist dan wel de voorgaande communicatie die encrypt was je kunt alleen gesprekken uitlezen vanaf het moment dat encryptie is uitgeschakeld.
2 Merk de gebruiker (verdachte) het niet als de encryptie onder water wordt uitgeschakeld.
De SIGSALY-centrales in de 2e Wereldoorlog hadden hun private-keys bijvoorbeeld op een bepaalde plaats op langspeelplaten bewaard waar een vreemde (in dit geval nazi-Duitsland) niet bij kon komen.
Als de digitale opslag van keys op een buitenlandse server plaatsvindt, zou ik daar liefst geen gebruik van willen maken. Je weet immers niet wie nog meer toegang krijgt. Eventueel via een z.g. gag-order.
https://www.security.nl/posting/506803/Politie+ontsleutelt+miljoenen+met+PGP+versleutelde+berichten
En dan is nog niet de vraag beantwoord of de implentatie van het Signal-protocol wel goed gebeurd is en geen fouten van enige importantie is gemaakt (dat mag je dan hopen).
https://www.security.nl/posting/506803/Politie+ontsleutelt+miljoenen+met+PGP+versleutelde+berichten
En dan is nog niet de vraag beantwoord of de implentatie van het Signal-protocol wel goed gebeurd is en geen fouten van enige importantie is gemaakt (dat mag je dan hopen).
Je weet bij b.v. de Signal app ook niet of je al afgetapt wordt voordat Signal je bericht versleutelt. Er kan een backdoor in iOS of Android zitten. Als je zo paranoia bent kun je al je telefoons en computers maar beter meteen goed vernietigen dan kun je ook niet meer afgetapt worden.
Klinkt misschien wat overdreven maar 100% garantie heb je nooit en dat was ook al zo voor het digitale tijdperk. In de voormalige DDR was er ook een uitgebreid verklik netwerk door Stasi plus handlangers.
https://www.security.nl/posting/506803/Politie+ontsleutelt+miljoenen+met+PGP+versleutelde+berichten
En dan is nog niet de vraag beantwoord of de implentatie van het Signal-protocol wel goed gebeurd is en geen fouten van enige importantie is gemaakt (dat mag je dan hopen).
Er is duidelijk geen enkel antwoord op de vraag "waar de sleutels zijn opgeslagen". Ook het bedrijf hierachter geeft hierover geen uitsluitsel. Ook het encryptiemodel is niet transparant, wat twijfels oproept over de betrouwbaarheid daarvan. Wat vinden gerenommeerde cryptologen hiervan bijvoorbeeld.
Als je echt iets te verbergen hebt, en dat toch met anderen wil delen, zonder paranoia te worden, gewoon ouderwets PGP gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.