Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Minister Grapperhaus van Justitie wil achterdeur in versleutelde chat-apps

Minister Grapperhaus van Justitie & Veiligheid wil dat techbedrijven een achterdeur in versleutelde diensten bouwen. Hij wil dat de bedrijven een 'sleutel' maken waarmee opsporingsdiensten toegang kunnen krijgen als er kinderporno via zulke apps wordt verstuurd.

Dat zegt Grapperhaus zondag tegen Nieuwsuur. Hij wil dat justitie met zo'n achterdeur toegang kan krijgen tot chatberichten op apps zoals WhatsApp en Telegram. Die gebruiken nu end-to-endencryptie om berichten te versleutelen waardoor ze zelfs door de makers niet in te zien zijn. Dat zou vooral moeten gebeuren om kindermisbruik en kinderporno tegen te gaan. "Encryptie is best, maar ik wil dat een rechter kan bepalen wanneer we informatie moeten kunnen inzien wanneer er verdachte dingen spelen", zegt Grapperhaus tegen het programma. "Kindermisbruik is iets waar we als samenleving tegen moeten zeggen: 'er is geen enkel excuus om dat op de een of andere manier af te schermen'." Overigens zei Grapperhaus eerder dit jaar juist geen ontsleutelplicht te willen instellen voor verdachten van kinderporno.

Hoe Grapperhaus precies van plan is zulke wetgeving op te stellen, of hoe hij zo'n achterdeur namens Nederland internationaal wil afdwingen, zegt hij niet in de uitzending. "Ik zou graag willen zien dat grote internetpartijen om de tafel gaan en zeggen: 'Luister, we gaan het zo regelen dat als er sprake is van verdacht verkeer, dat we dan toch toegang kunnen krijgen om te zien wat zich er daar afspeelt'", zegt hij in de Nieuwsuur-aflevering. Grapperhaus wil 'voor eens en voor altijd encryptiewetgeving maken voor dat sleutelrecht'. Hij wil dat plan binnenkort in de wet laten opnemen.

Grapperhaus is niet de eerste politicus die een achterdeur in versleutelde apps of diensten eist. In Amerika speelt die discussie ook al jaren: daar eiste de FBI dat Apple zou meehelpen met het ontsleutelen van een iPhone 5c van een terrorist. De Amerikaanse minister van Justitie William Barr schreef onlangs een brief aan Facebook waarin hij het bedrijf oproept om het plan alle berichten te versleutelen stop te zetten. Ook in Duitsland wilde de minister van Binnenlandse Zaken eerder dit jaar een algeheel verbod op versleuteling. Privacy- en beveiligingsexperts, van wie er ook een aantal door Nieuwsuur worden aangehaald, zijn vrijwel unaniem kritisch over dat plan. Een achterdeur in encryptie zou door iedereen kunnen worden misbruikt als die op straat kwam te liggen.

Door Tijs Hofmans

Redacteur privacy & security

03-11-2019 • 22:36

271 Linkedin Google+

Submitter: Tiimmeh

Reacties (271)

Wijzig sortering
Serieus? Gaan we deze onzinnige discussie nou écht ook nog een keer in Nederland voeren? ;(

Om te beginnen, hoe weet je dat het om kinderporno gaat, als je het niet kunt lezen. Aan encrypted content kun je niet zien of het kinderporno is of een recept voor abrikozenvlaai.

Maar veel belangrijker, zoals al duizend keer beargumenteerd toen overheden in andere landen met een soortgelijk onzalig plan kwamen: HET KAN NIET. Je kunt niet EN een veilige chat app hebben, EN toch een golden key voor de overheid met de garantie dat die nooit lekt of misbruikt wordt. Want dat laatste gaat met 100% zekerheid gebeuren. Als het niet meteen van begin af aan al misgaat, want als zo'n achterdeur er is, kan het betreffende bedrijf (Facebook bijvoorbeeld) er zelf per definitie ook bij, en dan moet je er maar op vertrouwen dat zij (c.q. een random medewerker of eventueel ex-medewerker van zo'n bedrijf) er geen misbruik van maken.

Zie ook The horror of a 'Secure Golden Key'

En daarnaast: HET WERKT NIET, want encryptie is er nu eenmaal. De techniek is er, werkt doodsimpel en 100% doeltreffend, en er is hoe dan ook vraag naar. Dus linksom of rechtsom zullen er altijd apps zijn die het bieden. Dat het van Grapperhaus niet mag, daar heeft een Russische of Chinese of anonieme ontwikkelaar geen enkele boodschap aan. En criminelen die tegen de regels in toch privacy willen, hebben daar ook geen boodschap aan. Het kan, het valt niet tegen te houden, en dus gebruiken mensen het (in elk geval sommigen).

Met de woorden van Philip Zimmermann: when privacy is outlawed, only outlaws will have privacy.

Maar goed, digibeten als Grapperhaus verdoen hun tijd maar aan deze onzin. Ondertussen maken volledig gedecentraliseerde oplossingen hun opmars, zoals Riot / Matrix. Hopelijk breekt dit snel door en wordt het de standaard. Dan is er geen bedrijf meer waar Grapperhaus kan aanbellen om een backdoor.
Een paar kanttekeningen. Niet omdat ik het met je oneens ben, maar omdat het gebruiken van zwakke argumenten een positie gevoelsmatig zwakker maakt dan als je alleen sterke argumenten hebt.
Om te beginnen, hoe weet je dat het om kinderporno gaat, als je het niet kunt lezen. Aan encrypted content kun je niet zien of het kinderporno is of een recept voor abrikozenvlaai.
En aan de buitenkant van een huis kun je niet zien of er gewoon mensen in wonen of dat het van boven tot onder volstaat met chemicaliën voor een drugslab. Dat is precies waarom je een huiszoeking doet.
Als het niet meteen van begin af aan al misgaat, want als zo'n achterdeur er is, kan het betreffende bedrijf (Facebook bijvoorbeeld) er zelf per definitie ook bij, en dan moet je er maar op vertrouwen dat zij (c.q. een random medewerker of eventueel ex-medewerker van zo'n bedrijf) er geen misbruik van maken.
Niet als de sleutel bij de overheid ligt. (Dan lekt ie vroeg of laat nog steeds uit, maar dat de aanbieder (en ex-werknemers) per definitie toegang hebben is niet waar.)
HET KAN NIET
Daar ben ik het wel volledig mee eens. Maar als Grapperhaus denkt dat ie wel een oplossing weet, dan heb ik een voorstel. Niet alleen de hele samenleving, maar ook de overheid zelf mag voortaan alleen nog maar communiceren via encryptie-met-een-backdoor. Dus alle interne communicatie van politie, justitie, het leger, de AIVD en MIVD, etc. wordt op pastebin geplaatst, versleuteld met precies hetzelfde algorithme (en dus ook precies dezelfde backdoor) als door chatapps gebruikt wordt. Als ie genoeg vertrouwen heeft in de 100% beveiliging en de 0% kans op misbruik, dan is dat geen enkel probleem. Als ie dat vertrouwen niet heeft, dan zie ik niet in waarom de rest van Nederland dat vertrouwen wel moet hebben...
Een heel goed voorstel!

Dit soort politici zien duidelijk het belang van privacy als ondergeschikt.
Nou kan ik erkennen dat, wanneer het justitieel apparaat mij verdenkt van strafbare feiten, mijn persoonlijke privacy ondergeschikt is aan het belang van de gehele nederlandse staat. Wat Grapperhaus (en voor hem zowat elke minister van justitie die ik mij kan herinneren) maar niet begrijpt is dat hij met dit soort voorstellen ALLE burgers op voorhand verdenkt. Daarop gewezen is de strategie nooit om de vraag te beantwoorden, maar het risico te downplayen, en dit is het perfecte antwoord. Eerst jij, als het zo veilig is. Over twee jaar doen de burgers ook mee als het bevallen is. O-)
En aan de buitenkant van een huis kun je niet zien of er gewoon mensen in wonen of dat het van boven tot onder volstaat met chemicaliën voor een drugslab. Dat is precies waarom je een huiszoeking doet.
Met beperkte kennis van de wet is ook dat echter een zwak argument. :) Met dergelijke analogieen moet je altijd oppassen. We hebben in Nederland ook zoiets als het briefgeheim. Messenger apps zijn niets anders dan digitale briefwisseling dus je kunt die wetgeving heel makkelijk doortrekken. Briefgeheim bestaat om dezelfde reden als encryptie: privacy. Dus dat er briefgeheim bestaat, sterkt het bestaan van encryptie alleen maar. Privacy is namelijk ons grootste goed.

Een huis is een fysiek verschijnsel waar fysieke handelingen plaatsvinden. De reden dat kinderporno bestreden wordt, is ook omdat daar fysieke handelingen aan ten grondslag liggen. Daar hebben we echter geen digitale achterdeur voor nodig omdat we juist al een functionerend opsporingsorgaan hebben dat huiszoekingen kan doen bij vermoedens van een misdrijf.

Toevoeging:

Wat mij betreft legt Grapperhaus overigens snel z'n baan neer. Die man begrijpt er namelijk helemaal niets van. Kinderporno bestrijd je niet met digitale achterdeuren. Drugs bestrijd je niet met een Nederlandse DEA of door gebruikers een schuldgevoel aan te praten. De wereld zit vol met bewijs die veel van zijn ideetjes weerleggen. Deze man lijkt uit emotie te handelen, zeker sinds die advocaat is omgelegd. Een land bestuur je met ratio en niet met gevoel. Dat maakt Grapperhaus gewoon ongeschikt als minister van justitie.

[Reactie gewijzigd door rpfs79 op 5 november 2019 08:06]

Wat je aangeeft is ook het grote probleem hier. Hij denkt het probleem op te lossen door dit bij de grote bedrijven te regelen. Dan krijg je inderdaad dat alles open ligt voor iedereen die Whatsapp of wat dan ook gebruikt van die grote bedrijven. De criminelen gaan gewoon naar een app die niet van een groot bedrijf is en dus ook geen golden key heeft. Het resultaat is dan inderdaad dat de gemiddelde Nederlander zijn privacy kwijt is en de criminelen er geen enkele hinder van hebben. De meeste mensen leveren hun privacy in en wordt compleet niets mee bereikt. Nutteloos dus.
Grapperhaus zegt twee dingen: Het recht op privacy is niet absoluut en ik wil dat de techbedrijven aan gaan geven hoe ze dit gaan organiseren.
Bij telecom moeten de telco's het tappen ook faciliteren. Je zou toch iets kunnen doen waardoor na een gerechtelijk bevel de encryptie voor meneer x een stuk zwakker wordt gemaakt, waardoor de overheid bij het verkeer van meneer x kan meekijken?
Ik denk dat het geen houdbare situatie is dat alles van iedereen robuust versleuteld is en het is een onwenselijke situatie dat iedereen onversleuteld communiceert. Prima dat een overheid aangeeft dat het anders moet, en dat ze van de techbedrijven willen horen hoe dat dan het beste kan. Er zal nog wel een tijdje overheen gaan voordat er een oplossing uitkomt die voor meerdere partijen acceptabel is, maar een richting waarbij encryptie gericht verzwakt wordt is in mijn optiek te allen tijde te verliezen boven een backdoor
Je zou toch iets kunnen doen waardoor na een gerechtelijk bevel de encryptie voor meneer x een stuk zwakker wordt gemaakt, waardoor de overheid bij het verkeer van meneer x kan meekijken?
Even afgezien van de overduidelijke olifant van het technische probleem in de kamer:
Hoe bepaal je welke rechter bevoegd zou zijn over welke communicatie? Als een rechter in China of Noord-Korea toegang tot de Whatsapp-berichten van Europeanen of Verenigde Staters kan eisen, lijkt het me duidelijk dat dat niet gewenst is. Dus de dienstverlener zal met absolute zekerheid moeten kunnen vaststellen onder welke jurisdictie elke communicatie valt en welke rechters bevoegd zijn in welke jurisdictie. Dat is een onhaalbaar spinnenweb.
Buiten dat volgt een rechter de wetgeving. De politici kunnen de wetgeving aanpassen en voila. Naast kinderporno ook terrorisme als argument om te ontsleutelen. Handig, want als terrorisme kan dan kan moord ook als reden worden gebruikt. Maar dan kunnen we ook bij bedreigingen ontsleutelen want dan zijn we de moord voor. En als bedreigingen kunnen, waarom dan niet drugshandel? Is ook een criminele activiteit.

Weet je wat, we ontsleutelen alles en laten een geautomatiseerd systeem alles doorzoeken, dat scheelt mensenwerk. Super effectief, laten we AI een beetje dat klusje doen. Oh wacht, hebben we hier China niet voor op de vingers getikt laatst?
Het is het begin van een totalitair toezicht op ons online gedrag. Vraag me af of privacy op internet over 10 a 20 jaar nog wel bestaat.
Ik verwacht van wel, maar dan niet voor de massa ;) Encryptie zal altijd wel mogelijk blijven en ook encryptie welke bestendig is tegen quantum computing. Alleen zal dat allicht niet werken voor grote partijen die zwichten onder druk van de politici en dus kom je dan enkel de verborgen connecties tegen. De telegram, signal en andere (nieuwe) onbekende applicaties die nog niet in handen van de overheden zijn.
Ik merk dat je wilt dat ik nu aangeef dat er (g)een oplossing is, maar dat was niet de strekking van wat ik betoogde. Er is een opsporingsbelang - dat staat denk ik niet ter discussie - waarvoor naar de huidige maatstaven de privacy van een verdachte moet wijken. Dat kun je op twee manieren bereiken als overheid: Verbiedt encryptie of verzwak deze categorisch. Daarvan kan iedereen aanvoelen en beargumenteren dat het middel erger is dan de kwaal.
Ja als je gericht aanpassingen doet in encryptie moet je waarborgen treffen, en ja dat is niet eenvoudig, maar ik heb liever dat de grote tech bedrijven daarover nadenken dan dat alle nationale overheden dat doen.
Je zou toch iets kunnen doen waardoor na een gerechtelijk bevel de encryptie voor meneer x een stuk zwakker wordt gemaakt, waardoor de overheid bij het verkeer van meneer x kan meekijken?
Dat heet een achterdeur, wat de waarde van een versleutelingsysteem reduceert naar 0. Als het voor een overheid gedaan kan worden dan kan dat ook voor een andere partij of eigen gewin.
Is er bewijs dat het geen houdbare situatie is alles robuust versleuteld is? Er zullen altijd slechten dingen gebeuren. Maar is er wel echte zekerheid dat versleuteling dit verergert?
Nee, dat kan niet. Het key Exchange algoritme is namelijk al geweest. Stel dat het key Exchange algoritme onveilig is zoals diffie-helmangroup sha1, dan KAN er ten tijde van uitwisseling van keys (dus het eerste bericht dat naar elkaar word verstuurd) een key worden weggesnoept.

Zodra de encryptie op stand is, is en blijft het veilig. Verander he de encryptie keys? Dan is alle geschiedenis weg.

Ook js het zo dat encryptet content als ruis is voor een netwerk kaart. Je kunt dus onmogelijk weten van wie de ruis is.
Wat jij voorstelt is dus dat je een kopie van je voordeursleutel maakt en inlevert bij het politiebureau, en dat justitie dan heel plechtig belooft de situatie niet te misbruiken.
Dat er dan misschien malafide infiltranten rondlopen bij de politie en dan een kopietje trekken van de sleutel in het kastje aldaar, of dat de sleutel ook gepakt wordt voor minder zware vergrijpen van terrorisme en kindermisbruik, dat moet je dan maar voor lief nemen.
Het geinige is dat we hier heel erg van het aftappen zijn (ja nog meer dan de amerikanen) maar er bijzonder weinig mee bereikt wordt.
Het leid zeer zelden tot oplossingen van een zaak en het feit dat er in Nederland zo weinig zaken worden opgelost onderschrijft het alleen maar.
Ja ze hebben dat terreur groepje gevonden op die manier vorig jaar maarja geef een blinde een bal en hij zal ooit wel eens een doelpunt maken.

[Reactie gewijzigd door Hakker op 4 november 2019 12:47]

Ik denk dat er een aantal veiligheidsexperts zijn binnen de overheid met de volgende redenatie.

Wat er op tweakers gezegd wordt klopt! Dus bekende communicatiemiddelen hoeven we niet te controleren. Dat scheelt 90% van de hooiberg. En mocht er ooit iemand zo dom zijn het toch te gebruiken dan hebben we hem meteen.

Die 10% van de hooiberg wordt naar het veld aan de andere kant van de snelweg gebracht en zo heb je een kleinere hooiberg om te doorzoeken, dus de netwerken die zo in kaart gebracht worden hebben meer waarde.
En je bent automatisch geflagged als je iets anders dan Whatsapp gebruikt. En dan mag je verklaren waarom je Telegram of whatever hebt want ze konden niets vinden in je Whatappverkeer. Ergo; je moet wel iets te verbergen hebben als je niet gewoon met de meute meeloopt.

Het wordt een beetje vermoeiend zo langzamerhand om deze discussie elke keer weer te moeten voeren. Ik snap dat VVD mastodonten als Grapperhaus en Ivo 'Cybersecurity is niet op Facebook zetten wanneer je op vakantie gaat' Opstelten de technische aspecten niet in de vingers hebben, maar ik neem aan dat er toch wel een paar lui op het OM werken die wel weten waar dit over gaat en dat dit niet de oplossing van het probleem is?
Volgens mij ontgaat mijn punt je volledig.
Het gaat er bij deze kleinere hooiberg gedachte niet om dat iedereen die niet mainstream is verdacht is. Maar wel dat iedereen die verdacht is:
1/ of al zijn privacy kwijt is en hebbes.
2/ in een kleinere hooiberg zit waardoor bepaalde analyses meer significant worden.

De wolven die tussen de schapen zitten zijn moeilijker te vinden dan de schapen tussen de wolven.

*ps ik zeg niet dat ik het ermee eens ben of niet. Persoonlijk vind ik bovenstaande gedachten uiterst naïef en win je er op langere termijn alleen maar mee dat criminelen nog makkelijker identiteitsfraude kunnen plegen of foute regimes hun mensen nog harder kunnen onderdrukken. Criminelen passen zich steeds aan, de normale burger niet.

[Reactie gewijzigd door dmjdebruin op 5 november 2019 09:48]

Ik snap je punt wel en het is vanuit een opsporingstechnische hoek ook logisch, maar ik zie het verdacht worden van iedereen die in de kleine hooiberg zit wel een beetje als symptoom.

Je zegt het zelf al een beetje; de schapen die tussen de wolven zitten zijn makkelijker te vinden. Het punt is dat ze niet op zoek zijn naar de schapen, maar de wolven. Dus als er een scheiding wordt gemaakt zoals je zegt tussen een grote groep schapen met een paar wolven en een kleine groep wolven met een paar schapen met de motivatie om de wolven te isoleren in een groep dan zijn de schapen in die groep daar per definitie de dupe van. Die zitten namelijk in een groep met het wolf label totdat bewezen is dat ze een schaap zijn.

En dat bewijzen gaat het OM niet voor je doen. Iedereen in die groep zegt dat hij/zij een schaap is natuurlijk dus lever maar in die data als je niets te verbergen hebt, ergo je bent verdacht totdat je zelf bewezen hebt dat je een schaap bent d.m.v. het opgeven van je privacy.
Zou het niet kunnen zijn dat ze best weten dat ze geen vat krijgen op criminelen maar dat het een omwegje is om controle over de burgers te krijgen, en kunnen sleepnetten (dus ook versleuteld verkeer) onder het mom van wat hij nu noemt, zoals kinderporno etc.? Want daar kan niemand tegen zijn.
Dat klopt wel. Dit soort bevoegdheden worden altijd opgerekt.

Identificatieplicht zou essentiëel zijn om ons te beschermen tegen terrorisme. Resultaat: De Boeteverdubbelaar voor mensen die geen ID bij zich hebben als ze beboet worden voor fietsen zonder licht.
Hoe moet men weten wie je bent, als je je niet kunt identificeren. Er zijn nog meer mogelijkheden naast een ID die je identiteit kunnen bevestigen.

Wel idioot dat er geen draagplicht bestaat (dus het is niet verplicht een ID bij je te hebben), maar je je wel moet kunnen identificeren ter plekke (bij een overtreding bijv.). Een ambtenaar vragen om met je mee te gaan naar huis voor je ID wordt niet gehonoreerd.
Er zit een verschil tussen draagplicht (altijd bij je dragen) of ter plekke kunnen identificeren. Stel je bent aan het zwemmen en je hebt je spullen op de kant liggen maar niet bij je tijdens het zwemmen. Dan kan en mag je deze gewoon even pakken maar met een draagplicht zou je al in overtreding zijn tijdens het zwemmen zonder ID
Een draagplicht zou onzin zijn. Je legitimeren is alleen nodig als daar aanleiding toe is. Ga je fietsen zonder licht dan loop je een groter risico op een beroep op de legitimatieplicht en dat levert dus een extra overtreding op. Daar valt nog wat voor te zeggen, aangezien het veel meer tijd kost om je identiteit vast te stellen dan als je je ID wel bij je had.

[Reactie gewijzigd door sampoo op 5 november 2019 14:11]

Ik vind dat in deze ook vergeten wordt, dat we voor een deel de privacy eisen van de aanbieders. (nog los van misbruik enzo). We willen immers niet dat zij 'zo maar' met onze data van alles kunnen doen.
Maar om deze eis in te willigen, eisen we dat ze toegang zullen hebben.

Dus behoorlijk tegenstrijdig
Het maken van een chat-app met end-to-end encryptie is eigenlijk kinderspel, een paar avondjes programmeren en Bob is je oom. Om een paar miljoen gebruikers te krijgen is wat pittiger.

Misschien moet Grappenhaus zijn zin krijgen. Dan wordt het monopolie van de grote jongens misschien doorbroken en komen er gewoon goede open-source implementaties. Want welbeschouwd, je moet whatsapp en kornuiten ook maar op hun woord geloven dat ze geen achterdeurtjes hebben...
... want encryptie is er nu eenmaal.
Inderdaad, en de algoritmes zijn ook nog eens public domain. Hierdoor weten we dat die algoritmes het concept 'Golden Key' helemaal niet kennen of ondersteunen. Iedere afzonderlijke gebruiker heeft een unieke private sleutel welke volledig willekeurig gegenereerd word (oke, niet volledig, maar pseudo-random). Alleen met die unieke private sleutel kunnen berichten ontcijfert worden, en met geen enkele andere sleutel.

Het implementeren van een 'Golden Key' komt dus neer op het moedwillig onjuist implementeren van een encryptie-algoritme. Hierdoor versleutelt het algoritme berichten niet op een manier waardoor het alleen met de bijbehorende unieke private sleutel ontcijfert kan worden, maar ook met de 'Golden Key'.

Omdat de 'Golden Key' is ingebakken in de onjuiste implementatie van het algoritme lijkt het mij mogelijk om deze 'Golden Key' af te leiden uit het grondig bestuderen van de aangepaste programma-code t.o.v. de referentie-implementatie van het encryptie-algoritme.

"Encryptie is best, maar ik wil dat een rechter kan bepalen wanneer we informatie moeten kunnen inzien wanneer er verdachte dingen spelen", zegt Grapperhaus. Hierbij gaat hij voorbij aan het feit dat met een 'Golden Key' de encryptie al gebroken is VOORDAT een rechter bepaald heeft of de uitgewisselde informatie ingezien mag worden door opsporingsdiensten.
Omdat de 'Golden Key' is ingebakken in de onjuiste implementatie van het algoritme lijkt het mij mogelijk om deze 'Golden Key' af te leiden uit het grondig bestuderen van de aangepaste programma-code t.o.v. de referentie-implementatie van het encryptie-algoritme.
Niet helemaal mee eens, een applicatie kan ook volledige e2ee gebruiken (dus echte, valide, solide encryptie) en tevens een kopie van die unieke private sleutel opslaan, encrypted met de public key van de overheid. De Public Golden Key zeg maar. Dan is de encryptie verder niet lek, en de (Private) Golden Key valt daaruit niet af te leiden. Evengoed is het natuurlijk een bijzonder slecht en onwenselijk idee.
Nou, om aan die sleutel te komen zonder dat een verdacht het kan merken zou men die versleutelde private-key ook ergens moeten opslaan. Dat voet toch wel weer extra aanvalsoppervlak toen. Bovendien een uitermate lucratieve aanvalshoek omdat je als je het in handen krijgt direct alle WhatsApp-berichten kunt ontsleutelen. Binnen een AIVD/MIVD weet je het misschien voor elkaar te krijgen dat die sleutel heel lang niet lekt of zelfs nooit maar binnen de politie, justitie en de rechtspraak? Daar zijn dermate veel mensen bij betrokken dat het vast en zeker een keer misgaat.

Maar, hoewel ik geen voorstander ben van het verzwakken van privacy, moet ik zeggen dat het wel een beetje gek is dat de overheid telefoons mag afluisteren maar dat bij (bijvoorbeeld) Whatsapp niet kan. Als er een rechter aan te pas komt en de eisen even hoog zijn als bij het aftappen van een telefoon dan denk ik dat er wel wat voor te zeggen is. Maar de technische implementatie kan haast niet zonder zorgelijke implicaties voor de veiligheid van het hele systeem.
De whatsapp kunnen ze ook aftappen, ze kunnen er alleen niets mee. Als de telefoon-audio encrypted zou zijn a la WA, dan kunnen ze daar ook niets mee.
Wat Grapperhaus meer voorstelt is dat iedere huiseigenaar verplicht een kopie van zijn voordeursleutel bij het politiebureau inlevert voor het geval de politie naar binnen zou willen bij een vermoeden van een misdrijf.
Tappen kan wel, maar dan middels spyware op de devices. Gericht verdachten monitoren is dus helemaal niet onmogelijk. Alles live of achteraf kunnen inzien en doorzoeken, dat lijkt me totaal onwenselijk. Dat is verdacht maken van niet-verdachten.
Het is zoveel simpeler dan dat...

WhatsApp wordt als vertrouwde leverancier van updates gezien. Vaak worden de updates ook automatisch geïnstalleerd.
Het is een (relatief) kleine moeite om via de WhatsApp servers een update met daarin een bekende sleutel naar een specifiek toestel te sturen. Die bekende sleutel kan Grapperhaus dan weer gebruiken om het betreffende toestel af te luisteren.

Hierdoor is géén golden key nodig en justitie en de veiligheidsdiensten kunnen toch z'n ding doen. Je maakt mij niet wijs dat dit niet allang gebeurt.
Dat is ooit in de jaren 90 gedaan met een duitse berichten dienst.
(Met medewerking van die berichten dienst).

Het was ook in een paar dagen weer ongedaan gemaakt, de zaak kwam voor de rechter, en daarbij was uit de proces stukken op te maken hoe het uitgepluisd was. Binnen korte tijd had de berichten dienst nog ruim onvoldoende klanten om levensvatbaar te zijn.
Ik kan helaas geen referenties vinden.

Overigens is een update nodig voor een ander item. De Signal encryptie heeft al verschillende sleutels voor veschillende gebruikers. Bij toetreden of verlaten van een groep wordt een nieuwe groeps sleutel gemaakt.
Bij een hidden deelnemer kan die alles meekijken. Het is dus een kwestie van een extra gebruiker in elke groep opnemen, en dat alleen mar niet toenen.

[Reactie gewijzigd door tweaknico op 4 november 2019 13:20]

Op zich goed om in deze vergelijking mee te nemen dat de politie nu ook elk huis in kan, namelijk met een huiszoekingsbevel van een RC. En die wordt niet zomaar vergeven. En is het in (bijna) alle gevallen ook merkbaar dat de politie binnen is geweest.
Precies, ze komen niet ongemerkt binnen met een sleutel. Hetzij ze bellen aan en worden binnengelaten door de aanwezige, hetzij ze lopen de deur plat. Ze hebben dus niet een sleutelkastje met jouw voordeursleutel, waarmee ze netjes (ongemerkt) binnen kunnen, danwel dat iemand stiekem de sleutel bij de hakkenbar kan laten kopieren, zodat derde partijen je flatscreen mee kunnen nemen.

[Reactie gewijzigd door curkey op 4 november 2019 16:41]

En nog een quote van nos.nl erbij:
Bovendien heeft justitie al een hackbevoegdheid, zegt Zenger. "Dan kunnen ze een apparaat hacken en kun je alsnog encrypte chats meelezen. Waarom zetten ze die nieuwe bevoegdheid niet gewoon in?" Steltman: "Heeft de minister wel vertrouwen in zijn eigen aanpak van kinderporno?"
Die hackbevoegdheid is enigzins vergelijkbaar met het huiszoekingsbevel, want ook toestemming van RC nodig. Weet alleen niet of je ook een melding krijgt als burger wanneer een RC deze bevoegdheid heeft afgegeven en de politie meekijkt op je apparaat.
Lekker kort. Ik denk namelijk van wel, want de enige manier om afluisteren mogelijk te maken is om extra sleutels te gebruiken dan wel de bestaande sleutel kenbaar te maken ergens.
Dus prachtig dat de eisen even streng kunnen zijn en dat er een rechter naar moet kijken, etc. Bottom line is dat zo'n gerechtelijk bevel niets kan uithalen als de encryptie niet gebroken/verzwakt kan worden.
Voor zo'n 'Golden Key' hoef je het algoritme niet onjuist te implementeren. Sterker nog, je kan hiervoor een methode toepassen die nu ook al gebruikt wordt voor groepen, namelijk het bericht versleutelen voor meerdere partijen. Alleen is een van die partijen, in het geval van het 'Golden Key' verhaal, bijvoorbeeld Facebook zelf, die standaard wordt toegevoegd aan je gesprek.

Het kan dus technisch wel, zonder de bestaande encryptie te breken. Dat het niet wenselijk is (onder meer omdat zo'n 'Golden Key' vroeg of laat zal uitlekken), ben ik wel volledig met je eens.
Voor zo'n 'Golden Key' hoef je het algoritme niet onjuist te implementeren. Sterker nog, je kan hiervoor een methode toepassen die nu ook al gebruikt wordt voor groepen, namelijk het bericht versleutelen voor meerdere partijen.
Dus alle berichten standaard voor Facebook leesbaar maken. Dus end-to-end encryptie, waarbij Facebook enkel doorgeefluik is en geen inzicht heeft in de versleutelde data, ongedaan maken.

En jij verwacht dat daar geen glijdende helling gaat ontstaan waarbij Facebook's data-honger het uiteindelijk wint?


Dit idee zou alleen werken als iedere account een schaduw-account heeft met een sleutel in het beheer van de Nederlandse staat, zodat enkel de staat aan die berichten aan kan. En dat zijn gewoon Stasi-praktijken.

En dan ga je er nog vanuit dat niemand een aangepaste client of een proxy server gebruikt, die de berichten naar zulke schaduw-accounts weghaalt of aanpast.

[Reactie gewijzigd door R4gnax op 4 november 2019 08:26]

Dus alle berichten standaard voor Facebook leesbaar maken. Dus end-to-end encryptie, waarbij Facebook enkel doorgeefluik is en geen inzicht heeft in de versleutelde data, ongedaan maken.
Dat is wel de samenvatting ja.
En jij verwacht dat daar geen glijdende helling gaat ontstaan waarbij Facebook's data-honger het uiteindelijk wint?
Ik verwacht zeker wel dat hier vroeg of laat door een of meerdere partijen misbruik van gemaakt zal worden, zoals inderdaad een Facebook zelf of een (buitenlandse) overheid die het ook wel handig vindt om in minder ernstige zaken toegang te hebben tot de data, etc.

Maar laten we de discussie alsjeblieft zuiver houden en onderscheid maken tussen wat wenselijk is (IMHO dit niet) en wat mogelijk is.

Mijn reactie was puur op dit stukje:
Het implementeren van een 'Golden Key' komt dus neer op het moedwillig onjuist implementeren van een encryptie-algoritme. Hierdoor versleutelt het algoritme berichten niet op een manier waardoor het alleen met de bijbehorende unieke private sleutel ontcijfert kan worden, maar ook met de 'Golden Key'.

Omdat de 'Golden Key' is ingebakken in de onjuiste implementatie van het algoritme lijkt het mij mogelijk om deze 'Golden Key' af te leiden uit het grondig bestuderen van de aangepaste programma-code t.o.v. de referentie-implementatie van het encryptie-algoritme.
Dat hoeft naar mijn mening, niet waar te zijn. Het kan ook zonder onjuiste implementatie en zonder dat de 'Golden Key' af te leiden is uit de code. Maar inderdaad het heeft zeker nadelige gevolgen voor onze privacy.
Dat hoeft naar mijn mening, niet waar te zijn. Het kan ook zonder onjuiste implementatie en zonder dat de 'Golden Key' af te leiden is uit de code.
Niet met end-to-end encryptie. Het hele punt is op dat moment dat client A een boodschap versleuteld die alleen client B of C kan ontsleutelen. De server die daar tussen in zit heeft daarbij niet de mogelijkheid om te controleren of wat client A verstuurt ook echt wel door zowel B als C ontsleuteld kan worden. Enkel B of C zelf zouden dat aan A kunnen aangeven.

Ofwel; de Nederlandse staat zou een server moeten hebben draaien die direct gekoppeld zit aan Facebook en van elk berichtje wat er overheen gaat, naar Facebook terug moeten kunnen sturen; "Ja; deze kan ik ontsleutelen; die mag door." of "Nee; hier is mee gerotzooid. Dit bericht niet doorsturen en geef ons de gegevens van deze persoon maar even."

Ik wens ze veel succes met het financieren van een cluster om dat voor elkaar te krijgen zonder dat hun infra overbelast raakt; Whatsapp etc. tering-traag worden; berichten onterecht verloren gaan; etc.

Dat gaat nog voorbij aan het feit dat zo'n methode per definitie alleen werkbaar is wanneer er een systeem online verbonden is waar de private key die bedoeld is voor decryptie, op actief is. En dat is heel, heel gevaarlijk. Want zodra die uitlekt ligt de communicatie van iedereen op straat.

Één breach die remote het werkgeheugen af kan lopen om die sleutel te vinden is al genoeg. En daar zijn er de afgelopen jaren al aardig wat van geweest en niemand heeft de illusie dat er binnenkort een einde aan zal komen.

[Reactie gewijzigd door R4gnax op 4 november 2019 19:30]

In de voorgestelde situatie heeft end-to-end encryption geen nut. Je kan dan net zo goed enkel TLS implementeren naar Facebook, want Facebook kan toch sowieso alles meelezen.
Klopt, en daarom vind ik het ook zeker niet wenselijk.
Een simpele oplossing hoeft natuurlijk niet golden key te zijn.

Je zou ook kunnen opteren voor end-to-end-to-end encryptie.

Maar in het midden van de keten zal een bericht dan dus altijd, afgekeken of niet, volledig leesbaar zijn. En dan moet je kiezen waar je de middelste sleutels gaat bewaren.

Of altijd encryptie sleutels in het bezit van de overheid, ofwel van (grote) bedrijven....

Kies uw pijn, meneer Grapperhaus
Blijkbaar is de overheid alweer vergeten wat er kan gebeuren als digitale sleutels in verkeerde handen belanden... https://nl.wikipedia.org/wiki/Hack_bij_DigiNotar
De overheid gaat niet samen met digitaal. Het wordt tijd dat er gedegen kennis is van dit soort technologieën.

Hoe willen ze dit uitvoeren? Als de stasie alles scannen en doorzoeken? Wie gaat dat betalen?
Net zoals ze het nu doen: stuur alles maar door naar de NSA en als er wat interessants tussen zit en zij besluiten dat we het mogen hebben wordt het teruggestuurd. Kost niks
Hoe graag je kindermishandeling ook wilt aanpakken, dat gaat niet lukken op deze manier. En daarom is het twijfelachtig waarom Grapperhaus juist dat als sluier gebruikt om deze wetgeving onder te scharen.
Hoe graag je kindermishandeling ook wilt aanpakken, dat gaat niet lukken op deze manier. En daarom is het twijfelachtig waarom Grapperhaus juist dat als sluier gebruikt om deze wetgeving onder te scharen.
Omdat jan met de pet bij dit soort onderwerpen redeneert volgens de standaard valse dichotomie: als je niet tegen bent, dan ben je voor. Ofwel je vindt dit een goede maatregel; ofwel je bent een kindermisbruiker.

Het zou eigenlijk goed zijn als de journalistiek in Nederland weer eens wat ruggegraat zou ontwikkelen en de heren politici op hun onzinverhalen aan zou spreken. De kindermishandelings-kaart trekken is zo ongeveer de Godwin van het privacy-debat.

[Reactie gewijzigd door R4gnax op 4 november 2019 19:14]

Je hebt nu gelijk, maar wat ik het enge vind is dat dit in de toekomst, in combinatie met allemaal andere regulerende wetten, wel gaat 'werken'. Als heel internet onder de loep ligt, overheden alle online interactie van burgers kunnen besnuffelen, dan is er geen vrije app meer beschikbaar om prive te communiceren.

En daar gaan we snel naar toe, als we niet keihard terugvechten.
Als heel internet onder de loep ligt, overheden alle online interactie van burgers kunnen besnuffelen, dan
-- zullen alternatieven als Tor een gemeengoed worden en zal de techniek gerafineerd worden totdat er een compleet gevirtualiseerd 2e internet netwerk gaan draaien bovenop het huidige.

Dat soort ontwikkelingen ga je niet tegenhouden.
In theorie is het mogelijk *al* het encrypted verkeer te blokkeren. Daarmee breek je ook https en is dus momenteel geen optie, maar als ze echt kwaad willen kunnen ze daar langzaam naar toe werken.
Nope. Met enige handigheid valt encrypted verkeer best op te nemen in legitiem verkeer, zelfs zonder dat er 'bewijs' is van aanwezigheid van encrypted content. Google eens op steganografie.
Precies. Kindermisbruik is een gemakzuchtig argument.

Ik snap best dat de overheid met een rechterlijk bevel data wil inzien. Zij kunnen namelijk ook een huiszoekingsbevel aanvragen en krijgen om zich toegang te verschaffen tot een huis waar verdachte zaken plaatsvinden.

Het feit dat de overheid niet de mogelijkheid heeft om een huis binnen te komen (ook al hebben zij het rechterlijke bevel), zoals bij data het geval is, is hen een doorn in het oog. Snap ik ook nog. Maar om dan maar een loper van iedereen zijn huis te eisen is een onzinargument. De overheid moet dan maar beter zijn best doen om het huis binnen te komen. Een kluizenfabrikant of slotenmaker stuurt ook geen kopietje van de code/sleutel van de kluis/het slot naar de overheid voor het geval dat.

De reissloten-makers zijn echter al gezwicht voor het terrorisme argument. Laat de techbedrijven niet zwichten voor het kindermisbruikargument in godsnaam.
De reissloten-makers zijn echter al gezwicht voor het terrorisme argument. Laat de techbedrijven niet zwichten voor het kindermisbruikargument in godsnaam.
Die TSA sleutels waren zo'n beetje per direct uitgelekt dacht ik?
Precies en daar komt het volgende probleem. De motivatie van het OM is enkel om toegang te hebben, niet om de toegang te bewaken. M.a.w. het zal ze een worst wezen als de sleutel lekt, zij hebben wat ze willen. Net als met de TSA. Zij hebben in je tas kunnen kijken zonder het slot te knippen (goh wat een service van de overheid) en dat de veiligheid van de inhoud van de tas als zij er mee klaar zijn weg is maakt ze niets uit. Ik neem aan dat Grapperhaus ook sloten op zijn huis heeft ook al heeft hij 'niets te verbergen'.
Yep, en omdat de koffer dichtzit en er niks kapot lijkt zegt de verzekering ook dat je kan gaan wieberen, de sloten zijn tenslotte hartstikke veilig.
Ze kunnen hun eigen bonnetjes niet eens vinden. Of stukken over de stint en ga zo maar door.

Los van het feit dat het verkeerd is dat er een sleutel is dat er een sleutel is die overal op past, het is helemaal verkeerd dat deze in handen komt van mensen die keer bewijzen niet integer te zijn.
Je vergeet wellicht 1 belangrijk aspect; het transport mag dan prima beveiligd zijn, maar de data wordt na ontvangst op je toestel gewoon inzichtelijk voor de app (en de maker).

Whatsapp zal moeiteloos een compleet profiel van jou opbouwen omdat ze 100% toegang hebben tot al je ontvangen en verstuurde berichten. Dat wil dus ook zeggen dat wanneer die 'Secure Golden Key' gewoon een backdoor in de app zelf is, waar al jouw berichten unencrypted zijn opgeslagen, alle data moeiteloos zichtbaar kan worden gemaakt voor andere partijen.

En aangezien Whatsapp een compleet gesloten systeem is, heb jij geen idee of de app na ontvangst (en decryptie) het bericht nog even analyseert en de keywords (of het hele bericht) doorstuurt naar zichzelf.
Ik begrijp deze sukkels ook niet. Een beetje terroristische organisatie bouwt een eigen app met een custom encryptie a la Telegram en voila....
Dan is er geen bedrijf meer waar Grapperhaus kan aanbellen om een backdoor.
Nouja.. behalve dan de smartphone (OS) fabrikanten, de berichten moeten toch op een schermpje komen een keer. Apple, Google, ..

Tijd voor een private-key brain-implant :) Of wacht, dan moeten we die fabrikant weer vertrouwen..
Ben je bekend met de term “Managerial State”? James Burnham speculeerde in zijn boek uit 1941 dat dit het logische lot is van kapitalisme, dat managers de politieke macht zouden overnemen. Deze managers zouden buitenstaanders niet accepteren en zo zou de macht in het westen in handen komen van een kleine elite.

Wat we hier zien is een onderdeel daarvan, bekend onder de term Anarcho-Tyranny:
“We refuse to control real criminals (that's the anarchy) so we control the innocent (that's the tyranny).”
Ik ben vóór! Maar op de uitdrukkelijke voorwaarde dat Grapperhaus zelf "Keeper of The Golden Key" wordt en de sleutel onder zijn hoofdkussen in zijn eigen slaapkamer bewaart. Want ik heb het sterke vermoeden dat maar heel weinig intelligente mensen, wegens vrees voor het eigen leven, die taak op zich willen nemen. ;)
Het is vechten tegen de bierkaai. Kijk naar de samenstelling van ons parlement: dat wordt gedomineerd door extremisten zoals Grapperhaus. Dit gaat er gewoon doorheen komen.
En daarbij nog: wie garandeert dat de overheid in de toekomst meer gaat doen met die macht dan ingrijpen op kinderporno?
Vroeger had ik vertrouwen in de overheid, maar ik heb ondertussen geleerd dat ik misschien te naïef was te geloven dat onze overheid en wetgeving altijd ter goeder trouw is.
Als je de politieke evolutie ziet (België) is een meer totalitair systeem niet meer zomaar uit te sluiten. Censuur en controle van communicatie zijn daar een vast onderdeel van. Kijk maar naar China, Iran, ...
Kinderporno, terrorisme, misdaad, altijd het argument om opsporingsinstanties meer bevoegdheden te geven.

Maar als maatschappij accepteren wij dat onze vrijheid een prijs heeft. Dat onze vrijheid ook betekent: eigen verantwoordelijkheid en ook een bepaald risico.

Wij als maatschappij accepteren risico, ook als daardoor doden vallen. Denk aan het verkeer, autorijden is nog steeds toegestaan. Terwijl auto-ongelukken toch 600+ doden en een veelvoud van gewonden veroorzaken. Nogmaals: wij als samenleving accepteren dat. Zo zijn er veel meer voorbeelden.

Om de vrijheid en privacy van de samenleving te beschermen, zou het nu kunnen gebeuren dat we een paar mensen niet kunnen veroordelen voor kinderporno of terrorisme. Mogelijk dat een aantal mensen daardoor hun straf ziet verminderen of misschien zelfs ontloopt.

Misschien is dat ook hier een geval waarbij we moeten zeggen: dat is ook de prijs van een vrije samenleving en hoe pijnlijk dit ook is voor de betrokkenen, het grote belang staat hier voorop.

Een probleem is denk ik dat we als samenleving ook nooit echt praten over dit soort zaken. Over concepten als vrijheid, wat dat werkelijk betekent. Of privacy. Dat leren mensen niet op school zover ik weet, je wordt vooral getraind als 'werker'. Meer cultuur en filosofie zou misschien wel goed zijn. Meer leren nadenken. :D

Ik zeg niet dat bovenstaande allemaal waar is, maar misschien is dit wel voer voor discussie. Door populisme denk ik dat dit erg lastig is: mijn argumenten kunnen verdraaid worden en populisten kunnen beweren dat ik wil zeggen dat kinderporno of terrorisme niet zo erg is (wat onjuist is). En mensen ongetraind in denken trappen daar in.

Als we *absolute* veiligheid willen, nooit meer kinderporno of terrorisme, of verkeersoden:

- verbiedt autorijden
- sluit alle mensen op in een gevangenis
- bewaak alle mensen met camera's 24/7/365 continue.

Is dat wat wij willen?

[Reactie gewijzigd door Q op 3 november 2019 23:50]

Ik denk dat vragen: Willen we absolute veiligheid? Wat te veel zwart wit denken is.

De meesten mensen willen relatief veilig leven. Als wij al erg veilig leven zien minder mensen noodzaak om verdergaande maatregelen te nemen, maar zodra wij in een relatief onveilige samenleving zouden zitten dan gaat de wens voor die maatregelen rap omhoog.

Er is best veel support voor de social credit systemen in China bijv. Thailand is relatief stabiel nu er politie op bijna elke straathoek van Bangkok staat. De Filippijnen hebben een president gekozen die de veiligheid flink heeft vergroot voor de meeste mensen door het niet werkende justitie apparaat uit de weg te gaan voor de ergste criminelen en wordt er om bejubelt door velen.

Allemaal zaken die in Nederland weinig toe te voegen hebben aan onze veiligheid, maar wel andere rechten flink afbouwen. Maar in andere landen kunnen dat populaire maatregelen zijn die de veiligheid bevorderen ook al brengt het ze niet tot absolute veiligheid. Als autorijden veel onveiliger was mochten ze dat van mij ook wel verbieden (in veel gebieden waar wapens zijn toegestaan is het verkeer alsnog dodelijker trouwens, het is dat wij meer nut van autos hebben bij de meeste mensen maar anders was het waarschijnlijk ook aan strenge regulering onderhevig als het enkel voor plezier was).
Ik denk dat vragen: Willen we absolute veiligheid? Wat te veel zwart wit denken is.
Dat klopt, dat is mijn punt. :)

Maar populisten maken helaas gebruik van het feit dat veel mensen nooit goed hebben leren nadenken over dit soort onderwerpen. Die denken werkelijk dat het doel is om 0 verkeersdoden te realiseren of 0 aanslagen te bewerkstelligen.

De burgers die het dus niet snappen worden totaal wild als je ze indirect aan het verstand wil brengen dat dit soort absolute veiligheid onmogelijk is zonder extreme maatregelen die ze zelf ook niet zouden willen.
Dat ze eigenlijk moeten accepteren dat de kans op een verkeersdode toch groter is dan nul, of dat het toch kan gebeuren dat een aanslag wordt gepleegd, ondanks het harde werk van de AIVD.

Die mensen weigeren dat te accepteren en gaan op populisten stemmen die leugenachtige oplossingen verzinnen voor deze problemen, die nogal orwelliaans van aard zijn.

Het kern probleem is dat we in onze maatschappij teveel aan praktische zaken besteden, zoals rekenen, talen, etc en te weinig aan de meer filosofische onderwerpen. Wat is Nederland, wat zijn onze waarden? Hoe willen we onze samenleving inrichten?

Ik denk dat burgers, ook in Nederland, onvoldoende geestelijk zijn ingeënt tegen retoriek, drogredeneren en populisme (van alle zijden van het politieke spectrum). Ik vrees dat daarom dit soort proefballonnetjes van personen als Grapperhaus op een gegeven moment voldoende draagkracht zou kunnen krijgen dat ze het willen gaan implementeren, zoals Australië dat wil, meen ik.
"Meneer Grapperhaus, u wilt dus deze veiligheidsmaatregel invoeren tegen kinderporno en terrorisme netwerken."

"Dat is correct."

"U wilt dus een nieuw IT project starten namens de overheid om dit te bewerkstelligen."

"Dat is correct."

"U kunt garanderen dat de algemene gouden sleutel niet gestolen of misbruikt kan worden."

"Dat is correct."

"Wilt u hiermee zeggen dat de problemen rondom SyRi volledig zijn opgelost, gezien uw vertrouwen in dit project?"

"Eh... Dat staat er l-"

"De IT problemen bij de belastingdienst en de UWV, welke veel eenvoudiger zijn in opzet, zullen hiermee dus ook binnen enkele maanden volledig opgelost zijn?"

"Ja die zijn toch w- "

"Ook zult u persoonlijk er zorg voor dragen dat het veelvuldige misbruik door de AIVD en MIVD per direct aan de kaak worden gesteld, en de verantwoordelijken de laan uitgestuurd worden aangezien u garandeert dat vergelijkbaar misbruik van deze macht niet mogelijk zal zijn?"

"Eeuh ja dat moet u toch in een an-"

"Dit betekent ook dat u persoonlijk kunt garanderen dat alle mogelijke lekken die bij de overheid vandaan zijn gekomen en zullen komen zullen worden voorkomen in 100% van de gevallen zodat deze sleutel nooit in handen van derden kan komen?"

"Ik zal er wel mijn b- "

"Een garantie geven is niet hetzelfde als aangeven dat u uw best doet meneer Grapperhaus, kunt u hier meer uitsluitsel over geven?"

"D-dat is toch niet helemaal r-"

"Hoe zit het met het delen van informatie en deze sleutels met andere landen, wordt dit verboden? Of moet elk land een eigen sleutel gebruiken? Is het wel handig dat IT bedrijven 150 of meer verschillende sleutels moeten hanteren voor dezelfde data? Hoe kunt u de veiligheid van deze data en de privacy van de burgers garanderen? Hoe kunt u garanderen dat de data van buitenlanders niet in Nederland wordt behandeld en opgeslagen, en andersom? Hoe voorkomt u dat mensen niet overstappen naar nieuwe apps die deze versleuteling wel bieden? Wat als deze apps vanuit het buitenland worden aangeleverd? Hoe garandeert u daarnaast dat de bedrijven welke de sleutel moeten implementeren en aanleveren hiertoe capabel en betrouwbaar zijn? Staat deze maatregel niet haaks op uw eigen uitspraken over de mogelijke aanwezigheid van exact een zulke techniek in buitenlandse hardware, of neemt u deze hypocritie op de koop toe?"

http://giphygifs.s3.amazo...a/LRVnPYqM8DLag/giphy.gif

( sorry, had hier even zin in )

[Reactie gewijzigd door ChromeBallz op 3 november 2019 23:58]

Geenstijl heeft nog een paar voorbeelden. En dan moeten wij dat clubje vertrouwen... de humoristen.
NIETS aan toe te voegen. De spijker(s) op hun kop. :)
:) :) :+ Je bent er nog een paar vergeten zoals de e-screener test voor zedendelinquenten jagers
Altijd beginnen dit soort dingen onder de vorm “kindermisbruik”, want het grootste deel van de mensen denkt: dat heb ik niet te verbergen, geen probleem!

5 jaar later heb je tegen iemand aangebotst bij een fastfoodketen die ze targetten voor terrorisme, en jij zit per ongeluk in het cirkeltje. Daar is waar het misgaat. Je data za niet nuttig worden gebruikt, al vrij snel zelfs op de plank komen te liggen, maar vaker is gebleken dat die spreekwoordelijke plank lange na niet altijd veilig is. En als Nederland een sleutel heeft dan willen “rogue” states dat ook, incl onze bondgenoten waarop we ook amper kunnen monitoren.
Uiteindelijk zwakt dat af naar 'fraude', en nog later wordt dat 'misdaad' in het algemeen.
Soms gaat dat vlugger dan je denkt - zie bv SyRI, of de 'sleepwet' die ook een zodanige gatenkaas was dat het bijna bewust ontworpen leek om later het voor steeds kleinere dingen te gebruiken.
Excuseer, maar .... wat ? SyRI is ontworpen voor 1 doel en haalt 0 resultaat op dat doel spijtig genoeg. Hoezo wordt het steeds aangepast om kleinere dingen op te sporen?
Begrijpend lezen:
zie bv SyRI, of de 'sleepwet' die ook een zodanige gatenkaas was dat het bijna bewust ontworpen leek om later het voor steeds kleinere dingen te gebruiken.
Nergens geeft MicBenSte aan dat dit daadwerkelijk gebeurt/gebeurde.
Was er niet een journalist die zich begaf in bepaalde kringen en daarom werd aangemerkt als zijnde een terrorist?

Guilty by association.
Lijkt me een goede zaak.
De kans dat je geconfronteerd wordt met roque states, moordenaars of slachtoffer wordt van rechterlijke dwalingen is te klein.
Versleutelde communicatie biedt teveel kansen aan mensen om slachtoffers te maken en ook schade te vergroten bv aankopen van wapens en stimulerende middelen is makkelijker zo.

Het breed communiceren van deze repressieve maatregel gaat de maatschappij nog veiliger maken. Hoe groter de pakkans, hoe kleiner het aantal kleine criminelen, spijtig genoeg.
Politiemensen gaan efficiënter kunnen werken waardoor het aantal bad lieutenants onder hen daalt.
Tenslotte kan je meer daders confronteren en ik vermoed dat strafuitvoering het aantal slachtoffers doet dalen.

Die hersenspinsels baseer ik op politionele feiten en helaas is die data niet vrij toegankelijk.
Als de noodzaak van een wet/idee kinderen of terrorisme is, dan weet je dat het een slechte wet wordt/idee is.

Ze kunnen dan geen redelijke argumenten bedenken waarom het een goed idee is en grijepen naar een onderwerp waarbij ze makkelijk naar de drogreden 'false dichotomy' kunenn grijpen. Ben je tegen de wet? Waarom wil je kindermiusbruik/terrorisme niet aanpakken, vind je dat dan geen probleem.

Het is walgelijk en helaas is dat het niveau wat we van politici kunnen verwachten.
Wat stopt een crimineel om het bericht eerst te encrypten, en dan te versturen? Niets, helemaal niets.

Maar goed, er heeft een heel clubje ambtenaren, zes maanden over vergaderd, dus het moet er door.
Hoe veilig zijn we? Met dit soort pannenkoeken aan het stuur?
Dit is stap 1. Vervolgens komt er uiteindelijk een algeheel verbod voor burgers om zelf encryptie toe te passen. Doe je ‘t wel dan is alleen dat al strafbaar.

Klinkt gek en als een slippery slope, maar ‘t zou me niets verbazen. Scharen ze dan gewoon op een zelfde manier in de wet als verboden wapenbezit.
Dit is stap 1. Vervolgens komt er uiteindelijk een algeheel verbod voor burgers om zelf encryptie toe te passen. Doe je ‘t wel dan is alleen dat al strafbaar.
Op dat moment snij ik m'n spreekwoordelijke kabels door en kunnen alle instanties weer per post gaan communiceren. Liever dat, dan het risico lopen dat online communicatie met banken etc. straks zo lek als een vergiet is en één of andere sjaak uit Russische contreien mee aan het kijken is.

[Reactie gewijzigd door R4gnax op 4 november 2019 08:35]

Encryptie heeft lange tijd onder munitie gevallen in de VS.
PGP code mocht alleen in geschreven/geprinte vorm de grens over.
Dit lijkt een wat onrealistisch scenario aangezien encryptie al in de haarvaten van de samenleving zit. Denk bijvoorbeeld aan internetbankieren. De overheid kan toch lastig de versleutelde communicatie van je app naar de bank verbieden. Encryptie zit ook al bij het signaal van je Ziggo-abonnement.

Zo'n verbod zou onevenredig veel praktische problemen geven, juist qua beveiligen van bonafide personen en bedrijven.
Eens.

Door de grote (olie/energie) bedrijven wordt ook gelobbied, daardoor wordt het bestuur beïnvloed.

Niet door wetenschappers met daadwerkelijke kennis...
Overigens interessant statistiekje van het Nieuwsuur artikel:

"Momenteel kunnen Openbaar Ministeries aan Facebook vragen inzicht te geven in berichten. De Nederlandse justitie vroeg sinds het begin van de registratie door Facebook in 2013 een kleine 400 keer om toegang tot berichten van Facebook-accounts. Tachtig procent van die verzoeken werd ingewilligd. Ook werd zo'n 4000 keer gevraagd om accountinformatie zoals email en telefoonnummer."

80% van de verzoeken werd dus door Facebook zelf van geacht dat het in het belang van de openbare veiligheid was dat er inzage werd gegeven. 80% is een vrij hoog cijfer verhoudingsgewijs gezien voor verzoeken. Slechts 20% had Facebook er blijkbaar dus bedenkingen bij of inzage in de privéberichten in verhouding stond tot het bewijs bij het verzoek om inzage te geven.

Bv telefoontaps in Nederland staat op een veel lager niveau qua acceptatie door de rechter (61% in 2018 als ik het me goed herinner).
Maar een bedrijf als Facebook is nooit geheel onpartijdig. Die heeft er niet voor geleerd: die kijkt niet naar de wet, die kan dus overgehaald worden. Daarom is het percentage veel hoger dan bij de rechter.

[Reactie gewijzigd door NotCYF op 3 november 2019 23:59]

Nee een partij als Faceboek moet geld betalen om te toetsen en is dus gebaat om ja en amen te zeggen, een rechter wordt al betaald om naar de wet te kijken.
Dat en het aantal verzoeken lijkt niet heel hoog te liggen. Als het dus voornamelijk zinnige verzoeken zijn is het ook logisch dat het percentage nog hoger komt te liggen.
Dit komt dus van dezelfde club die het een goed idee vond om journalisten te gijzelen en af te luisteren en om klokkenluiders af te luisteren alleen omdat de boodschap niet welgevallig was.

Iets met scheiding van machten.

Als ze dit simpele dingetje al niet goed kunnen doen, waarom zouden ze dan te vertrouwen zijn met allerlei geheime sleutels?

De denkfout die lui als Grapperhaus (en alle VVD ministers vóór hem, met name Teeven) maken is dat ze zo verschrikkelijk zeker zijn van hun eigen gelijk, rechtvaardigheid en onfeilbaarheid, dat allerlei regeltjes die ze in de weg zitten maar afgeschaft moeten worden. De Nederlandse traditie vraagt echter om een bescheidener en terughoudender attitude. Want niet elke persoon/organistatie is altijd fan van de waarheid, fan van rechtschapenheid of zelfs maar van enige competentie te beschuldigen. Ook niet onze overheid.

Praktisch dezelfde club heeft ook de nieuwe inlichtingenwetgeving ingevoerd waarbij inmiddels gebleken is dat dat de diensten zich aan de regels die er zijn zich nog niet eens houden. Waarom zou ik Grapperhaus et al. dan op dit punt wel vertrouwen? Die voorgestelde gerechtelijke toets geeft mij niet voldoende vertrouwen. Gaat er dan straks toch niet wat scope-creep optreden naar wat afluisteren van wat ambtenaren met onwelgevallige meningen? Eens dat de infra er is kan je wettelijke scope makkelijk uitbreiden. En daarnaast, er zijn binnen de westerse wereld voorbeelden te vinden van politici die nooit iets strafbaars hebben gezegd/gedaan, maar die toch in de gaten werden gehouden omdat ze als staatsgevaarlijk werden gezien, puur alleen maar omdat ze een sterk afwijkende mening hadden. En ach ja, ik schat zo in dat die "surveillance" hoewel dan niet niet KP-gerelateerd toch wel door kan gaan. Punt is namelijk: iemand hoeft niet staatsgevaarlijk te zijn , maar een machthebber (die erg vol van zichzelf of z'n eigen gelijk is) hoeft het alleen maar te denken. En de sleutels zijn immers beschikbaar dan.

Een belangrijk begin-punt in de democratie is dat je stelt dat een mens, en dus de overheid, per definitie niet 100% te vertrouwen is. En dat daarom afgezien moet worden van mechanismen die leunen op waterdichte menselijke betrouwbaarheid. En dat daarom mensen vrij en onbespied moeten kunnen communiceren om een eventuele onbetrouwbare overheid (of ambtenaren!) effectief te kakken kunnen zetten. Ja ik weet dat de letterlijke woorden van Grapperhaus alleen betrekking hadden op KP en zo. Maar in wereld waarin appjes de primaire vorm van communicatie aan het worden zijn kan je IMHO niet met gezond verstand de beperkte scope van het idee van Grapperhaus los zien van het potentiele gevaar voor de democratie die het oplevert.
“Een belangrijk begin-punt in de democratie is dat je stelt dat een mens, en dus de overheid, per definitie niet 100% te vertrouwen is.”

Dat klinkt als het cynische mensbeeld als uitgangspunt, wat idd dit soort regimes oplevert, maar niet een basispunt is van democratie. Check het boek van Rutger Bergman, “De meeste mensen deugen”, om te zien dat het ook anders kan.

Maar wat Grapperhaus vooral doet is de wens van de USA, VK en Australië volgen. Helaas houdt hij zich niet een de uitgesproken mening van het kabinet, het luidst verwoord via Kees Verhoeven, dat ‘we’ dit als land niet willen. En idd eens moeten stoppen met de terror/misbruik drogredenen, het lijkt wel een kinderlijke herhalingstrategie om het er uiteindelijk doorheen te krijgen.

[Reactie gewijzigd door PTR op 4 november 2019 15:22]

Zo'n gerechtelijke toets betekent ook niet zoveel, want de rechter moet toetsen aan de wet, en die wordt weer gemaakt door de regering. Of mis ik hier iets?
Die toetst aan verschillende wetten en maakt een belangenafweging welke belangrijker is voor de betreffende casus.
Wat een ontzettende grapperhaus deze man en zijn voorstellen zeg :+

Buiten alle valide argumenten hiervoor al benoemd en het ongelukkige huwelijk tussen overheid & ICT......

Zou deze man niet eerst eens zorgen dat slachtoffers van seksueel geweld sowieso aan bod komen in de trage trechter van Politie & OM ? Want daar komt nu ook helemaal niets van terecht in veel gevallen. Dat we bij onze gestolen fiets net zo goed geen aangifte meer kunnen doen, verschuift zachtjes aan ook naar als je verkracht blijkt te zijn.

https://joop.bnnvara.nl/n...nzaken-op-de-plank-liggen , want op dit moment laat men zomaar zaken sloffen en worden slachtoffers niet serieus genomen.

Of, zolang je 'eigen officieren van Justitie' niet vervolgd worden voor 'sex met minderjarigen' door 'een foutje' wat geen foutje was, https://www.volkskrant.nl...3A%2F%2Fwww.google.com%2F

Dan hoef je natuurlijk niet heel Nederland te gaan verdenken van kinderporno. Schijnbaar komt je justitiële apparaat toch niet aan vervolging op de juiste manier toe. Of is de werkelijke intentie anders dan nu wordt gebracht op het toneel bij Nieuwsuur?

Je hebt dan natuurlijk wel heel fijn nog meer gegevens van alle Nederlanders die chat-Apps gebruiken, waarvan je vanzelfsprekend zoals nu ook al vaak gebeurt, de gegevens kunt gebruiken zoals je belieft.

Oeps, foutje .... te lang opgeslagen, gebruikt voor iets waar het niet voor afgesproken was of gewoon gebruikt voor een heel ander doel.

Nee meneer Grapjas Grapperhaus, mij lijkt het geen goed idee! Al heb ik het zelf niet op onzedelijke plaatjes van minderjarigen en al was ik niet van plan het Binnenhof op te blazen |:(

Uw ideeën geven teveel mogelijkheden voor een staat waar de overheid totale controle over 'haar onderdanen' zal kunnen hebben. En dat is geen goed idee.
“Een belangrijk begin-punt in de democratie is dat je stelt dat een mens, en dus de overheid, per definitie niet 100% te vertrouwen is.”

Dat klinkt als het cynische mensbeeld als uitgangspunt, wat idd dit soort regimes oplevert, maar niet een basispunt is van democratie. Check het boek van Rutger Bergman, “De meeste mensen deugen”, om te zien dat het ook anders kan.

Maar wat Grapperhaus vooral doet is de wens van de USA, VK en Australië volgen. Helaas houdt hij zich niet een de uitgesproken mening van het kabinet, het luidst verwoord via Kees Verhoeven, dat ‘we’ dit als land niet willen. En idd eens moeten stoppen met de terror/misbruik drogredenen, het lijkt wel een kinderlijke herhalingstrategie 😏

K, zie nu dat ik op de verkeerde heb gereageerd...was op gemengde drop hierboven...verplaatst!

[Reactie gewijzigd door PTR op 4 november 2019 15:13]

Volgens mij is het iets genuanceerder. Zoals je het zelf zegt: de meeste mensen deugen. Dus niet allemaal. Het is altijd zo dat een controlemechanisme in het leven wordt geroepen voor een kleine groep.

Daarbij corrumpeert macht sterk, daarom is de democratie in het leven geroepen. Democratie is niet perfect, maar gaat wel uit van dat overheidscontrole noodzakelijk is. Vrije pers, de kamers, wij zelf voeren die controle uit.

De gedachtefout die politici vaak maken is dat hun goede intenties goed genoeg zijn om alles dan maar goed te vinden. Het is volgens hun "ok" om iedereen potentieel te controleren (golden key in een kluis) omdat de intenties goed zijn maar tegelijkertijd haal je daar ook potentieel het democratische controlemiddel (vrijheid van communicatie, privacy etc) onderuit. Niet volledig vertrouwen van burgers is zeker gepast, maar dan is ook niet volledig vertrouwen van de overheid gepast. Uitgaan dat de meeste mensen deugen bij de overheid OK, maar dan moet de overheid er ook vanuit gaan dat de meeste burgers deugen (en dus geen draconische maatregelen nemen waarbij potentieel iedereen afgeluisterd kan worden).

Ik vind dat @Q een zeer genuanceerd beeld hierover schetst in zijn reactie eerder.
Zag dat mijn eerdere reactie op de verkeerde was, iets met dikke vingers en een mobiel.

Maar dan nog, lees het boek! Die gaat ook over deze kwestie van het ontstaan van, zoals hij het noemt, de leviathan. Met meer nuance en onderbouwing dan ik hier kan geven. Ik zou graag willen hopen dat we, de mensheid, ons niet laten leiden door angst en wantrouwen. Noem me maar een ouwe hippie, maar ik hoop toch echt dat we hierbovenuit kunnen evolueren.
Altijd hetzelfde liedje. Nu gaat het om kinder porno, morgen over terrorisme. Om 0,0000001% van de bevolking die totaal ontspoort wil men 100% van de bevolking zijn privacy afnemen. Het doel heiligt de middelen niet.

Er bestaat niet zoiets als een achterpoortje. Encryptie is gewoon encryptie en elke afwijking is zoals de sleutel onder de deurmat aan uw achterdeur.

Het erge is dat we het punt bereiken dat we op semi encryptie overschakelen (whatsapp bijv ) die 0,0000001% criminelen wel een tool gebruikt die wel 100% encrypted is en 99,999+ % daar de dupe van is.

[Reactie gewijzigd door Coolstart op 3 november 2019 23:03]

Laten we massaal niet meer stemmen op meneer Grapperhaus. Deze meneer heeft het namelijk niet best met ons voor. Encryptie bestaat nou eenmaal. Dat betekent dat criminelen daar te allen tijde beschikking over hebben. Zij houden zich immers niet aan de wet. Wij als brave burgers moeten het ineens doen met "encryptie" met een achterdeurtje wat de encryptie volledig nutteloos maakt. Daarnaast kunnen criminelen de sleutel compromitteren die meneer Grapperhaus wil gebruiken om burgers af te luisteren. Dat is ook al gebeurd met bijvoorbeeld de TSA-lopers voor reisslotjes. Al met al een bijzonder slecht plan dus.
1 2 3 ... 8


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Laptops

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True