Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

EU: lidstaten moeten elkaar helpen bij decryptie in strafrechtelijke onderzoeken

Door , 83 reacties

De Europese Unie heeft woensdag plannen bekendgemaakt om lidstaten tegemoet te komen die in strafrechtelijke onderzoeken tegen encryptie aanlopen. In plaats van het ontwikkelen van een backdoor, moeten lidstaten elkaar bijstaan bij decryptie.

Eurocommissaris Julian King zei in een persconferentie: "We zijn geen voorstanders van backdoors, oftewel stelselmatige kwetsbaarheden. Wat we vandaag proberen is om aan het soms steriele debat van 'backdoors tegenover geen backdoors' voorbij te gaan", meldt Politico. In plaats daarvan moeten lidstaten elkaar helpen. Volgens King zijn 'bepaalde lidstaten daar beter voor uitgerust dan andere lidstaten' en wordt er gekeken op welke manier opsporings- en inlichtingendiensten beter samen kunnen werken.

De plannen van de Europese Commissie komen erop neer dat er een zogenaamde 'gereedschapskist' komt met 'juridische en technische middelen' voor decryptie. Volgens Politico wordt daarmee gedoeld op work-arounds, zoals voorgesteld in recent onderzoek. Daarnaast moeten er centra voor encryptie-expertise komen die samen een netwerk vormen. De Commissie wil verder een half miljoen euro investeren in het opleiden van opsporingsdiensten en Europol ondersteunen in zijn decryptievaardigheden.

De Europese Commissie wil aan het begin van 2018 met voorstellen komen voor juridische maatregelen om toegang tot 'elektronisch bewijs' mogelijk te maken. Eind vorig jaar bleek dat veel Europese lidstaten tegen encryptie aanlopen in strafrechtelijke onderzoeken. Sommige landen vragen daarom al langer om wettelijke regelingen. Frankrijk en Duitsland hebben in het verleden bijvoorbeeld gepleit voor een wettelijke plicht om versleutelde berichten te ontsleutelen in het kader van gerechtelijke onderzoeken. Het Nederlandse OM maakte vorig jaar bekend dat het Europese regels wil om bijvoorbeeld WhatsApp-berichten te kunnen ontsleutelen.

Door Sander van Voorst

Nieuwsredacteur

19-10-2017 • 10:39

83 Linkedin Google+

Reacties (83)

Wijzig sortering
Tja. Ik moedig het van harte aan dat EU-landen de handen ineen slaan om een decryptie-centrum te maken. Gooi er wat supercomputers, quantum-computers etc in en bruteforcen maar. Met een paar echte rechercheurs erbij die proberen om langs andere wegen het wachtwoord te bemachtigen. Een verdachte hacken na toetsing door een rechter moet om die reden ook kunnen, wat mij betreft (soort van huiszoekingsbevel zullen we maar zeggen).

Maar dat wat ze hier nu work-around voor encryptie noemen is natuurlijk een eufemisme voor een backdoor. Dat is een onhoudbaar principe. Ten eerste is het onwenselijk omdat de backdoor vroeger of later uitlekt en daarmee iedereen toegang heeft tot de versleutelde data. En ten tweede omdat er onvermijdelijk alternatieven als paddenstoelen uit de grond springen die geen backdoors bevatten. Ze blijven het maar roepen, maar het gaat niet werken in de praktijk. Encryptie is here to stay. Prima ook, ze mogen best wat moeite mogen doen om encryptie te breken.
Ik denk dat je er best vanuit mag gaan dat een zero day exploit de interesse van deze organisatie heeft, en vooral de mogelijkheid om deze informatie binnen de hele EU in te zetten. Dat zal ongetwijfeld aan de vervolgingskant winst op kan leveren. De nadelen die aan dit soort praktijken kleven hebben we eerder dit jaar op de maasvlakte kunnen zien. Het databaseje met exploits is natuurlijk een prima goudmijn voor de zero day handel.

Beveiliging is echter slechts zo veilig als de zwakste schakel. Dat kan de implementatie van de encryptie zijn, maar is meestal gewoon de gebruiker. Als er iets is wat je van de gebruiker kan afnemen om vervolgens de encryptie mee te kraken, dan kom je al een heel eind. Die race kun je als overheid beter winnen als je samenwerkt.
Dan krijgen we dalijk een Blockchain-achtig netwerk waarbij supercomputers van verschillende overheden hun rekenkrachten kunnen bundelen en dan een algoritme kunnen kraken? Klinkt bijna als een James Bond film.
Dat kan niet. Fatsoenlijke encryptie (zoals AES met een dgelijke key) is niet te brute forcen, ook niet met alle computers ter wereld.

Deze samenwerking tussen staten heeft alleen zin op algoritmes die toch al niet veilig zijn.
Dat is niet helemaal waar.
Jij gaat uit van het kraken van een algoritme, maar er zijn ook andere methoden om een wachtwoord te achterhalen.
Een persoon gebruikt vaak dezelfde wachtwoorden. Als dat niet het geval is worden de wachtwoorden bijna altijd of op een zelfde manier samengesteld. Binnen groepen worden wachtwoorden ook vaak op een gelijksoortige manier samengesteld.
Als je wat meer van een groep te weten komt en je kan een paar wachtwoorden ontfutselen, dan ben je al een stuk dichter bij de oplossing. Internationale samenwerking is daarbij wel handig, want criminele netwerken hebben bijna altijd wel ergens een link over een landsgrens.
Dan spreek je al gauw niet meer van ontsleutelen, maar het raden van wachtwoorden of het inzetten van phishing/social engineering. Het gaat om het ontsleutelen van berichten van bijvoorbeeld WhatsApp, of het ontsleutelen van bijvoorbeeld een (externe) HDD. Dat staat volledig los van het achterhalen van een wachtwoord.
Kan het "raden" van wachtwoorden niet worden geschaard onder de noemer "workarounds" wat in het artikel als mogelijkheid wordt gegeven?
Je kan het vergelijken met het raden van een wachtwoord, maar het is niet helemaal een eerlijke vergelijking, omdat wachtwoorden veel simpeler zijn om te achterhalen, te kraken of te raden dan bijvoorbeeld de berichten die worden verstuurd via Signal, Wire, WhatsApp of noem maar op.

De volgende 6 manieren worden geclassificeerd als workaround:
  1. Find the key
  2. Guess the key
  3. Compel the key
  4. Exploit a flaw in the encryption software
  5. Access plaintext while the device is in use
  6. Locate another plaintext copy
Bron: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2938033

[Reactie gewijzigd door AnonymousWP op 19 oktober 2017 11:53]

Dat maakt toch helemaal niet uit? Het doel is decryptie. Of je dat nu doet door de encryptie zelf te kraken of de key te achterhalen is irrelevant in deze. Het zal justitie een worst zijn hoe ze aan de data komen, als ze er maar aan komen (op legale wijze).
Een wachtwoord kan je achterhalen, de data niet als het geŽncrypt is (tenzij ze alle keys hebben die ze willen en vervolgens op die manier de data decrypten, maar kost veel tijd en geld). Bij WhatsApp bijvoorbeeld kan het sowieso niet eenvoudig vanwege de volgende redenen:
  • WhatsApp gebruikt voor elk bericht een andere key
  • Je kan met een nieuwe of oude key dus geen nieuw of oud bericht ontsleutelen
  • Het protocol wat WhatsApp gebruikt is ijzersterk
  • De private key staat op het toestel zelf, dus moeten ze ook eerst je toestel nog zien te hacken
Als je het toestel hebt gehackt kan je de WhatsApp berichten gelijk lezen. WhatsApp is dan wel zo vriendelijk on de decryptie spontaan uit te voeren.
Klopt, dat is inderdaad de meest zwakke plek van het versleuteld communiceren. Dan kom je dus bij puntje 5 uit: AnonymousWP in 'nieuws: EU: lidstaten moeten elkaar helpen bij decryptie in s...
En een toestel hacken is erg simpel als je via autoupdate programma's kunt pushen. Maar dan heb je wel medewerking nodig van google, of van leverancier waarvan je weet dat ze op dat toestel draaien.

aangezien google europa in ierland zit, is hierbij dan medewerking vanuit ierland nodig.

Of medewerking van landen waar men minder problemen om je toestel geforceerd te ontgrendelen bij de politie/doane( in cel/ ontgrendelen keus..)
of gewoon de vingerafdrukscanner even tegen de duim van de verdachte houden... veel gemakkelijker. Nadeel is wel dat dit enkel gaat indien het toestel niet eerst is afgezet kunnen worden
Nadeel is wel dat dit enkel gaat indien het toestel niet eerst is afgezet kunnen worden
En werkt alleen bij die sukkels die een vingerafdrukscanner gebruiken voor ontgrendelen.
  • WhatsApp gebruikt voor elk bericht een andere key
  • Je kan met een nieuwe of oude key dus geen nieuw of oud bericht ontsleutelen
Hoe weet de ontvangende partij dan welke key ze moeten gebruiken om het bericht te ontsleutelen? Ergens zal toch de overdracht van deze keys moeten plaats vinden. Vraag is wat veiliger is, elke keer een key overdragen, of 1 key afspreken en deze blijven gebruiken
  • Het protocol wat WhatsApp gebruikt is ijzersterk
Want je hebt het protocol gezien? Het is gewoon een variant op XMPP protocol, niets spannends aan
  • De private key staat op het toestel zelf, dus moeten ze ook eerst je toestel nog zien te hacken
Dat klopt, maar er zijn genoeg exploits voor iOS/Android dat je je daar niet achter moet verschuilen...

[Reactie gewijzigd door ThaStealth op 19 oktober 2017 11:43]

  • WhatsApp gebruikt voor elk bericht een andere key
  • Je kan met een nieuwe of oude key dus geen nieuw of oud bericht ontsleutelen
Hoe weet de ontvangende partij dan welke key ze moeten gebruiken om het bericht te ontsleutelen? Ergens zal toch de overdracht van deze keys moeten plaats vinden. Vraag is wat veiliger is, elke keer een key overdragen, of 1 key afspreken en deze blijven gebruiken [list]
Omdat dat public keys zijn, en je dus ook nog een private key hebt (die dus op het toestel staat). De public keys worden uitgewisseld met de tegenpartij bij het opzetten van een verbinding. Dit gaat uiteraard ook versleuteld (de key exchange). Hier staat uitgelegd hoe: https://www.whatsapp.com/...p-Security-Whitepaper.pdf (de whitepaper van WhatsApp).
Want je hebt het protocol gezien? Het is gewoon een variant op XMPP protocol, niets spannends aan
Ja, want het protocol is open source. Het is namelijk het protocol van Signal/Open Whisper Systems, wat WhatsApp gebruikt: https://signal.org/blog/whatsapp-complete/ (whitepaper: https://eprint.iacr.org/2016/1013.pdf). Hier de broncode: https://github.com/whispersystems/libsignal-protocol-java/
Dat klopt, maar er zijn genoeg exploits voor iOS/Android dat je je daar niet achter moet verschuilen...
Dat is ook zo, maar het is een opeenstapeling van drempels die het lastiger maken.

[Reactie gewijzigd door AnonymousWP op 19 oktober 2017 11:57]

Dat hacken zal lang niet altijd zo moeilijk zijn... alleen flagships krijgen vaak nog een paar jaar aan updates.
De meeste verdachte personen kan je al persoonlijk kraken door te zeggen dat ze het onderzoek tegenwerken en de rechter hiermee gaat rekening houden bij de strafmaat. Als je dan nog wat bluf gebruikt dat het wachtwoord sowieso achterhaald kan worden, dan geven ze het paswoord uit vrije wil.
En iedere goede advocaat zal iedere verdachte adviseren om vooral /niets/ te zeggen omdat dingen over jezelf verklaren of toegang geven tot (mogelijk) belastende data /altijd/ tegen je gebruikt zal worden.

Zie uitleg van deze advocaat, en deel 2 uitleg van rechercheur
https://www.youtube.com/watch?v=d-7o9xYp7eE
Als een veroordeling (grotendeels) rust op de versleutelde gegevens: welke strafmaat? Dan is er geen straf, als meneer/mevrouw meewerkt wel maar dit valt dan een jaartje lager uit? En als die gegevens hooguit voor meer straf kunnen zorgen want meer strafbare feiten? Dan wordt hij/zij voor de rest niet veroordeeld? Wat als een verdachte bij hoog en laag volhoudt dat hij/zij de wachtwoorden echt vergeten is? Dat is in NL al gebeurd.

Enige echte maatregel is een straf zetten op het niet per direct afgeven van wachtwoorden. Dat is niet wenselijk. Maar stel dat je dat doet: "Ja we kunnen uw medeplichtigheid niet bewijzen dus geef het wachtwoord maar dan kunnen we dat wel, anders 6 maanden brommen." "Mooi, dat is veel minder als waar ik van verdacht word!". Waar ben je dan?
Dat bedoelde ik met "een degelijke key". Als er zwaktes in je wachtwoord zitten, dan is dat je onveiligheid, en daarbij kan het inderdaad zeker uitmaken als organisaties samenwerken.

Maar ik reageerde op het zogenaamde "kraken" van encryptie met gebundelde rekenkracht via een blockchain-achtig netwerk, wat iemand voorstelde. Dat is onzin.
Bijna niemand gebruikt wachtwoorden zonder zwaktes. Ons brein kan die nauwelijks onthouden. Als er wel sterke wachtwoorden worden gebruikt, dan zijn die bijna altijd door een password-manager gegenereerd en ook daar zitten specifieke zwaktes in. En anders is het wachtwoord van de password-manager wel een stuk simpeler.
Hoe random zijn de wachtwoorden van bv. Keepass en Lastkey.

Niet dat van jou een antwoord verwacht, maar daar kan inderdaad ook wel een zwakte zitten.
Passwords moet je ook helemaal niet onthouden (noch zelf verzinnen), daar is software voor die dat veel beter kan.

In de bekende / meestgebruikte password managers zit geen zwakte. Die zijn bovendien open source dus iedereen kan zelf nagaan hoe die precies gegenereerd worden, en daar zit een prima CSPRNG in.

Het hoofdwachtwoord van de password manager is dan het enige wat je moet onthouden, maar dat is voor ťťn goed, echt sterk password nog wel te doen. En dat password staat verder nergens. En ook daar zijn overigens plausible deniability mogelijkheden.
Inderdaad. Veel mensen denken dat encryptie 'even' te omzeilen is. AES 128 heeft een vrijwel ongelimiteerde keyspace.

Bekijk deze berekening:
There is also a physical argument that a 128-bit symmetric key is computationally secure against brute-force attack. Just consider the following:

Faster supercomputer (as per Wikipedia): 10.51 Pentaflops = 10.51 x 1015 Flops [Flops = Floating point operations per second]

No. of Flops required per combination check: 1000 (very optimistic but just assume for now)

No. of combination checks per second = (10.51 x 1015) / 1000 = 10.51 x 1012

No. of seconds in one Year = 365 x 24 x 60 x 60 = 31536000

No. of Years to crack AES with 128-bit Key = (3.4 x 1038) / [(10.51 x 1012) x 31536000]
= (0.323 x 1026)/31536000
= 1.02 x 1018
= 1 billion billion years

As shown above, even with a supercomputer, it would take 1 billion billion years to crack the 128-bit AES key using brute force attack. This is more than the age of the universe (13.75 billion years). If one were to assume that a computing system existed that could recover a DES key in a second, it would still take that same machine approximately 149 trillion years to crack a 128-bit AES key.


Ook samenwerking tussen landen zal vrijwel niets kunnen doen aan het breken van deze encryptie.

[Reactie gewijzigd door Bodevinaat op 19 oktober 2017 15:08]

tja, en een supercomputer uit de jaren 00 hangt nu op een pcie kaartje in je pc en zorgt voor je beeld. Techniek staat niet stil, wie weet waar we over 30 jaar zijn. Toen was een heel cluster aan computers nodig, wat nu een enkele GPU kan doen;

GTX 1080TI; 11.3 Tflops. De IBM ASCI White uit 2000 had "slechts" een theoretische 12.3 Tflops, en dat was 17 jaar geleden.
Heeft niets te maken met gebundelde rekenkrachten van overheden om algoritmes te kraken. Daar sloeg mijn opmerking over non-bruteforcebaarheid op. Niet op $5 wrenches :)
tja, dat dachten ze 30? jaar geleden ook met SHA1 en MD5 :+

zie eens hoe snel onze PC's geworden zijn in vergelijking met 10 jaar terug, sandy bridge was een revolutie in single core performance, maar nu zijn octa core's al heel gewoon in servers, en 10-12 cores word langzaam de standaard met de nieuwe generaties.
sha1 en md5 zijn nog steeds niet te bruteforcen, er zijn zwaktes gevonden in het algoritme waardoor de search space heel erg veel kleiner wordt. Dat gaat bovendien over het vinden of forceren van collisions bij hashes, dat is nog iets anders dan een symmetrische encryptie kraken.

Natuurlijk kan niemand uitsluiten dat er ooit zwaktes in AES worden gevonden, maar dat heeft dan niets te maken met supercomputers van overheden.
Aangezien fatsoenlijke encryptie die niet door een land gebroken kan worden ook niet door 28 landen gebroken kan worden zie ik maar 2 mogelijke gevolgen:

1. Als de encryptie gemaakt is door een bedrijf kunnen andere EU landen helpen dat bedrijf onder druk te zetten, bv. WhatsApp wordt dan niet alleen in Frankrijk maar in de hele EU verboden. Als het een in de EU gevestigd bedrijf is wordt dat nog veel makkelijker.

2. Iemand die toegang heeft maar in bv. Nederland niet gedwongen kan worden zijn wachtwoord prijs te geven wordt uitgeleverd aan Engeland waar levenslang zwijgen ook levenslang opsluiten kan betekenen. Ik weet niet of er nog andere EU landen beschikbaar zijn voor die route na de Brexit, maar ivm anti-encryptie wetten ben ik blij met de Brexit: opdonderen met die politiestaat.
1. Als de encryptie gemaakt is door een bedrijf kunnen andere EU landen helpen dat bedrijf onder druk te zetten, bv. WhatsApp wordt dan niet alleen in Frankrijk maar in de hele EU verboden. Als het een in de EU gevestigd bedrijf is wordt dat nog veel makkelijker.
Dan komt er binnen no-time een alternatieve app. Die zijn er ook al, maar die zullen dan veel meer gebruikt worden. Zo nodig eentje die decentraal werkt, zodat er geen server is om in beslag te nemen, en geen beheerder of bedrijf om 'onder druk te zetten'.
2. Iemand die toegang heeft maar in bv. Nederland niet gedwongen kan worden zijn wachtwoord prijs te geven wordt uitgeleverd aan Engeland waar levenslang zwijgen ook levenslang opsluiten kan betekenen. Ik weet niet of er nog andere EU landen beschikbaar zijn voor die route na de Brexit, maar ivm anti-encryptie wetten ben ik blij met de Brexit: opdonderen met die politiestaat.
Daarom altijd plausible deniability. Men zet je onder druk om je password te geven: na wat tegensputteren geef je je password. Ze komen dan bij wat privacy-gevoelig ogende documenten (je creditcardgegevens of arbeidscontract of bankafschrift of whatever) en that's it.
Niemand kan aantonen dat er nog een tweede laag is met gegevens waar het echt om gaat.
Niemand kan aantonen dat er nog een tweede laag is met gegevens waar het echt om gaat.
Maar je kan ook niet bewijzen dat die tweede laag er niet is. Als een rechter ervan overtuigt is dat dat er wel is (ook al is dat niet zo), dan zit je alsnog in de problemen.
Helaas is 'die laag' vaak zo opgebouwd dat er een patroon te herkennen is door veiligheidsdiensten. De inhoud is dan wel onleesbaar maar de data staat er toch echt. Iedere tool heeft zo zijn/haar eigen 'fingerprint' en daar doe je weinig aan (of je moet het zelf gaan ontwikkelen c.q. onbekend voor de wereld).
Nee, om deze reden wordt een nieuw encrypted volume vaak gevuld met random noise in plaats van nullen. Zodat er geen verschil meer is te zien tussen random vulling of een tweede encryptielaag.
Helaas is 'die laag' vaak zo opgebouwd dat er een patroon te herkennen is door veiligheidsdiensten.
In Truecrypt/Veracrypt lijkt die laag op willekeurige ruis. Alleen door twee images te maken op verschillende tijden en de verschillen in de ruis aan te tonen kan je het aannemelijk maken dat daar wellicht gestructureerde data in zit.
Of een derde laag en verder totdat je in Limbo zit? Nu maar hopen dat de rechters Inception niet gezien hebben...
Maar je kan ook niet bewijzen dat die tweede laag er niet is.
Dat is ook niet nodig. In een rechtstaat geldt het principe dat je onschuldig bent tot het tegendeel bewezen is. Als men er van overtuigd is dat er wel een tweede laag is, ligt de bewijslast bij de andere.

Misschien moet je dit er eens bij nemen: https://www.logicallyfall...145/Proving-Non-Existence

[Reactie gewijzigd door sithlord2 op 19 oktober 2017 11:20]

Dat hangt natuurlijk af van ander bewijs wat ze tegen jou hebben, het hele idee van plausible deniability is dat het zoals de naam zegt aannemelijk is dat het zo is.

Het kan ook heel plausibel zijn dat jij verborgen partities hebt omdat je VeraCrypt gebruikt.

De beste methode is zorgen dat je niet gevraagd word om je encryptie sleutels af te staan. Het is mij in elk geval nog nooit gebeurd. Was ook geen reden voor.
De beste methode is zorgen dat je niet gevraagd word om je encryptie sleutels af te staan.
Inderdaad. Vooralsnog dien je eerstens verdacht te zijn En daarna beschuldigd waarbij spullen in beslag worden genomen. Vervolgens komt het naieve verzoek de encryptiesleutels op te hoesten.
Inderdaad. Vooralsnog dien je eerstens verdacht te zijn En daarna beschuldigd waarbij spullen in beslag worden genomen. Vervolgens komt het naieve verzoek de encryptiesleutels op te hoesten.
En uiteindelijk is de verdachte slordig geweest en heeft hij zelf een fout gemaakt waardoor een beschuldigend bestand gerecupereerd kon worden uit een mailbox, ongeŽncrypteerde partitie, ... Dat volstaat dan voor een beschuldiging en een zwaardere straf omdat de verdachte niet mee wil werken met het onderzoek (= geen encryptiesleutels afstaan).
Er is bv. Silence, een Signal fork die sms en mms versleutelt. Dat loopt wel via servers van de providers maar om dat te blokkeren zou je of alle sms moeten blokkeren (in de praktijk onhaalbaar en heeft veel economische schade in de industrie) of alle sms gescand moeten worden en versleutelde selectief geblokkeerd worden, dat lijkt me ook een enorm karwij dat hooguit landen als China of Dhubai misschien serieus zouden overwegen.
Dat slaat nergens op. Waarom zou iemand aan Engeland uitgeleverd worden voor een strafzaak in NL?
Je word uitgeleverd als een ander land om uitlevering vraagt en daar kun je (in NL tenminste) ook nog eens beroep tegen aantekenen.

En als jij in Engeland niets misdaan hebt word dat dus afgewezen.

En een bedrijf onder druk zetten voor encryptie sleutels die ze niet hebben werkt ook niet, en het laten inbouwen van backdoors word ook genoemd als niet wenselijk.

Het gaat hier dus wel om het breken van encryptie en als 1 land het niet kan sta je met 28 landen natuurlijk een stuk sterker. Misschien kunnen ze rekenkracht delen (brute force) of onderzoek naar manieren om een bepaalde encryptie toch te breken (exploits).
Dat slaat nergens op. Waarom zou iemand aan Engeland uitgeleverd worden voor een strafzaak in NL?
Je wordt verdacht van iets dat impact heeft in meerdere landen. Je wordt verscheept naar het land waar je het makkelijkst veroordeeld kan worden.

Valt Engeland niet in het lijstje? Dan verzinnen ze een reden om ze wel in het lijstje te laten vallen. Een voorbeeldje:

"Persoon X is verdacht dat hij kinderporno had op zijn computer."
"Zijn de slachtoffers mogelijk kinderen uit het VK? Heeft het crimineel netwerk Y waar Persoon X mogelijk mee samenwerkte een voet in het VK? Was de data (versleuteld) opgeslagen, en was dat mogelijk in 'the cloud' op een server in het VK?"
"Ja, ja, en ja."
"Take him away, boys! En stuur zijn computer ook op."

[Reactie gewijzigd door The Zep Man op 19 oktober 2017 10:59]

Kun je dergelijke beweringen ook staven met wetteksten of minstens precedenten?
Het slaat namelijk helemaal nergens op. Zo werkt het helemaal niet.
Zie bijv. recentelijk nog het onderzoek naar een kinderporno ring wat ze via AustraliŽ lieten lopen.
https://www.nu.nl/algemee...erporno-in-australie.html

Indien het internationale misdaad betreft (bijv. nl burger pest vanuit NL een aussie online) kunnen de twee landen zelf uitzoeken waar de persoon berecht wordt, mits aan een paar condities voldaan wordt (zoals dat het delict in beide landen strafbaar is en dat er geen doodstraf o.i.d. op staat).
Ik zie het verband niet met de stelling van zepman. Dit artikel gaat over arrestaties door de australische politie in australiŽ. Die mensen zullen ongetwijfeld gewoon berecht worden in australiŽ
Ja maar helaas werkt dat niet zo. Zelfs verdachte van kinderporno worden niet zo maar weggestuurd om de rest van hun leven ergens in een cel te zitten. Dan mag je fijn hier in NL in de cel zitten naar Nederlandse maatstaven.

Ik weet niet wat jij doet met je leven maar blijkbaar is genoeg om constant over je schouder te moeten kijken of de geheime dienst niet ergens in een hoekje zit.

Waarom moet de overheid jou erin luizen? Wat is daar het gewin van?

Ik ben tegen de sleepwet en pro encryptie maar dit lijkt meer op voorbereiding om rechtmatige strafvervolging te voorkomen.
Bij kinderporno misschien niet, maar (in de ogen van de overheid) echt zware misdadigers, namelijk burgers die belasting ontduiken, worden keihard aangepakt, tot undercover operaties in Zwitserland aan toe. En als die in de rechtszaal terugvechten negeert de overheid vervolgens gerechtelijke bevelen zoals een tijdje terug in Nijmegen meen ik. Die daarop de hele navordering ongeldig verklaarde. :)
Ja maar de belastingdienst oplichten is ook een doodzonde.

Maar je zegt zelf al, vervolgens blijkt de scheiding tussen staat een recht toch te werken in Nederland. En dat is ook de reden dat jij niet op een bootje naar de VK word gezet.

Sowieso zie ik niet in waarom je aan een ander land zou worden uitgeleverd voor het oplichten van de Nederlandse Staat. Dat is toch echt een interne kwestie.

Ik zou gewoon geen belasting fraude plegen.
Het aangeven bij de belastingdienst van inkomsten uit je thuisplantage geeft teveel bijeffecten. O-)
Nouja doodzonde, er bestaat een enorme tak van industrie die volkomen legaal enkel dat beoogt. Het heet dan geen ontduiking, maar ontwijking.. maar effectief is het natuurlijk precies hetzelfde.

Vaak dat een overheid er ook gewillig aan meewerkt of zelfs doodleuk zelf aan komt kakken bij bedrijven met innovatieve ontwijkstrategieŽn zodat ze via hen toch vooral mťťr belasting kunnen ontduiken ontwijken (:+) dan via een ander land. Moet je zien hoe Ierland de Apple-constructie (Double Irish With A Dutch Sandwich) vrijwillig omtoverde naar de nieuwe 'knowledge development' -toolbox- arrangement :Y)
Dat slaat nergens op. Waarom zou iemand aan Engeland uitgeleverd worden voor een strafzaak in NL?
Je word uitgeleverd als een ander land om uitlevering vraagt
Het onderwerp is 'samenwerken'. Samenwerken tegen misdaad terreur en nog zowat.
In een slecht scenario voorzie ik een nieuwe wet waarbij het niet uitmaakt waar je het vermeende misdrijf pleegde. Europees geldende regels. Lever de verdachte uit aan Bulgarije (noem maar wat) alwaar de gevangenissen wellicht een mindere kwaliteit pension vormen dan we hier gewend zijn.

De nood is hoog en encryptie is een doorn in vele ogen. Bij machteloosheid worden rare regels, wetten en maatregelen bedacht. Reeds vele malen gebleken.
1. Als de encryptie gemaakt is door een bedrijf kunnen andere EU landen helpen dat bedrijf onder druk te zetten, bv. WhatsApp wordt dan niet alleen in Frankrijk maar in de hele EU verboden. Als het een in de EU gevestigd bedrijf is wordt dat nog veel makkelijker.
Hoe wil je bedrijven onder druk zetten dan? Geen backdoor hebben is volkomen legaal (uit het artikel: "Eurocommissaris Julian King zei in een persconferentie: 'We zijn geen voorstanders van backdoors, oftewel stelselmatige kwetsbaarheden.'") en een backdoor die er niet is kun je niet verklappen, ook niet onder druk. En als er geen backdoor is... dan wat; sleutels die je niet hebt (omdat die alleen bekend zijn bij de gesprekspartners) kun je net zo min doorgeven.
2. Iemand die toegang heeft maar in bv. Nederland niet gedwongen kan worden zijn wachtwoord prijs te geven wordt uitgeleverd aan Engeland waar levenslang zwijgen ook levenslang opsluiten kan betekenen. Ik weet niet of er nog andere EU landen beschikbaar zijn voor die route na de Brexit, maar ivm anti-encryptie wetten ben ik blij met de Brexit: opdonderen met die politiestaat.
Iets minder films kijken, zo werkt ons rechtssysteem dus echt niet. (Als je het toch probeert is het wachten tot er ťťn journalist lucht van krijgt en dan kan de minister zijn ontslagbrief schrijven; dat soort trucjes pikken we hier echt niet.)

[Reactie gewijzigd door robvanwijk op 19 oktober 2017 11:22]

Hoe wil je bedrijven onder druk zetten dan?
In de wandelgangen: FB, jullie gaan een boete krijgen van 1 miljard wegens <vul wat in>. Of jullie aanvraag voor <iets> wordt afgewezen / jarenlang vertraagd door rechtszaken. Als jullie een backdoor inbouwen (liefst een subtiele die je zou kunnen verkopen als programmeerfout als hij ontdekt wordt) praten we er niet meer over.

Wat betreft het uitleveren van verdachten, de EU heeft in het verleden zelfs meegewerkt met illegale CIA ontvoeringen dus daar heb ik niet al te veel vertrouwen in.
Ik weet niet of er nog andere EU landen beschikbaar zijn voor die route na de Brexit,
Volgens mij is het nog nooit langsgekomen. Ik kan mij voorstellen dat de implementatie van een 'decryptiebevel' tot bij het hoogste (EU) rechtsorgaan wordt uitgevochten. Immers spelen daar te veel belangen bij om dat niet te doen.
maar ivm anti-encryptie wetten ben ik blij met de Brexit: opdonderen met die politiestaat.
Kom nou, Airstrip One is onderdeel van OceaniŽ, wat altijd in oorlog geweest met Oost-AziŽ. Iets anders voorstellen is gewoon maf. ;)
In Nederland kan de staat je ook gewoon gijzelen hoor. Er is een behoorlijke historie met vooral journalisten die gegijzeld werden voor het niet openbaren van bronnen. Er worden ook civielrechtelijke gijzelingen toegepast. Lijkt me dat als de staat gijzeling een gepast pressiemiddel vindt, zoals ze dat zeggen, dat ze iemand best opsluiten voor het niet geven van een wachtwoord.
Effectief is er toch niet zo heel veel verschil tussen zwijgrecht en encrypted content? In beide gevallen is justitie op zoek naar informatie, maar de verdachte werkt niet mee.

Alleen zal in de praktijk - als je zelf in zo'n situatie zit - een onschuldige meewerken, en een schuldige niet. Het niet meewerken zal dan gebeuren omdat je of zelf schuldig bent, of omdat je wel meer weet, maar spreken voor jou zelf te gevaarlijk is (naast de mogelijkheid dat de overheid ook haar eigen belangen heeft, en niet noodzakelijkerwijs uit is op 100% recht krijgen voor een onschuldige verdachte).

Met martelingen kun je ook iedereen alles laten bekennen (als er maar zwaar genoeg gemarteld wordt). Die kant wil je niet op. Maar het dilemma om werkelijke criminelen niet te kunnen veroordelen, bij gebrek aan bewijs, is ook een hele lastige. Van elk systeem wordt dus misbruik gemaakt (door overheid en burger). Ik zou ook niet weten hoe je dit in deze niet-ideale wereld op een ideale manier op zou moeten lossen. Als iedereen eerlijk zou zijn, zou het eenvoudiger liggen :-).
Effectief is er toch niet zo heel veel verschil tussen zwijgrecht en encrypted content? In beide gevallen is justitie op zoek naar informatie, maar de verdachte werkt niet mee.
Dat is toch bij de haren getrokken.
Volgens dezelfde redenering zou je kunnen stellen dat er ook geen verschil is tussen een kluis openen en zwijgrecht. Als een verdachte de sleutel niet afgeeft zal de kluis dan wel open gekregen worden met andere middelen.
Als jij een kluis hebt, met een code die je alleen in hoofd hebt, en die kluis is niet te brute forcen omdat hij dan ontploft oid, dan is er in de praktijk geen verschil. Jij heoft de politie niet te helpen bij hun onderzoek naar jou. Je mag ze alleen niet tegenwerken. Niets zeggen is geen tegenwerken, toch? Of kun je dan wel voor obstructie worden opgesloten?
Nog mooier is als die kluis mogelijk meerdere toegangscodes kan hebben, en dat je met elke code toegang krijgt tot een andere inhoud. En dat je aan het openen van de kluis met ťťn zo'n code onmogelijk kunt zien dat er misschien ook nog andere codes zijn met een andere inhoud.
Het is niet zozeer het zwijgrecht, dat is een gevolg van nemo temetur, het niet mee hoeven helpen aan je eigen veroordeling. Dat is wat breder dan alleen niets hoeven zeggen. Het gaat bijvoorbeeld ook op bij het afgeven van wachtwoord, of een kluissleutel. Dus wat dat betreft minder bij de haren erbij getrokken dan het op het eerste gezicht lijkt.
Alleen is de klassieke kluis prima te openen met wat geduld en het juiste gereedschap. Om dat juiste gereedschap gaat het hier. Ik denk meer aan de kunstvinger om met een afgenomen vingerafdruk een verdachte zijn telefoon te unlocken, of een device onderwerpen aan een wat verdergaand destructief onderzoek om sleutels uit te lezen. In dit soort categorieŽn zit veel specialistisch werk en kan Europese samenwerking doorbraken opleveren.
Alleen zijn de methodes die hiermee worden ontdekt natuurlijk net zo goed een backdoor als ze vervolgens niet worden gemeld en gedicht.
Het enige wat ik kan bedenken is bruteforce ontwikkelen die de huidige encryptie in een fatsoenlijke tijd kan kraken, bijv met een quantumcomputer. Gevolg is uiteraard dat er betere encryptie gebruikt zal worden, maar dan kan je iig oude zaken oppakken. Het blijft een kat-en-muis spelletje zonder backdoors.
Ook quantumcomputers zullen solide symmetrische encryptie zoals AES-256 niet kunnen bruteforcen. Ze kunnen het wel sneller dan 'normale' computers, maar daar zit een bovengrens aan. Voor quantumcomputers is de best mogelijke (theoretisch maximaal haalbare) search space om 256-bit key te brute forcen gelijk aan die voor een 128-bit key voor conventionele computers. En 128-bit bruteforcen kunnen we bij lange na niet.
Positief dat de EC de vragende landen zoals Frankijk en Duitsland hiermee eigenlijk afwimpelt. Deze landen wilden WhatsApp en andere apps met end-to-end versleutelde communicatie dwingen de berichten te ontsleutelen (feitelijk een backdoor aanbrengen).

Het elkaar helpen met ontsleutelen gaat natuurlijk nooit gebeuren. Als landen al diepgaande kennis hebben om AES of dergelijke (gedeeltelijk) te ontcijferen dan gaan ze dat natuurlijk nooit delen. En ook gezamelijk encryptie algoritmes brute forcen gaat natuurlijk nooit werken.

[Reactie gewijzigd door ArtGod op 19 oktober 2017 12:11]

Die inschatting dat samenwerking voor ontsluiten niet gaat werken deel ik. Ik hoop dat ze daar door (een poging tot) samenwerking achterkomen. Maar wellicht kunnen deze inspanningen wel leiden tot zinvollere samenwerkingen en analyses, bijvoorbeeld door uit metagegevens verbanden af te leiden die ouderwets recherchewerk ondersteunen. Dat zou wel winst zijn denk ik.

[Reactie gewijzigd door Paulus73 op 19 oktober 2017 15:17]

Dat kan nu ook al volgens mij. Bij WhatsApp kunnen ze wel delen wie met wie praat, maar niet wat er gezegd wordt.

De inlichtingendiensten willen eigenlijk in real time van iedereen kunnen zien wat ze bespreken, en dat mag niet, want dat is privť. Ik ben blij dat er end-to-end encryption bestaat, want wat ik bespreek gaat ze geen moer aan.

[Reactie gewijzigd door ArtGod op 19 oktober 2017 17:25]

Ik ben geen fan van backdoors in encryptie. Die lekken toch uit en dan is de encryptie waardeloos.

Aan de andere kant zie ik wel het probleem in strafzaken (niet alleen terrorisme) waarbij het bewijs is vastgelegd in encrypte bestanden. De samenwerking is daarom mooi. Dat kost in elk geval minder geld dan wanneer elk land appart aan de slag gaat.

Het verplichten om bestanden te decrypten of de wachtwoorden af te geven staat haaks op andere rechten. Ieder land kent wel een vorm van verschoningsrecht, waarbij je niets hoeft te zeggen of te doen om het bewijs in je eigen strafzaak te leveren.
Ik ben een beetje bang voor een "Het moet van Europa"-excuus.

In ons eigen land zijn we allemaal fel tegen verplichte backdoors of een decryptieplicht. Maar het is al een stuk makkelijker om het aan anderen op te leggen. Die ander kan dan zeggen dat het niet zijn idee is en dat het moet van Europa. Tja, dan kunnen we natuurlijk niet anders dan braaf gaan zorgen dat we data uit andere landen kunnen decrypten/backdooren. Van onze eigen data blijven we uiteraard af, en we doen alsof we niet weten dat andere Europese landen hetzelfde doen met onze burgers. Als we eenmaal een goedwerkende backdoor hebben komt er weer druk om toch maar ook onze eigen data te decrypten. Als we toch al zo veel hebben geinvesteerd in apparatuur voor Europa dan zou het zonde zijn om er zelf geen gebruik van te maken, of zo iets...
Europese"unie" is het grootste gevaar voor onze veiligheid en vrijheid.
interessante stelling, kan je die ook toelichten?
Er is daar in Brussel niemand democratisch gekozen.
vreemd stelling in het licht van de europese verkiezingen die we elke vijf jaar laten doorgaan
Het misbruiken van terreur om verder onze vrijheid in te perken is gewoon belachelijk.
elke vorm van misdaad "wordt misbruikt" om individuele vrijheden te beperken. Zonder de wetten tegen "slagen en verwondingen" zouden we met zijn allen meer individuele vrijheid hebben zoals bijvoorbeeld iemand met een hamer op de kop slaan.
Als je publicatie leest staat er niets in over wegnemen of verminderen van reden waarom we laatste tijd incidenten hebben meegemaakt.
daar gaat de publicatie dan ook niet over. Er zijn ongetwijfeld wel andere publicaties die het daar wel over hebben.
Bovendien indien het ECHT over redden van levens gaat zouden ze eens iets aan veiligheid in het verkeer kunnen doen....
Dat proberen ze ook.
Wat is je stelling? Niemand mag het over iets anders hebben tot er geen verkeersdoden meer zijn?
Antwoord op je eerste 2:

https://nl.wikipedia.org/..._een_Grondwet_voor_Europa

o.a. Nederland deed het zonder Europa ook gewoon goed.

Je kunt juist stellen dat door open grenzen, open samenleving, vrijheid van vervoer/transport goederen het aantal grensoverschrijdende problemen significant is vergroot.


Europa wil verdere samenwerking om terreur "in te perken" , terwijl terreur niet het grootste probleem is qua aantal slachtoffers in de laatste 50 jaar.

De grootste objectief waarneembare problemen krijgen niet de aandacht van Europa terwijl ze ondertussen wel ANGST gebruiken om onder het mom van terrorisme vrijheden in te perken.

Mijn stelling is simpel, kosten/baten. Zodra je meer maatregelen gaat treffen voor een waarschijnlijk probleem die statisch gezien niet relevant is, ben je gewoon verkeerd bezig ongeacht de werkelijke reden daarvoor.
De open grenzen hebben ook een belangrijke bijkomende economische groei mogelijk gemaakt.
Nu wil ik graag geloven dat er mensen zijn die de nadelen van een eengemaakt Europa groter vinden dan de voordelen, maar "Nederland deed het zonder Europa ook gewoon goed" is een argument van dezelfde orde als "we deden het ook nog gewoon goed met paard en kar".
Europa wil verdere samenwerking om terreur "in te perken" , terwijl terreur niet het grootste probleem is qua aantal slachtoffers in de laatste 50 jaar.
Dat is dezelfde redenering als in je vorige post: omdat er "ergere dingen" gebeuren mŗg Europa zich er niet mee bezighouden?
Overigens hebben de ordediensten in zowat alle landen kritiek gekregen omdat er te weinig samenwerking en informatieuitwisseling is.
Je bent ook tegen Europol?

[Reactie gewijzigd door vampke op 19 oktober 2017 15:35]

Waren we minder gelukkig met paard en kar?

Kosten / baten.

Je ziet toch wel in dat men FUD gebruikt omzichzelf te rechtvaardigen.

Voor open handel en grenzen hebben we geen Europa nodig.

Samenwerkingsverband zonder burocraten is ook mogelijk.

BeNeLux bewijst dat al.

[Reactie gewijzigd door totaalgeenhard op 19 oktober 2017 15:49]

Waren we minder gelukkig met paard en kar?
Ik durf te stellen van wel ja, destijds moest iedereen 60 uur per week werken en was desondanks de economische output stukken lager. Het is dankzij de automatisering dat onze werkweek sterk verlaagd is terwijl de economische output sterk is verhoogd.
Je ziet toch wel in dat men FUD gebruikt omzichzelf te rechtvaardigen.
dat is geen argument, ik zie dat niet zo
Voor open handel en grenzen hebben we geen Europa nodig.
Nee, maar kijk maar naar wat groot-brittaniŽ nu allemaal op zijn bord krijgt met de brexit.
Het mag alle handelsakkoorden met alle landen in de wereld opnieuw en voor zichzelf gaan heronderhandelen (het staat alleen uiteraard veel minder sterk in die onderhandelingen dan als een onderdeel van de hele EU).
Samenwerkingsverband zonder burocraten is ook mogelijk.
Brexit: de hele europese regelgeving nu moet herschreven worden in een nationale regelgeving. Misschien denk jij dat het voor de economie beter is als elk land zijn eigen regels en wetten opstelt, maar iedereen die al eens met een administratie te maken heeft gehad beseft dat dat gewoon niet kan kloppen. En als we dan toch die hele rimram op een hoger niveau regelen... wel dat is eigenlijk gewoon wat de EU doet.
BeNeLux bewijst dat al.
Waar kom jij nu nog mee af?
De benelux is een totaal overbodig en uitgekleed orgaan sinds de oprichting van de EU. Als er iets is wat enkel in het leven blijft ter meerdere eer en glorie van de politici die er van profiteren is het wel de benelux
Economische output in Europa tov doorsnee Aziatisch land is nihil.
ik begrijp deze stelling niet, ze is alleszins niet met cijfers te ondersteunen. Het BNP per hoofd in europa is een veelvoud van dat in aziŽ.
Wellicht zie je het rondpompen van geld niet als het in standhouden van een unie.
wat bedoel je hiermee?
Vroeger kon je met 10 gulden in Spanje.overnachten inclusief ontbijt. Vandaag kan je op zelfde plek voor 5 euro geen eens ontbijt krijgen.
wat is je punt nu. De reden hiervan is uiteraard dat spanje nu economisch dichter bij ons aanleunt dan vroeger. Dat is in grote mate de verdienste van de EU
Ps: als multinational heb ik het genoegen om met diverse Europese regels en wetgeving te moeten.houden. waaronder btw die ik in rekening moet brengen....
Als "multinational" kun je beter eens met je boekhouder spreken, want een intracommunautaire transactie is vrijgesteld van BTW...

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*