Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 85 reacties

De Nederlandse Tweede Kamer heeft een voorstel van D66 om 500.000 euro te doneren aan opensourceprojecten op het gebied van encryptie aangenomen. Volgens het voorstel moeten overheden encryptie helpen versterken in plaats van verzwakken.

De Tweede Kamer stemde dinsdag in met een ruimer voorstel dan D66 half oktober naar buiten bracht. Toen was er nog sprake van een donatie van een half miljoen euro voor het OpenSSL-project. Nu is onbepaald naar welk project het gaat. "Het ministerie van Economische Zaken moet, in samenspraak met deskundigen uit het veld, projecten selecteren die cruciaal zijn voor de internationale internet infrastructuur", staat in het aangenomen amendement.

Het voorstel noemt wel voorbeelden als OpenSSL, LibreSSL en PolarSSL. Dit soort projecten draaien veelal op vrijwilligers, maar miljoenen mensen wereldwijd hebben er baat bij. De tekst gaat expliciet in op de pogingen van sommige overheden om encryptie te ondermijnen, bijvoorbeeld met achterdeurtjes. Critici wijzen erop dat niet alleen inlichtingendiensten maar ook criminelen hier gebruik van kunnen maken.

De Tweede Kamer wil met de donatie als tegenwicht de ontwikkeling en versterking van encryptie ondersteunen. Het geld zal uit het potje voor ict-beleid van het ministerie van Economische Zaken komen.

Moderatie-faq Wijzig weergave

Reacties (85)

Ik ben op zich voor encryptie en mooi dat de overheid er geld aan geeft.

diezelfde overheid is echter bezig met aivd wetgeving om iedereen af te luisteren, vanwege ja terrorisme. Daarbij is encryptie niet handig voor dat afluisteren.

Ik krijg dus een beetje een dubbel gevoel en zie een overheid is het ene en andere investeren waarbij het ene het andere dwarszit. Tja de haagse logica.
Ik vind het niet vreemd dat een overheid tegenstrijdige belangen heeft. Natuurlijk, als je de overheid als n entiteit beschouwd dan is het krankzinnig, maar als je bedenkt dat er binnen de overheid verschillende belangen spelen bij verschillende partijen, dan is het niet zo vreemd.

Zo is het logisch dat de Nederlandse overheid enezrijds gebaat is bij een sterke encryptie om economische spionage, of een ander type inbraak te voorkomen, maar er ook baat bij heeft om de encryptie niet te sterk te maken. De burgers probeert ook gevaar van buiten te weren, zoals terrorisme. Omdat bijvoorbeeld terroristen een Tor-browser en heel sterke encryptie gebruiken voor opslag, is het norm moeilijk om het gevaar af te wenden. En hier vind ik sommige Tweakers soms een beetje naef. Natuurlijk is het fijn om privacy te hebben, en natuurlijk hoeft de overheid niet alles te weten. Maar waar leg je de grens?

Die grens verschuift op basis van angsten en tijdsgeesten en zal altijd een balans vinden. In dit perspectief ben ik blij dat de overheid dus in-zekere-mate een tegenstrijdig beleid voert. Anders zou het gemakkelijk naar een uiterste van de schaal kunnen verschuiven. Denk hierbij aan een totalitair regime, of een overheid dat geen invloed meer heeft en daardoor extern gevaar niet kan afwenden.
Die grens verschuift op basis van angsten en tijdsgeesten en zal altijd een balans vinden. In dit perspectief ben ik blij dat de overheid dus in-zekere-mate een tegenstrijdig beleid voert. Anders zou het gemakkelijk naar een uiterste van de schaal kunnen verschuiven. Denk hierbij aan een totalitair regime, of een overheid dat geen invloed meer heeft en daardoor extern gevaar niet kan afwenden.
Ik denk dat het juist onverstandig is om al die privacy gerelateerde data luk raak te verzamelen. Als je er maar vanuit gaat dat het in de toekomst niet mis zal gaan. Dan is er niets aan de hand. Maar laten we eens even verder kijken naar de ontwikkelingen in Frankrijk. Waar Front National een stevige groei doormaakt. Als zo'n partij, die het achterste van haar tong niet laat zien, de overhand weet te krijgen. Hoe staan de mensen er dan voor / wat zullen zij met deze gegevens doen? Hier in Nederland hebben we ook een evenknie van Front National in de politiek.

Vertrouwen is goed. Maar weten is beter...

[Reactie gewijzigd door eheijnen op 8 december 2015 17:56]

:) Ah een Volkskrant lezer

Het is erg nog niet gesteld met de Fransen en hun Front Nationaal. Je schetst een beeld dat je vaak uit hoort in de linkse kerk over het gevaar van rechts. Maar op het moment dat een land in een staat van oorlog verkeerd wat toch wel het geval is in Frankrijk op dit moment. Dan moet je toch iets, vergeet niet het zijn de goed sappige socialisten die op dit moment bezig zijn met wetten om Tor te verbieden publieke wifi hot spots te verbannen en de toch al extreme politie staat die Frankrijk is nog verder uit te breiden.

Dus wat dat betreft vraag ik me af of het echt zo erg is dat er een tegen geluid komt.

Daar naast is zeker Frankrijk al jaren een links paradijs en kijk eens naar het resultaat, een staat die willens en wetens hele legers laat opgroeien in totale armoede onder het juk van een religieuze terreur die vele jongeren heeft doen geloven dat zij buiten de maatschappij staan en totaal geen kans maken. En dat vaak ook echt niet maken omdat ze dankzij het slappe handjes schudden en thee drinken beleid van zo veel jaren links in middels ook echt niet meer hebben omdat ze in een aparte staat zijn op gegroeid die anders dan de locatie en de taal helemaal niets meer met Frankrijk te maken heeft.

De vraag of FN het politie apparaat en de spionage mogelijkheden die haar in de schoot geworpen worden zal gaan gebruiken is nutteloos, ze zouden nog al dom zijn om in deze tijden dit af te breken en te hopen dat het vanzelf wel beter wordt.
Er is een grote kans dat men nieuwe wetten zal aan nemen die tot doel hebben het grootste gevaren voor Frankrijk te beteugelen. Deze gevaren zijn voor een groot deel gevaren die in de grote steden broeien in de buurten waar je als je een verkeerde kleur of een fout geloof hebt beter niet kunt komen. Dit zijn de haat predikers die ook daar welig tieren en menig luisterend oor weten te vinden.
Zouden zij bijvoorbeeld een groot deel van de zwarte bevolking die gewoon een goede baan heeft hard werkt en net zo Frans is als de Eiffeltoren op pakken en in het gevang gooien of misschien wel een hele lading joden, of moslims die helemaal niets verkeerd hebben gedaan?
Natuurlijk niet maar zullen de het makkelijker maken om mensen die de staat willen vernietigen onschuldige mensen willen afslachten en zo voort beter in de gaten te houden? Ik hoop het wel, net als dat ik hoop dat er veel harder op getreden zal worden tegen mensen die het een goed plan vinden om voor een vijandig leger te vechten of om terroristen te helpen. Zouden zij bijvoorbeeld harder op treden tegen illegaal verblijf in het land en mensen ook echt uitzetten als ze de toegang tot het land is geweigerd? Ik hoop van wel.
En natuurlijk zullen zij gebruik maken van de mogelijkheden die het politie apparaat en de spionage diensten hun bieden ze moeten wel.

Het verbieden van encryptie zo als sommige voor stellen dan wel het stoppen of sterk aan banden leggen van de gegevens verzameling gaat helaas niet werken. Encryptie kun je wel verbieden maar zo iets kun je niet afdwingen. Het stoppen van gegevens verzamelen is een leuk idee maar als je het niet doet dan geef je de vijand een heel erg groot voordeel want een gevecht is nog nooit gewonnen door iemand die zijn ogen dicht hield.

Er kleven allerlei gevaren aan en ik heb ook al zeer veelvuldig gezegd dat ik er helemaal niet vrolijk van wordt dat een overheid in middels weet wat ik vanavond eet nog voor ik s'ochtens mijn eerste koffie heb gedronken. Om die reden ben ik ook heel erg voor encryptie voor iedereen en ik weet maar al te goed dat dit inhoud dat ook zij die minder vriendelijke bedoelingen hebben hier dan gebruik van maken.
Ik zie het dan ook als een spel dat heel erg lang in het voordeel van een overheid werd beslist en voor een groot deel dankzij enorme budgetten en wel haat on eindige toegang nog steeds erg in haar voordeel is. Natuurlijk lijkt het op het moment, nu iedereen door heeft dat zij ook mee doen aan het spel en men steeds meer probeert te voorkomen dat een overheid in zijn of haar data gaat grasduinen, dat een overheid dit misschien wel zal verliezen maar begrijp het niet verkeerd een overheid heeft er alle baat bij om mensen dat te laten denken. Of dat nu wel niet of misschien maar gedeeltelijk waar is mensen die zich veilig wanen zijn een stuk makkelijker in de omgang ook voor een overheid.

Ik vind het een goed idee dat de overheid investeert in encryptie en kan volledig begrijpen dat de overheid op het zelfde moment probeert het grootste gevaar voor de overheid haar landgenoten en haar mogelijke vijanden goed in de gaten te houden.
Foutje

[Reactie gewijzigd door eheijnen op 8 december 2015 21:29]

Rob, ik houd mijn reactie kort :)
Vind het een goed thema om over te discussieren maar het raakt wel erg off-topic.

Om te denken dat HET nooit meer zal gebeuren...

Als de westerse (wereld)politiek, links, midden of rechts, eens haar hoofd uit het zand trok in het Midden Oosten. Voor welke effecten zou dat zorgen...

De FN en haar soortgelijke partijen in andere landen hebben een ding gemeen met het verleden. Ze hebben altijd (een) bevolkingsgroep(en) nodig, die word(en) gestigmatiseerd, om kiezers en mensen aan zich te binden...

Jean Marie le Pen is nog een aanhanger van de Nazi's. Gedachtengoed dat hij stelselmatig uitdroeg. Zelfs voor veroordeeld is. Die lijn kon de partij niet volhouden. Door hem eruit te zetten varen ze nu een meer populistische koers die meer aanhang moet opleveren...

Open-source encryptie, IMO, moet de standaard worden. Niet alleen in de open-source wereld. Closed-source protocollen zijn onvoldoende controleerbaar.
Jammer dat je het weer op een partij moet spelen. Volgens mij waren het in het verleden voornamelijk de linkse partijen (NSDAP, Hitler was een linkse partij) Maar ook de andere socialistische partijen wereldwijd, hebben nou niet echt een goede naam opgebouwd betreffende omgaan met persoonlijke gegevens.
Ik vertrouw eenvoudig weg geen enkele politieke partij (links. midden of rechts) of de overheid in het algemeen met mijn gegevens\data. In hun ogen is het altijd legitiem om het te gebruiken\misbruiken als ze het goed uitkomt
De NSDAP was alleen in naam een "Socialistische" partij. Net zoals de "DDR" ook niet bepaald democratisch was.

Ze waren zo extreem-rechts, fascistisch als wat. Socialisten werden juist vervolgd door de nazi partij, vooral na de rijksdagbrand die (in elk geval volgens de Nazi's) door een communist was aangestoken. Tegenwoordig wordt dat overigens betwijfeld en wordt er gedacht dat het ook wel een 'false flag' operatie geweest kon zijn.

Maar de NSDAP links noemen kan je echt niet verkopen :)

Overigens zijn het tegenwoordig juist de linkse partijen die voor privacy strijden, de privacy inbreuken komen vooral vanuit de VVD terwijl de hardste tegengeluiden van de SP komen (en van onafhankelijke organisaties zoals Bits of Freedom natuurlijk).

[Reactie gewijzigd door GekkePrutser op 8 december 2015 17:39]

De NSDAP mag dan wel als socialistische partij begonnen zijn, maar wat de zittende machten toen deden en nu doen, is het leiderschap van bestaande groepering overnemen om deze dan te sturen voor eigen doelen.

De NSDAP is hier dus een goed voorbeeld van, begonnen als groepering voor de rechten van werknemers en vervolgens onder de leiding van Hitler (en buitenlandse sponsors) getransformeerd in een anti-socialistiche macht welke probeerde alle socialistische groepering wereldwijd (maar vooral in Rusland) te overwinnen.

Hetzelfde is gebeurd met de vakbonden in Amerika die na overname door de Mafia in politieke stemblokken voor geld waren getransformeerd.
De NSDAP is hier dus een goed voorbeeld van, begonnen als groepering voor de rechten van werknemers en vervolgens onder de leiding van Hitler (en buitenlandse sponsors) getransformeerd in een anti-socialistiche macht welke probeerde alle socialistische groepering wereldwijd (maar vooral in Rusland) te overwinnen.
Over het oude Rusland wil ik graag nog iets toevoegen.
Deze totalitaire staat heeft zich altijd geprofileerd als zijnde communistisch. Na de revolutie zijn deze revolutionairen in snel tempo getransformeerd tot dictatoren. In mijn ogen was Rusland niets meer dan een dictatuur met een plan-economie.
Links/rechts is gewoon geen realistisch onderscheid, en wat Jan met de Pet daaronder verstaat wisselt daarom ook nogal: Progressief/conservatief, socialistisch/kapitalistisch, etc.. En wat als je nou een progressieve kapitalist bent? Of een conservatieve socialist? En nu we het er toch over hebben, wat betekenen die woorden nou werkelijk, in de praktijk?
Je kan er alle kanten mee op (hoe een politicoloog dat definieert is van minder belang dan bijv. de media), en daar komt de verwarring vandaan.
Bovendien kan het standpunt ook per issue verschillen, gelukkig maar want dat is sowieso realistischer dan: wij zijn links/rechts en daar hoort dit instant-standpuntenpakket bij en dat bepaalt alles.
Maar de NSDAP links noemen kan je echt niet verkopen :)
Als links gedefinieerd wordt als een sterke overheid, dan is de allesoverheersende NSDAP best links te noemen.
terwijl de hardste tegengeluiden van de SP komen (en van onafhankelijke organisaties zoals Bits of Freedom natuurlijk).
Leuk frame hoor, SP neerzetten als progressief door ze in een zin te noemen met BOF, maar je slaat de plank behoorlijk mis.
Jammer dat je het weer op een partij moet spelen. Volgens mij waren het in het verleden voornamelijk de linkse partijen (NSDAP, Hitler was een linkse partij) Maar ook de andere socialistische partijen wereldwijd, hebben nou niet echt een goede naam opgebouwd betreffende omgaan met persoonlijke gegevens.
Ik vertrouw eenvoudig weg geen enkele politieke partij (links. midden of rechts) of de overheid in het algemeen met mijn gegevens\data. In hun ogen is het altijd legitiem om het te gebruiken\misbruiken als ze het goed uitkomt
Dat ik niet op de mogelijkheid alleen speel maar juist op de situatie in Frankrijk is louter om dit aan de hand van een direct voorbeeld te illustreren, specifiek als reactie op Max_B zijn stelling.

Daarnaast kun je niet anders dan op een partij te spelen. Door partijen komen mensen aan de macht.

Btw: NSDAP / PVV / Front National / VVD / PvdA --> what's in a name....

[Reactie gewijzigd door eheijnen op 8 december 2015 17:56]

Bij encryptie is het dom om het iets minder sterk te maken, al dan wel of niet met een backdoor. Ervan uitgaan dat alleen de overheid deze backdoor of zwakte vervolgens zal ge/misbruiken is even naef als je deur op slot doen maar het keukenraam open.
Daarnaast kan je je eigen overheid misschien wel vertrouwen, maar hoe doe je dat met buitenlandse? De grens ligt dus op alles of niks.

Net zo goed als jij hier terrorisme wilt voorkomen met zwakke encryptie kan dit de kop kosten voor mensen die afhankelijk zijn van sterkte encryptie.
Projecten als OpenSSL en aanverwanten kun je prima sponsoren als overheid, het is een kwestie van invloed hebben in een Certificate Authority en je kunt heerlijk certificaatjes uitgeven en alles bekijken terwijl de burger geniet van zijn schijnveiligheid.
Ik vind het niet vreemd dat een overheid tegenstrijdige belangen heeft. Natuurlijk, als je de overheid als n entiteit beschouwd dan is het krankzinnig, maar als je bedenkt dat er binnen de overheid verschillende belangen spelen bij verschillende partijen, dan is het niet zo vreemd.
niet kan afwenden.
Voor de overheid als geheel is dat geen probleem. De overheid is groot genoeg om tegenstrijdige belangen bij verschillende partijen te beleggen. We hebben bijvoorbeeld aparte ministers voor economie en voor milieu want die twee onderwerpen botsen ook.
Het wordt een probleem als je die belangen bij dezelfde partij neerlegt. Dan bestaat het gevaar dat het ene belang altijd moet wijken voor het andere belang.

Momenteel lijkt het belang "offensieve kracht" het steeds te winnen van het belang "defensieve kracht", in ieder geval bij de Amerikaanse NSA. De NSA lijkt het acceptable te vinden om de eigen bevolking kwetsbaar te laten om de vijand te kunnen pakken. De eigen bevolking beveiligen zou ook de vijand helpen en dat vindt men niet acceptabel.
Hoe het in Nederland zit is veel minder duidelijk maar de paar dingen die we weten van Snowden suggereren niet veel goeds.

Als die twee belangen bij verschillende partijen lagen dan zou dat beter zijn voor de balans tussen die twee belangen.
Encryptie is zelfs de reden waarom het Nemo Tenetur beginsel is afgeschaft. Dit grondrecht waarborgde dat je als verdachte nooit aan je eigen veroordeling hoefde mee te werken.
Tegenwoordig is het strafbaar om je HDD niet te ontsleutelen wanneer je daartoe een bevel krijgt.
Dit klopt niet, zowel de raad van state, de raad voor de rechtspraak en meerdere hoogleraren hebben al aangegeven dat het originele voorstel in de wet "computer criminaliteit III" ten aanzien van het decryptiebevel, zeer waarschijnlijk in strijd is met het "nemo tenetur prodere se ipsum" beginsel ofwel het recht om niet tegen jezelf bewijs te leveren.

Dit beginsel staat rechtovereind en is op meerdere manieren juridisch verankerd. De discussie gaat over of het decryptiebevel in strijd is met nemo tenetur. Als dat blijkt uit verdere rechtspraak, dan zal deze nieuwe wet(als die nog komt) de facto voor dit stuk buitenwerking treden.

Het is in Nederland daarom nog niet het geval. Daarnaast is niet duidelijk of het nu ook onderdeel is geworden van het nieuwe wetsvoorstel.

[Reactie gewijzigd door ELD op 8 december 2015 16:43]

Op dit moment hoef je zelf niet de sleutel te geven, maar als een ander persoon de sleutel heeft MOET die de sleutel leveren, met als smeerolie, gijzeling tot de sleutel geleverd is.
Als ik zo even snel kijk lijkt het er op dat het nemo tenetur beginsel voor personen die verdacht worden van terrorisme komt te vervallen.

Zie het voorgestelde artikel 184b Sr in combinatie met het voorgestelde artikel 125k lid 4 Sv uit dit document.

Aan de ene kant is het leuk dat het puur om terrorisme gaat, aan de andere kant zie ik dit, als het ingevoerd wordt, heel snel uitgebreid worden naar andere strafbare feiten.

[Reactie gewijzigd door Menn- op 8 december 2015 16:24]

' voor personen die verdacht worden van terrorisme komt te vervallen.'
En hoe dienen die personen zich berhaupt te verdedigen tegen valse accusaties als ze onder deze vorm "verplicht worden mee te werken"?
Onmogelijk uitvoerbaar eigenlijk, stevent keihard op thoughtcrime af.
Is het al afgeschaft of in behandeling? Ik vond het al eng... https://nl.wikipedia.org/wiki/Encryptie#Decryptiebevel
Heb je daar een bron van?
Ik ben blij dat iemand dat ook zo ziet. Dit soort nieuwsberichten zijn ook juist de berichten die mensen er altijd uitpikken in een discussie over privacy wanneer ze vinden "als het echt zo slecht was, dan zou de overheid het niet toestaan".
De overheid meet gewoon met 2 maten, waarbij ze natuurlijk hard inzetten op dit soort nieuwsberichten om de burger een gevoel te geven dat ze gehoord worden, terwijl aan de achterkant idd alles open gezet wordt om af te luisteren en daarbij aan massale privacyschending doen.
"De overheid" bestaat niet. Het is in dit geval de Tweede Kamer die de regering opdracht geeft om iets te doen. Dat die regering ook andere dingen doet, al dan niet expliciet gesanctioneerd door diezelfde Kamer, heeft daar niet zoveel mee te maken.
Daarnaast is de regeling al afgezwakt....

van bijdragen in "Opensource encryptie" naar Kritieke infra structuur....
Een afluister centrale is ook kritieke infrastructuur(als je op een andere stoel zit), dus het is maar de vraag waar het geld nu werkelijk naar toe gaat.

Daarnaast het amendement is een Word document...??? er kan dus een andere versie gebruikt worden dan dat daar gepresenteerd is. Ik had eigenlijk een signed .PDF oid verwacht....

Maar mogelijk zijn mijn verwachtingen van een "betrouwbare" "overheid" te hoog.
Daarnaast is de regeling al afgezwakt....
Nee, hij is minder specifiek gemaakt, namelijk van expliciet 'OpenSSL' naar het ruimere 'open source encryptie projecten'. Als je wilt vergelijken:
12 oktober
8 december
Dat maakt een donatie aan alternatieven voor OpenSSL mogelijk, wat wat mij betreft alleen maar toe te juichen is.
Een afluister centrale is ook kritieke infrastructuur(als je op een andere stoel zit), dus het is maar de vraag waar het geld nu werkelijk naar toe gaat.
In het document dat je aanhaalt staat, direct onder het stuk waarin 'kritieke infrastructuur' wordt genoemd, het volgende:
Via dit amendement wordt derhalve 0,5 miljoen vrijgemaakt voor open source encryptie projecten ten behoeve van artikel 11.
Het project waar het geld naartoe gaat is dus, zoals in het artikel staat, 'onbepaald'. Maar naar welk soort project het gaat is wel bepaald.
Of misschien is je kennis van het wetgevingstraject te laag. Wanneer het in de Staatscourant is gepubliceerd, is het officieel. Of het daarvoor in word of pdf-formaat stond, doet er niet toe. Daarnaast zou het ook wel wat vreemd zijn wanneer een amendement wordt aangenomen en daarna nog even stiekem wordt aangepast.

Het lijkt me niet dat de 2e kamer het hier mee eens zou zijn.
Voorstel van wet, dus het Staatsblad. (Het is onderdeel van de begroting).
Daarnaast het amendement is een Word document...??? er kan dus een andere versie gebruikt worden dan dat daar gepresenteerd is. Ik had eigenlijk een signed .PDF oid verwacht....
Voor een werkdocument is dat niet erg. Die signed PDF is pas nodig als het af is. Persoonlijk had ik het mooier gevonden als het een ODT document was geweest, dat past beter bij het onderwerp.
terwijl aan de achterkant idd alles open gezet wordt om af te luisteren en daarbij aan massale privacyschending doen.
Dat is een zware beschuldiging Deathchant. Massale privacyschending impliceert dat de wet op grote schaal overtreden word door de overheid zelf en dat zou spectaculair nieuws zijn. Voorpagina's van alle kranten etc.

Bedoel je wellicht dat jij het niet met de huidige wetgeving eens bent?
Misschien dik je het nu wat zwaar aan om het een "zware beschuldiging" te noemen...Maar wellicht insinueer ik dat met deze post idd en het zal idd nog wel niet zover zijn dat ze iedereen op de radar hebben, maar dat zal niet lang meer duren is mijn vermoeden....Ik heb natuurlijk geen keiharde feiten, maar ik heb in deze tijden geen enkele reden om niet te denken dat overheden onze privacy schenden. Het feit dat een individuele burger er (nog) niks van merkt, wilt niet zeggen dat ze er niks mee doen, laat staan dat al onze gegevens veilig achter slot en grendel staan waar natuurlijk nooit misbruik van gemaakt kan worden. Het zijn juist overheden die zelf laten zien dat ze de veiligheid en privacy van burgers niet altijd kunnen waarborgen (genoeg voorbeelden van). Dus ja, ik ben het niet altijd met de wetgeving eens en ik vind het persoonlijk een misplaatst vertrouwen om denken dat de overheden onze privacy, vrijheid en veiligheid op nummer 1 zet.
In welke grot heb jij gezeten de afgelopen jaren ? Edward snowden niet meegekregen ?
Hoezo masaal, een iemand hoeft de kamer maar verkeerd te informeren wat dat betreft.
Ik denk dat de NSA qua hardware en rekenkracht zo godgansver ermee is dat zelfs 2048bits versleuteling in een uur tot een week tijd kan worden gekraakt.

Als ze erin willen komen ze erin.
2048 bit binnen een paar uur, misschien over heel wat jaren maar nu nog niet.
Je vergist je echt in de hardware die NSA tot z'n beschikking heeft. Dat zijn enorme clusters van DC's aan elkaar geknoopt om elke manier van beveiliging te kraken binnen aanzienlijke tijd.
Supercomputers zijn bekend ook hun rekenkracht en kosten.
Jij mag mij een internet link geven waarop te vinden is dat een 2048 bit sleutel binnen 1 week gevonden is door pure computerkracht.

Als dat zou eenvoudig zou zijn, zouden we nu al op een 4096 sleutel zitten.

Ik zal jou huiswerk maar doen om je stelling to ontkrachten:

http://arstechnica.com/se...the-question-is-how-much/

A big clue as to susceptibility of 1024-bit RSA to cracking can be found in the government's own recommendations. In its SP 800-57 document, NIST, whose responsibilities include developing standard rules for use of encryption, it says that use of 1024-bit RSA is deprecated through to the end of this year and disallowed subsequently, precisely because it is susceptible to being broken. 2048-bit RSA, in comparison, is approved until 2030 and disallowed thereafter.

tot 2030 denk de US overheid dat een 2048 bit sleutel nog veilig is.
De amerikaanse overheid is niet de enige met cluster en om die reden is het ook voor hun belangrijk een inschatting te maken van de veiligheid.
2048 bit sleutels zijn hoogstwaarschijnlijk op dit moment door niemand te kraken, ook niet door de NSA.

In oktober maakte een groep onderzoekers de schatting dat de NSA op dit moment waarschijnlijk een 1024 bit Diffie-Hellman sleutel in een jaar kan kraken*. Dit is interessant omdat in veel software dezelfde sleutel wordt gebruikt.
How enormous a computation, you ask? Possibly a technical feat on a scale (relative to the state of computing at the time) not seen since the Enigma cryptanalysis during World War II. Even estimating the difficulty is tricky, due to the complexity of the algorithm involved, but our paper gives some conservative estimates. For the most common strength of Diffie-Hellman (1024 bits), it would cost a few hundred million dollars to build a machine, based on special purpose hardware, that would be able to crack one Diffie-Hellman prime every year.
https://freedom-to-tinker...-breaking-so-much-crypto/
Een democratische overheid dient een afspiegeling van de samenleving te zijn die ze vertegenwoordigd. En net zoals in die samenleving zijn er binnen de overheid voor- en tegenstanders voor massa-surveillance en voor- en tegenstanders voor encryptie.

Deze ronde is dus "gewonnen" door de voorstanders van encryptie. :-)

En voor wat die surveillance betreft, dat betreft hoofdzakelijk het opslaan van metadata. Is weer iets anders dat het kunnen kunnen ontcijferen van ge-encrypte data. Volgens mij hebben vooral de UK en de VS daar een sterke mening over.
Een democratische overheid dient een afspiegeling van de samenleving te zijn die ze vertegenwoordigd. En net zoals in die samenleving zijn er binnen de overheid voor- en tegenstanders voor massa-surveillance en voor- en tegenstanders voor encryptie.
En recentelijke peilingen hebben overduidelijk gemaakt dat de gemiddelde Nederlander bereid is een deel van zijn privacy op te geven in ruil voor meer veiligheid (de juistheid van de correlatie laat ik in het midden). Die afspiegeling lijkt er op dit moment over dit onderwerp wel te zijn. Gelukkig maar.

Peilingen onder Tweakers zullen zonder enige twijfel iets anders laten zien maar er zijn veel Nederlanders en maar weinig Tweakers (waarvan een behoorlijk deel ook nog niet stemmen kan).
En recentelijke peilingen hebben overduidelijk gemaakt dat de gemiddelde Nederlander bereid is een deel van zijn privacy op te geven in ruil voor meer veiligheid (de juistheid van de correlatie laat ik in het midden).
Angst is een slechte raadgever.
Exact hetzelfe als ik dacht toen ik dit las.
Eerst willen ze het juist open houden, met andere woorden als ze je ergens van verdenken en je hebt al je HDD's / SSD's voorzien van encryptie, dat ze je dan kunnen verplichten het wachtwoord van je encryptie te overhandigen.
Nou zal dat laatste wel zo blijven, daar niet van, maar toch 8)7
En nu willen ze het juist weer versterken "moeten overheden encryptie helpen versterken"
Ik weet zo langzamerhand niet meer wat ze nou uiteindelijk willen in Den Haag, en volgens mij weten ze het zelf inmiddels ook niet meer :/
Er is daar het laatste jaar "naar mijn mening dan" nou niet echt meer veel zinnigs uit gekomen namelijk :X

[Reactie gewijzigd door SSDtje op 8 december 2015 16:14]

Er heerst duidelijk verdeeldheid tussen regering en het volk maar dat is al langer duidelijk.
Aan n kant beschermd het zichzelf "tegen het volk" en aan de andere kant moet het de belangen van het volk reflecteren en werkt het met het volk.

Het probleem ligt denk ik in de communicatie, of eigenlijk het missen er van, van boven naar beneden om te onderbouwen waar ze mee bezig zijn.
Hierdoor ontstaat er onduidelijkheid en daarbij angst.

Dit soort acties zijn vanuit dat perspectief dan ook olie op het vuur.

[Reactie gewijzigd door Hacker. op 8 december 2015 16:23]

Dit is eigenlijk het eerste wat ik ook dacht, echter denk ik dat we het anders moeten bekijken.
Grote criminelen/terroristen blijven toch wel onder de radar. En de "standaard" bevolking gaat toch niet encryptie gebruiken. Puur omdat ze daar de kennis niet voor hebben. En zich er niet in verdiepen.
Zelf gebruik ik dan VPN maar hoe goed de encryptie ook is. Ik denk altijd maar dat ze me toch wel kunnen traceren als ze willen.

Ik denk dat dit meer economisch is. Om Nederlandse bedrijven en de overheid zelf te kunnen beschermen tegen eventuele andere overheden of criminele partijen.
De overheden kunnen toch encrypted achterdeurtjes inbouwen ! :P
[..] vergeet niet dat TOR ontwikkeld is door US army maar publiekelijk gemaakt omdat men 'ruis' nodig heeft om in te verbergen ...
Wat als de overheid dit doet om hun teugels ook binnen deze open source projecten te laten gelden.
Volgens mij heeft de Lidl aluminiumfolie in de aanbieding
tegenwoordig is een beetje gezonde achterdocht nodig om je privacy te waarborgen... helaas...
Gelijk heb je!

Ook ik vermoed dat de overheid wel "wat" terug wil zien van z'n centen, in welke vorm dan ook.
Een D66 die zich nu ineens hiervoor als voorvechter opwerpt doet me sowieso het ergste vrezen. Helemaal vanwege de argumentatie wb. die achterdeurtjes ("als de overheid ze kan gebruiken, kunnen criminelen dat ook").
De overheid hoeft zich wmb. sowieso niet bezig te houden met achterdeurtjes waar dan ook! Alsof ze aan de achterkamertjes nog niet genoeg hebben! :+
Zodra ze het doen zijn het zelf toch ook criminelen? Of is dat nu al ergens in een wet vastgelegd dat ze dat mogen?

Deze er nog maar even bijhalen om te benadrukken dat ons hier zand in de ogen gestrooid wordt:
http://www.ad.nl/ad/nl/10...puters-voor-politie.dhtml

[Reactie gewijzigd door SuBBaSS op 8 december 2015 18:09]

misschien zijn de criminelen en de overheid wel dezelfde figueren ;) Inderdaad erg aparte wending van D66. Eerst roepen encryptie is gevaarlijk want het helpt (alleen) terroristen en dan nu dit soort projecten starten..
Dit is niet wat D66 zegt. Dit plan komt van D66, zij zeggen dat encryptie juist versterkt moet worden ipv afgezwakt. De VVD/CDA/PVV vinden het gevaarlijk en willen het afzwakken.
Dat mag dan wel zo wezen, maar de reactie waar je op reageert is helaas al eerder waarheid gebleken. Kijk maar naar wat RSA wereldkundig maakte, ongeveer twee tot tweeenhalf jaar geleden... snap zodoende ook niet hoe jvds een -1 heeft... k-al valt het in de categorie "gezonde paranoia"/alufoliehoedje, het heeft al eerder plaatsgevonden...
Volgens mij heeft de Lidl aluminiumfolie in de aanbieding
..en bedorven kreeftensoep.

Gezond wantrouwen zet vraagtekens bij overheid en ict. En bij overheid en de combinatie encryptie/surveillance/aivd/afluisterpraktijken en indammen van privacy.
Daarentegen kan betere encryptie ook voor de overheden zelf geen kwaad.
hmm die soep heb ik gekocht.... en vorige week gegeten... zou dat t zijn ?? ;)
Wat denk je dat "open" betekent, in "open encryptieprojecten"?
"Open inzichtelijk", maar dat an-sich vertelt niet veel over wie het op welke punten al heeft ingezien... In het verleden zijn in andere open-source projecten ook dingen gebeurd waar een paar oplettende ogen later pas achter een stel haken en andere ogen kwamen.

Stelt u voor; De nederlandse overheid heeft uiteindelijk een open standaard gevonden die in ruil voor een financiele bijdrage (of dwangorders, zoals bij RSA destijds) een methode zouden ontwikkelen die op een specifieke manier verzwakt is; dan moet alsnog een "externe" partij wel de "fout" in dit proces ontdekken, hoe snel en f dit gebeurt heb je echter geen garantie op...

Stel de RSA-situatie herhaalt zich en n of meerdere open encryptie-technieken hebben en-default een verzwakte crypto, kan dit voor een normale gebruiker zelfs zwaardere misleidende gevolgen hebben dan bij een gesloten (maar nog niet bewezen onveilig) techniek. Zogauw het nieuws uitlekt kan je die crypto natuurlijk "dood" verklaren, maar in de tussentijd zit je wel met het probleem.
Ik ben er zlf best bang voor dat men een "en-default-verzwakte-cypher" opnieuw weet te introduceren...
Tuurlijk. In open-source spullen. Include aivd.c?
waar vele "deskundigen"nog geen rekening mee houden is dat hetgeen wat met encryptie over het internet gaat in potentie over tientallen jaren wel te kraken is.
Maar dat zal voor 99% van de mensen waarschijnlijk afdoende te zijn. Criminelen hebben er niets aan als ze de communicatie tussen mij en mijn bank over 10 jaar kunnen uitlezen :)
en waar de krakers dan geen rekening mee houden is dat over 'tientallen jaren' zoals jij dat zo mooi verwoord er ook echtwel een nieuw iets op de markt is wat beter is.. of moeilijker te kraken..

is altijd al een kat en muis spel geweest, zal t nooit 'niet meer zijn' zegmaar.

en als mensen een backbone bouwen van een stuk software alles verbeteren behalve de backbone.. tja.. dan ben je als software ontwikkelaar (zeker op privacy gebied) niet helemaal juist geschoold lijkt me
Come again? Denk je dat serieus, dat daar geen rekening mee gehouden wordt?

Natuurlijk weten mensen dat. Het punt is: het gros van de gegevens zijn dan compleet irrelevant, en bovendien niet zo lang opgeslagen.
Veel van de verzwakte versleuteling methodes zijn toch nog veilig als je maar erg grote cijfers als sleutels gebruikt. Dat neemt dan veelal met 2^n toe, per bit die je toevoegt. Computers zijn inmiddels zo snel dat enkele honderden of duizenden bits per sleutel gebruiken niet meer zo'n probleem is. Maar het zoeken (kraken) van een sleutel die bijvoorbeeld 2^256 moeilijker is zullen we echt niet zomaar met computers kunnen doen die ieder jaar 12% sneller worden.

2^256 is ongeveer 1 promille van het aantal atomen in het universum.

[Reactie gewijzigd door Henk Poley op 8 december 2015 16:13]

Dus er zijn in totaal 2^266 atomen in het universum? Ik eis een hertelling.
Wolfram Alpha schat het op 10^80 & Wikipedia

Edit: *zichtbare* universum.

[Reactie gewijzigd door Henk Poley op 8 december 2015 16:37]

Er zitten nogal wat aannames in die berekening, maar vooruit: ik keur 'm goed. De onvoorstelbare grootte van de sleutel wordt nu voorgesteld met iets wat zo mogelijk van nog onvoorstelbaardere grootte is: prachtig :-)
2^266 is ongeveer evenveel als 10^80! Dus beiden hebben gelijk.

[Reactie gewijzigd door GekkePrutser op 8 december 2015 17:43]

Ik denk dat je je even wat verder in moet lezen. In dit geval in wat heet "Perfect Forward Secrecy". Hierbij maakt het niet uit dat sleutels worden gekraakt, je kunt dan ook niet voorgaande communicatie decrypten.
op zich een goed plan. Maar helpt een half miljoen echt noemenswaardig? Of is het om net te doen alsof ze wel degelijk om je privacy geven?
half miljoen is een grap als je serieus iets wilt doen... poppenkastpolitiek
Voor vrijwillige projecten helpt een half mil gigantisch, zo kunnen ze experts in huren die 10k voor een week vragen die anders nooit iets met het project zouden doen. White hat hackers inhuren etc.
Leuk dat Economische Zaken en Veiligheid en Justitie elkaar lekker tegen gaan werken... Je zou toch denken dat het kabinet toch een soort van smeerolie functie zou hebben tussen de ministeries...
Ik denk dat die anti-encryptie houding van AIVD en co meer een vorm van naspartelen en waarheidsontkenning is dan een structureel probleem bij de eensgezindheid van onze overheid, eigenlijk.

Men (veiligheidsdiensten) moet even wakker worden en accepteren dat encryptie een feit van het (digitale) leven is en je daar niets kan, en vooral ook wil veranderen.
Slappe encryptie is een onbruikbare encryptie en een encryptie met een backdoor is per definitie slap. Een gat is immers gewoon een gat. Ook als die er in geslagen is voor/door de overheid.
Niemand met gezond verstand gaat vervolgens zo'n gecompromitteerde encryptievorm toepassen, zeker niet als er iets te verbergen valt voor de staat.
Een lesje staatsrecht zou geen overbodige luxe zijn hier. Iedereen heeft het over 'de overheid' als 1 organisatie en met slechts 1 mening. Blijkbaar beseffen mensen niet dat beleid gemaakt wordt op basis van een meerderheid in de Tweede Kamer. Er kunnen dus partijen in de tweede kamer vr encryptie zijn en andere partijen tegen.

Dit beleid is een plan van D66, dat vr sterke encryptie is, gesteund door PvdA, SP, Groenlinks en Christenunie. Partijen die tegen gestemd hebben zijn VVD, CDA en PVV. Deze partijen willen encryptie afzwakken.
Het niet willen doneren van belastinggeld aan open-source projecten, zegt nog niet dat die partijen encryptie willen afzwakken natuurlijk he. :)
(Ik heb niets met die partijen, maar vind het argument "ze stemmen tegen, dus zijn ze tegen encryptie!" wel een erg snel gemaakte conclusie. :))
Een mooi gebaar, maar ben wel benieuwd welke ontwikkelingen dit geld gaan krijgen.
Dit is het eerste echt positieve bericht over onze overheid dat ik in best wel weer een tijdje gehoord heb. Liever duik in niet in de specifieke waarom, hoe en wat dit aangenomen is en beoordeel ik het op face-value, maar ik ben trots.
Ik ben erg blij dat de overheid geld in opensource projecten gaat steken maar in dit geval vind ik het moeilijk. Waar moet het geld heen?

Ik ben geen programmeur en ik kan geen inhoudelijk oordeel geven maar na wat ik in het verleden heb gelezen en net na een snel rondje Googlen tegen kwam:

OpenSSL bevat veel fouten/overbodige code om antieke software te ondersteunen (Windows 16 bit, Novell e.d.) Dit is voor OpenBSD en Google de rede geweest om een fork te maken en dit op te schonen.

Google komt met BoringSSL en OpenBSD met LibreSSL. Onderling hebben ze de afspraak dat fixes in BoringSLL worden doorgegeven aan OpenBSD/LibreSSL. LibreSSL wordt onder andere door Apple OSX gebruikt.

Daarnaast lees ik dat de Linux Foundation enkele miljoenen aan het OpenSSL project schenkt om de code beter te maken. (geen idee wat de huidige status daarvan is)

Waar moet onze overheid dan geld in steken? Google's BoringSSL niet, Google heeft geld genoeg. LibreSSL wordt door Apple gebruikt, laat Apple een flinke donatie doen (als dat niet allang gebeurd is)

OpenSSL heeft al miljoenen van de Linux Foundation binnen, wat is dan de meerwaarde van een half miljoen?

Wellicht PolarSSL, ik heb hier geen ervaring mee maar ik lees dat dit veel gebruikt wordt in embedded devices. Goed voor IoT? Ook gebruikt onze overheid PolarSSL voor de OpenVPN verbindingen, OpenSSL wordt hier normaal voor gebruikt maar is niet toegestaan door onze overheid (op aanraden van FOX-IT dacht ik te herinneren) OpenVPN-NL is hierdoor ontstaan. PolarSSL is dan wellicht het beste doel maar hoe groot is de kans dat de rest van de wereld dit gaat gebruiken?
Encryptieprotocollen die geld krijgen van overheden hoeven bij mij er niet in 8)7
"De Tweede Kamer wil met de donatie als tegenwicht de ontwikkeling en versterking van encryptie ondersteunen. Het geld zal uit het potje voor ict-beleid van het ministerie van Economische Zaken komen."

Dat laat het eigenlijk klinken alsof het meer Marketing is... Voor 500K, wat redelijk cheap is, het argument "Welnee, wij zijn absoluut voor encryptie; we doneren zelfs aan allerlei projecten om encryptie sterker en veiliger te maken!" kunnen gebruiken... Nice. :)

Begrijp me niet verkeerd hoor, enorm goed dat ze 500K overboeken naar (een aantal) open-source projecten. Van mij mogen ze nog veel meer geven. Maar ik heb het vage idee dat deze donatie gebeurt uit andere overwegingen, en dus om de verkeerde redenen, dan werkelijk omdat ze deze projecten willen ondersteunen. Er is nogal een conflict of interests...

Maarja. :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True