Reacties (16)
Schijnveiligheid? Dat hangt er dus van af. Het is een effectief middel om ervoor te zorgen dat je data niet in verkeerde handen valt als het onderweg is, maar als iemand al op je device zit is een screenshot zo gemaakt natuurlijk.
Ik merk dat sommige mensen die iets bijdragen aan dit onderwerp onvoldoende kennis hebben op het gebied van assymetrische cryptografie. Sommingen denken zelfs dat "alle sleutels" (ook de private keys) bij jan en alleman bekend zijn. Het is mogelijk dat sleutels worden gestolen, maar de key-ring met keys kunnen ook gewoon ingetrokken worden. Hierdoor zijn ze niet meer te gebruiken.
Eenvoudig uitgelegd en zonder poespas: bij assymetrische cryptografie (die gebruikt wordt in end-to-end encryption) heeft een persoon TWEE sleutels aan de ring hangen in plaats van een enkele sleutel. EEN is een Public key om te versleutelen, EEN is een Private key om te ontsleutelen. De Private key is alleen in bezit van diegene die ontsleuteld. Dus niet de overheid of een andere partij (mits goed afgeschermd natuurlijk) kan de berichten die versleuteld zijn niet lezen. dat kan alleen de bezitter van de Private key.
Ik raad deze mensen aan, die wel een mening hebben maar niets over dit onderwerp weten, om een aantal artikelen te lezen. Dus eerst lezen, en daarna je mening geven graag (dus niet andersom). Kom dus niet aan met indianenverhalen dat "alle sleutels" opeens bij iedereen bekend zouden zijn, want dat verraadt alleen maar een enorm gebrek aan kennis over het onderwerp.
https://nl.wikipedia.org/wiki/Asymmetrische_cryptografie
https://en.wikipedia.org/wiki/Public-key_cryptography
https://www.ibm.com/topics/end-to-end-encryption
Eenvoudig uitgelegd en zonder poespas: bij assymetrische cryptografie (die gebruikt wordt in end-to-end encryption) heeft een persoon TWEE sleutels aan de ring hangen in plaats van een enkele sleutel. EEN is een Public key om te versleutelen, EEN is een Private key om te ontsleutelen. De Private key is alleen in bezit van diegene die ontsleuteld. Dus niet de overheid of een andere partij (mits goed afgeschermd natuurlijk) kan de berichten die versleuteld zijn niet lezen. dat kan alleen de bezitter van de Private key.
Ik raad deze mensen aan, die wel een mening hebben maar niets over dit onderwerp weten, om een aantal artikelen te lezen. Dus eerst lezen, en daarna je mening geven graag (dus niet andersom). Kom dus niet aan met indianenverhalen dat "alle sleutels" opeens bij iedereen bekend zouden zijn, want dat verraadt alleen maar een enorm gebrek aan kennis over het onderwerp.
https://nl.wikipedia.org/wiki/Asymmetrische_cryptografie
https://en.wikipedia.org/wiki/Public-key_cryptography
https://www.ibm.com/topics/end-to-end-encryption
Mailen zonder end-to-end encryptie is als twee stukjes flosdraad tegen je kiezen duwen en hopen dat je gebit niet gaat rotten. Als je de overheid tussen je kiezen hebt, gaat de boel uiteindelijk altijd kapot.
Door Anoniem: Mailen zonder end-to-end encryptie is als twee stukjes flosdraad tegen je kiezen duwen en hopen dat je gebit niet gaat rotten. Als je de overheid tussen je kiezen hebt, gaat de boel uiteindelijk altijd kapot.
Tja, als tech-bedrijfjes als microsoft het algemeen gebruik van encrypted mail verhinderen door dat soort basale functionaliteit tot premium feature te verheffen, terwijl gratis mail providers als Protonmail dit standaard ondersteunen gaat dit nog wel een decennia duren voor encrypted mail gemeengoed wordt.Met dank aan microsoft die met een dikke vinger commerciële belangen boven beveiligde communicatie methodes van haar klanten stelt.(of dit strategisch ter stimulatie van die all inclusive ms-only-lock-yourself-in teams rommel is laat ik maar even in het midden).
25-10-2022, 11:40 door
_R0N_
In de meeste gevallen schijnveiligheid.
Als je niet zelf de keys hebt heeft iemand anders ze.
Als je niet zelf de keys hebt heeft iemand anders ze.
Door _R0N_: In de meeste gevallen schijnveiligheid.
Als je niet zelf de keys hebt heeft iemand anders ze.
Als je niet zelf de keys hebt heeft iemand anders ze.
je hebt bij sommige chatdiensten de mogelijkheid om de tooling uit elkaar te trekken. dan weet je of het werkt of niet. beetje kortzichtige opmerking...
[x] Zinloos als het niet op open standaarden/open source gebaseerd is
schijnveiligheid , Er zijn domme managers die denken dat na https alles veilig is.
Het werd zo erg soms dat er geen validatie meer moest , weinig of geen serverbeveiliging werd betaald want er was een certificaat die wonderbaarlijk alle problemen zou oplossen . Het benoemen van bedrijven ligt moeilijker omdat dan hun reputatie ook aan digelen ligt . Dat heb je nu hr die zo lage kennis hebben van ict dat zij beperkt zijn tot vragen die niet ter zake doen, je gaat best even bekijken of je ook niet zo'n idioten hebt rondlopen . Heb je een website met http en https zodat iedereen waar iets niet werkt zonder enige vorm kan kontact opnemen met je bedrijf of is alles afgeschermt met dan nep beveiligen als recaptcha , wachtwoorden verspreiden via check naar regenboogtabelbedrijven. Zelfs sommige administratief pannelen zijn niet veilig of lekken allen , zo ook ubc die zelfs de plaats van je werknemers aan google laat zien.
Het werd zo erg soms dat er geen validatie meer moest , weinig of geen serverbeveiliging werd betaald want er was een certificaat die wonderbaarlijk alle problemen zou oplossen . Het benoemen van bedrijven ligt moeilijker omdat dan hun reputatie ook aan digelen ligt . Dat heb je nu hr die zo lage kennis hebben van ict dat zij beperkt zijn tot vragen die niet ter zake doen, je gaat best even bekijken of je ook niet zo'n idioten hebt rondlopen . Heb je een website met http en https zodat iedereen waar iets niet werkt zonder enige vorm kan kontact opnemen met je bedrijf of is alles afgeschermt met dan nep beveiligen als recaptcha , wachtwoorden verspreiden via check naar regenboogtabelbedrijven. Zelfs sommige administratief pannelen zijn niet veilig of lekken allen , zo ook ubc die zelfs de plaats van je werknemers aan google laat zien.
Neem Whatsapp als voorbeeld.
E2E encrypted, maar Whatsapp doet wel de key rotation.
Rotate je zomaar naar een bekende key!
E2E encrypted, maar Whatsapp doet wel de key rotation.
Rotate je zomaar naar een bekende key!
Door _R0N_: In de meeste gevallen schijnveiligheid.
Als je niet zelf de keys hebt heeft iemand anders ze.
Als je niet zelf de keys hebt heeft iemand anders ze.
Schijnveiligheid dus, want als je naar een aantal supply chain aanvallen kijkt zie je dat aanvallers gewoon via de E2E tunnel naar binnen wandelen zonder dat het opvalt want het tenslotte regulier verkeer. Daar zit het gevaar van het blinde vertrouwen bij velen op E2E. Je bent als organisatie afhankelijk van hoe de beveiliging bij andere partijen is geregeld. Als daar een breach optreed en gebruikersaccounts worden overgenomen, zitten aanvallers zo bij je binnen, mits je daar zelf geen detectie maatregelen tegen genomen hebt.
Vertrouwen is goed maar technisch goed regelen is beter. Daarnaast natuurlijk controle.
Mijn huisarts stuurt allerlei medische gegevens, zoals verwijzingen, laboratoriumuitslagen per email naar mijn prive-email (en hij is trouwens de enige niet). Van e2e is volgens mij geen sprake; ik heb in ieder geval geen keys. Is dat dan conform de AVG?
27-10-2022, 17:12 door
johanw
Door Anoniem: Mijn huisarts stuurt allerlei medische gegevens, zoals verwijzingen, laboratoriumuitslagen per email naar mijn prive-email (en hij is trouwens de enige niet). Van e2e is volgens mij geen sprake; ik heb in ieder geval geen keys. Is dat dan conform de AVG?
Ik krijg ook wel eens mail met links naar medische gegevens maar dan moet ik toch altijd daarna nog inloggen, met 2fa (welliswaar per sms maar goed) om de gegevens echt in te zien.
Door johanw:
Ik krijg ook wel eens mail met links naar medische gegevens maar dan moet ik toch altijd daarna nog inloggen, met 2fa (welliswaar per sms maar goed) om de gegevens echt in te zien.
Door Anoniem: Mijn huisarts stuurt allerlei medische gegevens, zoals verwijzingen, laboratoriumuitslagen per email naar mijn prive-email (en hij is trouwens de enige niet). Van e2e is volgens mij geen sprake; ik heb in ieder geval geen keys. Is dat dan conform de AVG?
Ik krijg ook wel eens mail met links naar medische gegevens maar dan moet ik toch altijd daarna nog inloggen, met 2fa (welliswaar per sms maar goed) om de gegevens echt in te zien.
Nee dat is niet volgens de AVG. er zijn allerlei 'veilige' mail oplossingen in de zorg zoals zorgmail en zivver. welke je naar een website stuurt waar je de data kunt ophalen. ziekenhuizen hebben vrijwel allemaal patientportalen die alleen via digid authenticatie toegankelijk zijn, waar je de verwijzingen en lab uitslagen in kunt zien.
Een huisarts die nog op deze manier werkt is blijkbaar niet op de hoogte wet en regelgeving. als hij dat al niet is kun je je afvragen of hij dan wel op de hoogte is van de laatste ontwikkelingen in de gezondheidszorg.
End to end encryptie zou merk geregistreerd moeten worden zodat bedrijven daar niet meer over kunnen liegen.
Voorlopig is alles 'holed for a reason' en de grote meute is er niet mee bekend of raakt er steeds minder mee bekend.
Waarom twitter beveiligen als ik via nitter ook mee kan lezen?
Mensen worden getraind en gebrainwashed en niet meer echt opgeleid om zelf te kunnen denken.
Na de mammoetwet gingen we allen al gedeeltelijk 'woke'.
Cultuur wordt opgelegd als 'meerderheidsstandpunt'.
Geschiedenis wordt geschreven door de machthebbers van het moment.
Niets is zoals het lijkt. Niets is toeval.
#obserwator
Waarom twitter beveiligen als ik via nitter ook mee kan lezen?
Mensen worden getraind en gebrainwashed en niet meer echt opgeleid om zelf te kunnen denken.
Na de mammoetwet gingen we allen al gedeeltelijk 'woke'.
Cultuur wordt opgelegd als 'meerderheidsstandpunt'.
Geschiedenis wordt geschreven door de machthebbers van het moment.
Niets is zoals het lijkt. Niets is toeval.
#obserwator
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.