Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Data Services om cookies te gebruiken. verder gaan
 

Amerikaanse overheid kan VPN, SSL, TLS en 4G kraken

Jibbe Van Oost

 
De NSA kan encryptietechnologieën omzeilen zoals die gebruikt wordt bij internetbedrijven zoals Google, Facebook en Microsoft. De achterdeur naar persoonlijke en zakelijke geheimen staat gewoon open.

Het nieuws dat de Amerikaanse veiligheidsdienst NSA enkele geavanceerde en veelgebruikte encryptiemethoden kan omzeilen stond tegelijk in the New York Times, Pro Publica en The Guardian. Het is gebaseerd op nieuwe uitgelekte documenten van klokkenluider Edward Snowden.

De NSA is bezig met een programma met codenaam Bullrun. Dat is een combinatie van supercomputers, technische trucjes, gerechtelijke bevelen en overredingskracht achter de schermen. Alles samen ondermijnt Bullrun zowat alle beveiliging waarop het internet is gebaseerd, bijvoorbeeld virtual private networks (VPN’s), sockets layer (SSL) en  transport layer security (TLS) protocols. The New York Times vermeldt ook nog een niet nader genoemd beveiliging van 4G-communicatie met smartphones.

De technologie om de encryptie te omzeilen moet indrukwekkend zijn, want de Britten kregen in 2010 een voorstelling. Een memo daarover zei ‘degene die nog niet gebrieft waren, staan er met open mond naar te kijken’.

De NSA vertrouwt niet (uitsluitend) op decryptie met brute kracht, door computers altijd nieuwe encryptiesleutels te laten proberen. Ze gebruiken ook achterdeurtjes die ze in de beveiligingstechnologie van Amerikaanse en buitenlandse bedrijven hebben laten inbouwen. Zou zouden er ook achterpoortjes zitten in hardware die gegevens van bedrijven en burgers versleutelt.

Medewerkers van de NSA hebben wetens en willens de internationale encryptiestandaarden voor ontwikkelaars verzwakt. Specialisten in de cryptografie vermoeden al langer dat de NSA kwetsbaarheden heeft binnengesmokkeld in een standaard uit 2006 van het National Institute of Standards and Technology en later in de International Organization for Standardization, waarvan 163 landen lid zijn.

Wat kunnen we doen?

Met deze onthullingen wordt duidelijk dat de betrouwbaarheid van heel het internet wordt ondermijnd. De technologieën voor encryptie zijn de hoesteen om informatie betrouwbaar uit te wisselen.

Hebben cryptografen, zoals de Belgische Vincent Rijmen en Joan Daemen, die aan de wieg stonden van de algemeen gebruikte technologie AES nu boter op het hoofd? Allicht niet. Veiligheidsexpert Bruce Schneier gelooft niet dat de kwetsbaarheid zit in de encryptie-algoritmes, wel in de software die gegevens moet versleutelen en ontcijferen. Op zijn blog schrijft hij: “Onthou: de wiskunde is goed, daar zit geen agentschap achter. De code heeft een agentschap en aan de code is geprutst.”

Kunnen we iets doen om onze gegevens te beschermen? Volgens Schneier zijn drie dingen die we kunnen doen:

  • Getuigen als je benaderd bent om achterdeurtjes in je technologie te zetten
  • Het internet herontwerpen met open protocollen en open implementaties
  • Ander beheer voor het Internet. De VS heeft bewezen dat ze al even betrouwbaar zijn als de UK, China, Rusland en Iran als het op het beheer van het internet aankomt. Er moet transparantie, overzicht en rekenschap zijn.
 

Reacties

comments powered by Disqus
 

RECENT NIEUWS