×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

AustraliŽ wil toegang tot versleutelde communicatie afdwingen

Door , 86 reacties, submitter: supestw

De Australische overheid wil zijn wetten moderniseren om internetbedrijven te dwingen toegang te geven tot versleutelde communicatie. Volgens de minister-president is tijdens de G20-top afgesproken dat er meer gedaan moet worden tegen terroristische communicatie online.

De Australische minister-president Malcolm Turnbull zei vrijdagochtend dat het land niet kan toestaan dat terroristen, pedofielen en drugshandelaars 'in het donker' kunnen opereren op internet. Volgens hem moeten de regels die voor telecombedrijven gelden om medewerking af te dwingen bij het opvragen van communicatie, ook gelden voor bedrijven als Facebook, Google, WhatsApp en Telegram.

Hoe de overheid toegang tot versleutelde communicatie wil afdwingen maakte de minister-president niet duidelijk. Het gaat volgens hem in ieder geval niet om een verplichting voor bedrijven om backdoors in te bouwen, schrijft de Sydney Morning Herald. Een senator viel Turnbull bij met het uitspreken van de hoop dat techbedrijven meewerken met de overheid om protocollen op te stellen voor het delen van informatie. Hij zei bereid te zijn nog dit jaar een wetsvoorstel in te dienen om dit desnoods af te dwingen.

Meer landen willen toegang tot versleutelde communicatie. Door de invoering van end-to-end-encryptie is het online berichtenverkeer van verdachten voor opsporingsdiensten niet meer toegankelijk. Het onderwerp stond ook op de agenda van de recente G20-top, volgens Turnbull.

Door Olaf van Miltenburg

NieuwscoŲrdinator

14-07-2017 • 07:37

86 Linkedin Google+

Submitter: supestw

Reacties (86)

Wijzig sortering
"Het gaat volgens hem in ieder geval niet om een verplichting voor bedrijven om backdoors in te bouwen, schrijft de Sydney Morning Herald."

Ja eh, hoe wil je t dan doen? :/
Je moet iets hebben als een masterkey, de private keys uploaden, een methode om de app de berichten te laten uitspugen, of een kopietje van elk bericht in plain-text maken.

Allemaal backdoors...
Elke methode die doelbewust is ingebouwd om goed ontworpen E2EE ongedaan te maken is in principe een backdoor.

Ze nemen maar lekker de telefoon in beslag en proberen die te hacken, wetsvoorstellen als dit zijn gestoord en ook onhaalbaar als je communicatie veiligheid wil.

En dan ook nog... Dan gebruiken terroristen en criminelen een (zelfgemaakte) app die dus niet voldoet aan die eisen. Wie is er wederom als enige de lul? Juist, de onschuldige burger wiens privacy al veel te hard onderruit is gehakt de afgelopen jaren.
T stomme is dat zulke apps ook prima aanvullend kunnen zijn... Dus een app die een keypair maakt, die wissel je uit, berichten versleuteld, en vervolgens kan je ze pasten in je app naar keuze of zelfs email. De ontvanger decrypt t weer. Wat omslachtig als t niet automagisch gaat: maar dat is voor criminelen een kleine moeite tegenover tig jaar gevangenisstraf. Je gaat op in de massa en ze decrypten de versleuteling van de app die ze gebrukke. maar een eind weg: het blijft versleuteld. En dan? En zulke apps bestaan al, overigens.

Denken ze nou echt geen moment vooruit? Denken dat dit realistisch is... Kom op. "Dit pakt criminelen aan!", ja want als met een AK47 in je achterbak rondrijden geen probleem voor je is, dan ga je je echt houden aan een decryptiewet als je dat niet wil. :+

[Reactie gewijzigd door WhatsappHack op 14 juli 2017 09:03]

(Bijv) Android remote hacken via een 0day die de geheime dienst krijgt aangeleverd van een database van 0days die gedeeld wordt tussen overheden (lees: FVEY).
Een 0day is nog steeds een "backdoor". Dat de software developers er zelfs geen weet van hebben, en dat het daarmee dus zelfs onbedoeld is, doet daar niets aan af.
Een 0day is nog steeds een "backdoor".
Nee.

Jargon file: backdoor:
(common) A hole in the security of a system deliberately left in place by designers or maintainers.
0-days zijn niet-bekende kwetsbaarheden in software (waarmee mogelijk toegang kan worden verkregen). Een 0day kan een ontdekte backdoor (met opzet aangebracht) zijn, maar het is meestal een ontdekte bug (zonder opzet aangebracht).

Een 0-day is dus neutraal; een backdoor altijd met opzet aangebracht.
Even afgezien van het feit dat je wel raar gaat staan te kijken als je ISP die 0days moet faciliteren aan de overheid dan.

Desnoods doen ze het met een alternatieve enigma. Daarmee ook direct aangetoond dat de kennis hebbende crimineel zich ook niet laat vangen met briefpost of verbale communicatie als een telefoon aftappen.

Dus wie willen ze er nu echt mee stoppen? Opgeleide terroristen niet iig...
Maar dan heb je de medewerking van die bedrijven niet nodig. ;) Dus kennelijk is dit niet het idee erachter. Het is echter wel wat ze zouden moeten doen; zelf hacken. Vaak duur en lastig, dus een flinke hurdle tegen misbruik om onschuldige burgers te bespioneren.
"Hoe de overheid toegang tot versleutelde communicatie wil afdwingen maakte de minister-president niet duidelijk"

Dat is natuurlijk het punt: encryptie is ontworpen zodat er geen derde partij ongewenst mee kan lezen. Criminelen en terroristen blijven gewoon client-side hun texten encrypten of in plaatjes stoppen voordat het het internet over gaat. Dus tenzij deze minister-president een soort van nieuw quantum-achtig algoritme heeft ontwikkeld geef ik hem weinig kans. Het enige dat je misschien kan doen is alle encryptie-software verbieden en alleen overheids-goedgekeurde encryptiepaketten toestaan. Aleen is het zo jammer dat je met een beetje kennis zelf een behoorlijk sterke encryptie in elkaar kan sleutelen in een paar uurtjes. Maar goed, criminelen zouden zich natuurlijk wel netjes aan de wet houden.
Aleen is het zo jammer dat je met een beetje kennis zelf een behoorlijk sterke encryptie in elkaar kan sleutelen in een paar uurtjes.
Om dat goed te doen vereist nog wel wat meer tijd, encryptie kun je heel makkelijk fout doen terwijl het goed lijkt te gaan (er komt iets versleutelds uit en je kunt het zelf weer ontcijferen maar ondertussen is bv. de RNG die session keys genereert zwak). Maar inderdaad, kennis van sterke encryptiealgorithmes is nu zo wijdverbreid dat dat soort wetgeving zinloos is.
Het is toch gewoon wiskunde wat niet meer op 1 bord past, oftewel die nutty professor math die jou dagen zo niet jaren bezig bent met het oplossen van die som en je je computer niet kan inzetten omdat het zo'n complexe som is? of...?
Het algorithme zelf wel, maar in de toerpassing ervan kan veel mis gaan.
Het enige dat je misschien kan doen is alle encryptie-software verbieden en alleen overheids-goedgekeurde encryptiepaketten toestaan.
Wat nooit gaat gebeuren, want bedrijven (=lobby) leven van encryptie waarvoor geen loper bestaat. En in het huidige politieke klimaat is het niet verstandig om te suggereren dat bedrijven het wel mogen en privť-personen niet.
Zeg nooit nooit. In USA was het lang (tot ca. 1996) verboden om een encryptie sleutel va meer dan 40 bits te gebruiken. (Cryptosystems using keys larger than 40 bits were considered munitions within the definition of the US export regulations). Dit verbod werd op creative wijze omzeild door de source code in boekvorm te verspreiden (boeken vallen onder het recht op vrije informatie).

Ik bedoel maar ...
Dat ging om export, er was natuurlijk ook buiten de USA encryptie software.

Wat is weer bevestigd zie is dat er keer op keer gebruik/misbruik gemaakt wordt van terroristen en pedofielen om de publieke opinie te manipuleren. Nieuw zijn nu drugscriminelen, de vraag is welke groep volgt er hierna, de witte bordencrimineel doet het ook goed voor de publieke opinie, maar ach eigenlijk moet iedere crimineel aangepakt kunnen worden, dat is de volgende stap.

Journalisten die kritisch zijn op de overheid zijn natuurlijk ook een gevraag. Dus encryptie voor die groep, een mag niet, aanpakken.

AustraliŽ pretendeert net als Nederland een democratie te zijn. Encryptie afdwingen net als massaal afluisteren horen daar niet in thuis en zijn het begin van totalitaire systemen.
e witte bordencrimineel doet het ook goed voor de publieke opinie, maar ach eigenlijk moet iedere crimineel aangepakt kunnen worden, dat is de volgende stap.
Maar veel winkeldieven zullen ze er niet mee vangen. Ik gok dat belastingontduikers ergens bovenaan de wishlist staan.
Er zijn ook groepen die baat hebben bij encryptie, journalisten, advocaten, bedrijven en nog een paar meer. Dit alles moet maar wijken onder het mom terrorisme.
Wel zo handig voor de overheid, die zal het als nuttige bijvangst zien.
Juist om die reden mag die nooit wetgeving worden, het is een stap naar een politiestaat.
Die in Nederland al zal bestaan vanaf 01-01-2018
AustraliŽ pretendeert net als Nederland een democratie te zijn. Encryptie afdwingen net als massaal afluisteren horen daar niet in thuis en zijn het begin van totalitaire systemen.
Massaal afluisteren (dus zonder aanwijzingen en zonder dat een rechter, procureur of minister daartoe toestemming geeft) is in AustraliŽ net zo illegaal als in Nederland.
Legaal dus sinds kort.
Massaal afluisteren is met nieuwe wet door aivd en mivd volkomen legaal zonder toetsing en toestemming. Misschien even tweakers van deze week nakijken.
In diezelfde wet staat dat Nederland onbewerkte data kan delen met andere diensten die dat dan weer kunnen witwassen en terugsturen naar Nederland.
Net als de PGP source wat in boekvorm wel geŽxporteerd mocht worden vanuit de VS.
Goed voorbeeld waar het ook finaal fout is gegaan toen de hele wereld dankzij snowden erachter kwam dat usa iedereen en alles op internet af probeerd te luisteren.
Australie is gek als ze encrypte niet veilig meer laten zijn, china en rusland zullen er van smullen.
Het probleem hiermee is inderdaad dat het gehele systeem minder veilig wordt terwijl allen de amateur-terroristen en -criminelen makkelijker af te luisteren worden.

Ik snap best dat versleutelde communicatie voor bestrijding van terrorisme en criminaliteit een probleem is, maar het probleem aanpakken door encryptie te verzwakken of verbieden creŽert een veel groter probleem.
Het enige dat je misschien kan doen is alle encryptie-software verbieden en alleen overheids-goedgekeurde encryptiepaketten toestaan.
De enige reden om dit te doen is omdat het pakket zwakke encryptie bevat of een backdoor.
Als het pakket zonder zwakheden een goede encryptiestandaard gebruikt, maakt het pakket zelf niets uit. Dat was juist het idee van goede encryptie: Je mag alles weten van de standaard en mplementatie, maar zonder de key kun je niet decrypten.
Dan nog kan ik toch heel makkelijker dubbele encryptie gebruiken?
Dus hetgeen wat ik stuur voldoet aan deze 'keuring' (hoe je dat in hemelsnaam praktisch wil gaan uitvoeren??), maar daarin stuur ik bv een encrypted file container oid.

Wel apart, ik heb 'analoog' dadelijk meer privacy dan 'digitaal'.
Zul je zien dat overheden alles digitaal helemaal dichtgetimmerd, gaan de kwaadwillende gewoon weer ouderwets postduiven sturen oid.
Het blijft hoe dan ook dweilen in een kat en muis spel zeg maar.....
Kan iemand mij vertellen hoe ze dit willen bewerkstelligen? Als een boef vantevoren afspreekt "Ik ga even naar de McDonalds voor een Cola Light" betekent "Alle frituurmachines van de McDonalds opblazen met waterstofbommen," wat heeft het dan voor nut om encryptie te kunnen afdwingen? Ze zullen alsnog de eerste zin lezen in Whatsapp. Je kunt geen backdoor in het menselijk brein inbouwen. Bovendien is het volgens mij in ieder westers land ongrondwettelijk om iemand te dwingen mee te werken aan de eigen vervolging, waardoor dus de niet digitale encryptiecodes niet kunnen worden afgestaan.

Deze wetgeving is dus weer een wassen neus bedacht door een imbiciel die totaal geen idee heeft hoe terroristen nadenken. De enige manier om terrorisme te stoppen is om je te verplaatsen in een terrorist. Feitelijk betalen we imbicielen om terroristen creatief te maken. Gelukkig betaal ik zelf geen belasting in Australie :)

[Reactie gewijzigd door Trommelrem op 14 juli 2017 08:51]

Bovendien is het volgens mij in ieder westers land ongrondwettelijk om iemand te dwingen mee te werken aan de eigen vervolging, waardoor dus de niet digitale encryptiecodes niet kunnen worden afgestaan.
Zeg dat de USA en de UK..............
Het doel is dan ook helemaal niet pedos (als politici heb je er vrij weinig aan of er nou een pedo meer of minder is, is alleen leuk om tegen het plebs te kunnen zeggen kijk eens wat ik allemaal wel niet doe!), of terroristen (kans op een aanslag is minimaal, de daadwerkelijke schade naar alle waarschijnlijkheid vrij klein, maar kan perfect gebruikt worden als middel om allerlei wetten er doorheen te drukken) op te pakken.

Wat overheden willen is zoveel mogelijk informatie over burgers verzamelen. Het plebs is namelijk de enige echte bedreiging voor een overheid en als jij alles van iedereen weet is het een stuk makkelijk om critici vroegtijdig de mond te snoeren of zwart te maken als de kritiek teveel aanhang krijgt.

Dat en je hoeft ook niet vreemd op te kijken als oa economische spionage ook nog een mooie rol speelt.
Het plebs is namelijk de enige echte bedreiging voor een overheid en als jij alles van iedereen weet is het een stuk makkelijk om critici vroegtijdig de mond te snoeren of zwart te maken als de kritiek teveel aanhang krijgt.
Dat je zo'n statement gewoon openbaar mag uiten zonder dat er binnen een half uur zwarte helicopters boven je huis cirkelen geeft wel aan dat het niet waar is.
De overheid is het ambtelijk apparaat dat bestuurd wordt door de door ons gekozen politici. Ze doen dus wat wij, het volk, willen. Maar het zijn ook maar mensen van vlees en bloed. Dus als het volk roept "keihard aanpakken die criminelen en terroristen", dan komen er maatregelen in die richting. Ook als dat simpele misschien niet eens effectieve maatregelen zijn, met nare bijwerkingen. En als je daar wat aan wil doen dan komt het op inzicht en woordkeus aan. Dan moet je de politici, de beslissers dus, gaan overtuigen met inhoudelijke argumenten. En als je dan met statements als:
Wat overheden willen is zoveel mogelijk informatie over burgers verzamelen.
aankomt, dan sta je gewoon buitenspel. Sorry, maar je wordt door hen gewoon niet serieus genomen. Bij de tweakers (of het plebs, net wat je wilt) ben je een held, je zegt immers waar het op staat. Maar enige invloed heb je er niet mee. Mij advies is dus: kies voor de inhoud, de zinvolle argumentatie maar niet voor emotie en opruiende retoriek, dat werkt gewoon niet.
[...]

Dat je zo'n statement gewoon openbaar mag uiten zonder dat er binnen een half uur zwarte helicopters boven je huis cirkelen geeft wel aan dat het niet waar is.
Dit soort opmerkingen zijn natuurlijk bij lange na niet erg genoeg om iets aan te doen.
De overheid is het ambtelijk apparaat dat bestuurd wordt door de door ons gekozen politici.
Gekozen op basis van door politici gemaakte beloften alleen...
Ze doen dus wat wij, het volk, willen.
Worden die beloften vaker niet dan wel nagekomen nadat de heren en dames politici eenmaal op het pluche zitten. Op dat moment kunnen ze namelijk doen en laten wat ze willen en heeft het volk het er maar mee te doen.

Wat je ziet is dat er iedere verkiezing weer mooie beloften worden gemaakt waar uiteindelijk bar weinig van terecht komt. Dan kan je zeggen dan stem je de volgende keer toch op een ander? Ja, dat kan. Alleen doen die precies hetzelfde.

Als politici echt zouden doen wat het volk zou willen dan zouden we overal een referendum over hebben maar het laatste referendum wat we hadden heeft de overheid totaal doodgenegeerd... tot zover "politici doen wat het volk wil".
Dus als het volk roept "keihard aanpakken die criminelen en terroristen", dan komen er maatregelen in die richting.
Politici doen alleen wat goed is voor hun of waar ze makkelijk mee kunnen scoren. Dus we nemen zogenaamd maatregelen tegen terroristen maar het hele Midden-Oosten mag zonder blikken of blozen het land binnen lopen.

Of geloof jij echt dat als iedereen roept we willen het kwartje van Kok terug dat politici dat ook echt doen?
Sorry, maar je wordt door hen gewoon niet serieus genomen.
Inderdaad. Komt omdat ik namelijk geen snoepbaantjes voor na hun politieke carriŤre kan aanbieden.

Politici zijn is tegenwoordig een baan en net zoals alle anderen mensen met een baan zullen politici er alles aan doen om te doen wat uiteindelijk het beste is voor hun. Als het volk daar van profiteert is dat mooi meegenomen maar allang geen vereiste meer.
Als politici echt zouden doen wat het volk zou willen dan zouden we overal een referendum over hebben
Ik ben blij dat jij een mening hebt over het maximale nitraat gehalte in sloten or hoe sterk een veligheidsgordel moet zijn want ik zou het werkelijjk niet weten en zou bij god niet weten hoe ik daarover zou moeten besluiten.

In een democratie kiezen we mensen die ons vertegenwoordigen. Mensen van wie we hopen dat ze de juiste keuzes maken. Niet om te doen wat jij precies wilt. Ze kunnen besluiten nemen waar jij zelfs heel erg tegen zijn!

Ik moet altijd hard lachen over de opmerking dat 'de overheid' (of beter politici) alles over ons willen weten om meer macht te krijgen en die macht te kunnen behouden. Dat 'kon' waar zijn voor 1940 maar sindsdien is de macht in alle democratische landen zo vaak gewijzigd dat je niets anders kan concluderen dat die vergaring van informatie een spectaculaire mislukking is.

Kijk naar Frankrijk bijvoorbeeld. Een land met een wetgeving die iets meer privacy gevoelige zaken toestaat dan Nederland (maar ook een land waar aanslagen met regelmaat voorkomen). Alle partijen die de wetgeving hebben gemaakt zijn weggevaagd een paar maanden geleden.

Je mag je mening hebben, zelfs zonder daar veel bewijs voor te hebben. Je mag die mening in alle democratieŽn die ik ken vrijelijk uiten zonder ook maar de geringste angst te hebben dat de politici die je 'ontmaskerd' maatregelen tegen je zouden nemen. Diezelfde vrijheid geeft mij het recht je op de aanbieding van aluminiumfolie mij de Aldi te wijzen. Ik zou maar wat inslaan.
Gekozen op basis van door politici gemaakte beloften alleen...
Politici doen geen beloften. Ze uiten wensen. Sommige van die wensen kunnen ze in een coalitie in vervulling laten gaan, andere niet. Het is wel belangrijk dat te begrijpen.
Dus we nemen zogenaamd maatregelen tegen terroristen maar het hele Midden-Oosten mag zonder blikken of blozen het land binnen lopen.
Ja wij hechten aan vrijheid. Dus mensen uit het Midden-Oosten zijn van harte welkom als ze geen terrorist zijn.
als iedereen roept we willen het kwartje van Kok terug dat politici dat ook echt doen?
Ja! Maar slechts 1x. Je kunt wel blijven roepen om een teruggave van een kwartje dat je al een keer terug gehad hebt maar op een gegeven moment wordt het gewoon zeuren om het zeuren.
net zoals alle anderen mensen met een baan zullen politici er alles aan doen om te doen wat uiteindelijk het beste is voor hun.
Dan ben je hooguit 4 jaar en wat wachtgeld policus en daarna werkeloos. Zo gaat het niet. Politici blijven vaak veel langer in het ambt, worden herkozen (vraag Mark Rutte maar) en kunnen daarna ook nog wel weer ergens aan de slag. En dat zijn dan niet eens snoepbaantjes (die bestaan eigenlijk helemaal niet) maar serieuze banen op verantwoordelijke posities.
Ik denk dat dit voor velen een brug te ver is, maar ik ben bang dat je hierin gelijk hebt. De startpost zelf maakt al duidelijk dat dit volstrekt onhaalbaar is en enkel de burger zal treffen.
Terrorisme werkt. Dat het niet een significant persoonlijk risico is, is irrelevant.
het enige wat versleuteld is is het verkeer. Je https verbinding zegt helemaal niets over de afhandeling vh verkeer aan de server kant.
Mischien wil de Australische overheid een sleepnet om iedereen zn verkeer te monitoren. Waarom zou je anders willen inbreken op versleuteling? Het lijkt erop dat ze bij de ISPs al verkeer willen inzien.

Al je statistieken en data zijn bekend bij de individuele Websites die gewoon via de rechter nu al toegang moeten verlenen bij verdenking.

de SP heeft ooit eens een kamervraag gesteld over de effectiviteit van de DatRetentieWet, de diensten hoefden alleen te noemen hoeveel pedo's en terroristen (zelfde oude excuus wat altijd gebruikt wordt) waren gepakt met deze technieken...... het antwoord vd AIDV?.........zelfs een nummertje noemen was 'gevoelige info' en dus geheim.
Ook in de US zijn deze vragen gesteld na de Snoden openbaringen. Het werd van de daken geschreeuwd dat Soldaten en operaties in gevaar zouden zijn gebracht door Snoden.....daar is nog nooit bewijs voor geleverd.

Google en facebook geven al data aan overheden, ik zie niet in waarom dit anders zou zijn in Australie (onderdeel vd big 5).
Waarschijnlijk gewoon weer een digibeet-politicus net als Theresa May en Cameron die ook al deze voorstellen hebben gedaan om versleuteling aan te pakken.
link naar Encryption Ban Proposal 2015
While David Cameron had also claimed that app providers have "a social responsibility to fight the battle against terrorism", the founder of Lavabit had also criticized the proposals, saying the introduction of backdoors would leave systems more vulnerable.

[Reactie gewijzigd door Tetraquark op 14 juli 2017 09:19]

Het gaat om end to end encrypted communicatie, waardoor de server/relay er zelf ook niet bij kan. De server kan er dan dus niets mee, het heeft de sleutels niet. Een extra laag encryptie tussen client en server (sure, dat kan ook iets als https zijn) is fijn, om meerdere redenen, maar het is niet direct een probleem als die verbroken wordt zolang de keys van de 2 (of meer) clients die met elkaar praten geheim blijven.

Die May wil overigens wel een tikje verder gaan hoor, die is helemaal de weg kwijt: http://www.independent.co...gh-security-a7771896.html
https://www.theguardian.c...ncryption-terror-backdoor
De EU wil dat soort spul voorkomen, maar die roepen wel vaker wat voor de buhne. Eerst zien dan geloven :)
http://www.telegraph.co.u...s-propose-ban-government/

[Reactie gewijzigd door WhatsappHack op 14 juli 2017 09:34]

Het gaat om end to end encrypted communicatie,
wat denk je wat 'end-to-end' betekent? Van Browser Client tot aan Website/Applicatie. "end-to-end" zegt niets over encrypted opslag. Hoewel dit kan, zijn dit verschillende keys en encryptie, je gebruikt niet dezelfde versleutelingsprotocollen voor de (http/https)-verkeer en opslag. Daarom kan er makkelijk een kopie vd data aan de overheid worden geleverd en de "end-to-end"-encryption marketing slogan intact houden tegenover je klanten.
De overheid wil natuurlijk niet de overhead hebben door specifiek bij elke verdachte tientallen verzoeken neerleggen bij beheerders van websites maar Iedereens verkeer kunnen monitoren.
End to end gaat om communicatie (en t gaat hier voornamelijk om de encryptie in chatapps.) en betekent client-client encryptie ongeacht hoeveel tussenstations waar het bericht "stopt" er zijn. Het gaat dus absoluut niet over een client-server-client encryptie model, zoals chatten met Pietje via een chatsite die met https is beveiligd.

Wel zit er bij zo'n beetje alle diensten met E2EE een extra laag encryptie tussen client-server en DIE laag: die kan de server decrypten ja. Maar het boeit niet zoverl dat de server dat kan, de server moet dat meestal zelfs kunnen om belangrijke metadata ("waar moet het bericht heen?") uit te lezen.

HTTPS is dus ook niet echt een vorm van end-to-end encryption, maar van link encryption. :) En daar zit toch echt een behoorlijk verschil in! Ik heb even gezocht naar een wat heldere uitleg gezien ik anders een heel verhaal moet tikken, this pretty much sums it up:
http://blog.securegroup.c...yption-vs-link-encryption

Hopelijk is t zo wat duidelijker, want volgens mij lullen we door de termen wat langs elkaar heen; maar snappen we elkaar redelijk. :)
Dusja met HTTPS waar je enkel client-server encryptie hebt, dan kan de server meelezen en van alles doen met de data. Bij E2EE is de server niets meer dan een relay, en kan absoluut niet (mits goed ontworpen ;)) bij de inhoud van de berichten.

[Reactie gewijzigd door WhatsappHack op 14 juli 2017 16:36]

die link maakte idd veel duidelijk, daarom ben jij ook de "encryptie-king" _/-\o_
weet jij ook of bij E2EE de keys ook echt op de client gegenereerd worden? en hoe vaak deze vernieuwd worden?
Het is wel de bedoeling van E2EE dat het op het device wordt gegenereerd ja en dat de clients onderling een key-exchange uitvoeren, anders is het niet end-to-end. Als de server de sleutels voor je maakt, heeft die er een kopie van. Die kan dan rustig eavesdroppen of een MITM uitvoeren, dat is niet de bedoeling.

Hoe vaak ze vernieuwd worden hangt af van de applicatie in kwestie, er is geen standaard voor ofzo.
WhatsApp en Signal bijvoorbeeld maken een setje master public/private keys lokaal (per gesprek, dus niet slechts ťťn sleutel voor alles) en de hele shebang aan crypto zorgt er vervolgens voor dat elk bericht een unieke session key heeft waarmee t wordt encrypt. Als je ťťn bericht weet te decrypten, is de sleutel daarvoor dus alsnog volstrekt onbruikbaar voor berichten in t verleden en toekomst. (Forward secrecy en future secrecy). Je moet echt de private key (die t toestel, tenzij deze gekraakt wordt :P, nooit verlaten) hebben. Daarnaast worden die keys opnieuw gegenereerd als je de app opnieuw installeert of een ander dat doet (per gesprek) of als een persoon een groepschat verlaat, joined of WA herinstallerrt dan gaat de hele groep opnieuw sleutels uitwisselen. Gebeurt niets van dat alles dan blijven de sleutels vziw altijd hetzelfde; je zou uit extra paranoia veiligheid kunnen overwegen eens in de zoveel tijd de app opnieuw te installeren. Al moet je dan daarna natuurlijk ook out-of-band controleren met je contact(en) of jullie sleutels weer overeen komen, daar valt en staat de encryptie in principe mee. (En helaas controleert bijna niemand die sleutels. Maar goed, de kans dat ermee gekloot wordt is ontiegelijk klein, dat scheelt.)

[Reactie gewijzigd door WhatsappHack op 16 juli 2017 05:03]

Die May wil overigens wel een tikje verder gaan hoor, die is helemaal de weg kwijt:
Volgens mij zei Cameron ongeveer hetzelfde in 2015. Maar je hebt gelijk, ze zijn helemaal van t potje.
Je beperkt toch ook niet het gebruik van de A4 tussen Amsterdam en DenHaag omdat een pedo of terrorist eroverheen rijdt met zn auto ? ;)


https://www.theguardian.com/commentisfree/2015/jan/13/cameron-ban-encryption-digital-britain-online-shopping-banking-messaging-terror
Kan iemand me vertellen op welke wijze je toegang tot versleutelde communicatie bij internetbedrijven kunt krijgen, waarbij er sprake is van end to end encryptie en er geen backdoors zijn?
Naar mijn weten is dit toch echt een tegenstelling, de bedrijven hebben zelf geen toegang tot de ontsleutelde gegevens, dus kunnen ze deze, zonder backdoor in de software/versleuteling in te bouwen, ook niet verschaffen.
Deze bedrijven hebben client apps ... En daar hebben ze de mogelijkheid om de nog niet versleutelde informatie via een afzonderlijk kanaal ook naar de overheid te sturen.
Daar bij blijft de communicatie die over het internet gaat nog steeds versleuteld, maar krijgt de overheid deze ook. Omdat beide versleuteld zijn en richting de zelfde servers gaan kan je als gebruiker niet zien dat dit gebeurt. En omdat je geen toegang heb tot de bron code van de app die je gebruikt kan je ook niet zien dat het Łberhaupt gebeurt.
Dus geen "backdoor" in de centrale systemen maar een "frontdoor" in de gebruikte cliŽnt.
Daarom is het belangrijk dat je weet wat je aan software draait, en dat je precies weet hoe eea in elkaar steekt.

Dus vandaar dat je bijvoorbeeld toegang hebt tot de source code van Signal om te kijken of zo iets gebeurt, of om te kijken of de versie van de app die je vanuit een store download wel gelijk is daar aan.
(Wat vrijwel niemand ooit doet omdat we Apple en Google vertrouwen)

Blijft over het OS .. :P
Maar bij end-to-end beschikken zij toch niet over de onversleutelde communicatie? Want het wordt bij beide eindpunten versleuteld en niet bij het 'internetbedrijf'
Maar bij end-to-end beschikken zij toch niet over de onversleutelde communicatie? Want het wordt bij beide eindpunten versleuteld en niet bij het 'internetbedrijf'
De 'end' aan ťťn kant is de applicatie. Als die onder controle is van een bedrijf, dan kan die applicatie al het verkeer zonder versleuteling ergens anders heen doorsturen.

Stel dat Facebook op aandringen van een overheid een update van WhatsApp stuurt die al jouw verkeer doorstuurt naar een geheime dienst. Onwaarschijnlijk, maar zeker mogelijk. Hetzelfde voor Open Whisper Systems en Signal, hoewel voor dat laatste iemand de broncode kan controleren en alleen eigen gecompileerde versies kan installeren. Dat is wel wat veel gevraagd van een gemiddelde gebruiker, overigens. ;)

[Reactie gewijzigd door The Zep Man op 14 juli 2017 08:51]

Dat kan, maar dan heb je het niet meer over End-to-End encryptie en in principe kan je daar achter komen met bijv. Whatsapp omdat de sleutels aan beide kanten niet overeenkomen :)
Dat kan, maar dan heb je het niet meer over End-to-End encryptie en in principe kan je daar achter komen met bijv. Whatsapp omdat de sleutels aan beide kanten niet overeenkomen :)
Een malafide versie van de applicatie kan dezelfde data (sleutelmateriaal) van de vorige legitieme versie gebruiken om dezelfde veilige sessie op te zetten als voorheen, naast het ook opzetten van een ongeautoriseerde verbinding die de berichten plain text ergens anders heen stuurt.

[Reactie gewijzigd door The Zep Man op 14 juli 2017 09:23]

Juist ja, en hoe lang denk je dat het duurt voordat iemand daar achter komt?
En zeker nadat zo'n wet aangenomen wordt en men er dus bewust naar gaat zoeken.
In andere woorden, als het bedrijf de end-to-end encryptie in de app uitschakelt totdat deze de gegevens verzend en het originele bericht doorstuurt naar hun eigen servers, dan kun je het omzeilen?
Maar dat is toch echt een flinke backdoor waar dan om gevraagd wordt, okay okay.. frontdoor.

[Reactie gewijzigd door Ubartu op 14 juli 2017 09:09]

In andere woorden, als het bedrijf de end-to-end encryptie in de app uitschakelt totdat deze de gegevens verzend en het originele bericht doorstuurt naar hun eigen servers, dan kun je het omzeilen?
Nee. End-to-end encryptie blijft aan staan, naast dat het ook ergens anders onversleuteld heen verstuurd wordt.
Onversleuteld valt meteen op. Nog een extra versleuteling met een masterkey veel minder, juist omdat vrijwel alle systemen die public key cryptografie gebruiken hybride systemen zijn: een bericht wordt met een symmetrisch algorithme als AES versleuteld, de sleutel daarvoor wordt door een randomgenerator gemaakt en meegestuurd, versleuteld met public-key crypto als RSA, ElGamal of elliptic curve. Dat doet men omdat asymetrische algorithmes voor bulkdata erg traag zijn.

Vaak is de optie er al om naar meerdere sleutels tegelijk te versleutelen er al, pgp gebruikt standaard 2 sleutels: die van de ontvanger en die van jezelf zodat je je eigen bericht kunt teruglezen. Een extra overheidssleutel toevoegen is dan zo gebeurd.
Aangezien ik in Signal graag extra opties heb die Moxie niet wil implementeren build ik elke Signal versie dus wel zelf, en een paar anderen gebruiken die versie ook. Verder doet de originele versie aan "reproducable builds": je kunt checken of de apk die je van Google Play krijgt gecompileerd is van de source code die op Github staat.
Aangezien ik
T.net profiel:
C, C#, C++, Delphi, Java, Pascal, SQL, Visual Basic, XML, Server- en netwerkbeheer, Software development
Jij bent geen gemiddelde gebruiker.
T.net profiel:
Jij bent geen gemiddelde gebruiker.
Maar..
.. en een paar anderen gebruiken die versie ook.
Als je iemand kent die iemand kent die het heeft, kun je het ook hebben.
En als nou juist een clubje dat iets te verbergen heeft de prive-versie deelt, dan hebben zij hun besloten netwerkje.
Ik denk dat de crux hier is dat het bericht dat je typt, voordat het verzonden wordt naar de eindbestemming, reeds gekopiŽerd kan worden en via een additioneel kanaal (tevens beveiligd) naar FB/WhatsApp/ander platform gestuurd kan worden.

Wat jij ziet is 1 datastroom naar de betreffende provider, die in feite 2 berichten bevat, waarvan 1 - die end-to-end encrypted is, gewoon doorgestuurd wordt naar de eindontvanger en de ander, die met een 'bekende' sleutel is encrypted, kan worden gedecodeerd en vervolgens doorgestuurd kan worden naar wie dan ook.
Deze bedrijven hebben client apps
Oplossing: een open protocol, zodat de client open-source kan zijn en er ook third-party apps ontwikkeld kunnen worden. Signal is inderdaad een goed voorbeeld. Niet perfect, maar lost wel dit probleem op.

[Reactie gewijzigd door The Zep Man op 14 juli 2017 08:43]

Uhh niet...? De veiligheid zou dan altijd slechter moeten worden.
Normale mensen antwoord: niet

Politieke antwoord: Politici zijn experts in het zo formuleren van hun eisen dat anderen de schuld krijgen van de daaruit volgende problemen. "Backdoor" is een vies woord, dus wordt er gezegd dat ze geen backdoors eisen, vervolgens wordt er gezegd "kinderporno! terrorisme! internetbedrijven moeten ons op verzoek toegang tot de gegevens geven".
Hoe dat dan moet werken wordt bewust in het midden gelaten. De problemen die volgen uit het door een bedrijf gekozen methode om aan de wet te voldoen zijn dan de schuld van het bedrijf. Hadden ze maar niet zo een slecht systeem moeten maken.
Kan iemand me vertellen op welke wijze je toegang tot versleutelde communicatie bij internetbedrijven kunt krijgen, waarbij er sprake is van end to end encryptie en er geen backdoors zijn?
Naar mijn weten is dit toch echt een tegenstelling, de bedrijven hebben zelf geen toegang tot de ontsleutelde gegevens, dus kunnen ze deze, zonder backdoor in de software/versleuteling in te bouwen, ook niet verschaffen.
Je weet het nooit, en daarom nooit vertrouwen op die bedrijven om je encryptie goed, veilig en prive te regelen.
E2EE moet je zelf regelen, en je moet goed kijken waar je software vandaan komt en hoe sleutels uitgewisseld en bewaard worden.
Hoe de overheid toegang tot versleutelde communicatie wil afdwingen maakte de minister-president niet duidelijk.
Joh. Misschien moeten ze dat eerst eens bekijken en dan tot de conclusie komen dat je deze geest niet meer in de fles terugkrijgt. Of zullen we ook meteen maar SSL afschaffen? Lekker als overheid overal als MITM tussen gaan zitten...
SSL mag de overheid rustig afschaffen, dat is toch al jaren in onbruik :+

(je bedoeld TLS, de fout die veel mensen nog steeds maken)
De meeste libraries die gebruikt worden om TLS te implementeren hebben SSL in de naam en niet TLS (OpenSSL, LibreSSL, BoringSSL, ...). In de praktijk wordt de term SSL gebruikt als overkoepelende term voor SSL en TLS, dus dit is gewoon prima.
Zolang de terminologie bij de verkoop van SSL certificaten nog steeds 'SSL' is, denk ik dat SSL meer tot de verbeelding spreekt dan TLS. Technisch gezien heb je natuurlijk gelijk.
Daarmee ontzeggen ze ook het gebruik van VPN.
Nee hoor, je hoeft alleen maar je private key even op de mail te zetten :|
Ja het woord steeds zieker, je MOET nu mee werken aan je veroordeling, iets wat eerst niet hoefde, onschuldig tot tegendeel bewezen is, maar nu is het zo als de politie je oppakt en jij weigert je versleutelde computer/telefoon te ontgrendelen ze je in de gevangenis mogen gooien tot jij hun de sleutel geef tot je versleutelde gegevens.

Vrijheid is straks de verleden.
Indien e.e.a. onder dezelfde noemer valt als briefgeheim (zoals het Nederlandse briefgeheim) waarbij altijd een rechter betrokken is, is het leed nog wel te overzien. Maar ik ben bang dat opsporingsdiensten meer rechten gaan krijgen waarbij de tussenkomst van een rechter niet meer nodig is.

Dat zou in kunnen houden dat alle data potentieel gemonitord kan gaan worden en dat is ongewenst. Zie wat er nu in Turkije gebeurt. Niemand is dan meer veilig. Een lelijk woord over een machthebber kan dan al aanleiding zijn voor een bezoekje van de politie(of een knokploeg).

Alle dataverkeer moet dan ook via de geijkte kanalen gebeuren, want bij het gebruik van bepaalde encrypte communicatie-software ben je gelijk een "potentiŽle" crimineel of terreurverdachte.

[Reactie gewijzigd door misterbennie op 14 juli 2017 07:55]

Ach nadat de wetten zijn aangepast en alle communicatie voor iedereen onzichtbaar is, is het wachten totdat er een techbedrijf een overheid aansprakelijk stelt voor gestolen intellectuele eigendommen en miljarden claims aan hun broek krijgen.

Deze koers wordt nog wel gewijzigd.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*