Tweede Kamer stemt voor behoud sterke encryptie

Handhaven is niet zo moeilijk. Maak een wet die het een beetje netjes verwoord en geef bedrijven de tijd om het aan te passen. Zodra die tijd voorbij is kunnen er gewoon boetes worden opgelegd als de altijd lieve AIVD niet binnen kan komen en aangetoond wordt dat er "te" sterke encryptie in het programma zit

Lees dit eens:

Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator)[1] is an algorithm from the branch of cryptography known as elliptic curve cryptography that was supposed to implement a cryptographically secure pseudorandom number generator (CSPRNG) capable of generating a random bit stream. The algorithm is based on the mathematics of the elliptic curve discrete logarithm problem. Despite public criticism, it was for some time one of the four (now three) CSPRNGs standardized in NIST SP 800-90A as originally published circa March 2007.

Weaknesses in the cryptographic security of the algorithm were known and publicly criticised well before the algorithm became part of a formal standard endorsed by the ANSI, ISO, and formerly by the National Institute of Standards and Technology (NIST). One of the weaknesses publicly identified was the potential of the algorithm to harbour a kleptographic backdoor advantageous to the algorithm's designers—the United States government's National Security Agency (NSA)—and no-one else.

(Bron: Wikipedia)

De algoritmes zélf kunnen een zwakke plek bevatten. Dan is het denk ik niet zozeer de community die hier 'fout' is, maar als de basis al niet goed is, elliptic curve is de basis van meer algoritmes, dan kun je er gif op innemen dat de community ook werkt met 'besmette' wiskunde.

Of zie ik dit verkeerd? (Oprechte vraag)

Helemaal mee eens: hoe kan de Nederlandse overheid in hemelsnaam encryptie software verzwakken? Hoeveel NL bedrijven maken uberhaupt encryptie software? En als het niet alleen gaat om encryptie software maar iedere software die encryptie toepast (zeg maar iedere web app tegenwoordig) hoe willen ze dat ooit handhaven?

Misschien, misschien lukt dat bij puur nederlandse bedrijven waarbij ze dan kunnen verplichten een backdoor in te bouwen. Waarmee ze meteen er voor zorgen dat niemand die software koopt: als software of de inhoud ervan belangrijk genoeg is om te encrypteren, dan is ie dus ook belangrijk genoeg om iets anders te nemen wanneer Nederlandse software verzwakt is.

Onuitvoerbaar, wereldvreemd en niet te handhaven zelfs al zouden ze het uitvoeren dat voorstel tot encryptie verzwakking, en het zou leuk zijn als iemand de politici van het CDA en PVV dat uit kan leggen anders hebben ze over een half jaar weer een nieuw voorstel klaar.

Ik vind dat de AIVD dat lek moet melden om de burgers te beschermen, daar zijn ze toch voor?

Dat kán natuurlijk wel degelijk, al acht ik de AIVD daar niet toe in staat. Van de NSA uit de VS is bekend dat die expres een zwakheid in het algoritme om random numbers te genereren geïntroduceerd hebben, en die zwakheid vervolgens uitgebuit hebben. Dat is jarenlang onopgemerkt gebleven.

Om grootschalig gebruik tegen te gaan is het voldoende als bedrijven geen diensten of individuen mogen aanbieden op basis hiervan.

En mogen banken dan hun betalingsverkeer dan ineens onversleuteld het internet op slingeren zodat criminelen met elke bankrekening aan de haal kunnen? Bedrijven moeten maar met onversleutelde VPN's gaan werken zodat concurrenten naar hartelust alle bedrijfsgeheimen af kunnen luisteren? En DVD's, Blu-Rays en games zijn vanaf nu zonder kopieerbeveiliging?

Zo maar even een greep uit het "grootschalige gebruik" van sterke encryptie tegen kwaadwillenden. Helaas maakt het voor een kluis niet uit wat je er in stopt en ook niet wie je buiten wil houden, je houdt edereen buiten die geen sleutel heeft of je houdt niemand buiten. En als een AIVD een sleutel op kan eisen, dan kan een kwaadwillend persoon dat via-via ook.