EFF wil dat Ring beelden end-tot-end versleuteld opslaat
De Amerikaanse burgerrechtenbeweging EFF wil dat deurbelcamerafabrikant Ring beelden van gebruikers end-to-end versleuteld opslaat, zodat alleen zij er toegang toe hebben. Op dit moment worden de beelden op de servers van Amazon opgeslagen, waarbij ze toegankelijk zijn voor Ring-medewerkers, opsporingsdiensten en aanvallers die toegang tot het account van gebruikers weten te krijgen.
Om dit te voorkomen wil EFF dat Ring end-to-end encryptie voor de opslag van beelden gaat toepassen. Daarbij zouden de sleutels voor het ontsleutelen van data direct op de apparaten van gebruikers moeten worden opgeslagen, in plaats van dat ze in het bezit van Ring zijn. Bij het eerste gebruik van de deurbelcamera genereert die een nieuw sleutelpaar. De publieke sleutel voor de deurbel kan met de apparaten worden gedeeld waarop de beelden worden bekeken en worden alleen uitgewisseld via een directe verbinding op een vertrouwd netwerk.
Daarnaast zal de eerste smartphone of tablet die verbinding met de deurbel maakt een sleutelpaar genereren en diens publieke sleutel via hetzelfde vertrouwde netwerk naar de deurbel versturen. Wanneer opsporingsdiensten de beelden willen opvragen zullen ze dit direct aan de eigenaar moeten vragen, aangezien Ring alleen toegang tot versleuteld beeldmateriaal heeft.
"Dit houdt in dat Ring opsporingsdiensten niet langer een nationaal video- en audiosurveillancesysteem kan bieden, aangezien beelden op individuele basis moeten worden opgevraagd en aangeleverd", zegt Bill Budington van de EFF. Ring heeft met honderden Amerikaanse politiekorpsen overeenkomsten om ze te helpen bij het opvragen van deurbelbeelden. Volgens Budington is de implementatie van een dergelijke encryptiemaatregel goed te doen, aangezien het eerder door onder andere de versleutelde chat-app Signal is gedaan.
Vanwege de samenwerking met politiekorpsen en -diensten heeft Ring geen plannen om end-to-end encryptie door te voeren, zo stelt de EFF. Budington hoopt dan ook dat er een concurrent van Ring de uitdaging oppakt en de belangen van gebruikers voorop stelt.
Je hebt letterlijk een afluisterapparaat hangen.
Je hebt letterlijk een afluisterapparaat hangen.
Waar je ook nog eens 179 dollar moet voor gaan betalen.
Dat kan alleen als Ring geen toegang tot sleutels kan krijgen
Het probleem is natuurlijk dat de doelgroep weinig verstand van sleutels heeft en de kans groot is dat deze sleutels kwijt raken. b.v. bij een herinstallatie van een PC.
Dat kan alleen als Ring geen toegang tot sleutels kan krijgen
De EFF heeft er wel goed over nagedacht. "E2EE video feeds have been implemented in open-source encrypted communication platforms like Signal already".
https://www.eff.org/deeplinks/2020/02/how-ring-could-really-protect-its-users-encrypt-footage-end-end
Goede versleuteling is gebaseerd op het Principe van Kerkhoffs:
"een versleutelingssysteem moet veilig zijn zelfs als alle details van het systeem, behalve de sleutel, publiek bekend zijn"
https://nl.wikipedia.org/wiki/Principe_van_Kerckhoffs (en lees ook de uitgebreide Engelstalige versie).
Dus als in de sourcecode is opgeschreven dat (via telemetrie of direct) Ring toegang heeft tot een private key, is het geen veilig versleutelingssysteem.
Dus hoe denk jij toegang tot een private key te kunnen verkrijgen Karma4?
Mogelijk verspeelt Ring snel het (consumenten) vertrouwen als zij samenwerking met politiekorpsen een hogere prioriteit geeft dan privacy van consumenten.
https://en.wikipedia.org/wiki/Ring_Inc.
Beter zou zijn alle fabrikanten te verplichten om ook alternatieven te bieden voor de opslag.
Zo bied Logitech met zijn Circle 2 de optie het bij Logitech te zetten, of bij Apple (die daar wel e.e.a. qua privacy beloven, want die doen in de cloud geen bewerkingen maar doen het op je lokale AppleTV of ipad die in de buurt ligt).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.