Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd.

De verdediging verzocht de rechtbank om het Openbaar Ministerie niet-ontvankelijk te verklaren, omdat de servers van Ennetcom onrechtmatig in beslag genomen zouden zijn. De rechter ging hier niet in mee en oordeelde dat alleen enkele berichten tussen advocaat en verdachte niet als bewijs werden meegenomen.

De Ennetcom-servers bevonden zich in Canada en speelden een centrale rol bij het afgeschermde netwerk waarmee de pgp-toestellen communiceerden. In de praktijk ging het veelal om Blackberry-telefoons, die berichten versturen die via pgp versleuteld zijn. Op de door de Canadezen verstrekte kopie van de servers trof de politie in 2016 in totaal 7TB aan data aan van 3,6 miljoen versleutelde berichten, verstuurd via zo'n 40.000 smartphones. Omdat de politie en het OM ook over de encryptiesleutels beschikten, konden ze de encryptie van de berichten ongedaan maken.

Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. De crimineel kreeg donderdag een gevangenisstraf van achttien jaar opgelegd. Overigens was er naast het Ennetcom-berichtenverkeer voldoende bewijs tegen hem. De verwachting is hoe dan ook dat de gegevens van pgp-telefoons vaker door het OM gebruikt gaan worden bij zaken tegen criminelen nu de rechtbank deze als bewijs heeft toegestaan.

Door Olaf van Miltenburg

Nieuwscoördinator

19-04-2018 • 16:05

116 Linkedin Google+

Reacties (116)

Wijzig sortering
Goede zaak. Ik snap niet waarom het in de rechtzaal uit zou moeten maken of berichten versleuteld of niet-versleuteld waren.
Omdat de politie en het OM ook over de encryptiesleutels beschikten, konden ze de encryptie van de berichten ongedaan maken.
Is er dan wel sprake van 'gekraakte' berichten?
Goede zaak. Ik snap niet waarom het in de rechtzaal uit zou moeten maken of berichten versleuteld of niet-versleuteld waren.
Zoals ik het bericht lees was de encryptie het punt niet. Eerste alinea, eerste zin:
De verdediging verzocht de rechtbank om het Openbaar Ministerie niet-ontvankelijk te verklaren, omdat de servers van Ennetcom onrechtmatig in beslag genomen zouden zijn.
Volgens de verdediging is een deel van het probleem van het gebruik van de berichten dat justitie een selectie maakt uit de berichten waar ze over beschikken. De rechtbank en de verdediging krijgen alleen de berichten overhandigd die justitie geselecteerd heeft en dus niet per definitie alle communicatie van een account/telefoonnummer. Daardoor kan er invloed uitgeoefend worden op het beeld wat ontstaat uit de gekozen berichten.
Al leken sommige berichten weinig meer aan de verbeelding over te laten in deze zaak.

[Reactie gewijzigd door The Reeferman op 19 april 2018 22:09]

En dat is inderdaad een erg gevaarlijke ontwikkeling. Als het OM naar goeddunken bewijzen kan achterhouden, dan is dat een serieuze bedreiging voor het eerlijke proces. Ik heb me in deze zaak niet verdiept en leg me dan ook gewoon bij het oordeel van de rechter neer, maar het is in het verleden bijvoorbeeld bij het gebruik van camerabeelden die door bodycams of dashcams van de politie zijn gemaakt wel eens gebeurt dat OM en politie trachtten feiten anders uit te leggen dan ze werkelijk waren gebeurd door erg selectief materiaal aan de rechtbank te tonen. Het gevaar is dus niet door de advocaten uit hun vingers gezogen. Ik hoop dan ook dat de rechter hier precies naar heeft gekeken.
Andersom deinzen advocaten er niet voor terug de grootste onzin als waarheid te presenteren, of al was het maar om twijfel te zaaien – want dat is meestal al genoeg om ermee weg te komen – net zo goed door alles wat niet van pas komt weg te laten.

Er zijn vaak uren aan gesprekken terug te vinden, tienduizenden SMS'jes en emails. Natuurlijk maakt het OM dan een selectie, want anders is er geen doorkomen aan. Je kan moeilijk verwachten dat die rechter alles wat de politie verzameld heeft, nog een keer door gaan lezen, want vaak is 99% niet relevant of juist meer van hetzelfde. Een standaard wanhoopspoging van een advocaat is: Altijd proberen om overal een probleem van te maken. Nee heb je, ja kun je heel misschien krijgen. Gelukkig herkennen de meeste rechters na al die jaren dat soort flauwekul nog beter dan de advocaten zelf.

De grootste crimineel, met een strafblad van 80 kantjes, wordt door zijn advocaat net zo makkelijk als een brave huisvader neergezet. Weet van de prins geen kwaad, terwijl heel Nederland weet dat hij al tig keer veroordeeld is voor van alles en nog wat. Zelfs een 'top-crimineel' (een domme media-term, alsof het een hele prestatie en een benijdenswaardige positie is) als Holleeder ziet zichzelf in de eerste plaats als slachtoffer. Alsof het allemaal maar een beetje gerommel in de marge is geweest wat hij allemaal gedaan heeft.
Als de advocaten van de beklaagde bewijzen willen doorspitten of bestuderen (omdat ze bijvoorbeeld een gekleurd beeld willen voorkomen) dan vind ik dat alle bewijsmateriaal vantevoren overhandigd moet worden. Ik vind het overigens goed dat beklaagden zich niet kunnen verschuilen achter "geheime" berichten etc. etc. Dat er op een vertrouwelijke manier met de gegevens moeten worden omgegaan en dat ze toepasselijk worden gebruikt is wel een vereiste.
Wat @RMvanDijk en @hamsteg eigenlijk al zeggen maar ook: Stel, jouw auto is voor de derde keer beschadigd. Je doet aangifte en de politie doet een buurtonderzoekje. Verschillende buren hebben het gezien en weten wie het doet, iemand van twee straten verderop, maar willen dat niet officieel 'verklaren' dwz op papier laten zetten zodat het gebruikt kan worden, uit angst voor represailles.

Dan heeft de politie daar niets aan qua bewijs, maar ze weten wel hoe de vork in de steel zit. Ze gaan een keer goed kijken naar de auto van die man van twee straten verderop. Uit onderzoek van de achtergebleven lak blijkt, wederzijdse krassen en deuken op gelijkwaardige hoogte etc. blijkt dat het inderdaad de auto van de dader moet zijn.

Dan komen die buren niet met hun naam in het dossier te staan. De agenten weten heus wel wie het zijn maar ze kunnen er niets mee de rechtszaal dus die laten ze weg. De advocaat van de dader krijgt ze niet te zien en toch is het helemaal volgens het boekje.
In deze vergelijking gebruiken de agenten dus de ontsleutelde berichten om tot een spoor of aanwijzingen te komen en overleggen vervolgens hun bewijs aan beide kanten (lak 1 = lak 2)

De informatie is rechtmatig verzameld en het is aannemelijk dat deze informatie op die wijze naar buiten komt. Als de politie middels buurtondervraging zonder getuigenis een 20 cijferig slot kunnen openen is dat natuurlijk vreemd en zou je niet kunnen volstaan met anoniem buurtonderzoek
De vergelijking was meer bedoeld om aan te tonen dat nou eenmaal niet altijd alle informatie die de politie verzameld bruikbaar is in de rechtszaal.

Wat betreft de vergelijking met de politie die na een buurtonderzoekje zonder getuigenissen een 20-cijferig slot opent: Dat is inderdaad vreemd, tot blijkt dat iemand de de code op een labeltje er aan heeft gehangen.. Tja, dan is het niet zo vreemd meer. En dat is toch een beetje wat hier aan de hand is: Het gebruikte systeem is erg lastig te openen, als het goed ingesteld is, maar dat was het niet.
Als het niet gebruikt wordt in de zaak, is het dan bewijsmateriaal?
Het OM/de politie stelt volgens mij altijd enkel de materialen die ze gaan gebruiken ter beschikking.
Mocht de verdachte dan vrijgesproken worden dan kunnen ze voor aanpalende zaken het al vergaarde ongebruikte bewijs gebruiken.

Dat het OM een gekleurd beeld afgeeft van de verdachte lijkt me eigenlijk niet meer dan logisch, zolang ze bij de zoektocht zelf dat maar niet gedaan hebben.
Heel vreemd, dus de verdediging hoeft niet alles aan het OM te leveren maar omgekeerd verwacht je wel dat het OM dit doet richting de verdachte?

Het OM moet met bewijzen aantonen dat er sprake is van een misdrijf, dat zij een selectie maken is logsich omdat hun opdracht verschilt met het doel van de verdachte.. Zij gebruiken daarvoor middelen, door jou en mij betaald. Als de verdachte vindt dat het OM niet het hele beeld schetst dan zal de verdachte zelf alle gegevens aan zijn advocaat moeten geven. Je kunt van het OM niet verwachten dat al het werk dat met onze middelen betaald is, gratis en voor niets aan de verdediging geven om hubn zaak onderuit te halen terwijl de verdediging dit volledig zelf kan krijgen van de verdachte.
Zoals Krulliebol hier ook als voorbeeld geeft: als een partij weet dat er bewijsmateriaal achtergehouden wordt welke de zaak eventueel kan doen kenteren. Is dat terecht? Het kan niet zo zijn dat iemand van tevoren al schuldig is bevonden op basis van gedeeltelijk compromitterend bewijs. Ik ben eens samen met een vriend van mij van de fiets geplukt en gefouilleerd door de politie en in de cel gegooid, omdat wij voldeden aan de beschrijving van een overvaller. Ik vind mijn vriend niet echt op mij lijken, hoewel we allebei donker haar hebben. In de cel zat er ook een andere jongen, die "voldeed" aan de beschrijving. Stel je voor dat dat voldoende bewijs zou moeten zijn. Wij 2-en konden een aantal uren later weg, zonder verder verhoor overigens, die andere kon blijven. Stel het was anders gelopen: Lijkt me dan meer dan terecht dat ik als onschuldige, kan eisen dat ze "alle" bewijzen op basis waarvan ze mij willen veroordelen moeten laten zien. En niet alleen bijvoorbeeld "voldoet exact aan de beschrijving".
Vervelende ervaring maar volstrekt anders. De verdachte plaatst pgp berichten en is dus volledig op de hoogte en kan dit dus zelf overhandigen aan zijn advocaat. De hulp van het OM is in deze niet nodig zoals @conces dat wel wil hebben.
een synonym voor Holleeder?
- Reetveter :)
Een veroordeling vindt toch plaats op basis van bewijsbare feiten en de wetteksten strafrecht? Toch niet op basis of meneer vaak oudere mensen helpt bij het oversteken als goed gedrag?

Ik bedoel, wat zou het OM moeten tonen in alle berichten dan? Op welke manier zouden andere berichten het aansturen van een liquidatie kunnen goedkeuren?

Er is een gebeurtenis en een verdachte. Zaak voor de politie en OM om het bewijs sluitend te krijgen. Vervolgens ligt de taak bij de rechter om het bewijs af te wegen en in deze zaak is dit aanvaard.

Ik snap werkelijk niet waarom het selectief aanleveren van bewijs een negatief iets is. Er worden geen feiten verdraaid, maar niet belangrijke informatie achterwegen gelaten. Een wereld van verschil. Een advocaat levert vaak juist een twist op de zaak waarbij informatie verkeerd wordt gedeeld waardoor er een andere schijn valt op de zaak. Vaak is dat wat een advocaat doet, niet het bewijs weerleggen maar een andere kijk hierop plaatsen.
Dat is inderdaad geen probleem als er echt alleen 'niet-belangrijke informatie' is weggelaten. Vergelijk: de politie vindt 8 getuigen van een misdrijf waarvan er 2 tégen de verdachte getuigen en 6 in het voordeel van de verdachte. Als alleen de eerste 2 getuigenverklaringen aan de rechter worden voorgelegd, denkt hij dat de verdachte schuldig is. Het is voor de verdediging onmogelijk om zulk bewijs te weerleggen als ze geen toegang tot het oorspronkelijke materiaal heeft. Dus ja: selectief informatie weglaten/presenteren kan een probleem zijn.

Bovenstaande bedoel ik in het algemeen. In de zaak waar dit nieuwsbericht over gaat, heeft de verdachte waarschijnlijk sowieso de beschikking over zijn complete gespreksgeschiedenis, dus kan de advocaat indien nodig altijd een groter deel van een gesprek aan de rechter presenteren dan het OM doet.
Tja, het probleem is dat je zeker moet weten dat alleen niet belangrijke informatie is weggelaten. Zeker bij berichten is context van enorm belang. Een selectief weggelaten bericht uit een conversatie maakt van een doodgewone conversatie een gesprek van terroristen of criminelen. Als de advocaat van de verdediging geen volledig inzicht krijgt, dan kan het om dus manipuleren door niet hier alle bewijzen te tonen. Een goed voorbeeld is een verhaal uit Duitsland, waar het OM een man aanklaagde die zich zogenaamd tegen arrestatie had verzet en daarbij agressief tegen de politie was opgetreden. Als bewijs toonden ze een beeld van de dashcam waar dat inderdaad zo leek. Pas toen de rechter het OM dwong om alsnog de hele video te tonen bleek dat juist de agenten in de fout gingen en verdachte zich lichaam tegen de slagen van de agente zat te beschermen door zijn arm voor zijn hoofd te houden. Als de rechter hier te laks was geweest, had de verdachte ten onrechte voor geweld tegen agente de gevangenis in kunnen gaan. Dat is het gevaar en dat is bij berichten nog groter omdat er nog minder context te zien is dan bij een beeld. Daarom is dit soort gedrag van het OM erg zorgwekkend en kan je dus als burger alleen hopen dat de rechters hier goed tegen optreden. Want tussen OM en politie zit dermate veel macht dat zij ook volledig onschuldigen kunnen veroordelen als niet de de complete bewijsvoering en open gelegd word.
Dat is waarschijnlijk gebaseerd op het idee van briefgeheim. Alleen de ontvanger mag lezen wat in het bericht staat tenzij de politie toestemming heeft van de rechter om het te lezen.
Briefgeheim is van toepassing op post, weet niet of die nu echt van toepassing is op digitaal berichtenverkeer.
Gaat meer om inbreuk op privacy. Inhoud van berichten is natuurlijk vrij snel een hoge mate van inbreuk.
"De verdediging verzocht de rechtbank om het Openbaar Ministerie niet-ontvankelijk te verklaren, omdat de servers van Ennetcom onrechtmatig in beslag genomen zouden zijn."

Het maakt in deze zaak inderdaad niks uit of ze versleuteld of niet waren.
Dat was gewoon een wanhoopsactie van de advocaten (zo van: niet geschoten altijd mis) want natuurlijk waren de servers niet onrechtmatig in beslag genomen.
Waarom 'natuurlijk'?
Omdat de politie niet veel moeite gehad zal hebben om te bewijzen dat de servers gebruikt werden door criminelen. Dan is er echt wel een 'probable cause' zeg maar.
Het maakt niet uit of OM kon bewijzen dat server door criminelen gebruik werden.

De vraag is mochten de Canadese autoriteiten de servers in beslag nemen.
Normaal krijg je dan dacht ik een rechtshulpverzoek aan canada.
Deze neemt de server dan op basis van de aanvraag in beslag, c.q vraag een Canadese rechter dat te doen.
Dan is het de vraag of ennetcom daar tegen bezwaar heeft ingediend. Zo niet dan mogen de gegevens gewoon aan Nederland worden overgedragen en kunnen ze dus gebruikt worden.

Grote kans bij dat de eigenaren van ennetcom geen bezwaar gemaakt hebben en daardoor misschien lagere straf gekregen hebben.

Laat dus zien dat er ook bij ennetcom een masterkey beschikbaar was en dat is natuurlijk niet slim.

De gegevens kunnen dus nu gewoon in verschillende zaken waarschijnlijk als aanvullend bewijs gebruikt worden. Als crimineel moet je dus tegenwoordig ook kijken met wie je in zee gaat en mooie verhalen dat het veilig is, hoef je dus niet meteen te geloven.
Ik stel me zo voor dat criminelen die zoveel verstand van zaken hebben dat ze precies weten waar ze op moeten letten, zo'n bedrijf niet nodig hebben. Maar zelfs als je dat allemaal weet: Hoe controleer je zo'n bedrijf? Hoe kun je ooit weten of er een master key is of niet? Dan kun je nooit zeker weten. De enige manier is, om het zelf te doen, maar dan nog is er zijn er altijd mogelijkheden zoals achterdeurtjes in de software, waarvan je nooit 100% zeker kunt weten of ze er zijn of niet.
Als crimineel heb je toch aardig wat 'overtuigingskracht' om te zorgen dat zo'n bedrijf z'n zaakjes op orde heeft. Je snapt zelf ook wel de gevolgen als je een bende criminelen bedonderd.
Zit wat in, maar als de eigenaar in Canada woont, of het is van een groep bedrijven of een beleggingsclub.. Hoe dan ook ben je dan al te laat, want het bewijs ligt al bij Justitie, dus dan heb je wel even wat anders aan je hoofd.

Andere mogelijkheid is dat personeel van het bedrijf gewoon een domme fout maakt. Of misschien staat het al onder invloed van criminele concurrenten.
Criminele zijn ook mensen en misschien lopen er een paar tweakers rond maar als ik mag gokken hebben er weinig verstand van ict en wat erbij komt kijken.
Het gaat zoals in het normale leven je hoort van die he joh daar kun je beveiligde telefoons kopen werkt goed, gebruik het zelf ook.
Het bedrijf heeft een overtuigend verhaal met een mooi marketing sausje er over sleutels beveiligd, servers buiten Nederland enz.

De enigste telefoon die al dacht 10-15 jaar op de markt is, echt open source en voor snowden is de cryptophone. End to End encryptie zonder server er tussen. Sleutels die veranderen. Verbaas me waarom ze daar niet gebruik van maken.
Ik kom tot dezelfde conclusie (Het gaat zoals in het normale leven je hoort van die he joh daar kun je beveiligde telefoons kopen werkt goed, gebruik het zelf ook.
Het bedrijf heeft een overtuigend verhaal met een mooi marketing sausje er over sleutels beveiligd, servers buiten Nederland enz.)

Mensen, zeker in bepaalde milieu's, kijken graag naar de buurman, zien dat dat al een tijdje goed gaat en gokken feitelijk dat het wel goed komt als ze hetzelfde doen.
Ik sta vaak vooraan om voor meer privacy te roepen. Maar het gerecht moet haar werk kunnen doen. M.a.w. van zodra criminelen middelen gebruiken om misdaden te plegen, dan geeft dat aanleiding voor een rechter of onderzoeksrechter om toestemming te geven die middelen in beslag te laten nemen voor onderzoek door bv. politie of analysten.

M.a.w. een server in beslag nemen kan perfect in mijn ogen. Zolang er een rechter en/of onderzoeksrechter aan de pas kwam om de proportionaliteit te toetsen. En dus niet de politie of de veiligheidsagent of de inlichtingendienst of het leger of de Koning of de eerste minister of wie dan ook behalve .. een rechter. M.a.w. de rechterlijke macht doet dit. Onafhankelijk van de waan van de dag en onafhankelijk van de belangen van de staat, de politieagent, de Koning, de eerste minister of zijn vrouw en onafhankelijk van de inlichtingendiensten en ook, zelfs, onafhankelijk van geopolitiek. En zelfs onafhankelijk van meneer kolonel uit het leger. Allemaal onafhankelijk van al die mensen, diensten en overheden.

Zelfs God niet.

Maar de rechter kan dat perfect bevelen. Inderdaad. Indien er probably cause is. Proportionaliteit. En zo verder.
Allemaal leuk en aardig, maar stel nou dat ik een PGP telefoon heb, en m'n baas ook, en we zijn constant over en weer berichten aan het sturen over bedrijfsgeheimen? En voordat je roept 'ja maar ze kijken alleen naar de criminelen', wie zegt dat? geloof maar dat ze met meerdere mensen in die database zitten te wroeten, en dan kan het zomaar gebeuren dat piet de agent met het bedrijfsgeheim van m'n baas geld gaat verdienen.

Klinkt misschien een beetje ver gezocht, maar dat is het niet, bij de politie zitten ook echt niet allemaal heiligen, en dit soort dingen zijn in het verleden ook al gebeurd (politie die in eigen tijd criminelen bedreigt om een deel van de winst etc)
Helemaal mee eens hoor. Wat jij vertelt zou nooit (mogen) goedgekeurd worden door een onderzoeksrechter en zou geen enkel degelijk proportionaliteitsonderzoek doorstaan.

Tenzij het bedrijf van je baas zich bezig houdt met criminele zaken.

Uiteraard begrijp ik ook dat tal van berichten in de media (Snowden's onthullingen) aantonen dat vele Westerse veiligheidsdiensten onder het mom van terreurbestrijding massaal bezig zijn met bedrijven af te luisteren.

Dat is effectief idioot fout van die overheden. De "veiligheidsagenten" (tussen aanhalingstekens want dit zijn helemaal geen mensen die zich bekommeren om onze veiligheid, maar wel mensen die eenvoudigweg misdadigers zijn) die dat gedaan hebben horen eigenlijk allemaal gevangenisstraffen te krijgen. De politici die dat goedgekeurd hebben, ook.

Dat zal niet gebeuren. Maar wij zullen de geschiedenis over hen schrijven. Een heldenstatus kunnen ze vergeten.

[Reactie gewijzigd door freaxje op 20 april 2018 15:55]

Het bedrijf waar ik voor werk heeft het gehad. Amerikaanse overheid heeft bedrijfsgeheimen via telefoons achterhaald. En doorgespeeld aan Amerikaanse bedrijven.

Gebeurt op een luchthaven. Daarom gaat geen enkele werknemer zakelijk meer naar de VS, we kopen er ook niets meer in. En als Amerikaanse bedrijven willen kopen moeten ze doen via een ander bedrijf, wij verkopen niets meer direct naar de VS.
Klinkt inderdaad een tikkeltje vergezocht (gelukkig maar zou ik zeggen) maar goed, niet totaal onmogelijk. Alleen: Zelfs als dat bij uitzondering wel eens gebeurt, lijkt me dat nog steeds een beter scenario dan dat criminelen feitelijk massaal niet aangepakt kunnen worden doordat PGP-telefoons bestaan.

Maar mijn tegenvraag is dan: Wat stel je dan voor als alternatief? Want het is altijd makkelijk om kritiek te hebben, maar ik wil dan ook wel eens weten hoe het volgens jou beter zou kunnen.
Heel lullig misschien, maar gewoon ouderwets politie werk doen zou een mooie tegenhanger zijn, de politie doet naar mijn mening (door constante bezuiniging etc) steeds minder/is steeds meer afhankelijk van dit soort systemen. Ik kan me echter goed voorstellen dat ze mensen met zo'n telefoon (en 'criminele bedoelingen') ook op een andere manier kunnen pakken, zonder daarbij het recht om privacy een beetje naar hun wil om te buigen.
Alleen: Er mag niet worden gebogen aan dat recht van privacy. Dat sommigen dat denken is wat anders dan dat het echt gebeurt.

Als de recherche bij het OM komt met een zaak en het blijkt er op neer te komen dat ze puur op basis van een leuke ingeving iemand zijn gaan tappen, zonder toestemming van de Officier van Justitie, dan wordt die zaak bij voorbaat al geseponeerd. Dat weet de politie ook en die kijken dus wel uit voor dat soort zaken want dan is al het werk voor niets geweest. En geloof het of niet, maar daar hebben zelfs agenten de schurft aan. ;)
-Ook God! Aangezien wij in de eeuwige duisternis zitten en hij alles kan zien en iedereen ziet leven, maar goed.

Los gezien daarvan smullen rechtssystemen hiervan het en gaat steeds verder naar big brother is watching you!


Welk middel wordt niet gebruikt door criminelen? Bitterballen? :O
Het zijn mensen die systemen uitbuiten/manipuleren/ontduiken/uitzuigen ten goeden van hun zelf, wat moeten ze dan? Dan ben jij zelfs crimineel als we de bijbel erop naslaan, over God gesproken, of je hebt gezondigd en HIJ vergeeft je!

Het spijtige is eigenlijk dat de ‘onschuldige’ steeds dieper verzeild raakt in een complexere wereld.

[Reactie gewijzigd door Cybertek op 19 april 2018 19:44]

Ik haalde er den God enkel maar retorisch bij hoor. Ikzelf ben nihilist.

Een rechtvaardige God kijkt niet in privéberichten. Tenzij hij aangesteld is en goedkeuring heeft van de rechterlijke macht om dat te doen.

Een rechtvaardig veiligheidsambtenaar dus ook niet.

ps. Criminelen gaan ook af en toe naar een frituur om bitterballen.
God. Joh. Ik dacht dat hier wel kennis en verstandige mensen waren. Religie is niets meer dan het bang maken van bepaalde doelgroepen. Geloof = achteruitgang.
Niet gehinderd door enige kennis? Niet erg, maar ga dan geen onzin blaten.
Dank je voor je feedback Up. Ik was dit alweer vergeten maar moet hier op terug komen. Tevens bied ik ook mijn excuus aan, dit had ik zo niet mogen zeggen. Echter word ik af en toe zo mentaal debiel van dit onderwerp dat ik mijn emoties niet meer kan controleren. Ieder zijn ding. De mening verander ik niet daarin tegen. Geloof is iets wat ik niet begrijp. Ik heb het geprobeerd. Maar de logica heeft me snel doen stoppen. Sorry.

Mocht je mijn comment wel waarderen tot op zekere hoogte? Raad ik je aan dit de lezen. Tim Urban op zijn best:

How religion got in the way

[Reactie gewijzigd door Core2016 op 22 april 2018 03:30]

Er moet een, volgens de in dat land geldende wet, correct proportionaliteitsonderzoek verricht worden, er moet een ernstig vermoeden zijn (van een dreiging, van een misdaad). De bedoeling kan niet zijn dat de veiligheidsambtenaar en rechter er een spel van maken (bv. geen massale hoeveelheden goedkeuringen geven onder het mom van als of het juist goedgekeurd is - dat kan niet bij massa's goedkeuringen).

Er moet rekening gehouden worden met de impact op burgerrechten zoals privacy (dit hoort bij een keurig proportionaliteitsonderzoek). De onderzoeksdaden moeten dus proportioneel zijn t.o.v. de misdaad. M.a.w. men moet niet de hele straat gaan afluisteren omdat iemand een papiertje op de grond laat vallen of omdat hij 10km/h te snel rijdt. De veiligheidsambtenaar hoort niet continue de zaken in het belachelijke te trekken en omgekeerd moet de veiligheidsagent zijn werk naar behoren kunnen doen. M.a.w. ambtenaren die dat wel doen horen hun ontslag te krijgen. Enkel serieuze mensen.

En in geval er artsen, advocaten en journalisten dienen afgeluisterd te worden dan gelden er bijzonder zware en strenge regels (zij moeten persoonlijk bijdragen aan de dreiging die onderzocht wordt). Dat is eigenlijk iets waarvoor (achteraf) zelfs het parlement zou moeten samengeroepen worden en een debat in de media (want er hoor dan democratische controle te zijn) en waarbij er achteraf een zeer uitgebreide analyse moet gebeuren door alle mogelijke controle organen waarbij er ongezien hoge (gevangenis)straffen horen te zijn voor veiligheidsagenten die op dat moment hun boekje te buiten gaan.

En dan wel ja.
Het juridisch probleem zit in dat alle berichten van Enetcom een soort 'sleepnet' aktie zijn. Politie heeft zoveel informatie daaruit ook voor zaken waar voor de informatie beschikbaar werd geen lopend onderzoek was. Dat was hier wel het geval maar dan nog was de informatie niet op een gerichte manier buitgemaakt.

De rechter vond het blijkbaar deze keer voldoende, maar ik vraag mij af wat er gebeurt als het OM bij de rechtbank komt met een zaak welke pas is gaan lopen NA de Enetcom berichten waren ontcijferd.
So, dat moet toch niets uitmaken. Informatie vergaard bij een 'sleepnet' aktie moet ook gewoon gebruikt kunnen worden, of vind je dat een algemene verkeerscontrole en er wordt dan een lijk gevonden in iemand zijn kofferbak ook maar dat het lijk dan niet als bewijs gebruikt mag worden omdat de verkeerscontrole niet aan het controleren was naar lijken.
Wellicht wordt het tijd voor je om 1984 te gaan lezen.

We hebben hier een combinatie van een sleepnet actie en selectief gebruik van de resultaten daarvan. Als je maar lang genoeg zoekt vindt je van iedereen wel iets strafbaars. Dat is de reden dat we bescherming van de privacy kennen; je mag alleen gegevens verzamelen van iemand die al verdacht is.

De combinatie van sleepnet en selectief gebruik zorgt er voor dat iedereen moet vrezen voor wat hij dagelijks doet. Daarmee dwing je mensen in een keurslijf. En dat is niet fijn (<- bedoelt als mijn inzending voor de "Understatement of the Year" award).
Tuurlijk moet je vrezen wat je dagelijks doet, je moet gewoon geen wetten overtreden.
Yup. Want jij hebt nog nooit iets te hard gereden. Of een muziekje of filmpje gedownload waar je geen recht op had.... Iedereen overtreed de wet. En dat is niet erg.

Of nog realistischer, wat nu als je met een vriend grapt over iets illegaals doen? De berichten zijn al verstuurd en het feit dat het een grap was wordt "conveniently" weg gelaten. Want dat is waar het hier over gaat; ALLE berichten opvangen en alleen degenen die het OM goed uit komen gebruiken. Het berichtje over illegale dingen doen is bewijs, de context wordt verwijdert. En plots ben je veroordeeld zonder dat je ooit iets illegaals gedaan hebt.

Je hoeft dus niet alleen te vrezen voor het overtreden van wetten, je moet plots vrezen voor wat je zegt.....
Maar grappen over iets illegaals doen en het dan ook werkelijk doen is wel een groot verschil. Als je alleen grapt maar niets doet dan zal er weinig voor de aanklager als basis zijn om jou veroordeelt te krijgen. Er moeten ook daadwerkelijk strafbare feiten zijn gepleegd.
Maar grappen over iets illegaals doen en het dan ook werkelijk doen is wel een groot verschil. Als je alleen grapt maar niets doet dan zal er weinig voor de aanklager als basis zijn om jou veroordeelt te krijgen. Er moeten ook daadwerkelijk strafbare feiten zijn gepleegd.
Dan moet je je afvragen hoe dit soort berichten überhaupt ooit als bewijs kan dienen.... Niemand heeft ooit een moord gepleegd via text message....

Daarmee kun je je vervolgens ook weer afvragen waarom dan überhaupt communicatie onderschept wordt. Het is tenslotte nooit bewijs dat er een strafbaar feit gepleegd is....

Ofwel: Laten we dan gewoon helemaal stoppen met communicatie af te vangen.
Als jij met je vriendje via mail bespreekt om iemand te vermoorden, en degene wordt vermoord teruggevonden op de manier waarop jullie dit besproken hebben, dan is dat zeker wel een behoorlijk gedegen bewijs, NAAST al het andere fysieke bewijs. Valt dan toch wel onder het gevalletje, algemene verkeerscontrole en een lijk in de kofferbak vinden...
ook @MarvTheMartian Sorry hoor, maar de sleepnet-vergelijking gaat echt niet op hier. Alsof het doorsnee Nederlanders waren die een stevig bedrag neertelden voor een telefoon met vaak beperkte eigenschappen — op één na: Privacy. Het klantenbestand van dit bedrijf was alles behalve een doorsnee van de samenleving.
We hebben hier een combinatie van een sleepnet actie en selectief gebruik van de resultaten daarvan. Als je maar lang genoeg zoekt vindt je van iedereen wel iets strafbaars. Dat is de reden dat we bescherming van de privacy kennen; je mag alleen gegevens verzamelen van iemand die al verdacht is.
'Van iedereen wel iets strafbaars'… dat ga je vergelijken met wat grote drugsdealers, mensensmokkelaars, wapenhandelaren, afpersers, mensen die huurmoordenaars inzetten en weet ik al niet wat op hun kerfstok hebben?!

Wat een kul. Alsof de gemiddelde Nederlander ook wel eens iemand om laat leggen of een kilootje coke uit het buitenland smokkelt! 8)7
Ach, wat is nou een kilootje coke op jaarbasis. :+
Ik snap niet waarom het in de rechtzaal uit zou moeten maken of berichten versleuteld of niet-versleuteld waren.
Omdat dat ook niet de discussie was kennelijk. In plaats daarvan ging het om het volgende:
De verdediging verzocht de rechtbank om het Openbaar Ministerie niet-ontvankelijk te verklaren, omdat de servers van Ennetcom onrechtmatig in beslag genomen zouden zijn. De rechter ging hier niet in mee en oordeelde dat alleen enkele berichten tussen advocaat en verdachte niet als bewijs werden meegenomen.
De link hierin geeft iets meer toelichting over de beredenering van de rechter hierover:
Weliswaar is er in enkele gevallen sprake van een vormverzuim (zo moesten enkele berichten worden uitgesloten van het bewijs omdat het vertrouwelijke communicatie met een advocaat betrof), maar in geen van de gevallen is het verzuim ernstig genoeg om al het bewijs van de servers buiten beschouwing te laten. Daarbij is vooral van belang dat het recht van de verdachte op een eerlijk proces niet is geschonden. De officier van justitie is daarom ontvankelijk in de vervolging.
Hoewel het echt wel zo zal zijn dat de meeste mensen met die telefoons wat te verbergen hebben voor de overheid, is het volgens de wet echt not-done om zomaar berichten te gaan ontsleutelen, dat is gewoon privacy-breuk materiaal. Maar zoals gezegd vind de overheid het allemaal wel best als die mensen maar achter de tralies gaan. Dit is echter wel het begin van een groter probleem, wat ook te linken is aan de sleepwet.
Als ik inbreek in je huis en camera's en microfoons ophang en later dat tegen je gebruik vind je dat goed?

Je moet oordeel los zien van criminaliteit omdat illegaal/onrechtmatig verkregen bewijs toestaan een precedent schept.

Overigens doet ook Nederlandse.overheid aan "witwassen" van bewijs. Gewoon informatie aan buitenlandse dienst geven en die dat laten terug geven...

Een ander bekende is dat politie een pand betreed na waterschade.....
Waarop baseer je je mening dat het hier om illegaal verkregen bewijs gaat.

Severs zijn waarschijnlijk in beslag genomen op verzoek van Nederland aan canada. Dat zal een Canadese toegestaan hebben. Daarna zijn de gegevens naar Nederland gekomen.
Ennetcom had hiertegen dan waarschijnlijk beroep moeten aantekenen omdat zijn de dienst aanboden. Dat hebben ze schijnbaar niet gedaan en erin toegestemd. Dan kunnen de gegevens gewoon gebruikt worden.
Waarom zijn de servers in beslag genomen? de enigste reden die we hebben gehoord is omdat ze PGP berichten wouden ontsleutelen, niet echt een goeie reden (volgens de wet in ieder geval, het parlement/de overheid lijkt het echter allemaal best te vinden want ze pakken weer wat middelmaat crimineeltjes)
Als je een crimineel op het spoor bent en je hebt al het een en ander aan bewijs, maar je weet daardoor dat er meer moet zijn en dat hij een PGP-telefoon gebruikt voor zijn activiteiten… heb je een hele goede / legitieme reden om die PGP-berichten te willen inzien (als rechercheur uiteraard).

[Reactie gewijzigd door breakers op 20 april 2018 02:13]

Oke, daar kan ik inkomen, maar ze hebben nu de mogelijkheid ALLE pgp-berichten in te zien, dat is weer zo'n typische valkuil net als recent de sleepwet, waarbij er massaal data word geharkt onder het mom 'je hebt toch niets te verbergen tenzij je crimineel bent', dat is erg kort door de bocht / is eigenlijk gewoon een privacy schandaal.
De politie kan er nu bij, maar dat is onvermijdelijk omdat alles nou eenmaal op één server staat. Dat heeft de politie niet verzonnen hè? Het alternatief is: Heel de server niet aanraken.. tja lijkt me een beetje overdreven.

Vergeet niet dat de politie alléén berichten van bepaalde verdachten mag lezen en gebruiken hè?

Dus het is niet zo dat alle berichten van alle klanten bekeken worden. Tenzij het percentage verdachten van lopende zaken / veroordeelde zware criminelen zó groot is, dat het PGP-abonnement al een sterke indicatie is, dat je een serieuze crimineel bent.
Of via M(meld misdaad anoniem) de onrechtmatig verkregen informatie/bewijs "witwassen."
Omdat politie en NFI aan het klooien zijn, er worden verschillende versies van de software gebruikt en tekst gevonden met de ene versie is als er een nieuwere versie gebruikt wordt niet meer terug te vinden.

https://www.crimesite.nl/...pnet-wel-en-niet-werkt-2/
Opmerkelijk dat die advocaten ook met dezelfde Blackberry telefoons met hun cliënten communiceerden, ook toen deze nog niet aangehouden waren. Dat doet mij toch een beetje vermoeden dat die advocaten ook onderdeel zijn van de criminele organisatie.

Ik blijf het toch vreemd vinden dat criminelen die Blackberry's met PGP gebruikten wat vervolgens te kraken was. Volgens mij is Ennetcom door een politie infiltrant opgezet met als doel om zo de communicatie van de onderwereld te onderscheppen. Ik kan eigenlijk geen andere reden bedenken dat de politie over die communicatie beschikt.

In principe kost het weinig moeite om onkraakbare encryptie te maken. En PGP heeft toch een uiterst goede reputatie op dit gebied.

[Reactie gewijzigd door ArtGod op 19 april 2018 16:39]

Dat zijn ze de facto wel vaker, maar iedereen heeft recht op juridisch advies. Ook een (vermeend) crimineel. Dat ze dan "veilig" hun vuile was naar de advocaat willen sturen en de advocaat dus ook voorzien van zo'n toestel is niet heel gek en ook niet illegaal. Zolang die advocaat zich wel aan de wet houdt en z'n handen niet viesmaakt op legale verdediging na is er weinig aan de hand, al helpt ie ze tien keer uit de gevangenis te blijven met een goede verdediging. Sommige van die advocaten doen zelf ook illegale dingen, die zijn wel de l*l - maar daar is hier kennelijk geen sprake van gezien de advocaat niet terecht blijkt te staan.

[Reactie gewijzigd door WhatsappHack op 19 april 2018 16:36]

Uit de gesprekken tussen advocaten en criminelen zou je kunnen opmaken dat de advocaten wel meer wisten waar hun klanten mee bezig waren, en dan zijn ze wel strafbaar. Ze moeten dan namelijk aangifte doen.
Die hebben toch professioneel verschoningsrecht?
Overigens ligt het aan het misdrijf of je verplicht bent aangifte te doen of er louter toe bevoegd bent.

En het is maar de vraag, als de crimineel een berichtje naar de advocaat stuurt "Goh, misschien dat we binnenkort gezeur krijgen over een mislukte liquidatiepoging, zullen ze ons wel weer van beschuldigen".
Advocaat reageert: "Oh wat vervelend. Nou, mochten jullie er onverhoopt aan mee gedaan hebben dan moet je zorgen dat je 1, 2, 3 doet en goed voor de dag kan komen tijdens je verhoor op basis van x, y, z en vooral niet spreken over C, D, E.".
Zeker weten doet de advocaat het niet (natuurlijk wel, maar dat kan je niet zomaar hard maken.) dus tja... Moet ie dan aangifte doen he? Vragen, vragen...
Alleen bij een verdediging in een rechtszaak, niet daarbuiten.

Ik neem aan dat de gesprekken plaatsvonden toen de verdachte nog niet aangehouden was en dus nog zijn beroep uitoefende.

[Reactie gewijzigd door ArtGod op 19 april 2018 16:54]

Het maakt voor het beroepsgeheim van een advocaat natuurlijk niet uit of iemand al is aangehouden / aangeklaagd of nog niet of nooit zal worden.
Dat is alleen in heel specifieke ernstige gevallen. Dat advocaten de misdaden van hun cliënten kennen is over het algemeen geaccepteerd. Anders is een goede verdediging ook niet mogelijk.
Uit de gesprekken tussen advocaten en criminelen zou je kunnen opmaken dat de advocaten wel meer wisten waar hun klanten mee bezig waren, en dan zijn ze wel strafbaar. Ze moeten dan namelijk aangifte doen.
Nee hoor: Beroepsgeheim

[Reactie gewijzigd door enigmafan op 19 april 2018 16:50]

Er is zoiets als geheimhoudingsplicht.
Ik blijf het toch vreemd vinden dat criminelen die Blackberry's met PGP gebruikten wat vervolgens te kraken was.
PGP is niet gekraakt, het is gewoon niet veilig opgezet door Ennetcom. Idealiter zouden de encryptiesleutels de telefoon nooit verlaten hebben.
Ik vermoed dat de klanten dat echter te lastig vinden. Iedereen zegt wel dat ie een veilige telefoon wil, maar haast niemand is bereidt om daar echte offers voor te brengen. Mensen accepteren niet echt dat 1 foutje betekent dat ze al hun data kwijt zijn en wanneer hun telefoon stuk gaat of verloren wordt ook.
Ik vermoed dus dat Ennetcom een backup & recovery dienst heeft en die backups op hun server had staan. Maar ja, dan zitten de encryptiesleutels zelf ook in de backups. Met wat zoeken kun je die er wel uit peuteren en dan alle data decrypten.
Ennetcom, komt steeds weer terug ik veel berichten. Vind het nog steeds onbegrijpelijk en kan geen reden bedenken waarom ze 7 TB aan berichten zouden opslaan. Maargoed.
Blackberry's gebruiken een centrale mailserver om alle berichten op te slaan. Ennetcom heeft 40.000 klanten, die van hun beveiligde Blackberry diensten gebruik maakte. Dan is 7TB aan data niet zoveel.

Omdat de klanten dachten dat de encryptie sterk genoeg was, vonden die het niet nodig om oude berichten te verwijderen.
Ik ken het systeem erachter ja. Echter verkochten ze het onder mom van ‘privacy’. Ze hadden dit dus gewoon dagelijks moeten legen. Maargoed.
Volgens de advocate zou elke 48 uur de berichten worden vernietigd. Met 7TB aan data moeten er dan wel allejezus veel berichten verstuurd worden in 48 uur. :+ M.a.w.: *kuch*bullshit*kuch*.
Misschien als er heel veel grote bijlagen bijzaten dat het ergens nog mogelijk is (al zit je dan nog aan gemiddeld +/- 175MB per persoon aan data), maar als het puur om berichtendata gaat is dat onmogelijk natuurlijk.

[Reactie gewijzigd door WhatsappHack op 19 april 2018 16:32]

Lijkt mij sterk dat ze ‘zoveel’ nuttige info uit 48 uur data hebben.
Mij ook. En ga je binnen 48 uur na een liquidatiepoging het al voor elkaar krijgen om te weten wie het mogelijk is/zijn geweest (mislukte poging; d'accord, maar dan nog...), dan ook nog weten wat ze gebruiken voor communicatie én voldoende bewijs weten te verzamelen om de servers direct in beslag te nemen?

Dat zou dan wel een heel knap staaltje politiewerk en internationale samenwerking zijn, maar het lijkt mij ook nogal stug. :) Het zou kunne natuurlijk als het doelwit bekend was met de systemen en de politie meteen alles verteld heeft, maar toch... Als ze zo snel en efficiënt internationaal kunnen (samen)werken dan waren bijvoorbeeld de drugsbendes in Mexico/Columbia/VS ook volslagen kansloos en intussen een behoorlijk eind opgeruimd . :+

[Reactie gewijzigd door WhatsappHack op 19 april 2018 16:41]

stiekem geld verdienen aan criminelen om ze vervolgens erbij te lappen later.

in de tussentijd zijn ze zelf gepakt dus dat ging niet volgens plan dan zo te zien.
De verdedigende Advocaat heeft de verkeerde strategie gekozen.
Om de berichten te ontsleutelen moet je op het oorspronkelijke bericht een wijzigende actie uitvoeren.
Hierover is al jurispredentie dat het dus niet met zekerheid aan te geven is dat de inhoud van het bericht niet is gewijzigd door de handeling.
Ja het is natuurlijk puur toeval dat alle ontsleutelde berichten toevallig dusdanig van inhoud wijzigen dat ze het hebben over liquidaties, de mislukte poging en de boosheid van de crimineel in reactie daarop.
Wat een pech heeft die man dat de inhoud zo wijzigt! En toevallig ook nog eens coherent en leesbaar in plaats van allerlei onzin door elkaar, what are the odds he!? Nog steeds reasonable doubt natuurlijk! :+

Gelukkig wordt het gebruikt als ondersteunend bewijs om andere bevindingen te bevestigen, en dan mag het prima. Misschien dat het op zichzelf, al slaat het argument "het hele gesprek zal wel toevallig door de decryptie van inhoud gewijzigd zijn" natuurlijk nergens op, niet voldoende is om iemand te veroordelen al wordt er een moord toegegeven; maar alles bij elkaar opgeteld... :)
Dan had ze wel een andere strategie kunnen kiezen, maar dan was er nog steeds niets veranderd.

[Reactie gewijzigd door WhatsappHack op 19 april 2018 16:30]

Er zijn encryptietechnieken die plausible deniability toevoegen. M.a.w. dat key A voor versleuteld bericht X voor ontsleuteld bericht Y zorgt. Maar dat key B voor zelfde versleuteld bericht X voor ontsleuteld bericht Z zorgt.

Moest ik crimineel zijn zou ik vermoedelijk al mijn berichten Y versleutelen aan de hand van een techniek die zo'n plausible deniability toevoegen.

Daarna zou ik slordig, maar niet extreem slordig, omspringen met B. En extreem veilig omspringen met A.

M.a.w. de kans is groot dat de veiligheidsdiensten mijn B key zouden vinden. In het bericht Z zou ik kleine criminele feiten zetten waar ze me een paar maanden voor kunnen geven. Maar in bericht Y zou de echte correspondentie voor mijn companen staan.

Nu goed. Vermoedelijk zou ik gewoon een one time pad gebruiken (voor Y). Dan is de kous hoe dan ook af want daarmee kunnen oneindig veel berichten Y en Z gemaakt worden. Plus de plausible deniability techniek met kleine criminele feiten in de misleidende Z.

Maar, gelukkig ben ik geen crimineel en hoef ik me daarom niet hele dagen bezig te houden met berichten Y en Z in elkaar te knutselen met allerlei sleutels A en B. Ik heb wel wat beter te doen. Zoals vandaag van het zonnetje te genieten! :-)
En vervolgens heeft je communicatie partner dat allemaal plain text op zijn pc staan. Dan verwacht ik dat je veel kunt zeggen maar ik acht de kans groot dat die gewoon jou er bij lapt in ruil voor strafvermindering.

De beste remedie blijft er voor zorgen dat er geen reden is om jou encryptie op de proef te stellen.
Yep, zoals vandaag braaf van het zonnetje genieten en geen varkensstreken uithalen dus ;)

Blijkt dat onder de misdadigers niet de slimste mensen rondlopen. Als je ziet hoeveel eenvoudig te vermijden fouten ze maken..
Zijn niet alle smartphones en chatdiensten tegenwoordig PGP? Wat maakt een pgp-telefoon nou uniek als encryptie nu zo standaard is anno 2018?
Nee de meeste chatdiensten doen End to End encryptie. Dan kan met PGP maar gebeurt niet altijd. Daarnaast is PGP ook authenticatie

[Reactie gewijzigd door RobinF op 19 april 2018 16:18]

Als ik het andere artikel mag geloven dan werden de sleutels hier door de server gegenereerd. Dan kan het alsnog end-to-end zijn tussen de toestellen, maar als de server de sleutels heeft gegenereerd en bewaard dan biedt dat natuurlijk totaal geen zekerheid en kan die rustig alles meelezen. :P Het blijft end-to-end omdat er geen stap met de server tussenzit, maar de server kan wel doodleuk alles meelezen waardoor de encryptie waardeloos is.
pgp is prima maar het gaat mis als je niet zelf je private sleutel beheerd...
PGP is oud en gebruikte onveilige algoritmes zoals DES en IDEA. Het zal in de tijd wel aangepast zijn, maar ik zou toch liever een nieuwer algoritme gebruiken, zoals Signal.
klok / klepel

PGP is asynchrone encryptie, je noemt nu allemaal synchrone dingen. gerelateerd, maar niet relevant. Leeftijd van PGP heeft hier ook niets mee te maken. onderliggende protocols voor PGP (wat gaat over uitwisseling niet over de gebruikte encryptie) zijn net zo sterk als elke andere en worden nog steeds geupdate naar nieuwe standaarden
Als ik het zo lees snap jij er zelf ook weinig van.
Private keys mogen nooit op iets anders dan de ends (de E-mail client in dit geval) opgeslagen zijn.

m.a.w. Moet jij de private key op de endpoint genereren (of zetten, vanaf veilige en eigen opslag) en moet jij daaruit de public keys maken. DIE public key kan je daarna aan je provider geven (bv. De key om in authorized_keys te zetten of die key die je moet copy pasten in je account van github is de PUBLIC key).

De private kan nooit voor u gemaakt worden. Alle gevallen waar men dat doet is dwaas en slecht. Is non-security. Is effectief slecht. Effectief fout. Effectief verkeerd. Altijd.

Ook, en vooral, wanneer de verkoopster bij die dienst mooie ogen heeft. Ook als het google is. Ook als het Microsoft is. Ook als het Cisco is. Ook als het je overheid is (Bij Belgische eID zit de private key op de chip van je identiteitskaart, versleuteld met de PIN code).

Deze provider deed het dus fout, en de crimineel is hierdoor gevat.

Voor gerechtigheid een goede zaak. Technisch gezien zit de provider niettemin fout. Die private keys hadden niet, nooit, op de servers mogen staan. Nee. Nooit.
Misschien wilden ze eigenlijk een client-server-client encryptieschema (waar natuurlijk usecases voor zijn, afhankelijk van hoe ze zichzelf adverteerden...), maar enkel iets als TLS vonden ze niet voldoende (mooi.) dus hebben ze er nog een laagje overheen gesmeten met aparte sleutels per device/gesprek. Dat verhoogt de veiligheid tussen de endpoints, behalve op de server zelf. :+
Precies, gewoon TLS is dan voldoende. Dat eigen laagje helpt eigenlijk maar weinig bovenop TLS indien de private keys ook op de server (of bij de provider) staan.

De essentie van end-to-end encryptie is dat enkel de endpoints kunnen decrypteren, maar men (iedereen die uw public key heeft) kan voor u encrypteren. M.a.w. kan de andere kant voor U encrypteren, en mits jij de andere kant zijn of haar public key hebt, kan jij voor de andere kant encrypteren.

ps. Enige waar je daarna op moet letten is dat er niemand tussen U zit die beide keys continue wisselt. Daarvoor hebben we uiteraard certificate authorities en/of zaken zoals keybase.io (of gewoon elkaar face to face ontmoeten op een hackercon en de hashes van de public keys op een blaadje papier noteren en voor elkaar aftekenen. Daarna geef je die hashes in en negeer je alle public keys die niet strict overeen komen tot dat je de andere kant terug face to face ontmoet op een hackercon en zijn of haar blauwe mooie ogen gelooft dat hij of zij het is en hij of zij opnieuw de nieuwe keys aftekent voor u).

Er was hier pas iemand die tegen me kwam beweren dat algoritmes dit kunnen doen. Dat is dus niet zo. Er is géén enkele manier om zeker te zijn dat een public key de juiste is. Behalve de andere persoon het te laten verifieeren (nadruk op écht zeker zijn).
Omdat de politie en het OM ook over de encryptiesleutels beschikten, konden ze de encryptie van de berichten ongedaan maken.
Echt kraken zou ik dit dus niet noemen, gewoon ontsleutelen...
Dat ligt er eigenlijk aan hoe ze aan die sleutel gekomen zijn en hoe de encryptie werkt. Als het altijd dezelfde sleutel is (al dan niet per toestel/gesprek, veelal 't geval bij PGP; maar ligt compleet aan de implementatie en of er bijvoorbeeld PFS is toegevoegd (standaard niet het geval bij PGP naar mijn weten.)) dan hoeven ze maar één bericht (in dat gesprek) te kraken en de rest gaat gewoon mee; dan hebben ze de sleutel "gekraakt" en daarmee automagisch de rest van de berichten.

Als ze de sleutel(s) gewoon hebben gekregen, uit het toestel of de server hebben kunnen halen (al dan niet na het wijzigen van bijvoorbeeld een root wachtwoord (su mode)) zonder gedoe of wat dan ook dan is het eigenlijk geen kraken nee. Zelfs het inloggen op de server valt dan niet echt onder kraken.

-edit-
Volgens nieuws: Politie ontsleutelt 3,6 miljoen BlackBerry PGP-berichten - update 2 stonden de sleutels op de servers. Althans dat was "het idee", of dat nou uiteindelijk klopte of niet wordt uit het artikel niet helder:
In het besluit van de Canadese rechter over overhandiging van de serverdata, staat dat de Nederlandse autoriteiten ontdekten dat de pgp-sleutels door de server in plaats van door de Blackberry-toestellen werden gegenereerd. De gedachte was dat daarom de sleutels ook op de Ennetcom-servers stonden en deze te gebruiken zouden zijn om toegang te krijgen tot de data.

[Reactie gewijzigd door WhatsappHack op 19 april 2018 16:23]

Resultaat is het zelfde.
Denk dat veel "criminelen" het ook gewoon "stoer" vinden om een PGP-telefoon te hebben en weten totaal niet wat voor systeem ze dan gebruiken.

Waarom niet gewoon face 2 face?
Ik acht de kans groot dat je in het geval van mensen die andere mensen vermoorden je misschien niet wilt dat ze weten wie je bent.

Is ook wat makkelijker met uitschelden als het mis gaat.
Kort samengevat,
het heeft meegewogen, maar niet doorslaggevend.

In mijn optiek prima beoordeeld. De politie/OvJ moet en zal meer werk verzetten om aan te tonen dat er een overtreding/misdrijf is gepleegd en niet op basis van enkel mails een rechtszaak starten en worden beoordeeld.
Ik vind dat onrechtmatig of illegaal verkregen bewijs nooit gebruikt mag worden in een rechtszaak.

Heel simpel; als je het namelijk wel toestaat, dan schep of versterk je het precedent ermee dat illegale en onrechtmatige dingen doelbewust gebeuren plaatsvinden om bewijs te leveren. Volgens mij is onze rechtsspraak er juist voor bedoeld om ervoor te zorgen dat het recht zegeviert, niet om vervolgens nog meer onrecht en illegaliteit te precipiteren.

Als je dit soort dingen wel toestaat, dan kun je bijna net zo goed ook misdaad gaan uitlokken, zoals ze bij die Stings in de VS nog wel eens doen. Als in, "Hey, wil je cocaïne kopen?"- En als iemand dan ja zegt, meteen in de boeien slaan.

Alleen als het maatschappelijk belang dan zodanig groot is, dat het opweegt tegen deze 'necessary evils', dán pas vind ik dat het overwogen mag worden.

Maar ach, keuzes beargumenteren, dat is zó uit de mode in Nederland.

Edit: hé wacht eens, dit artikel is wat onduidelijk; de inbeslagname van de server was kennelijk wel degelijk rechtmatig, en geautoriseerd door Canada. (Dat zou met de WiV niet eens meer hoeven.. grr @ WiV) Op basis van het artikel dacht ik dat de rechter het wel/niet rechtmatig zijn aan zijn laars lapte, maar het gelinkte artikel van de inbeslagname van de servergegevens geeft wel degelijk aan dat dat rechtmatig was.

[Reactie gewijzigd door Alienus op 19 april 2018 16:53]

Dit bewijs is ook niet illegaal verkregen. Een onafhankelijke rechter heeft er naar gekeken en het goed bevonden. Wat meer wil je nog in een rechtstaat?

[Reactie gewijzigd door ArtGod op 19 april 2018 16:56]

Naja, probleem is dat het artikel zo verwoord is op Tweakers, dat de rechter vindt dat het niet onrechtmatig is, behalve sommige berichten. Daardoor lijkt het alsof de rechter het deels onrechtmatig vindt en deels niet. Dat is echter niet het geval, bij die berichten die niet als bewijs worden beschouwd is er sprake van een andere reden dan dat.
Klopt, dat is geheime klant-advocaat communicatie en die valt weer onder een andere beschermende wet.
En dàt is maar goed ook. Alleen wel heel jammer dat de AIVD straks alles afluistert. (Ook al doen ze alsof ze dat niet doen, maar hé, als de NSA daarmee wegkwam, dan de AIVD ook, toch?)
Dat doen ze al jaren hoor, alleen de VS had er op aangedrongen een wettig kader er om heen op te trekken zodat ze daar later geen gezeur over krijgen.
Ik vind dat onrechtmatig of illegaal verkregen bewijs nooit gebruikt mag worden in een rechtszaak.
Helemaal mee eens, maar in dit geval was het toch niet onrechtmatig/illegaal verkregen? :)
De advocaat vindt van wel, de rechter vindt van niet; de inbeslagname zou namelijk ook gewoon legaal verlopen zijn via de juiste en bevoegde kanalen. Als op de server vervolgens de sleutels blijken te staan én de bijbehorende berichten: tja... Moet je maar betere encryptie gebruiken. :+
Ja precies. Van zodra er een rechter heeft beslist dat de server in beslag mag genomen worden is alle data op dat toestel rechtmatig in handen van het gerecht.

Men heeft zelfs de E-mails tussen advocaat en crimineel juridisch verwijderd (genegeerd) omdat men correct stelt dat gesprekken en communicatie met de advocaat in Canada (vermoedelijk) bechermd worden.

Dat is bv. in België ook zo:
Het is de inlichtingen- en veiligheidsdiensten verboden gegevens die worden beschermd door ofwel het beroepsgeheim van een advocaat of een arts, ofwel door het bronnengeheim van een journalist te verkrijgen, te analyseren of te exploiteren.
Bij uitzondering en ingeval de betrokken dienst vooraf over ernstige aanwijzingen beschikt dat de advocaat, de arts of de journalist persoonlijk en actief meewerkt of heeft meegewerkt aan het ontstaan of aan de ontwikkeling van de potentiële [3 dreiging]3, zoals bedoeld in de artikelen 7, 1° [5 ...]5 en 11, [6 of aan de activiteiten van buitenlandse inlichtingendiensten op Belgisch grondgebied]6 kunnen deze beschermde gegevens [6 ...]6 verkregen, geanalyseerd of geëxploiteerd worden;]1

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True