Eurocommissaris Digitale Markt spreekt zich uit tegen backdoors

De Eurocommissaris voor de Digitale Interne Markt Andrus Ansip heeft zich uitgesproken tegen het gebruik van backdoors, waarbij hij bepaalde systemen als voorbeeld geeft. Hij wijst erop dat de aanslagplegers van Parijs niet versleuteld communiceerden.

Ansip wil niet specifiek ingaan op vragen over het al dan niet verplicht unlocken van iPhones, maar zegt bij een interview met Euractiv, tijdens MWC 2016, dat zijn standpunt op dit vlak bekend is. "Identificatiesystemen zijn gebaseerd op encryptie. Ik ben sterk tegen welke backdoor in deze systemen dan ook", aldus Ansip. Volgens hem zou het vertrouwen in digitale id's ondermijnd worden bij aanwezigheid van backdoors. Ook noemt hij de systemen van connected auto's als voorbeeld waarbij sterke encryptie zonder backdoors nodig is.

De Eurocommissaris voor de Digitale Interne Markt gaat niet in op encryptie bij smartphones, zoals het geval is bij de Apple-zaak. Wel zegt hij geen contradictie te zien bij het doel om zowel iedereens privacy te beschermen als de veiligheid te garanderen. "Ik wil internet niet de schuld geven van alle slechte dingen in de wereld."

Hij wijst daarbij naar de aanslagplegers van Parijs: "Iemand zei dat de terroristen van de aanval in november sterke encryptiesystemen voor hun communicatiesystemen gebruikten. Omdat we een van de mobieltjes gevonden hebben, weten we dat ze open systemen voor tekstberichten gebruikten."

Een Eurocommissaris vertegenwoordigt het belang van de Europese Unie en de Commissie beslist bij meerderheid. Het standpunt van een enkele Eurocommissaris heeft geen enkele bindende kracht of invloed op beleid van lidstaten. Een jaar geleden pleitte de antiterrorismecoördinator van de Europese Unie er nog voor dat internet- en telecombedrijven moeten kunnen worden gedwongen om hun encryptiesleutels af te geven.

IT-banen

Reacties (46)

Auredium 24 februari 2016 09:03

Backdoors in encryptie of apparaten in het algemeen zijn dom.

Het voorbeeld noemt het al als voorbeeld; veel terroristen gebruiken helemaal geen encryptie. Terroristen worden niet op tijd gepakt omdat ze
A ) Opgaan in de massa. Inlichtingendiensten vangen zoveel informatie op van zoveel mensen dat de terroristen simpel niet genoeg meer opvallen in de berg van informatie en analyse vaak te lang duurt.
B ) De terroristen zijn vaak bekend maar het justitiele apparaat beweegt zo tergend langzaam bazerend op goedkeuring en absolute ekerheid dat de aanslagen al gepleegd zijn voordat er kan worden ingegrepen.

Als je backdoors inbouwt heb je het probleem dat jij als overheid of beveiligingdienst ook te maken krijgt met anderen die ook gebruik maken van diezelfde backdoor. Pas geleden werd bekend dat al eekele jaren een VPN bedrijf in de VS jarenlang zijn info via een door de NSA ingebouwde backdoor in encryptie open had liggen. Niemand weet wie het gedaan heeft; het kan de NSA zijn maar ook een willekeurige andere partij.

Daarnaast heb je 'het andere' probleem. Als ik als terrorist encryptie gebruik voor aanslagen te plegen in de EU dan gebruik ik gewoon diensten die niet uit de EU en de VS komen. Tuurlijk zal China of Rusland zijn eigen backdoors hebben maar de kans dat de inlichtingendiensten in de VS of de Eu die op dat moment al weten is kleiner.

Dus niet alleen zorgen backdoors ervoor dat een product onveiliger wordt, ze zijn ook afhankelijkv an de partijen. Rusland gaat geen software gebruiken waar de Amerikanen een backdoor in hebben gebouwt; die gebruiken hun eigen zooi waar zij hun eigen backdoor in hebben gebouwt.

[Reactie gewijzigd door Auredium op 22 juli 2024 13:26]

MAX3400 @Auredium • 24 februari 2016 09:26

Backdoors in encryptie of apparaten in het algemeen zijn dom.

Tja, maar als zelfs backdoors worden ingebouwd in opensource-spullen en niemand heeft het door, dan is wederom de discussie "wanneer ben je dan wel veilig?". Terwijl juist bij opensource men de mogelijkheid heeft om de originele code te verifieren maar het lijkt erop dat daar de klad in zit en/of men is ook daar teveel gaan vertrouwen op bepaalde zaken.

Linux Mint backdoors is van enkele dagen geleden; zelfs de eigenaren van de Mint-site hadden geen idee dat hun eigen fileservers en downloads werden aangepast en er nieuwe CRC-codes werden gegenereerd. Dan is er fundamenteel iets mis met de manier waarop "we" omgaan met security in het algemeen en specifiek encryptie / checks / backdoors.

Zeker nu we zien dat een bedrijf als Ubuntu ook smartphones aan het maken is, we voor Android-devices ook allerlei root-tools hebben en er ook jailbreaks bestaan voor iOS, is de grens van het acceptabele en het morele vreselijk grijs/onbekend. Aan de ene kant wil iedereen security & privacy maar als het een beetje voor eigen gebruik is, dan willen we graag kunnen rooten, voor minder/gratis spullen installeren/modificeren etc.

Ik vind het allemaal erg dubbel.

CAPSLOCK2000

Politiek en recht

@MAX3400 • 24 februari 2016 10:36

Tja, maar als zelfs backdoors worden ingebouwd in opensource-spullen en niemand heeft het door, dan is wederom de discussie "wanneer ben je dan wel veilig?". Terwijl juist bij opensource men de mogelijkheid heeft om de originele code te verifieren maar het lijkt erop dat daar de klad in zit en/of men is ook daar teveel gaan vertrouwen op bepaalde zaken.

Ik proef een beeld dat ik wel vaker zie, namelijk de verwachting dat omdat iets open-source er ook goede audits van de code zullen zijn. Code auditten is veel moeilijker dan code schrijven. Open-source zegt niks over de kwaliteit van de code, het geeft de mogelijkheid om die kwaliteit zelf te inspecteren of te verbeteren maar het is geen garantie.

Het is zo iets als bandenspanning, je kan van iedere auto aan de openbare weg eenvoudig de bandenspanning controleren en de banden oppompen als dat nodig is, maar wie doe dat nou? Het kan, maar je zal iemand moeten vinden die wil betalen om het werk te doen.

Dan is er fundamenteel iets mis met de manier waarop "we" omgaan met security in het algemeen en specifiek encryptie / checks / backdoors.

Absoluut, ik denk niet dat er iemand in de beveiligingsindustrie is die vindt dat het goed gaat. Het gaat heel erg slecht maar we weten niet hoe het beter moet, zeker niet op een makkelijke en betaalbare manier. Wie het wel weet kan rijk en beroemd worden.

Als iedereen bereid was om €10.000 te betalen voor een Windows-CD'tje (of een ander OS naar keuze) en drie jaar te wachten op de ontwikkelingen van een nieuwe muis-driver dan zou de wereld een stuk veiliger (kunnen) zijn. Maar ja, in praktijk wordt er altijd gekozen voor de goedkoopste leverancier die het snelste kan leveren. Kwaliteit of veiligheid is maar zelden een eis, deels ook omdat het ontzettende moeilijk is om dat objectief te beoordelen.

Aan de ene kant wil iedereen security & privacy maar als het een beetje voor eigen gebruik is, dan willen we graag kunnen rooten, voor minder/gratis spullen installeren/modificeren etc.

Ik vind het juist heel erg simpel, het gaat allemaal om de vraag "wie is de baas?". Ik vind dat ik de enige baas ben over de hardware die ik heb gekochten en de data die ik genereer of verzamel. Ik wil niet dat een ander bepaalt wat ik met z'n apparaat mag doen, welk OS of welke applicaties ik mag installeren of welke websites ik mag bezoeken.
Ik wil de beste beveiliging die er is maar ik wil zélf de sleutels hebben zodat ík een afweging kan maken tussen veiligheid en gemak waar ik mee kan leven.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 13:26]

stresstak @CAPSLOCK2000 • 24 februari 2016 12:50

Ik wil niet dat een ander bepaald wat ik met z'n apparaat mag doen, ...

En toch gebeurt dat wel. Al was het maar via een wet.
Maar los daarvan, natuurlijk doen we wat ons goeddunkt en niet per se wat de fabrikant of leverancier wil. Zie ook het bericht over AnyDVD en de perikelen.

rbr320 @MAX3400 • 24 februari 2016 10:00

De website van Linux Mint was gericht gehackt, dat is natuurlijk heel iets anders dan dat er door programmeurs willens en wetens backdoors in software worden ingebouwd. Overigens hadden de mensen achter Linux Mint redelijk snel door dat ze gehackt waren, in het artikel staat namelijk dat ze een uur nadat de aangepaste iso bestanden waarin de backdoor was geplaatst online waren gezet door de hacker, de site al uit de lucht is gehaald. Dat is snel als je het vergelijkt met de tijd die het sommige grote bedrijven kost om te reageren op een hack.

Timfonie @MAX3400 • 24 februari 2016 09:50

De enige reden waarom ik mijn telefoon heb geroot, is juist vanwege privacy. Ik wil bijvoorbeeld voorkomen dat apps onnodig rechten hebben om bij mijn contacten, berichten, etc. te kunnen komen, waar ze doorgaans niks te zoeken hebben. Tools als XPrivacy kun je alleen draaien met een geroot apparaat.

batteries4ever @Timfonie • 24 februari 2016 11:54

Waarbij je er [paranoid] wel vanuit gaat dat die xprivacy code dan wel waterdicht is [/paranoid], zie ook commentaar van CAPSLOCK2000 herboven. Zou de NSA, ...., daar nou echt niet eens tukje code hebben bijgedragen? Ben je de broncode al een keertje doorgegaan - wedden om een biertje van niet? Het blijft lastig privacy te bewaren en misschien moeten we er maar het beste van zien te maken..... regels afspreken en proberen de diverse overheden eraan te houden.... lastig, lastig, lastig. Of allerlei hacktools gebruiken en afgaan over wat je in de forums leest, welleicht wat functionaliteit inboeten, ook niet niet zo leuk...

Timfonie @batteries4ever • 24 februari 2016 13:16

Het is inderdaad niet uitgesloten dat er in Xprivacy en andere privacy-gerelateerde utilities ongewenste backdoors zitten. Helaas is daar dus geen100% zekerheid over te krijgen.

Maar als je moet kiezen tussen een zeker kwaad en een mogelijk kwaad, wat zou jij dan doen?

Bizar dat we een technologische samenleving krijgen waarin vertrouwen steeds meer onder druk komt te staan, juist terwijl zo onderhand alle belangrijke communicatie en activtiteiten er afhankelijk van worden.

Aaargh! @Timfonie • 24 februari 2016 13:39

Ik wil bijvoorbeeld voorkomen dat apps onnodig rechten hebben om bij mijn contacten, berichten, etc. te kunnen komen, waar ze doorgaans niks te zoeken hebben.

Daarom vragen fatsoenlijke OSen ook individuele rechten, in context. Bij installatie kan jij niet vaststellen of het zinvol is dat een app bij je foto's kan. Op het moment dat je op 'stuur foto' in je messaging app drukt en je krijgt een popup die vraagt om rechten tot je foto's dan is het een stuk duidelijker en logischer.

Jerie

@MAX3400 • 24 februari 2016 14:00

Linux Mint backdoors is van enkele dagen geleden; zelfs de eigenaren van de Mint-site hadden geen idee dat hun eigen fileservers en downloads werden aangepast en er nieuwe CRC-codes werden gegenereerd.

CRC-codes? CRC32 wordt niet gebruikt om bestanden te verfieren. Ik geloof dat zelfs FTP sites dat niet meer doen. Teveel last van collusions.

Tjolk @MAX3400 • 25 februari 2016 09:55

Linux Mint backdoors is van enkele dagen geleden; zelfs de eigenaren van de Mint-site hadden geen idee dat hun eigen fileservers en downloads werden aangepast en er nieuwe CRC-codes werden gegenereerd.

Uhm, uit je eigen link:

"Who the f**k checks those anyway?" the hacker said.

It was about an hour later when Lefebvre began to take down the project's website.

Clement Lefebvre is degene die Linux Mint leidt....

PostHEX @Auredium • 24 februari 2016 10:14

Klopt. En als klap op de vuurpijl: terroristen hebben ook zo hen eigen oplossingen. Zie Mujahedeen Secrets bijvoorbeeld. Ontmantel je een crypto programma? Prima, dan bouwen de terroristen iets nieuws; want cryptography is wiskunde. Je kan geen backdoor in wiskunde bouwen.

Edit: dan maar een addendum voordat ik hier nog meer reacties op krijg:
Met "Je kan geen backdoor in wiskunde bouwen." bedoel ik ook fundamentele wiskunde (waarop algoritmen weer zijn gebaseerd). Natuurlijk is het lang en breed bekend dat moderne algoritmen backdoors kunnen bevatten.

[Reactie gewijzigd door PostHEX op 22 juli 2024 13:26]

Douweegbertje @PostHEX • 24 februari 2016 12:24

Oeh, een beetje jammer dat je dat laatste stukje erin hebt gezet, de rest klopt namelijk wel!

Je kan geen backdoor in wiskunde bouwen.

Dat is wel degelijk mogelijk, heel goed zelfs. Check Dual_EC_DRBG maar eens. Even de korte samenvatting:

This is how it works: There are a bunch of constants -- fixed numbers -- in the standard used to define the algorithm's elliptic curve. These constants are listed in Appendix A of the NIST publication, but nowhere is it explained where they came from.

What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.

PostHEX @Douweegbertje • 24 februari 2016 13:06

Ik bedoelde ook fundamentele wiskunde, en niet speciale wiskunde zoals een modern computer algoritme.

.oisyn Moderator Devschuur® @PostHEX • 24 februari 2016 14:11

Je opmerking sloeg gewoon kant noch wal. Keer op keer zijn er zwakheden in encryptie-algoritmen gevonden, het overgrote meerendeel is er niet bewust ingebracht. Je kunt wel stellen dat iedereen in staat is zijn eigen encryptie te ontwikkelen, maar ik denk dat we inmiddels de conclusie wel kunnen trekken dat een echt goed opgezet encryptie-algoritme geen sinecure is. Dat "de terrorristen iets nieuws bouwen" impliceert niet dat er geen (onbewuste) backdoor bestaat.

Jerie

@PostHEX • 24 februari 2016 13:35

Je kan geen backdoor in wiskunde bouwen.

Jawel, er bestaat in de praktijk geen Perfect Secrecy.

Gebruikers van cryptografie moeten gebruik maken van open standaarden, die bewezen zijn, en open source zijn. Je hebt ook proprietary cryprografie. Dat maakt gebruik van obscurity, en die blijken keer op keer lek te zijn.

laptopleon @PostHEX • 24 februari 2016 10:52

Plus dat het eenvoudig is om met een paar codewoorden te werken. Vervang 'aanslag' door feestje en 'bom' door taart en je berichten gaan fluitend door elk filter.

Verwijderd @stresstak • 24 februari 2016 13:11

Je hoeft niet eens taal te gebruiken om te communiceren.

Iemand zit op een terrasje met de vraag of de aanslag door gaat. In Irak hebben ze elkaar wel al ontmoet. Daar hebben ze een privé taal bedacht en afspraken gemaakt en uit het hoofd geleerd natuurlijk.

Een man gaat zitten. Hij krabt met zijn linker hand in zijn baard. Dat beteken ja. De eerste man pakt zijn koffiekopje beet met twee handen, alsof het heet is. Dat betekent 'welk doel'. De andere man roet zijn koffie met de rechter hand en legt het lepeltje niet in de schotel maar op tafel. Dat betekent een overheidsorganisatie.

Ga zo maar door. Zelfs James Bond zou dat niet als taal herkennen.

De hele situatie kan als taal dienen. Ga je met je rug naar de straat zitten. Vanaf welke kant kom je. Hoe ga je weg. Kleur kleding, type kleding. En er is geen encryptie nodig.

matthewk @Auredium • 24 februari 2016 09:30

B ) De terroristen zijn vaak bekend maar het justitiele apparaat beweegt zo tergend langzaam bazerend op goedkeuring en absolute ekerheid dat de aanslagen al gepleegd zijn voordat er kan worden ingegrepen.

Je impliceert hier dus dat er geen absolute zekerheid moet zijn voor arrestaties en/of veroordelingen voor terrorisme. Dat vind ik veel gevaarlijker dan een backdoor in een stuk technologie waarbij je nog steeds de vrije beslissing hebt om dit niet te gebruiken.

phYzar @matthewk • 24 februari 2016 10:18

Je impliceert hier dus...

Wat hij zegt is dat voor het oppakken van terroristen meer obstakels zijn dan alleen de techniek. Hij impliceert niet dat deze obstakels ook/eerst/eerder moeten worden opgelost. Hij pleit naar mijn idee juist voor het stellen van een grens aan hoe ver je moet willen gaan voor het oppakken van terroristen en het voorkomen van terrorisme.

Zijn uitweiding over hoe ernstig de gevolgen zijn voor software als je deze lijn doortrekt zijn van een zelfde strekking als jouw voorbeeld hoe ernstig de gevolgen zijn wanneer je bij een ander obstakel (burgerrechten) deze lijn doortrekt. Eigenlijk zijn jullie het dus met elkaar eens

[Reactie gewijzigd door phYzar op 22 juli 2024 13:26]

monojack @matthewk • 24 februari 2016 14:57

Zo heeft alles natuurlijk een keerzijde. Wie zegt dat de informatie die absolute zekerheid moet geven niet geplaatst is via een backdoor?

Dat is nu net het grote probleem waar we voor staan. Men wil terrorisme de baas kunnen maar met een backdoor breng je net onze veiligheid in gevaar. Wanneer we zouden kiezen voor backdoors om toch wel absolute zekerheid te hebben zouden terroristen die backdoors kunnen gebruiken om bvb valse bewijzen te plaatsen die er voor zorgen dat we op de verkeerde plaats gaan zoeken en daardoor echte aanslagen niet gaan kunnen verijdelen.

We gaan moeten beseffen dat we terrorisme niet gaan kunnen bestrijden door ordediensten. We gaan moeten inzien dat als we willen leven zonder terrorisme dat we de kiemen moeten wegnemen die tot terrorisme leiden.

Veel mensen leven teveel in het hier en nu maar houden geen rekening met morgen. Vandaag hebben we te maken met een bende barbaren die van geweren en bommen houdt maar wat als we morgen te maken krijgen met hordes woeste nerds? We hebben het al gezien met Anonymous en Lulzsec. en dat was allemaal nog redelijk onschuldig maar de toenemende ongelijkheid in onze maatschappij zorgt er wel voor dat we binnenkort hoogstwaarschijnlijk ook weer met westers terrorisme zullen moeten rekening houden en dat zijn net het soort terroristen waar van ik verwacht dat die je gaan doen eisen dat alles volledig dicht getimmerd is.

LopendeVogel @Auredium • 24 februari 2016 09:08

Tsja, de aanslag plegers (Parijs) gebruikte dus niet eens encryptie

ging gewoon via het open systeem waar je dus niks raars voor hoeft te doen om daarachter te komen. Backdoors hadden dit dus allemaal niet voorkomen en dat is waar het min of meer om gaat..

andreetje @LopendeVogel • 24 februari 2016 13:34

Uit het artikel:

Hij wijst erop dat de aanslagplegers van Parijs niet versleuteld communiceerden.

En wat dan nog als er encryptie gebruikt was? Gaan we ook auto's afschaffen omdat deze voor terreur gebruikt worden?
Onze leiders moeten beseffen dat ze niet op elk incident overspannen moeten reageren met de verkeerde maatregelen, maar meer naar de lange termijn moeten kijken.

LopendeVogel @andreetje • 24 februari 2016 14:09

Nee ik ben het volledig met je eens.. Straks gaan criminelen en eventuele ''terroristen'' hardware en software gebruiken zonder backdoors en dan.. Enige die daar de dupe van is is de burger, de crimineel / terrorist of whatever zal gewoon lekker doorgaan.. En dat weten ze daarboven ook wel..

mossel 24 februari 2016 09:07

Hij wijst daarbij naar de aanslagplegers van Parijs: "Iemand zei dat de terroristen van de aanval in november sterke encryptiesystemen voor hun communicatiesystemen gebruikten. Omdat we een van de mobieltjes gevonden hebben, weten we dat ze open systemen voor tekstberichten gebruikten."

Vraag me af wat de relevantie is van een dergelijke opmerking. Wat nou als het andersom was geweest, was het dan wel een argument tegen encryptie?

We moeten ophouden individuele gevallen door te trekken. Privacy is een grondrecht, stel je even voor dat je in een land leeft met een minder vriendelijke overheid.

[Reactie gewijzigd door mossel op 22 juli 2024 13:26]

geekeep @mossel • 24 februari 2016 09:26

Daarentegen moeten mensen het recht op privacy niet als iets absoluuts, alles of niets, zien.

In sommige gevallen lijkt het me nou wel redelijk als men een 'masterkey' heeft, zoals bijvoorbeeld de TSA sleutels voor koffersloten. Het grote verschil met het Apple debacle is echter dat ze hierbij fysiek toegang moeten hebben tot jouw koffer én dit slechts impact heeft op de geringe inhoud ervan. In het geval smartphone echter staat tegenwoordig hun héle hebben en houden (contacten, agenda, mail, berichten, taken, notities, browsegeschiedenis, foto's en video's) hier op, maar is het openen/kraken/ontsleutelen ook nog eens op afstand mogelijk, zeker in combinatie met veelal gelinkte clouddiensten.

Donvermicelli @geekeep • 24 februari 2016 10:33

TSA sleutels zijn daarentegen ook gelekt dus zo veilig is deze backdoor ook niet. Als gevolg kan iedereen met een 3d printer nu een kopie maken van deze masterkey. Als iedereen het slot kan open maken waarom doen we er dan nog sloten op?

andreetje @Donvermicelli • 24 februari 2016 13:36

Daarom doen "we" tegenwoordig een extra slot op het koffer, zodat deze niet geopend kan worden door wie dan ook.

LopendeVogel @andreetje • 24 februari 2016 14:13

Inderdaad, ik heb ook altijd een extra slot erop zitten.. En ja die mogen ze kapot knippen indien ze erin willen zitten, maar zonder extra slot kunnen ze zo je koffer openmaken zonder dat je daar iets van ziet..
Mja digitaal is dat allemaal iets moeilijker:P

WK100 @mossel • 24 februari 2016 10:07

Als de terroristen geen encryptie toepassen vervalt de hele argumentatie van die zijde:

Terroristen voeren iets uit
|
Is voorbereid via (mobiele) elektronische netwerken
|
Netwerken versleuteld met encryptie
|
Netwerk moet afgeluisterd kunnen worden
|
Encryptie moet verdwijnen/wij willen master keys

Ansip zegt hier dat de netwerken níet versleuteld waren. Hij trapt als het ware het twee-na-laatste argument onderuit waardoor de onderste helft van die keten wegvalt, en daarmee ook het doel, het kunnen ontsleutelen van encryptie.

De andere zijde, die ik 'security' heb gedoopt, kan op hun beurt dit verwerpen met een voorbeeld waarbij een terrorist wel versleuteling had gebruikt, of overschakelen op een ander argument.

Het punt is dat dat andere argument zeer waarschijnlijk hun eigen belang is (alles kunnen volgen, macht) en dat ze daar niet mee naar buiten kunnen komen. Zo blijf je dit spelletje van 'welles-nietes' houden en schieten we er niks mee op.

[Reactie gewijzigd door WK100 op 22 juli 2024 13:26]

sjameasypoo @WK100 • 24 februari 2016 10:34

Punt is dat deze redenatie ongeldig is. Je gaat van één enkel geval naar algemeen.

Als het al zo zou zijn dat ze encrypted communicatie hadden gebruikt, dan wil dat nog niet zeggen: a) dat het essentieel was (ze hadden nu toevallig de mogelijkheid, maar met een bacdoor hadden ze het misschien ook prima zonder encrypted comm. kunnen doen.)
b.) dat er geen andere oplossing voorhanden was
c.) dat het feit dat ze encrypted comm. gebruikten ze überhaupt geholpen heeft (ik kan me voorstellen dat als er al aanwijzingen zijn, dat het gebruik van encrypted comm. er een extra is.

core_dump 24 februari 2016 09:23

Een backdoor maakt ieder systeem kwestbaar voor aanvallen. Er zou juist een wet moeten komen die backdoors in securitysystemen en systemen voor communicatie verbiedt.

Het is een gede zaak dat hier door grote spelers een harde stelling in wordt genomen. Privacy is te belangrijk om aan de kant te worden gezet door een of andere inlichtingendienst die te stom is om een 4-cijferige pincode te hacken op een iPhone.

nils7 @core_dump • 24 februari 2016 09:27

Je kan ook een meer cijferige pincode op een iphone zetten.

Chris.nl @core_dump • 24 februari 2016 10:07

Ik weet niet precies hoeveel pogingen je kan doen omdat ik zelf geen iPhone heb. Maar leg jij anders even uit hoe men een encrypted device hackt die zichzelf na (pak hem beet) 10 pogingen wist.

Verwijderd @Chris.nl • 24 februari 2016 20:11

Harddisk er uit halen, pinnetjes solderen aan een custom bordje. Denk je echt dat men bij bv. de FBI niet de resources heeft om zo'n bordje te maken? Tienduizenden keer meer resources en de medewerking van de grootste IT-industrie van de planeet om zo'n bordje te bouwen. Eens de harddisk er uit kunnen ze daar zoveel kopieeen van maken dat ze willen en zoveel rekenkracht om de boel te decrypteren als ze maar kunnen alloceren.

stresstak @core_dump • 24 februari 2016 13:10

Privacy is te belangrijk om aan de kant te worden gezet door een of andere inlichtingendienst die te stom is om een 4-cijferige pincode te hacken op een iPhone.

Je hebt tien pogingen. Raad mijn pincode maar.

W.Wonderland 24 februari 2016 09:22

Waar ik niemand over hoor is de "hardwarematige backdoor".
Communicatie en opgeslagen data kan je 100% beveiligen met verschillende programma's welke gebruik maken van bekende en beproefde encryptie standaarden dus daar verlies je niets mee.
Echter ik begrijp dat het OS van Apple gegevens encrypted kan opslaan.
Wat zou het probleem zijn om deze gegevens fysiek (dmv een hardware "pod", zoals ook het OS er in de fabriek op gezet word) wel uit het systeem te kunnen halen?
Niemand heeft toegang (nog steeds onmogelijk) maar indien ze het toestel in handen hebben kunnen ze er iets meer mee.

Wulfklaue @W.Wonderland • 24 februari 2016 10:24

Het voorbeeld dat je aanhaalt zal niet lukken. De data is encryped met een key. Zo lang je de key niet kent maakt het niet uit of je rechtstreeks toegang tot de hardware hebt of niet. Alles wat je uitleest is encryped data.

Daarom dat men ook niet vroeg aan Apple om de encryptie te breken maar men vroeg om het OS te vervangen door één waarbij de timeout weg was, voor iedere poging tot het breken van de key. Nu doet men poging 1 ... delay ... poging 2 ... delay ... waardoor het tere lang duurt om de key te breken ( in theorie 5 jaar in dit geval ).

De delay is met opzet erin geschreven zodat enige brute force pogingen zo lang vertraagt worden, dat ze de moeite niet waard zijn.

Als Apple zou luisteren naar de FBI en men upgrade het OS en men doet de beperking weg, dan kan men gewoon: poging 1, poging 2 , poging 3, poging 4... En dan zou men de phone in weken kunnen kraken.

----------

Om eerlijk te zijn, vind ik gans de verdachtmaking rond encryptie eigenlijk nutteloos. Encryptie is iets dat al 1000de jaren gebruikt gemaakt word. Als een boekhouder van de maffia zijn data weg schreef in boeken, was dat ook met een vorm van encryptie want men wou niet dat de politie deze kon lezen. Wat met al de wielrenners dat doping kochten en code namen gebruikte voor producten.

Wat het gerecht nu gewoon wilt met al die backdoor & verplicht maken van de master key af te geven of gevangenis straf toestanden, is hun werk gewoon simpeler maken. Om eerlijk te zijn, heb ik al lang de indruk dat men lui word bij het gerecht in veel landen.

Men ziet al die data en denkt: Waarom zouden we nog deftige onderzoekswerk doen, terwijl we gewoon door alle data kunnen zoeken. O wacht, mensen gebruiken nu meer & meer encryptie, bastards! Hoe durven die onze nieuwsgierigheid in de weg zitten. Merde, we kunnen een verdachte niet dwingen om zichzelf om mee te werken aan hun eigen veroordeling, door de master key te geven. Tja, dan maken we maar wetten dat we mensen kunnen opsluiten als ze niet meewerken aan hun eigen veroordeling. En dan proberen we maar fabrikanten te dwingen om eigenlijk hetzelfde te doen, door hun producten te voorzien van achter deuren.

Het grappig is, dan ondanks de miljarden dat men smijt in zo een programma's, dat er geen enkele terroristische poging verhinderd werd. Men heeft bijna iedere poging verhinderd omdat mensen rondom de verdachte die persoon aangaven bij de politie of werkte als informanten. Het ECHTE politie werk. Maar ja ... feit is dat men toegang tot alle data wilt niet gewoon voor terrorisme.

Al die data heeft fortuinen aan informatie voor bedrijven, of je land betere posities te geven bij onderhandelingen enz enz... Dat is de echte waarde.

Als Apple zou meewerken met de FBI hun onderzoek, dan maken ze bij de FBI snel een kopie van die gekraakte OS en gebruiken ze het overal dat ze willen. Men zal nooit toelaten dat Apple de phone kraakt en dan de data geeft aan de FBI ( en daarna de gekraakte OS verwijderd ) want dan staat men geen stap verder.

Dit is gewoon een politiek spelletje van druk zetten om zo backdoors te verkrijgen. Zie hoe Apple niet meewerkt tegen terroristen. Niks nieuws. Of het nu terrorisme, pedofilie, kinder porno of want dan ook. Er is altijd wel een woord waar men gebruik van maakt om iets erdoor te krijgen wat men dan volop misbruikt. Want wie kan er nu tegen "x" zijn... u probeert iets te doen dat verhinderd dat we een wet indienen tegen "x woord", bent u soms een "x"???

En dan zijn die wetten zo algemeen of worden ze in het geniep aangepast en voila ...

Verwijderd 24 februari 2016 11:09

Het wordt een steeds dichotomere keuze.

Of de overheid laat haar burgers in vrijheid en doet opsporing zoals zij altijd al heeft gedaan, of de overheid pakt stapje voor stapje steeds met een dan relevante situatie vrijheid van de gehele burgerbevolking af.

Bovendien wordt wel erg makkelijk aangenomen dat de overheid er altijd voor ons is, terwijl (ook) de overheid zich nogal vaak crimineel gedraagt.

Als je het omkeert en elke keer dat een ambtenaar over de scheef gaat de rechten van alle ambtenaren inperkt dan ben ik benieuwd welke discussie er in het parlement zou worden gevoerd

stresstak @Verwijderd • 24 februari 2016 13:14

Als je het omkeert en elke keer dat een ambtenaar over de scheef gaat de rechten van alle ambtenaren inperkt dan ben ik benieuwd welke discussie er in het parlement zou worden gevoerd

Daarop voortbordurende. Als er eenmaal een backdoor of hack wereldwijd bekend en toegankelijk is, zou men als tegenprestatie een paar beroemde iphones moeten blootleggen. Van een CEO of minister Rutte of van Billy Gates. Hoewel de laatste geen iphone zal hebben.

eheijnen 24 februari 2016 19:11

Deze reactie van Ansip impliceert dat er nu géén producten zijn waar backdoors in zitten. Dat zou het draagvlak voor verdragen zoals TTIP, Privacy Shield, etc vergroten.

Toch is er ook tegenstelde informatie:
http://www.washingtonsblo...r-in-windows-by-1999.html
https://en.wikipedia.org/wiki/NSAKEY
http://www.theregister.co..._team_ios_trickery_outed/

papa_san 24 februari 2016 10:56

Nu ken ik deze Ansip niet, maar ik ga er niet vanuit dat als hij of andere mensen in de commissie tegen backdoors stemmen, dat dat zou zijn om onze privacy te waarborgen.
De verschillende nationale en Europese instanties reageerden uiterst lauw toen bleek uit de documenten van Snowden dat we grootschalig werden afgeluisterd.
Het interesseert hun geen klap.

De werkelijke redenen om daar tegen te stemmen zullen eerder zijn dat grootte leveranciers niet met die "backdoor plicht" willen worden opgezadeld.
Want zoiets kost geld, geeft slechte publiciteit en kan indien iemand er misbruik van weet te maken, allerlei claims tot gevolg hebben.

Hoe men deze afwijzing van de backdoors gaat politiek profileren zal waarschijnlijk per persoon verschillen, afhankelijk zijn of het bijna verkiezingstijd is, en het carrièreplan van de betreffende politicus.

linkaran17 24 februari 2016 13:06

issue in de hele kwestie is dat als fbi zijn zin krijgt er veel gaat veranderen ten aanzien van de macht die techbedrijven nu hebben en wat ze daarmee kunnen ten aanzien van de massa en het vergroten van hun invloed daarop. FB, Google en Apple zijn daarmee een bedreiging en dienen aan de leiband te lopen.
Nu blockchain technologie meer en meer intrede doet wordt de "war on terror" aangewend om een war against cryptologie te voeren..
Onze privacy is allang niet meer een issue (die is al lang vergeven) getuige de hoeveelheid mensen die hun hele hebben en houden online in de etalage zetten via social media en google services.

Verwijderd @linkaran17 • 25 februari 2016 09:38

Ik denk dat dit meespeelt ja, maar ik denk ook dat het hele probleem bekeken moet worden van een grotere hoogte.

De kern van de discussie is dat de burger hoge eisen stelt, vaak te hoge eisen rond veiligheid uit angst.
Een groot deel van die 'eis' voor veiligheid is, meen ik, niet bestaand. Maar politici maken gebruik van de stille massa en suggereren dat iedereen dezelfde hoge eisen stelt aan veiligheid en dat de politiek 'er alles aan moet doen om ons te beveiligen'. Ik denk echter dat een boel mensen best willen accepteren dat 100% veiligheid niet bestaat.

Het probleem is dat een gefocuste minderheid veel meer macht heeft dan de zwijgende meerderheid.

"In politics, an organized minority is a political majority."
-- Jesse Jackson

Die kleine groep bange mensen schreeuwen hard en dus zegt de politiek 'u vraagt, wij draaien' en projecteert vervolgens die eis op de hele bevolking.

Vervolgens zeggen ze dat '100% veiligheid niet bestaat' om zichzelf ook van die kant in te dekken.

Afgezien hiervan is de vraag waarom mensen bang zijn. Mensen willen niet graag dood, dat is nogal logisch. En dus zijn mensen snel geneigd om akkoord te gaan met beschermende maatregelen. Helaas zijn politici ook mensen, maar ook al die dienders bij politie en justitie etc. En dus is de vraag niet willekeurig welke over en rond encryptie, maar hoe je als samenleving angst in toom houdt.

Als burgers, ieder individu op zichzelf zich zou voornemen wat meer risico te accepteren in het volle besef dat er erge dingen kunnen gebeuren en dat accepteert, die kleine kans dat je omkomt bij een aanslag, daarover ietwat nonchalant zou zijn, dan zou er geen signaal naar de politiek gaan om te ver gaande maatregelen te treffen om veiligheid enerzijds te verhogen en risico's te verminderen, maar helaas ten koste van burgerrechten- en vrijheden en het mensenrecht privacy anderzijds.

Politici zeggen vaak 'Politiek is niet voor bange mensen'. Ik zeg, Het leven zelf is niet voor bange mensen. Een volk is sterk wanneer het individu bereid is zijn of haar noodlot te accepteren en niet de eigen angst te vertalen in politieke keuzes op basis waarvan politici aan de haal gaan met die angst gedreven vraag om veiligheid.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: