Dat hebben ze wel heel tricky weg gewerkt bij hun download link..

Dus is het ten dode opgeschreven.

Mee eens. Wist het vroeger ook niet wat resulteerde in dat ik het nooit gebruikt heb. Omdat security software niet illegaal gebruikt moet worden. Dat is niet veilig. Enigmail heb ik wel flink gebruikt met GnuPG. En daarvoor verschillende versies van PGP.


Maar het is niet Amerikaans zoals Solvinity en Zivver :-) Zivver probeert in feite hetzelfde te doen als GnuPG, maar GnuPG doet het al langer en beter. Zivver stuurt je een code per SMS zoals ik het begrijp en dat kan niet veilig zijn en de code kan niet lang genoeg zijn omdat gebruikers van Zivver dat over moeten tikken.

TS

Dus zivver begrijpt hoe gebruikers werken? Waarom zou SMS niet veilig zijn? Je hebt een mail, met daarin links, en je hebt een telefoon voor SMS. Nu zou je het theoretische probleem van SMS onderschepping, SIM swap benoemen, maar in de praktijk komt dat bijna niet voor. Dus leuk om te zeggen, maar laat voornamelijk dan zien, dat je eigenlijk weinig risico's analyses hebt gedaan.

Defineer beter, want GnuPG is complex, lastig gebruikers onvriendelijk en niet uit te leggen aan mijn ouders bijvoorbeeld. Zie ook nog eens de mail lezen op verschillende devices.
Dus beter? nope, nada niet.

Klopt helemaal .

Alleen voor de extreem nauwe definitie "een puur cryptografische aanval door een passieve aanvaller met veel analyse resources tegen een gebruiker die het perfect gebruikt op een trusted platform" is GPG 'beter' .

Een dragracer is ook alleen maar de beste "auto" binnen de definitie 'maximale acceleratie en snelheid op een rechte baan van 400 meter' .

Het is sowieso verstandig om op PQC protocollen over te stappen i.v.m. store now decrypt later attacks. Dit is dan ook een belangrijk thema bij grote bedrijven.

(P)QC is één grote hype die al twintig jaar nul voortgang maakt , behalve the produceren van papers en PhDs.

Thema zal best, want de consultancy molen schrijft mekaar over en schrijft een grote berg uren .

Ik heb nog even een paar filmpjes op YouTube bekeken. En ik kom nogmaals tot de conclusie dat je overheids- en zorgcommunicatie hooguit met een 6 cijferige decimale code beschermd wordt op de servers van Zivver. Welke triviaal te brute forcen is door de nu Amerikaanse eigenaar van Zivver. Om AI op te trainen in officiële communicatie in Holland.

Verder werd vroeger alle SMS data samen met de SMS metadata opgeslagen in Nederland omdat het systeem nu eenmaal zo ingericht was. Dus ook je Zivver code die over een apart kanaal (zonder encryptie draadloos) gaat. Verder bestaat je Zivver code net zo lang als dat je document bestaat dus het is niet zo als bij DigiD waar je die meteen moet gebruiken.

GnuPG communicatie is bij juist gebruik alleen door de afzender en de ontvanger(s) te lezen. En zo hoort het ook. Je kan bij GnuPG kiezen uit OpenPGP en S/MIME. S/MIME is misschien wat minder anarchistisch omdat het ook buiten GnuPG bestaat. In Outlook bijvoorbeeld.

Zelfs de captcha's van security.nl hebben meer entropie als de beveiligingscodes van Zivver. Kies maar waarmee je jezelf als burger het prettigst voelt ;-D

TS

Geen idee waar je het over hebt. We hebben PQC protocollen welke door peer review heen gegaan zijn. Grote bedrijven gebruiken tools zoals Fortanix Key Insight om de secrets in hun keyvaults/HSM's te inventariseren, analyzeren en waar nodig te migreren naar ML-KEM en ML-DSA. En zo'n beetje elke NCSC in de westerse wereld geeft waarschuwingen af tegen store now decrypt later aanvallen.

Maar meneer vindt het allemaal kul.

OpenPGP of S/MIME zegt een gebruiker helemaal niets.
Nadeel van OpenPGP is ook nog eens Key beheer moet doen, waarbij het al lastig is voor veel gebruikers om hun mail wachtwoord van de ISP te onthouden.

Als we over Zivver hebben, werkt het volgens mij ook heel anders, dan hoe jij het gebruikt. Maar ik heb dit al een tijd niet gebruikt.

Het hoort zo te zijn, dat gebruikers er mee moeten werken maar het ook kunnen begrijpen, iets waar OpenPGP of S/MIME veel te complex voor zijn.

Inderdaad.

Omdat QC een hype zonder resultaat is , en de publicaties op het randje van liegen zitten.

Van alle miljarden en twintig jaar onderzoek nog helemaal NIKS gepresteerd hebben - dan is het heel raar om daarvan wakker te liggen .

Pech voor alle instituten, maar echt tegen de stroom inroeien moet je heel grote ballen voor hebben .
Dus zitten ze allemaal in de veilige hoek "wie weet is er binnenkort een doorbraak dus doe maar wat" .

Aanvullend :

peer review is mooi, en het beste/enige wat we hebben , maar de historie van PQC algorithmen is niet geweldig.
De eerste pogingen zijn bij bosjes omgevallen.

Dat geldt natuurlijk ook voor de klassiekere algorithmen - MD5 en SHA-1 waren ooit uitstekende algorithmen, peer-reviewed,
totdat ze pas (al ?) na een aantal jaren te grote zwakheden bevatten om verder mee te gaan.

MD5 was in 1991 designed, en in 1996 kwam de eerste zwakheid (nog geen volledige breuk) . Dus 5 jaar onderzoek .
Pas in 2005 (en later) proof of concepts van volledige collisions.

Dan SHA-1 - design/publicatie in 1995 . De voortekenen van "waarschijnlijk niet veilig genoeg" begonnen in 2005 te verschijnen, deprecated vanaf 2010-2011 , met echt serieuze breuken in 2015 .

Peer review is mooi - hoe lang zijn de PQC vervangers nu gepubliceerd en wordt eraan onderzocht ?

Uit MD5 en SHA-1 blijkt dat het vijf tot tien jaar kan duren voordat de crypto research community een zwakheid ziet, en nog langer voordat die uitgroeit tot een reeel risico.
"dan vervang je het algorithme" - yep . Maar hameren op 'store now decrypt later' risico en instappen op een gloednieuwe variant die je maar vervangt als die ook een risico blijkt.

Er zijn verschillende aanvallen beschikbaar? AES128 kan gedowngrade worden naar AES64. Quantum computers worden steeds beter (niet alleen meer qubits maar ook error correction). In dit tempo komt wordt QDAY op 2030 geschat. Allemaal rode vlaggen die je bewust negeert.

NIST, ISO, SOC, PCI, FIPS, BIO. Een selectie raamwerken waar grote bedrijven (deels) aan moeten voldoen. Heeft met volwassenheid te maken *hint hint*

Er lijken geen goede tutorials meer te zijn. De documenten op gnupg.org zijn ook niet echt vriendelijk of up-to-date om te lezen.

Zelf las ik over PGP in Hack-Tic 16-17/1992, vast nog wel te vinden ergens op internet en leuk geschreven. Toen ik bij een vriend was met goed internet, heb ik PGP 2.x voor MS-DOS gedownload en daarmee gespeeld. Het lukte mij niet de eerste keer om iets voor elkaar te krijgen maar ik was volhardend en de tweede keer (veel later) lukte het wel.

In 2018 had je https://ssd.eff.org/module/how-use-pgp-windows kunnen lezen. Met het verschil dat Enigmail niet meer bestaat en GnuPG niet meer nodig is voor Thunderbird. Het is dus eigenlijk makkelijker geworden.

Keyservers worden eigenlijk niet meer gebruikt en inline posten van PGP berichten wordt ook sterk afgeraden. Je moet hiervoor PGP/MIME gebruiken.

TS

Nee, dat zijn extrapolaties die nog totaal niet bereikbaar zijn.

Dan is praktische kernfusie met netto opbrengst - ook al een jaar of veertig "klaar over vijf tot tien jaar" feitelijk al een stuk verder. (bruto opbrengst positief voor een heel erg korte tijd).

Ga een zoeken : Shor's algorithme is de hoeksteen van ongeveer alle quantum computing. (namelijk - het breken van RSA en DH op een quantum computer) . Gepubliceerd in 1994 .

ga nu zelf eens op zoek naar het beste resultaat - sinds 30 jaar - wat er _bereikt_ is met een quantum factorisatie (of DL ).

Dat is voor dertig jaar _beschamend weinig_ . En maakt de hype cycle nogal onbegrijpelijk .

Echt - jij zegt "in dit tempo" - laat maar zien, waar is de factorisatie van 3 cijfer getallen, van 10 cijfer getallen, van 30 cijfer getallen met een quantum computer ?
(dit is nog op de schaal "i386 doet het terwijl je wacht" ) . Dan moet je je publiek wel voor heel dom houden als je QDAY 2030 aankondigt .



Yep. allemaal mekaar napraten . De keizer zonder kleren kan heel lang rondlopen .

En inderdaad, bedrijven "mogen het niet negeren".
Geeft niet hoor, ik wil ze ook graag bangmaken voor het consultancy tarief, want dat willen ze nu eenmaal horen.

En de reden waarom je dit soort extra software beter niet kunt gebruiken.....


https://www.security.nl/posting/922540/Kritiek+lek+in+GnuPG+en+Gpg4win+kan+remote+code+execution+mogelijk+maken

OpenSSL had recent een vergelijkbaar lek. https://www.security.nl/posting/922373/OpenSSL-lek+kan+remote+code+execution+mogelijk+maken.

Ga je ook geen OpenSSL meer gebruiken als je bankzaken doet in je browser?

Het is nu gefikst, dus zowel OpenSSL als GnuPG zijn weer veilig (voorlopig).

TS

Ik breng https://www.cs.auckland.ac.nz/~pgut001/pubs/bollocks.pdf[/url in herinnering, alsmede https://blog.cr.yp.to/20251004-weakened.htmlKom maar op met bewijzen hoever QC al is in plaats van wat hier een physics experiment genoemd wordt. Ook wordt er stevig getwijfeld aan de bruikbaarheid grote hoeveelheden qbits in verband met tijdsynchronisatie.Hype.