×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

EU-privacytoezichthouder wil verbod op doorbreken encryptie van communicatie

Door , 127 reacties

De European Data Protection Supervisor, Giovanni Buttarelli, wil dat in een nieuw voorstel van de e-privacyrichtlijn een verbod komt op het in de gaten houden, kraken en reverse engineeren van versleutelde communicatie. Er loopt op dit moment een consultatie over de wetgeving.

Dit schrijft Buttarelli in een opinie, waarin hij ingaat op zijn aanbevelingen voor een herziening van de richtlijn. Volgens hem moet er, boven op het verbod, een recht gecreëerd worden voor het gebruiken van end-to-end-encryptie zonder backdoors. Het ontwikkelen van backdoors door encryptiedienstverleners, providers en andere organisaties moet eveneens verboden worden. Daarnaast moet het gebruik van deze vorm van versleuteling aangemoedigd en in sommige gevallen verplicht worden. Daarom roept hij de Europese Commissie op om technische standaarden te ontwikkelen.

Buttarelli pleit verder voor een technologieonafhankelijke benadering in de nieuwe richtlijn, waardoor alle vormen van elektronische communicatie beschermd zijn. Dit moet zich niet beperken tot de diensten die traditioneel aangeboden worden door telefonie- en internetproviders, maar ook tot bijvoorbeeld wifi in hotels en openbare plekken. Bovendien moet in de regels het tracken van personen aan banden worden gelegd, door toestemming van de gebruiker te eisen. De nieuwe wetgeving moet nauw aansluiten bij de algemene verordening gegevensbescherming, die onlangs is aangenomen.

De e-privacyrichtlijn regelt op dit moment onderwerpen met betrekking tot de bescherming van gebruikers op het gebied van bijvoorbeeld cookies, spam en dataretentie. Zo komt de zogenaamde 'cookiewet' voort uit deze wetgeving. Door middel van een inmiddels afgesloten consultatie wil de EU zienswijzen verzamelen om voor het einde van 2016 met een voorstel te komen. De EDPS is een onafhankelijke toezichthouder, die ervoor moet zorgen dat de EU-instellingen rekening houden met de bescherming van de persoonlijke levenssfeer, bijvoorbeeld bij het ontwikkelen van nieuwe wetgeving.

Door Sander van Voorst

Nieuwsredacteur

25-07-2016 • 15:34

127 Linkedin Google+

Reacties (127)

Wijzig sortering
Beschermd waartťgen dan??

Bij ABS kun je nog duidelijk aanwijzen dat 'het' veiliger is. Waarom? Je remmen blokkeren niet meer. Effect: je voelt het 'schokkend' remmen in plaats van dat je doorglijdt. Resultaat: meer grip op de weg.

Beschermd tegen 'iets' waar ze geen weet van hebben? Maar ook geen last van hebben? Dat klinkt meer als overijverige bemoeizucht van een of andere raamambtenaar dan dat het nut heeft.

"Jantje, waarom hebben jullie thuis die bezem achter de voordeur staan?" "Nou meneer, dat helpt tegen paarse olifanten in de voortuin". "Maar Jantje, er zijn helemaal geen olifanten hier" "Precies meneer, kunt u nagaan hoe goed het werkt!".
De European Data Protection Supervisor, Giovanni Buttarelli, wil dat in een een nieuw voorstel van de e-privacyrichtlijn een verbod komt op het in de gaten houden, kraken en reverse engineeren van versleutelde communicatie. Er loopt op dit moment een consultatie over de wetgeving.

Dit schrijft Buttarelli in een opinie, waarin hij ingaat op zijn aanbevelingen voor een herziening van de richtlijn. Volgens hem moet er, boven op het verbod, een recht gecreŽerd worden voor het gebruiken van end-to-end-encryptie zonder backdoors. Het ontwikkelen van backdoors door encryptiedienstverleners, providers en andere organisaties moet eveneens verboden worden. Daarnaast moet het gebruik van deze vorm van versleuteling aangemoedigd en in sommige gevallen verplicht worden. Daarom roept hij de Europese Commissie op om technische standaarden te ontwikkelen.
Dit is wat anders dan niet-bestaande paarse olifanten.
Dat is prima, ben er ook helemaal voor. Maar dat is iets compleet anders dan het verbieden van tracking!

Tuurlijk, er zullen niet veel bezwaren vanuit random eindgebruikers (m/v) geweest zijn toen Whatsapp met end to end encryptie kwam. Als je een willekeurig 15 jarig kind vraagt waarom end to end encryptie goed voor ze is, krijg je hoogstens een vage, vragende blik terug (als je geluk hebt).
Zijn geheime diensten democratisch gekozen? Ik dacht van niet.
Ik denk niet dat de echt grote bedrijven zoals Google en Facebook zullen stoppen. Indien nodig kunnen die een abonnement maken zodat Europeanen nog steeds van hun diensten gebruik kunnen maken. Het zijn juist de kleine sites zoals Tweakers, Fok en dergelijken die zullen verdwijnen. Reclame zal niet genoeg meer opbrengen en voor iedere site een abonnement afsluiten is niet werkbaar.

Buiten de grote jongens zullen we dan alleen nog maar websites overhouden die een kostenpost mogen zijn ipv een bron van inkomsten. Bijvoorbeeld webshops en reclame sites,
Tracking is niet altijd slecht of evil. Google gebruikt ook tracking om gewoon je zoekresultaten te verbeteren en te personaliseren. Wat mij betreft gewoon een goede zaak. Waar ik dan weer WEL voorstander van ben is een verplichte opt-IN in plaats van een opt-OUT. Op deze manier kunnen mensen die naief zijn en op Google vertrouwen, zoals ik, lekker gebruik maken van betere zoekresultaten, terwijl de rest beschermt blijft en geen last heeft van privacy inbreuken.
Verbeteren/pesonaliseren oftwel: de fameuze google-bubble. Niet zeker of dat een verbetering is dan wel een maatschappelijke bedreiging...
Je kan die bubble makkelijk uitzetten op een Google Search. Tot zover die bubble.
Volgens mij heeft Tweakers de "opinie" verkeerd geÔnterpreteerd. Zowel in de samenvatting als in de tekst zelf heeft men het over de communicatie beveiligd door middel van encryptie. Die communicatie mag je niet reverse engineeren. (Logisch, want dat zou de privacy van iemand kunnen schaden en dat wil men met dit voorstel voorkomen.)

Er staat echter nergens dat je de encryptie techniek zelf niet mag reverse engineeren. Zolang je dat maar doet zonder gebruik te maken van versleutelde data die bedoelt is als communicatie. Zelf iets versleutelen met een programma en het resultaat vervolgens reverse engineeren mag dus best.

Ik ben geen advocaat, maar volgens mij laat de opinie ook nog behoorlijk wat ruimte over om indirect toch communicatie te ontsleutelen. Je zou bijvoorbeeld kunnen redeneren dat versleutelde whatsapp berichtjes die ik naar jou stuur als communicatie dienen, en dus beschermd zijn, maar dat een versleutelde backup die jij van die berichtjes maakt zelf niet als communicatie dient en dus niet beschermd is.
Dan zie ik het nut er niet van in. Bedrijven zijn nu ook al vrij om end-to-end encryption te implementeren en overheden kunnen hen niet dwingen om een backdoor in te bouwen.
Het gaat er om dat ze het niet mogen doen met daadwerkelijke communicatie, in een test setting mag jij al je test data encrypten om deze daarna te kraken. Je mag alleen niet de encryptie kraken op de brieven van jan en alleman.
Live analyze zoals veel onderzoekers doen op echt verkeer is dan wellicht ook strafbaar ...

Denk aan de onderzoekers van LogJam die onderzochten bij VPN en TLS hoeveel slechte DHE parameters er in gebruik waren, of de Freak Attack die keken hoeveel % van de echte samenleving kwetsbaar was.

Onderzoek zonder de echte wereld in te gaan kan vaak niet.

De grens tussen 'test' en 'hack' is ook niet altijd zwart-wit.
Men zou dit ook helemaal niet op live verkeer moeten doen, helemaal niet om echt de encryptie te breken of te kijken of de protocollen goed zijn. Dat is ook nu al vrij shady. Zelfde als die "onderzoekers" die niet weten waar ze moeten stoppen bij een exploit vinden.

En die andere statistieken vallen niet onder het kraken van andermans geencrypte communicatie, want dat zijn allemaal "communicaties" die zelf opgezet werden al dan niet met een server van derden (voor zover is weet vooral die parameter checks).
Volgens mij heb je het stuk niet gelezen. Ik snap je reactie wel, maar er wordt nergens in het stuk geschreven, dat overheden en/of geheime diensten en/of onderzoekers encryptie technologieŽn niet mogen 'afluisteren' of manipuleren. Daarvoor worden echt wel uitzonderingen benoemd in de uiteindelijke wetgeving.

Er wordt in dit opinie stuk juist de kracht en het nut van encryptie onderschreven. Wij moeten op encryptie technieken kunnen vertrouwen om te kunnen communiceren met elkaar, anders kunnen we beter voortaan weer face-to-face afspreken om bijvoorbeeld contact te hebben over gevoelige informatie. Communicatie via het internet moet te vertrouwen zijn, anders heeft het geen zin om internet te gebruiken om te communiceren.

Natuurlijk moet er continue onderzoek gedaan worden naar verbeterde encryptie-technieken. Dit stuk benadrukt dat zelfs. En aldus zal de standaard voor gedegen versleuting van communicatie over het internet ook steeds aangepast moeten worden. Zodat het vertrouwen in communicatie tussen partijen en personen gewaardborgd kan worden en je er op kan vertrouwen dat wat jij communiceert over het internet niet door alles en iedereen gelezen kan worden.

Ik snap dat niet iedereen dit zal snappen, die de DDR (de muur) niet hebben gekend, maar het veilig en privť kunnen communiceren in het echt, of over internet, lijkt me gewoon een basis principe in een vrije en open samenleving.

[Reactie gewijzigd door Noeandee op 25 juli 2016 19:50]

Daarvoor worden echt wel uitzonderingen benoemd in de uiteindelijke wetgeving.

Geheels mee eens, maar wedden dat 9 van de 10 mensen in dit forum nu vooral staan te juichen om dat ze dat dachten/denken ... O-)

Maar zelfs als er geen uitzondering zou zijn, dan nog vind ik het een slechte zaak. Immers misbruik van veiligheidsdienstenen justitie is een kwalijke zaak, maar die diensten en hun werk - inclusief afluisteren en encryptie breken - zijn zaken die ik verdedigbaar vindt.

Ik snap dat niet iedereen dit zal snappen, die de DDR (de muur) niet hebben gekend, maar het veilig en privť kunnen communiceren in het echt, of over internet, lijkt me gewoon een basis principe in een vrije en open samenleving

Exact!

Ik ben echter van mening dat het verbieden van decryptie hier niet aan bijdraagt. Integendeel dus. Dat zal een ietswat prikkelende reactie zijn, maar ik denk dat de gevolgen van een wet als deze flink negatief kunnen zijn, terwijl de voordelen tegen vallen.

Encryptie is al mogelijk en ook steeds meer in opkomst. De mogelijkheden van entiteiten die geen uitzonferingen zullen krijgen (dus geen justitie en veiligheidsdiensten) en eronder vallen (dus niet de VS, het VK, China, Rusland, etc) zijn immers toch al beperkt. Dat zijn vooral wat commerciele bedrijven die marginale activiteiten ontplooien.
Je denkt nu toch echt niet dat ze zich gaan terugtrekken uit hun meest winstgevende markt ... aandeelhouders zouden het bedrijf laten vallen als een baksteen en er blijft binnen het jaar niet veel meer van over.

Grote tech bedrijven als Apple, Google, MS, Facebook kunnen het zich niet veroorloven van zich uit de VS of de EU terug te trekken. Dit zijn net de markten die voor hen het belangrijkste zijn en het meeste opbrengen. Indien er conflicterende wetgeving ontstaat tussen deze landen dan zullen ze ofwel een oplossing zoeken ofwel zullen ze dit aankaarten en moeten de dames en heren politici het maar uitvechten (en dan krijg je dus TTIP).
Nou, geef mij maar het Amerikaanse model. Als met backdoors criminaliteit en terrorisme kan worden bestreden, dan lever ik daar graag stuk privacy voor in.

Sterker nog, ook maak ik graag gebruik van de gepersonaliseerde data van Google wat wellicht eveneens ten koste van een stukje privacy. Maar het maakt sommige zaken toch echt beter, voor mij althans.
Het gaat erom of wat ze goed doen in de juiste verhouding is met wat er mis gaat. Wmb is de EU helaas een zeer schadelijke organisatie gebleken met een hoop onherstelbare systeemfouten. Verder is natuurlijk geen enkele belofte qua welvaart en kennisgroei en veiligheid waargemaakt. En wie nu roept "ja maar de kwakkelende wereldeconomie"... Europa zou juist de belangrijkste factor op de wereldeconomie worden.
Juist! Als je even nadenkt zie je dat dit juist enorm gevaarlijk is. Die onderzoeker mag niet meer onderzoeken, en jij mag niet meer die media-copyright beveiliging (want encryptie) kraken. Etc.
Dat van die media mocht allang al niet meer helaas; het doorbreken van 'doeltreffende technische voorzieningen' mag niet volgens de Auteurswet Art. 29. Encryptie wordt in dat artikel expliciet genoemd.

Edit: ik zeg 'helaas' omdat je daarmee ook niet meer legaal kopieen voor eigen gebruik mag maken zoals bijvoorbeeld een blu-ray rippen om op je tablet te kunnen kijken. Ik vind het heel raar dat dit is verboden terwijl je nog wel thuiskopie heffing moet betalen.

[Reactie gewijzigd door GekkePrutser op 25 juli 2016 20:09]

De EU is groter dan Nederland :)

Maar de auteurswet zelf plakt er nog een doel aan. Encryptie an-sich nis niet strafbaar om te breken. Wel als het bepaalde doelen of gevolgen heeft. Thuiskopie bijvoorbeeld niet.
Natuurlijk mag hij zijn eigen encrypted materiaal best onderzoeken. Alleen andermans materiaal niet.
Precies, en dat is een grote limitatie. Veel onderzoeken gebeuren nu door inderdaad te proberen. Niet zozeer kraken, maar wel echte paketjes die voorbij komen analyzeren, echte poorten scannen, etc.

Plus je eigen materiaal maken is leuk, maar als je het nooit mag uitproberen op het "echte" werk blijft het erg theoretisch.

Plus natuurlijk dat iemand van buiten de EU er nul boodschap aan heeft, dus wetenschappers in de EU op dit gebied potentieel ernstig belemmerd tov buitenlandse collegae.

Al met al een onverstandig voorstel als je verder kijkt dan de laklaag (die inderdaad aantrekkelijk lijkt)
Wat is het verschil wanneer je je eigen materiaal probeert te kraken of dat van een ander, als de encryptiemethode dezelfde is?
Je kraakt zelden de encryptie zelf, maar gaat vrijwel altijd op zoek naar patronen in data, zwakheden in het sleuteluitwisselingsprocess, etc.

Plus veel zwakheden zijn niet in de standaarden, maar implementaties. De OpenSSL implementatie van CloudFlare is bijvoorbeeld anders dan die van Akamai, en weer anders dan die jij en ik downloaden van het web.

Ik noemde al LogJam als bekend voorbeeld. Dat kan niet zonder analyze van echte data over de echte kabels.
Ok, duidelijk.
Als je een beetje pech hebt zal het gelden voor iedereen behalev justitie en veiligheidsdiensten. Dan mag jij het dus niet en die onderzoeker bij de universiteit van X ook niet.

Na Snowden is er een beetje een anti-justitie en anti-veiligheidsdienst sfeer ontsrtaan. Echter die is deels misplaatst. Die boosheid was deels terrecht omdat bleek dat men 'ons' bespioneerde en niet enkel 'die andere'. Maar willen we nu ťcht een vertbod op decryptie van veiligheidsdiensten/justitie?

Terroisme en kinderporno en andere criminaliteit worden vaak misbruikt, maar bestaan niettemin echt. En ook wordt daar daadwerkelijk encryptie gebruikt. Ik mag hopen dat justitie en veiligheidsdiensten gewoon decryptie mogen blijven proberen! Buiten de EU grenzen zal men dat in ieder geval ook blijven doen.

Als zo'n wet erdoor kotm mag jij ook niet de encryptie op die media content kraken. Ben je opeens strafbaar indien je je media formaat X kopieert! Plus die onderzoeker bij de universiteit die naar zwakheden in het nieuwe protocol X zoekt wordt opeens aangeklaagd door de overheid of commerciele entiteit.

Nee, we moeten niet doorslaan de andere kant op. Encryptie is ons recht, maar bij encryptie hoort decryptie en ook dat moet vrij blijven. Voor iedereen!

Tenslotte, geeft dat uiteindelijk ook de beste standaarden. Als encryptie nooit beproeft wordt door sterke 'tegenstanders' heb je kans dat je met slappe hap opgezadeld wordt die door mensen buiten de EU gewoon wel kraakbaar is.
Je hebt overal in deze thread vooral moeite met het lezen van het woord "communicatie", als je ook even in de originele tekst kijkt. Zie je dat het allemaal gaat om het decrypten en onderscheppen van communicatie. Dus de onderzoeker mag gewoon zijn eigen test data gebruiken en los gaan, niets aan de hand.

Bekijk bijvoorbeeld sectie V.1 en V.2 (De titel zou zelfs genoeg moeten zeggen). Ook Pagina 3 ťťn naar laatste paragraaf zou een goed beeld moeten geven. Ik weet dat het veel leuker is om te zeuren, maar voor deze keer valt het echt allemaal wel mee en de tekst zelf is ook vrij goed geschreven, in tegenstelling tot andere stukken soms.
Je hebt overal in deze thread vooral moeite met het lezen van het woord "communicatie", als je ook even in de originele tekst kijkt. Zie je dat het allemaal gaat om het decrypten en onderscheppen van communicatie. Dus de onderzoeker mag gewoon zijn eigen test data gebruiken en los gaan, niets aan de hand

Helemaal niet moeite met lezen, want zoals ik elders al aangaf, zijn veel onderzoeken moeilijk met test-data te doen. Denk aan het bekende LogJam onderzoek.

Maar ook zoals ik elders al aangaf kan consumenten-decryptie illegaal worden. Reken maar dat bepaalde industrie-takken er op zullen springen.

Meeste mensen die dit positief ontvangen, denken meteen aan justitie en veiligheidsdiensten. Welnu, zelfs daar denk ik dat het slecht is als die een verbod krijgen, maar ik kan die mensen alvast uit de droom helpen, die krijgen een uitzondering. Wat blijft dan over? Welllicht dat een provider of aanbieder van WiFi hotspot nu "iets" niet mag of zo, maar dat is klein spul vergeleken met de potentieel schadelijke neveneffecten als niet goed gedefinieerd wordt wat onder "encrytptie" of "communicatie" valt.

Plus mijn andere argumenten, dat buiten de EU grenzen men gewoon doorgaat. Internet stopt daar ook niet, dus het is een wassen neus.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*