
Nieuwe HTTP-standaard krijgt encryptie ingebouwd
HTTP 2.0 moet encryptie gaan gebruiken om afluisterende overheden te dwarsbomen. De specificatie hiervoor verschijnt volgend jaar.
HTTP 2.0 moet encryptie gaan gebruiken om afluisterende overheden te dwarsbomen. De ingebouwde versleuteling is voorgesteld door de ontwerpers van de webspecificatie die zijn verenigd in de IETF.

Nieuwe HTTP-standaard krijgt encryptie ingebouwd
HTTP 2.0 moet encryptie gaan gebruiken om afluisterende overheden te dwarsbomen. De ingebouwde versleuteling is voorgesteld door de ontwerpers van de webspecificatie die zijn verenigd in de IETF.
Standaardengroep de Internet Engineering Task Force (IETF) gaat encryptie opnemen in de nieuwe HTTP-specificatie die volgend jaar vastgesteld wordt, schrijft de Financial Times. De groep praatte eerder deze maand in Berlijn over de toekomst van het web na de PRISM-onthullingen. Er is bij de IETF een enorme meerderheid vóór het opnemen van cryptografisch protocol TLS (Transport Layer Security) in de webstandaard.
Robuuster web
Met het oog op XKeyScore, de tool waarmee de NSA internetverkeer tapt, is de organisatie erop gebrand om het web robuuster te maken om dergelijk tappen te bemoeilijken. HTTP-verkeer bevat een hoop persoonlijk identificeerbare informatie, stelt de IETF (PDF). Het is nu té eenvoudig om dit verkeer van punt naar punt te onderscheppen terwijl het onderweg is op internet.
Servers moeten daarom HTTPS implementeren voor gevoelige gegevens, maar dat is volgens de organisatie nog niet genoeg. De werkgroep TLS binnen de IETF moet voor een oplossing zorgen. Ook kijkt de standaardenorganisatie naar het open source webprotocol SPDY dat ook TLS-encryptie gebruikt en aan de basis komt te staan van HTTP.
Vroeg stadium
HTTP 2.0 moet sneller werken dan het oude protocol. Een eerste draft is vorig jaar al verschenen. De uiteindelijke versie staat gepland voor 2014. De groep voorziet wel nieuwe issues bij het verwerken van encryptie in de kern van het protocol. Daarom moet er goed worden overlegd met de werkgroep en met standaardenorganisatie W3C (World Wide Web Consortium) voor het nieuwe ontwerp.
“Een gebrek aan encryptie in het web is een kwestie van leven of dood”, zegt IETF-lid Mike Belshe tegen de Financial Times. Het plan verkeert nu in een vroeg stadium en moet nog uitgebreid worden besproken met andere organisaties en webontwerpers. Pas daarna kan er een sluitend plan komen voor TLS ingebouwd in HTTP 2.0.
Roep om hervorming
Webprivacygroepen roepen ook dat het tijd is om het web te hervormen. Onder meer de World Wide Web Foundation van webvader Tim Berners-Lee waarschuwt dat het vrije internet in gevaar is en dat er daarom iets moet veranderen in de status quo.
“De erosie van online privacy gebeurt op hoge snelheid door het grootschalige afluisteren en als we niet direct stappen zetten om te hervormen, wordt het idee van vrije en veilige online communicatie een voetnoot in de geschiedenisboeken”, stelt een brandbrief van onder meer de digitale burgerrechtenorganisatie Article 19 en de organisatie van Berners-Lee.
De NSA heeft niet alleen de VN afgetapt, maar ook de encryptie gekraakt.
De NSA is niet te vertrouwen, ondanks dat er afspraken tussen de VN en Amerika zijn dat ze niet bespioneerd worden, doen ze het toch. Tuig is het.
Tja, en inplaats van gewoon AL het verkeer op te slaan en te kunnen doorzoeken, moeten ze dan ineens gericht sleutels gaan opvragen om speciafiek door jouw data heen te zoeken.
Dat is toch echt wel een groot verschil.
Natuurlijk moet je je wel afvragen of ze perse een sleutel nodig hebben om wat comunicatie te decrypten. Echter het hele internet verkeer zonder sleutels decrypten gaat ze nooit lukken.
Super goede stap!
zwoop == Dan maken ze gewoon een wet die het verplicht om op eerste verzoek je sleutels af te geven aan de NSA en ben je nog geen stap verder als normale burger. == dat WEET je tenminste dat je afgetapt wordt. Dat is al winst!
Los daarvan is het afgeven van sleutels een zaak waar rechters en politiek zich voordien over moeten uitspreken. Dan weet je tenminste waar je aan toe bent.
Leuk idee, maar... als je ziet dat de NSA ook al versleutelde VN-conversaties heeft afgetapt, hoe veilig is die standaard-encryptie van HTTP/2.0 dan? Dan maken ze gewoon een wet die het verplicht om op eerste verzoek je sleutels af te geven aan de NSA en ben je nog geen stap verder als normale burger. Terwijl de criminele nog steeds slecht vindbaar zijn en dus in de praktijk hun sleutels niet zullen afgeven. Heel dat tap- en antitap-gedoe maakt de wereld er niet veiliger op. Overigens heeft Snowden daar met al zijn acties totaal geen invloed op, en is dit dus niet iets wat hem verweten zou kunnen worden. He's just stating the obvious.
Reageer
Preview