NSA kraakt encryptie: wat nu?
Er lijkt geen einde te komen aan de schokkende onthullingen van Edward Snowden. Gisteravond kwam het nieuws dat de Britse en Amerikaanse geheime diensten in staat zijn een groot deel van gangbare encryptie te kraken. Encryptie waar miljoenen internetters wereldwijd op vertrouwen om hun zakelijke en privé-communicatie veilig te houden. Wat betekenen deze nieuwste onthullingen? Vier voorlopige conclusies:
1. Geheime diensten en bedrijven ondermijnen bewust de betrouwbaarheid en veiligheid van het internet
De NSA voert al een decennium lang campagne om encryptie te ondermijnen. Dat doen ze op diverse manieren: met brute rekenkracht, met gerichte aanvallen, maar ook door samen te werken met technologiebedrijven om versleutelingssoftware te verzwakken en backdoors in te bouwen in diensten en producten. Bedrijven werkten hier aan mee; soms onder dwang, maar soms ook tegen betaling. Partijen die zeggen de veiligheid van burgers te willen beschermen, hebben dus bewust samengespannen om het internet minder veilig te maken. Hoe leggen ze dat uit? Hoe kun je als internetter nog weten welke bedrijven te vertrouwen zijn?
2. We hebben het de NSA veel te makkelijk gemaakt
De grote kracht van het internet is de decentrale structuur. Maar in de afgelopen jaren zijn we steeds afhankelijker geworden van slechts een paar grote spelers. Dat heeft het voor de NSA een stuk gemakkelijker gemaakt: met toegang tot een handvol systemen hebben ze de communicatie van een grote meerderheid van de internetters te pakken. Dat geldt voor het verzamelen van communicatie via afluisterprogramma’s als Prism, maar dus ook voor het ontsleutelen van die communicatie door veelgebruikte diensten te compromitteren. Grote mono- of oligopolisten als Google en Facebook hebben enorme belangen, die doorgaans niet overeenkomen met de belangen van hun gebruikers. Hetzelfde geldt voor hiërarchische systemen als certificaatautoriteiten of de routing van het internetverkeer. We moeten nadenken over hoe we een meer decentrale structuur en een grotere variëteit aan diensten kunnen stimuleren.
3. Het belang van klokkenluiders groeit
De invloed van de onthullingen van Edward Snowden is nu al enorm. Maar er moeten nog tientallen, zo niet honderden anderen zijn met kennis over misstanden en onwettelijke activiteiten van geheime diensten, in de VS, Europa én in Nederland. Bijvoorbeeld medewerkers van technologiebedrijven, providers en internet exchanges die in situaties belanden waar ze onderdeel worden gemaakt van massale surveillance. Voor deze mensen moet er een mogelijkheid zijn om misstanden openbaar te maken. De enige manier waarop we te weten kunnen komen of geheime diensten de grens overschrijden is namelijk via klokkenluiders. Van bedrijven of de overheid moeten we het blijkbaar niet hebben. De wettelijke bescherming voor deze klokkenluiders moet dan ook beter worden geregeld.
4. Encryptie is nog steeds essentieel
Dat de NSA en GCHQ een groot deel van gangbare encryptietechnologieën kunnen kraken, betekent niet dat we het versleutelen van onze communicatie meteen op moeten geven. Er zijn natuurlijk nog genoeg andere partijen voor wie je je privé-gegevens wilt beschermen. En er zijn nog steeds manieren om je communicatie te beschermen die niet of nauwelijks gekraakt kunnen worden. Zelfs met al zijn kennis over de mogelijkheden van de NSA, zei Snowden nog: “Properly implemented strong crypto systems are one of the few things that you can rely on.”
Het is in ieder geval belangrijk om nog eens kritisch te kijken naar de encryptie-technologieën die je gebruikt. Zie bijvoorbeeld de overwegingen van Bruce Schneier. Wij gaan onze Internetvrijheid Toolbox herzien. Daarbij horen we graag jouw suggesties! Zie: toolbox.bof.nl.
Ivo Teeven
Goed bezig!
Henk
Een prominente link naar prism-break.org op jullie voorpagina zou denk ik erg handig zijn! Een actuele, duidelijke how-to (inclusief de ontwikkelingen van de laatste maand) met betrekking tot het gebruik van TOR zou ook welkom zijn.
Ga zo door! Nederland heeft deze organisatie harder dan ooit nodig.
MD
Tegen de afbraak van de decentrale structuur van het Internet ageer ik al vele jaren. Usenet was bijvoorbeeld moeilijk te censureren juist omdat er geen centrale commandostructuur was en iedere host gelijk is. Het is bedroevend dat BOF pas nu met de conclusie op de proppen komt dat decentralisatie essentieel is voor vrijheid. In plaats daarvan heeft de organisatie zich bezig gehouden met het stimuleren van trivialiteiten zoals de cookiewet die de vrijheid juist inperkt in plaats van stimuleert. Nou ja, beter laat dan nooit, zullen we maar zeggen.
Eelco
Als de toolbox wordt herzien, besteed dan ook even wat aandacht aan de privacy schending door advertentieboeren, en waarom je zonder AdBlock Plus (of een soortgelijke tool) je privacy laat verkopen. Daar helpt geen encryptie tegen.
Henk
Een duidelijke verwijzing naar prism-break.org op de voorpagina van jullie website is gewenst, handige en duidelijke site is dat! Daarnaast lijkt me ook een duidelijk how-to guide + commentaar met betrekking tot TOR (inclusief de recente ontwikkelingen) en gerelateerde zaken me behoorlijk praktisch voor de geïnteresseerde Nederlander.
Ga zo door! Nederland heeft BoF harder nodig dan ooit!
Tim Toornvliet
Dat is natuurlijk geen nieuw inzicht: het belang van de decentrale structuur van het internet is een van de pijlers van internetvrijheid. De onthullingen van gister onderstrepen dat belang nog eens extra, vandaar dat we het noemen.
En we hebben de cookiewet nooit gestimuleerd, waar baseer je die conclusie op?
Henk
Oeps, sorry voor twee keer (bijna) dezelfde reactie… dacht dat mijn eerste bericht niet was gepost.
Tim Toornvliet
Dat gebeurt vaker: soms is er wat vertraging voordat de comment daadwerkelijk verschijnt. Zeker als er een link in staat.
Linda
Ik hoor graag van onze Westerse veiligheidsdiensten, of de politiek verantwoordelijken voor deze diensten, hoe het bewust ondermijnen van de betrouwbaarheid en veiligheid van het internet (communicatie, betalingsverkeer, medische data) in hemelsnaam bijdraagt aan ‘het beschermen van de nationale veiligheid’. Ze zetten de deur hiermee juist wijd open voor kwaadwillenden.
jhon
Ouderwets mondeling verkeer, gezellig hé ! pas op voor liplezers en
richt microfoons.
Jhon
Kalahiri
De conclusie dat “een groot deel van de gangbare encryptietechnologien” is gekraakt lijkt me te kort door de bocht. Uit de stukken van de Guardian e.a. krijg ik de indruk dat ze bijv. wel VPNs hebben gekraakt, maar OTR of PGP? Dat lees ik nergens terug. Ook over niet-streaming encryptie zoals AES lees ik niks. Volgens Schneier is er ook nog teveel rekenkracht nodig om zomaar alles te kunnen meelezen. Vandaar ook dat de NSA liever achterdeurtjes zoekt of bedrijven dwingt de sleutels te geven. Daarnaast is het de vraag hoeveel de NSA op dit gebeid deelt met de AIVD en hoeveel de AIVD van haar kennis weer met de politie of anderen deelt.
Hoe dan ook, ik kreeg de indruk dat de algoritmes zoals OTR en PGP in open source implementaties nog te vetrouwen zijn, zeker als je geen high value target bent en je PC direct door NSA gehackt is. En encryptie werkt zeker nog tegen inbreuken van minder geavanceerde diensten.
Kalahiri
Oja, een gedachte die iemand mij vanmiddag aanreikte is of je nog wel op certificaten kan vertrouwen. De NSA kan wel deals hebben met CA’s om met bepaalde sleutels en signatures terommelen, zodat het verkeer via de NSA knooppunten wordt gerouteerd. Dan hoef je SSL/TLS helemaal niet te kraken, want dan zijn ze gewoon the-man-in-the-middle.
Alle diginotar vragen komen zo gewoon weer terug.
Tom
Is ergens een reactie van de Nederlandse overheid te vinden m.b.t. de huidige NSA ontwikkelingen?
De 52 miljard budget die de NSA elk jaar krijgt, zal in de V.S. alleen verantwoord kunnen worden, wanneer deze ook voor eigen economische en politieke gewin kan worden ingezet. Terroristen alleen zijn, naar mijn inziens, die 52 miljard bij lange na niet waard.
Kom ik gelijk bij het huidige probleem, zeer groot deel van het Nederlandse netwerk (Ziggo, UPC) en netwerkapparatuur (Cisco, Huawei) is in buitenlandse handen (VS/UK) of van buitenlandse afkomst. Cisco is daarbij een van de grootste leveranciers van netwerkapparatuur, inclusief hun VPN oplossingen, voor de Nederlandse overheid en bedrijven.
Als het om bedrijfs- en politieke spionage gaat heeft Nederland een zeer groot probleem. Een passieve (naïeve) houding van de overheid, lijkt me op lange termijn nog schadelijker voor de Nederlandse economie.
Bijvoorbeeld, op dit moment zullen de Amerikanen wel op de hoogte willen blijven over de JSF ontwikkelingen, 6 miljard is namelijk niet niks en economische belangen zijn dan ook zeer groot.
Richard
Ik hoop werkelijk dat de lobbyisten van Opstelten alle nu onstaande maatschappelijke verontwaardiging mee krijgen.
De NSA is in tegenoverstelling tot Opstelten tenminste nog discreet te noemen.
Friedo
de NSA is niet de enige die meedoet aan spionage kijk maar naar europa dat project indect volgend jaar wil lanceren en dat van opstelten en niet vergeten karel de gucht wil ook graag censuur allee dat verstond ik toch toen ACTA verworpen werd
george
Wat mij vooral getroffen heeft is, dat zowel voor de comodo-hack (maart 2011) als voor de diginotar-hack (augustus 2011) een iranese groep verantwoordelijk gehouden werd. Dat verkondigden alle media, omdat de gestolen certifikaten gebruikt werden voor een MITM intrusion van de emailsites van yahoo, gmail en hotmail in Iran. Daarmee zijn 300.000 accounts van iranese email gebruikers onderschept, het jaar voorafgaand aan de verkiezingen.
Blijkt nu dat de NSA daarvoor verantwoordelijk was. Des te beangstigender gezien de rellen na afloop van de verkiezingen daarvoor. Iran heeft het internet vlak voor de verkiezingen deels geblokkeerd. Veel beschuldigingen ivm schending van persvrijheid, maar misschien hebben ze daarmee de enorme chaos zoals in Syrie vermeden. Het internet kan soms gevaarlijk zijn, zoals veel techniek die door de mensen ontwikkeld is, helaas.