'Voorstel Britse spionagewet bevat wel degelijk een verbod op encryptie'

Het voorstel van de nieuwe Britse spionagewet zou elke vorm van encryptie verbieden die alleen door de gebruiker zelf kan worden ontsleuteld. Dit kan grote techbedrijven zoals Apple en Google treffen en hen dwingen om afgezwakte encryptie te gebruiken of backdoors in te bouwen.

Dit meldt de Daily Telegraph in tegenstelling tot eerdere berichten. Het wetsvoorstel zou niet elke vorm van encryptie verbieden, alleen de vorm van encryptie die niet door de aanbieders zelf ontsleuteld kan worden. Volgens Edward Snowden is het niet kunnen ontsleutelen door derden nu juist het doel van encryptie. Het voorstel betekent dat techbedrijven niet langer end-to-end-encryptie zouden mogen aanbieden, omdat zij in dat geval geen gehoor kunnen geven aan een verzoek tot ontsleuteling door de overheid. Onder andere Apple adverteert hier bijvoorbeeld mee als belangrijke privacyfeature bij zijn producten.

Bedrijven zouden dus opzettelijk kwetsbaarheden moeten inbouwen in encryptiediensten om te voldoen aan de nieuwe wetgeving. Het risico daarvan is dat kwaadwillenden van dezelfde kwetsbaarheden gebruik kunnen maken. Daar komt bij dat veel encryptietools opensource zijn waardoor de effectiviteit van een encryptieverbod aan deze bedrijven afneemt.

De Britse premier David Cameron stelt dat de maatregelen nodig zijn om 'terroristen, criminelen en ontvoerders van kinderen geen veilige plek te bieden op internet'. Zij zouden immers ook niet veilig zijn wanneer zij gebruikmaken van vaste of mobiele telefonie. Het parlement dient de wet nog goed te keuren. Het voorstel met meer informatie over de Britse regeringsplannen zal woensdag naar buiten komen.

IT-banen

Reacties (298)

298

296

251

Wijzig sortering

WoutervOorschot

3 november 2015 15:56

Nou ja, ik denk zomaar dat mensen die terroristische aanslagen willen plegen, mensen willen vermoorden of kinderen willen verkrachten zich misschien, zomaar misschien, ook niet aan deze wet zullen houden en toch encryptie gaan gebruiken, OMDAT ZE AL ZWAAR ILLEGAAL BEZIG ZIJN.

Dit is toch werkelijk te zot voor woorden, ik snap echt niet waar die effectief voor kan worden gebruikt, ze kunnen beter wat doen en de corruptie in het huidige systeem(kinderpornokringen met mensen uit de politiek of politie bijvoorbeeld).

SKiLLa @WoutervOorschot • 3 november 2015 20:58

Daar heb ik een prachtige quote voor: "Ik ben voor een verbod op sterke/werkende encryptie CONDOOMS; het bemoeilijkt namelijk de opsporing van zedenmisdrijven met behulp van DNA materiaal !". Dus ... daar kun je niet tegen zijn, want dan steun je pedofielen. </cirkelredenatie>

Echt schandalig hoe kortzichtig de Britse regering is, criminelen zouden juist profiteren en corruptie en machtsmisbruik toenemen. Ik denk dat de Britse overheid met haar (bij elkaar miljoenen) leger, inlichtingendiensten, politie-agenten, ambtenaren en politici een veel groter gevaar is dan een paar loslopende doorgeslagen schreeuwlelijken met of zonder haatbaard !

eL_Jay @SKiLLa • 4 november 2015 16:34

Op zich niet. Ik vind het wel passen binnen Groot Brittanie.
Ik vind het veel erger dat wij in Nederland al een paar jaar iets soortgelijks hebben waarmee direct het gehele Nemo Tenetur beginsel onderuit is gehaald.

In Nederland is het als ik het goed heb namelijk strafbaar tot 3jaar cel als de officier van justitie je een decryptiebevel oplegd en je verleent geen medewerking. (ondanks dat dit volgens mij in strijd is met onze grondwet)

Artikel 125k Sv en 184b Sr

[Reactie gewijzigd door eL_Jay op 25 juli 2024 07:19]

a fly @SKiLLa • 3 november 2015 23:24

Dit is een van de beste analogieën die ik heb gezien m.b.t. dit onderwerp!
Als aanvulling hierop wil ik nog vermelden dat er een stuk meer zedendelicten plaats vinden dan terrorisme. Ben je dus van mening dat encryptie overboord kan voor de paar terrorisme gevallen, kan je niet anders concluderen dan dat condooms ook verboden moeten worden.

Grrrrrene

@SKiLLa • 4 november 2015 07:32

Jup, als je deze domme redenatie doortrekt mogen we straks ook geen gordijnen meer voor de ramen, want die worden toch alleen door terroristen misbruikt om hun terroristische activiteiten voor de buitenwereld verborgen te houden. Dan mogen we geblindeerde ruiten en hoge hagen/schuttingen ook verbieden en mensen die niet op de begane grond wonen moeten verplicht een camera voor het raam hangen, want het is uitermate onveilig dat we niet naar binnen kunnen kijken of er niet toevallig een aanslag wordt voorbereid.

obimk1 @WoutervOorschot • 3 november 2015 17:23

Het verbieden van encryptie, de mensen die dit hebben bedacht hebben een fundamenteel onbegrip van het internet en ICT. Bijna alle informatie op het internet is inmiddels al versleuteld, en het niet kunnen gebruiken van encryptie ( want het is nu 'illegaal'!) door bv 'terroristen' zal terroristen er echt niet van weerhouden om bv aanslagen te plegen.

Encryptie is ook een belangrijke 'voorwaarde' voor de (Internet) economie (betalingen, medische informatie, etc) geworden. En bv gegevens van overheden zitten ook altijd achter encryptie (tenminste dat hopen we)

Stel dus dat dit verbod wordt geïmplementeerd, dan gaat de wereld economie down the drain en het lekken van informatie van overheden wordt nog makkelijker, en dit zijn nog maar 2 gevolgen die je zo kunt bedenken..

HOE DOM MOET JE ZIJN OM ENCRYPTIE TE VERBIEDEN?

[Reactie gewijzigd door obimk1 op 25 juli 2024 07:19]

Tokkes @obimk1 • 4 november 2015 01:19

Het 'grappige' is dat ze die argumenten blijven volhouden, ook al zijn er dit jaar alleen al genoeg (pogingen tot) aanslagen geweest (Parijs, Thalys, de dreiging in Verviers (die niet is opgedoekt door mass-surveillance op de bevolking maar door 'ouderwets' politiewerk)) om al die argumenten tegen te spreken....

henk717 @WoutervOorschot • 3 november 2015 23:00

Wouter je hebt een goed punt maar naar mijn mening zie je 1 ding over het hoofd.
Het feit dat deze mensen encryptie blijven gebruiken is naar mijn idee namelijk exact wat ze willen!

Op het moment dat iedereen zich netjes aan de wet houd en de encryptie niet langer gebruikt of verzwakt zal er een selecte groep overblijven die zwaar beveiligde verbindingen gebruikt. Deze groep betreft enkel de terroristen en niemand anders. Tenslotten zijn alle burgers van deze encryptie af.

Die logica klopt natuurlijk niet maar illustreert wel meteen het probleem dat iedereen die om zijn privacy geeft direct voor terrorist zal worden uitgemaakt. Het excuus maar ik ben geen terrorist gaat dan niet meer op omdat je exact aan alle criteria voldoet.

Verwijderd @WoutervOorschot • 3 november 2015 16:00

Daar zit het hem juist. Omdat ze zo zwaar illegaal bezig zijn zullen ze zelf nooit meewerken en je de juiste wachtwoorden/keys geven om de content te ontsleutelen. De Britse overheid eist met deze wet dat er altijd een ander moet zijn die de content ook kan ontsleutelen, zodat de overheid en ook bij kan wanneer de verdachte niet wilt meewerken.

Edit: Kennelijk is het men hier op Tweakers niet duidelijk, dus zal het er even bij zetten: Dit is de gedachtegang van de Britse overheid. Dit is geen statement zoals het zou moeten zijn of dit is een ultieme oplossing of what-so-ever.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:19]

.oisyn Moderator Devschuur®

Beveiliging
Encryptie

@Verwijderd • 3 november 2015 16:05

Je begrijpt het punt van Wouter geloof ik niet helemaal. Het feit dat standaard diensten als die van Google en Apple aan de nieuwe wet voldoen impliceert niet dat terrorristen geen mogelijkheden hebben om hun gegevens alsnog te voorzien van een encryptielaag die de overheid niet (op korte termijn) kan ontcijferen. De tools om dat te doen zijn makkelijk te verkrijgen. En dan kan de overheid wel zeggen: "ja maar die mag je niet gebruiken, want dat is illegaal", maar daar heeft een terrorrist natuurlijk compleet schijt aan

Verwijderd @.oisyn • 3 november 2015 16:09

Grappig, volgens mij begrijp je mijn punt weer niet. Wat denk je dat de overheid anders gaat doen? Overal inbreken om de illegale software te verwijderen? Natuurlijk helpt het niet 100%, maar zolang er geen wetgeving voor is kom je nooit vooruit.

.oisyn Moderator Devschuur®

Beveiliging
Encryptie

@Verwijderd • 3 november 2015 16:16

Volgens mij praten we een beetje langs elkaar heen. Waar het om gaat is dat de overheid de standaard "terrorisme en kinderporno"-verpakking gebruikt om dit erdoorheen te krijgen. En dus:

Natuurlijk helpt het niet 100%, maar zolang er geen wetgeving voor is kom je nooit vooruit.

Ik zou wel willen beweren dat het 0% helpt voor die zaken die ze aanwenden, terrorisme en kinderporno, maar dat het een 100% aanslag is op de privacy van de gewone burger met alle gevolgen die het hebben van een achterdeur met zich meebrengt. Het is natuurlijk compleet quatsch om te denken dat alleen een Google in staat is om van die backdoor gebruik te maken. Veiligheid met een achterdeur staat gelijk aan vrijwel helemaal geen veiligheid.

En laten we wel even bedenken waar dit vandaan komt. De GCHQ was echt geen haar beter in de hele afluisterconspiracy dan de NSA. Die zien liefst dat ze alle burgers ten alle tijde volledig kunnen monitoren. Oh, maar het is om terrorisme en kinderporno aan te pakken? Tja hoe kunnen we het daar nou niet mee eens zijn.

Toepasselijk plaatje

[Reactie gewijzigd door .oisyn op 25 juli 2024 07:19]

smeaggie @.oisyn • 3 november 2015 17:31

Helemaal mee eens dat dit 0% gaat helpen tegen terrorisme en/of kinderporno/misbruik.

Andere gedachte dwaling achter zo'n wet zou kunnen zijn: "als de verdachte zijn key niet wil afgeven kunnen we niet bewijzen dat hij terrorist is. Met deze wet kunnen we hem alsnog achter de tralies krijgen zonder dat we iets hoeven te bewijzen van terrorisme en alles is weer goed."

Zeer onwenselijk als je het mij vraagt. Het maakt niet meer uit waarvan je verdacht wordt; als je iets encrypt op je schijf en je wilt de key niet geven ben je de sjaak en kan je altijd in de cel belanden, zonder dat de aanklager enig bewijs hoeft te overleggen...

[Reactie gewijzigd door smeaggie op 25 juli 2024 07:19]

robvanwijk

Encryptie
Beveiliging
Politiek en recht
Privacy

@smeaggie • 3 november 2015 23:07

Zeer onwenselijk als je het mij vraagt. Het maakt niet meer uit waarvan je verdacht wordt; als je iets encrypt op je schijf en je wilt de key niet geven ben je de sjaak en kan je altijd in de cel belanden, zonder dat de aanklager enig bewijs hoeft te overleggen...

En wat voor straf gaan ze op "niet ontsleutelen" zetten? Want de straffen voor de misdrijven die ze willen oplossen/voorkomen zijn in de categorie "hoop dat je levenslang krijgt, want zodra je vrijkomt wordt je gelynched"... Maar dan staat er dus ook levenslang voor "net op het verkeerde moment (dat de politie je onterecht van iets ernstigs verdenkt) je password vergeten". En als je echt een hekel aan iemand hebt: hack zijn computer, dump een TruCrypt container op zijn harde schijf en bel een anonieme tip in naar de politie. Of ga met je laptop bij een open access point zitten en injecteer random data (dat ziet eruit als encrypted data... maar het is onmogelijk te "decrypten") elke keer dat iemand een plaatje van een ad-server opvraagt; staat zijn cache binnen de kortste keren vol met zwaar illegaal spul...

Dit kan op zoveel manieren misbruikt worden. En er is geen enkele manier om je onschuld te bewijzen (hoe zou een alibi eruitzien; je bent nooit alleen geweest met je computer en alle mensen die naast je hebben gezeten kunnen een verklaring afleggen over elke keer dat je je computer gebruikte...!?).

Wat gaat de gemiddelde persoon doen als ie weet dat de data waar ze naar vragen bewijs bevat van misdaden waarvoor ie levenslang krijgt? Ik zou zeggen: weigeren, een paar jaar de cel ingaan (geen pretje natuurlijk, maar een koopje vergeleken met levenslang), vrijkomen (zonder door de hele maatschappij, inclusief vrienden en familie, keihard verstoten te zijn), een boek schrijven over wat ie allemaal heeft moeten doorstaan "voor zijn principes" en dik binnenlopen op de filmrechten... terwijl ie al die tijd hartstikke schuldig was (en er in het hele verhaal geen misdaden zijn voorkomen!).

TD-er

@smeaggie • 3 november 2015 19:18

Nog erger; als ze aannemelijk kunnen maken dat een random reeks data een encrypte file is en jij kunt het niet oncijferen, dan voldoe je niet aan de wet => schuldig.

robvanwijk

Encryptie
Beveiliging
Politiek en recht
Privacy

@TD-er • 3 november 2015 22:51

Nog erger; als ze aannemelijk kunnen maken dat een random reeks data een encrypte file is en jij kunt het niet oncijferen, dan voldoe je niet aan de wet => schuldig.

Kenmerk van encryptie: het ziet eruit als "random bits"; zonder patroon erin (alles wordt zo enorm door elkaar gehusseld dat, zelfs als er van tevoren een patroon was, het naderhand totaal onherkenbaar is geworden).

Kenmerk van heel erg veel binaire formaten: het ziet eruit als "random bits"; zonder patroon erin (als er nog een patroon overblijft, dan had het immers efficiënter opgeslagen kunnen worden).

Natuurlijk zijn er uitzonderingen (bijvoorbeeld in JPEG heeft 0xFF een speciale betekenis; aan de hand daarvan zou je het verschil tussen geëncrypte data en JPEG data moeten kunnen afleiden), maar mijn stelling is: aan een blob data (zeker als het begin ontbreekt; headers helpen natuurlijk enorm) kun je niet zien of het ruis, "gewone" binaire data, of geëncrypte data is.

tweakPiet @robvanwijk • 4 november 2015 16:08

Je hebt een mega bestand van x GB op de HD staan (verborgen), met daar in alleen maar ruis....
De rechter zal natuurlijk vragen waarom je die ruis bewaart?
Je afvalbak gooi je toch ook leeg?
Vervolgens moet je gaan bewijzen dat die ruis ook ruis is....

robvanwijk

Encryptie
Beveiliging
Politiek en recht
Privacy

@tweakPiet • 4 november 2015 20:57

De rechter zal natuurlijk vragen waarom je die ruis bewaart?

Wat dacht je van een bittorrent-bestand dat nog niet volledig is gedownload? Een tijdelijk bestand (scratch file) van één of ander programma (het staat in je temp dir, zoek dan maar eens uit bij welke applicatie het hoort). Elk stuk data waar DRM overheen zit...! En als je ergens een core dump hebt staan dan kun je nog wel zeggen dat het een core dump is... maar hoe ga je van elk stukje data daarin afzonderlijk aantonen dat het niet geëncrypt-zonder-backdoor is?

Als er tal van valide redenen zijn waarom je een stuk data op je schijf kunt hebben waarvan je niet precies weet waar het bij hoort en wat het is, zou het dan niet veel te makkelijk zijn voor criminelen om hun bestanden te camoufleren als dingen waarvan ze met goed recht kunnen zeggen "geen idee wat dat is!?"...
Op het moment dat de politie met een arrestatiebevel aankomt (gemaakt voordat ze de computer van de verdachte hebben bekeken) om iemand op te pakken op verdenking van het beramen van een bomaanslag en ze vinden midden op zijn desktop "ontwerp bom.tc", okee, dan heeft die persoon wat uit te leggen.
Maar als ze iemand op willen pakken "tja, waarvoor precies weten we niet, maar de NSA tipte dat ie beter achter de tralies kan zitten" en op zijn computer vinden ze in de temp directory een bestand abVWqKZN.bin met, op het oog, dertig meg aan random data, is dat dan een slimme crimineel (die deze post heeft gelezen) of een onschuldig persoon!?
In dit geval een onschuldig persoon. Nou ja, eigenlijk heet het ding abVWqKZN.exe.part en het staat al een paar maanden zinloos te wezen; maar ja, hoe vaak controleer jij je temp op zinloze rotzooi...?

Tux4life @.oisyn • 3 november 2015 17:09

Het is natuurlijk compleet quatsch om te denken dat alleen een Google in staat is om van die backdoor gebruik te maken

Volgens mij is dit niet helemaal waar. Als we een Google bijvoorbeeld zelf de KeyGen laten doen is de encryptie niet verzwakt. Totaal onwenselijk, maar niet onmogelijk.

Als Google er toch ook bij moet kunnen, mogen ze wel een IBE server gaan draaien

arbraxas @Tux4life • 3 november 2015 18:00

Inderdaad is de methode van encryptie dan niet verzwakt.
Maar doordat Google/overheden een backdoor hebben is diezelfde encryptie dus niks meer waard. Nog beroerder als een minder zware vorm van encryptie waarvqan jij alleen de sleutel hebt.

En de "proffessionele" terrorist/kinderpornoproducent zal nooit dit soort services gebruiken. Die zorgen er wel voor dat de bestanden al ge-encrypt zijn voordat ze ge-upload worden.

harrytasker @.oisyn • 3 november 2015 18:20

Volgens Citizen Four docu luisterden de Britten nog meer en uitgebreider af als de NSA....

Nazanir @Verwijderd • 3 november 2015 16:21

Een wet die je als terrorist bestempeld, omdat je ook maar 1 graantje van privacy wil? Pas als overheden met concrete bewijzen komen dat dit alles echt nut heeft (wat ze niet kunnen), dan pas zou ik overwegen om er mee in te stemmen.

Maar ook dat gaat nooit gebeuren, ik moet wel gewoon berichten kunnen uitwisselen, zonder dat iemand er mee zit te kijken.

En een heel gevaarlijk precedent (of eigenlijk, meerdere), is dat dit soort praktijken altijd voor false positives zal zorgen. Wat nu als ik mijn kinderen in bad doe, een foto daarvan naar mijn vrouw stuur, en ik word "geflagged" als een pedofiel?

En nog erger, wat nu als letterlijk alles van ons bijgehouden wordt, en over een jaar of 10 komt een corrupte regeringspartij aan de macht die alle rechts (of links) denkende mensen laat oppakken, alleen maar voor het hebben van een andere mening? Immers, want alles wat ik zeg en denk wordt gecatagoriseerd.

Bedenk je wel, de joden hadden er ook geen problemen mee dat hun verblijfsplaatsen tussen 1930-1940 gewoon verzameld werden en opgeslagen waren, kijk maar eens hoeveel mensen dat het leven heeft gekost, en dat was nog voor het internet...

MonkeyJohn @Nazanir • 3 november 2015 17:42

Precies. De stasi en zijn voorgangers zouden trots zijn op dit soort praktijken..
In Nederland willen ze dit soort ongein natuurlijk ook maar al te graag, maar dan ga je als crimineel toch gewoon weer lekker brieven schrijven want in Nederland hebben we toch nog zoiets als briefgeheim en je duivelse plan ligt in principe de volgende dag op de mat..
Hoeveel medewerkers van de geheime diensten zullen zelf per direct in overtreding zijn als die wet ingevoerd wordt? Of werken er alleen maar digibete 50+'ers zonder smartphones die dus bijv. geen whatsapp o.i.d. gebruiken

YangWenli @MonkeyJohn • 3 november 2015 18:06

Ja ik denk dat bedrijven als Shell en ASML hun bedrijfsinformatie ook gewoon willlen blijven beveiligen. Of krijgen die een exemption?

Kenhas @YangWenli • 3 november 2015 18:53

Die bedrijven hebben er volgens mij niets mee te maken. Het gaat om aanbieders van diensten, dus google, apple, microsoft,... Bedrijven die ervoor kunnen zorgen dat je communiceert, al dan niet met encryptie, met anderen

Ik lees het toch zo

DivxLover @Kenhas • 3 november 2015 20:48

En YangWenli bedoelde waarschijnlijk dat bedrijven die zware economische belangen hebben, zoals Shell en ASML, graag hun bedrijfsgeheimen ook geheim willen houden, zonder dat de NSA, Noord-Korea of Anonymous daarin mee kunnen kijken.
Op het moment dat onze privacy te grabbel wordt gegooid, zou dat voor hen ook gelden.

Dus wat dat betreft is de opmerking dat een lobby door deze bedrijven ook wel eens in ons voordeel zou kunnen zijn, zo gek nog niet.

Superstoned @DivxLover • 5 november 2015 08:28

Nou ja zo gaat het altijd, toch? Dit soort regels heeft uiteindelijk alleen effect op mensen die het geld en de motivatie missen om zich beter te beschermen: gewone burgers. Terroristen, grote (corrupte) bedrijven, overheden, misdaad syndicaten - die hebben het geld en reden om echte encryptie toe te passen en zo moeilijk is het niet (deze wet veranderd dat echt niet). Dus de reden die de overheid geeft om dit door te voeren is onzin...

Verwijderd @YangWenli • 3 november 2015 18:55

Kunnen die lobbygroepen misschien toch eens keer iets voor de maatschappij doen!

_eXistenZ_ @Nazanir • 4 november 2015 08:07

Eeeeeeeen we hebben Godwin.

w00t00w @_eXistenZ_ • 4 november 2015 11:33

Misschien eerst maar eens goed inlezen wat een Godwin precies inhoudt?

_eXistenZ_ @w00t00w • 4 november 2015 11:50

"Bedenk je wel, de joden hadden er ook geen problemen mee dat hun verblijfsplaatsen tussen 1930-1940 gewoon verzameld werden en opgeslagen waren, kijk maar eens hoeveel mensen dat het leven heeft gekost, en dat was nog voor het internet... "

Denk dat ik aardig in de buurt zit en jij even goed moet kijken op wie ik precies reageer.

35MHz OC @_eXistenZ_ • 4 november 2015 14:36

Godwin's law is achterhaald geraakt in het huidige extreme politieke klimaat. Toen Mike Godwin zijn stelling postuleerde, was dat in de context van een werkende democratie, welke de belangen van alle deelnemers in de maatschappij in balans probeerde te behartigen. Het was toen ondenkbaar dat er mensen zouden verdwijnen, dat er geheime kampen gebouwd zouden worden, dat mensen in angst voor hun buren of de staat zouden leven. Dus het vergelijken van wat dan ook met de Nazi's was per definitie over de top en kon geen geldige vergelijking zijn.

In deze tijd mag men zich afvragen of we niet leven in een schijndemocratie, waarin de rechten die we nog hebben overblijfselen zijn uit betere tijden. Regeringen hellen steeds meer richting totale controle. Er worden wetten aangenomen, die in het kader van terrorisme of kinderporno bestrijding worden gepresenteerd, maar die iedereen treffen behalve de benoemde groepen die bestreden moeten worden. Totale surveillance lijkt momenteel meer een geval van wanneer dan van als.

Nederland doet het misschien nog niet, maar de USA laat al mensen verdwijnen zonder enige vorm van proces door ze als terrorist te labelen en ze naar geheime locaties te verschepen. Daar zullen best terroristen tussen zitten, maar wie geeft ons de garantie dat daar ook niet mensen tussen zitten die gewoon lastig zijn en met het label terrorist makkelijk onder de mat zijn gevaagd? Er word geen openbaarheid van deze procedures gegeven.

In 1920 hadden de Duitse burgers ook geen idee dat ze vlak voor de meest monsterlijke periode in hun geschiedenis stonden.

Verwijderd @Nazanir • 3 november 2015 22:47

Mooi standpunt, alleen maakt het niets uit of je ermee instemd

En zolang heel Nederland dit mak laat gebeuren gaat het gebeuren.

YoghurtO_o @Nazanir • 3 november 2015 22:58

Precies, zeker als je kijkt naar de Cambodiaanse Genocide die in de jaren '70 heeft plaatsgevonden, dan zijn dit toch zeker zaken die ik niet opgeslagen wil hebben over mezelf.

Zenomyscus @Verwijderd • 3 november 2015 16:19

Grappig, volgens mij begrijp je mijn punt weer niet. Wat denk je dat de overheid anders gaat doen? Overal inbreken om de illegale software te verwijderen? Natuurlijk helpt het niet 100%, maar zolang er geen wetgeving voor is kom je nooit vooruit.

Dit heeft ook niks met vooruitgaan te maken, maar alles met achteruitgang. Iedereen als crimineel beschouwen en encryptie verbieden lost niks op. Daarom is het geen vooruitgang, maar achteruitgang.

Criminelen zullen zich er toch niet aan houden, want crimineel.
Er zijn genoeg andere manieren om te communiceren zonder dat een overheid het door heeft (briefjes, face-to-face afspreken etc). Een waterdicht systeem zal nooit bestaan, tenzij iedereen een chip in zijn hoofd krijgt (wat ze maar al te graag zouden doen).
Het is mogelijk om extra hidden containers toe te voegen in een encrypted file waardoor je de overheid een key geeft die enkel onschuldige content decrypt en de rest als random data laat staan.
Privacy van de gewone gebruiker is per direct vernietigd.

ronny @Zenomyscus • 4 november 2015 10:37

En dan vergeet je nog het meest banale voorbeeld, ouderwetse code taal gebruiken.
Voordat je er achter bent wat dat betekend uit de vele miljarden berichten dan is de potentiele aanslag allang gepleegd.
Dat zag je toch ook in aanloop van 9/11 alle voorspelingen waren bij de NSA aanwezig en toch hebben ze er niets mee gedaan.

Misschien nog sterker het zou zelfs kunnen als je een sms stuurt Kaap vanmiddag MH17 dat de diensten denken dat je een grapje maakt omdat het zo open en bloot gestuurd wordt +)

Sergelwd @Verwijderd • 3 november 2015 16:45

Je gaat volledig eraan voorbij dat deze maatregelen niet tegen terroristen, pedofielen of wat dan ook ingevoerd worden..
Ze proberen de onrust in de maatsschappij te gebruiken om wat impopulaire maatregelen door te drukken.
Imo is dit pure volksmenerij en zou dit zwaar bestraft moeten worden.

Aan de -1 te zien kunnen we dit soort megalomane maatregelen ook best in NL verwachten.

[Reactie gewijzigd door Sergelwd op 25 juli 2024 07:19]

bart.honhoff @Sergelwd • 3 november 2015 19:20

Absoluut. Was het ook niet een Amerikaanse overheid, die iemand een hacker noemde, omdat hij mget en cURL gebruikte?

Verwijderd @bart.honhoff • 5 november 2015 00:34

wget. Hacker gebruikte wget om iets van internet af te trekken van een http of ftp doos. Rechter hoorde dat de hacker wget gebruikt had en bestempelde wget vervolgens als een hackerstool...

Zal proberen om die youtube video daarover te vinden en dan zal ik de link hier plaatsen. Kan wel even duren en geen idee of ik die ueberhaupt ga vinden.

Maar extreem verontrustend nmi.

incaz @Verwijderd • 3 november 2015 16:16

Wat bedoel je precies met 'vooruit'?

Verwijderd @.oisyn • 3 november 2015 16:09

Inderdaad, zeker niet omdat de software elders in de wereld wel degelijk goed beveiligd zal blijven. Wat let je als Engelsman om je telefoon (zonder backdoor) in Nederland te kopen en er een Engelse Simkaart in te steken?

Rey Nemaattori @Verwijderd • 3 november 2015 21:14

Inderdaad, zeker niet omdat de software elders in de wereld wel degelijk goed beveiligd zal blijven. Wat let je als Engelsman om je telefoon (zonder backdoor) in Nederland te kopen en er een Engelse Simkaart in te steken?

't feit dat je daarmee de wet overtreed c.q. jezelf in een positie plaatst voor 'detentie voor onbepaalde tijd wegens weigering te decrypten'?

Verwijderd @Rey Nemaattori • 3 november 2015 21:49

Dat laatste is in de UK nu al zo. Het punt is dat je privacy hebt, en als je regering interesse in je hebt en je dwingt te decrypten, dan doe je dat voor ze als je geen schuld hebt.

Uiteindelijk zullen zij degenen zijn die voor schut staan als er maar genoeg mensen blijken onschuldig te zijn. Hoe wilen ze gaan verantwoorden dat ze zoveel mensen die niets misdaan hebben volgen?

En bovendien, jij had geen idee dat die telefoon die je in Nederland kocht zo beveiligd was, het is immers één EU met vrije handel en vervoer van goederen. En toen het je verteld werd heb je meegewerkt en je telefoon ontgrendeld. Je vasthouden voor het decrypten van de messages voor die tijd gaat ze niet lukken, immers die protocolen zijn vluchtig en jij kan dat technisch niet. Het is niet aleen plausible diniability, het is wiskundig aantoonbaar dat je het niet kan.

edit:

Overigens blijft er een probleem bestaan: Het is mogelijk dat mensen jouw bestanden sturen die niet te decrypten zijn, daar heb je geen controle over. Ben je nu strafbaar als ze die bestanden bij je vinden? Wat als je ze niet meer decrypten kan?

Ik heb hier thuis backups van al mijn oude PCs, inclusief data uit mijn studie tijd eind jaren negentig! Daar staan ook encrypted files op, ik zou die backups kunnen doorlopen en die weggooien ik kan ze toch nooit meer openen. Ik weet het wachtwoord dat ik indertijd gebruikte al lang niet meer. Ik heb echter wel wat beters te doen met mijn tijd.

Tenzij ze kunnen bewijzen dat je een bestand recent nog hebt geopend, is het volkomen logisch dat je sommige wachtwoorden niet meer weet. Een decryptie plicht is een waanzin methode, feitelijk nog waanzinniger dan een achterdeur, omdat je van mensen dingen gaat vragen die ze wellicht niet eens kunnen. En als ze het niet doen sluit je ze op ...

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:19]

laptopleon @Verwijderd • 4 november 2015 07:34

Eerst en vooral: Deze wet is belachelijk, dat we het daar over eens zijn.

Dat gezegd hebbende, zijn deze argumenten niet erg overtuigend. Inderdaad kun je in ieder geval op OS X makkelijk zien wanneer een bestand voor het laatst geopend is (wat dan juist weer een voordeel kan zijn als het zo'n '90s bestand is).

Dat je niet wist dat bijvoorbeeld die telefoon (deels) encrypted was is geen argument omdat je de wet hoort te kennen (anders was het wel heel makkelijk om overal onderuit te komen).

Dat iets in het buitenland wél mag zal ook niet echt veel verschil maken.

Versleutelde bestanden die je toegestuurd krijgt: Had je ze maar weg moeten gooien, is bij kinderporno het excuus.

Eerder zou ik het zoeken in de sfeer van basale mensenrechten.

[Reactie gewijzigd door laptopleon op 25 juli 2024 07:19]

Nosferius @laptopleon • 4 november 2015 10:21

Correctie:
Ja, je bent verplicht om de wet te kennen.
Nee, je bent niet verplicht om alles over de apparatuur die jij bezit te weten, laat staan dat je zou moeten weten of een (bijv.) programma dat jij gebruikt encryptie gebruikt en hoe je dat ongedaan maakt.

Als je zelf bewust kiest voor encryptie op je HD (en al helemaal in het geval van specifieke paden) dan weet je natuurlijk ook wel hoe je het op moet lossen (daar mag je iig vanuit gaan).

Versleutelde bestanden die je toegestuurd heb gekregen en niet hebt geopend (omdat je het niet kan) noch verwijderd hebt (omdat je bijv. wachtte op antwoord van de verzender) omdat je niet weet wat erin staat ... tja kan je dan daadwerkelijk van iemand verwachten dat ze weten wat er in het bestand staat en willens en wetens iets hebben versleuteld? Nee, je kan niet strafbaar worden gesteld voor iets waar je geen weet van hebt noch aan meegewerkt hebt.

Een bedrijf als XS4ALL die bijv. host was voor Stichting Martijn (ja die pedoclub) is toch ook niet verantwoordelijk voor de dingen die die groep mensen heeft misdaan ... ja ze hebben de boel gehost en hebben dat uiteindelijk op verzoek gestopt.

Om bijvoorbeeld te stellen dat XS4ALL die groep mensen heeft gefaciliteerd en daarmee medeplichtig is kan alleen op basis van het kunnen bewijzen dat XS4ALL heel bewust was van de content op die site en in de verborgen delen ervan. Dat weten betekent dat XS4ALL een inbreuk op de privacy van hun klant heeft gemaakt.

Als je het in mensenrechten zoekt is het je recht op privacy, als je het in de technologische sfeer zoekt is het je recht op veiligheid van van data welke we allemaal vinden dat we hebben maar nergens formeel (afaik) vastgelegd is.

laptopleon @Nosferius • 4 november 2015 13:43

OK, ik zal advocaat van de duivel spelen en the dark side spelen in deze discussie:

Nee, je bent niet verplicht om alles over de apparatuur die jij bezit te weten, laat staan dat je zou moeten weten of een (bijv.) programma dat jij gebruikt encryptie gebruikt en hoe je dat ongedaan maakt.

Het is de vraag of een rechter dat ook zo zal zien, ook omdat dit dan een heel makkelijk excuus wordt om onder de wet uit te komen.

In de praktijk denk ik dat het eerder als volgt zal gaan:
1) JPG, LZW en dergelijke algemeen gebruikte compressie vergt geen wachtwoord. Het zal dus niet als versleutelde info gezien worden want iedereen kan het openen.

2) Bestanden, schijven etc die je zelf hebt versleuteld uiteraard wel.

3) Software die nu standaard door de leverancier van encryptie is voorzien, zal niet meer mogen worden verkocht / gebruikt in Engeland dus zal moeten worden aangepast om het onveiliger te maken, dan wel van een achterdeurtje of 'loper' moeten worden voorzien. Nogmaals, een belachelijk idee!

Dat je versleutelde bestanden bewaart, of dat nou in de mail van derden is of niet, is natuurlijk een beetje moeilijk te verklaren als je er toch niets mee kan omdat je ze niet kunt openen. Met een paar bestandjes die net binnengekomen zijn of in de spambox staan zal je misschien nog wegkomen maar hele verzamelingen: Verdacht. Ze kunnen natuurlijk van een ander zijn, maar die help je dan blijkbaar. Dan zullen ze het op medeplichtigheid gooien.

XS4LL is een bedrijf en in ieder geval in NL is het gebruikelijk dat een hosting provider niet pro-actief hoeft te voorkomen dat klanten illegale praktijken bezigen op hun server. Ligt ook lastig i.v.m. privacy. Anderzijds hebben ze weinig keus als het gemeld wordt want als ze dan niet ingrijpen faciliteren ze een vergrijp en worden ze al gauw mede aansprakelijk.

Het recht op privacy, artikel 8 van het Europees Verdrag voor de Rechten van de Mens, hoeft natuurlijk niet voor alle mogelijke situaties te worden uitgeschreven om toch van toepassing te zijn, ook op je persoonlijke bestanden.

Daarom verwacht ik dat over deze wet het laatste woord nog niet gezegd is qua rechtszaken en dergelijke.

Nosferius @laptopleon • 5 november 2015 09:52

Ik denk dat je redelijk op een lijn zit met wat ik ervan denk/zeg met aanvulling dat inderdaad software van derden die alles intern versleutelen mogelijkerwijs verboden zouden kunnen worden ... maar zoals Omega Supreme hieronder zegt spreekt het verbieden van encryptie je recht op privacy tegen (want immers kan je encryptie gebruiken om de privacy en veiligheid van je bestanden te waarborgen).

Mensen bij voorbaat criminaliseren omdat ze een versleuteld bestand hebben werkt ook niet (je bent immers nog altijd onschuldig tot het tegendeel bewezen is).

Tevens mag justitie nooit zomaar iets onderzoeken, er moet al voldoende aanleiding zijn in vorm van onderbouwde verdenkingen wil een officier van justitie toestemming geven tot het afluisteren, woning doorzoeken en/of innemen van je computers etc.

De vraag is dan dus ook ... hoe gaat justitie bepalen dat jij versleutelde bestanden hebt zonder eerst al vermoedens te hebben over vermeende criminele activiteiten en je apparatuur dus al te hebben ingenomen? Volgens mij mogen zij ook niet zomaar netwerkverkeer "sniffen" (privacy wederom).

Ik denk persoonlijk dat dit verhaal niet zomaar doorgang zal vinden (omwille van technische beperkingen en privacy wetgeving) en dat tech bedrijven als Apple (die heel stellig is over je privacy) er misschien zelfs voor kiezen het land Engeland te mijden omdat ze hun producten niet willen aantasten (kwa winst zal het ze weinig boeien, een beetje pijn doen zal het wel, en iemand die dan alsnog een iPhone wilt koopt er wel eentje in ons land of elders). Maar dat is louter speculatie

laptopleon @Nosferius • 5 november 2015 14:06

Ik kan me niet zo goed voorstellen dat deze wet op korte termijn serieus wordt toegepast, want dan moet, zoals je zegt, heel de IT-wereld op zijn kop. Niet alleen een paar tech-bedrijven. Ook zal de bevolking het domweg niet accepteren als mensen massaal worden aangepakt om deze idiote wet.

Ik heb niet heel de wet gelezen maar er zullen dan ook uitzonderingen moeten komen lijkt me, al was het maar voor de eigen overheid.

Maar dat het nu niet wordt gehandhaafd doet niets aan het potentiële gevaar van deze wet. Je zet de deur op een kier voor hele foute Big Brother scenario's.

Nosferius @laptopleon • 5 november 2015 16:10

Indeedy, en de lol van stakende IT nerds is dat de wereld stil komt te staan als we het goed aanpakken

Verwijderd @laptopleon • 4 november 2015 14:29

"Dat je versleutelde bestanden bewaart, of dat nou in de mail van derden is of niet, is natuurlijk een beetje moeilijk te verklaren als je er toch niets mee kan omdat je ze niet kunt openen."

Ik moet regelmatig bestanden versturen met gevoelige informatie, dat doe ik met AES encrypted 7zip files. Vervolgens bel ik de ontvanger het wachtwoord door, die ga je natuurlijk niet mailen.

Omgekeerd gebeurt vaak hetzelfde. Ik pak het bestand uit en zet dat op het interne netwerk en archiveer de mail. Een dag later zal ik het wachtwoord al niet meer weten, geeft niet ik heb het decrypted bestand.

Alleen zal justitie nooit kunnen verifiëren dat dat decrypted bestand hetzelfde bestand als in de zipfile is. Een decryptie verzoek kan ik nooit en te nimmer meer aan voldoen.

laptopleon @Verwijderd • 5 november 2015 13:59

De Britse wet zal wat dit betreft dus alleen van je verlangen dat je een lijstje bijhoud van die wachtwoorden. Valt mee toch?

Als je het doorbelt en het is echt heel interessant, luisteren ze waarschijnlijk al mee dus hebben ze dat ww ook.

Verwijderd @laptopleon • 4 november 2015 09:59

Je hoort de wet te kennen, maar is het redelijk te verwachten dat je weet wat er op de achtergrond in alle producten gebeurt? En wat doe je met alle bestaande producten?

"Versleutelde bestanden die je toegestuurd krijgt: Had je ze maar weg moeten gooien, is bij kinderporno het excuus."

Is niet waar, er is al iemand vrijgesproken omdat de kinderporno mee was gekomen in een hele grote dowload van iets heel anders en de dowloader niet was opgevallen. Het niet hebben geweten is dus wel degelijk een verdediging die werkt.

Dus als iemand jouw een e-mail met encrypted kinderporno stuurt, dan kan jij daar niet verantwoordelijk voor worden gehouden. Maar dat is niet eens het probleem wat hier speelt. Het probleem dat speelt is dat jij niet kan decrypten en dus niet eens weet en kan weten wat het is.

Jij zegt dan had je het weg moeten gooien, ik zeg: ik heb een baan gehad waarbij ik geen enkele mail die ik zakelijke kreeg weg mocht gooien. Alles werd gearchiveerd, zelfs de 'prullenbak'.

Privé heb ik ook nog nooit een mail weggegooid, die zitten nu grotendeels in (encrypted) archieven of staan bij google. Overigens weet ik van die archieven de wachtwoorden meestal nog wel.

Het is niet logisch om aan te nemen dat iemand wachtwoorden na verloop van tijd nog weet. Het is dus wel degelijk van belang hoe recent het bestand is en of het een bestand is dat iemand is toegezonden of dat zelf is aangemaakt.

laptopleon @Verwijderd • 4 november 2015 13:21

Tja, nou is het net of ik al die wetten bedacht heb en moet verdedigen

en zo is het niet, maar ik kan me ongeveer wel voorstellen wat de Engelse Justitie grofweg zal beargumenteren:

Het zou wel erg zwart-wit zijn als elk spoor van kinderporno op je computer meteen zou beteken dat je je er ook mee bezig hebt gehouden. Je bent ook niet bij voorbaat schuldig of medeplichtig aan een moord als er een druppel bloed van het slachtoffer in jouw auto wordt gevonden.

Dat je een baan had in het verleden waarbij je geen mails niets mocht weggooien: Toen gold deze wet sowieso nog niet dus wie zegt dat je werkgever zich niet netjes aan de nieuwe wet zal proberen te houden en voortaan dergelijke mail wél zal laten verwijderen?

Lijkt me overigens vrij logisch dat je je wachtwoorden van mailarchieven goed bewaard want je hebt immers moeite gedaan al die mail te bewaren, te archiveren én encrypten dus het moet een zekere waarde voor je hebben.

Behalve dat deze hele wet absurd is, lijkt het nog onredelijker om hem met terugwerkende kracht te laten gelden. Dat je ergens nog oude, versleutelde bestanden hebt waarvan je het wachtwoord niet meer hebt, van vóór de wet in ging, lijkt me een zwakke basis om bijvoorbeeld te verwachten dat je daarom heel je oude archief vernietigd. Je wist dan namelijk vaak ook allerlei bestanden die niet versleuteld zijn.

Ex-KPN-er @Verwijderd • 3 november 2015 16:12

"Wat let je als Engelsman om je telefoon (zonder backdoor) in Nederland te kopen en er een Engelse Simkaart in te steken?"

Nou; een paar jaar de bak in onder andere?

Verwijderd @Ex-KPN-er • 3 november 2015 16:14

Dat zal heel snel in hun gezicht ontploffen, burgers opsluiten omdat ze privacy willen.

Rey Nemaattori @Verwijderd • 3 november 2015 21:26

Dat zal heel snel in hun gezicht ontploffen, burgers opsluiten omdat ze privacy willen.

Nooit in engeland geweest zeker?
't is daar heel normaal om 20 camera's aan een paal te plakken voor de veiligheid...een beetje plein heeft gemakkelijk 100'en camera's. Ik heb camera's echter nog nooit een impulsmisdaad ( as opposed to geplande & ge-organiseerde misdaad, die boeit 't helemaal geen drol) zien voorkomen, terwijl politieaanwezigheid dat wel kan. 't is leuk als je misdadigers achteraf kan oppakken, maar als jij net fataal geraakt wordt bij een overval of doodgeschopt word door een stel dronken jongeren(je moest een weten hoe vaak dat op CCTV langs komt...dashcams zijn russisch, maar mensen die aan puin getrapt/beroofd/aangerand worden op cctv is echt brits) die voorkomen had kunnen worden door de aanwezigheid van meer blauw, koop je daar ook geen brood voor.

Niet dat agenten overal kunnen zijn, maar als je je niet laat tegen houden door een rondrijden patrouille wagen, dan gaan camera's dat ZEKER niet doen...

laptopleon @Rey Nemaattori • 4 november 2015 07:24

Het is qua privacy nogal een verschil of je alleen op straat gefilmd wordt door de overheid, of dat ook al je digitale gegevens voor die overheid verplicht inzichtelijk moeten zijn, om, (zonder verdere aanleiding, of anders zware gevangenisstraf).

Grovdna @Rey Nemaattori • 5 november 2015 12:32

Het is niet alleen een kwestie van voorkomen, maar ook van bewijs leveren. Behalve dat ben ik het niet met je eens, ik denk dat wel degelijk misdrijven zijn voorkomen door het plaatsen van cctv.

dehardstyler @Verwijderd • 3 november 2015 16:30

Als iedereen een beetje het zelfde blijft denken, als ze nu doen vraag ik mij dat oprecht af! Ik vind dat iedereen op dit moment vrij laks is wat betreft encryptie en privacy.

tweaknico @dehardstyler • 3 november 2015 18:46

Ik durf de stelling wel aan dat Zonder Encryptie en Privacy er helemaal geen veiligheid meer bestaat....!

Franko P. @tweaknico • 3 november 2015 21:57

Klopt, en dat is dus precies wat ze niet willen.
Het internet is een voor overheden oncontroleerbaar medium van informatie.

Ze zijn nu met alle macht aan het proberen om die controle weer terug te krijgen.
Slechte zaak als je het mij vraagt.

tweaknico @Franko P. • 4 november 2015 14:10

Tja dat neigt naar een Totalitair regime... van de overheid
Ik geloof dat die het best wel een paar jaar uithouden, en met de huidige middelen mogelijk iets langer..., maar het gaat niet heel erg lang duren..

Verwijderd @dehardstyler • 3 november 2015 16:41

Mensen zijn nu vrij laks, omdat ze denken ik heb niets gedaan, dus ik heb niets te verbergen.

Belachelijk, maar ik ken genoeg mensen die zo denken. Zelfs meegemaakt dat iemand het geen probleem vond om op internet te zetten dat hij hartpatient was. Hij haalde het heel snel weg toe ik hem vroeg wie hij dacht dat werd aangenomen bij een sollicitatie, een 'gezond' persoon of een bekend hartpatient!

Maar als er mensen straks echt de bak ingaan die niets gedaan hebben wordt het een ander verhaal. De overheid zal heel voorzichtig moeten zijn in de UK als ze hun nieuwe wet krijgen dat mensen hier niet opeens wel om gaan geven.

Sergelwd @Verwijderd • 3 november 2015 18:03

De bijwerkingen zullen pijnlijk duidelijk worden, alleen is het kwaad dan al geschied natuurlijk..
Hopelijk krijgt Cameron ooit zijn welverdiende celstraf als hiervoor verantwoordelijke.

Ayporos @Verwijderd • 3 november 2015 16:17

En wat let terroristen om in plaats van Google of Apple diensten (die dus officieel geen goeie encryptie mogen hebben) gewoon open-source wél veilige encryptie mogelijkheden te gebruiken?

P2P met beveiligde bestanden... gewoon je spul in een land hosten waar deze absurde wetgeving niet is... er zijn zo veel manieren om het te omzeilen..
Okee terroristen moeten nu zélf een alternatief zoeken en iets meer werk verrichten (lees: 15min tot een uur extra werk) ipv gewoon Google/Apple diensten of zo te gebruiken.. maar vervolgens ligt wel de privacy van ALLE niet-terroristen op straat.

Verwijderd @Ayporos • 3 november 2015 16:21

Je zegt in feite hetzelfde als ik. Alleen focus ik op de eerlijke mens die wat privacy wil houden.

Ik wordt zolangzamerhand kotsmisselijk van politici die mensenrechten willen beperken en daarvoor steeds met terroristen en kindermisbruikers aankomen zetten.

Hoe meten ze die dan aanpakken? Met meer Humint in plaats van alleen Sigint, zoals het decenia lang gewerkt heeft. Mensen inzetten, infiltreren in plaats van op je luie reet achter een monitor zitten en de hele wereld afluisteren.

wimmi @Verwijderd • 3 november 2015 16:56

Ik wordt zolangzamerhand kotsmisselijk van politici die mensenrechten willen beperken en daarvoor steeds met terroristen en kindermisbruikers aankomen zetten.

He he! Men begint na 20 jaar eens wakker te worden..
Beter laat dan nooit, zal ik maar zeggen?

Verwijderd @wimmi • 3 november 2015 17:23

Wakker worden? Ik heb het NOOIT een overtuigend argument gevonden en me er aan geërgerd.

De laatste paar jaar heeft het echter een zekere grens bereikt, waarbij ik subiet ook de discussie stop met mensen die met dit argument aankomen met het verzoek om terug te komen als ze echte argumenten hebben in plaats van bangmakerij.

Ik ken wat politieagenten en dat zijn de ergste. Je gaat je nog zorgen maken dat de veiligheid in ons land in handen is van mensen die het begrip vrijheid en privacy vreemd is.

Sergelwd @Verwijderd • 3 november 2015 18:06

Dat is voor een flink deel vd agenten ook zo weet ik uit eigen ervaring.. Even een scharrel screenen, nieuwe 2e hands auto even checken, gewoon lukraak wat vrienden opzoeken en doorlichten.. Allemaal aan de orde vd dag, voor sommige is dit ongeloofwaardig en voor sommige is het gewoon logisch gevolg van toegang tot die systemen.

Wolfos @.oisyn • 3 november 2015 16:17

Maar dan kunnen ze je al pakken op het gebruiken van illegale encryptie.

.oisyn Moderator Devschuur®

Beveiliging
Encryptie

@Wolfos • 3 november 2015 16:24

Welke straf zal zwaarder zijn, denk je?

tweaknico @.oisyn • 3 november 2015 18:53

https://en.wikipedia.org/wiki/Key_disclosure_law

hangt dus van het land af...
Zuid Africa: tot 10 jaar in de gevangenis, ZAR 2M
UK: Tot 2 jaar in de bak
India: tot 7jaar in de bak
Frankrijk: 3 jaar in de bak, of EUR 45K als een misdrijf voorkomen had kunnen worden met de beschermde inhoud: tot 5 Jaar of EUR 100K

etc.

i-chat @Wolfos • 3 november 2015 16:31

welkom bij de stazie 2.0 ... wil je echt leven in een land waarbij het hebben van een eigen mening strafbaar is, waar de overheid eist dat ze camera's in je slaapkamer doen om te kijken of je geen jonge meisjes verkracht... want hee hoe kun je ooit tegen kinderverktraings-maatregelen zijn... wil je echt dat 6jarige maagdenbloed op je geweten??

bah... het is werkelijk kotswekken dat deze dingen weer worden misbruikt om de geheime diensten extra macht en inzicht te geven.. hoe durven zulk leed te misbruiken voor hun eigen machtwellust...

Roland684 @Verwijderd • 3 november 2015 16:10

Natuurlijk kun je altijd zelf encryptie toevoegen en daarmee de wet overtreden (hoewel dat waarschijnlijk de minste overtreding)

De ellende is dat je vaak ziet dat als je het niet wilt (of kunt) decrypten, de overheid dat als bewijs gaat zien dat je inderdaad over terrorristische aanslagen of ontvoering sprak.

En natuurlijk voeren ze hier terrorisme en kinderen (vreemd, dit keer geen kinderporno?) als reden aan, want dan wordt het lekker moeilijk om tegen dit voorstel te stemmen.

Rey Nemaattori @Roland684 • 3 november 2015 21:19

Natuurlijk kun je altijd zelf encryptie toevoegen en daarmee de wet overtreden (hoewel dat waarschijnlijk de minste overtreding)

De ellende is dat je vaak ziet dat als je het niet wilt (of kunt) decrypten, de overheid dat als bewijs gaat zien dat je inderdaad over terrorristische aanslagen of ontvoering sprak.

En natuurlijk voeren ze hier terrorisme en kinderen (vreemd, dit keer geen kinderporno?) als reden aan, want dan wordt het lekker moeilijk om tegen dit voorstel te stemmen.

D'r hoeft maar 1 kamerlid te zijn de en-public de vraag stelt: "Als je mensen onthoofd, aanslagen pleegt, shit bombardeert, cultureel erfgoed vernietigd, vrouwen/kinderen ontvoert & mishandeld, waarom zou een dergelijk persoon zich op dit vlak wel aan de wet houden?", dan betwijfel ik of mr. cameron zich daar zonder spin-doctor uit kan lullen

However, die kamerleden daar zijn allemaal net zo als hier: je steunt je partij en daarmee dus eigenlijk ook de beslissingen van je minister (aannemende dat je lid bent van een v/d regeringspartijen), dus die ga je niet het vuur na aan de schenen leggen.

Verwijderd @Verwijderd • 3 november 2015 16:10

En nu? Wat gebeurt er met alle encryptie algoritmes die nu al bestaan?
Hoe denken ze dat dit werkt?

Stel ik ben een terrorist, en stel dat in bijvoorbeeld RSA encryptie een aanpassing is gedaan nav. deze wetgeving.
Ik pak dan als terrorist een commit van voor die wijziging; encrypt mijn bestanden/berichten en klaar. Geen derde partij die er bij kan. Het kan mij als terrorist toch niets schelen dat ik onwettig bezig ben.

Ik zie niet helemaal in hoe ze het voor ogen hebben om dit waar te gaan maken.
Want zelfs als het gaat om cloud diensten van bepaalde partijen, ik kan binnen hun ge-encrypte containers (waar dan volgens wetgeving een backdoor zou moeten zitten) nog steeds mijjn eigen ge-encrypte bestanden (zie vorige alinea) zetten.

Verwijderd @Verwijderd • 3 november 2015 16:11

Verschil zit hem er in dat ze je nu dan al kunnen aanklagen op illegale software en dat ze een startpunt hebben. Niemand zegt dat deze wet de oplossing is, maar het is wel een mogelijk begin. Dat andere gebruikers hier mogelijk last van ondervinden is een ander onderwerp.

polthemol Moderator General Chat @Verwijderd • 3 november 2015 16:19

een mogelijk startpunt ? Onder die redenatie is alles een mogelijk startpunt. Geboortebewijzen, het feit dat je een slot op je voordeur hebt, het kopen van welk soort digitaal hulpmiddel dan ook, enz. enz.

tweaknico @Verwijderd • 3 november 2015 18:56

Kortom je wil HTTPS maar afschaffen voor oa. bank transacties?
Immers jij heb geen sessie sleutel om af te kunnen geven.....
In een HTTPS sessie kunnen ook andere dingen mee, ook via een bank transactie.

bbc @Verwijderd • 3 november 2015 16:34

Ik pak dan als terrorist een commit van voor die wijziging; encrypt mijn bestanden/berichten en klaar. Geen derde partij die er bij kan. Het kan mij als terrorist toch niets schelen dat ik onwettig bezig ben.

Zoals anderen gezegd hebben kunnen ze je wel aanklagen op basis van het feit dat je geen toegang wil verlenen tot je data.

Op zich is het wel een interessante denkpiste. Een soort ransomware worm die je vakantie foto's gaat versleutelen en eventueel ook nog wat bezwarend materiaal kan verspreiden in jouw naam, zodat het lijkt alsof je met iets bezig bent (terrorisme, kinderporno, ...). Je zal zelf je data niet meer kunnen ontsleutelen en veroordeeld worden voor iets wat je zelf niet hebt gedaan.

smeaggie @bbc • 3 november 2015 17:38

[...]

Op zich is het wel een interessante denkpiste. Een soort ransomware worm die je vakantie foto's gaat versleutelen en eventueel ook nog wat bezwarend materiaal kan verspreiden in jouw naam, zodat het lijkt alsof je met iets bezig bent (terrorisme, kinderporno, ...). Je zal zelf je data niet meer kunnen ontsleutelen en veroordeeld worden voor iets wat je zelf niet hebt gedaan.

Interessant idee is ook om de situatie om te draaien; schrijf een worm die zo van tijd tot tijd eens opzoekt hoe je diverse soorten bommen maakt; doe requests voor diverse wiki's over explosieven met huis, tuin en keuken spullen en maak de hele wereld verdacht. Laat de diensten gek worden van de alarmbellen die af gaan als alle burgers online verdachte activiteit tonen...

tweaknico @bbc • 3 november 2015 18:58

Klopt, alle slachtoffers van Ransomware zijn per definitie in overtreding....
Dus als je aangifte daarvan gaat doen.... Dubbel genaaid.

Anthracite @Verwijderd • 3 november 2015 16:03

Als je een encryptiemethode bij voorbaat al lek maakt, dan biedt het dus geen beveiliging. In principe is elke beveiliging te kraken, maar als je hem meteen al lek schiet, dan maakt je het dezelfde criminelen wel heel gemakkelijk.

En deze wet werkt dus niet, want criminelen maken gebruik van illegale encryptiemethoden, die geen backdoors hebben. Wie pak je dus hiermee? De burger.

[Reactie gewijzigd door Anthracite op 25 juli 2024 07:19]

MartijnHavinga @Anthracite • 3 november 2015 16:16

De encryptie methode hoeft niet lek te zijn. Het gaat er alleen om wie in het bezit is van de sleutels. Ik kan nog steeds een encryptie van 2048 bits of hoger gebruiken als aanbieder van software. Zolang ik zelf in het bezit blijf van de keys kan ik nog steeds berichten ontsleutelen.

i-chat @MartijnHavinga • 3 november 2015 16:33

en dan wordt jouw database gehackt en kunnen criminelen en terroristen al die sleutels gaan misbruiken... staan binen no time je medische gegevens online, of je dagboek of die prive foto's waarvan je dacht dat ze veilig op je nas stonden... vergeet niet, dit soort zaken zullen ook gevolgen hebben voor bedrijven als synologie... your data will never be safe again.

Verwijderd @i-chat • 4 november 2015 08:51

> Buitengewone slechte ontwikkeling, want die producten gaan dan helaas ook hier belanden.

< i-chat
Als de overheid er zo tegenover staat, gaan alle producenten hopelijk de moeite nemen een GB(backdoor) versie uit brengen voor dergelijke zaken als Synology DSM en Windows of gewoon compleet negeren, omdat heel veel overige (voornamelijk zakelijke) klanten die producten dan niet willen (uiteraard voor een meerprijs in verkoop om die kosten te dekken en de grijze import daar te stimuleren, daarnaast direct ook om die GB troep daar te laten blijven ).

Daarmee de keuze laten GB's een Illegale build er op te zetten, en de overige klanten buiten de GB niet op te schepen met troep/mogelijk te flashen naar een fatsoenlijke versie indien.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:19]

YangWenli @MartijnHavinga • 3 november 2015 18:09

Ja totdat iemand die toegang heeft tot de keys gokschulden heeft en de hele boel verkoopt.

mae-t.net @MartijnHavinga • 3 november 2015 23:32

Elke sleutel die niet bij de verzender of de bestemmeling berust is per definitie een lek.

Deakers @Anthracite • 3 november 2015 17:05

niet iedere encryptie is te kraken:
https://en.wikipedia.org/wiki/One-time_pad

en je hebt ook geen software nodig...

[Reactie gewijzigd door Deakers op 25 juli 2024 07:19]

Chocomel_Deluxe @Deakers • 3 november 2015 18:12

Ah, bedankt voor de link, erg interessant om te lezen.

monojack @Verwijderd • 3 november 2015 16:06

Maar als de Brite overheid content kan ontsleutelen kunnen criminelen dat ook. Het maakt ons en de overheid kwetsbaar voor kwaadwilligen.

Het is gewoon een belachelijk voorstel want het zal er enkel voor zorgen dat criminelen op andere wijze gaan communiceren maar onze content totaal niet meer veilig is voor hen.

Atomsk @monojack • 3 november 2015 16:45

Nee, zo simpel is het niet, vooropgesteld dat het niet eenvoudig is om de master key te achterhalen. Bij blu-ray encryptie heeft dat bijvoorbeeld gefaald, er zijn echter nog genoeg consoles e.d. waar je geen home brew op kunt draaien omdat alleen de fabrikant hier de benodigde sleutel voor kan genereren. Wanneer Google in staat is om de inhoud van je gmail in te decoderen en door te sturen, wil niet zeggen dat een crimineel dat dus ook kan.

Blokker_1999

Politiek en recht
Privacy

@Atomsk • 3 november 2015 17:05

Totdat die sleutel toch op straat komt te liggen. Maak je gebruik van een dienst die end-to-end encryptie aanbied en waarbij de dienstverlener zelf die data niet kan lezen zou men bij deze nieuwe wetgeving, als die zo word aangenomen, verplicht een back-door moeten gaan inbouwen zodat men wel kan meelezen. En eenmaal die backdoor bestaat is het een kwestie van tijd totdat bekend word hoe anderen ze kunnen misbruiken.

Seal64 @Verwijderd • 3 november 2015 16:04

Me dunkt dat als je iemand wilt gaan aanklagen voor terrorisme, dat je dan wel iets meer bewijsmateriaal zult moeten hebben dan een versleuteld ZIP bestand op een USB stickje. Als dat an sich dan niet voldoende is om een veroordeling voor elkaar te krijgen kun je je af gaan vragen wat het OM dan in vredesnaam nog zit te doen de hele dag.

tweaknico @Seal64 • 3 november 2015 19:03

Klopt, het verzoek is dan of je het .ZIP bestand wil ontsleutelen, zo niet dan
weiger je het decryptie bevel ==> overtreding van de wet in deze ==> straf voor weigering van decryptie ....

Mogelijk dat de inhoud onschuldig was, mogelijk de volledige planning van een aanslag... Als na decryptie blijkt dat het een aanslag beschrijving is ga je natuurlijk voor de bijl voor terrorisme...

polthemol Moderator General Chat @Verwijderd • 3 november 2015 16:05

en deze wet brengt daar verandering in ?

Papieren tijger, de enige mensen die het raakt zijn de gewone gebruikers, waar de beveiliging een stuk minder wordt. Het zoveelste voorstel waaruit blijkt dat overheden geen flauw idee hebben over zaken als security in het algemeen of ict specifiek. Diep en dieptriest is het aan het worden dat je straks dus illegaal bezig bent omdat je je digitale leven goed probeert te beveiligen.

NLsandman @Verwijderd • 3 november 2015 16:07

Software dat niet voldoet aan deze wet wordt verboden, die criminelen gebruiken gewoon
die programma's dus die hele wet heeft helemaal geen zin en is er alleen maar voor
om de burgers in de gaten te houden.

fsfikke @WoutervOorschot • 3 november 2015 16:08

Wat opsporingsdiensten op dit moment een doorn in het oog is, is dat ze in beslag genomen apparaten niet in kunnen zien. Bijvoorbeeld een iPhone waar een passcode op zit, hebben ze geen mogelijkheid om op te komen, terwijl daar wel zeer waardevolle informatie op staat. Daarom willen ze dat ze via de fabrikanten alsnog toegang kunnen krijgen.

Met als gevolg dat de vrijheid van iedereen opgeofferd wordt voor een heel klein beetje meer veiligheid. Terwijl mensen die echt wat te verbergen hebben, altijd nog genoeg mogelijkheden hebben om hun data uit handen van de overheid te houden. Maw. een wet uit gemakzucht van de overheid, die in de praktijk niet dat zal opleveren wat nu beloofd wordt.

TIGER79 @fsfikke • 3 november 2015 16:21

een wet die natuurlijk vervolgens ook nog maar een stapje verwijderd is van alles bij iedereen decrypten en doorsturen, gewoon uit voorzorg.. Want het hele massale afluisteren is al mogelijk dus als we dit een stapje verder brengen in combinatie met de mogelijkheid data te kunnen decrypten dan wordt het onderhand wel erg eng allemaal... En dat zal allemaal echt wel goedgepraat worden hoor daar niet van....

Verwijderd @WoutervOorschot • 3 november 2015 16:05

Ik ga toch denken dat een beetje 'terrorist' gebruikt maakt van een adidas netwerk..

tweaknico @Verwijderd • 3 november 2015 19:05

+ Steganografie + Compresie + Encryptie ....

stresstak @WoutervOorschot • 3 november 2015 23:41

Nou ja, ik denk zomaar dat mensen die terroristische aanslagen willen plegen, mensen willen vermoorden of kinderen willen verkrachten zich misschien, zomaar misschien, ....

.... zich helemaal niet met internet hoeven in te laten.

Misdrijven kunnen heel goed ook zonder het internet bedacht en gepleegd worden.
OK, soms kan het internet of een telefoongesprek een bijdrage leveren, maar het is niet noodzakelijk. Echt niet.!

Verwijderd @WoutervOorschot • 4 november 2015 04:27

Je hebt op zich gelijk, maar volgens mij zijn dit soort regels er niet om dat soort 'slimme' criminelen aan te pakken.

Het is nu zo dat als de autoriteiten bij Apple (etc) aankloppen om de iMessages tussen twee personen in te zien Apple antwoord met "sorry, maar dat kan simpelweg niet".

Dat is uiteraard frustrerend om te horen te krijgen en deze wet zou Apple dwingen het wél mogelijk te maken. That's it. Verder is er waarschijnlijk niet over nagedacht.

Volgens mij zijn dit soort voorstellen in de basis redelijk doordacht maar zijn er vervolgens allerlei partijen binnen de overheid die nog even een paragraafje toe willen voegen.

Een ongewenst paragraafje wat mij betreft, met mogelijk verstrekkende gevolgen, maar allerminst verbazend.

Fermion @WoutervOorschot • 3 november 2015 16:09

Om het algemene publiek te monitoren.

marcovtjetje @WoutervOorschot • 4 november 2015 14:04

Op het moment dat de bulk van het internet verkeer protocollen gebruik die door veiligheiddiensten te ontsleutelen zijn, valt het volledig geencrypte "rest" verkeer natuurlijk wel meer op.

Daarnaast kan het ontsleutelde verkeer doorzocht worden naar clues.

Begrijp me niet verkeerd, dat is allemaal geen reden encyptie dan maar zo te verminken, maar dat het niks uit maakt is ook wat simplistisch.

WoutervOorschot

@marcovtjetje • 4 november 2015 14:07

Alleen verkeer van UK bedrijven en mensen mag dan niet encrypted zijn, maar al het verkeer wat slechts door de UK heen komt mag gewoon encrypted zijn.

Daarnaast, het verkeer kan nog steeds encrypted zijn, alleen moeten de keys beschikbaar zijn voor de UK overhead.

WhatsappHack

Politiek en recht
Encryptie
Privacy
spionage

3 november 2015 16:31

Die gasten sporen niet hoor.
Is ook meteen einde WhatsApp trouwens als dit erdoor komt. Ook einde Signal. (In de UK dan, mits ze werkelijk buitenlandse diensten gaan blokkeren.)

Ik snap werkelijk niet hoe ze ooit kunnen denken dat dit een goed idee is.
Je gaat toch ook niet aan condoomfabrikanten vragen of ze gaatjes willen prikken aan de bovenkant van het condoom? Want daar komt het eigenlijk op neer: je vraagt bedrijven die een beveiliging willen gebruiken om te zorgen dat deze beveiliging lek is.

Dit geeft problemen omdat:
1.) Het al jaren blijkt dat de overheid niet te vertrouwen valt met dit soort IT business
2.) Een backdoor is en blijft een backdoor, dat die er voor de overheid in zit is allemaal leuk en aardig; maar dat houdt in dat het ook te misbruiken zal zijn door een malicious hacker. Misschien met wat moeite, maar uiteindelijk komen ze er wel. Zeker gezien er dus een "master key" moet zijn.
3.) End-to-end encryptie wordt hier inderdaad mee gesloopt, de veiligste manier van communiceren wordt hiermee verboden; dat is belachelijk.

Bedrijven als bijvoorbeeld WhatsApp zijn juist bezig met E2E om te zorgen dat er geen privacyschending kan plaatsvinden (en dit gegarandeerd is aan de gebruiker), maar ook dat de overheid niet gigantische hoeveelheden data kan aftappen.
Nu wil de Britse overheid dus dat deze vorm van encryptie gesloopt wordt, dat E2E verboden wordt of dat er op z'n minst een masterkey moet zijn?

OLA AMIGOS! Het hele doel van E2E is dat er *nooit* iemand mee kan lezen die er tusseninzit, dus ook het communicatieplatform niet. Als er een backdoor inzit, dan is het gewoon meteen al geen E2E meer!

Dit is een *extreem* gevaarlijke wetgeving, zal heel veel diensten de nek omdraaien (binnen de UK dan; als buitenlandse diensten ook niet gebruikt mogen worden) maar het belangrijkste:
het heeft totaal geen nut.

Het enige wat je realiseert, is dat je onschuldige burgers kan bespioneren. Dit gaat _nooit_ helpen tegen terrorisme, wat wel het argument is. Een terrorist zal dan gewoon een systeem gebruiken die niet voldoen aan de Britse wetgeving. De terroristen en criminelen zullen wel E2E hebben, maar normale burgers niet.
Dat is totaal onwenselijk.

Nu weten we al dat GCHQ eigenlijk primair tonnen en tonnen aan data verzamelt van onschuldige burgers (en die netjes deelt met de NSA), en dat er slechts summier overwinningen worden geboekt met terrorisme dankzij geen encryptie en deze spionage.
Bombings bij die Boston Marathon? Niet voorkomen. Aanslagen Londen? Niet voorkomen. (Recent ook niet, dat die vent vermoord werd op straat.) Thalys? Voorkomen, maar niet dankzij inlichtingendiensten.
Slechts summier wordt er iets verijdeld, en dat is dan meestal niet dankzij de massa-surveillance...

Het is een feit dat er steeds meer gebruik wordt gemaakt van encryptie (al was dat voor het internet ook al zo, het is nu enkel makkelijker.) en dat dit een probleem kan zijn voor inlichtingendiensten.
Maar een wet als dit lost niets op en treft enkel de onschuldigen.
De Britse overheid is echt *gestoord* als ze dit willen doorvoeren... En dan wordt het ook meteen een stuk enger land, vind ik.

Doe. het. niet!

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 07:19]

M.l. @WhatsappHack • 3 november 2015 17:09

Ben het grotendeels met je eens, maar wat betreft puntje 2 niet helemaal.

2.) Een backdoor is en blijft een backdoor, dat die er voor de overheid in zit is allemaal leuk en aardig; maar dat houdt in dat het ook te misbruiken zal zijn door een malicious hacker. Misschien met wat moeite, maar uiteindelijk komen ze er wel. Zeker gezien er dus een "master key" moet zijn.

Een malicious hacker moet waarschijnlijk veel meer moeite doen om de master-key te ontfutselen dan de user key.
Een master key is waarschijnlijk gewoon een publieke sleutel waarmee je de user key asymmetrisch versleuteld. Er van uit gaande dat je de versleutelde versie van de user key en/of de versleutelde container hebt kun je als aanvaller het volgende proberen:

de user key met eventuele salt te raden, versleutelen en vergelijken met de versleutelde user key
de user key raden en testen op versleutelde container
de publieke sleutel refactoren en zo de master key kraken
de master key stelen (waarschijnlijk alleen in een kluis, dus je moet daar dan inbreken)

De eerste optie is mogelijk wat sneller dan de tweede optie (wat bij huidige encryptie al kan), maar nog steeds praktisch niet te doen. De derde optie is ook niet te doen, de public key heeft iedereen wel, maar het kraken hiervan is niet te doen. De laatste optie spreekt voor zich (en als je daar nog een extra laag encryptie tegen komt ben je alsnog niets opgeschoten).

Wat wel een groot probleem is is dat door het lekken/diefstal van de master key niet een maar alle ('legale') encryptie in eens is gekraakt.

robvanwijk

Encryptie
Beveiliging
Politiek en recht
Privacy

@M.l. • 3 november 2015 22:05

Een master key is waarschijnlijk gewoon een publieke sleutel waarmee je de user key asymmetrisch versleuteld.

Ben benieuwd wat er zou gebeuren als allerlei populaire libraries een update krijgen naar een buggy versie die, geheel per ongeluk natuurlijk, random meuk wegschrijven in plaats van de backdoor-key. Want tja, je kunt als developer niet testen of je het goed gedaan hebt en voor gebruikers is dat al helemaal onmogelijk vast te stellen natuurlijk.

de master key stelen (waarschijnlijk alleen in een kluis, dus je moet daar dan inbreken)

Ja, die begint in één, grote kluis bij de inlichtingendienst. Daarna worden dat de kluizen van alle Britse inlichtingendiensten (plus de NSA natuurlijk; die jatten alles wat los of vast zit). Nog wat later ook op een paar grote politiebureaus... Nog iets langer wachten en het ding ligt ook op alle kleine politiebureaus in de la (huh, kluis? ehm ja, zou wel moeten, maar als je iets zo vaak gebruikt, dan is het veel te onhandig om elke keer naar de kluis te moeten lopen). Tegen die tijd zullen er vast ook al wel een paar criminelen met grof geld iemand omgekocht hebben, zodat zij de backdoor ook hebben. En nog weer wat later beland het ding op bittorrent en wikileaks... en dan pakken alle niet-Britten een hele grote zak popcorn erbij en gaan we "Big Brother - UK Style" kijken. (Dit is overigens ook het moment waarop mensen de uitgelekte backdoor gaan proberen op email van politici en er dan, tot hun "verbazing", achter komen dat het niet werkt...)
Ik heb zelden zo'n slecht plot voor een film gehoord...; maar kennelijk is de echte wereld soms nog net even iets slechter geschreven dan de slechtste bagger die Hollywood produceert. Hoe kan iemand die zo incompetent is op een positie terechtkomen waar ie zo'n compleet gestoord plan überhaupt voor kan stellen!?

Wat wel een groot probleem is is dat door het lekken/diefstal van de master key niet een maar alle ('legale') encryptie in eens is gekraakt.

Voor de volledigheid: zowel in de toekomst als (voor iemand met genoeg opslagcapaciteit) het verleden! Ben je erg benieuwd wat je concurrent aan het doen is? Sla alle versleutelde data op; vroeg of laat gaat die backdoor uitlekken en dan kun je het hele archief in één keer ontcijferen. Sommige informatie zal tegen die tijd niet meer interessant zijn, maar dikke kans dat er een paar pareltjes tussen zitten die desnoods jaren later nog steeds van pas komen.

robvanwijk

Encryptie
Beveiliging
Politiek en recht
Privacy

@WhatsappHack • 3 november 2015 22:33

Je gaat toch ook niet aan condoomfabrikanten vragen of ze gaatjes willen prikken aan de bovenkant van het condoom? Want daar komt het eigenlijk op neer: je vraagt bedrijven die een beveiliging willen gebruiken om te zorgen dat deze beveiliging lek is.

Die vergelijking klopt niet; de beveiliging moet op commando lek zijn (maar mag tot die tijd zo sterk zijn als je wil).

Het enige wat je realiseert, is dat je onschuldige burgers kan bespioneren.

Doet me denken aan hoe we in Nederland tegenwoordig altijd ons paspoort bij ons moeten hebben, maar een agent je niet aan mag houden en vragen om je paspoort, op verdenking dat je je paspoort niet bij je hebt...
Stel, Jantje doet niets verdachts. Dan mag de politie zijn verkeer niet ontsleutelen (ehm, ik heb die Engelse wet niet gelezen, maar ik zou hopen dat ze nog steeds "reasonable suspicion" nodig hebben voordat ze je mogen onderzoeken, of wordt dat ook meteen maar afgeschaft...??), dus mogen ze niet controleren of hij wel netjes de backdoor gebruikt. Als brave burger hoef je je hier dan in feite niet aan te houden, toch?

Als ze verkeer vinden dat versleuteld is en ze kunnen het niet kraken, wat gaan ze dan doen? Het lijkt me niet handig om die personen allemaal aan te klagen, voor de rechter uitleggen waarom ze genoeg verdenking hebben om te willen ontsleutelen... en negen van de tien keer gezichtsverlies leiden omdat ze een onschuldige te pakken hebben...
Bovendien, zoals het artikel het zegt moet de aanbieder het kunnen ontsleutelen; als twee terroristen met elkaar willen praten dan kunnen ze daar gewoon 4096 bit RSA overheen gooien (één van de twee is "de aanbieder"), en dan kan de politie er nog steeds niks mee (niet zonder de verdachten te laten weten dat ze ze op het spoor zijn).

stresstak @robvanwijk • 4 november 2015 00:33

Het lijkt me niet handig om die personen allemaal aan te klagen, voor de rechter uitleggen waarom ze genoeg verdenking hebben om te willen ontsleutelen...

Die rechter, dat is nog een puntje om te tackelen. Maak een wet die de rechter in buitenspel zet of overbodig maakt. Je kunt zo'n rechter met het anti-encryptie-verhaal nou eenmaal niet voor elke UK-burger het bed uit bellen. Bij zo'n massaal aanbod van verzoeken moet de rechterlijke macht maar worden ontzien.

tinoz @WhatsappHack • 3 november 2015 16:44

De vragen zijn dus: waarom willen ze dit? Info is macht is geld? Wie is de drijvende kracht achter dit soort wetgeving?

Verwijderd 3 november 2015 15:58

In Nederland geldt een soortgelijke wet voor telecomaanbieders die hun netwerk aftapbaar moeten maken voor de overheid.

Wij hebben hier echter geen verplichting om gecodeerde data te verbieden die alleen de gebruiker kan ontsleutelen. Dat is ook (vrijwel) niet mogelijk want dat zou bijv. betekenen dat:

- OpenVPN met perfect forward security naar een bedrijfsnetwerk verboden wordt
- Mailen met PGP encryptie verboden wordt
- TOR verboden wordt, zelfs de technologie hierachter
- Full disk encryptie verboden wordt (in GB geldt nu al een decryptie-bevel)

Deze britse wet is, om het heel oneerbiedig te zeggen, het zoveelste "fuck you" in het gezicht van de burger.

GekkePrutser @Verwijderd • 3 november 2015 17:41

Full disk encryptie verboden wordt (in GB geldt nu al een decryptie-bevel)

Dit is niet zo ver van je bed in Nederland. Dat decryptie-bevel zit er ook al aan te komen! Het is een onderdeel van het nieuwe wetsvoorstel van Plasterk.

ELD @GekkePrutser • 3 november 2015 18:07

Wellicht, maar zowel de raad van state, de raad voor de rechtspraak en meerdere hoogleraren hebben al aangegeven dat deze wetgeving zeer waarschijnlijk in strijd is met het "nemo tenetur prodere se ipsum" beginsel ofwel het recht om niet tegen jezelf bewijs te leveren.

Dus het is nog niet zover.

tweaknico @ELD • 3 november 2015 19:09

Voor de belasting dienst geldt die aanname van onschuldigheid ook niet.
Het wordt langzamerhand de gewoonte om allerlei zaken in te voeren waarmee de burger maar moet bewijzen dat die iets NIET van plan was.

Verwijderd @Verwijderd • 3 november 2015 17:34

Waarom is het verplicht aftapbaar maken van een telefoon netwerk geen probleem, en verplicht aftapbaar maken van encrypte dataverbinding wel een probleem? Het is uiteindelijk hetzelfde, namelijk een mogelijkheid tot afluisteren inbouwen...

jasper580 @Verwijderd • 3 november 2015 19:10

Omdat er andere data over de lijn gaat. Om je stelling even te relativeren: dat is net zoiets als "Waarom wel een diploma vereisen voor het besturen van een vliegtuig, maar niet voor het besturen van een fiets?". Allebei vormen van vervoer inderdaad, maar met totaal andere implicaties.
Om je vraag zelf te beantwoorden: het verplicht moeten kunnen aftappen van een telefoonnetwerk vind ik eigenlijk ook van de zotte, omdat het waarschijnlijk net zoveel effect heeft: geen. Terroristen pakken dan namelijk gewoon een Intertoys walkie-talkie, geen probleem. Daarentegen doe ik over het internet ook mijn bankzaken, en een slechtere encryptie daarop maakt dat de kans dat opeens mijn account leeggehaald is door een hacker exponentieel groter.

Verwijderd @Verwijderd • 3 november 2015 16:10

Inderdaad en door deze regel 'terroristen, criminelen en ontvoerders van kinderen geen veilige plek te bieden op internet' gaat het er ook gewoon komen.

en dan vooral de eerste en laatste, zijn van die argumenten waar men niet zo hard tegen gaat, want je zou maar als pro-terroristen of voor kinder misbruik gezien worden.

cdwave @Verwijderd • 3 november 2015 16:38

In Nederland zijn wij vast veel ruimdenkender.

Ik verwacht dat er binnenkort een voorstel voor "thuisencryptieheffing" komt.

Dorank @Verwijderd • 3 november 2015 17:27

In Nederland geldt een soortgelijke wet voor telecomaanbieders die hun netwerk aftapbaar moeten maken voor de overheid.

De tapplicht is best effort. Het enige wat een ISP hoeft te doen is een monitor poort te maken en het verkeer van de getapte daarop te dumpen en op te slaan. Als er gebruik wordt gemaakt van diensten bij de ISP op basis van certificaten (in beheer van de ISP), kunnen met de private keys de streams alsnog ontsleuteld worden.

Rey Nemaattori @Verwijderd • 3 november 2015 21:08

In Nederland geldt een soortgelijke wet voor telecomaanbieders die hun netwerk aftapbaar moeten maken voor de overheid.

Wij hebben hier echter geen verplichting om gecodeerde data te verbieden die alleen de gebruiker kan ontsleutelen. Dat is ook (vrijwel) niet mogelijk want dat zou bijv. betekenen dat:

- OpenVPN met perfect forward security naar een bedrijfsnetwerk verboden wordt
- Mailen met PGP encryptie verboden wordt
- TOR verboden wordt, zelfs de technologie hierachter
- Full disk encryptie verboden wordt (in GB geldt nu al een decryptie-bevel)

Deze britse wet is, om het heel oneerbiedig te zeggen, het zoveelste "fuck you" in het gezicht van de burger.

Burger? Burgers hebben rechten...

Verwijderd @Verwijderd • 4 november 2015 04:37

Op de korte termijn haalt zo'n wet inderdaad weinig uit, maar wetten zijn zelden tijdelijk en als ik iets verder kijk zal het wel degelijk effect hebben.

Als een aantal belangrijke landen vergelijkbare wetten invoert zal dat verlammend werken op de encryptie industrie, incl. de Open Source component.

Waarom zouden ze immers iets ontwikkelen dat wat ze zelf niet mogen gebruiken of verkopen. De ontwikkelingen komen vrijwel stil te liggen en voor nieuwe technologie moet je straks naar dure specialistische bedrijven.

Tegelijkertijd worden computers steeds krachtiger en op enig moment zijn de vrij beschikbare technieken die je nu noemt niet meer afdoende om je te beschermen tegen de overheid.

Wat gebruik jij over 20 jaar als de ontwikkeling van openvpn, tor, etc vandaag wordt stilgelegd en er geen nieuwe initiatieven genomen worden?

Overigens denk ik niet dat het zo'n vaart zal lopen, maar ik denk niet dat je dit soort wetten kunt negeren onder het mom van "ik heb toch al tooltje en dat nemen ze me niet af".

Kaw 3 november 2015 16:03

In feite zeggen ze hier mee dat je in principe geen geheimen mag hebben voor de overheid.
Ze hebben al inzage in:
- Digitale financiële transacties
- Surfgedrag
- Grofweg de locatie van je mobiele telefoon
- Metadata van je telefoongesprekken of zelfs de gesprekken zelf
- Waarschijnlijk de inhoud van je e-mails
En nu willen ze het laatste restje privacy die mensen soms schijnbaar nodig achten verbieden.

Ik ben van nature geen complottheorieaanhanger, maar ik vraag me af waar dit toe gaat leiden. Naast geheime wetgeving binnen een democratie (zoals bijv. TTIP. Hoe is dat overigens mogelijk?) wil de Britse overheid nu een totaalverbod op privacy van zijn burgers. Vaak zien we dat als zulke verregaande wetgeving bij de buren ingevoerd wordt, dat het slechts een kwestie van tijd is dat het ook bij ons zo is.
Ik wil in zo'n samenleving eigenlijk niet leven.

Dorank @Kaw • 3 november 2015 18:51

In feite zeggen ze hier mee dat je in principe geen geheimen mag hebben voor de overheid.
Ze hebben al inzage in:
- Digitale financiële transacties
- Surfgedrag
- Grofweg de locatie van je mobiele telefoon
- Metadata van je telefoongesprekken of zelfs de gesprekken zelf
- Waarschijnlijk de inhoud van je e-mails

Op basis van welke feiten meldt je dit?
Geen idee wat de banken doen maar de rest:

-Surfgedrag
-Waarschijnlijk de inhoud van je e-mails

Dit was geen onderdeel van de bewaarplicht.

- Grofweg de locatie van je mobiele telefoon
- Metadata van je telefoongesprekken of zelfs de gesprekken zelf

Metadata was onderdeel van de bewaarplicht., a/b nummer, tijd en de locatie aan begin en einde gesprek voor zover van toepassing. Gedeeltelijk nodig voor billing, die gegevens blijven dus wel enige tijd in de systemen zitten todat deze geanonimiseerd worden (verplicht).

Op het moment dat er een tapbevel komt dient een ISP alles wat ze over de getapte weten over te dragen. Indien je dus email diensten van je provider gebruikt, inderdaad de inhoud.

De simpele workaround is om diensten zoveel mogelijk in eigen beheer te hebben en/of in het buitenland af te nemen (gespreid).

tweaknico @Kaw • 3 november 2015 19:11

Je vergeet het personen tracking systeem in NL dat OV-chipkaart project heet.
Want als dat om geld te doen was was het wel beter in elkaar gezet voor betalingen etc.
met minder gedoe voor de reiziger.
Daarnaast zijn er de kenteken volgsystemen.
Video bewaking in diverse steden...

TheBlackbird 3 november 2015 20:58

Dit heeft niks te maken met criminaliteit of kinderporno. Maar alles met het feit dat de GCHQ jarenlang ongestoord alle internetverkeer van alles en iedereen aftapte en retroactief naar believen kon inzien. Privacy in Engeland was al enige tijd 100% dood.

Sinds Snowden is encryptie wat aan een (bescheiden) opmars bezig en strooit nu stilaan roet in het eten van het feestje dat dragnet surveillance heet. Men wil simpelweg terug naar die heerlijke tijd dat je met een zoekterm in XKEYSCORE / ICREACH het leven van Jan-met-de-pet van geboorte tot dood kon inzien.

Criminaliteit tegengaan doe je dus met echt politiewerk: interviews, ondervraging, installeren van afluisterapparatuur, undercoverwerk, DNA-analyse, informanten, schaduwen van verdachten, etc... Je moet dan echt wel werken natuurlijk, niet gewoon een SQL-query'tje draaien op een illegale surveillance database. Dat doet pijn neem ik aan.

[Reactie gewijzigd door TheBlackbird op 25 juli 2024 07:19]

Verwijderd 3 november 2015 16:04

Bedrijven zouden dus opzettelijk kwetsbaarheden moeten inbouwen in encryptiediensten om te voldoen aan de nieuwe wetgeving. Het risico daarvan is dat kwaadwillenden van dezelfde kwetsbaarheden gebruik kunnen maken.

Dat hoeft helemaal niet.
Ze kunnen ook een encyptiemethode gebruiken waarvoor ze zelf een ontcijferingssleutel hebben.
Dat hoeft niet via het inbouwen van een kwetsbaarheid.
Die encrpytie zelf hoeft dus op zich helemaal niet zwakker te zijn dan de huidige encyptie en het is dus niet zo dat kwaadwillenden daar dan gebruik van kunnen maken.

Aaargh! @Verwijderd • 3 november 2015 16:18

Ze kunnen ook een encyptiemethode gebruiken waarvoor ze zelf een ontcijferingssleutel hebben.

En wie gaat al die sleutels beheren ? Wie heeft er allemaal toegang tot die sleutels, en hoe zijn ze beveiligd.

Je weet gewoon dat op een gegeven moment de 'master keys' lekken en dan heb je dus een enorm probleem.

Verwijderd @Aaargh! • 3 november 2015 16:33

Je weet gewoon dat op een gegeven moment de 'master keys' lekken en dan heb je dus een enorm probleem.

Apple heeft toch al lang bergen encyptiesleutels voor hun einge communicvaties netwerk en software en weet ongetwijfeld perfect hoe ze die private sleutels moeten beveiligen.

Je bent al de derde die suggereert dat masterkey wel zullen lekken maar hoe vaak gebeurt dat dan? Er zijn tienduizenden organisaties voor wie het beheer van private keys van vitaal belang is zoals bijvoorbeeld Apple en Google en Microsoft maar bijvoorbeeld banken en andere partijen in het betalingsverkeer. Hoe vaak verliezen als die duizenden organisateis eigen lijk hun masterkeys als dat zoals jij suggereert altijd 'op een gegeven moment' gebeurt.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:19]

Aaargh! @Verwijderd • 3 november 2015 16:35

Apple gebruikt end-to-end encryptie voor dingen als iMessage, Apple heeft de keys niet.

kaas-schaaf @Aaargh! • 3 november 2015 17:11

De TSA kan hier over meepraten. (normale sleutels)

Een backdoor zal ALTIJD gevonden worden door iemand die daar geen toegang voor zou moeten hebben. Dat is een kwestie van tijd. Zoiets stopt iedere vorm van cryptografisch nut direct.

Rey Nemaattori @Aaargh! • 3 november 2015 21:58

[...]

En wie gaat al die sleutels beheren ? Wie heeft er allemaal toegang tot die sleutels, en hoe zijn ze beveiligd.

Je weet gewoon dat op een gegeven moment de 'master keys' lekken en dan heb je dus een enorm probleem.

Je hebt er maar één lek nodig en al je encryptie binnen 't hele land is niet alleen nutteloos, 't geeft ook nog eens een schijnveilig gevoel want voordat 't uitlekt dat er iemand corrupt is, ben je maanden verder: de Nederlandse mol liep eigenlijk al in Mei tegen de lamp, maar 't duurde nog tot 29 september voordat hij opgepakt werd...

watercoolertje @Verwijderd • 3 november 2015 16:17

Jij en ik hebben een sleutel, en nu komt er een 3de met een sleutel (en dan ook nog een masterkey die in principe op alle berichten werkt), dus meer mensen waar het fout kan gaan (sleutel lekken), of op hun systeem ingebroken om mee te lezen, en dus kwetsbaarder

[Reactie gewijzigd door watercoolertje op 25 juli 2024 07:19]

Verwijderd @watercoolertje • 3 november 2015 16:32

Je negeert een vitaal stukje citaat waar ik op regeerde:

Het risico daarvan is dat kwaadwillenden van dezelfde kwetsbaarheden gebruik kunnen maken

Een extra sleutel is geen extra kwetsbaarheid waar kwaadwillenden gebruik van kunnen maken zoals het artikel suggereert.

Er is inderdaad een minimaal extra risico door het toevoegen van sleutels van Apple aan communicaties. Maar Apple heeft waarschijnlijk honderden vitale private sleutels om hun eigen netwerk en communicaties en software te beschermen. Deze liggen toch ook niet op straat.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:19]

Jaap-Jan @Verwijderd • 3 november 2015 18:52

Precies. Een extra sleutel is geen extra risico.

Totdat die sleutel gelekt of gekraakt wordt. En dan krijg je te maken met de wet van Murphy. En op zo'n moment hoop je dat de impact niet te groot is.

Een PKI- infrastructuur (asymmetrische encryptie) is wel redelijk veilig te krijgen (de private key is niet nodig om een certificaat te signen), maar bij symmetrische encryptie heb je dat voordeel niet.

Verwijderd @Jaap-Jan • 3 november 2015 22:03

Wel een extra risico maar beperkt.
Niet als kwetsbaarheid in de software waar andere gebruik van kunnen maken zoals het article suggereert maar wel als geheim gegeven dat mogelijk gecompromiteerd kan worden.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:19]

Rey Nemaattori @watercoolertje • 3 november 2015 21:46

Jij en ik hebben een sleutel, en nu komt er een 3de met een sleutel (en dan ook nog een masterkey die in principe op alle berichten werkt), dus meer mensen waar het fout kan gaan (sleutel lekken), of op hun systeem ingebroken om mee te lezen, en dus kwetsbaarder

Zeker met die politielekkages en integriteitsschandalen de laatste weken hier in NL, kan ik me niet anders dan verzetten tegen de verzamelwoede van de overheid en privacy schendingen links en rechts: ze bewijzen aan het volk dat hun medewerkers niet integer zijn...

Timoo.vanEsch @Verwijderd • 3 november 2015 16:15

Als zij een decriptiesleutel achter de hand houden, is het natuurlijk slechts een kwestie van tijd voordat die op straat ligt...

Verwijderd @Timoo.vanEsch • 3 november 2015 16:23

Als zij een decriptiesleutel achter de hand houden, is het natuurlijk slechts een kwestie van tijd voordat die op straat ligt...

Hoezo?
Apple heeft ook eigen decryptiesleutels voor eigen communicaties.
Hoevaak heb je die al op straat zien liggen?

cdwave @Verwijderd • 3 november 2015 16:41

Kwestie van geld.

Er is gewoon een bedrag waarvoor een Apple werknemer met de nodige toegangsmogelijkheden wel bereid is om een kopietje van die sleutel te maken.

Zolang de waarde van de opgeslagen encrypted data niet significant boven dat bedrag uitkomt, is die sleutel nog veilig.

Verwijderd @cdwave • 3 november 2015 17:02

Er is gewoon een bedrag waarvoor een Apple werknemer met de nodige toegangsmogelijkheden wel bereid is om een kopietje van die sleutel te maken.

Er zijn honderden banken die dagelijks berichten uitwisselen over vele miljarden aan financiele transacties mbv versluitelde berichten en versleutelde bestanden.
Als het zo makkelijk was om die te pakken te krijgen waarom doet niemand dat dan.

Er zijn ook zat manieren te bedenken om te zorgen dat niet 1 losse werknemer zo'n masterkey kan kopieren. Je kan bijvoorbeeld zo'n key uit meerdere delen laten bestaan die fysiek gescheiden van elkaar in verschillende locaties bewaard worden en je kunt de toegang tot de PKI infrastruture beveiligen zodat er altijd meerdere medewerkers nodig zijn om toegang te krijgen.

polthemol Moderator General Chat @Verwijderd • 3 november 2015 18:00

er werken mensen mee, punt. Dat is de grootste zwakte. Die kun je wat afzwakken met procedures enz, maar het is en blijft een security flaw. Door een masterkey principe te hanteren zet je dus in de communicatielijn (we maken de aanname van een chatbericht) 1 extra zwakheid erbij, van 2 mensen ga je naar 3 (minimaal).

Dat Apple zoeen key niet gelekt heeft, wil niet zeggen dat het perfect veilig is of weet ik veel wat. Zoek eens voor de gein op hoe vaak het fout is gegaan. Want dat is wat telt met security: de keren dat het mis gaat, niet de keren dat het goed gaat. Als "verdediging" moet je alles continu winnen, als "aanvaller" slechts 1 keer, wat betekend dat die "1" het significante cijfer is.

Timoo.vanEsch @Verwijderd • 3 november 2015 21:29

Je kan bijvoorbeeld zo'n key uit meerdere delen laten bestaan die fysiek gescheiden van elkaar in verschillende locaties bewaard worden

Digitaal & "fysiek gescheiden" zijn lastig te combineren. Tenzij de masterkey in stukken wordt geknipt en op verschillende USB sticks in verschillende kluizen wordt gelegd en vervolgens alle PC's die in aanraking met die key zijn geweest, worden geformateerd...

Toch?

cdwave @Verwijderd • 5 november 2015 11:18

Manke vergelijking, die transacties zijn niet met een enkele "master" key te ontsleutelen. Zelfs als je ze ontsleutelt, aan de wetenschap dat meneer X zojuist een bedrag Z aan meneer Y heeft overgemaakt is niet zo heel veel geld te verdienen. Het kunnen lezen van een transactie is niet hetzelfde als hem kunnen namaken.

Verder is het begrip "geld" wel heel breed. De medewerking van vijf medewerkers is best goed te forceren als je bijvoorbeeld wat naaste familieleden van ze ontvoert. Kwestie van geld, om een teampje met wat lagere morele standaarden in te huren om het "vieze werk" op te knappen als je zelf niet over de benodigde ervaring beschikt.

Rey Nemaattori @Verwijderd • 3 november 2015 22:02

[...]

Hoezo?
Apple heeft ook eigen decryptiesleutels voor eigen communicaties.
Hoevaak heb je die al op straat zien liggen?

Apple is niet de overheid. Apple heeft er belang bij dat die sleutel geheim blijven anders collapst hun complete business model in een dag.

Overheden hebben geen business model, noch belang bij absolute geheimhouding: in the worst case moet een minister 't veld ruimen, let iedereen een paar maandjes jaren goed op en daarna is het weer business as usual...combineer dat met de kennis dat IT project bijna altijd falen binnen de overheid en je hebt een recept voor een digitale ramp van nucleair formaat...

Verwijderd @Rey Nemaattori • 3 november 2015 22:33

Overheden hebben geen business model, noch belang bij absolute geheimhouding

De overheden heeft enorme belangen bij geheimhouding.
Ten eerste ten aanzien van gegevens van burgers
Denk aan de privacy gevoelige gegevens van de belastingdienst, informatie van justitie, gemeente gegevens van bijstandsgerechtigden en nog veel veel meer.

Daarnaast heeft de overheid ook veel eigen geheimen die voortvloeien uit hun taken. Denk aan defensiegeheimen, of gevoelige diplomatieke onderhandelingen of informatie over biedingen bij grote aanbestedingen en ook nog veel veel meer.

Verwijderd @Verwijderd • 3 november 2015 16:13

Dat is dus wel degelijk een kwetsbaarheid, je hebt dan namelijk een single point of failure gecreëerd. Als derden de sleutel van de leverancier weten te achterhalen, dan is iedereen compromised.

Interessant wordt hoe ze dit denken te gaan handhaven en wat de straffen worden op overtreden door burgers. Wat is de straf als ik in het buitenland een programma/apparaat koop dat wel goed beveiligd is?

Verwijderd @Verwijderd • 3 november 2015 16:38

Het is geen kwetsbaarheid in de software waar anderen gebruik van kunnen maken zoals het stukje uit het artikel waar ik op reageerde suggereerde.

Er is wel een zeer klein extra risico dat Apple zelf een sleutel verliest maar Apple beheert natuurlijk al heel veel eigen private sleutels voor hun eigen bedrijfsvoering en weet ongetwijfeld prima hoe die te beveiligen.

Verwijderd @Verwijderd • 3 november 2015 16:44

Je vergeet één ding: Ze krijgen dan aan de lopende band decryptie verzoeken. Daar moeten mensen aan werken die die informatie leveren en controleren. Je kan die sleutel niet in de kluis laten liggen en er heel sporadisch uithalen als je bijvoorbeeld een certificaat moet tekenen.

De sleutel zal vermoed ik dagelijks gebruikt worden en dat betekent dat de kans op lekken een stuk groter is geworden.

overigens betekent dit dus ook dat alle communicatie via hun moet lopen, p2p communicatie met encryptie en afluister mogelijkheid ga je niet veilig krijgen!

[Reactie gewijzigd door Verwijderd op 25 juli 2024 07:19]

Verwijderd @Verwijderd • 3 november 2015 17:22

Je kan die sleutel niet in de kluis laten liggen en er heel sporadisch uithalen als je bijvoorbeeld een certificaat moet tekenen.

Ik denk dat Apple wel vaker dan sporadisch een certificaat moet tekenen en daar een flink beveiligde infrastructuur voor heeft

Verwijderd @Verwijderd • 3 november 2015 17:25

Dat gebruik valt in het niet met de hoeveelheid informatie verzoeken die er nu al worden gedaan - waar we van weten!

Certificaten e.d. is toch het domein van ICT-ers die wat van OpSec weten. Deze vragen van justitie moeten straks zo snel mogelijk en zo goedkoop mogelijk worden afgehandeld. Daar gaan ze echt geen security mensen op zetten, dat wordt een veredelde helpdesk voor de overheid.

Daar werkt een keer iemand die het niet zo nauw gaat nemen met de security.

Kaastosti 3 november 2015 16:04

Laat ik er dan eens een impopulaire mening op nahouden: als ik zo vergaand privacy in moet leveren om een onduidelijk aantal potenti]le criminelen op te kunnen pakken, laat dan maar. Het gaat helemaal nergens meer over, de verhoudingen zijn zoek.

Als ze nou eens aan konden tonen dat ze door het verbieden van encryptie 90% van alle criminele activiteiten de nek om konden draaien... dan heb je iets in handen. Nu moeten we alle online privacy inleveren omdat er heel misschien ooit een enkele ontvoerder een keer een versleuteld berichtje over de lijn gooit.

Het lijkt erop dat de mensen die hierover moeten besluiten geen idee hebben wat er op het spel staat.

MsG @Kaastosti • 3 november 2015 16:10

Niet om je kritiek af te doen, maar ik snap ook zeker wel dat instanties huiverig zijn om hier gedegen openheid over te geven, gezien dat ook weer inzage kan geven aan criminelen/e.d. Daarnaast kan je natuurlijk moeilijk procentuele garanties gaan geven, je maakt het hoogstens moeilijker voor criminelen.

Kaastosti @MsG • 3 november 2015 16:12

Maar ondertussen wordt wel van iedereen verwacht zonder morren en op basis van werkelijk helemaal niets privacy overboord te gooien. Als je zulke verregaande maatregelen in wil voeren, lijkt het me niet meer dan redelijk dat je ook aan moet kunnen tonen wat voor effect die maatregelen gaan hebben.

MsG @Kaastosti • 3 november 2015 16:17

Daarom is het ook zo'n lastige kwestie. Ik snap aan de andere kant net zo goed dat de wettelijke machten in een land hun functies normaal moeten uitoefenen. Als zodra dingen digitaal gaan het geaccepteerd wordt dat niemand er meer wat aan kan doen, en vanwege privacy van de verdachte er nooit ingegrepen kan worden zijn we straks gauw klaar.

Rey Nemaattori @MsG • 3 november 2015 21:51

Daarom is het ook zo'n lastige kwestie. Ik snap aan de andere kant net zo goed dat de wettelijke machten in een land hun functies normaal moeten uitoefenen. Als zodra dingen digitaal gaan het geaccepteerd wordt dat niemand er meer wat aan kan doen, en vanwege privacy van de verdachte er nooit ingegrepen kan worden zijn we straks gauw klaar.

In zo'n geval dien je een gerechtelijke bevel tot vrijgave van die gegevens bij google, de provider of welke instantie dan ook. Die geven heus wel gehoor daaraan, maar dan heb je ii nog een gerechterlijke procedure ipv alles aftappen en kijken of er iets interessants tussen zit : gericht aftappen op misdadigers.

Wat ze voorstellen is praktisch hetzelfde als zonder huiszoekingsbevel je huis mogen doorzoeken...je kan stellen dat is nodig voor het oppakken van bepaalde typen criminelen, maar je gaat mij niet vertellen dat iemand die toch al de wet overtreed zich laat tegen houden door die paar extra jaren voor het encrypten van het bewijsmateriaal...

MsG @Rey Nemaattori • 4 november 2015 00:02

Als de misdaad zelf niet meer bewezen kan worden doordat de toegang tot het bewijsmateriaal verstoord wordt door de verdachte met bijvoorbeeld encryptie gaat het niet om een paar extra jaren, maar is er überhaupt geen veroordeling waarschijnlijk. En hoe wil je bijvoorbeeld whatsapp gegevens opvragen als dingen met end to end encryptie worden opgeslagen zonder dat er een achterdeur is voor gerechtelijke bevelen?

Sergelwd @MsG • 3 november 2015 17:02

Er mag best ingegrepen worden bij een verdachte daar hoor je helemaal niemand over..

Waar het hier over gaat is dat er landelijk word ingegrepen zonder noemenswaardige verdachtmaking..

MsG @Sergelwd • 3 november 2015 17:07

Er hoeft niet te worden meegewerkt aan de eigen veroordeling, dus met een encrypted hardeschijf van een verdachte hang je al in de huidige opzet. Er kán dus niet meer ingegrepen worden op termijn. Ik ben benieuwd wat voor wendingen dat gaat krijgen op de langere termijn.

Sergelwd @MsG • 3 november 2015 17:25

Hardstikke terrecht!!
Of wilde jij de burgerrechten maar helemaal afschaffen om een enkele terrorist te kunnen aanpakken.

MsG @Sergelwd • 3 november 2015 17:38

Zo zwartwit zie ik het niet. Dat is een beetje het probleem met deze discussies, zeker op Tweakers. Het vervalt in uitersten. Nee ik ga niet alle vrijheden opgeven voor een paar terroristen. Maar de andere kant, dat bevoegde machten niks meer kunnen omdat het nou eenmaal digitaal is, is mijnsinziens net zo onwenselijk. Ik dat dit debat steeds vaker gevoerd gaat worden en steeds belangrijker gaat worden.

Sergelwd @MsG • 3 november 2015 17:43

"dat bevoegde machten niks meer kunnen omdat het nou eenmaal digitaal is, is mijnsinziens net zo onwenselijk."

Nou nou wat zijn ze hulpeloos.
Over uitersten gesproken.

tweaknico @MsG • 3 november 2015 19:15

Er zijn vrijwel alleen uitersten... Digitaal, zwart / wit ... aan/uit.
Er is geen grijs gebied. Vergelijk het met "een beetje zwanger" etc.

Ex-KPN-er @MsG • 3 november 2015 16:20

Dit zijn dezelfde mensen die heel London van Cameratoezicht hebben voorzien; en daarmee is alle criminaliteit van de straat toch opgehouden?

Oh, wacht even...

Annihilism @Kaastosti • 3 november 2015 16:32

Ik denk dat dit dan ook puur bedoeld is om burgers te gaan bespioneren. Ik zou niet weten wat voor nut de wet anders heeft. Kunnen ze makkelijker gegevens overhandigen aan de platenmaatschappijen en filmmaatschappijen om burgers aan te klagen gezien deze toch steeds meer macht krijgen en invloed in de politiek (sterke lobby's).

Deze maatregel zet totaal geen zoden aan dijk m.b.t. het oppakken van criminelen en ik denk juist dat het op deze manier juist alleen nog maar moeilijk word om criminelen op te pakken omdat ze steeds verder underground gaan opereren.

Ik denk dat er een lobbygroepen zich flink in de handjes aan het wrijven zijn m.b.t. deze wet.

stresstak @Kaastosti • 4 november 2015 00:08

Als ze nou eens aan konden tonen dat ze door het verbieden van encryptie 90% van alle criminele activiteiten de nek om konden draaien... dan heb je iets in handen.

En dan gaat het slechts om encryptie van electronische communicatie.. De betere crimineel (..) doet dan niet meer aan open elektronica voor de geheime communicatie. ALS hij al met meerdere mensen samenspant.

Gewoon met je broer beramen dat je volgende week een redactie van een tijdschrift gaat ruimen kan tijdens een gezellig avondje pim-pam-pet. Een dikke journalist van zijn fiets schieten kan ook zonder internet, telefoon of encryptie. Voeg zelf nog wat voorbeelden toe.

RebelwaClue 3 november 2015 15:57

En weer worden topics als terrorisme, kinderen en criminaliteit misbruikt om dit soort zaken door de strot te drukken van de burgers. Alsof een terrorist zich aan deze wet zal houden

Verwijderd @RebelwaClue • 3 november 2015 16:03

Verkeerde doelgroep. Het is niet zo alsof de Terrorist de software schrijft. De software moet immers ervoor zorgen dat een ander de content ook kan ontsleutelen, wanneer de overheid daarnaar vraagt.

Roland684 @Verwijderd • 3 november 2015 16:12

Alsof dit de software die terroristen gebruiken gaat tegenhouden. Dit raakt alleen de gewone burger en domme criminelen.

Verwijderd @Roland684 • 3 november 2015 16:14

Ok, dus een terrorist gebruikt software waardoor alleen de terrorist toegang heeft. Deze geeft geen medewerker, OM heeft geen bewijs en kan niets. Terrorist wordt vrijgelaten en pleegt zijn/haar aanslag.

Nieuwe situatie:
Terrorist gebruikt software waardoor alleen de terrorist toegang heeft. Men gooit de terrorist in de cel voor illegale software. Terrorist heeft geen kans om slachtoffers te maken.

cdwave @Verwijderd • 3 november 2015 16:44

Ik, als Brits burger, encrypt een document met daarin voor mijn bedrijf gevoelige informatie.

Ik ga nu voor levenslang de cel in, want anders pleeg ik misschien wel een aanslag.

RMvanDijk

@Verwijderd • 3 november 2015 17:06

Nieuwe situatie:
1. Bedrijf met gevoelige informatie (bijv. urenco)
2. Lekke IT bij de overheid (ahem)
3. Alle schurkenstaten aan de uraniumverrijking

Dat is een beetje het punt van dit soort wetten, onwaarschijnlijke situaties waarin het nuttig zou zijn kunnen altijd bedacht worden, situaties waarin het helemaal mis gaat net zo goed.

De overheid wil graag zijn controle behouden, die is het door groeiend computerverbruik aan het verliezen. Hoeveel privacy ben jij bereid op te geven voor (schijn)veiligheid?

Sergelwd @Verwijderd • 3 november 2015 17:12

Als je daarbij 100 onschuldige burgers met illegale encryptiesoftware meeneemt heb je je doel wel bereikt ja

Ik kots op je naiviteit..
No offence.

RebelwaClue @Verwijderd • 3 november 2015 16:35

Nu zal de terrorist zelf de software niet schrijven, maar genoeg programmeurs te vinden die voor een goed bedrag zo'n pakket voor je maken. Zelfde geldt natuurlijk voor criminelen en de hele kinder porno underground scene. Groter nadeel van zelf geschreven software is dat het zo te maken is dat instanties niet eens weten waar ze moeten zoeken voor encrypted data.

Puntje bij paaltje blijft dus het feit dat de enige mensen die hier de 'dupe' van zijn, de doorsnee burger is.

stresstak @RebelwaClue • 3 november 2015 23:48

Puntje bij paaltje blijft dus het feit dat de enige mensen die hier de 'dupe' van zijn, de doorsnee burger is.

En die eigenlijk ook niet want het is een onschuldige burger.
Onschuldig als in 'doet niks bijzonders'. Goed, hij valt onder de wet, maar om nou met regelmaat alle burgers en pc's, telefoons en alle opslagmedia etc. te gaan controleren. ...

RebelwaClue @stresstak • 4 november 2015 14:07

Maar het betekent ook dat de encryptie tussen bv iPhones en Apple servers een backdoor moet hebben voor de overheid. Alle informatie op cloud diensten vrij toegankelijk is voor de geheime diensten. Wat de overheid de mogelijkheid geeft het volk onder controle te houden. Daarnaast is een backdoor ten alle tijden gevoelig voor hackers dus speelt het crimininaliteit in de hand.

[Reactie gewijzigd door RebelwaClue op 25 juli 2024 07:19]

stresstak @RebelwaClue • 4 november 2015 17:32

Maar het betekent ook dat de encryptie tussen bv iPhones en Apple servers een backdoor moet hebben voor de overheid. Alle informatie op cloud diensten vrij toegankelijk is voor de geheime diensten.

Nou heb ik geen smartfoon, maar ik zou hem ook niet gebruiken voor snode plannen. Hoogstens op het allerlaatst: de smartphone in de trein naar Leeuwarden en ik met een andere trein naar het eigenlijke einddoel.

En uiteraard ben ik ook wars van cloud- en andere elektronische opslagdiensten. Een ieder is verantwoordelijk voor zijn eigen mate van gebruik van afluisterbare diensten. Het is een afweging.

dezero @Verwijderd • 3 november 2015 16:13

Een Brits verbod betekent niet het einde van encryptietools zonder backdoor. Die zullen nog steeds bestaan en je zal er nog makkelijk aan kunnen komen, maar die zullen in het VK verboden zijn.

Verwijderd @dezero • 3 november 2015 16:15

En dat laatste zinnetje doet het hem. De overheid heeft hierdoor meer mogelijkheden om de criminelen achter de balies te gooien. Is het niet op hun zwaarste straf, dan wel via een lichtere overtreding als het gebruik van illegale software.

kaas-schaaf @Verwijderd • 3 november 2015 17:13

Waardoor de zware criminelen alsnog voor korte tijd achter de tralies komen en het onderliggende probleem niet opgelost wordt ten kosten van de privacy van ale 99.999% van alle andere burgers.

Je kan beter verder zoeken. In veel gevallen is er altijd iets meer te vinden dan alleen maar de data op een versleutelde telefoon of harde schijf. Iedereen maakt fouten, ook criminelen.

watercoolertje @Verwijderd • 3 november 2015 16:13

Je doet net of alle software aan de Engelse wetten moet voldoen

Ja voor de normale mensen (daar) wel, maar mensen die regels niet te nauw nemen doen dat nu dus ook niet...

Kopen die criminelen hun apparaten (en software) toch buiten de UK

[Reactie gewijzigd door watercoolertje op 25 juli 2024 07:19]

Verwijderd @watercoolertje • 3 november 2015 16:14

Nee dat doe ik niet. We hebben het hier over de Britse wetgeving.

watercoolertje @Verwijderd • 3 november 2015 16:18

Ja en wie gaat zich daar aan houden? Brave burgers.

Als ik nou crimineel was ga ik toch geen telefoon kopen die aan die wetten voldoet? Ik hou me toch niet aan de wet, daarvoor ben ik nou net crimineel

[Reactie gewijzigd door watercoolertje op 25 juli 2024 07:19]

Aaargh! @Verwijderd • 3 november 2015 16:21

Het is niet zo alsof de Terrorist de software schrijft.

Het is niet alsof encryptie algoritmes geheim zijn. Buiten de UK zal normale encryptie ook gewoon beschikbaar blijven, dus iemand hoeft alleen maar een niet opzettelijk onveilig gemaakte versie van zo'n tool te downloaden en klaar.

SvenHe 3 november 2015 16:15

De volgende stap is dat je alleen slotsystemen op je deur mag plaatsen waar de overheid een masterkey van heeft, zodat die ten alle tijden kan komen controleren of je geen kinderen mishandeld of zwart geld opslaat.

Rey Nemaattori @SvenHe • 3 november 2015 21:34

De volgende stap is dat je alleen slotsystemen op je deur mag plaatsen waar de overheid een masterkey van heeft, zodat die ten alle tijden kan komen controleren of je geen kinderen mishandeld of zwart geld opslaat.

Alsof iemand met genoeg zwart geld dat 't boeiend wordt voor een inval zo dom is om dat in stapeltjes van 10k in zijn matras te stoppen anyway. Die hebben dat geld allang op offshore accounts staan waar geen haan naar kraait. Pleegt er een bijstandsfraude, wordt ie aan de hoogste boom opgeknoopt en is het 't grootste gevaar voor de welvaartsstaat. Blijkt de rijkste 1% jaarlijks voor tientallen miljarden belasting te ontduiken, dan gaan ze er eens naar kijken.

Al moet ik zeggen: die ontduikers zullen 't ook wel lastig krijgen als hun encryptie zo lek is als een mandje...

SvenHe @Rey Nemaattori • 4 november 2015 08:55

1 je mist mijn punt totaal en zwart geld was enkel een voorbeeld van stoute dingen waar de staat eenmaal binnenin je huis achter kan komen
2 er zijn genoeg sukkels die zwart geld thuis bewaren, al was het maar omdat ze niet weten wat ze er mee aan moeten.

tinoz @SvenHe • 3 november 2015 16:40

haha, dat zwarte geld zullen ze op een dag ook wel met een pennenstreek waardeloos maken, want alles moet digitaal!

Rudie_V 3 november 2015 15:57

De Britse premier David Cameron stelt dat de maatregelen nodig zijn om 'terroristen, criminelen en ontvoerders van kinderen geen veilige plek te bieden op internet'.

Zeg gewoon dat je alle data van iedereen in wil kunnen zien.

Is kinderporno tegenwoordig gewisseld voor ontvoerder van kinderen?

MsG @Rudie_V • 3 november 2015 16:07

Wellicht is het met de bekende zaak van de ontvoering van Madeleine McCann een stokpaardje die meer populariteit geniet?

dezero @Rudie_V • 3 november 2015 16:08

Zeg gewoon dat je alle data van iedereen in wil kunnen zien.

Als je dat doet, komt je voorstel er niet door heen. Maar als je nu tegen stemt ben je een terrorist, crimineel, kinderontvoerder of een sympathisant daarvan.

Criminelen schakelen natuurlijk gewoon over naar programma's zonder backdoors en het grote publiek kan worden afgeluisterd. Je zal er ook wat criminele sukkels mee kunnen pakken, maar daarvoor de privacy van iedereen inleveren gaat mij veel te ver.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (298)

Sorteer op:

Weergave: