Computergegevens buitenshuis bewaren is modern. Opslag in the cloudkost haast niks en maakt dat al je apparaten in een oogwenk synchroon lopen. Nooit meer je adresboek van computer naar mobieltje kopiëren, nooit meer piekeren met welk apparaat je die nieuwe afspraak ook alweer in je agenda had gezet, op welke machine de meest recente versie staat van dat stuk waaraan je werkt.
Hoewel ik de verleiding snap – alles uitbesteed, geen omkijken naar, synchronisatie ingebouwd en backups voor een kleine meerprijs inbegrepen – ben ik er wars van. Je geeft alle zeggenschap ermee uit handen.
Wanneer zo’n dienst met een storing kampt of je internetverbinding plat ligt, kun je subiet nergens meer bij. Doe mij maar lokale bestanden en zelfbeheer, temeer daar dat – tegen de kleine prijs van verstandig synchroniseren en dagelijks backuppen – een fundamentele bescherming oplevert die elders niet is te krijgen.
Tegenwoordig horen we dagelijks over databases die onbedoeld open staan, over bestanden die eenvoudig door buitenstaanders te raadplegen, te kopiëren en te wissen zijn. Zou dat ons niet voorzichtiger moeten maken om onze privégegevens – inclusief onze contacten en ons werk – ergens in the cloud te plempen?
We hebben geen idee meer waar onze privédata allemaal belandt. Het merendeel van de cloudservers staat in de Verenigde Staten. Soms ook is het cloudbedrijf Amerikaans maar staan hun servers elders, meestal zonder dat duidelijk is waar.
De verantwoordelijkheid voor en bescherming van die gegevens is zodoende een ratjetoe: een lappendeken met overal juridische gaten. Wie moet je aanspreken als er iets is? Welk recht geldt voor welke gegevens, en voor welke opslaglocaties? De Amerikaanse overheid kan tegenwoordig van alles over Nederlandse burgers opvragen, verwerken en opslaan zonder dat onze eigen wetten daaraan te pas komen. Zodra je gegevens op Amerikaanse servers staan, geldt immers Amerikaans recht.
Overheden maken inmiddels behendig gebruik van elkaars juridische zwakheden om lokaal hun burgerrechten te omzeilen. Of ze hollen nationale grondrechten uit, pruilend dat de gewenste inbreuk elders wél is toegestaan. Zou de VS zich via een sluipweg toegang verschaffen tot de banktransacties van alle Nederlanders, dan zou Nederland niet protesteren over die botte buitenlandse schending van de rechten van haar burgers. Nederland zou zeggen dat die optie hier helaas ontbrak en dat de noodzaak ervan nu terdege was aangetoond. Daarna werd de inbreuk ook hier tot recht verklaard.
Gegevensbeheer is internationaal geworden. Grondrechten daarmee ook.
Dit stuk stond eerder in Parool
Reacties (32)
De Amerikanen hebben al inzicht in alle banktransacties.
Overigens denken mensen bij ‘de cloud’ vaak aan iets nieuws, aan het extern opslaan van hun foto’s en documenten, maar vergeten ze even dat ze via hun Gmail, Facebook, Flickr, blogs etc. de meeste gevoelige data al lang uit handen hebben gegeven. De cloud is daarmee al lang geaccepteerd gemeengoed.
Ik bewaar mijn data ook buitenshuis.
Een USB stick onder stoeptegel in tuin.
Veiliger kan niet.
Afhankelijk van je systeem. Ik sla ook buitenshuis op via (mac) filevault met 128-bit AES encryptie. Niet te kraken, prive.
larie: “Niet te kraken, prive”
…en de beheerders van die kluis dan? Als er miljarden in omgaan (toegang tot persoonlijke data) en nationale veiligheid op het spel staat? Hoeven zelfs niets te kraken…
Als je zelf de spullen versleuteld voordat je ze in de kluis deponeert, dan kan de beheerder van de kluis er niets mee.
AES (128 of 256-bit) is goed genoeg om miljardenbedrijven en veiligheidsdiensten het nakijken te geven.
hebt versleuteld, of versleutelt…
O ja?
Ja.
O.
Dus NIST (waar kwam dit instituut ( AES) ook alweer vandaan?) is b.v. net zo betrouwbaar als zeg eh…S & P?
*helaas iets teveel boekjes over gelezen*
Ik weet niet welke boekjes je bedoelt, kan je daar iets over zeggen?
De betrouwbaarheid van AES/Rijndael is in elk geval niet afhankelijk van de betrouwbaarheid van het NIST. Het algoritme is openbaar, de meest gebruikte software is open source. De enige rol van het NIST t.a.v. AES is dat ze het hebben verklaard tot encryptiestandaard voor gebruik door de Amerikaanse overheid. Dat lijkt me een aanbeveling.
Als je er meer van wil weten dan weet je de weg naar de encyclopedie vast te vinden ;-)
Bedoel, ben van nature vrij ongeduldig en raak snel in paniek als “mijn orde” in het gedrang dreigt te geraken maar op (deze) naïviteit heb ik me nog nooit kunnen betrappen..
Hep meelij met de Goedgelovigen…PLEASE.
Onder het motto Ik heb niks te verbergen ben verslaafd aan het gemak mijn veiligheid wordt door de overheidsinstanties gegarandeerd (met allerlei certificaten en “Veilig Beter- icoontjes”).
Ondertussen prooi van het Commercial Security Complex.
Jazeker.
Wat je hier zegt komt ook voor maar heeft in elk geval niets met AES te maken. Als je het, nogmaals, in eigen beheer doet, dus niet uitbesteedt.
Als je encryptie gaat uitbesteden of centraliseren dan moet je kunnen vertrouwen op de partij die dat voor je doet. En daar zal inderdaad de schoen gaan wringen.
Terzijde: Waar dat toe kan leiden hebben we o.a. ook gezien met Diginotar. Het hele commerciële certificatencircus om maar ikoontjes en slotjes in webbrowsers te krijgen is inderdaad zo rot als een mispel.
Maar dit gaan de CIA, FSB, Mossad, MI5/6, VEVAK, Rijksrecherche e.d. in mijn tijd van leven echt niet kraken:
(binair bestand, vandaar hexdump)
0000000 4541 0253 0000 4318 4552 5441 4445 425f
0000010 0059 6561 6373 7972 7470 3320 302e 0035
0000020 0080 0000 0000 0000 0000 0000 0000 0000
0000030 0000 0000 0000 0000 0000 0000 0000 0000
*
00000a0 0000 fe00 1a70 dcb7 eeba b791 4c73 318d
00000b0 fe7d d6fe ceb1 364a dd30 91e7 1f59 4850
00000c0 806f 1242 66a3 e1b6 faa9 a8e3 9518 971b
00000d0 e916 e61b d36a 0ff8 0ad3 6bfd 5bfc d39e
00000e0 8756 ef75 7fd8 9247 c24c 29ea 71b2 bb69
00000f0 f000 b403 3096 5908 eea7 17b4 f16c b8d8
0000100 2697 72e9 925b 5fa8 e0ac f022 615a b7ef
0000110 cc92 9c76 c589 6e7f d1c4 a351 826b 1b41
0000120 7be2 0635 708d 3685 33e5 05eb a81a 8317
0000130 d597 806c 8f6d 885f daf9 5f63 dcd5 3d20
0000140 08cc f143
0000144
Tenzij ik een zwak wachtwoord zou hebben gebruikt, of dat wachtwoord heb laten slingeren, of men me net zo lang op mijn nieren en lever slaat tot ik het wachtwoord zelf prijsgeef.
Als je encryptie gaat uitbesteden of centraliseren dan moet je kunnen vertrouwen op de partij die dat voor je doet.
Wij weten niet onder welke voorwaarden en clausules AES/Rijndael e.e.a. heeft afgegeven…
Is er een prijsvraag na de prijsvraag?
En of jouw bestand wel of niet te kraken is zal je nooit te weten komen…
Die voorwaarden en clausules zijn in dit geval niet zo relevant. Het algoritme is openbaar, en wordt door onafhankelijke softwaremakers geïmplementeerd. Dat gaat dus volledig buiten de Amerikaanse diensten om.
Boekjes? Ach ja, dat gaat eigenlijk al terug tot Ceasar via Napoleon tot Hoover en CIA. Who rules, who benefites..
dat ze het hebben verklaard tot encryptiestandaard voor gebruik door de Amerikaanse overheid. Dat lijkt me een aanbeveling.
Vind je het erg dat ik nu m’n bakkes nu verder ff hou?
Vind je het geen aanbeveling dan? De CIA (en andere boeven) vinden AES blijkbaar sterk genoeg om er hun eigen geheimen mee te beveiligen. Dan vind ik het ook sterk genoeg om er mijn geheimen mee te beveiligen.
Olav’s profiel en sporen op het www zijn voor mij een peuleschil daar lach ik om (simpelfonds i.c. provider is ook maar een handelaar in bits en bandbreedten) en gekoppeld aan de broncode van zijn besturingsprogramma kan ik letterlijk elke toetsaanslag herleiden naar zijn diepste geheimen…
Olav’s is slaaf van mijn Wil.
Nu spreek je geheimtaal (ik kan je niet meer volgen…).
Jammer dat de techniek je blijkbaar niets kan schelen. Dat zou misschien misverstanden kunnen voorkomen.
Paranoia is natuurlijk een goed uitgangspunt als het om encryptie e.d. gaat. Maar daarnaast is het wel zo fijn om iets te weten over de reële mogelijkheden en onmogelijkheden.
Ja, oke oke. Dat is 1 van mijn vele nare trekjes. Sorry. Ik kan het b.v ook niet nalaten als ik zo’n “put” zie (je kent dat wel, wekenlang opbrekingen gas- of elektraleiding, waar dan een 5- tal “jongens van de houtzagerij” druk scheppende zijn en dampende koffie) om dan met een soort van wezenloze blik minutenlang in de diepte te staren. Die gasten vervolgens zenuwachtig naar boven kijken “Wwat mot je nou joh”…en dan met het belerend vingertje “Prima dat herstel ik kook ook graag op gas…MAAR DIE PUT IS VANAVOND DUS WEL DICHT HE!..en dan rustig weer wegrijden.
Maar bij een code hoort een sleutel en die hangt aan/ een iemands sleutelbos en een mens is ook maar een mens…
Ik kan verder niks bewijzen, ik vertrouw puur op me instinct.
Dat instinct moet je niet verliezen. Beter zo dan altijd maar vertrouwen dat het wel goed zal zitten, zoals veel softwaregebruikers zich laten inpakken met mooie knopjes en plaatjes om op te klikken.
Verder is de grap bij AES is dat je zelf de sleutel in handen hebt. Je tikt bijvoorbeeld het volgende in:
aescrypt -e -p Hetwaseenmooiedaginmei -o versleuteld.aes teversleutelen.txt
“Hetwaseenmooiedaginmei” is dan je sleutel. Dat zal natuurlijk bij serieuze toepassingen een veel langere en moeilijker te raden/kraken string zijn. Hoe met die sleutel en het te versleutelen tekstbestand een versleuteld bestand wordt gemaakt, dat is het AES-algoritme, en daar is niets geheimzinnnigs of verdachts aan. De wiskunde die daar achter zit en de broncode van de programma’s is allemaal openbaar en onderhevig aan peer review. En dat is de reden dat je er toch vertrouwen in kunt hebben, ook al zou je niet zelf in de wiskunde duiken.
“Hetwaseenmooiedaginmei” lijkt me dus redelijk makkelijk te kraken. En een mooi voorbeeld waarom de theorie er zoveel anders uitziet dan de praktijk. De zwakke schakel is namelijk de mens die een sleutel of passwoord bedenkt. Die is lui en neemt de geboortedatum van zijn vrouw of de naam van de hond en een jaartal. Die gaat geen willekeurige reeks van 22 letter/cijfers onthouden. Of hij schrijft het ergens neer. Dat doet hij met zijn luie passwoord meestal ook al.
Theoretisch heb je gelijk.
Sjiek, natuurlijk kan het belang van sterke wachtwoorden niet overdreven worden. Toch is een lange zin al een stuk sterker dan een enkel woord. Als je dan hier en daar dan ook nog wat spaties verkeerd zet en een aantal letters vervangt door cijfers en leestekens, dan heb je een sleutel die met geautomatiseerde middelen eigenlijk niet achterhaald kan worden. Dan zou men “brute force attacks” moeten doen (rekenkracht er tegenaan gooien om alle mogelijke willekeurige reeksen te proberen) en juist dat is met AES gewoon ondoenlijk. Kost letterlijk miljarden jaren.
Het is voor de CIA dan inderdaad effectiever om je even onderhanden te nemen in Guantanamo Bay.
Hier ging het echter om het beschermen van je persoonlijke gegevens in de “cloud”. Als je je spullen onversleuteld op een voor jou onbekende server zet dan kan je inderdaad vermoeden dat vreemde diensten daar eenvoudig toegang tot hebben en daar scans op doen. Maar als je encryptie gebruikt dan lopen ze daarop vast, dan moeten ze dus wachtwoorden gaan raden of onderzoekers op je zaak zetten en dat is gewoon te kostbaar.
In elk geval zit er geen “achterdeur” in het algoritme waardoor ze vlug toegang kunnen krijgen. Ze zouden wel willen natuurlijk. Bij sommige commerciële producten was/is dat wel het geval. Verder is het gebruik van encryptie ook gewoon verboden in een aantal landen.
@28 Olaf
Dat begrijp ik inmiddels. Met rekenkracht kom je er niet. Dus staat en valt het met je sleutel. Hoe secuur ben je daarmee. En er zijn meer mogelijkheden dan Guantanamo Bay.
Maar – ik ben niet compleet para – je hebt gelijk. Denk ik dan nav deze discussie. Als je in de praktijk dicht bij de theorie blijft zit je goed.
En toch. Geef me de middelen van de CIA en ik kraak je de passwoorden van 9 van de 10 mensen. Door hun netgebruik en taal te analyseren. Door in hun priveleven te graven. Door relaties met ze aan te knopen. Door te manipuleren en te masseren. Stelen en bedriegen als het moet.
Sjiek, dat klopt. Maar als ze zulke dure recherchemethoden op je los gaan laten dan ben je blijkbaar al opgevallen op de één of andere manier. Als ondergrondse internetterrorist ben je dan al mislukt ;-)
Daar zit wat in. Alleen kom je dan (vanuit het onderwerp van het artikel) op het gebied van de profiling. Zolang je buiten het profiel blijft voldoet Ramona82 als passwoord.
Goedgekeurd door de CIA vind ik bepaald geen aanbeveling. Integendeel. Er zijn weinig zaken die meer alarmbellen doen afgaan.
Ze geven toe dat het met alle rekenkracht die op dit moment op planeet Aarde voorhanden is niet gekraakt kan worden, en dat het daarom veilig genoeg is voor Amerikaanse staatsgeheimen. Ik vind dat wel een aanbeveling.
Psychologisch werkt het zo dat iemand die zich veilig voelt slordig wordt. Technisch – met rekenkracht – is zijn passwoord niet te kraken. Maar de slordigheid wordt je fataal. Wie hergebruikt een sleutel niet? Of kiest niet een voor de hand liggende combinatie?
Als je werkelijk wat wil verbergen voor de CIA of de Prinsemarij of dergelijke boeven dan moet je je inderdaad nooit veilig voelen. De paranoia van Yevgeny is in zo’n geval volkomen terecht. Je mag nergens wat opschrijven, niets laten slingeren, geen sporen nalaten enzovoorts.
Het hele cloud gebeuren is gewoon het zoveelste business model, iets “nieuws” om geld mee te verdienen, whatever, gewoon ge/misbruiken ;)
Gratis 25GB opslag bij een hotmail account “Skydrive” en Truecrypte :) of Boxcryptor voor de cloud en zo zullen er vast nog meer te vinden zijn.
Upload is vaak het grootste probleem, parkeer eens even 15GB….