Duits wetsvoorstel verplicht end-to-end encryptie voor chat- en clouddiensten
Het Duitse ministerie voor Digitalisering en Transport heeft een wetsvoorstel geïntroduceerd dat end-to-end encryptie voor chatdiensten, cloudaanbieders en e-mailproviders in de toekomst verplicht. Het 'recht op encryptie' voorstel is een aanvulling op de Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) en geldt voor communicatiediensten zoals WhatsApp en Signal, maar ook voor e-maildiensten en cloudproviders waar gebruikers data kunnen opslaan (pdf).
Gebruikers moeten straks 'waar het technisch mogelijk is' end-to-end encryptie kunnen gebruiken. Dat is op dit moment niet het geval. "Hoewel end-to-end encryptie nu de industriestandaard is, maken individuele chatdiensten geen gebruik van end-to-end encryptie of gebruiken het alleen voor bepaalde functies, wat niet door technische beperkingen is te rechtvaardigen." Het gaat dan bijvoorbeeld om Telegram dat geen end-to-end encryptie voor groepschats biedt.
Volgens advocaat Dennis-Kenji Kipker van de Universiteit van Bremen is het wetsvoorstel 'meer een PR-stunt' dan een daadwerkelijke versterking van de cybersecurity voor iedereen. Hij merkt op dat het voorstel vooral gaat over technische maatregelen die gebruikers zelf moeten uitvoeren. Versleutelde e-maildienst Tuta is blij met het wetsvoorstel.
Netzpolitik.org meldt dat nog onduidelijk is of het wetsvoorstel daadwerkelijk een wet wordt. Het federale kabinet moet er nog een akkoord over bereiken, waarna het voorstel naar de Bundestag gaat. Netzpolitik denkt dat de Duitse minister van Binnenlandse Zaken Faeser roet in het eten kan gooien. Zij pleitte eerder nog voor een verbod van Telegram.
Laten eerst een zorgen van interoperabiliteit tussen alle chat platformen, voor dat we over end-to-end versleuteling praten.
De welingelichte Signal gebruiker ziet geen heil in interoperabiliteit, omdat de contacten met Facebook worden gedeeld.
Signal gaat telefoonnummers van gebruikers standaard afschermen
woensdag 21 februari 2024, 09:20 door Redactie
https://www.security.nl/posting/830460/Signal+gaat+telefoonnummers+van+gebruikers+standaard+afschermen
Dan kun je alleen nog e-mailen met een app, van een bepaalde leverancier. Trekt die de stekker eruit dan heb je geen toegang meer tot je mail.
Het zou misschien wel handig zijn als men partijen die gevoelige data verwerken (zorg, banken, overheid, etc) en via e-mail met klanten of patiënten communiceren, verplicht worden om compatibel te zijn open source protocollen (en dus niet met 3e partijen zoals b.v. Zivver) m.b.t het versleutelen van e-mail en de versleuteling alleen mogen toepassen indien het bericht vertrouwelijk is ( i.v.m. maximale comptabiliteit).
Maar het slaat natuurlijk helemaal nergens op om nieuwsbrieven van een of ander restaurant te gaan versleutelen; in dit geval heeft het juist weer allemaal nadelen omdat je b.v. niet even snel een alias kan aanmaken voor een reservatie die je daarna weer weggooit. Hetzelfde geld met HTTPS dat nu op statische websites wordt gebruikt met publieke informatie: grote onzin om op die webservers OpenSSL te draaien en met CA's te gaan werken.
En deze wet, de volgende stap is een backdoor voor de Staat verplicht stellen?
Wissel schijfjes uit met mensen waar je contact mee wilt, en de random data die op die schijven staat gebruik je dan om XOR encryptie mee te doen.
Is dan ook meteen 100% Post-Quantum. ;)
Dan kun je alleen nog e-mailen met een app, van een bepaalde leverancier. Trekt die de stekker eruit dan heb je geen toegang meer tot je mail.
Het zou misschien wel handig zijn als men partijen die gevoelige data verwerken (zorg, banken, overheid, etc) en via e-mail met klanten of patiënten communiceren, verplicht worden om compatibel te zijn open source protocollen (en dus niet met 3e partijen zoals b.v. Zivver) m.b.t het versleutelen van e-mail en de versleuteling alleen mogen toepassen indien het bericht vertrouwelijk is ( i.v.m. maximale comptabiliteit).
Maar het slaat natuurlijk helemaal nergens op om nieuwsbrieven van een of ander restaurant te gaan versleutelen; in dit geval heeft het juist weer allemaal nadelen omdat je b.v. niet even snel een alias kan aanmaken voor een reservatie die je daarna weer weggooit. Hetzelfde geld met HTTPS dat nu op statische websites wordt gebruikt met publieke informatie: grote onzin om op die webservers OpenSSL te draaien en met CA's te gaan werken.
Je vergeet dat http verkeer on the fly dynamisch aangepast kan worden zonder dat ditbop te merken valt...
Bij versleuteld verkeer kun je dat niet doen. Dus ook statische data versleutelen is een MUST HAVE.
Bij versleuteld verkeer zal ook spam makkelijker voorkomen kunnen worden, of anders is in elk geval de afzender bekend...
Wissel schijfjes uit met mensen waar je contact mee wilt, en de random data die op die schijven staat gebruik je dan om XOR encryptie mee te doen.
Is dan ook meteen 100% Post-Quantum. ;)
Beschrijf je hier niet encryptie met een one time pad/key? ;) Dan kun je er maar beter voor zorgen dat je one time pad oneindig lang is en volledig random, anders niet 100% veilig.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.