Belgische privacycommissie adviseert tegen aftappen kabel

De Privacycommissie adviseert tegen het uitbreiden van de bevoegdheden van de Belgische inlichtingendiensten met aftappen van de kabel. Een wetsvoorstel moet die uitbreiding mogelijk maken, maar de commissie acht het risico op massasurveillance te groot.

De Privacycommissie heeft donderdagavond zijn negatieve advies over dit onderdeel van het wetsvoorstel overgebracht aan de Belgische ministerraad. Het advies is niet bindend. Afgelopen maart schaarde de ministerraad zich achter de aanpassing van de wet op de Bijzondere Inlichtingenmethoden. In de memorie van toelichting is beschreven dat de bevoegdheden van Staatsveiligheid en de militaire inlichtingendienst ADIV uitgebreid worden met het onderscheppen van communicatie die via de kabel verloopt.

"De Commissie staat afkerig tegen een dergelijke werkwijze die de ADIV zou toelaten een gegevensstroom te onderscheppen die buitensporig is in het licht van het beoogde doeleinde en sterk begint te lijken op massasurveillance", schrijft de commissie. Binnen twee jaar zou de AVID met kabeltaps van start moeten gaan meldt Knack, die het advies onder ogen kreeg.

Elke kabelaanbieder in België zou tot medewerking gedwongen kunnen worden. In de wet zijn enkele waarborgen opgenomen, zoals een beperking tot het filteren van 'enkel de in het buitenland uitgezonden communicaties en gegevens', maar die zijn onvoldoende volgens de Privacycommissie: "In tegenstelling tot wat in de toelichting vermeld staat laat de wettekst op zich wel degelijk toe dat aan massacaptatie wordt gedaan."

De commissie schaart zich achter het merendeel van de wijzigingen, maar heeft naast de kabeltaps op meer punten kritiek. Zo stelt de commissie zich 'fundamentele vragen' bij het afbouwen van de bescherming die journalisten genieten als er aanwijzingen zijn dat deze hun beroep als dekmantel gebruiken voor spionage.

In Nederland krijgen de AIVD en de MIVD de mogelijkheid om ongericht kabels af te tappen. De ministerraad stuurde de wetswijziging hiervoor onlangs naar de Raad van State ter advisering. Gericht aftappen, dus toegespitst op een specifieke persoon, mochten de diensten al.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 20-05-2016 10:5862

20-05-2016 • 10:58

62 Linkedin

Lees meer

Belgische veiligheidsdiensten stoppen met software die extremisme moest opsporen Nieuws van 24 februari 2021
GfK: 80 procent Nederlanders wil meer controle over persoonsgegevens Nieuws van 2 juni 2016
Ongericht aftappen kabel gaat de overheid jaarlijks 35 miljoen euro kosten Nieuws van 29 april 2016
Commissie van rechters gaat ook hacken en telefonietaps AIVD toetsen Nieuws van 15 april 2016
'Privacycommissie gaat ongericht aftappen kabel door AIVD en MIVD toetsen' Nieuws van 15 april 2016
Belgische veiligheidsdienst wil glasvezelkabels aftappen Nieuws van 4 juli 2015
Tweede Kamer steunt ongericht aftappen door geheime dienst Nieuws van 9 februari 2015
AIVD en MIVD mogen ook via kabel internetverkeer aftappen Nieuws van 21 november 2014
Meer producten en artikelen
Politiek en recht Privacy België

Reacties (62)

-Moderatie-faq
62
56
28
6
2
16
Wijzig sortering
LEDfan
20 mei 2016 11:48
Op Knack lees ik (http://www.knack.be/nieuw...rticle-normal-705511.html)
In een recent interview met Knack benadrukte ADIV-topman Eddy Testelmans dat 'een moderne inlichtingendienst blind en doof zou zijn zonder toegang tot de kabel'.
Ik kan mij eigenlijk niet voorstellen dat je hier veel informatie uithaalt. Het is dus eigenlijk een MITM-attack en ik denk dat dat bij mensen die beetje nadenken niet veel kan uithalen. Je mail, Facebook, Telegram, Twitter, Dropbox, iCloud, Tox, zelfs Twekaers binnenkort, OS updates het loopt allemaal over SSL al dan niet met extra encryptie. Als de gebruiker of de software dan niet zo dom is om een niet ondertekend certificaat te aanvaarden wat kan je dan nog onderscheppen? SMS en GSM verkeer daarentegen kan je volgens mij veel simpeler aftappen.
Quilt
@LEDfan20 mei 2016 12:59
Ik vermoed dat ze bepaalde honeypots of specifieke Jihadi-site's of fora in het oog gaan houden. En mensen die zulke zaken bezoeken, puntjes toekennen. Als er voldoende punten aan je ip adres hangen, komt er verder onderzoek.
Vanaf dan ben je verdacht, en kan er gericht afgetapt worden. Kan er een sociogram opgesteld worden en gaan ze je mails proberen lezen, kijken welke devices je gebruikt, welke kanalen je nuttigt.
Want zelf met end-to-end encryptie, kan men nog altijd zien dat je Whatsapp of Telegram draait.

Het probleem voor de inlichtingendiensten lijkt mij:
- effectieve opvolging van leads, wat nu al niet lukt.
- false positives.
- impact op het gedrag van 'criminelen', die zich ook kunnen aanpassen.

Voor de gewone burger zijn de problemen nog veel groter:
- inperking van privacy, indirect ook vrijheid van meningsuiting door zelfcensuur. Merk op dat er een tendens is naar het criminaliseren van meningsdelicten, zodat Belgen vandaag reeds celstraffen kunnen krijgen voor xenofobie en seksisme.
- criminaliseren van zaken die nu gedoogd worden, maakt iedereen kwetsbaar/chanteerbaar voor vervolging in de toekomst.
- risico op toekomstige criminalisering van zaken die vandaag legaal zijn, maar in de toekomst misschien niet meer.

Ik zou het in elk geval geen slecht idee vinden indien de overheid haar kerntaken onder de knie zou krijgen, ipv mij te bespioneren.

De organisator van de aanslagen in Brussel/Parijs werd in begin 2014 betrapt op diefstal. Wat doet Belgie? Die kerel krijgt een A4'tje met daarop het bevel het grondgebied te verlaten.
http://www.demorgen.be/bi...l-zonder-gevolg-b11f81a7/

Misschien is het een goed idee om zulke mensen te veroordelen, een tijdje in het gevang te steken, en ze vervolgens effectief uit te wijzen. Idealiter op hun kosten en wanneer die niet betaald worden met een flag achter hun naam zodat ze de EU niet meer binnen kunnen.
Maar neen, in plaats daarvan moet heel België afgeluisterd worden...

En dan zwijg ik nog over het concept, waarbij iemand die behoorlijk universele concepten zoals 'gij zult niet stelen' niet respecteert, geacht wordt te doen wat er op een uitwijzingspapiertje staat.

Edit: spelling

[Reactie gewijzigd door Quilt op 20 mei 2016 13:01]

HakanX
@Quilt21 mei 2016 13:36
Tegenwoordig is terrorist en moslim zo goed als synoniem voor elkaar. Ben je bezig alle moslims met baard onder toezicht te houden. Slippen 'verwarde' figuren als Breivik en Tristan erdoorheen. Iedereen heeft het over dat jihad terrorisme is zonder de betekenis ervan te weten. Jihad is gewoon arabisch voor gevecht/worstelen (struggle). De grootste jihad van een moslim is bv degene met zichzelf. Het overwinnen van lusten e.d. Waar je met het vasten in de maand Ramadan ook voor traint.

Is 'jihad' dus je keyword op internet om terroristen op te sporen? Dan had je beter 'auto' als keyword kunnen gebruiken want daar kan je een 'autobom' van maken. Jihad is een woord dat meermaals in de Koeran voorkomt en je hebt 3 miljard moslims op de wereld. Veeeeel succes, je hebt meer kans met iemand pakken door één voor één iedereens huis te doorzoeken.

Ik heb trouwens nu alle red flags voor mijzelf geactiveerd :>
Donvermicelli
@Quilt20 mei 2016 13:58
Goede toevoeging, wellicht ook interessant is dit artiekel waar er verwezen wordt naar onderzoeken die aantonen dat de aanwezigheid van massa surveillance onze eigen bevolking buitensporig onderdrukt.

Men durft bijvoorbeeld minder kritisch naar de overheid te zijn of men gaat zelfs geen informatie meer opzoeken als ze bang zijn daardoor aangemerkt te worden als verdachten.

Een goed voorbeeld hiervan is bijvoorbeeld dat het aantal mensen wat informatie over ISIS wilde opzoeken via wikipedia enorm sterk afnam nadat de NSA praktijken zoals PRISM bekend waren. Nu zal de een zeggen: "ja maar dat zijn natuurlijk de terroristen die nu ontmoedigd worden om deze groeperingen op te zoeken!" Maar wat ook gebeurt is dat normale burgers zich onttrekken van het publieke debat over dit soort zaken omdat ze geen informatie over het onderwerp meer durven opzoeken.

Willen we nu echt de kant van "idiocracy" op waar iedereen maar braaf geloof wat hen wordt voorgekauwd en zelf geen onderzoek meer durft te doen?
Annihlator
@Donvermicelli20 mei 2016 17:26
"Willen we nu echt de kant van "idiocracy" op waar iedereen maar braaf geloof wat hen wordt voorgekauwd en zelf geen onderzoek meer durft te doen?"

Gezien de inlichtingendiensten (wereldwijd) een beetje op dat niveau lijken te zitten dan-wel-niet de rest van de mensen indirect aan te leren dat dat helemaal geen slecht iets is, vrees ik dat zij die tendens in ieder geval zouden toejuichen en actief steunen ;)

Als voorbeeld geef ik dan graag de misrepresentatie van de FBI m.b.t. de recente iOS-exploits, en vooral dat zij de zwarte-exploitmarkt zo steunen en het dichten van lekken met hun houding onmogelijk maken. Ligt op een lijn met een idiocraat in hen positie, gezien zij nu zelf een aanleiding hebben veroorzaakt om exploits niet langer te melden en onderwijl aan te nemen dat daardoor meer exploits "voor hen" op straat zullen blijven liggen, terwijl het in realiteit op de zwarte markt staat.

[Reactie gewijzigd door Annihlator op 20 mei 2016 17:27]

Jasper Janssen
@Anoniem: 39980721 mei 2016 22:06
Just because they're really after you doesnt mean you're not paranoid.
ArtGod
@Quilt22 mei 2016 16:14
Het verplaatst zich op een gegeven moment richting Tor (als dat nu al niet het geval is) en dan zie je niets meer. Of althans, je weet niet meer wie er naar kijkt. Wat ga je dan doen? Juist ja, dan gaan ze iedereen criminaliseren die Tor gebruikt en willen ze bij iedere Tor gebruiker kunnen inbreken om op zijn computer rond te neuzen.
Quilt
@ArtGod23 mei 2016 08:49
In theorie geef ik je gelijk, maar in de praktijk heb ik toch mijn twijfels.

Een deel van de exit-nodes wordt trouwens reeds gemonitord, en je moet toch al een goeie opsec hebben om nooit een steekje te laten vallen. Ik denk niet dat dat het geval is bij de fundi's die hier aanslagen plegen. De meesten hebben nooit de middelbare school afgemaakt. En in zo'n netwerken is het de zwakste schakel die de veiligheid bepaalt.
The Zep Man
@LEDfan20 mei 2016 12:06
Een inlichtingendienst is alleen blind en doof als ze niet kijken en luisteren. Zie de daders van aanslagen: allemaal waren ze al geoormerkt door opsporingsdiensten, maar daar is niets mee gedaan.

Bij de opsporingsdiensten zijn ze de weg kwijt omdat men niet meer weet wat een verdachte is. Door iedereen als verdacht aan te merken zorg je voor een honger om alles maar te registreren. Dat je de echte criminelen niet meer kan vinden in de hooiberg is niet zo verwonderlijk.

[Reactie gewijzigd door The Zep Man op 20 mei 2016 17:15]

ArtGod
@The Zep Man22 mei 2016 16:17
Dat is al vaak geroepen maar dat interesseert ze niet. Ze willen in ieder geval kunnen zeggen dat de 'dader in beeld was' als deze een aanslag pleegt. Als je iedereen in NL afluistert met een sleepnet kan je dus eigenlijk nooit in de fout gaan, al zullen steeds meer mensen zich afvragen waarom die mensen 'in beeld waren' maar dat men er niets aan deed. Dan komt men weer met het smoesje dat ze niet de capaciteit hebben om iedereen te volgen.
tweazer
@LEDfan20 mei 2016 16:07
Tja, of iedereen zet een onzin stream op, verschuil je communicatie in 50Mb continue stroom random data. Het jammere is alleen dat deze idioterie door eenieder wordt betaald. Eenieder wordt in de gaten gehouden om een paar idioten makkelijker te kunnen berechten middels het opzetten van een stasi / gestapo maatschappij. Net gisteren Panopticon van Paul Vlemmix gezien:
http://www.documentairene...e-docu-over-jouw-privacy/

Met name de opmerkingen van de duitse geinterviewden vond ik erg toepasselijk ....

Aan de andere kant, kan de partij die dit mag gaan opzetten verzamelen wat Rutte in zijn privetijd allemaal uitspookt. Ihkv openbaarheid van bestuur kan dit natuurlijk opgevraagd worden ....

[Reactie gewijzigd door tweazer op 20 mei 2016 16:12]

Kain_niaK
@LEDfan20 mei 2016 18:10
De NSA blijkt anders niet zo veel problemen te hebben met SSL of zelfs SSH.

Zie deze video presentatie van Jacob Appelbaum en Laura Poitras (maker van citizen four) gebaseerd op slides van de nsa die Snowden heeft gelekt.

https://youtube.com/watch?v=0SgGMj3Mf88

De enige systemen die veilig zijn (mits goed toegepast zijn) Off The record systemen zoals signal. PGP is veilig. En een Linux OS zoals tails. Daarbuiten maken de NSA en de 5 eye landen je profiel gewoon groter en groter. Allemaal nu niet zo'n probleem voor de gewone burger maar over 20 jaar mischien wel want die database is pure macht. Stel je voor, drones die zelf aan de hand van die database beslissen of je een vijand van de staat bent en je vermoorden? Verre toekomst nachtmerrie? Zeker ... maar die database is er dus al en jij en elke aardbewoner zit er in. Inclusief alle porno gerelateerde termen waar je naar zoekt op Google. En elke plaats waar je ooit bent geweest met je smartphone. Dus als ze je zoeken, waar ga je heen?


De trilogie van Laura is ook razend interessant. Eye opener. My country my country, tweede ben ik de naam kwijt en dan citizen four.

[Reactie gewijzigd door Kain_niaK op 20 mei 2016 18:23]

mr_zippey
20 mei 2016 11:03
Daar denken ze in ieder geval beter na dan hier in NL

@Tk55: Dat is jouw mening ;)
Natuurlijk zie ik ook wel dat het een advies is, staat namelijk duidelijk vermeld in de titel en tekst. echter zijn er in NL ook voldoende mensen die dit allemaal niet zo belangrijk vinden.

Dat zijn dan met name de mensen die op privacyissues reageren met 'ik heb toch niets te verbergen'. En geen leven hebben zonder (a)sociale media.

Zoals Dasprive (hieronder) ook al aangeeft moet men maar afwachten wat ermee gedaan wordt

Edit: reactie op Tk55

[Reactie gewijzigd door mr_zippey op 20 mei 2016 11:46]

Tk55
@mr_zippey20 mei 2016 11:10
Dat klopt niet. In Nederland is er ook voldoende kritiek. Niet dat de Nederlandse overheid zich hier dan ook iets van aantrekt.
De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, de CTIVD, heeft in een officiële reactie donderdag hard uitgehaald naar het wetsvoorstel om de inlichtingendiensten van meer bevoegdheden te voorzien. De CTIVD is bang dat ze te weinig controle kan uitoefenen.
nieuws: Toezichthouder haalt hard uit naar voorstel nieuwe bevoegdheden AIVD en MIVD
De verschillende organisaties keuren vooral het 'ongerichte karakter' van de wet af, iets waar niets aan veranderd is. Het is diensten toegestaan een jaar lang ongericht af te tappen. In een reactie zegt Ton Siedsma van Bits of Freedom dat in het voorstel "aan het sleepnet inhoudelijk, behalve het toevoegen van het woord “onderzoeksopdrachtgericht”, niets is gewijzigd". De organisatie roept minister Plasterk op om het sleepnet "waarmee ontzettend veel gegevens van onschuldige burgers worden verzameld", alsnog in te trekken.
nieuws: Ongericht aftappen kabel gaat de overheid jaarlijks 35 miljoen euro kosten
_Thanatos_
@Tk5520 mei 2016 12:51
De Nederlandse overheid is vooral anticonsument. De Belgische overheid is ook gebonden aan het EU-parlement (die minstens zo anticonsument is), maar heeft blijkbaar tenminste een eigen mening.
Zer0
@_Thanatos_20 mei 2016 15:07
De Nederlandse overheid is vooral anticonsument.
Ja, dat verklaart de Wet Kopen op Afstand, de netneutraliteits-wetgeving, en de vele andere wetgeving waar juist de consument profijt van heeft....
LordMike
@Zer021 mei 2016 16:38
Man wat ben jij slecht geïnformeerd, dit zijn Europese beslissingen die Nederland zoiezo moet invoeren als eigen wetgeving.

Om dan opeens te zeggen dat jouw overheid dit heeft ingevoerd gaat echt wel een brug té ver!

Ik zou zeggen informeer jezelf een beetje beter de volgende keer voordat je z'n onzin gaat verkondigen en kom met een paar echte voorbeelden waar iedereen wat aan heeft, ik kan me zo 1-2-3 niet bedenken wat maar kan me ook moeilijk voorstellen dat jouw overheid niets doet wat de consument beschermd.
Zer0
@LordMike21 mei 2016 20:10
Een aantal van die maatregelen zijn in Nederland ingevoerd voor het Europees beleid werd..
Zer0
@Anoniem: 13238520 mei 2016 17:13
Leuk zo een algemene uitspraak, maar kom eens met wat concrete voorbeelden van "consument-onvriendelijke" wetgeving van de laatste tijd.
_Thanatos_
@Zer020 mei 2016 17:32
OV-chipkaart, plastic tasjes, verplicht aftappen, camera "beveiliging".
Zer0
@_Thanatos_20 mei 2016 18:09
[qoute]plastic tasjes[/quote]
|:(
Ja, dat heeft mijn leven als consument zwaar benadeeld...
_Thanatos_
@Zer024 mei 2016 17:47
Okok, het is eigenlijk een voordeel, want je koopt ermee af dat je plastic tasjes op straat mag flikkeren. Waar betaal je anders voor? Ze moeten *iets* doen met dat geld, anders zouden ze gratis kunnen.

Maar voor degenen die dat niet doen, en es een keer geen tasje bij zich hebben, is het een last. Het is iig voor niemand een voordeel. Nog even los van het feit dat 5 cent voor een plastic wegwerptasje veel te veel geld is. Voor dat geld verwacht ik dan een degelijke tas.

Maargoed. Nederlanders en verslechteringen, dat gaat vast net als de OV-chipkaart: gewoon erdoorheen stampen, dan wennen de consumenten aan de crap, en na een paar jaar vind iedereen het normaal. Zo gaat dat hier.

[Reactie gewijzigd door _Thanatos_ op 24 mei 2016 17:49]

niqck
@mr_zippey20 mei 2016 12:01
ach, 't is maar een advies. en de bende poltici die momenteel aan de macht is weet het allemaal veel beter... zou me niet verbazen dat ze ook dit advies gewoon naast zich neerleggen en we opnieuw een stapje dichter zijn bij een totalitaire politiestaat. er is er 1 in Antwerpen al in zijn handen aan het wrijven... :'(
ovan
20 mei 2016 11:11
Als dit effectief wet komt, is end-to-end encryptie feitelijk verboden.
Iblies
@ovan20 mei 2016 11:30
Https is ook een vorm van encryptie, dus een deel van de data is afgedekt.

Sowieso interessant om de vraag op te werpen,
maar belangrijk, of maatregelen die nodig zijn om data te ontcijferen ook onder deze wet vallen.

Je kunt prima afspraken dat je alles mag aftappen, maar maatregelen nemen om geencodeerde boodschappen te kraken is weer een stap verder.
Coffee
@ovan20 mei 2016 11:18
In nederland of belgie?
ovan
@Coffee20 mei 2016 11:32
België. De overheid eist verplichte medewerking van wat zijn noemen "de providers". Als voorbeeld halen ze Whatsapp aan. Nu met E2E encryptie. Geen idee hoe ze apps als Whatsapp e.a kunnen verbieden.
Coffee
@ovan20 mei 2016 12:29
Duidelijk, bedankt! Nu lijkt me dat dit de meest onhaalbare wet; ter wereld, alle tijden,- zal zijn (Als ze inderdaad Whatsapp, etc als provider zien). Dit zou praktisch betekenen dat bijna 100% van encryptie verboden wordt.

Nuja, dat zie ik niet snel gebeuren. Maar nu ze in Nederland dus wel aan massa surveillance doen denk ik dat ik mijn vpn niet (edit; niet=nooit) meer uit ga zetten...

[Reactie gewijzigd door Coffee op 20 mei 2016 12:29]

Kenhas
@ovan20 mei 2016 11:39
Whatsapp en consoorten heeft hier niets mee te maken. Met providers worden de aanbieders van internet bedoeld zoals telenet, proximus, ...
Zij zullen verplicht zijn mee te werken. Als je op veilig wil spelen, ga je encryptie gebruiken en dan mogen de providers nog meewerken, ze zijn nog niets met de getapte informatie.

EDIT : heb het Knack artikel eens gelezen en daar wordt dus wel gesproken over Whatsapp
Dat zal gebeuren door samen te werken met communicatieproviders die aan ADIV technische toegang moeten geven tot een parallel spoor. Alle providers die in België diensten aanbieden over de kabel (zoals bijvoorbeeld WhatsApp) kunnen verplicht worden tot medewerking
Volgens mij kan dat niet kloppen. WhatsApp biedt helemaal geen dienst aan over de kabel (IMHO)

[Reactie gewijzigd door Kenhas op 20 mei 2016 11:54]

tweaknico
@Kenhas20 mei 2016 13:25
Ik vraag me af in hoeverre de whats app encryptie een wassen neus is.
Ik mocht laatst meekijken met iemand die zij dat er nu Ene-to-End encrytpie was en dat werdt ook met zoveel worden gemeld in de groeps chat waar op dat een gesprek mogelijk was...
Dat kan maar een ding betekenen (groep van ~60 man) of een bericht wordt in 60 voud verzonden (elk appart gecodeerd met de sleutel van elk ander toestel) of er is een centrale sleutel bekend..., tja dan is het weer geen end-to-end encryptie...
WhatsappHack
@tweaknico20 mei 2016 13:48
Neen, het is zo'n beetje de sterkste encryptie op de markt. Namelijk precies dezelfde als die van Signal.

Lees dan gewoon even de techsheet van WhatsApp en ook de specificaties van double ratchet (voorheen Axolotl)? Ook op de site van Open Whisper Systems is daar verschrikkelijk veel *heldere* uitleg over te vinden, ook hoe het groepsencryptie proces werkt om een perfecte combinatie tussen veiligheid en dataverbruik te creëren.
the-dark-force
@WhatsappHack20 mei 2016 18:26
Op papier zal het er vast mooi uitzien maar zolang de source niet openbaar is en ge-audit kan het net zo goed een achterdeurtje bevatten of slecht geïmplementeerd zijn.

Een vals gevoel van privacy is naar mijn mening slechter als beseffen dat je geen privacy hebt.
WhatsappHack
@the-dark-force20 mei 2016 23:19
De source staat op GitHub.
Daarnaast is er geen reden om een backdoor in te bouwen, dat argument is vaag; het zou eerder logisch zijn om te claimen dat er een fout in de code zou kunnen zitten; waarom men maar denkt dat er bewust lekken in gebouwd zouden zijn is mij een raadsel.

Slecht geimplementeerd zou overigens raar zijn, want de uitvinder van het systeem heeft het hoogstpersoonlijk ingebouwd en houdt toezicht op de implementatie, samen met auditors en onafhankelijke partijen... Wat door bijvoorbeeld de EFF gewoon bevestigd wordt. Afijn.

WhatsApp is een van de weinige apps die privacy van de gebruikers nog sterk verdedigd.
tweaknico
@WhatsappHack23 mei 2016 13:38
Uit de FAQ van Whats app:
Wanneer de codes niet overeenkomen ben je waarschijnlijk de QR-code voor een ander contact of telefoonnummer aan het scannen. Mocht je contact recentelijk WhatsApp hebben geherinstalleerd of van telefoon zijn gewijzigd, raden wij aan om de code te verversen door je contact een bericht te sturen en opnieuw de code te scannen.
Of het is een man in the middle aanval. Deze aanwijzing ontbreekt, en mag best nadrukkelijker gemeld.., onterecht gerust stellend a la "ga maar lekker verder slapen."
Daarnaast gebruikt WhatsApp volgens de documentatie NIET het Signal protocol voor groeps messages.

Volgens de Signal documentatie bestaat er geen Forward Security (ie. Eens bepaalde sleutel veranderd nooit meer). voor groeps messages. En er zijn tussen 4 tot 12 * N (aantal deelenemers) berichten nodig voor de setup.
Bij het Signal Protocol kun je wel claimed dat niet JIJ de afzender van een bepaald bericht bent, bij WhatsApp kan dat niet.
(Bij What's app wordt een eigen groeps key bepaald, en wordt jouw groeps key aan alle leden gezonden).
Dus een groep van 1000 man betekent ook dat bij die groep 1000 sleutels worden opgeslagen.
Inderdaad wel end to end.... Je zal maar met een man of 50 in een 20 tal verschillende groepjes zitten, heb je ook gelijk >1000 sleutels.)
Bij beide protocollen: Als een lid de groep verlaat of er wordt er een bijgezet dan volgt gelijk weer de hele riedel van sleutel afstemming.
WhatsappHack
@tweaknico26 mei 2016 01:37
Of het is een man in the middle aanval. Deze aanwijzing ontbreekt, en mag best nadrukkelijker gemeld.., onterecht gerust stellend a la "ga maar lekker verder slapen."
De mensen voor wie dat echt heel erg belangrijk is weten dat waarschijnlijk wel, maar de mensen die er geen hol van snappen weten waarschijnlijk niet eens wat een MitM aanval is. En daar wordt het lastig. WhatsApp wil graag proberen om het toch nog enigszins simpel te houden.

De doelgroep van WhatsApp zijn natuurlijk nog altijd de doorsnee mensen. (Het merendeel van de gebruikers geeft waarschijnlijk geen ene hol om die hele encryptie, maar dat even terzijde.) Die willen gewoon appen en 't zal wel. De mensen die er echt naar op zoek gaan, zullen waarschijnlijk al weten wat het kan betekenen.

Desalnietteplus staat dit alles wel degelijk in de techsheet voor de mensen die er dus wél in geïnteresseerd zijn en er naar op zoek zijn...
WhatsApp heeft het dus voor de leek/semi-geïnteresseerde simpel gehouden, en voor de mensen die er meer over willen weten staat het allemaal haarfijn uitgelegd in de tech sheet.
Win-win situatie, eigenlijk.

Maar goed, daar kunnen we natuurlijk van mening over verschillen. :)
Daarnaast gebruikt WhatsApp volgens de documentatie NIET het Signal protocol voor groeps messages.
Hm?
Er staat bij group messages toch echt dat het Signal protocol wordt gebruikt. :P
Er staat zelfs bij welke functies aangeroepen worden, hehe.
Volgens de Signal documentatie bestaat er geen Forward Security (ie. Eens bepaalde sleutel veranderd nooit meer). voor groeps messages. En er zijn tussen 4 tot 12 * N (aantal deelenemers) berichten nodig voor de setup.
Ik denk dat je het artikel even hebt af moeten lezen. ;)
Je citeert nu uit het stukje "mpOTR problems for TextSecure", waar uitgelegd wordt wat de problemen zijn die ze zagen in mpOTR voor group messaging. Daar wordt inderdaad ook aangegeven dat het breekt met de normale OTR omdat Forward Secrecy opeens geen feature meer is.

Verderop in het artikel leggen ze echter uit wat *zij* hebben gedaan om die problemen op te lossen...
... En dan kom je uit op het feit dat ze wel degelijk Forward Secrecy hebben:
Given the ease with which TextSecure can send encrypted pairwise messages with forward secrecy and deniability, we decided to implement group messaging by employing pairwise messaging.
Volgens mij, maar ik moet het even nader bestuderen door het Signal protocol zelf nog eens door te lezen, werkt het bij WhatsApp identiek met de pairwise encryptie van berichten en dan ratcheten door de session keys heen...
Ik zal er later op terug komen. :)


P.S.
Ik zie even het probleem niet met die sleutels?
Stel een sleutel neemt 2048 bits in. Als je dan 1000 sleutels hebt opgeslagen, dan heb je het dus over een whopping 2MB aan data.
Het is laat dus misschien mis ik de clou even.
WhatsappHack
@Kenhas20 mei 2016 13:50
Tja, weet je wat het is... WhatsApp kan prima gehoor geven aan de oproep om iemand af te tappen. Wat ze dan doen is de encrypte berichten overhandigen.
Het is vervolgens het probleem van de overheid om die berichten te decrypten, en dat is nagenoeg onmogelijk. WhatsApp opereert dan echter binnen de wet, en heeft netjes aan het verzoek voldaan. Dat de informatie die ze overhandigen volslagen waardeloos is, dat is niet WhatsApp's probleem. :P

De Belgische overheid kan WhatsApp niet dwingen om een gat in te bouwen in de encryptie.
Ten eerste omdat de legaliteit daarvan betwist wordt, en ten tweede heeft WhatsApp volkomen maling aan buitenlandse overheden; dus dan zou België WhatsApp moeten blokkeren, want WhatsApp zelf gaat nooit meewerken... Die werken enkel mee met zaken die ze zelf interessant vinden; zoals met onze eigen AP (Autoriteit Persoonsgegevens).. Daar hebben ze wel mee samengewerkt, maar dat was om de beveiliging *te verbeteren*; niet om het af te zwakken.

[Reactie gewijzigd door WhatsappHack op 20 mei 2016 13:51]

WhatsappHack
@Anoniem: 39980722 mei 2016 01:21
Dat is dan ook precies de reden dat je geen enkele encryptie 100% moet vertrouwen, zeker niet als het ook grote problemen veroorzaakt voor je als het jaaaaaren na dato nog decrypt wordt. Dan maakt het niet uit welke software je gebruikt en/of hoeveel lagen encryptie je er overheen smijt, uiteindelijk is 't einde verhaal als de rekenkracht ooit zo ver komt dat het binnen een paar MS de sleutels uitpoept. (En in WhatsApp's geval moet je dan ook voor elk bericht nieuwe sleutels uitrekenen, elk bericht wordt met een nieuwe sleutel encrypt; voor perfect forward secrecy en future secrecy. Ik denk dat dit niet in de nabije toekomst mogelijk is... Dat zal, als het al lukt, echt nog jaaaaren (wellicht tientallen) duren.)

Dan maakt het overigens ook weinig uit of WhatsApp het wel of niet overhandigd, dan kunnen ze ook gewoon de internet verbinding van de persoon waarmee ze mee willen lezen al die jaren aftappen... Vervolgens eerst de SSL/TLS laag tussen client-server ff kraken, dan hou je het encrypted bericht over; en dat ook nog kraken: hoppa!
Hoeven ze WhatsApp niet eens te vragen om die berichten, dan krijgen ze ze ook wel zonder...

Maar dat die mogelijkheid er *misschien* ooit eens komt als (kwantum)computers echt ziekelijke rekenkracht krijgen die dit kunnen bewerkstelligen, maakt voor nu dus vrij weinig uit; en dat houdt in dat WhatsApp op dit moment gewoon waardeloze gegevens overhandigt aan de verzoekers en de beveiliging on-par is naar de huidige standaarden en maatstaven. ;)
En ja... Dat is best geruststellend inderdaad.
Als dat al problematisch is, dan stel ik voor het internet geheel te verlaten. :P

[Reactie gewijzigd door WhatsappHack op 22 mei 2016 01:21]

WhatsappHack
@Anoniem: 39980723 mei 2016 00:09
Dat weet ik ook niet; maar daarvoor moet je niet hier zijn, maar in dit topic:
Het kleine-mismoderatietopic deel XXVIII :)
Dan lost men 't voor je op.

Enfin, ja de data die je niet genereert is ook de veiligste.
Maar de data die je wel genereert, daarvan is het wel zo prettig als het zo veilig mogelijk gehouden wordt; minimaal on-par met de huidige technologische mogelijkheden en standaarden.
Apollo89
@ovan20 mei 2016 13:11
In Nederland (en ook op Tweakers) gebruikt men het Engelse woord 'providers' om telecomoperatoren aan te duiden.
Anoniem: 706671
@Apollo8920 mei 2016 13:19
In België zijn het ook providers. Ik zou zelfs niet weten wat er voor andere woord bestaat met dezelfde betekenis. Ik ben zelf Belg maar ik verengels veel mijn woorden.

On topic: Ik hoop dat de regering dit advies niet naast zich legt want anders is het wel een heel domme regering. Al die data onderzoeken lukt nu al niet en nu zouden ze het willen uitbreidden. Laat me niet lachen.

[Reactie gewijzigd door Anoniem: 706671 op 20 mei 2016 13:21]

Apollo89
@Anoniem: 70667120 mei 2016 13:36
In België noemt men dat dus telecomoperatoren en vaak gewoon operatoren. Zie bv. deze artikels, het woord 'providers' wordt daar niet gebruikt:
Vijftig hoge functionarissen kregen op 22 maart voorrang op gsm-netwerk
Belg blijft klassieke radio en tv trouw
Wie vergelijkt, kan op een jaar tot 240 euro besparen op de gsm-factuur

Ik weet dat het tegenwoordig een trend is, maar ik zie er het nut niet van in om Engelse woorden te gebruiken waar een perfect Nederlands alternatief voor bestaat, zo'n arme taal hebben wij echt niet.

On topic: de regering zal bij haar beslissing ook met andere aspecten rekening moeten houden dan alleen privacy. Sommige mensen lijken het nog niet helemaal te beseffen, maar we zijn helaas in een tijdperk terecht gekomen waarin de overheid het heel erg moeilijk heeft om de veiligheid van de bevolking te garanderen.

[Reactie gewijzigd door Apollo89 op 20 mei 2016 13:41]

.MaT
@Apollo8920 mei 2016 16:47
Zie deze artikels waar men wel het woord 'providers' gebruikt:
http://www.hln.be/hln/nl/...-krijgen-vrije-baan.dhtml
http://www.hln.be/hln/nl/...-Netflix-kijken-aub.dhtml
http://www.hln.be/hln/nl/...en-inschattingsfout.dhtml

Beide zijn gewoon correct en worden courant gebruikt.
ArtGod
@ovan22 mei 2016 16:25
Om mijn grote Vlaamse vriend Jan V. te citeren: 'België bestaat niet, alleen Vlaanderen en Wallonië.'

}>

[Reactie gewijzigd door ArtGod op 22 mei 2016 16:26]

Blokker_1999
@ovan20 mei 2016 11:30
Ik zie niet in hoe het recht op grote datataps voor opsoringsdiensten gelijk staat aan het verbieden van end-to-end encryptie.
Kenhas
@Blokker_199920 mei 2016 11:56
Was ook mijn eerste gedacht en heb dat hier ergens boven ook gezegd maar heb het Knack artikel gelezen
Dat zal gebeuren door samen te werken met communicatieproviders die aan ADIV technische toegang moeten geven tot een parallel spoor. Alle providers die in België diensten aanbieden over de kabel (zoals bijvoorbeeld WhatsApp) kunnen verplicht worden tot medewerking
Zal waarschijnlijk niet echt correct zijn aangezien WhatsApp, volgens mij, geen dienst aanbiedt via de kabel maar "gewoon" een internetdienst. Vermoed dat er eerder de traditionele providers als telenet, belgacom, ... bedoeld wordt
Sergelwd
@ovan20 mei 2016 11:20
The greater good.. 8)7 8)7
Quilt
@ovan20 mei 2016 13:07
Het is niet omdat iets 'verboden' is, dat het niet zal plaatsvinden.
Anoniem: 14038
20 mei 2016 12:04
Waarom nou specifiek die toevoeging voor journalisten die nu ook meer in de gaten gehouden mogen worden? Laatst was er in het EU parlement ook al een wet in bespreking die klokkenluiders en journalisten het lastiger zou kunnen maken om bepaalde zaken te melden.

Dat klinkt meer naar een onderhandse manier om de persvrijheid in te binden omdat die met zaken naar voren komt die men liever geheim houdt.
SuperDre
@Anoniem: 1403820 mei 2016 13:05
Maarja, tegenwoordig noemt iedereen met een blogje zichzelf 'journalist'.. En IMHO gaan journalisten ook wel heel ver tegenwoordig. En klokkenluiders horen dit niet in de media te brengen, maar naar de daarvoor bestemde instanties..
Mr.Skippie
@SuperDre20 mei 2016 13:32
Media is de betere optie. Daardoor verplicht je de instanties erop te reageren. Indien het volledig in het duister gebeurt, dan is de kans meer dan reëel dat er niets mee gedaan wordt. Hier zijn zoveel voorbeelden van te vinden.
andreetje
@SuperDre20 mei 2016 13:40
Journalist is ook een vrij beroep. Je hoeft er geen opleiding voor gevolgd te hebben en geen lid te zijn van een instantie.
Dasprive
20 mei 2016 11:05
Niet onbelangrijk: advies van de CBPL is niet bindend maar raadgevend, al wordt met hun advies gewoonlijk wel iets gedaan.
Interessant om te zien of daar net zo mee omgegaan wordt als in NL, waar er even wat symboolpolitiek wordt bedreven en zo'n wetsvoorstel er vervolgens gewoon doorgedrukt wordt.
SuperDre
20 mei 2016 13:03
Zou raar zijn als een privacycommissie wel zijn goedkeuring zou geven.. privacy en surveillance zien niet echt compatible...
freaxje
@SuperDre20 mei 2016 19:50
Bij gerichte surveillance met rechterlijke controle is er geen probleem voor de privacy. Die tegenstelling in leven houden is nu net waardoor men aan massa surveillance kan doen: men doet alsof gerichte surveillance onvoldoende is. Dat is niet. Massa surveillance is onvoldoende. Gerichte surveillance is ruimschoots voldoende. Werk de tegenstelling a.u.b. niet in de hand door uitspraken als 'privacy en surveillance zijn niet compatible'. Natuurlijk wel. Controle door de rechterlijke macht. Controle door controleorganen zoals Comité I en Comité P. Zware sancties voor ambtenaren die hun boekje te buiten gaan. Zware juridische gevolgen bij misbruik En dan kan er perfect door een onderzoeksrechter toegestaan worden dat een crimineel gericht afgeluisterd wordt. Geen enkele tegenstelling m.b.t. privacy van onschuldige burgers.
Mr.Skippie
20 mei 2016 13:33
End-to-end encryptie, here we come.
ArtGod
22 mei 2016 16:07
Ik vind het belachelijk dat de Belgen ons weer te slim af zijn en dat hier geen woord van kritiek is te bespeuren van de Autoriteit Persoonsgegevens, welke toch veel van doen heeft met de privacy van de NL burger.

In NL zijn er politieke partijen die kostte wat kost de massa surveillance willen doordrammen, zoals altijd weer onder het motto van kinderporno en terrorisme. Zij zien de gevaren niet van een totalitaire staat die hier uit zal ontstaan. Ik verdenk ze er steeds meer van dat ze dit ook voor ogen hebben.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee