Deze nieuwssite is niet-commercieel, onafhankelijk en 100% gratis dankzij uw steun. We rekenen op uw fair share. Maandelijks, Jaarlijks, Eenmalig. Giften vanaf 40 euro zijn fiscaal aftrekbaar.

Ja, ik wil steunen

Sluit dit venster

about
Toon menu

NSA dwingt bedrijven tot vrijgeven encryptiecodes

De NSA (National Security Agency) omzeilt en kraakt al jaren het merendeel van de online encryptiecodes die de privacy van de internetgebruikers moeten beschermen. Dat melden The New York Times, The Guardian en ProPublica.
vrijdag 6 september 2013

De NSA heeft een gigantische database aan encryptiecodes genaamd de Key Provisioning Service. Die encryptiecodes beschermen internationale handel- en banksystemen, gevoelige data zoals beroepsgeheim en beursinformatie, medische dossiers, e-mails, telefoontjes en chatlogs.

De documenten die klokkenluider Edward J. Snowden doorspeelde aan The Guardian en The New York Times toonden eerder al aan hoe breed het bereik van de NSA was. Nu geven ze ook prijs hoe de NSA precies tewerk gaat.

Clipper Chip

In de jaren negentig steeg de belangstelling in de encryptie van digitale informatie. Toen Pretty Good Privacy, een zeer goed encryptie programma van de hand van Phil Zimmerman, geïntroduceerd werd, besloot de toenmalige Clinton-administratie terug te vechten. Het was namelijk interessanter voor hen als die encryptiecodes hen toch toegang gaven tot de informatie.

Ze introduceerde in 1993 samen met de NSA de Clipper Chip.

De Clipper Chip werd geïntroduceerd als encryptiemiddel, maar droeg ook een cryptografische sleutel die als escrow agent dienst zou doen. Dat is een systeem waarbij een derde persoon, in dit geval de NSA, door middel van een algoritme de broncodes van de encryptie kan ontvangen. 

De Clipper Chip's algoritme was ook nog eens als Top Secret geclassificeerd, wat ervoor zorgde dat de chip niet door peers kon worden geëvalueerd. De escrowsleutel zorgde er ondermeer voor dat de huidige minister van Buitenlandse Zaken van de VS, John Kerry, zich ertegen uitsprak. Hij vreesde dat zowel de vrije markt als de Amerikaanse Grondwet in het gedrang zouden komen. De Clipper Chip werd van de hand gewezen. 

Nu blijkt dat de NSA zich al die jaren heimelijk heeft verdiept in wat haar toen publiekelijk werd afgeraden.

Decryptie

Toen eind jaren negentig bleek dat de NSA er niet in zou slagen om via escrowsleutels zelf de encryptiecodes van de toekomst te bepalen, zette ze alles op alles om de data die ze opving via het internetverkeer live te kunnen ontcijferen. Dat doen ze aan de hand van de encryption keys die ze verzamelen door Amerikaanse bedrijven onder druk te zetten.

Dat is groot nieuws, want onlangs ontkende Mike Rogers, hoofd van de inlichtingencommissie van het Amerikaanse Huis van Afgevaardigden nog de NSA de inhoud van mails en dergelijke kon zien. "Hij liegt", zei Rogers toen. "Het is onmogelijk om te doen wat hij zegt te kunnen doen." De NSA hield toen vol dat ze enkel de IP-adressen van afzenders en ontvangers kende.

De Key Provisioning Service houdt alle sleutels die de NSA verzamelt bij in een keydatabase. Wanneer een analyst een bericht tegenkomt waarvan nog geen sleutel voorhanden is, wordt dat doorgeseind naar de Key Recovery Service, dat dan op zoek gaat naar de juiste sleutel.

Project Bullrun

Het project dat de NSA in staat stelde om met bedrijven samen te werken heette het SIGINT Enabling Project. SIGINT staat voor Signal Intelligence en betekent zoveel als digitaal afluisteren. Uit documenten van Snowden blijkt dat de NSA jaarlijks 250 milioen dollar aan dit project spendeert. 

Het project stond ook bekend als project Bullrun en een topman merkte op dat er in het geval van Bullrun "NO need to know was." Het was enkel bekend bij een handvol toplui bij "The Five Eyes": de NSA en zijn tegenhangers in het VK, Canada, Australië en Nieuw-Zeeland.

Uit de budgetaanvragen van James R. Clapper Jr., directeur van de nationale inlichtingendienst: "We investeren in revolutionaire crypto-analytische werktuigen om de cryptografie van tegenstanders te verslaan en het internetverkeer uit te buiten." 

En verder poogt de NSA "buitenlandse IT-bedrijven heimelijk te beïnvloeden of ronduit te dwingen om de ontwerpen van hun commerciële producten door de VS te laten uitbuiten."

Ook zegt Clapper dat de systemen wel intact lijken te zijn voor "de gebruiker en andere tegenstanders." Dat leest u goed.

Verscheidene bedrijven zeggen gedwongen te zijn door de overheid om de masterkeys van hun encryptiecodes te overhandigen of om achterpoortjes te installeren.

In één geval leerde de NSA dat een buitenlandse inlichtingendienst chips had besteld bij een Amerikaans bedrijf. Dat bedrijf werd toen door de NSA benaderd om eerste achterpoortjes in hun chips te installeren, onder gerechtelijk bevel.

Veiligheid

De NSA heeft twee taken in de VS. De ene is datavergaring en dat doet ze dus met verve. De andere is echter het encrypteren van geheime data van de VS zelf en daar wringt het voetje.

Wanneer een systeem of een chip namelijk een achterpoortje heeft, is de NSA niet noodzakelijk de enige die er gebruik van maakt. De NSA staat de ontwikkeling van waarlijk onontcijferbare codes, een van haar eigen taken, in de weg, omdat ze die dan niet kan misbruiken. 

Microsoft, Google, Yahoo, Facebook

Het lijstje van data dat de NSA nog dit jaar hoopte binnen te halen oogt indrukwekkend: een ongenoemd groot online telefoon- en berichtendienst, een internetprovider uit het Midden Oosten en de communicatie van minstens 3 buitenlandse mogendheden. 

Ook Microsoft werd door de overheid geforceerd. Zij leverden aan de NSA en hun Key Provision Service pre-encryptie toegang tot Outlook, Skype en Skydrive (hun cloudstorage programma). Microsoft reageerde ondertussen en meldde dat het bedrijf "slechts de wet volgde", al waren er in sommige instanties duidelijke tekenen van dwang. Ook Google, Yahoo, Facebook en AOL komen in het gedrang.

De topman van Lavabit, een e-mailservice die liever de boeken toedeed dan toegeven aan de druk van de overheid, meldde ondertussen dat men, als men zijn gegevens geheim wilt houden, er goed aandoet geen services te gebruiken die worden geleverd door Amerikaanse bedrijven.

Deze nieuwssite is niet-commercieel, onafhankelijk en 100% gratis dankzij uw steun. We rekenen op uw fair share. Maandelijks, Jaarlijks, Eenmalig. Giften vanaf 40 euro zijn fiscaal aftrekbaar.

reacties

3 reacties

  • door danielverhoeven op zaterdag 7 september 2013

    Als je de NSA wil jennen en jezelf wil beschermen kan je enkele maatregelen nemen: (1) Verberg jezelf op het netwerk, gebruik Tor (2) Versleutel je communicatie. TLS of IPsec (3) Gebruik een lucht gat. Als je werkelijk iets belangrijk te verzenden hebt, versleutel het op een computer die permanent los staat van internet. Zo omzeil je het gevaar dat je computer zelf gecompromiteerd is (4) Gebruik geen commerciële versleutelings software, zeker niet van grote firma's (5) Gebruik public domain encriptie: TLS, GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit.

    Vrij naar: http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance

  • door froels op zaterdag 7 september 2013

    De NSA beschikt over 250 miljoen dollar per jaar; en gaf in het verleden al miljarden uit. Ze verkrijgt de medewerking van alle grote internetbedrijven (Microsoft, Google...). http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?pagewanted=all&_r=1&

  • door froels op zondag 8 september 2013

    Commentaar door David Meyer op Bloomberg Business Week: "Stomzinnige NSA, jullie hebben ons allen onveilig gemaakt". Door het inbouwen van achterpoorten in beveiligingssystemen, staan ze nu wijd open, en behalve Snowden hebben vele anderen er toegang toe – alleen zeggen ze het niet, en de NSA weet het zelf niet. http://www.businessweek.com/articles/2013-09-06/dear-nsa-thanks-for-making-us-all-insecure#r=rss

Het is niet langer mogelijk om te reageren.

Lees alle reacties