Nieuwe Britse spionagewet zal geen encryptieverbod inhouden - update

De Britse minister van Binnenlandse Zaken Theresa May zegt dat verschillende omstreden onderdelen uit het nieuwe spionageplan van de Britse overheid zijn vervallen. Eerder zei de minister van internetveiligheid al dat er geen verbod op encryptie komt.

De overheid realiseert zich volgens de Britse minister van internet safety and security Baroness Shields dat sterke encryptie een essentiële rol speelt. "De overheid is geen voorstander van en eist ook niet dat er backdoor-keys komen of dat de beveiliging van internetapplicaties of diensten verzwakt worden", zei ze vorige week tegen de House of Lords. Ook de Britse minister van Binnenlandse Zaken Theresa May noemt encryptie belangrijk voor mensen, al zegt ze dat autoriteiten wel zoekbevelen moeten kunnen uitvoeren.

De BBC schrijft over hierover naar aanleiding van een interview met May. De minister wil wel een bewaarplicht van een jaar invoeren bij providers. Dat houdt in dat providers moeten bijhouden welke sites door mensen worden bezocht. De data zou moeten bestaan uit een basisinternetadres en niet de volledige surfgeschiedenis binnen de site of welke zoektermen gebruikt zijn. Dat zou betekenen dat duidelijk is dat iemand bijvoorbeeld tweakers.net heeft bezocht, maar niet welke pagina's binnen dat domein.

De aanpassingen aan het wetsvoorstel komen onder andere nadat verschillende 'controversiële punten' van een plan uit 2012 door 'mensen uit de sector' en 'burgerrechtenbewegingen' waren aangevochten. Om bewaarde informatie te mogen inzien, moet eerst een bevel via een rechter uitgevaardigd worden. Op dit moment ligt deze macht nog bij het ministerie van May.

Verschillende hooggeplaatsten bij de Britse veiligheidsdienst hebben gezegd dat er in de afgelopen maanden veel waarschuwingen zijn geweest over de gevaren die terroristische organisaties online vormen. In een speech van afgelopen week gaf MI5-voorman Andrew Parker aan dat het Verenigd Koninkrijk onder dreigingen gebukt gaat 'op een schaal en met een snelheid die nog niet eerder gezien is'.

Shami Chakrabarti, Hoofd van de Britse burgerrechtenbeweging Liberty, zei dat het 'normaal' is dat er eerst om de meest 'buitensporige, zelfs onpraktische mogelijkheden wordt gevraagd, zodat de kleinste zogenaamde concessie het al meer redelijk laat lijken'. Vooral de mogelijkheid om af te dwingen dat persoonlijke communicatie wordt verzameld zonder dat daarvoor eerst een rechterlijk bevel wordt afgegeven, is Chakrabarti een doorn in het oog.

Update, dinsdag 17.00: De tekst is aangepast op basis van eerdere uitspraken minister van internet safety and security. Uit de uitlatingen de Britse minister van Binnenlandse Zaken tegen de BBC kon namelijk niet opgemaakt worden dat er geen encryptieverbod zou komen.

Door Krijn Soeteman

Freelanceredacteur

02-11-2015 • 14:01

43

Lees meer

Reacties (43)

43
41
37
5
0
0
Wijzig sortering
Shami Chakrabarti, Hoofd van de Britse burgerrechtenbeweging Liberty, zei dat het 'normaal' is dat er eerst om de meest 'buitensporige, zelfs onpraktische mogelijkheden wordt gevraagd, zodat de kleinste zogenaamde concessie het al meer redelijk laat lijken'.
Daar lijkt het hier inderdaad wel op. Een encryptieverbod is ronduit belachelijk en zal in de praktijk ook nooit een haalbare zaak zijn. Daarvoor is encryptie op dit moment al veel te veel ingeburgerd. Het is zelfs goed mogelijk dat je gebruik maakt van encryptie zonder dat te beseffen, als je bijvoorbeeld je bestanden opslaat in de cloud zal daar vrijwel zeker encryptie op toegepast worden.

Nu lijkt het net alsof ze heel redelijk zijn door encryptie toe te laten, terwijl de UK wetgeving juist weinig redelijk is op het gebied van encryptie. Ze hebben de verplichting om wachtwoorden af te staan als de politie daar om vraagt en zetten regelmatig iemand achter de tralies als daar geen gehoor aan wordt gegeven.
In het VK moet je je sleutel al afgeven wanneer de overheid daar om vraagt op straffe van een gevangenisstraf van max 2 jaar. Dat is al belachelijk (aangezien je eerst ergens verdacht van moet worden, en je als je dan gedwongen bent om je sleutels af te geven je meewerkt aan je eigen vervolging), en zo'n spionagewet borduurt daar op voort.

In de filmdocumentaire Citizenfour bleek dat GHCQ, itt NSA, de capaciteit heeft alle data op te slaan (het werd iets anders bewoord). Iets waar de NSA jaloers op zou zijn.

En dan heb je nog al deze projecten: https://theintercept.com/gchq-appendix

[Reactie gewijzigd door Jerie op 26 juli 2024 10:37]

Anoniem: 647586 2 november 2015 14:14
Encryptieverbod: bedoelen ze dan wachtwoorden in plain text opslaan zoals 000webhost heeft gedaan (en wat een geweldig idee was)? Of bedoelen ze dan encryptie van files op je computer? In mac staat encryptie standaard aan dacht ik? Of bedoelen ze encryptie via SSL (lekker via http bankverichtingen en er van uit gaan dat MITM attacks niet bestaan)? Wifi verbindingen (elke scriptkid kan dan via wireshark je traffic zien)? VPN verbindingen (merendeel van de mensen werken vanuit thuis over een VPN)?
Volgens mij kunnen ze dit praktisch ook niet. Dan stort letterlijk de digitale wereld in, daar in de UK. "encryptieverbod" is een groot woord...

[Reactie gewijzigd door Anoniem: 647586 op 26 juli 2024 10:37]

Encryptieverbod: bedoelen ze dan wachtwoorden in plain text opslaan zoals 000webhost heeft gedaan (en wat een geweldig idee was)? Of bedoelen ze dan encryptie van files op je computer? In mac staat encryptie standaard aan dacht ik? Of bedoelen ze encryptie via SSL (lekker via http bankverichtingen en er van uit gaan dat MITM attacks niet bestaan)? Wifi verbindingen (elke scriptkid kan dan via wireshark je traffic zien)? VPN verbindingen (merendeel van de mensen werken vanuit thuis over een VPN)?
Volgens mij kunnen ze dit praktisch ook niet. Dan stort letterlijk de digitale wereld in de UK. "encryptieverbod" is een groot woord...
Het gaat er om dat de staat wil mee kunnen lezen. Men wilde dus wettelijk afdwingen dat je er voor moet zorgen dat de staat er altijd bij kan. Ofwel door de sleutels aan de overheid te geven, ofwel door crypto met een achterdeur te gebruiken, ofwel door crypto te gebruiken die zo zwak is dat de overheid er door heen kan breken ofwel door helemaal geen crypto te gebruiken.
Daarbij ging het om alle vormen van crypto, dus ook WIFI, VPN, SSL, HTTPS en de files op je computer.

Het is nog net op tijd doorgedrongen dat dit enorme negatieve gevolgen zou hebben voor de econcomie.
Lijkt me een mogelijkheid voor een publiek protest door middel van een DOS/Spam attack:
Als er een tooltje is om willekeurige bestanden random te versleuten/zippen, en vervolgens iedereen tegelijkertijd ineens de wachtwoorden een voor een naar de regering mailt; zodat ze 15miljoen nederlanders * 100000 paswoord-mails tegelijk te verwerken krijgen?
Waarom zou je 15 miljoen wachtwoorden bij de overheid willen hebben??
Concreet kwam het erop neer dat je als verdachte verplicht was om je encryptiesleutels af te geven; als je daar niet aan mee zou werken, dan zou dat een op zichzelf staand strafbaar feit zijn waar een maximumstraf van enkele jaren gevangenisstraf tegenover stond.

...Dat dacht ik tenminste, maar dat blijkt dus al een bestaande wet in werking te zijn. (aldus wikipedia)

[Reactie gewijzigd door KarmaniaK op 26 juli 2024 10:37]

Concreet kwam het erop neer dat je als verdachte verplicht was om je encryptiesleutels af te geven; als je daar niet aan mee zou werken, dan zou dat een op zichzelf staand strafbaar feit zijn waar een maximumstraf van enkele jaren gevangenisstraf tegenover stond.
Dit heb ik dus nooit begrepen. Met deze wet kunnen ze dus willekeurige mensen voor jaren in de bak gooien, want als je de sleutel niet weet is encryptie niet te bewijzen. Ik heb een versleutelde partitie op m'n harddisk, maar deze bevat volkomen gibberish als je de sleutel niet hebt. Het kan dus netzogoed zijn dat ik de partitie net geshred of geformatteerd heb. Hoe kunnen ze in vredesnaam bewijzen dat dit een versleutelde partitie is en, nog sterker, dat ik daar het wachtwoord van moet weten? Wat nu als een hacker deze partitie heeft aangemaakt? Of ik de harddisk tweedehands heb gekocht en het er al zo op stond?

Het kan nog sterker: Ik heb een paar hele oude versleutelde bestanden waar ik het wachtwoord echt niet meer van weet. Ik bewaar de bestanden voor als me het wachtwoord ooit nog te binnen schiet. Dus dan ben ik strafbaar? Wat een kolderwet...

[Reactie gewijzigd door PhilipsFan op 26 juli 2024 10:37]

Zorg dan dat je er deze punten goed aandraagt bij je volksvertegenwoordigers, want Plasterk staat ook op het punt om een dergelijke wet in te voeren met ontsleutelplicht.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 10:37]

Nee, dat is al sinds 2007 het geval [Wikipedia]. Volgens mij brengen ze dit nu als een genereus gebaar naar de burgers en proberen ze in ruil daarvoor meer acceptatie te krijgen voor de verplichting om sleutels/wachtwoorden af te dragen.

Ik lees in het artikel zoiets als 'we zien op dit moment de noodzaak van het verbieden van encryptie niet in en denken dat het aanscherpen van de huidige maatregelen zal volstaan.'
De data zou moeten bestaan uit een basisinternetadres en niet de volledige surfgeschiedenis binnen de site of welke zoektermen gebruikt zijn.
Wat ook steeds lastiger wordt, omdat steeds meer sites SSL/TLS implementeren.

Overigens is het niet zo dat de betrokken politici/bestuurders opeens naar burgenrechtenorganisaties luisteren. De reden dat encryptie niet verboden wordt is puur economisch: bedrijven zouden dan niet meer hun bedrijfsgeheimen kunnen bewaren.

Er was ook al eens een Amsterdamse officier die zoiets voorstelde. Dit soort mensen zouden de eerste moeten zijn die verplicht een digitaal vaardigheidsbewijs zouden moeten halen. Zonder spuien deze machtsfiguren kreten die veel gevaarlijker zijn voor de samenleving dan terroristische aanslagen.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 10:37]

[...]
Wat ook steeds lastiger wordt, omdat steeds meer sites SSL/TLS implementeren.
Dat klopt niet, zelf met encryptie door SSL/TLS kun je gemakkelijk het basisinternetadres uitlezen.

EDIT:
Ik snap niet waar al deze reacties vandaan komen. Begrijpend lezen: "De data zou moeten bestaan uit een basisinternetadres en NIET de volledige surfgeschiedenis binnen de site of welke zoektermen gebruikt zijn." Dit is dus met of zonder encryptie sowieso uit te lezen.

[Reactie gewijzigd door stuiterveer op 26 juli 2024 10:37]

Het enige wat je kan uitlezen is het IP adres. Dit is leuk wanneer achter een IP adres maar 1 domein zit. Van zodra er meerdere domeinen op 1 IP zitten kan je dus al niet meer achterhalen aan de hand van deze metadata welk domein men bezocht heeft. Dan moet men bij de beheerder van de server gaan aankloppen en vragen om de logs te overhandigen.

De vraag voor een bepaald domein (al dan niet met subdirs, paramaeters, ...) zit vervat in de header die naar een server word gestuurd en deze word netjes mee geencrypteerd in de https sessie.
Nu lees ik het inderdaad ook (tip voor andere mensen: http://stackoverflow.com/.../are-https-urls-encrypted), dan was dit voor mezelf niet duidelijk. Bedankt voor de toelichting!
Met IPv6 zou het mogelijk zijn om iedere verbinding, iedere URL en iedere file z'n eigen unieke IP-adres(sen) te geven, dan wordt het helemaal makkelijk om precies bij te houden wat er door wie wordt bezocht.
Het adres wel, maar de content niet.
Dat klopt, al werd in het artikel specifiek het internetadres genoemd:
De data zou moeten bestaan uit een basisinternetadres en niet de volledige surfgeschiedenis binnen de site of welke zoektermen gebruikt zijn.
Bob heeft 2 priemgetallen, p * q, Vanuit deze p en q vormt een N (p * q), een M (kgv (toitient P, totient Q)), een R en een S (R * S, mod M) = 1. Alice stuurt hem een bericht met delen van de sleutel, namelijk N en R verkregen van Bob.

Hier komt Frank. Frank kan het basisinternetadres zien, als dat al iets is, WOW. Verbinding gekraakt inpakken.

Het doel van SSL/RSA/etc... is niet het verbergen van de locatie. Het verbergen van de locatie is hetzelfde als het onbenaderbaar maken van een locatie. Als er geen algoritme is om de locatie te bepalen, is het namelijk niet mogelijk om er toegang tot te verkrijgen. Je kunt het alleen veel moeilijk maken. Je wilt dat de inhoud verborgen is. Je mag de vooordeur van het huis zien, maar de gordijnen blijven dicht.
In dit geval ging het specifiek om de reactie van The Zep Man. Hij gaf aan dat het volgende:
De data zou moeten bestaan uit een basisinternetadres en niet de volledige surfgeschiedenis binnen de site of welke zoektermen gebruikt zijn.
niet zou gaan omdat:
steeds meer sites SSL/TLS implementeren.
Dit klopt dus niet, zelfs met encryptie kun je nog altijd het internetadres aflezen.
Anoniem: 334725 2 november 2015 14:39
Ongelooflijk dat dit überhaupt ten discussie kwam.
Volgens mij doen ze dit bewust om eerst een "extreme" wet voor te stellen om erna een afgezwakte versie alsnog toe te passen.
Dat is altijd al de tactiek geweest om dingen er doorheen te drukken, dat zal altijd zo blijven. Helaas zien weinig mensen er doorheen.
Ergens ook de techniek van onderhandellen: vraag altijd eerst zo veel mogelijk en probeer dan tot een aanvaardbaar compromis te komen.
Het enige dat ze hiermee bereiken is dat de gemiddelde Henk en Ingrid op een zwaar beveiligde VPN verbinding terecht komt waardoor ze uiteindelijk helemaal niets meer kunnen monitoren. Het continue dataminen van gegevens die uiteindelijk dus gewoon tegen je gebruikt kunnen worden is een groot gevaar. Voor de gemiddelde internetgebruiker is iets als Popcorn Time nog iets onschuldigs, maar nu er potentiële boetes komen is men ernstig verbaasd dat dit allemaal zo goed te achterhalen valt.

Mensen beseffen niet dat zaken die nu nog legaal zijn dat over 5 jaar misschien helemaal niet meer zijn. Alle data die van je verzameld wordt kan (en zal wellicht) tegen je gebruikt worden. De enige oplossing zijn het gebruik van veilige DNS-servers in combinatie met een goed beveiligde VPN zonder logging.
Maar een VPN tunnel moet ook ergens op het open internet uitkomen. En waar wou je dit doen? Weinig landen waar nog niets gemonitord wordt.
Ze eisen gewoon de encryptie sleutels of ze maken je kapot, is idd geen verbod. Lees dit maar eens.
http://lavabit.com/
Anoniem: 85014 @Manke2 november 2015 17:30
Mijn luks volume is encrypted d.m.v. key die op een bepaalde offset op een microSD staat. Zelf klein scriptje voor geschreven. Dat scriptje zal je alles over die offset en het device vertellen maar niet het device of de key er op geven. Ik heb dus geen passphrase meer staan in m'n keyslots. Passphrases won't work.

Wanneer ik onraad ruik gaat die microSD in de fik. Dus zelfs met een ijzeren $5 moersleutel klop je zo'n lange key niet uit mij uit. Verbrand is die microSD zijn informatie kwijt, en zal mijn harddisk encrypted blijven. Ik ken de key zelf niet.

Ik was nu enkel nog aan het denken om de screenlocker en (de)hibernation zo aan te passen dat de ingeladen key ook uit het geheugen (van LVM en/of de kernel) gaat en LVM gedurende die tijd tijdelijk alle I/O naar de encrypted volumes freezed (bv. de screenlocker en gdm2 binaries zelf d.m.v. ramdisk of vanaf een unencrypted volume draaien, etc). Dan zou microSD er terug in moeten om screen te kunnen unlocken (en luks terug haar beminde key te geven). Ik moet er alleen is tijd voor maken om dat in elkaar te steken allemaal i.p.v. me alleen maar druk te maken om de security van wat worddocumenten met m'n facturen in en wat E-mails :-). Ik denk dat dat het grootste probleem is: opensource developers hebben te weinig te verbergen.

Spijtig dat lavabit dus wel hun keys nog ergens in backup had. Deze tijden doe je dat best niet meer.
Dit soort voorstellen zijn toch echt veel gevaarlijker dan het "terrorisme" wat zij zogenaamd zouden bestrijden. Wat mij betreft maken we een wet die alle schending van enige privacy verbiedt, tenzij er tastbaar bewijs is ( te beoordelen door een rechter) dat er levens direct in gevaar zijn. Privacy is een vorm van vrijheid die simpelweg niet afgepakt mag worden.
Mensen beseffen dit pas wanneer ze het stukje bij beetje steeds meer kwijtraken. Daarom ben ik stiekem blij met dit Popcorn Time debacle waarin iedereen opeens bang is geworden voor een boete. Nu is het nog wat onschuldigs, straks is het een politieke kwestie. Toen de Joden op de ponskaartjes hun religie neerzette wisten zij immers ook niet dat ze een aantal jaren later in Auschwitz terecht zouden komen.

Moet wel zeggen dat Snowden heel wat mensen en bedrijven bewust gemaakt heeft. Dat is echt een rots in de branding momenteel. Nog niet genoeg, maar wel een hele goede stok achter de deur om mensen te overtuigen van de realiteit. Bovendien zie je een hele positieve vooruitgang met HTTPS en encryptie in het algemeen.
Ik vind de UK echt een enorm eng land. Heel dicht tegen een politiestaat. heel weinig vrijheden.
zoveel dingen die ze verbieden.
Sowieso is encryptie of wachtwoorden moeten afstaan heel moeilijk te integreren in onze en ik hoop ook in elke andere maatschappij(zoals UK). Niet meewerken aan je eigen proces is en het recht om te zwijgen zijn basis vrijheden. Daarnaast is het de vraag of je alle wachtwoorden kan weten of kan herinneringen. Bijv. een rar bestand of encryptie op een website of cload service.
Engeland is zeer eng, alleen al de camera's op iedere hoek van de straat. Was er vorig jaar, zelf in hele kleine dorpjes in Schotland hangen ze overal. Je gaat er gewoon op letten automatisch. En wie bekijkt al die non data. Er is zo een grote drang naar data verzameling dat ze niet eens weten hoe ze het moeten sorteren op nuttigheid.
Verbod op encryptie of niet, daar zou ik écht niet naar luisteren. Als ze zo nodig in mijn gegevens willen kijken, gebruiken ze maar wat 'force'. Boete of niet.
Anoniem: 319464 2 november 2015 17:45
Ik las laatst weer eens het boek Vaderland (Fatherland) van Robert Harris.

Hitler die 2e wereld oorlog 'won' en speelt zich af in 1964. De samenleving die geschetst wordt lijkt een beetje wat ze met zulke wetten creeeren. Daar moest ik meteen aan denken, gelukkig kan de drang tot vrijheid nooit ingeperkt worden en een mens zal samen strijden om zulk onrecht ongedaan te maken.

We gaan totaal de echt verkeerde kant op met zulke wetten.

Op dit item kan niet meer gereageerd worden.