Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Privacyorganisaties: kraken encryptie hoort bij taak geheime diensten

Door , 107 reacties, submitter: himlims_

Privacyorganisaties vinden dat het kraken van de encryptie van versleutelde communicatie via bijvoorbeeld WhatsApp bij de taak van inlichtingendiensten hoort. Zaterdag zei de Nationaal Coördinator Terrorismebestrijding en Veiligheid dat de Nederlandse diensten daarmee bezig zijn.

Burgerrechtenorganisatie Bits of Freedom meldt dat er niet veel mis is met het feit dat de diensten proberen de encryptie van veelgebruikte communicatiemiddelen te doorbreken. Rejo Zenger van Bits of Freedom zegt tegen Tweakers dat er niet veel over het kraken zelf te zeggen is, omdat niet duidelijk is op welke manier dat gebeurt. "Het kan via het doorbreken van de encryptie, maar bijvoorbeeld ook door een deal met WhatsApp te sluiten of apparaten te hacken en op die manier aan berichten te komen", zegt Zenger.

Gaat het inderdaad om het kraken van het encryptiealgoritme, dan is volgens Bits of Freedom de belangrijkste vraag wat er vervolgens met een kwetsbaarheid in het algoritme gebeurt nadat deze is ontdekt. In het ideale geval meldt de geheime dienst deze kwetsbaarheid meteen bij de softwareontwikkelaar. Zonder deze melding lopen de miljoenen WhatsApp-gebruikers risico, bijvoorbeeld omdat het lek ook door een ander gevonden kan worden.

De discussie over het al dan niet melden van lekken speelt ook rond het wetsvoorstel van de zogenaamde hackwet, die de politie onder andere de bevoegdheid geeft om op afstand bij apparaten in te breken. Daarover maakte het kabinet onlangs bekend dat de politie kwetsbaarheden in bepaalde gevallen stil mag houden, onder andere als dit in het belang van het onderzoek is. De EU heeft vooralsnog geen plannen om wetgeving te introduceren over encryptie door communicatiediensten, zo bleek onlangs.

Privacy First vindt het kraken van de encryptie van versleutelde communicatie legitiem, bijvoorbeeld als er levens op het spel staan. Directeur Vincent Böhre zei in een gesprek met De Telegraaf niet verbaasd te zijn dat de diensten daarmee bezig zijn. Wel zou het kraken alleen in individuele gevallen mogen plaatsvinden, zodat dit geen gevolgen heeft voor een grote groep gebruikers. Böhre zegt desgevraagd tegen Tweakers dat het met de huidige stand van de techniek de kant opgaat dat het recht op privacy een absoluut recht wordt, waarop geen uitzonderingen mogelijk zijn.

Wettelijk gezien zijn er echter wel degelijk uitzonderingen op het recht. Dit komt echter niet terug in de techniek. Zo heeft het aanbrengen van een achterdeur in een encryptiealgoritme het gevolg dat alle gebruikers kwetsbaar zijn, omdat er momenteel geen mogelijkheid is om in individuele gevallen toegang te krijgen tot de inhoud van berichten. Böhre zegt dat hij het liefst zou zien dat het recht op privacy inclusief de wettelijke uitzonderingen in de techniek moet worden opgenomen. Doordat dit nu niet mogelijk is, is het niet verwonderlijk dat geheime diensten en de politie gaan hacken. "Dat er via een uitzondering inbreuk op het recht op privacy wordt gemaakt, betekent nog niet dat er een schending plaatsvindt", aldus Böhre. Zo is het bijvoorbeeld mogelijk om het recht op bescherming van de persoonlijke levenssfeer in te perken met een beroep op nationale veiligheid of het voorkomen van strafbare feiten. Een dergelijke wettelijke inbreuk komt dan niet neer op een schending, volgens Böhre.

Sander van Voorst

Nieuwsredacteur

19 december 2016 13:44

107 reacties

Submitter: himlims_

Linkedin Google+

Reacties (107)

Wijzig sortering
Ik had het artikel in de televaag gelezen, waar ik dit juweeltje voorbij zag komen:
Maar ook bedrijven als WhattsApp en Telegram hebben een verantwoordelijkheid, meent Böhre. „Het mag niet zo zijn dat door de ’ontsleuteling’ van een individu het hele systeem bloot komt te liggen. Ze moeten het zo inrichten dat het in individuele gevallen kan worden gekraakt, zodat niet iedereen het slachtoffer wordt. Maar ik wil benadrukken dat wij ons verder 100 procent sterk maken voor goede encryptie en versleuteling. Daarover mag geen twijfel bestaan.”
Moet je zo'n man dan nog serieus nemen, vraag ik me af? Dat is proberen te snoepen van twee walletjes, maar er is geen optie tot een "en en" situatie.
Hoe wil je in godsnaam encryptie maken die te kraken valt maar "niet iedereen het slachtoffer wordt"? Gezien iedereen die crypto dan gebruikt, kom je er niet omheen dat iedereen slachtoffer is omdat ze allemaal gebruik maken van lekke crypto! De betrouwbaarheid is dan weg.

Hoe kan je jezelf nou sterk maken voor goede encryptie, als je tegelijkertijd zegt dat er een backdoor in moet? (En of dat nou in de crypto of de applicatie zelf is verandert er niets aan: je kan niet meer vertrouwen dat het dan écht encrypted is... Een soort van Schrödingers kat, maar dan je encryptie. :'))
En dan tot overmaat van ramp nog zeggen dat er geen twijfel over mag bestaan ook. :')

Goede encryptie + backdoor != goede encryptie. Je kan dan nooit op het protocol/crypto vertrouwen. Tegen MiTM valt niet meer te beschermen, en end-to-end encryptie zal niet daadwerkelijk meer bestaan.

Ik vind het nogal hypocriet, en ik vind het nogal schokkend dat een organisatie "Privacy First" pleit voor backdoored onbetrouwbare encryptie.


Ik ben het eens dat het logisch is dat veiligheidsdiensten proberen WhatsApp, Telegram, Signal, etc. te kraken; dat is hun werk. Klopt helemaal. Maar pleiten dat de makers zélf backdoors in gaan bouwen? Oei oei oei, wat slecht.

Overigens vraag ik me af of dit soort berichten niet de media ingeslingerd worden door inlichtingendiensten in de hoop dat criminelen iets anders gaan gebruiken, waardoor ze niet meer opgaan in de massa en misschien juist slechtere encryptie gaan gebruiken.

[Reactie gewijzigd door WhatsappHack op 19 december 2016 14:42]

Wat hij eigenlijk zegt is dat je dus encryptie wilt hebben met sleutel per gebruiker. Dan kun je die ene specifieke sleutel vrijgeven in geval van (dwang)bevel, zonder dat de app zelf of alle andere gebruikers daardoor benadeeld worden.
Tegelijkertijd zorgt de enorme userbase ervoor dat als er een sleutel op straat komt te liggen, het vrijwel onmogelijk is te achterhalen bij wie deze dan hoorde.

Wil het niet goedpraten dat veiligheidsdiensten toegang horen te krijgen - laat ze het inderdaad zelf maar regelen ipv via achterdeurtjes welke iedereen kan gebruiken. Alleen vanuit het oogpunt van geheime diensten snap ik best dat ze deze kant op willen lobbyen.

Tenminste, als ik het artikel zo lees lobbyen deze kerels voor overheidsdiensten en niet voor BoF/PF of de gewone consument.

[Reactie gewijzigd door Xanaroth op 19 december 2016 15:58]

Wat hij eigenlijk zegt is dat je dus encryptie wilt hebben met sleutel per gebruiker. Dan kun je die ene specifieke sleutel vrijgeven in geval van (dwang)bevel, zonder dat de app zelf of alle andere gebruikers daardoor benadeeld worden.
Dan heb je eigenlijk geen end-to-end encryptie meer, en omdat de sleutels opgeslagen zijn bij een derde partij (vanuit oogpunt van jou conversatie gezien) kan je dan absoluut niet meer vertrouwen op de encryptie. De hele sterkte van encryptie zit hem erin dat die sleutels enkel in jouw bezit zijn en in die van je gesprekspartner. Als er andere partijen zijn die de sleutel hebben, dan kan je nooit meer zeker weten of er niemand meeleest.
Dat is bijvoorbeeld het geval van iMessage van Apple. Het protocol levert sterke end-to-end encryptie, maar je kan geen sleutelverificatie doen en Apple kan op elk gewenst moment een extra apparaat toevoegen waarna doodleuk alle berichten meegelezen kunnen worden. Je kan er dus niet op vertrouwen dat je niet getapt wordt of je berichten gekopieerd worden - dus is de encryptie niet geschikt als je zekerheid wilt en de optie wil hebben om te controleren dat met wie je denkt te praten ook daadwerkelijk de gene is met wie je praat.
(Daarmee wil ik niet zeggen dat iMessage onveilig is of slechte encryptie heeft trouwens - maar het is gewoon helaas niet geheel te vertrouwen wegens deze loophole. Ik snap de keuze van Apple daarvoor ook wel, omdat dit hoge gebruiksvriendelijkheid oplevert - iets dat veel klanten van Apple zoeken. ;))

Het probleem is daarnaast dat we weten dat bijvoorbeeld de NSA dwangbevelen kan uitgeven met daarin de uitspraak (direct van een rechter, waar geen beroep tegen mogelijk is) dat er niets gezegd mag worden. Wat let inlichtingendiensten dan om te eisen dat *alle* sleutels vrijgegeven moeten worden omdat dat "makkelijker surveilleren is" of "grotere pakkans"; onder het mom van dus? Wetten houden dat niet tegen, want daar staan ze boven. Een leuk kopje "een sleepnet uitwerpen mag niet" is fijn, maar als zo'n geheim proces dan anders stelt: dan doen ze het toch. Of de AIVD ook zo ver kan gaan weet ik niet, maar ik durf er stiekem op te gokken van wel. ;)

En we bekijken dit misschien uit oogpunt van onze overheid, die nog een heel klein beetje betrouwbaarheid kent (veel is het niet, hoor), maar als zulke zwaktes erin zitten krijg je ook overheden van discutabele landen die er dan van weten en toegang gaan eisen. Als er geen embargo tegen ze is, kan je dat vrij moeilijk gaan weigeren. Waarom wij wel, en zij niet?
Of wie gaat dan bepalen wie wel en geen toegang krijgen? ;) Dit is ook voor de chatdienst een onmogelijke positie; het is handiger als ze het in elk land weigeren; als er ook maar één land is waarvoor ze overstag moeten gaan: dan wil de rest ook!

En ga zo maar door en door.
Maar het grootste probleem is dat je dan gewoon niet meer op de encryptie kan vertrouwen. Ook je sleutel-verificatie wordt dan volslagen nutteloos, je bescherming tegen MiTM en/of eavesdropping is namelijk in principe weg - immers zijn er kopietjes van je sleutels.
Het is gewoon een slecht plan. :P
Tegelijkertijd zorgt de enorme userbase ervoor dat als er een sleutel op straat komt te liggen, het vrijwel onmogelijk is te achterhalen bij wie deze dan hoorde.
Natuurlijk niet. Als ze per gebruiker de sleutel op gerechtelijk bevel moeten kunnen vinden, dan moet er een identifier bijzitten. Als die database dus gelekt wordt lijkt het me niet dat je dan met waardeloze informatie zit. ;)
Trouwens; als we het hebben over master-keys die, als je ze in je bezit hebt, ervoor zorgen dat je een heel gesprek uit kan lezen en dit kan blijven doen (aftappen): dan kan je ook zonder identifier heel veel met die sleutels als je ze in je bezit krijgt:

Als je alle sleutels uitgerekend en wel in je bezit hebt, dan hoef je enkel nog te kijken welke sleutel het bericht decrypt. Je probeert dan gewoon alle sleutels om te zien welke sleutel "in het slot" past. Als je 10.000 unieke huissleutels krijgt, en je moet de sleutel voor het huis vinden waar je nu voorstaat: dan gaat dat, tenzij je mazzel hebt, wel ff duren ja - want dat moet je handmatig doen. Maar in de digitale wereld probeer je die 10K sleutels binnen een seconde. ;) Je kan, als je een beetje redelijke hardware hebt, in een paar minuten tijd miljoenen sleutels proberen - totdat je de match hebt gevonden. De hele kracht van encryptie is juist dat het extreem veel moeite en tijd kost om de sleutel überhaupt te berekenen, dat maakt het zo sterk en veilig.

Als je de sleutel niet meer hoeft proberen te berekenen omdat je die al hebt, maar enkel nog maar hoeft te kijken welke sleutel werkt op een bepaald bericht/gesprek/persoon die je wilt decrypten: dan check je gewoon welke van de sleutels "in het slot past"; en dat kan razendsnel uitgevoerd worden... (Bijv.: ze willen alle berichten van "Henk de Sjaak" lezen. Ze hebben van hem het encrypted-bericht "EkR#(2!fne}_±1". Daar gooien ze alle sleutels tegenaan. Na een paar minuten blijkt dat decrypten met sleutel ID 12345678 de plain-text "Morgen om 12.00" heeft opgeleverd. Bingo! Je weet nu welke sleutel bij "Henk de Sjaak" hoort, dus kan je die sleutel op al zijn berichten loslaten en klaar is Kees de Detective. ;))

Het opslaan van dit soort master-sleutels is dus een probleem en een veiligheidsrisico.
Wat misschien nog een optie zou zijn (theoretisch.) is om halve sleutels op te slaan, en de andere helft moet dan berekend worden; dat maakt het al een stuk minder lastig om de sleutel te vinden - maar als de database gejat wordt moet je alsnog aardig wat rekenwerk verzetten om de andere helft van de sleutel te berekenen. Het probleem is alleen dat het voor iedereen die de database heeft een stuk makkelijker wordt, niet enkel voor veiligheidsdiensten. ;( Ook dat soort backdoors zijn dus een slecht idee als je de betrouwbaarheid hoog wilt houden... En dat wil je natuurlijk. :P
Het zwakt de encryptie in ieder geval alsnog onacceptabel af. Er is, naar mijn mening, gewoon geen goede middenweg voor dit probleem.
Wil het niet goedpraten dat veiligheidsdiensten toegang horen te krijgen - laat ze het inderdaad zelf maar regelen ipv via achterdeurtjes welke iedereen kan gebruiken. Alleen vanuit het oogpunt van geheime diensten snap ik best dat ze deze kant op willen lobbyen.
Tuurlijk, dat snap ik ook.
Ik vind het alleen een rete slecht idee. :)

Eigenlijk is het wel gek dat we ze, dankzij foute stappen van overheden eigenlijk, niet kunnen vertrouwen. Het is zelfs bijna eng - we kunnen de diensten die ons veilig moeten houden niet meer goed vertrouwen dat ze professioneel zijn en hun macht daadwerkelijk 100% inzetten voor staatsveiligheid - en "collateral catches" niet goed afvangen.
Het is voor mij ook een tweestrijd. Ik snap de noodzaak voor inlichtingendiensten om toegang te hebben tot communicatie. Dat is heel logisch, en cruciaal in ondersteuning voor veiligheid. Nee ze kunnen niet alles voorkomen (dat kon bij plain-text communicatie al niet); maar het helpt wel.

Het probleem is alleen dat langzaam maar zeker deze mogelijkheden werden misbruikt om te spioneren op alles en iedereen. Mensen die het niet eens zijn met de overheid en maar vervelend zijn (doch niet crimineel of een bedreiging voor de veiligheid), onschuldige burgers, noem het maar op - en deze info ook voor andere doeleinden werd gebruikt dan staatsveiligheid.

Mijn privacy is uitermate belangrijk. Het gaat de overheid, en inlichtingendiensten, geen reet aan waar ik over praat en wat ik precies zeg. Maarrrrr, ik vertrouw erop dat de medewerkers van inlichtingendiensten dermate professioneel zijn dat ze niet zomaar berichtjes gaan lezen of op z'n minst: als ze dat doen, en er blijkt niets aan de hand te zijn, dit weer verwijderen. Ik geloof best dat zij zelf er totaal geen interesse in hebben wat ik vanavond ga eten, hoe laat ik thuis kom, waar ik vandaag ben geweest, wat ik al dan niet uitspook in de slaapkamer - en noem het maar op. Maar mochten ze die communicatie dan lezen omdat ze dachten dat het nodig was, dan verwacht ik ook dat dit *direct* weer verwijderd wordt als blijkt dat er niets aan de hand is - en er geen eens een notitie van de inhoud wordt gemaakt behalve "niets aan de hand - foute indicatie. Data gewist.". ;)

Maar nu gebleken is dat niet enkel inlichtingendiensten toegang hebben tot de data, en data bewaard blijft zelfs als deze van geen waarde voor de staatsveiligheid blijkt te zijn: dan schiet het het doel voorbij, levert grote risico's op en ik wil helemaal niet dat mijn data daar staat. Dat is een enorm grove inbreuk op mijn privacy en de veiligheid van mijn data. En *dat* gaat mij te ver. Incidenteel de KANS lopen dat een privé bericht wordt ingezien omdat ze verkeerd dachten dat het iets verdachts was of ik een verdacht persoon was (met blik op de staatsveiligheid): alé, daar kan ik nog inkomen en hoewel ik het absoluut niet prettig vind (het gaat ze immers niets aan, en prive is prive!), zou ik zover nog wel willen gaan... Puur voor de veiligheid.

MAARRRRR, de situatie lijkt nu omgedraaid te zijn: de kans dat je data in een database komt en blijft staan zelfs als er niets verkeerds/verdacht in gezegd is, is nu groter dan de kans dat je data slechts per abuis wordt ingezien. En daarnaast is de kans flink opgelopen dat je data misbruikt wordt voor compleet andere doeleinden dan staatsveiligheid.

En om die reden kan ik niet anders dan concluderen dat we niet zonder ijzersterke encryptie kunnen zonder backdoors - puur om onze privacy nog te kunnen waarborgen in digitale communicatie. Dat is dus niet omdat ik de integriteit van (het merendeel van) de medewerkers van de inlichtingendiensten wil afdingen of wil suggereren dat het enge stalkers zijn die alles van iedereen willen weten (of bijvoorbeeld zitten te fappen op de sexting berichtjes van de miljoenen Nederlanders die dat doen), maar omdat de regelgever misbruik maakt en er programma's zijn gestart bij de diensten die dermate, en met hoge frequentie, inbreuk maken op de privacy dat het niet meer onder de noemen "puur voor staatsveiligheid" kan vallen; maar echt op algehele datacollectie en constante surveillance op *iedereen*. De sleepnet methode dus.

Een tweede probleem is dat nu de kogel eenmaal door de kerk is (no pun intended.), het vertrouwen eigenlijk onherstelbaar beschadigd is. Als ze nu zeggen dat ze dat niet zullen doen, gelooft niemand - inclusief ikzelf - het nog. Dat is niet per definitie de schuld van die inlichtingendiensten, al absoluut wel ten dele; zeker als we naar de NSA kijken, maar het is nu eenmaal het effect van wat er gebeurd is en hoe zwaar misbruik overheden hebben gemaakt van de capaciteiten van inlichtingendiensten om te kunnen spioneren op de onschuldige burgers. Dit was misschien niet gebeurd als die diensten daadwerkelijk vrij spel hadden, zonder de optie voor de overheid om iets te eisen of te willen inzien, met enkel maar een beperkte regelset en de harde eis dat data gefilterd moet worden en niet bewaard mag blijven. Dat is helaas niet het geval gebleken...

En dat is dan ook waarom ik jaren geleden ben overgestapt van "nouja, het moet dan maar - laat ze het maar lezen als dit bijdraagt aan de veiligheid" naar "no f*cking way, want die data wordt voor compleet andere doeleinden gebruikt en heel lang zonder reden bewaard.".
Misschien was ik eerder wel naïef, maar nu we het weten kan ik niet anders doen dan mezelf beschermen én te pleiten voor sterke encryptie *zonder* backdoors. Laat ze maar een andere manier vinden... Eentje die flink geld kost...


... En dat is nog zoiets: dat het heel veel geld moet kosten, omdat anders de onschuldige burgers de pineut zijn, en wij dus zélf moeten betalen voor onze eigen privacy: dat is gewoon te gek voor woorden. Het is bijna een boete die je oplegt aan de veiligheidsdiensten: meelezen mag, maar het moet je wel honderdduizenden euro's kosten per gesprek dat je wilt tappen; zodat je het niet te pas en te onpas gebruikt en geen sleepnetten bij onschuldige burgers neerlegt.
Te gek voor worden! Want wij betalen dat zelf van belastingcenten.

Het zou gewoon fijn zijn als we de diensten geheel konden vertrouwen, er iets meer transparantie was en de overheid eens niet zo zou lopen fucken waardoor deze hele situatie ontstaan is. Want sterke encryptie was voor de gemiddelde burger helemaal geen dingetje, totdat bleek wat de overheden allemaal uitspookten door misbruik te maken van inlichtingendiensten. Dat encryptie nu gemeengoed is geworden, mede dankzij bedrijven als WhatsApp, is dus eigenlijk 100% hun eigen schuld. Eigenlijk is het raar dat ze nu dus klagen dat mensen encryptie gaan gebruiken, ik kan me niet voorstellen dat ze dat echt heel raar vinden. :/ Ze hebben eigenlijk gefaald... Hun taak was staatsveiligheid, en gerichte acties om die te waarborgen. Door dat *niet* te doen is er een hele rel ontstaan waardoor encryptie een ding is geworden - en dus hebben ze zichzelf in de voet geschoten en er zélf voor gezorgd dat hun baan een stuk moeilijker is geworden. Dat moet je de burger niet aanrekenen.
Tenminste, als ik het artikel zo lees lobbyen deze kerels voor overheidsdiensten en niet voor BoF/PF of de gewone consument.
Het citaat kwam van de directeur van Privacy First. ;)


-edit- typo fixes en identifier stukje gefixed.

[Reactie gewijzigd door WhatsappHack op 20 december 2016 01:24]

Dat is allemaal prima.

Maar ik heb hier een machine gebouwd die mais kolven van de steel afsnijd. Helaas, er is een ontwerpfout ingeslopen.

Elke keer als een medewerker een mais plant in de machine duwt, wordt er ook een hand afgehakt. Het ontwerpbureau verteld me dat het nu eenmaal zo is en we hebben zo veel geïnvesteerd in de ontwikkeling dat we dan maar de machine niet op de schroothoop zullen gooien.

We hebben dus gewoon heel veel handen nodig om al dat mais te oogsten.

Graag je reactie.
Neem eens contact op met een advocaat. 8)7
Je snapt niet wat ik bedoel?
Dat je die vraag stelt betekend dat ik het, in lijn der verwachting, niet letterlijk had mogen interpreteren. ;) Dan is het niet de vraag of ik niet snap wat jij bedoelt, maar is de vraag waar jij heen wilt met wat blijkbaar een metafoor is - maar dat licht je niet toe, waardoor het op van alles kan slaan. Je stelt geen vraag, en maakt geen enkel punt.

Derhalve verspil ik er ook geen tijd aan om uitgebreid te antwoorden, en stel ik voor dat je gewoon helder je vraag stelt of een duidelijke stelling poneert als je een inhoudelijke discussie wilt voeren. :)
In ICT zitten ontwerpfouten. En toch gebruiken we het ondanks de risico's en vinden de meeste mensen dat goed.

Je schrijft een mooie tekst die helemaal binnen de te verwachten kaders argumenten biedt. Ik rek graag de kaders op. Kun je tot oplossingen komen als je akkoord bent met de ontwerpfouten en dan techno-fixes gaat stapelen? Encryptie is een techno-fix voor de ontwerpfout in ICT.

Volgens mij is het trekken aan een dood paard. We moeten af van deze ICT want het is een groot lekwerk.

En dus om toch ICT te willen moet het hele concept op de schop. Aan dit ICT valt niets te patchen.

En als je dat wilt zul je dus eerst moeten uitzoomen en vragen stellen. En dan kom je bij een aantal zaken die ogenschijnlijk niets te maken hebben met ICT maar met de wezenlijke aard van de mens.

De vraag is of je bereid bent buiten het gesteggel te stappen.

Vraag jij je wel eens af wat informatie eigenlijk is en hoe het zich gedraagt? Wat is de filosofie van informatie? Wat is het verschil tussen informatie en fysieke materie?

Je kunt geen ICT bouwen als je daarover eerst niet nadenkt. En bij de huidige ICT is dat nooit gedaan.

En ik denk dat ICT een extreem gevaarlijke technologie is en dat we aan de vooravond staan van een helse wereld, dat we ons nu niet eens kunnen voorstellen hoe erg het nog gaat worden.

Je kent mijn lijst van argumenten wel. Privacy, verhouding burger en overheid, corporatisme, totalitarisme, surveillance dictatuur, nanny state, nep nieuws, social engineering, hyper-relativisme, panopticum samenleving, de teloorgang van diepgang door hyper-vervlakking van maatschappelijk en politiek debat en ergens aan het einde de vrijwel onvermijdbare concentratiekampen, chippen van mens en dier en het einde van contant geld nog ergens daar tussenin.
Een heel verhaal om aan te geven dat het alleen in een ideale wereld werkbaar is.
Die ideale wereld gaat er niet komen.

Als je dit wilt, dan is het enige wat je kan doen, het technisch zo proberen te regelen dat er meeste mensen er geen last van hebben. Alle argumenten die je verder noemt om het niet te willen zijn dan verder nutteloos.

Ik vind dat de politie bij het inzetten van deze middelen de tijd en resources daarvoor mag inzetten. Het moet een middel blijven dat af en toe wordt ingezet als je verder vastloopt en een doorbraak hoopt. Of dat laatste beetje zekerheid of bewijs wilt vinden.
Niet een optie die je gedachteloos maar uitvoert.

Voor mijn idee zou je nooit willen dat je keys moet overhandigen.
Laat de politie maar langskomen ergens met een beveiligde USB stick en dan kan die beste politiemeneer unencripted communicatie ophalen in een kantoor van softwaredienst X.

Geen misbruik mogelijk van keys, niets dat op straat komt te liggen waar iemand anders wat mee kan en een duidelijke hobbel voor de politie om iets op te vragen wat ook sleepnetten tegen gaat.
Laat de politie maar langskomen ergens met een beveiligde USB stick en dan kan die beste politiemeneer unencripted communicatie ophalen in een kantoor van softwaredienst X.

Geen misbruik mogelijk van keys, niets dat op straat komt te liggen waar iemand anders wat mee kan en een duidelijke hobbel voor de politie om iets op te vragen wat ook sleepnetten tegen gaat.
Dan moet je dus alsnog verzwakte encryptie hebben en kan je alsnog E2EE niet werkelijk aanbieden.

En de keys worden toch ergens opgeslagen, dus kunnen ze op straat komen te liggen of er misbruik van gemaakt worden...
duidelijk Iemand die geen verstand heeft van techniek.
Er is geen grijs gebied in encryptie.
of t is veilig of niet.
dat is voor sommige mensen niet te verwerken , vooral vrouwen hebben hier last van.
Een sleutel verplichting betekend corruptie , en je backdoors zijn net als hoeren , ze doen waar je ze voor betaald maar heb ze NOOIT voor je aleen....
Maw , kansloos plan , en de mensen die je zoekt gaan toch andere opensource tools gebruiken die hier geen last van hebben.
MAW iedereen word kwetsbaar behalve de groep waar je de maatregel voor neemt!
Als je t will verglijken met iets aards ,, als je een kaaiman of aligator achter je aan krijgt , ga je je ook niet afvragen of een beschermde diersoort is.
Of jij gaat dood , of jij dood hem meer opties zijn er niet.

[Reactie gewijzigd door bluegoaindian op 20 december 2016 16:39]

Dat vraagt om een centrale database van gebruiker -> key mappings en gooit alle andere belangrijke concepten in de encryptie overboord. Alleen de key heb je niet genoeg aan, die key wordt steeds heronderhandeld. Als je met één sleutel per gebruiken alle gesprekken kan ontsleutelen dan heb je dus géén forward secrecy meer. Dat staat fel tegenover de principes waarop deze encryptie gebouwd is.

Wat hij wil is feitelijk gewoon onmogelijk - als WhatsApp juridisch gedwongen wordt om de encryptie af te zwakken tot een dergelijk niveau kan iédereen daar misbruik van maken, en bovendien springt er dan wel een andere dienst in dat gat, die onder andere wetgeving valt. Het is een bij voorbaat verloren gevecht.
Dat het feitelijk onmogelijk is snappen veel mensen tegenwoordig wel. Daarom zie je ook in het Nederlands standpunt terugkomen dat men niet van overheidswege generiek zwakke plekken wil gaan verplichten, daar zou dan namelijk iedereen last van hebben.

Als we wat we weten van wat er wel en niet kan even los laten en het theoretisch benaderen vind ik de wens niet disproportioneel: sterke encryptie met een ingebouwde mogelijkheid om alleen de privacy van 1 persoon te schenden als er om justitiële/veiligheidsredenen reden is om die persoon dat recht te ontnemen. Dan kan iemand best stellen dat het prettig is als ook WhatsApp daaraan probeert te denken. Dat het niet kan wil niet zeggen dat je niet kan theoretiseren over hoe je het in zou richten als het wel zou kunnen.

Maar het belangrijkste blijft dat er nu, in ieder geval in Nederland, een consensus lijkt te zijn dat generieke aanpassingen aan encryptie een slecht idee zijn.
Dat vraagt om een centrale database van gebruiker -> key mappings en gooit alle andere belangrijke concepten in de encryptie overboord. Alleen de key heb je niet genoeg aan, die key wordt steeds heronderhandeld. Als je met één sleutel per gebruiken alle gesprekken kan ontsleutelen dan heb je dus géén forward secrecy meer. Dat staat fel tegenover de principes waarop deze encryptie gebouwd is.
Die forward secrecy willen ze ook helemaal niet als het aan de veiligheidsdiensten ligt. Want dan hebben ze niets meer aan hun sleepnet wat tot in het einde der tijden gesprekken bewaart en moet kunnen ontsleutelen.
Op een technisch niveau heb je natuurlijk helemaal gelijk. Op functioneel niveau: die man kan toch wensen wat hij wil? Ik ben het met hem eens dat dat de ideale situatie zou zijn: encryptie die geen backdoors heeft en lastig te kraken is, maar door veiligheidsdiensten wel met redelijke inzet van middelen selectief / gericht te kraken is. Dat zou ideaal zijn! Technisch / wiskundig gezien is dat je reinste waanzin, maar goed, fantaseren staat vrij.
Fantaseren staat vrij. Maar misschien moet hij ook erbij vermelden dat het een onrealistische fantasie is. Uiteindelijk is over het onmogelijke fantaseren wanneer je een oplossing voor een probleem zoekt in principe gewoon je tijd verdoen.
Inderdaad. Een beetje als munitie voor de politie die wel 100% zeker iemand tot stilstand brengt/onschadelijk maakt, maar die ook geen verwondigen veroorzaakt...

You can't have the cake and eat it too
munitie voor de politie die wel 100% zeker iemand tot stilstand brengt/onschadelijk maakt, maar die ook geen verwondigen veroorzaakt...
..en alleen de boef raakt en geen onschuldige.
Grappig dat je zo'n voorbeeld aanhaalt. Op dat gebied gebeurt er namelijk juist wel wat er hier gevraagd wordt. Denk aan rubber bullets, tasers, pepperspray. De techniek wordt ingezet om manieren te vinden om iemand uit te schakelen zonder het ongewenste terminale gevolg. Al zijn het geen 100% oplossingen, er wordt technisch wel in die richting geïnnoveerd.

Op encryptie gebied wordt er vanuit de techniek vooral gezocht naar oplossingen om deze zo onkraakbaar mogelijk te maken. Of wordt er ook gezocht naar oplossingen om heel specifiek toegang te kunnen verlenen zonder in z'n algemeenheid de encryptie te verzwakken?

Of dat laatste technisch mogelijk is betwijfel ik zelf ook, maar het lijkt me dat de geheime diensten best een denk-tankje op kunnen zetten om met ideeën te komen. Of anders hun woordvoerders op te voeden dat ze het onmogelijke vragen.
Rubber kogels zijn hardly onschadelijk. In de tijd van de onlusten in N-Ierland zijn er diverse mensen behoorlijk geraakt door 'rubber' kogels (wat in werkelijkheid behoorlijk hard plastic is).
Maar goed, laten we niet afdwalen, het gaat om het idee... :)
Op zich wel ja. Ik vraag me wel af of hij dit echt gezegd heeft - ik heb niet zo'n hele hoge pet op van de Telegraaf en vraag me af in hoeverre deze woorden uit hun verband gerukt zijn. Als hij de quote die WhatsappHack aanhaalt daadwerkelijk op die manier en met die intentie gezegd heeft zet dat wel wat vraagtekens bij zijn begrip van de materie.

De achterliggende wens kan ik alleen maar onderstrepen, al weet ik dat het niet haalbaar is.
Ik ben geen crypto-expert, maar in principe is bitcoins minen deels ook een soort sleutel kraken (een goede nonce vinden waarmee je een nieuw block kunt signen).

De kosten daarvan zijn vrij hoog maar als je genoeg effort (hash-power) daar in steekt is het dus te doen en die effort is in te stellen (gaat steeds omhoog)

Ik kan me voorstellen dat als je per gebruiker een key hebt dat die ook per gebruiker te kraken is, met een grote effort. Dat is nu ook zo natuurlijk, alleen is de effort so groot dat het niet te doen is en is er een backdoor nodig.
Oudere crypto, hoewel mathematisch helemaal correct, kun je AFAIK ook kraken als je geduld hebt en het met genoeg effort kun brute-forcen.

Maar ik ben, zoals gezegd, geen crypto-expert, hit me met wat ik verkeerd heb begrepen :*)

[Reactie gewijzigd door Loy op 19 december 2016 16:35]

Nou, ik snap je punt niet helemaal om eerlijk te zijn.
Ik kan geen punt vinden, noch een vraag. Wat wil je precies zeggen/voorstellen/ter discussie stellen? :)

Het is correct dat in principe alles (uiteindelijk) te kraken is als je er maar genoeg rekenkracht tegenaan smijt. Voor de huidige bewezen crypto's is die rekenkracht inderdaad niet beschikbaar, doch mogelijk in de toekomst wel; wie weet. Het doel van goede cryptografie is dan ook om te zorgen dat het nog jaaaaaaaren gaat duren voordat ze überhaupt ook maar enkele berichtjes kunnen gaan kraken.
Inderdaad met die gedachte liep ik ook al rond, dat lijkt de ideale oplossing te zijn.

Ik ben ook geen crypto expert, maar je wil inderdaad een encryptie waarbij bepaalde (geheime) diensten een soort van halve master key hebben. Op basis van deze key + een hoop effort (rekenkracht) kan de encryptie gekraakt worden zo voorkom je sleepnet taferelen (te duur), maar kan je bij een echte verdenking toch meelezen. Eventueel aangevuld met een steeds hoger wordende complexiteit elke x periode. Maar ik vraag mij af of dit wiskundig gezien uberhaubt mogelijk is.

Er blijft hierbij echter een groot probleem, om dit voor elkaar te krijgen zullen er toch wetten gemaakt moeten worden die dergelijke methodes verplichten, commerciële bedrijven gaan dit niet vrijwillig implementeren en al helemaal niemand wil dit vrijwillig gebruiken.

Dus je moet wel een ontiegelijk domme terrorist zijn als je, de plannen via WA of andere bekende publieke messenger dienst communiceert waarvan je "weet" dat er een dergelijke encryptie gebruikt wordt.

Maarja, in de regel houden criminelen en terroristen zich niet echt aan de wet ☺️ en je mag dus verwachten dat die dan op een andere manier gaan communiceren.

Kortom, ook dit schiet puntje bij paaltje niet op en pak je alleen de niet zo snuggere terroristen, maarja die had je waarschijnlijk op een andere manier ook wel gepakt.

Ik ben bang dat hiervoor geen goede oplossing bestaat en vooralsnog de beste oplossing blijft om alles zo goed als mogelijk te versleutelen en de (geheime) diensten zullen moeten accepteren dat meelezen niet zomaar gaat.

Overigens is er wat dat betreft natuurlijk niets veranderd, 50 jaar geleden werd er ook gecommuniceerd alleen dan via geheime berichten in kranten, advertenties en tijdschriften, toen kon er ook niet meegelezen worden.

[Reactie gewijzigd door jurgen1976 op 19 december 2016 23:46]

Böhre zegt dat hij het liefst zou zien dat het recht op privacy inclusief de wettelijke uitzonderingen in de techniek moet worden opgenomen.
Ik vind het een beetje een vreemd standpunt. Ik snap volgens mij wel wat hij bedoelt maar het komt toch over alsof de directeur van Greenpeace zegt dat hij geen probleem heeft met fossiele brandstoffen zolang het milieu er maar geen last van heeft. Natuurlijk zou het mooier zijn als we een manier vinden om steenkool te verbranden waar de atmosfeer schoner van wordt maar ik zou er niet op gaan zitten wachten... Op grond van wat we nu weten gaat dat nooit gebeuren. Misschien dat we in de toekomst nieuwe technieken ontdekken waarmee het wel kan maar daar moet je nu nog niet op speculeren.
Is dat geen kwestie van semantiek? Wat is het verschil tussen een inbreuk en een schending dan?
Het is het verschil tussen glas op de weg en een lekke band op je fiets. Als iemand glas op de weg gooit betekent het nog niet dat alle fietsen onmiddellijk een lekke band hebben. Dit voorbeeld geeft ook aan waar de schoen wringt, als je iemand glas op straat ziet gooien dan wacht je niet tot de eerste lekke band voor je er iets van zegt.
Op het moment dat ze er zoveel moeite voor moeten doen dat ze het alleen gericht tegen verdachten in kunnen zetten, is er geen verschil met andere opsporingsmethoden, zoals afluisteren, schaduwen en huiszoekingen.
Zolang niet iedereen zich aan de wet houdt, moeten er mogelijkheden zijn om die personen op te sporen en voor bewijs te zorgen om ze te kunnen straffen. Maar dan wel gericht, op personen waarvan al een gerede verdenking is. Niet met een massaal sleepnet alles onderscheppen en dan maar afwachten of je iets vindt dat niet pluis is.
Ik vind het ook een rare communicatie voor iemand die de privacy moet beschermen. Hij had gewoon beter zijn mond kunnen houden.
alsof de directeur van Greenpeace zegt dat hij geen probleem heeft met fossiele brandstoffen zolang het milieu er maar geen last van heeft.
Ja, en wat is er mis met fossiele brandstoffen als het milieu er geen last van heeft?
Volgens mij ben je hier de realiteitszin verloren. Het schaden van ons directe en indirecte milieu is de belangrijkste reden om fossiele brandstoffen af te schaffen.
Ja, en wat is er mis met fossiele brandstoffen als het milieu er geen last van heeft?
Helemaal niks, in theorie klopt het 100%. In praktijk is het echter misleidend en stuurt het de discussie de verkeerde kant op. Ik droom wel eens dat ik de loterij win maar toen ik naar de bank ging om een hypotheek af te sluiten wilde de bank er geen rekening mee houden dat ik in de toekomst de hoofdprijs ga winnen.

Als de voorzitter van GroenLinks begint over de voordelen van een Hummer bij het parkeren in de Amsterdamse binnenstad dan zullen veel mensen zich ook op het hoofd krabben. Die Hummers zijn symbool van alles waar die partij tegen is. Parkeren heeft weinig met milieu te maken, maar je schept het verkeerde beeld om er zo over te praten.

Het is een beetje zwart-wit-denken maar zo werkt het publieke debat helaas. In de discussie heb je simplistisch gezien twee kampen: voor en tegen en die bedienen zich van simpele soundbites om hun mening duidelijk te maken. Zo zou het niet moeten werken maar het is wel zo. Als je de soundbites van het andere kamp gebruikt dan schept dat verwarring. Mensen, domme kuddendieren die ze zijn, houden niet van verwarring en kiezen voor het simpele standpunt. Verwarring scheppen over je eigen standpunten is daarom politiek gezien nogal onhandig. Ik ben niet tegen genuanceerde standpunten, in tegendeel, maar je nuance moet de hoofdboodschap niet in de weg zitten. De boodschap die nu wordt overgedragen is dat er niks mis is met het kraken/uitschakelen van encryptie. Kijk maar naar de titel van dit artikel: "het hoort er bij". Oftewel het is heel normaal en er is niks mis mee, niks te zien hier, doorlopen mensen.
Het is een beetje zwart-wit-denken maar zo werkt het publieke debat helaas.
Eeh, maar je doet er zelf hard aan mee. Jij laat het zo werken.
Ik zou zeggen, nuanceer je (oorspronkelijke) standpunt maar lekker. :) Het heeft inderdaad geen zin om met soundbites het oppervlak af te struinen. Laat die vergelijkingen met greenpeace en groenlinks dus ook maar weg. :)
[het komt toch over alsof de directeur van Greenpeace zegt dat hij geen probleem heeft met fossiele brandstoffen zolang het milieu er maar geen last van heeft.

Zo komt het inderdaad over; erg verwarrend.

[Reactie gewijzigd door JantjeKlaasen op 19 december 2016 17:52]

Ergens ben ik het wel met de privacy-organisaties eens, maar het hangt helemaal af van de invulling. Het liefst zou ik zien dat geheime diensten wél berichten kunnen ontsleutelen, maar het moet hen (voor ieder individueel geval) wel heel veel moeite/tijd/geld kosten. Alleen dán is op een vanzelfsprekende manier gewaarborgd dat geheime diensten dit middel spaarzaam inzetten en zijn sleepnet methodes onmogelijk. In feitte is dat vergelijkbaar met een telefoontap (althans, voordat we automatische spraakanalyse hadden) of iemand volgen in real life: het kan wel, als het écht nodig is, maar het kost wel mankracht & geld genoeg dat men het niet 'zomaar' doet.

De vraag is natuurlijk of dat is zoals geheime diensten het gaan gebruiken, ik vermoed van niet. Als een geheime dienst via soort 'brute force' een enkelwachtwoord/encryptiesleutel weet te achterhalen, zou ik daar niet zo'n probleem mee hebben: dat voldoet aan bovenstaande eis. Maar ga je op zoek naar een kwetsbaarheid in een encryptiealgorithme/stuk software, dan stelt dat een dienst meteen in staat communicatie massaal te ontsleutelen - en dat vind ik dan weer geen goede zaak.

Zelf ben ik absoluut geen expert in encryptie, maar... zouden we niet kunnen nadenken over een encryptiemethode die intrinsiek de eigenschap bevat dat ontsleuteling in individuele gevallen haalbaar is, maar alleen per individueel geval, met heel veel moeite, en alleen door iemand die bijv. een deel van de sleutel van het moederbedrijf (bijv. een WhatsApp) kan eisen? Dan kunnen we politie & geheime diensten gewoon verplichten échte kwetsbaarheden (i.e. die iedereen treffen) gewoon direct te melden, en mogen ze die individuele technieken (die duur & tijdrovend zijn) inzetten voor de écht ernstige gevallen. Als je het zo ontwerpt dat het ontsleutelen alleen haalbaar is als het moederbedrijf meewerkt, voorkom je ook dat het voor niet-overheden haalbaar wordt.

Er zal vast een hoop controverse op dit voorstel ontstaan en ik zeg ook niet dat mijn bovenstaande methode aan de eisen gaat voldoen, maar het lijkt me interessant na te denken over een versleutelingsmechanisme die de eisen forceert die je wilt hebben: alléén een overheid kan ontsleutelen, en alléén op kleine schaal.

[Reactie gewijzigd door casparvl op 19 december 2016 14:31]

Wat je voorstelt is in feite al mogelijk bij bijvoorbeeld WhatsApp - je hebt End-to-End encryptie die een eigen laag per gebruiker / gesprek regelt, en de HTTPS SSL-verbinding die de versleuteling tussen de servers van WhatsApp regelt. Die laatste laag kan WhatsApp zelf ontsleutelen en zou daarvoor ook de sleutel aan een geheime dienst kunnen aanleveren. De binnenste laag zal dan gekraakt moeten worden.

Echter, in de huidige situatie is het zo dat beide lagen qua keylengte dermate dik zijn dat ze nooit te kraken zijn, met hoeveel middelen je ook zou hebben. Je zou dan dus geforceerd de keylengte van de binnenste laag kleiner moeten maken om het wel kraakbaar te maken. De buitenste laag blijft dan moeilijk te kraken tenzij je de private key van WhatsApp hebt, de binnenste laag is met een beetje stevig brute-forcen nog wel ongedaan te maken.

Probleem hiermee is dat je dit nooit kunt bekrachtigen. Je zou WhatsApp kunnen dwingen om de encryptie af te zwakken natuurlijk; de kans is wel groot dat er dan een alternatief opstsaat (of populair wordt) waarbij die beperking er niet is. Dan moet je dus ook dergelijke apps actief gaan bestrijden in App Stores en voorkomen dat het via andere wegen bereikbaar is. Ik vrees dat dat een onhaalbare situatie is.
Na ja als ze het kunnen kraken, maar dat er praktisch een supercomputer nodig is om de versleuteling van 1 persoon te kraken is het naar mijn ogen sterk genoeg.

Als ze echt willen kunnen ze dan van een paar mensen mee lezen, maar de massa afluisteren is dan niet te doen.
Dat dwingt de geheime diensten zich dan te richten op de kopstukken met deze zware middelen.

[Reactie gewijzigd door hackerhater op 19 december 2016 15:35]

Dan lukt het nog niet. Want het protocol waar WhatsApp gebruik van maakt, maakt gebruik van onder andere PFS (Perfect Forward Secrecy).
Waarschijnlijk, maar mocht het ze lukken de encryptie te brute-forcen, maar kost het zoveel kracht dat ze het maar bij een paar kunnen doen.
Dan zou ik er persoonlijk wel mee kunnen leven ;)
Mee eens, maar dat is lastig in te schatten - je weet niet exact wat voor middelen veiligheidsdiensten voor handen hebben (en dat gaan ze ons ook niet vertellen), en daarnaast is dat een moving target.

Stel dat we de encryptie zo verzwakken dat het met state-of-the-art supercomputers in een paar dagen te kraken is. Momenteel is het dan dus absoluut niet haalbaar om sleepnet-technieken toe te passen en lukraak alles af te luisteren. Maar hoe zit dat volgende week? Of volgend jaar? Wanneer moet de encryptie dan ge-upgrade worden?

Quantumcomputers kunnen daar ook nog een extra deuk in slaan. En het probleem is dat die technologie niet alleen aan inlichtingendiensten voorhanden is natuurlijk, criminelen kunnen er net zo goed over beschikken.

Dat is één van de redenen dat er tegenwoordig vaak met 256 bits AES gewerkt wordt - zelfs met flinke technologische sprongen en een best-case inschatting van wat quantumcomputers zouden kunnen doen voor het kraken van encryptie is het dan nog veilig.
Dat is inderdaad het lastige.
Wat in mijn ogen het belangrijkste is dat sleepnet technieken niet mogelijk zijn.
Dat ze een enkeling kunnen afluisteren door de sleutels te brute-forcen met een super-computer soit.
Puur dat de veiligheids-diensten gedwongen worden deze middelen bedachtzaam in te zetten puur omdat het zoveel kracht kost.

Dat ze dus moeten kiezen om iemand als Kim Jong-un wel af te luisteren, maar Ali uit Rotterdam niet.
De overheid van Iran is ook een overheid , en die van noord korea etc....
Dit is dus allemaal orealistisch , encryptie is heel zwart wit.... wel of niet kraakbaar binnen een redelijkte tijd.
onbevredigend voor heel veel mjensen , maar ikmdenk dat je het dus ook niet daar moet zouden.
criminelen en terroristen hebben vaak problemen met psygoses en impuls controle...
dat is veleen malen makkelijker te analyseren dan crytografie , aleen zul je voor dat deze zaken mankracht nodig hebben die verder kijkt dan hun schermpje , en dat is het echte probleem want dat kost geld.
"Zo is het bijvoorbeeld mogelijk om het recht op bescherming van de persoonlijke levenssfeer in te perken met een beroep op nationale veiligheid of het voorkomen van strafbare feiten. Een dergelijke wettelijke inbreuk komt dan niet neer op een schending volgens Böhre."

Die man snapt er geen bal van, een rechtmatige inbreuk is nog altijd wel een inbreuk, misschien geen schendig maar wel een inbreuk. Daarnaast rechtmatig betekend nog niet dat die inbreuk moreel verantwoord is.

"Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht", daarmee stelt het EVRM duidelijk dat inmenging (aka inbreuk) wel mogelijk is, maar geoorloofd is in bepaalde gevallen.

Maar goed, waar meneer helemaal de plank mis lijkt te slaan, is dat hij denkt dat de techniek de wet moet reflecteren...
- Daarvan is ook in de oude situatie (waar hij naar verwijst) nooit het geval geweest, dat de overheid het recht heeft om je rechten te schenden in bepaalde gevallen, heeft nooit betekend dat je je er niet tegen mag wapenen.

Het recht op huisvrede (oa beschermt door 8 evrm), mag worden gebroken met een arrestatie of huiszoekingsbevel (of bevel tot binnentreden). Echter, je bent niet verplicht kasten en deuren te openen of enige medewerking te geven in welke vorm dan ook. De overheid moet (net zoals nu bij encryptie) dan maar zelf een andere manier vinden om de inbreuk uit te voeren.

Wat hij feitelijk voorstelt, is dat slotenfabrikanten en deuren, het mogelijk moeten maken voor de politie om binnen te treden. Dat is natuurlijk belachelijk!
Als jij jezelf in een stale cubus wilt opsluiten met een deur die niet in te beuken valt, moet de politie maar om de deur heen werken. Wat hij nu zegt is dat het dan rechtmatig zou zijn als de overheid de deur (techniek) laat verzwakken, om makkelijker bunkers binnen te komen.


Dat gezegd hebbende:
Het is niet zo dat de er niks voor te zeggen valt om encryptie te krijgen/omzeilen. Hij slaat echter totaal zijn plank mis dat de techniek inbreuken van de overheid mogelijk moet maken. Dat is nooit zo geweest, je hebt je altijd mogen wapenen tegen inbreuken van de overheid, ook als deze rechtmatig zijn.

[Reactie gewijzigd door Ornias op 19 december 2016 21:33]

Dat is een onvolledige weergave van het het EVRM, dat stelt:

There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

Het recht wordt niet gebroken maar beperkt door in de wet voorgeschreven omstandigheden. Dat geldt ook voor de andere voorbeelden die aanhaalt zoals huisvredebreuk - er is geen inbreuk op het recht, maar het recht is beperkt en strekt dus niet oneindig ver zoals jouw post doet suggereren.

Zo zullen er in voorkomende gevallen ook conflicten ontstaan tussen de verschillende mensenrechten en die moeten ook opgelost worden; dat lukt niet als je rechten als absolute normen stelt (bijv. privé eigendom betreden om iemand uit een zwembad te redden).
*edit*
Deze discussie gaat helemaal niet meer op mijn hoofdpunt, maar op losse interprentaties van wetten. Daar heb ik geen zin meer in.

Zonder Benkei321 te kakken te zetten, ik schrijf even een korte ongenuanceerde reactie, geen opstel. Verder is het EHRM punt totaal niet het relevante deel van mijn betoog dus ik ga daar ook niet het merendeel van de aandacht aan besteden.

[Reactie gewijzigd door Ornias op 20 december 2016 10:42]

Jij zegt: De hele lijst met gelul heb ik bewust achterwege gelaten, omdat dit zo ruim is dat het neer komt op: "Zolang een democratisch bestuur dit goed dunkt. "

Dat is dus niet zo en ik vind het jammer dat je daar dan zo ongenuanceerd over denkt. Als je kijkt naar de tekst: There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.

Er is om te beginnen sprake van een limitatieve opsomming op welke gronden dit recht beperkt kan worden:

1. nationale veiligheid
2. openbare veiligheid
3. economisch welzijn van het land
4. voorkomen van wanordelijkheden en strafbare feiten
5. bescherming van de gezondheid
6. bescherming van de goede zeden
7. bescherming van rechte en vrijheden van anderen

En daar stopt het niet. Want zo'n beperking moet noodzakelijk zijn. Oftewel, als er andere middelen zijn om hetzelfde te bereiken, dan mag het niet, of met minder ingrijpende handelingen, dan moet je voor de minder ingrijpende kiezen (subsidiariteit en proportionaliteit). Het moet ook passen in een democratische samenleving. Beperking die afbreuk doen aan de democratie, mogen dus ook niet. Tot slot richt het artikel zich heel specifiek tot de overheid (public authority) wat aangeeft dat alleen zij beperkingen mogen opleggen en dat alleen in overeenstemming met democratisch tot stand gekomen wetten (in accordance with the law).

Het Hof voor de Rechten van de Mens lukt het heel aardig om regelmatig overheden die te ver doorschieten op de vingers te tikken waardoor beperkingen opgeheven moeten worden.

Maar waar ik eigenlijk over viel is dat je er een verdrag bij haalt en een weerspiegeling er van geeft die niet juist is. Vervolgens dat af doen als gelul (in jouw ogen) klinkt lekker "I don't give a fuck", maar misschien moet je mensen dat zelf laten bepalen i.p.v. de feiten onvolledig te weerspiegelen en te doen alsof het volledig is.

Het is namelijk geen gelul, maar juist het belangrijkste onderdeel van het wetsartikel omdat het regelt wat een overheid wel en niet mag.

Overigens erg eens met dit: Als Privacy stichting dien je over het hardst van de snede te strijden, waarom? Omdat je puur het privacy belang vertegenwoordigd.

Als 2 partijen ergens om strijden en 1 gaat een gemiddelde oplossing aanvoeren als alternatief in het debat... eindigd het resultaat dichter bij de andere partij.


Het blijft natuurlijk jammer dat we in een samenleving leven waarin de publieke discussie niet op inhoud gaat, maar op basis van machtsverhoudingen waardoor deelnemers aan het debat gedwongen worden positie in te nemen aan de extremen van het spectrum. Dat leidt niet per se tot het beste of meest redelijke resultaat, maar is slechts een weerspiegeling van de status quo.
Ik was inderdaad onduidelijk en kort door de bocht.

Daarnaast, is het artikel zelf redelijk gelul. Ja dat durf ik zo te stellen. Het is namelijk zo geschreven dat het EHRM er alles in kan lezen wat ze willen en de verdragshoudende partijen ook.

Gelul is kortaf en bot, maar ik zit hier niet om een opstel te schrijven.
Daarnaast is het ook totaal niet het relevante deel van mijn betoog dus zoals je ziet ga ik daar ook niet meer verder op in.

De kritiek van Arnoud was veel meer inhoudelijk en heb ik dus wel meegenomen. De rest is gewoon een side point aanvallen omdat het hoofdpunt wel goed is. Verder voor mij niet relevant.
Als een 'schending' van een grondrecht geoorloofd is, dan spreken juristen niet meer van een schending maar van een inperking. De term schending heeft de implicatie van onrechtmatig.
Goed punt Arnoud!
Ik simplificeerde het inderdaad teveel!
Ik vind dat ze het enerzijds wel moeten kunnen kraken, maar wel achteraf om bewijs te verzamelen. Niet vooraf klakkeloos alles en iedereen (kunnen of willen) hacken in de hoop dat je een miniem klein percentage meer kans maakt dat er een zure appel tussen zit. Achteraf bewijs verzamelen o.i.d. is in mijn ogen vanzelfsprekend, maar verder is het in mijn ogen een forse inbreuk op iemand's privacy.

Het gaat er ook niet om of je wat te verbergen hebt... de meeste mensen hebben dat denk ik niet. Maar het gaat er wel om dat je ook gewoon een stukje privacy hebt en hóórt te hebben, zonder dat de overheid of overheidsdiensten daar met hun veel te grijpgrage tengels aan zit. Want dan is de volgende stap, dat men gaat controleren of je je wel gedraagd om te voorkómen dat je (misschien) iets gaat doen, ook niet bijzonder groot meer.
Achteraf is op de lange duur alles te kraken dus pas op met wat je zegt. Wil je het op de korte duur, dan komt dat wel goed uit bij mass surveillance. En dan krijg je DDR praktijken.

Ik heb niets tegen targeted surveillance, ook niet als daar cryptografie voor gebroken moet worden. Zo werkt goed politiewerk al eeuwenlang.

Ik heb wel iets tegen geld verkwisten, mass surveillance (sleepnetten, bijvangsten), en economische spionage.
Het gaat er ook niet om of je wat te verbergen hebt... de meeste mensen hebben dat denk ik niet.
Iedereen heeft iets te verbergen. Mensen die beweren van niet, hebben niets nuttigs te melden. Plus, post je anders even al je prive gegevens als reactie? Inclusief de komische naaktfotos graag.
dat komt omdat encrypty niet zo goed geregeld is, (met dank aan NSA). bij goede encryptie ver vers je de key pairs iedere keer weer. in de praktijk wordt dit bijna nooit gedaan, bij de populaire encryptie methoden. Dus dan is het net als dvd bleu ray kraken, 1 key en je kunt alle whatsapps ontsleutelen.
... tsja

En het maakt weinig uit voor terroristen, die gebruiken geen whatsapp of vaste toestellen.
Enkel het maakt uit voor jou, en voor bedrijven en bedrijfs geheimen. Want dat laatste is zeer interresant voor overheden. Uit de wiki leaks schandalen, blijkt bedrijfs spionage een van de gewoonste activiteiten van inlichtingen diensten... dus... tsja ik ben wel voorstander van sterke encryptie en ben tegen de industriele ideeën dieven
dat komt omdat encrypty niet zo goed geregeld is, (met dank aan NSA). bij goede encryptie ver vers je de key pairs iedere keer weer. in de praktijk wordt dit bijna nooit gedaan, bij de populaire encryptie methoden. Dus dan is het net als dvd bleu ray kraken, 1 key en je kunt alle whatsapps ontsleutelen.
... tsja
Incorrect, WhatsApp gebruikt het Signal Protocol (voorheen AXOLOTL/double-ratchet).
Per chat wordt een andere initial key gebruikt, en voor elk bericht dat je in die chat verzendt wordt ook een andere sleutel gebruikt. Dat is het ratcheting element, zoals open whisper het omschrijft.

Hierdoor krijg je Perfect Forward Secrecy én Future Secrecy. Door de sleutel van één bericht te kraken kan je berichten uit het verleden niet lezen, maar ook berichten in de toekomst niet - en als je überhaupt al heel ver weet te komen met je kraak, dan nog heb je enkel toegang tot de chats met die specifieke contact; niet tot anderen.
Maar om zo ver te komen... Dat is naar de huidige maatstaven en computer kracht gewoonweg al onmogelijk. De kans dat ze ook maar één bericht uit een chat weten te kraken (zonder toegang tot de chat database) is al heel klein en komt eigenlijk neer op "extreem veel mazzel hebben" - om er 2 te kraken zou al een "mazzeltje" van astronomische proporties zijn.

Lees de techsheet:
https://www.whatsapp.com/...p-Security-Whitepaper.pdf
Citaat:
Once a session has been established, clients exchange messages
that are protected with a Message Key using AES256 in CBC
mode for encryption and HMAC-SHA256 for authentication.

The Message Key changes for each message transmitted,
and is ephemeral, such that the Message Key used to
encrypt a message cannot be reconstructed from the session
state after a message has been transmitted or received


The Message Key is derived from a sender’s Chain Key that
“ratchets” forward with every message sent. Additionally, a new ECDH
agreement is performed with each message roundtrip to create a new
Chain Key. This provides forward secrecy through the combination
of both an immediate “hash ratchet” and a round trip “DH ratchet.”
Bonusmateriaal:
https://eprint.iacr.org/2016/1013.pdf

[Reactie gewijzigd door WhatsappHack op 19 december 2016 15:36]

Achteraf is op de lange duur alles te kraken dus pas op met wat je zegt. Wil je het op de korte duur, dan komt dat wel goed uit bij mass surveillance. En dan krijg je DDR praktijken.
Hangt er vanaf hoe je daar tegenaan kijkt. Als je er vanuit gaat dat er in de toekomst blijkt dat er wél tekortkomingen in de gebruikte technieken of algoritmen zitten, dan wordt het tegen die tijd kraakbaar.

Qua wiskundige eigenschappen kun je echter wel stellen dat om de moderne encryptiemethoden te brute forcen je meer energie nodig hebt dan de zon gedurende zijn levensduur uitgestraald heeft - met andere woorden: dat is gewoon onkraakbaar. Ook in de toekomst. Zeker met key renegotiation en forward secrecy is het onhaalbaar, omdat je elk bericht afzonderlijk zal moeten kraken met al die rekenkracht.

Overigens ben ik het er helemaal mee eens dat encryptie kraken bij de taak van geheime diensten hoort. Goed dat ze het proberen. En daarbij hoop ik ook dat als er daadwerkelijk gaten aangetroffen worden, deze binnen afzienbare tijd ook publiek gemaakt worden zodat het gefikst kan worden. Geheime diensten moeten zelf ook veilig kunnen communiceren natuurlijk...
Want ooit waren we zo trots dat de gealieerde de encryptie van de Duitsers hadden gekraakt.
Afluister en tappen was toen ook orde van de dag.

En heden ten dage doet men zo verbaast dat inlichtingen diensten dit nog steeds doen.
Dat is een beetje de wereld op zn kop.
Je bent onschuldig tot je schuld bewezen is.
Dus om iemands schuld te kunnen bewijzen, moet je van diegene (die dan onschuldig is), bewijzen kunnen verzamelen.
En als iemand bewezen schuldig is, hoef je geen bewijzen meer te verzamelen.
Maar ja idd moeten ze niet zomaar van alle onschuldigen bewijs kunnen verzamelen, maar alleen van verdachten (wat dan verdacht is, is natuurlijk wel discutabel).
Je bent onschuldig tot je schuld bewezen is.
Dus om iemands schuld te kunnen bewijzen, moet je van diegene (die dan onschuldig is), bewijzen kunnen verzamelen.
En als iemand bewezen schuldig is, hoef je geen bewijzen meer te verzamelen.
Binnen het Nederlandse (en Europese) rechtssysteem ben je onschuldig tot schuld is bewezen, inderdaad. Dat hoeft niet overal te gelden, maar ook die landen hebben geheime diensten die bezig zijn met het kraken van encryptie.
Het mooie is dat er voldoende bewijs te verzamelen is zónder te hacken om een redelijke verdenking te kunnen verkrijgen, waarna met een gerechtelijk bevel gericht gehackt zou kunnen worden. Iemand die online een misdaad pleegt (een hack, DDoS, wat dan ook) laat ook sporen achter.
Als je moet hacken om tot een verdenking te komen, is er naar mijn idee iets goed mis met het onderzoek dat verricht wordt.

Maar als iemand 'bewezen' schuldig is, kan je nog steeds meer bewijs verzamelen om de zaak te sterken. Het is in die zin voor de aanklagende partij altijd beter om méér bewijs te hebben, dan precies genoeg; niet alle bewijs zal ook toelaatbaar zijn, of mogelijk slechts indirect bijdragen aan de overtuigende factor.
Meer bewijs hebben dan strikt noodzakelijk is in die situaties handig, mits op correcte wijze verkregen. Het maakt de kans op succesvolle vervolging groter.
En wat werkt daarin beter dan de gegevens van de aangeklaagde?
... (wat dan verdacht is, is natuurlijk wel discutabel)
Hoeft niet, wat iemand definieert als verdachte is het Wetboek van Strafvordering vrij duidelijk in artikel 27 beschreven. :)
Ja, daar ben ik het grotendeels mee eens.
Maar iemands crypto kraken wil niet zeggen dat je zn machine hoeft te hacken, het kan ook gaan om versleuteld dataverkeer aftappen bijvoorbeeld.

Wat de term "verdachte" betreft; grote kans dat ik minder weet van recht dan jij, maar kijkend naar Artikel 27 is het mij geenszins duidelijk. Bij "een redelijk vermoeden van schuld" vraag ik me dan af wat onder "redelijk" wordt verstaan.
Misschien is dat weer elders in de wet verder uitgediept, maar mijn ervaring in het dagelijks leven is dat dat heel subjectief is.
Al ga ik er vanuit dat politie/rechters dat tot nu toe "redelijk" goed doen. Maar het is wel belangrijk dat ze dat ook op dit nieuwere terrein goed blijven doen.
Wat de term "verdachte" betreft; grote kans dat ik minder weet van recht dan jij, maar kijkend naar Artikel 27 is het mij geenszins duidelijk. Bij "een redelijk vermoeden van schuld" vraag ik me dan af wat onder "redelijk" wordt verstaan.
Misschien is dat weer elders in de wet verder uitgediept, maar mijn ervaring in het dagelijks leven is dat dat heel subjectief is.
Al ga ik er vanuit dat politie/rechters dat tot nu toe "redelijk" goed doen. Maar het is wel belangrijk dat ze dat ook op dit nieuwere terrein goed blijven doen.
Daar heb je wel gelijk in.
Ik ben zelf ook geen expert op gebied van recht (ben zelf programmeur), maar ik heb het altijd gelezen als 'zolang aannemelijk is dat iemand met een strafbaar feit te maken heeft (gehad)'.
Vanuit mijn context zie ik dat als 'Er van uitgaande dat de persoon in kwestie onschuldig is, moet er bewijs zijn gevonden waarmee de betrokkenheid dan wel onschuld van betreffende persoon in twijfel getrokken kan worden binnen de context van het onderzoek'.
Maar ook dat is inderdaad weer subjectief...
Toch minder duidelijk dan ik altijd dacht!
Excuus... ik schreef 't een beetje knullig op zie ik nu. Ik bedoel inderdaad hacken nádat je verdachte bent in een zaak, en men dus actief op zoek is naar bewijs dat je schuld ook bewijst. In dat opzicht kan ik begrijpen dat er gehackt wordt. Ik snap ook dat als je onschuldig bent tot schuldig bevonden, dat dat dan lastig wordt, maar je moet als veiligheidsdienst tóch bewijs verzamelen op de een of andere manier. Dat zal altijd wel een gevoelig punt blijven denk ik.

Maar klakkeloos hacken en data vergaren omdat er misschien wel een gek tussen zit die schuldig is aan iets... dat gaat me een brug te ver. En als ik kijk naar hoe veiligheidsdiensten en de politiek (waaronder ook Plasterk e.d.) daar mee om gaan, dan huiver ik bij het idee wat ze zelf zo graag willen. En dat begint toch wel flink sterk op totaalcontrole over de burger te lijken.
.
Maar klakkeloos hacken en data vergaren omdat er misschien wel een gek tussen zit die schuldig is aan iets...
Of in toekomst schuldig raakt aan iets.

Tot nog toe zijn de gesprekken onschuldig, maar we blijven luisteren want wellicht komt er een dag dat Stresstak criminele plannen gaat bespreken. En wij willen voorbereid zijn.
"Doordat er via een uitzondering inbreuk op het recht op privacy wordt gemaakt, betekent nog niet dat er een schending plaatsvindt", aldus Böhre.
Is dat geen kwestie van semantiek? Wat is het verschil tussen een inbreuk en een schending dan?
Een inbreuk op het recht op privacy kan onder omstandigheden geoorloofd zijn, zodat er geen sprake is van een schending van in dit geval art. 8 EVRM. In lid 2 van dat artikel staat aangegeven onder welke omstandigheden een inbreuk gerechtvaardigd kan zijn.

Een schending is dus altijd een inbreuk maar een inbreuk hoeft niet altijd een schending te zijn.

[Reactie gewijzigd door Lennardnl op 19 december 2016 13:51]

Het aftappen van jouw telefoon door de politie nadat deze een rechtsgeldige toestemming heeft verkregen van (ik geloof) de rechter-commissaris, is geen inbreuk op jouw recht op privacy. Hoogstens een (niet juridische) inbreuk op je privacy. Je rechten zijn echter niet aangetast, want die heb je niet onder die omstandigheden.
Een telefoontap is zeker wel een inbreuk op artikel 8, lid 1, EVRM. Je recht op privacy wordt in dat geval immers gekwetst.
De toestemming is juist bedoeld om lid 2 in te vullen en ervoor te zorgen dat de inbreuk geen schending vormt.

"Phone interceptions interfere with the right to private life and the right to correspondence under article 8 para 1 ECHR"
http://echr-online.info/p...-light-of-article-8-echr/

Zit mobiel en kan zo snel geen duidelijkere EHRM jurisprudentie erover vinden.
Ik ben bekend met die jurisprundentie. Alhoewel er sinds ik afgestudeerd ben vast wel het één en ander bijgekomen is (2004 alweer). Het is echt geen juridische schending of juridische inbreuk van een recht als de overheid rechtmatig gebruik maakt van tot haar beschikking staande wettelijke middelen. De tekst van het verdrag is ook redelijk duidelijk; het is inbreuk (interference) ... tenzij...

Het is enigszins verwarrend omdat we in het normale taalgebruik rechtmatige middelen (aftappen) wel degelijk ervaren als een "inbreuk" op onze privacy in de niet juridische zin van het woord (ik zou ook niet blij zijn als ik afgeluisterd wordt en mijn intieme gesprekken met den vrouw gehoord worden door een vreemde, ongeacht of dat terecht is of niet omdat ik coke handel o.i.d.). Oftewel, je recht op privacy is beperkt (en dus niet absoluut) en kan door wetten verder ingeperkt worden.
Een "inbreuk op het recht" is natuurlijk nog geen feitelijke schending.
Maar zo ver wil men het wel laten komen, blijkt maar weer.
Nou het is uitzonderlijk dat een inbreker via de schoorsteen binnen komt en daarom is het geen schending :? Ofzo... heel vaag inderdaad.
Privacy First: "Wel zou het kraken alleen in individuele gevallen mogen plaatsvinden, zodat dit geen gevolgen heeft voor een grote groep gebruikers".

Als deze organisatie had opgelet de afgelopen paar jaar dan was ze vast wel opgevallen dat alles wat afgeluisterd kan worden, ook massaal wordt afgeluisterd. Het is naïef om te denken dat alleen data van bepaalde verdachten wordt bewaard. Juist programma's zoals PRISM hebben dit aangetoond. Het lijkt erop dat Privacy First de techniek niet helemaal begrijpt en/of niet helemaal snapt hoe encryptie werkt.
Je kan mogelijk de encryptiesleutels van één verdachte kraken, dit kost tijd en werk en is hierdoor niet geschikt om "de massa" af te luisteren maar wel het individu.
Indien je met achterdeurtjes gaat werken zal het inderdaad niet meer enkel toegepast worden op het individu maar op diezelfde massa.
De programma's die massaal data verzamelden maakt geen gebruik van hacks of decryptie maar van directe toegang tot de infrastructurr van providers of directe toegang tot communicatie kabels. Dat is significant anders omdat je dan met minimale inspanning enorme hoeveelhden data kan onderscheppen.
Het is echter niet evident om onzettende hoeveelheden data te decrypten.
Dat is vaak een heel tijdrovend en kostbaar proces zelfs als je zwakke plekken in encryptie hebt gevonden en daarom eigenlijk alleen geschikt voor gebruik tegen individuele gevallen.
Ja, het is inderdaad naief om dat te denken.
Maar dat denken zij niet.
Zie je quote, er staat "mogen", niet "kunnen".
Ze geven aan wat wenselijk is.
En het is in sommige gevallen goed mogelijk alleen individuele crypto te kraken, bijvoorbeeld door met een hardware keylogger iemands crypto wachtwoord af te vangen.
edit: of een supercomputer een week lang laten rekenen om iemands key te bruteforcen.

[Reactie gewijzigd door N8w8 op 19 december 2016 14:21]

Ligt het nou aan mij of zijn al deze "privacy" organisaties plotseling van hun geloof gevallen?

" In het ideale geval meldt de geheime dienst deze kwetsbaarheid meteen bij softwareontwikkelaar. Zonder deze melding lopen de miljoenen WhatsApp-gebruikers risico, bijvoorbeeld omdat het lek ook door een ander gevonden kan worden."

Maar waarom zouden ze deze kwetsbaarheid melden nadat ze net al die moeite hebben gedaan om hem te vinden, bovendien kunnen ze hem dan de volgende keer (mogelijk) weer gebruiken.
Dit is in het verleden al meermaals voorgekomen, en het lijkt me dan ook erg naief te denken dat dat nu ineens anders zal zijn.

Van privacy organisaties zou je toch verwachten dat ze er dieper over hebben nagedacht.
Wat is het verschil tussen een overheidsorganisatie die de beveiliging probeert te hacken voor onderzoek, of een crimineel die de beveiliging probeert te hacken om je te kunnen chanteren? Of een hacker die zich gewoon stierlijk verveelt, hackt, en dit enkel meld in de hoop een bonus te krijgen of gewoon voor de eer.. natuurlijk zal de overheid het niet melden. Maar de crimineel ook niet....
Dat jij het niet eens bent met de uitspraak betekent niet dat ze er niet over hebben nagedacht.

Ze brengen alleen nuance aan in hun uitspraak (nuance is een groot goed tegenwoordig). Het is niet 'het werk' of de taak van inlichtingendiensten om software en diensten te gaan controleren op kwetsbaarheden. Ze zijn geen auditbedrijf, noch bug hunters. Hun taak is om inlichtingen te vergaren zodat andere overheidsdiensten kunnen handhaven en dat kunnen ze doen door kwetsbaarheden te vinden, al dan niet terwijl ze daar actief naar op zoek waren. Dat ze, nadat ze die vinden, deze ook melden bij de ontwikkelaars is daarna alleen maar mooi meegenomen en wel zo veilig voor het de gebruikers. En als je die nuance in woorden zou willen uitdrukken zou je dat bijvoorbeeld kunnen verwoorden als:
"In het ideale geval meldt de geheime dienst deze kwetsbaarheid meteen bij softwareontwikkelaar. Zonder deze melding lopen de miljoenen WhatsApp-gebruikers risico, bijvoorbeeld omdat het lek ook door een ander gevonden kan worden."
Ze gaan er nog steeds van uit dat het kraken veel rekenkracht zal vergen, zelfs met een zwakheid in het protocol. (Die zwakheid zal het dan mogelijk maken om de encryptie te kraken binnen een tijd die praktisch is voor een opsporing, i.p.v. vele malen de huidige leeftijd van het heelal).

Ik heb er zelf geen probleem mee wanneer ze een methode vinden om de encryptie van één persoon te kraken door een mainframe een dag te laten stampen. Dat zorgt ervoor dat ze het alleen gericht in kunnen zetten tegen personen waarbij al een gerede verdenking is. Dat is van een totaal andere orde dan lukraak berichten te loggen van talloze gebruikers.
Een dergelijk lek zal voor criminelen niet direct aantrekkelijk zijn, omdat het erg veel moeite kost om de berichten van één persoon te kraken. Op het moment dat het ook voor criminelen praktisch toepasbaar is (door voortschrijdende technologische ontwikkelingen, waardoor wat nu een dag tijd op een mainframe kost nog maar een paar uur op een high-end PC vergt) zullen ze geneigd zijn om de kwetsbaarheid te melden.
Ligt het nou aan mij of zijn al deze "privacy" organisaties plotseling van hun geloof gevallen?
Het is kersttijd. Wellicht dat al die organisaties straks ook nog naar elkaars Kerst- en Nieuwjaarsborrel gaan. ?
Inderdaad, de geheime dienst houdt dat liever geheim, tegen het publiek belang in.
Het is toch gewoon waar wat daar staat, dat het in het ideale geval WEL gemeld wordt?
Ze zeggen niet dat dat de realiteit is, maar wijzen op dit probleem.
Lekker is dit... een privacyorganisatie die het niet erg vindt als iemand inbreuk pleegt op onze privacy. Ooh well, dan verwijder je whatsapp gewoon.
Het gaat over alle chatapps. WhatsApp, Signal, Telegram, Wire; et cetera. Ze willen ze allemaal kraken; dan is het beter om in de massa op te gaan met bewezen encryptie dan een tegenhanger met marginale presence.

Of dat gaat lukken weet ik niet, als ik naar m'n eigen onderzoeken naar Signal en WhatsApp en die van andere kijk, is de kans groter dat ze het operating system van je telefoon weten te kraken om toegang te krijgen dan de kans dat ze deze encryptie weten te kraken.
Hoop toch echt dat het ze niet lukt... De veiligheidsdiensten hebben genoeg bewijzen vergaard dat er aanslagen zouden gepleegd worden en toch kunnen ze ze niet voorkomen.
Aan de andere kant hebben ze er ook genoeg wél voorkomen. Dat is de pest en waarom ik wel snap dat een vorm van toegang op enige wijze *gewenst* is. Maar het is toch een gevecht dat niet te winnen is. Het is ook altijd een tweezijdig probleem.

Als je brakke encryptie gaat forceren, dan pakken criminelen en terroristen wel gewoon iets dat wél sterk en bewezen is. Als je illegaal met AK-47's en/of 400KG cocaine in je auto rondrijdt, dan is een laagje encryptie wel je minste zorg.
Wie heeft er dus als enige weer last van? Juist, de onschuldige burger.

Als de inlichtingendiensten een methode hebben om met veel moeite, pijn en kosten de chats van een specifiek persoon te lezen: dan zou ik daar niet zo wakker van liggen. Sleepnetten zijn dan niet mogelijk, en ze moeten heel goed nadenken en wat bewijs zoeken voordat ze überhaupt overgaan tot het proberen te kraken van de communicatie van deze persoon. Dat zorgt voor een paar mooie failsafes en is een soort win-win situatie.

... Al is ook daar weer een uitzondering: mensen die niet per definitie crimineel zijn, maar in een omgeving wonen waar de (corrupte) overheid niet te vertrouwen is en derhalve moeten vrezen voor hun leven als ze willen praten over bepaalde ideetjes of met buitenlandse pers/overheden. Voor hen staat zo'n bug niet gelijk aan privacy schending, maar aan levensgevaar. En om *die* reden hoop ik dat dit protocol niet gekraakt wordt. Dat criminelen en terroristen er ook gebruik van kunnen maken: dat zij dan maar zo, die hebben altijd al manieren gehad om veilig te communiceren.
"Aan de andere kant hebben ze er ook genoeg wél voorkomen."

So they say...

Ik begrijp dat bepaalde informatie niet zo maar openbaar gemaakt kan worden (lopend onderzoek, inkijkje in de werkwijze van de dienst, etc.), maar het stadium dat dit soort uitspraken op de blauwe ogen geloofd worden zijn we - hopelijk - toch wel voorbij. Want als er een ding duidelijk is geworden de laatste jaren is dat zowel de inlichtingendiensten als de politiek wat dit soort issues betreft voor geen meter meer te vertrouwen zijn....
Naja... Aangezien we er zelf weinig anders aan kunnen doen buiten het voorzichtig gebruiken en uiten van elektronica, zeg ik altijd maar:

Prachtig voorbeeld van de slechte verneuken het voor de goeie.
Je hebt privacy van grote groepen mensen en je hebt de privacy van een individu die er van verdacht wordt een strafbaar feit te hebben gepleegd of te willen plegen. Privacy-organisaties zijn er om de privacy van iedereen in het algemeen te beschermen. Dat er inbreuk gemaakt kan worden op de privacy van personen tegen wie een gerede verdenking bestaat is bij wet geregeld
Ik heb in ieder geval liever dat een geheime dienst probeert een encryptie protocol te kraken dan dat de overheid dwingt de leverancier een achterdeurtje in te bouwen. Kraken kan theoretisch iedereen, maar via regels afdwingen is voorbehouden aan de overheid: door met regelgeving encryptie te verzwakken maakt de overheid daar misbruik van.
"Het kan via het doorbreken van de encryptie, maar bijvoorbeeld ook door een deal met Whatsapp te sluiten of apparaten te hacken en op die manier aan berichten te komen"

Niet te snel...

Ben het wel met je eens hoor, ik heb ook liever dat er geen backdoor(s) in gebouwd worden. Dat heeft altijd meer nadelen dan voordelen.

Ben alleen bang dat het de makkelijkste oplossing is voor overheden en dat ze dat dus overal eerst gaan proberen. En stel ze krijgen een back-door in whats-app, wat houdt ze dan tegen om dezelfde back-door te gebruiken in alle messaging app's die van het signal protocol gebruik maken.

[Reactie gewijzigd door Byron010 op 19 december 2016 14:28]

Dat zou wel een aanpassing van de huidige implementatie van Whatsapp betekenen, omdat het nu E2E encryptie is.
End-to-End encryptie doormiddel van het signal protocol.

Dus ja, maar daar gaat het juist om.

[Reactie gewijzigd door Byron010 op 19 december 2016 14:46]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*