Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 111 reacties

De Tweede Kamer heeft dinsdag ingestemd met een motie tegen het verzwakken van encryptiesoftware. Daarmee blijft het kabinetsstandpunt voor sterke encryptie gehandhaafd. De motie is ingediend door Kees Verhoeven van D66 en Astrid Oosenbrug van de PvdA.

De politici laten dinsdag weten dat de motie is aangenomen en dat alleen de PVV en het CDA tegen hebben gestemd. In het document is opgenomen dat 'de versleuteling van internetverkeer essentieel is voor onze veiligheid' en dat het verzwakken van encryptie negatieve gevolgen kan hebben doordat het communicatieverkeer van burgers en bedrijven onveilig wordt gemaakt.

Het verzoek is daarom dat de regering het standpunt handhaaft, dat in januari werd ingenomen. Daarin stelde het kabinet dat beperking van encryptie op dit moment niet wenselijk is. Daaronder valt ook het opzettelijk aanbrengen van zwakheden. Het verzoek in de motie is ook dat de regering dit standpunt internationaal en binnen de EU blijft uitdragen. Dit deed Nederland al tijdens een Europees overleg over encryptie.

Het kabinet is niet verplicht om een motie ook daadwerkelijk uit te voeren, dit middel dient alleen tot het innemen van een standpunt over een bepaald onderwerp.

Moderatie-faq Wijzig weergave

Reacties (111)

Mooie uitkomst, maar het blijf bizar vinden dat dit uberhaupt een onderwerp is. Alsof de "Russen", "Chinezen", "terroristen" of andere (al dan niet denkbeeldige) vijanden stoppen met het gebruiken of ontwikkelen van sterke encryptie omdat Nederland of Europa dat voorschrijft.

De politiek kan maar 1 groep de wet voorschrijven: de eigen burgers. En dan alleen de niet-criminele burgers. Zijn wij dan de vijand? Is dat wat ik hieruit moet afleiden? Of zijn ze echt zo arrogant te denken dat ze met een Nederlandse wet de wereld gaan veranderen?
Sterker nog, ik denk dat de Russen, Chinezen, terroristen en criminelen staan te juichen wanneer encryptie wordt afgezwakt tot een kraakbaar niveau. Dan komen ze opeens een stuk makkelijker bij onze bankrekeningen, nucleaire centrales en bedrijfsgeheimen. ;)
Alsof die encryptie voor overheidszaken en gevoelige dingen dan wel weg ging. Het is dan meer van: Wij zijn politiek/rijk, dus WIJ mogen WEL de encryptie natuurlijk. :9
Naar mijn weten is de encryptie van veel Nederlandse bedrijven nog ondermaats waarvan de overheid er eentje van is. Digid is in veel gevallen nog steeds te benaderen door alleen een username/password en dat terwijl ik bijvoorbeeld wel heb aangegeven dat ik een code per sms wil ontvangen. Digid is naar mijn mening totaal onveilig, maar helaas verplicht. Het is goed dat Nederland niet weer zwicht voor verzwakte encryptie zoals ze ook met verzwakte netneutraliteit hebben gedaan.
Daar gaat het helemaal niet om. Het gaat vooral om het laatste gedeelte:
verzoekt de regering voorts, dit standpunt internationaal en binnen de EU actief uit te blijven dragen
als tegenwicht voor het standpunt van Frankrijk en Duitsland
Ligt het aan mij of snap je niet wat er in het artikel wordt gezegd? ze willen juist dat we onze sterke encryptie behouden, dit is /GOED/, zo zie ik het in ieder geval.
Dus waarom vind je dit dan zo vervelend?
Daarin stelde het kabinet dat beperking van encryptie op dit moment niet wenselijk is. Daaronder valt ook het opzettelijk aanbrengen van zwakheden.
Blijft lastig controleren of encryptie niet stiekempjes toch verzwakt wordt door bijvoorbeeld onze vrienden bij het AIVD. Blij dat men tegen gestemd heeft hoor, maar het komt een beetje over als een wassen neus met al die aftap praktijken die al dan niet door buurlanden worden uitgevoerd waardoor diensten uit Nederland alsnog toegang kunnen krijgen tot die data.
Sowieso, hoe valt voor de regering een zwakheid in te bouwen in een encryptie methode als deze door de community wordt gemaakt en onderhouden.

het idee is sowieso niet te handhaven.
Handhaven is niet zo moeilijk. Maak een wet die het een beetje netjes verwoord en geef bedrijven de tijd om het aan te passen. Zodra die tijd voorbij is kunnen er gewoon boetes worden opgelegd als de altijd lieve AIVD niet binnen kan komen en aangetoond wordt dat er "te" sterke encryptie in het programma zit
Slim, heel slim om het zo te doen, want de bedrijven zijn het probleem. Niet de criminele die open software pakken, dan wel zelf een encryptie algoritme verzinnen die niet aan deze regels voldoen, om hiermee vervolgens aanslagen te plegen / criminele activiteiten verrichten.

Het hele probleem is dat de criminelen waarvoor deze regels moeten gelden, niet aan regels houden. Enige wat het verzwakken van encryptie teweeg brengt is meer onveiligheid.

Daarnaast, achterdeurtjes voor alleen de overheid lijkt mij ook geen succes. Want wie garandeert dat de achterdeurtjes niet door derde gebruikt kan worden. Naast dat je mag hopen dat de achterdeurtjes ook nooit gelekt worden. En dan alsnog, criminelen kunnen eventueel een ander algoritme gaan verzinnen en je zit weer bij probleem 1.
Ik ben het helemaal eens met jouw stelling. Ik heb ook nooit gezegd dat ik het met afzwakking van encryptie eens ben
Inderdaad! _/-\o_ de doelgroep die ze met het verzwakken willen aanpakken houdt zich toch niet aan regels en zullen er dus weinig van merken!
Voor de overige mensen en bedrijven is het alleen maar "gevaarlijker".

[Reactie gewijzigd door Cowamundo op 4 oktober 2016 17:51]

Meeste open-source software zit helemaal geen bedrijf achter. Wat wil je dan gaan doen, die software maar gewoon verbieden?
Zie export verbod encryptie sleutels in de US. In het kort; er mocht een x aantal jaar geleden alleen de zwakke sleutel van x bits geŽxporteerd worden en niet de sterkere sleutel van x bits die in het land zelf gebruikt werd.
Je hebt het nu over de jaren 80 en 90, encryptie was toen nog in de kinderschoentjes en er waren buiten Amerika geen alternatieven, andere tijden andere omstandigheden. Amerika was hofleverancier van encryptie software, dan is het makkelijk te handhaven. De Amerikaanse overheid had encryptie software geclassificeerd als munitie en dus viel het onder de wapen export wet.

http://www.pgpi.org/pgpi/project/scanning/

PGP heeft dit makkelijk omzeild door de code te publiceren als een boek, want boeken vallen onder vrijheid van meningsuiting en mag je vrij publiceren en exporteren.

In 1999 zag zelfs de Amerikaanse overheid in dat een dergelijk verbod niet te handhaven is en hebben ze het afgeschaft.

[Reactie gewijzigd door SizzLorr op 4 oktober 2016 16:38]

Zie https://en.wikipedia.org/..._the_United_States#PC_era

Groot verschil is echter dat sterke open source encryptie nu al wereldwijd beschikbaar is. En de gevolgen van de ban is dat ook in de VS tijden lang downgrade attacks op de zwakkere RC2 en RC4 encrypties mogelijk waren. Dat begint nu net pas uit te sterven omdat clients en servers RC4 aan het uitfaseren zijn.

Het effect van een ban kan nu alleen nog maar betekenen dat bedrijven dergelijke encryptie niet meer standaard in hun producten kunnen opnemen. Het weerhoud kwaadwillende er niet van om zelf encryptie aan apparaten toe te voegen. Je hebt er dus met name de eerlijke consument mee. De slimme criminelen zorgen zelf wel voor eigen encryptie.
Om niet geheel eenzijdig te zijn in dit issue is het wel netjes om toe te voegen dat de meeste criminelen vrij dom zijn en hier niet aan zullen denken. Georganiseerde misdaad of terrorisme is hier echter lastig mee tegen te houden. Die zijn binnen de kortste keren slim genoeg om open source encryptie toe te passen.
Nee, als het alleen software is valt er weinig informatie uit te halen. Als bedrijven dit toepassen is een boete wel mogelijk.
Nouja dat is in ieder geval een goede manier om alle bedrijven die iets nuttigs willen doen op het internet hun activiteiten naar het buitenland te laten verplaatsen
Daarvoor moet er gehandhaafd worden.
Politie heeft te weinig capaciteit.
OM heeft te weinig capaciteit
Rechterlijke macht heeft te weinig capaciteit.

Den Haag kan een helemboel roepen en ja soms komen er wetten alleen handhaving vervolging en rechterlijke macht worden uitgekleed. Vul dan zelf maar in hoe effectief die wetten zijn.

Maar deze stemming laat duidelijk zien dat privacy dus niet bij de PVV te vinden is. het CDA heeft naast controle door de hogere goddelijke macht ook liever controle door de overheid.
De PVV wil in je email kijken of je niet stiekem een Koran in huis hebt.
Aha digitale boekverbranding dus, vandaar.
Maar ja het cda wat willen die nu weer
Hoe zit je end-to-end encryptie dan als je met iemand in een land bijv. Whatsappt waar de encryptie volgens de wet minder moet zijn. Of tunnels gebruikt die via andere landen lopen? Erg lastig en niet te handhaven
Dat gebeurt nu toch ook al?
In ssl (https bijv) worden tientallen protocols en sleutellengtes ondrsteund. Client en server 'kiezen' een gemeenschappelijk protocol adhv een preferentielijstje. Als er geen gemeenschappelijke protocol gevonden wordt, krijg je geen verbinding.
https://www.google.be/search?q=ssl+handshake

[Reactie gewijzigd door the_stickie op 4 oktober 2016 16:38]

Dit is wel de bron van vele problemen omdat je de deur open zet voor protocol downgrade attacks. Kortom, je verzwakt alsnog internationaal de beveiliging omdat enkele landen het niet toestaan.

Edit: Overigens is het bij SSL/TLS in gebruik om oude browsers te ondersteunen en niet om 'verboden' encryptie te vermijden.

[Reactie gewijzigd door BrightSilence op 4 oktober 2016 16:51]

Klopt helemaal, maar het biedt dus ook de technische mogelijkheid te downgraden omdat het gebruik van sterke encryptie aan een van beide zijden wettelijk geregeld is.
Hahaha, dat geloof je zelf?

1. het internet draait niet om Nederland
2. Wie zegt dat je kunt achterhalen wie er achter een programma zitten?

Idee is leuk maar totaal on uitvoerbaar.
Ik heb nooit gezegd dat de wet maken etc. makkelijk is, maar dat zodra die er is boetes een makkelijk handhavingsmiddel zijn
Ik zeg nergens iets over het maken van de wet.

het handhaven is gewoon NIET goed mogelijk.

Ga jij elke anonieme online ontwikkelaar na kunnen trekken?!
Nederland kan prima boetes opleggen bij Facebook, Google, Apple en dergelijke high profile bedrijven als zij encryptie zodanig sterk maken dat de overheid er niet bij kan.
Klopt, maar niet alle software wordt gemaakt door grote bedrijven of uberhaupt door natrekbare bedrijven.
En vervolgens wijkt elke crimineel (of burger die het nodig vindt) uit naar een andere tool.

Anders dan velen denken is encryptie van alle tijden. Zelfs als er tal van technische beperkingen zijn, weerhoudt dat niemand om onderling (bijv) af te spreken dat elke a een e wordt of sommige woorden een andere betekenis krijgen, of zelfs iets enigma-achtig te gebruiken/ontwikkelen.
Daartegen zijn juist vooral die massale afluisterprojecten slecht gewapend.

[Reactie gewijzigd door the_stickie op 4 oktober 2016 20:10]

Ten eerste is het idioot om de sterkte te beperken.
Vergelijk het met de deuren in je huis:
Dat de overheid dicteert dat je geen SKG*** slotconstructies meer mag gebruiken.

Dan ten tweede zou er een commissie moeten komen die alle soorten versleuteling gaat beoordelen of ze nog binnen en buiten de wet staan.
Ik weet zeker, dat dit tot een gigantische puinhoop gaat veroorzaken.
Inderdaad, perfect plan! Mag de overheid ook aansprakelijk worden gesteld voor de geleden schade door datalekken enz.?

Ik denk dat het wel een mooi persbericht zou zijn, zodra de wet in gaat als bedrijf je datalek openbaar maken (want verplicht):

"Wegens te zwakke encryptie welke wij van overheidswege hebben moeten toepassen is gisteravond onze gehele userbase gelekt naar enkele onbekende partijen. Betaal- en persoonsgegevens van 1,7M gebruikers zijn buit gemaakt."

Ik ben benieuwd hoe goed dit gaat vallen in politiek Den Haag. :+

CDA en PVV gaan dus eventjes op de absolute no-go lijst voor de verkiezingen.
Lees dit eens:

Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator)[1] is an algorithm from the branch of cryptography known as elliptic curve cryptography that was supposed to implement a cryptographically secure pseudorandom number generator (CSPRNG) capable of generating a random bit stream. The algorithm is based on the mathematics of the elliptic curve discrete logarithm problem. Despite public criticism, it was for some time one of the four (now three) CSPRNGs standardized in NIST SP 800-90A as originally published circa March 2007.

Weaknesses in the cryptographic security of the algorithm were known and publicly criticised well before the algorithm became part of a formal standard endorsed by the ANSI, ISO, and formerly by the National Institute of Standards and Technology (NIST). One of the weaknesses publicly identified was the potential of the algorithm to harbour a kleptographic backdoor advantageous to the algorithm's designers—the United States government's National Security Agency (NSA)—and no-one else.

(Bron: Wikipedia)

De algoritmes zťlf kunnen een zwakke plek bevatten. Dan is het denk ik niet zozeer de community die hier 'fout' is, maar als de basis al niet goed is, elliptic curve is de basis van meer algoritmes, dan kun je er gif op innemen dat de community ook werkt met 'besmette' wiskunde.

Of zie ik dit verkeerd? (Oprechte vraag)
Het ligt er heel erg aan hoe de onderzoeken gepubliceerd zijn.

Ik kan mij vaag herinneren dat een docent het in een college een keer noemde dat de specificatie van een versleutelingstechniek werd omschreven als, 'met deze getallen werkt het', daar is dan niet van te verifiŽren of er een achterdeur in zit.

Ik kan mij ook vaag herinneren dat de onderdelen van AES (zoals de S-Box) zo zijn gespecificeerd dat alle constanten eventueel ook zelf te construeren zijn.

Het verschil is dus dat de eerste manier 'magie' is (maar kan ook legitiem zijn door een combinatie die per toevallig is ontdekt), en de tweede is veel rigoreuzer en opener.

Ik heb mij alleen niet gespecialiseerd in cryptografie, dus misschien dat iemand die er wťl verstand van heeft hier iets meer duidelijkheid kan scheppen.

[Reactie gewijzigd door SwiftPengu op 4 oktober 2016 17:05]

Helemaal mee eens: hoe kan de Nederlandse overheid in hemelsnaam encryptie software verzwakken? Hoeveel NL bedrijven maken uberhaupt encryptie software? En als het niet alleen gaat om encryptie software maar iedere software die encryptie toepast (zeg maar iedere web app tegenwoordig) hoe willen ze dat ooit handhaven?

Misschien, misschien lukt dat bij puur nederlandse bedrijven waarbij ze dan kunnen verplichten een backdoor in te bouwen. Waarmee ze meteen er voor zorgen dat niemand die software koopt: als software of de inhoud ervan belangrijk genoeg is om te encrypteren, dan is ie dus ook belangrijk genoeg om iets anders te nemen wanneer Nederlandse software verzwakt is.

Onuitvoerbaar, wereldvreemd en niet te handhaven zelfs al zouden ze het uitvoeren dat voorstel tot encryptie verzwakking, en het zou leuk zijn als iemand de politici van het CDA en PVV dat uit kan leggen anders hebben ze over een half jaar weer een nieuw voorstel klaar.
Zoiets als TTIP zou dit dus wel mogelijk kunnen maken, als een leuke terzijde.
Ik kan helemaal geen argumentatie vinden van de PVV? De blonde man is tegen en voor de rest hoor je weinig?

CDA loopt ook achter de feiten aan.

De politie heeft het probleem dat ze constant achter de technologische ontwikkelingen lopen en klagen er constant over,
echter, de ontwikkelingen gaan niet gruwelijk snel en omliggende landen lopen tegen soortgelijke problemen aan!

Een mooi voorbeeld zijn de 0-day die de politie ook in bezit zou hebben. Je gaat niet aan de grote boom hangen welke je allemaal tot je beschikking en je kunt/moet samenwerken op dergelijke vlakken.


Uitsluiten dat er ooit iets gebeurt is onmogelijk, voorkomen door alles en iedereen in de gaten te houden is net zo onzinnig.
Als de (open source) community ligt te slapen kan er nog heel wat, maar die tijd is wel over sinds de heartbleed bug is ontdekt denk ik.
Maar de overheid kan inderdaad er geen beleid op inzetten dat afhangt van de oplettendheid van de community.
Kijk naar openssl en truecrypt, daar zaten ook gewoon (al dan niet expres) fouten in
Het gaat niet om handhaven maar om de mogelijk om het aan te pakken. Als je een wet maakt waarin (extreem gesteld) staat dat encryptie compleet verboden wordt, dan wordt nog steeds encryptie toegepast. Maar mocht iemand verdacht zijn, dan kan je die persoon op basis van die wet aanpakken.

Winkeldiefstal en moord wordt ook niet tegengegaan door de wetten die zeggen dat het niet mag, maar als je de daders hebt kan je ze wel veroordelen.
Als er een lek in encryptie zit of in een protocol om de encryptiesterkte te bepalen: dan mag de AIVD dat uiteraard exploiten. En terecht. Het gaat er meer om dat de overheid niet, integenstelling tot wat Ivo Opstelten wilde, bijvoorbeeld WhatsApp gaat dwingen om hun encryptie te verzwakken, te backdooren of zelfs verbieden.

[Reactie gewijzigd door WhatsappHack op 4 oktober 2016 15:54]

Ik vind dat de AIVD dat lek moet melden om de burgers te beschermen, daar zijn ze toch voor?
Alleen vind de AIVD niet dat burgers die encryptie nodig hebben; en dus gebruiken ze het voor zichzelf. De NSA en dergelijken doen hetzelfde. En daar is opzich weinig op tegen, gezien het vaak veel centen en moeite kost om het te doen: dus zullen doorsnee burgers niet zo snel afgetapt worden terwijl dat niet de bedoeling is.

De AIVD wil trouwens juist heel graag dat er expres backdoors ingebouwd worden voor inlichtingendiensten. Dat is dan weer niet okee. :P

[Reactie gewijzigd door WhatsappHack op 5 oktober 2016 22:27]

Blijft lastig controleren of encryptie niet stiekempjes toch verzwakt wordt door bijvoorbeeld onze vrienden bij het AIVD.
Versleuteling kan de AIVD niet verzwakken, dat doe je zelf door een zwak wachtwoord te gebruiken. AIVD (en consorten) kan eventueel invloed op het algoritme uitoefenen, en als je een closed source encryptie gebruikt kun je niet (/moeilik) nagaan welk algoritme er gebruikt wordt. Open source, bij voorkeur free software, voor encryptie!
(...) het komt een beetje over als een wassen neus met al die aftap praktijken die al dan niet door buurlanden worden uitgevoerd waardoor diensten uit Nederland alsnog toegang kunnen krijgen tot die data.
Het gaat niet over aftappen, maar om versleutelen. Versleutelde data <> informatie, en met sterke encryptie blijft het lang nutteloze data.
Dat kŠn natuurlijk wel degelijk, al acht ik de AIVD daar niet toe in staat. Van de NSA uit de VS is bekend dat die expres een zwakheid in het algoritme om random numbers te genereren geÔntroduceerd hebben, en die zwakheid vervolgens uitgebuit hebben. Dat is jarenlang onopgemerkt gebleven.
Je kunt ook zeggen dat dat meer zegt over de gebruikers (die denken dat ze een goede encryptie gebruiken maar zich er kennelijk nooit zo in hebben verdiept...) dan over de NSA.
Zelfs de rest van de crypto-community had het probleem niet in de gaten. Je kan van wen normale gebruiker niet verwachten dat die kan doorzien hoe sterk een encryptie systeem is, laat staan of de implementatie deugt.
Zelfs de rest van de crypto-community had het probleem niet in de gaten.
Het meest bekende voorbeeld daarvan, Dual_EC_DRBG, werd wel verdacht, al vanaf voordat het tot standaard verheven werd. Details ontglippen me, dit kon ik zo 1-2-3 vinden, uit 2007
Je kan van wen normale gebruiker niet verwachten dat die kan doorzien hoe sterk een encryptie systeem is, laat staan of de implementatie deugt.
Conclusie onderaan het artikel uit 2007:
My recommendation, if you're in need of a random-number generator, is not to use Dual_EC_DRBG under any circumstances. (...)
In the meantime, both NIST and the NSA have some explaining to do.
Het zal maar een klein publiek bereiken, maar naar gepubliceerde algoritmes / open source code kan in ieder geval onderzoek gedaan worden. Met closed source programmatuur kun je dat vergeten.
Nee, de AIVD heeft die macht niet. Ze hebben volgens mij vrij weinig kennis van versleuteling en zijn niet betrokken bij standaardisatie.

Nog belangrijker is dat NL geen bedrijven heeft die software maken die door bijna iedereen gebruikt wordt voor communicatie.

En Amerikaanse bedrijven beÔnvloeden dat gaat ze niet lukken.

[Reactie gewijzigd door ArtGod op 4 oktober 2016 16:21]

(Bijna) alle encryptiealgoritmes worden gepubliceerd en hebben open source implementaties. Dat kan je dus prima controleren.
Vraag me toch wel af hoe mensen denken een verzwakte encryptie te handhaven.
Stel ze maken een back-door in encryptie methode X. Wat weerhoudt mij daarvan om die te patchen, een andere encryptie methode gebruiken of desnoods er zelf een bedenken (ja ik weet dat je dat niet zomaar doet, maar stel..)

Ze kunnen nooit elke app/programma gaan controleren en zelfs dan kunnen ze er weinig aan doen.
Als het verboden is, kunnen ze eisen van Google dat het niet meer in de resultaten komt. Ze kunnen verplichten aan Tweakers om de topics over beveiliging op GoT te verbieden en servers waar het op staat neer te halen. En ja je hebt er alleen de "normale" bevolking mee die het toch niet interesseert want "ze hebben niks te verbergen". Dan houdt je een groepje over die het wel blijft doen. Maar stel dat 98% van de bevolking een zwakke beveiliging gebruiken hebben ze meer CPU kracht over om de overige 2% te kraken.
Het is de keuze van softwaremakers en websitebeheerders om encryptie toe te passen, het merendeel van de gebruikers is zich er niet bewust van. Als er een wet zou komen die zwakke encryptie verplicht moet de overheid de softwaremakers gaan dwingen om zwakke encryptie te gebruiken en dan zouden ze eventueel boetes kunnen uitdelen aan bedrijven die zich er niet aanhouden maar deze situatie is niet realistisch. Als de overheid zoekresultaten en forumposts over encryptie zou verbieden dan zou dit censuur zijn.
Inderdaad precies wat je zegt, het heeft alleen nadelen voor de normale bevolking.
Iemand die dus wel fout is (bijv een terrorist) kan super makkelijk andere communicatie middelen verkrijgen. Zelfs als de overheid dwingt om apps te verwijderen, kunnen ze nooit alles verwijderen, daarnaast kan je met een vpn vaak om de blokkades heen, en als dat niet lukt kunnen ze altijd nog een app met elkaar delen zonder de playstore, simpelweg door het apk bestand met elkaar te delen.

En dan heb ik het nog niet eens over simpele oplossing als brieven ipv app's, of gewoon je eigen "code taal" zoals mensen vaak deden toen ze kinderen waren.

sigh... gelukkig maar dat er nu gestemd is voor het behouden van, nu maar hopen dat het zo blijft.
Aan het begin van het millennium had je altijd twee ISO's van GNU/Linux-installatiebestanden: eentje voor de VS en eentje voor de rest van de wereld. Die voor de US had slappe encryptie, omdat sterke encryptie onder de wapenwet viel en niet geexporteerd mocht worden.

Op 't Wikipedia-artikel kun je een foto van een DIY-undercover-exportmethode zien, die aantoont hoe houdbaar zo'n verbod is....
Om grootschalig gebruik tegen te gaan is het voldoende als bedrijven geen diensten of individuen mogen aanbieden op basis hiervan. Hoeveel mensen ken je die hun eigen jabber/XMPP server hebben en die gebruiken voor hun instance messaging zodat ze zelf de controle hebben over hun data? En hoeveel gebruiken er "gewoon" WhatsApp, Telegram of FacebookMessagenger?
Om grootschalig gebruik tegen te gaan is het voldoende als bedrijven geen diensten of individuen mogen aanbieden op basis hiervan.
En mogen banken dan hun betalingsverkeer dan ineens onversleuteld het internet op slingeren zodat criminelen met elke bankrekening aan de haal kunnen? Bedrijven moeten maar met onversleutelde VPN's gaan werken zodat concurrenten naar hartelust alle bedrijfsgeheimen af kunnen luisteren? En DVD's, Blu-Rays en games zijn vanaf nu zonder kopieerbeveiliging?

Zo maar even een greep uit het "grootschalige gebruik" van sterke encryptie tegen kwaadwillenden. Helaas maakt het voor een kluis niet uit wat je er in stopt en ook niet wie je buiten wil houden, je houdt edereen buiten die geen sleutel heeft of je houdt niemand buiten. En als een AIVD een sleutel op kan eisen, dan kan een kwaadwillend persoon dat via-via ook.
Oh, ik heb nergens beweerd dat het een goed idee is om het te beperken. Ik geef alleen aan hoe je dat doet als je dat wil. En je kan het verbod ook beperken tot communicatiediensten bijvoorbeeld. Banktransacties kunnen immers al gecontroleerd worden, dat is geen end-to-end encryptie tussen de partijen die geld naar elkaar overmaken. Dan is het ook geen probleem als de communicatie tussen banken onderling en tussen klant en bank beveiligd is: de geheime diensten vragen gewoon de gegevens op bij de bank.

[Reactie gewijzigd door ATS op 4 oktober 2016 22:34]

Uiteindelijk is een wet alleen maar om te kunnen toepassen als het nodig is. Als jij als willekeurige burger die verder niet verdacht is hele sterke encryptie gebruikt is de kans erg klein dat daar naar wordt gekeken. Ben jij echter als crimineel al in het vizier van justitie en je gebruikt (te) zware encryptie dan kan dat tegen je gebruikt worden. Het is niet anders dan met andere wetten.

[Reactie gewijzigd door GJvdZ op 4 oktober 2016 17:57]

heerlijk toch weer, zo'n misleidende kop, de angel zit in de laatste regels .....Het kabinet is niet verplicht om een motie ook daadwerkelijk uit te voeren, dit middel dient alleen tot het innemen van een standpunt over een bepaald onderwerp. Waarom tweakers dat niet bovenaan de kop vermeldt is mij een raadsel?? 8)7
Omdat dit voor iedere kamermotie geldt en misschien als algemeen bekend wordt verondersteld?
Maar wanneer de tweede kamer zo een motie aanneemt wordt het heel moeilijk voor het kabinet om daar nog tegen in te gaan aangezien ze weten dat ze op dat moment slechts een minderheid vertegenwoordigen.
Eigenlijk gaat het al een tijdje niet meer over alleen internet verkeer. Ik kwam een paar dagen geleden een verhaal tegen in de Volkskrant van een vrouw die een bijbaantje had gezocht in Engeland, en voor een Australisch bedrijf stukken conversatie moest gaan vertalen. Zij kwam erachter dat het over Nederlandse telefoon conversaties ging, die waarschijnlijk via een buitenlandse inlichtingendienst terecht waren gekomen in AustraliŽ. Let wel, dus buitenlandse inlichtingendiensten zijn op grote schaal bezig Nederlandse telefoonnetwerken af te tappen.

Dus wanneer krijgen wij point-to-point encryptie over mobiele telefoon gesprekken en sms? Versleuteling van metadata? Encryptie van email als standaard? Als je echt privacy wilt gaan waarborgen dan moet je aan dit soort dingen denken.

Wel goed dat de Kamer beseft dat sterke encryptie het uitgaanspunt is van privacy op het internet.
Voor de mensen die het artikel niet hebben gelezen, hier is de Blende link (paywall §0,25): https://blendle.com/item/bnl-vkn-20161001-7088198
gratis link naar het Volkskrant artikel: http://www.volkskrant.nl/...an-tech-bedrijf~a4386302/ (met dank aan Kerome)
We weten dat inlichtingendiensten gebruikmaken van die gaten in de wet. Hoe vaak ze dat doen, weten we niet. Misschien houden ze het evenwicht tussen privacy en veiligheid uitstekend in de gaten. Misschien ook niet. Wat wel zeker is, is dat techniek geheime diensten ongekende mogelijkheden heeft gegeven om waar ook ter wereld te infiltreren, apparaten te hacken en geautomatiseerd te tappen. En dat er buiten de landsgrenzen niet of nauwelijks controle is ťn de nationale wettelijke bescherming is uitgehold.

Encryptie is daar het antwoord op. Encryptie is de enige hoop geworden voor mensen die willen vertrouwen op veilige communicatie. Voor mensenrechtenactivisten in autoritaire regimes, voor journalisten die hun bronnen willen beschermen, voor miljoenen mensen die intieme gesprekken niet met anderen willen delen. Voor die mensen staat encryptie niet gelijk aan onveiligheid, maar juist aan veiligheid.
Het artikel is zeker de moeite waard om te lezen!

[Reactie gewijzigd door redstorm op 4 oktober 2016 17:28]

Dan moet je meer WhatsApp audio / video chat gaan gebruiken. Die zijn ook end-to=end versleuteld.
De 'kamer" beseft dat ze vlak voor de verkiezingen zitten ..... Privacy is een hot issue bij veel mensen in hier en ze willen de mensen niet tegen de haren instrijken, dat kost ze stemmen in maart. Daarnaast zou ik wel eens willen weten hoelang ze standhouden als Brussel zegt dat het afgezwakt moet worden dan zijn ze weer het braafste jongentje van de klas en draaien ze bij als een blad aan de boom.
De volledige motie:
De Kamer,

gehoord de beraadslaging,

constaterende dat versleuteling van internetverkeer essentieel is voor
onze veiligheid, bijvoorbeeld voor internetbankieren, het versturen van
berichten of het beveiligen van bedrijfsgeheimen;

overwegende dat het verzwakken van encryptie niet alleen onze opsporingsdiensten,
maar ook buitenlandse mogendheden en criminelen
toegang verschaft tot data van alle gebruikers en daarmee het internet en
het digitale communicatieverkeer voor alle burgers en bedrijven onveilig
maakt;

verzoekt de regering, het standpunt van afgelopen januari over het niet
verzwakken van encryptiesoftware onverkort te handhaven;

verzoekt de regering voorts, dit standpunt internationaal en binnen de EU
actief uit te blijven dragen,

en gaat over tot de orde van de dag.

Verhoeven
Oosenbrug
Ik zie niet in hoe dit Łberhaupt haalbaar is, hoe wil je dit gaan afdwingen of handhaven?

[Reactie gewijzigd door oef! op 4 oktober 2016 15:54]

Het handhaven slaat op het standpunt van de Kamer en regering dat encryptie niet verzwakt mag worden. En de regering kan vervolgens o.a. justitie en de opsporingsdiensten opdragen om daarnaar te handelen.
Goede zaak, eens kijken hoe lang dat zo blijft. Tot dan: thumbs up! _/-\o_
Het verzwakken van encryptie heeft geen enkele zin als dat op landelijk niveau gebeurt. Data kan op vele manieren verstuurd worden en wie daadwerkelijk iets te verbergen heeft, haalt de technologie vanuit zijn luie stoel uit het buitenland. Het enige dat je dan nog kunt doen is mensen die zaken versleutelen opsluiten omdat ze de sleutel niet overhandigen, maar ook daar zijn diverse bezwaren tegen. Ook zou je die straffen zwaarder moeten maken dan die van de zwaarste misdaad, om zo de straf enig gewicht te laten hebben. Anders zou een terrorist die moet kiezen tussen een veroordeling voor terrorisme of een veroordeling voor het niet ontsleutelen van zijn gegevens eenvoudig voor het laatste kiezen.

Dat is dan nog los van de risico's van het overgrote deel van de - brave - burgerbevolking. Een achterdeur is ook, of juist, toegankelijk voor criminelen en kwade mogendheden en het is een kwestie van tijd voordat iemand daar misbruik van maakt en je vrijwel weerloos blijk te zijn. Vergeet daarbij ook niet dat partijen als de NSA ook nu oncodeerbare streams (zoals VPN-verkeer) opslaan, om later te kunnen doorbreken. Je gehele datageschiedenis is dus op zo'n moment kwetsbaar.
Nu ben ik benieuwd of ze dit standpunt op Europees niveau handhaven nu dat Frankrijk en Duitsland beide voorstander zijn om service providers te dwingen om de versleuteling ongedaan te maken op verzoek.

Ik ben namelijk bang dat de NL regering weer slaafs doen wat Duitsland hen opdraagt. Wij hebben onze eigen belangen en die moeten wij ook verdedigen! Wij hebben geen belang bij achterdeurtjes in hardware of software, die ook door derden of zelfs buitenlandse inlichtingendiensten gebruikt kunnen worden!

[Reactie gewijzigd door ArtGod op 4 oktober 2016 16:24]

Mooie uitkomst, hier ben ik wel blij mee.

Veiligheid is natuurlijk een lastige kwestie, je wilt het de inlichtingendiensten ook weer niet onmogelijk maken om hun werk te doen, maar daarnaast moet je ook denken aan het feit dat mensen recht hebben op wat privacy... Ook op het internet.

Ook moet je je afvragen of de inlichtingendiensten Łberhaupt wel gegevens van jou mogen aftappen, maar die discussie loopt al jaren. Nu heeft het kabinet gestemd om de gebruiker / burger tegemoet te komen.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True