VS, VK, Japan en meer landen willen toegang tot versleutelde berichten

De VS, het VK, Australië, Canada, Nieuw-Zeeland, India en Japan roepen techbedrijven op om berichten met eind-tot-eindversleuteling toegankelijk te maken voor overheden. De landen willen samenwerken aan 'redelijke voorstellen', waarbij privacy van gebruikers gewaarborgd blijft.

De zeven landen hebben een statement gepubliceerd over 'eind-tot-eindversleuteling en de openbare veiligheid'. Daarin staat dat ze zich zorgen maken over diensten die versleuteling toepassen en daarbij 'elke wettelijke toegang tot inhoud volledig uitsluiten'. De landen willen dat het mogelijk wordt voor overheden om inzicht te krijgen in versleutelde communicatie als daar een wettelijke basis voor is. Dat moet bijvoorbeeld ingezet kunnen worden om terrorisme en kindermisbruik tegen te gaan.

Het statement benadrukt dat eind-tot-eindversleuteling een cruciale rol speelt bij de bescherming van persoonsgegevens, privacy, intellectueel eigendom en handelsgeheimen. Ook erkennen de overheden dat versleuteling een essentieel doel heeft bij de bescherming van bijvoorbeeld journalisten en mensenrechtenactivisten. Volgens de overheden is versleuteling een essentieel onderdeel van 'vertrouwen in de digitale wereld'.

De overheden roepen technologiebedrijven op om samen te werken aan 'technisch haalbare oplossingen'. Daarmee zouden niet alleen overheden toegang moeten krijgen tot versleutelde data, maar het zou ook techbedrijven in staat moeten stellen om hun eigen voorwaarden te handhaven. De landen noemen als voorbeeld de detectie van afbeeldingen van kindermisbruik. Met automatische tools ontdekt Facebook jaarlijks miljoenen van dergelijke afbeeldingen in Messenger-chats. Als eind-tot-eindversleuteling wordt ingevoerd, werken die tools niet meer.

Handhavingsinstanties moeten volgens de oproep toegang krijgen tot versleutelde inhoud in een 'leesbaar en bruikbaar formaat' als daarvoor een rechtmatige autorisatie is afgegeven. Dat zou alleen mogen voorkomen als daar een noodzaak voor is en het verlenen daarvan zou onderworpen moeten worden aan sterke waarborgen en toezicht.

In de verklaring benadrukken de landen dat de overheden op zoek willen naar oplossingen die 'de veiligheid van burgers waarborgen, zonder de privacy van gebruikers te ondermijnen'. Hoe dat er concreet uit moet gaan zien, is nog niet bekend. De overheden willen samenwerken met techbedrijven om dat te onderzoeken.

De oproep komt van de overheden van de Verenigde Staten, het Verenigd Koninkrijk, Australië, Canada, Nieuw-Zeeland, India en Japan. De vijf eerstgenoemde landen zijn verenigd in de zogenaamde Five Eyes, een samenwerkingsverband op het gebied van inlichtingen. Twee jaar geleden riep die coalitie ook al op tot toegang tot versleutelde data.

Met de oproep richten de landen zich op techbedrijven in het algemeen, zonder namen te noemen. Bekend is dat overheden zorgen hebben over de voorgestelde plannen van Facebook om alle communicatie binnen zijn apps te voorzien van eind-tot-eindversleuteling. Eind vorig jaar weigerde het sociale netwerk om een backdoor voor de Amerikaanse overheid in te bouwen. Wel zei Facebook mee te willen werken aan wetshandhaving, mits dat op een wettelijke manier gebeurt, zonder de veiligheid van andere gebruikers in het geding te brengen.

Door Julian Huijbregts

Nieuwsredacteur

12-10-2020 • 16:23

163

Submitter: duqu

Reacties (163)

163
161
103
25
4
46

Sorteer op:

Weergave:

Dat moet bijvoorbeeld ingezet kunnen worden om terrorisme en kindermisbruik tegen te gaan.
Ja hoor, daar zijn ze weer. Wat fijn toch dat overheden altijd terug kunnen vallen op die twee termen om hun standpunten kracht bij te zetten.
Met automatische tools ontdekt Facebook jaarlijks miljoenen van dergelijke afbeeldingen in Messenger-chats.
En hoeveel personen zijn er al gearresteerd? Zijn de kinderen die op die afbeeldingen staan ook gered van hun misbruikers? Zijn de producenten van de afbeeldingen al gevonden? Allemaal erg belangrijk als je de kern van de zaak wilt begrijpen. Als er nu met die niet-versleutelde data al weinig tot niets gebeurd dan is er ook geen noodzaak om de versleutelde data te ontsleutelen.
Het kindermisbruik is een argument wat elke keer weer terugkomt, maar (net als de functie van Messenger) volledige onzin is. Het voornaamste doel is de grote misdaad en terrorisme. De achterdeurtjes zijn daar volledig nutteloos. De misdadigers weten van dat achterdeurtje en stappen over op iets anders.
De enige juiste manier om binnen die groepen te infiltreren en gewoon alles meelezen zonder dat men op de hoogte is.
Waarom is het volledige onzin?
Als men van de achterdeurtjes weet zoekt men toch een andere weg. De achterdeurtjes raken op een gegeven moment ook bij hackers bekend en dan is encryptie al snel nutteloos.
Tuurlijk is het geen onzin.
Ja er kan terreur en kinderporno tegen gehouden worden.
Maar tegen welke prijs, en zijn de kosten baten dan in balans.

Het zijn drogredenen, ik dacht dat dat wel duidelijk zou zijn. De kinderporno is bijvangst, sterker nog je zou kunnen zeggen dat die kinderen nu worden misbruikt om de bevolking beter te kunnen controleren, en het liefst tot het niveau dat china doet, maar dan een een PR geschikt jasje.
Het probleem is dus dat dit ook bekend wordt en dat ze dus toch overstappen naar een andere oplossing. Ik bedoel het is alleen nog in de planning maar het staat nu al op tweakers. Daarom verwacht ik dat de grotere bendes dit ook wel snel weten en gaan uitzoeken. Dus of dit hiervoor de oplossing is betwijfel ik.
De Nederlandse politie heeft zo'n 15 maanden lekker mee kunnen kijken in een groot drugsmilieu. Je moet natuurlijk niet meteen op alles reageren, maar eerst de hele bende in kaart brengen. Met achterdeurtjes in bestaande apps vang je alleen klein bier. De grote jongens gebruiken die niet.
Als eenmaal bekend is dat geheime communicatielijn wordt afgeluisterd, dat zoeken ze inderdaad iets anders en dan zal de opsporing ook mee moeten zien te gaan. Dat spel bestaat al zolang de georganiseerde misdaad bestaat.
De enige juiste manier om binnen die groepen te infiltreren en gewoon alles meelezen zonder dat men op de hoogte is.
Iemand heeft het nieuws niet gelezen?
Een van de grootste zaken in de geschiedenis is onlangs gestart omdat de politie geslaags is om een een specifieke E2E chatapplicatie (die in de praktijk enkel door zware criminelen gebruikt werd*) te kraken. Dus niet door te infiltreren. Overigens ook leuke sidenote: 26lemont heeft ook geleid tot een anticorruptieonderzoek bij de Nederlandse politie.

*: Ja, echt enkel in het milieu van zware misdadigers. De cryptophones van encrochat kon je nergens, kopen behalve via bepaalde dealers, face to face, en de telefoons kostten duizenden euro's, hadden camera en GPS er handmatig uitgesloopd, en waren dus niet bepaald wat 'de consument' zou kopen.

[Reactie gewijzigd door kiang op 24 juli 2024 18:30]

Weinig zijn er opgepakt, omdat het vaak gewoon tieners zelf zijn die een pikant kiekje maken, meestal zonder hoofd erop, en dat dan naar een andere tiener sturen. Want dat is spannend.

Encryptie beschermd deze tieners juist tegen te fanatieke openbaar aanklagers in sommige landen, dat is pas seksueel misbruik.
Er is nog een aspect aan dit alles: Een mens doet er goed aan geen enkele overheid te vertrouwen, en dat is dan meer dan goed te rechtvaardigen. Want zelfs al heeft een huidige overheid de beste bedoelingen, niemand weet wat er over een 5-tal jaar gebeurt met de volgende overheid, en wat hun intenties zijn.
En het is nog erger dan dat: De Five Eyes is eigenlijk weinig meer dan een collectie van spionage agencies die collectief boven de wet van elk land staan*. Dat lijkt me gevaarlijker dan China, Rusland en Iran gecombineerd, want in tegenstelling tot de algemene aanname is er geen enkele garantie dat die agencies ook echt gelieerd zijn aan de betreffende landen.

*Bijvoorbeeld: Het is vastgelegd in de wet in de USA dat bv de NSA geen USA burgers mag afluisteren. Wat vervolgens gebeurt is dat de NSA bv afstapt op het equivalent van Australië, en aan hun vraagt om het werk voor ze te doen en de informatie terug te spelen. En een soortgelijk argument geldt voor de andere eyes ook, muv Australie als ik t goed heb want daar is er geen wet tegen het bespioneren van eigen burgers.

[Reactie gewijzigd door Jeanpaul145 op 24 juli 2024 18:30]

De spijker op zijn kop. Enige tijd geleden kwam de schokkende waarheid naar buiten via RTL Nieuws: 'De Tweede Kamer eist opheldering van minister Ferdinand Grapperhaus (Justitie) over de overbelasting van het rechercheteam dat kinderporno opspoort. Partijen vinden het onacceptabel dat duizenden meldingen over kinderporno op de plank blijven liggen.

Sinds 2012 bestaat het team uit 150 rechercheurs. Het aantal meldingen van kinderporno is daarna met 800 procent toegenomen, maar er is geen rechercheur bijgekomen. Het grootste deel van de meldingen kan niet worden opgepakt.'

De staat wil niet investeren op kindermisbruikers op te sporen en te vervolgen. Maar wel elke keer meer bevoegheden eisen, zogenaamd om kindermisbruik aan te pakken.
Laatst was er een gearresteerd, ene Epstein, maar die had zoveel gelijkgezinde vriendjes in hogere kringen dat hij zijn berechting niet gehaald heeft.
Stel nou dat ze één kind redden? Is het het dan waard?

Je laatste zin is een drogreden overigens.
Altijd leuk als landen iets willen wat aantoonbaar onmogelijk is. E2E encryptie is of veilig of het is het niet. En als je daar als techbedrijf of land tussen wil komen is het of geen E2E of je gooit er een achterdeur in en dan is het niet meer veilig.
Wat mij altijd opvalt in dit soort vraagstukken is de cognitieve fouten die worden gemaakt door de beleidsbepalers.
Ze grijpen altijd gauw naar een compromis en ook hier weer; ze stellen voor om toegang waarbij de privacy gewaarborgd blijft.

Dit doet mij denken aan het volgende: De vraag is "wat is 2 plus 2". Persoon 1 antwoordt 5, persoon 2 antwoordt 4. De mediator komt dan uit op 4,5 en geeft dat als antwoord. Fout natuurlijk en ook wat ze nu verzoeken is fout. Het verschil? Ze begrijpen eigenlijk niet echt de vraag.
> Dit doet mij denken aan het volgende: De vraag is "wat is 2 plus 2". Persoon 1 antwoordt 5, persoon 2 antwoordt 4. De mediator komt dan uit op 4,5 en geeft dat als antwoord. Fout natuurlijk en ook wat ze nu verzoeken is fout. Het verschil? Ze begrijpen eigenlijk niet echt de vraag.

Waar is dat verschil nu? ;)
2+2 = 4 rekenkunde
2+2 = 5 synergie of iets anders:
https://en.m.wikipedia.org/wiki/2_%2B_2_%3D_5

Daarnaast vind ik dit een eng idee; wat is redelijk in dit geval; hoort de toetsing niet bij de rechterlijke macht - ofwel iets met een glijdende schaal...
En als je daar als techbedrijf of land tussen wil komen is het of geen E2E of je gooit er een achterdeur in en dan is het niet meer veilig.
Ik las daar een op het eerste gezicht niet eens zo onredelijk alternatief voor, in dit geval speciaal voor iPhone bezitters: je wachtwoord wordt door Apple versleuteld en in je iCloud account opgeslagen. Na een gerechtelijk bevel kan Apple dan eventueel het wachtwoord uit dat account halen. Andere partijen kunnen dat niet, ook al hebben ze volledig toegang tot je account want alleen Apple kan het wachtwoord ontsleutelen.

De enige partij die je in deze dan moet vertrouwen is dus Apple. Maar als je Apple niet vertrouwd zet je sowieso geen gevoelige gegevens op je telefoon want je weet natuurlijk nooit of Apple niet nu al allerlei achterdeurtjes heeft ingebouwd in iOS en hun telefoons om stiekem jouw gegevens te lezen...

Het is niet ideaal en er zitten haken en ogen aan maar het laat wel zien dat er best wel regels te bedenken zijn waarmee je als rechtstaat na een uitspraak van een rechter gegevens op telefoons kan bekijken zonder die gevreesde 'dan kunnen alle criminelen het ook'.

Nog een toevoeging: een ander belangrijke overweging om zoiets te doen was om nabestaanden bij onverwacht overlijden toch toegang te kunnen geven tot het account.

[Reactie gewijzigd door CharlesND op 24 juli 2024 18:30]

Alleen Apple.

En een (staats)hacker die erin slaagt om bij Apple binnen te dringen.
of een omgekochte apple medewerker die lekker alles doorsluist.
Je kan daar wel weer wat voor verzinnen dat het niet om 1 persoon gaat.
Zoiets als onlangs bij Twitter is gebeurt?
Alleen Apple.

En een (staats)hacker die erin slaagt om bij Apple binnen te dringen.
Ja nogmaals, als je bang bent voor staatshackers en omgekochte medewerkers hoe zeker ben je er nu dan van dat jouw telefoon in de fabriek al niet door een staatshacker of omgekocht medewerker is voorzien van een Android- of iOS versie met ingebakken achterdeurtjes en allerlei spyware?

Dat lijkt mij heel wat makkelijker dan inbreken bij Apple of daar de ongetwijfeld zwaar gecontroleerde medewerkers omkopen...
Probleem is dat de waarde om Apple te hacken hoger wordt wanneer deze alle wachtwoorden kan ontsleutelen.
Nu weegt de opbrengst waarschijnlijk niet op tegen de moeite, dat kan anders worden in jouw methode.
Probleem is dat de waarde om Apple te hacken hoger wordt wanneer deze alle wachtwoorden kan ontsleutelen.
Om alle wachtwoorden te ontsleutelen moet je dus eerst alle iClouds accounts hacken om daar die versleutelde wachtwoorden uit te halen en dan de versleuteling daarvan hacken. Dat niveau van hacken lijkt mij voorlopig nog voor zelfs de beste hackers wat te hoog gegrepen.
[...]


Om alle wachtwoorden te ontsleutelen moet je dus eerst alle iClouds accounts hacken om daar die versleutelde wachtwoorden uit te halen en dan de versleuteling daarvan hacken. Dat niveau van hacken lijkt mij voorlopig nog voor zelfs de beste hackers wat te hoog gegrepen.
Nee je hoeft alleen de admin van Apple te hacken, want als Apple toegang moet kunnen geven aan overheden op verzoek dat moet Apple er zelf dan ook makkelijk bij kunnen in dat geval wat grofweg neerkomt op het maken van een loper sleutel.

Dus je maakt nu een single target met een hele hoge waarde. Immers als je dit account hacked heb je toegang tot ALLE gebruikers die een iPhone hebben. Dat werkt niet echt bevorderend voor de veiligheid of wel?

We zien hoe goed dit gegaan is met TSA sloten, er was maar één fout nodig en hoppa, de masterkey is gelekt en iedere gek kan er nu zelf eentje printen. Dat betekend dat je gewoon vrolijk zowat elke koffer met een TSA slot kunt openmaken. wordt de wereld hier nu veiliger van?
Apple is een Amerikaans bedrijf.en daar gaat en dus al helemaal fout. Ik kan Apple misschien wel vertrouwen maar de Amerikaanse overheid absoluut niet.

Met deze actie wil men terrorisme en kinderporno bestrijden.... dus kunnen ze ook gelijk gebruik maken van de terrorisme voorzieningen in de Amerikaanse wetgeving.

De Amerikaanse overheid kan simpelweg deze sleutels van Apple opeisen zonder tussenkomst van een "normale" rechter en ze tevens verplichten hier niets over te zeggen. Nu kan Apple niet meewerken omdat het technische niet mogelijk is (veilig), maar op het moment dat dit niet meer zo is dan zal het snel gedaan zijn en zal Apple worden gedwongen om mee te werken.

En dat blijft het probleem met elke oplossing die je kan bedenken. Op het moment dat er een mogelijk is zal er ergens een geheimedienst of wetgever opstaan die hier misbruik van zal willen maken. Dat is simpelweg niet uit te sluiten.
al er ergens een geheimedienst of wetgever opstaan die hier misbruik van zal willen maken
Dat de overheid toegang krijgt is juist het hele idee...

Als je het niet met de wetten van een land eens bent, moet je of verhuizen naar een ander land. Of je hebt gewoon keiharde pech en moet hopen dat bij de volgende verkiezingen de partij(en) die er wat aan willen doen in de regering komen en de wetten aanpassen/terugdraaien.

Maargoed, als ze de wet misbruiken zal de rechter moeten oordelen dat het onrechtmatig verkregen bewijs is en het dus niet gebruikt mag worden. Maar ik denk tussen de regels door te lezen dat je een beetje wantrouwend bent, dus dan zal je de rechter ook wel niet vertrouwen?

Of je gebruikt een andere app/manier van communiceren die al dan niet in een ander land geregistreerd is, ik bedoel, internet kent geen grenzen ;)
Hoe vaak hebben we nu al rapporten gezien in Nederland hoe de AIVD / MIVD zich niet aan de wet houdt? Nadeel is dat dit vaak pas vele jaren later naar buiten komt en politiek vaak toch wel met de mantel der liefde wordt bedekt.

Nu heb ik er nog wel redelijk vertrouwen in dat heel misschien de Nederlandse overheid zich mogelijk wel redelijk aan de gestelde regels en wetgeving zal proberen te houden (als het ze uitkomt). En zo niet dat er misschien wel een rechter aan te pas zal komen omdat dit allemaal te toetsen jaren na dato. Maar als er eenmaal toegang is voor overheden wat weerhoudt een land als Amerika ervan om toegang te krijgen tot berichten van buiten Amerika? Zij hebben namelijk wetten die dit gewoon mogelijk maken.

Nu woon ik niet in Amerika, ben geen Amerikaans staatsburger, heb niets te stemmen of te verhuizen en toch kunnen zijn opeens volgens hun wetgeving bij mijn informatie omdat ik toevallig een dienst of product hebt afgenomen bij een globaal bedrijf wat een kantoor heeft in Amerika?

Daarnaast haalt dit soort wetgeving ook helemaal niets uit. Je pakt er alleen het laag hangend fruit mee wat je ook best met andere opsporingsmethodes zou hebben kunnen pakken. De echte terrorisme, kinderporno of anders criminele netwerken die weten wel hoe ze buiten zicht kunnen blijven. Je gelooft toch zelf niet dat de echte grote jongens gebruik maken van diensten als Whatsapp etc?

Er vanuit gaande dat deze overheden ook niet helemaal gek zijn, kan ik me dan ook niet aan het idee onttrekken dat er andere motivaties achter dit idee zitten dan kinderporno en terrorisme bestrijding. Massa surveillance / hellend vlak waar het gebruik van sterke encryptie uiteindelijk simpelweg verboden is (if you outlaw guns only the outlaws will have guns) etc.

Nee sorry ik geloof er niet in en dan zal ik misschien wel een wantrouwend gekkie zijn, en dat is dan maar zo.
Je hebt wel een punt, maar dit is nu eenmaal hoe de wereld (Amerika) werkt.

Het is voor een beetje nadenkenden inderdaad makkelijk om een andere manier te vinden om duistere dingen te delen op een manier waarbij de pakkans nog lager wordt, maar dat lijkt me geen excuus om niet in ieder geval het laaghangende fruit te plukken?

Smerige/schimmige zaken zoals PRISM hebben we ook het laatste nog niet van gezien, maar laten we eerlijk zijn, willen we illegale zaken niet zoveel mogelijk proberen te verhinderen/moeilijk te maken?
Dat deze manier voor overheden heel erg interessant is wil natuurlijk niet zeggen dat dit de enige manier is om laaghangend fruit aan te pakken.

Omdat wij een vrije en open samenleving willen nemen we een bepaald niveau van illegale zaken voor lief om een vrije samenleving te behouden. Dat is nu eenmaal de keerzijde van dezelfde medaille.

Dus nee, illegale zaken zullen we tot een zeker niveau moeten accepteren zeker als het verhinderen hiervan ten kosten gaat van een groter goed. Dat doen we met alles wat niet digitaal gebeurd ook, dus waarom ook niet als het aankomt op digitaal?

We halen toch ook niet elke container leeg in de Rotterdamse haven omdat er misschien ergens drugs in zit? Ze gaan niet eens allemaal door een scanner, omdat er niet genoeg capaciteit is en worden er dus risico profielen gebruikt om de meest verdachte containers te checken.

We gaan toch ook niet alle wegen opbreken en op elke hoek een politiecontrole zetten of simpelweg autos en vrachtwagens verbieden om international banditisme en mensenhandel tegen te gaan?

Dat zou niemand accepteren, maar als het om digitale zaken gaat en dit relatief onzichtbaar kan gebeuren en het ook relatief makkelijk schaalt moeten dit soort zaken opeens maar kunnen? Dit tast echter wel diezelfde vrije samenleving aan alleen zijn mensen zich daar niet zo van bewust.

[Reactie gewijzigd door bsbfx op 24 juli 2024 18:30]

Dat is wat ik bedoel met (en volgens mij de definitie is van) laag hangend fruit.

De meeste mensen houden zich aan de snelheid en rijden niet met drank op, toch hebben we duizenden camera's en alcohol controles.

In onze samenleving hebben we vrijheid juist door de beperkingen van de wet. Je hoeft niet vooraf te blazen om te kunnen rijden, maar door te controleren en te straffen kan iedereen gewoon in z'n auto stappen en kunnen auto's harder dan 130 km/u.
En zo moet het ook. Maar dat is niet wat deze overheden willen.

Wij hebben in Nederland (en in veel van de landen op de lijst) gewoon een wet die zegt dat als de rechter dat goedkeurt dat dat jij als persoon je encryptiesleutels moet afgeven of apparaten moet ontgrendelen. En als je dat niet doet, terwijl je dat wel kan, dan staat daar een straf op. Dus in principe hebben we al wetgeving hiervoor alleen is dit wat lastig en kan je dit moeilijk grootschalig inzetten (containers scannen in Rotterdamse haven) zonder dat de hele boel spaak loopt.

Nu willen ze voor iedereen encryptie verzwakken zodat de overheid er ten alle tijden bij kan - terwijl de meeste mensen zich gewoon aan de regels houden.

Hoe is dit anders dan alcoholsloten of blackbox met snelheidbegrensers in elke auto?
Precies, op moment dat de regering van de VS dit kan, willen andere regeringen dit ook kunnen. Inclusief landen als Rusland, China en Wit-Rusland...
Maar eenmaal op de telefoon staan de berichten toch al non-encrypted. Dus dan kunnen ze gewoon de backup van Apple vragen, maar das lastig natuurlijk, veel makkelijker om gewoon alle berichten te kunnen onderscheppen.
Je gaat er nu wel van uit dat de data opgeslagen wordt in iCloud. Mijn aanname is dat als je daadwerkelijk wat te verbergen hebt de backup naar iCloud niet eens aan zet.
De MIVD adviseert om telefoons en tablets niet bij bedrijfskritische meetings te gebruiken... Moraal van het verhaal, je kan geen enkele vendor vertrouwen en dus ook niet de data opslag in de Cloud!

Amerika geeft terecht aan dat democratie en vrijheid belangrijk is, China is slecht want de overheid heeft overal in de pap te roeren... En nu wil het westen dit ook gaan doen 😂🙈

De pot verwijt de ketel dat hij zwart ziet.

Overigens is de encryptie door RIM / Blackberry ook verwijderd voor landen zoals UAE, India en Pakistan als ik mij niet vergis.
Alles kan.

@Alxndr
Goed punt, ik trok het topic wat breder omdat de overheid adviseert veiliger te handelen, maar tegelijkertijd wil mee kijken zonder encryptie/of ontgrendeling daarvan... dus waarom encryptie? we zijn tegenstrijdig bezig.

[Reactie gewijzigd door pancake82 op 24 juli 2024 18:30]

Volgens heeft het advies geen tablets/telefoons te gebruiken niets met encryptie te maken, dat gaat mijns inziens over hacks/malware die je microfoon rechtstreeks afluistert voordat er van encryptie sprake is.
Daarom voegen ze ook nog toe "waarbij privacy van gebruikers gewaarborgd blijft", anders was er logisch gezien nog een uitweg zoals je zegt met een back-door, maar met die toevoeging kan het echt helemaal niet meer.
Backdoor betekent er is een zwakheid alleen bekend bij een klein groepje....
Hoe lang is dat een klein groepje?...Of lekt het een keer uit, als het lekt is op slag ALLE encrypted verkeer niet meer encrypted. (ook oud verkeer niet)

En zijn ook je bank transacties mogelijk niet meer veilig (immers zelfde encryptie).
Encryptie zorgt ervoor dat je een betrouwbare verbinding met je bank kan maken.
Ik heb zo mijn twijfels over de absolute veiligheid van encryptie. Vroeger was er al een export versie van encryptie die bewust zwakker was dan de non-export encryptie van de USA: https://en.wikipedia.org/...hy_from_the_United_States

Los daarvan, ik geloof er helemaal niets van dat de geheime diensten die uiteraard het beste met ons voor hebben (lol) op dit moment niet meer zouden kunnen meekijken, in het bijzonder op platformen als facebook en andere mainstream rotzooi. Daarbij heb ik twijfels of de ciphers echt wel zo onkraakbaar zijn als wordt beweerd, maar ik ben geen wiskundig wonderkind.

Los van of je iets te verbergen hebt moet je zorgen dat je meuk altijd encrypted is. Als er een beveiligingsmaatregel mogelijk is moet je die altijd gebruiken, ongeacht wat je verstuurt of ontvangt. En encryptie is over 't algemeen gratis of kost relatief weinig resources. Als je facebook gebruikt voor je gevoelige data dan verdien je eigenlijk gewoon dat je data vroeg of laat op straat ligt.
De ciphers zijn solide.... De keygeneratie ligt hier en daar onder vuur.
One Time Pads zijn alleen te decrypten met kennis van de sleutel.

De Export Keys zijn 56 bits. Dat was kraakbaar ook 20 jaar geleden binnen redelijke termijnen.
Bij 256 bits encryptie is dat niet meer op die manier te doen.

Het is de verkeerde vraag of er iets te verbergen is.
De juiste vraag is: Heb je iets te beschermen?

Zo nee, sloop het slot uit je voordeur, Eis van je bank dat jouw account zonder toegangscontrole en op een HTTP site geplaatst wordt. En tatoueer je BSN duidelijk zichtbaar en leesbaar op je voorhoofd.
Zodat iedereen die informatie kan gebruiken.
Hier haal je imho enkele dingen door elkaar.

Het klopt dat tot in de jaren 90 sterke encryptie een exportverbod had onder dezelfde wetgeving als wapens. Het klopt dus wel dat de commerciële encryptie verzwakt was, maar het is niet dat men dat heeft laten varen omdat men ineens sterke encryptie kon breken. Men heeft dat laten varen omdat het niet meer houdbaar was. Hoewel de export verboden was van de software, was dat niet het geval voor de broncode, zeker niet in boekvorm daar dat onder vrijheid van meningsuiting valt.

De huidige veel gebruikte encryptiestandaarden komen dan ook niet van overheden, maar worden net gesteund door organisaties die privacy hoog in het vaandel dragen. Ze hebben af en toe wel geprobeerd om zwakheden te introduceren, maar met wat tijd wordt dat altijd gevonden. Dan vraag ik me direct af: waarom twijfel je aan experts als je kennis zelf onvoldoende is?

Wanneer je het over platformen zoals FB hebt, dan is dat een andere zaak natuurlijk. Daar kan je uiteraard niet op vertrouwen, al was het maar vanwege de commerciele belangen die zulke ondernemingen hebben.
De NSA heeft inderdaad wel aantoonbaar gezaagd aan de stoelpoten van ciphers en random number generators. Zo zijn ze er bij DES pas tientalle jaren later achter gekomen dat het decrypten in hardware vele malen sneller kan plaatsvinden dan in software, ik vraag me dus af wat voor hardware er in de kelder bij de NSA stond.

Ook het opnemen van onveilige en niet beargumenteerde getallen die als basis voor Random Number Generators in standaarden is ook opvallend. Meestal kost het vele jaren voordat dit is aangetoond of dat er redelijke twijfel bij experts naar boven komt over deze zwakheden.
De absolute veiligheid van encryptie staat hier volgens mij niet ter discussie, we hebben het hier over bijvoorbeeld AES256 voor Whatsapp. Niet de sterkste meest hi-end soort, die al dan niet niet geëxporteerd mag worden, maar blijkbaar sterk genoeg om een "probleem" te vormen voor bepaalde organisaties als geheime diensten, die niet meer mee kunnen kijken.

Het artikel gaat over de zorgen dat diensten
'elke wettelijke toegang tot inhoud volledig uitsluiten'
Ik denk dat je punt hier is (of zou moeten zijn) dat ze wellicht andere niet wettelijke methodes anders dan het kraken van encryptie. Dan zou het dus onwettig verkregen/ontoelaatbaar bewijs zijn - als we voor het gemak er vanuit gaan dat de rechtstaat zijn werk doet.

Wat betreft (online) beveiliging
Als er een beveiligingsmaatregel mogelijk is moet je die altijd gebruiken
Voor mij ligt het beveiligingsniveau wat ik wil/gebruik aan drie dingen:
1. wat kost het (aan moeite, tijd, energie etc)
2. wat beveilig je (wat is de grootst mogelijke schade)
3. wat is het risico dat je schade leidt (met en zonder de hoogste mogelijke beveiliging)

Ik zou in Amsterdam waarschijnlijk net zo'n belachelijk dikke ketting om mijn fiets hebben hangen als ieder ander, want ik wil niet naar huis hoeven lopen en een nieuwe fiets moeten kopen, maar waar ik woon laat ik gerust de fietssleutel in mijn antieke slot zitten als ik bij de supermarkt in het dorp ben - puur omdat het risico ongeveer 0 is dat ie gejat wordt. (Nog erger, ik zou zelfs aangifte doen, want dat zou nog wel eens kunnen werken hier.)

In de digitale wereld: als E2E niet standaard aan zou staan op whatsapp, zou ik het voor 9 van de 10 gesprekken niet eens gebruiken. Hetzelfde voor het gebruik van sterke unieke wachtwoorden, 2FA en m'n VPN - de zaken die beveiliging verdienen gebruik ik het, maar voor de rest ww123456!

(met een beetje social engineering kom je waarschijnlijk zo mijn Tweakers account binnen: leuk voor je, maar wat ga je doen dan tot ik er achter kom en m'n wachtwoord reset?
En zijn ook je bank transacties mogelijk niet meer veilig (immers zelfde encryptie).
Waar lees jij dat ze in een klap alle encryptie af willen schaffen en gebruikt een bank eigenlijk dezelfde encryptie als Whatsapp/Telegram/Messenger (allemaal AES256 volgens mij)?

Afgezien daarvan gaat het hier duidelijk om berichten en tech bedrijven, geen banken en betalingsverkeer. Bankinfo kunnen ze ook gewoon direct bij de bank opvragen met het juiste gerechtelijke bevel.

Het grappige is dus dat ze een manier willen om encryptie te omzeilen, want kraken kan niet en hacken mag blijkbaar niet of is ook te moeilijk. Klinkt als een gevalletje sleepwet...
Ja allen gebruiken dezelfde encryptie, tegenwoordig vrijwel allemaal AES128/192/256
maar de encryptie techniek zelf is niet het belangrijkste, belangrijker is key generatie.

Als je besluit keygeneratie af te zwakken: het probleem is dat keygeneratie op het moment van genereren niet weet of het voor een bank app of een whatsapp sessie bedoeld is.
En als dat wel bekend zou zijn genereer ik toch voor alles bank kwaliteit keys?....
Kortom of je verzwakt ALLES (denk aan de 56 bit export keys uit de jaren 1990) of je verzwakt het niet.

Encryptie is net als zwanger zijn, je kan het niet een beetje zijn.
Goede encryptie is lastig. Je kan het ook makkelijk op de verkeerde manier doen. Maar een Applicatie die het expres verkeerd doet wordt rap vervangen door een andere applicatie van mensen die wel weten hoe het moet.

De inbraak op het criminele netwerk van afgelopen zomer was ook geen breken van de applicaties, maar van een update server die unsigned pakketten uitdeelde. Daarmee konden de inlichten diensten/politie "malware" op de telefoons plaatsen die de pakketten het zijn ook ergens anders heen stuurde hetzij unencrypted verzond.
De privacy van deze criminelen was ook niet meer gewaarborgd nadat de overheid/politie toegang had tot de encryptie sleutels van hun pgp-berichten systeem anders waren ze ook niet gepakt. Je gaat mij niet wijs maken dat privacy gewaarborgd kan blijven wanneer iemand anders als de personen waarvoor de berichten bedoeld zijn de berichten kan lezen.

[Reactie gewijzigd door Hydranet op 24 juli 2024 18:30]

Nou het is niet onmogeijk hoor, overheden kunnen achterdeurtjes in firmware//sofware af dwingen bij techbedrijven zodat de overheid kan meeluisteren indien noodzakelijk.(Dat gebeurt trouwens al).
Ik heb gehoord dat een quantum computer een groot deel van de cryptografie kan kraken. Vooral de asymmetrische sleutels die online belangrijk zijn. Symmetrisch, als in versleutelde opslag is veiliger, maar op zichzelf ongeschikt voor bijvoorbeeld HTTPS.

Een overheid met exclusieve toegang tot zo'n ding kan in theorie een heleboel communicatie kraken. (Een geheim dagboek op een ssd met een one-time-pad is echter onmogelijk, hoeveel je er ook tegen aan gooit.) Dit kan dan zonder dat criminelen toegang hebben.

Dit is grotendeels speculatie, aangezien een quantum computer nog niet is uitgevonden. Je weet ook niet of/wanneer dat komt. Je weet ook niet of een overheid daar goed mee omgaat. En je weet niet of er betere crypto kan komen.

Maar in bovenstaande situatie kan er iets geregeld worden zonder bestaande crypto te verzwakken. Dat is echter wishful thinking. Het is ook niet de taak van de techsector om dit mogelijk te maken.

Verzwakking van bestaande crypto is onmogelijk, aangezien veel mensen het dan gewoon zelf gaan regelen. PGP is er ook al meer dan 20 jaar. Moeilijker te gebruiken, maar niet onmogelijk voor een gemotiveerde crimineel.
Echt krachtige quantum computers bestaan nog niet. Het is slechts een verwachting dat men in de toekomst heel snel getallen kan opdelen in priemgetallen via een quantum computer en dat daarmee encryptie methodes die priemgetallen gebruiken eenvoudig te kraken zullen zijn.
Waarom willen overheden dit zo graag?
Als er een backdoor ingebouwd wordt, dan gaan de criminelen toch gewoon gebruikmaken van een dienst die zich niet conformeert aan wat deze landen voor ogen hebben?
De betreffende overheden moeten dat toch ook doorhebben, lijkt mij.
Waarom willen overheden dit zo graag?
Als er een backdoor ingebouwd wordt, dan gaan de criminelen toch gewoon gebruikmaken van een dienst die zich niet conformeert aan wat deze landen voor ogen hebben?
De betreffende overheden moeten dat toch ook doorhebben, lijkt mij.
Om "pedofielen en criminelen" te stoppen. Dat is inderdaad wat er gaat gebeuren: de pedofielen en criminelen stappen over op andere (privé) platformen en de burger is het haasje. Overheid wil gewoon meer controle over de bevolking. Sure, criminelen zullen de reden zijn, maar niet alle criminelen zijn dom en zullen dus overstappen van dienst.

Maar ach, het is een reden om de naïeve burger te misleiden. Mensen zonder kennis zullen zeggen: "goed idee! Worden die gasten eindelijk opgepakt. Ik heb toch niks te verbergen". Dan denken ze niet verder dan hun neus lang is.

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 18:30]

Inderdaad. De pedofiele terrorist is het gebruikelijke voorwendsel voor doordrukken van sleepnet-constructies.
Ik denk dat er veel politici en beleidsmakers zijn die het echt met die bedoelingen doen. Wat ze zich niet beseffen is dat de nieuwe technologie en wet daarna al snel ook voor andere zaken ingezet wordt want ja, het is er nu toch.
Als je kijkt naar de effectiviteit van de EncroChat MITM dan moet je toegeven dat dat de meest efficiënte methode is, maar de kans dat deze ook daadwerkelijk succes heeft is klein. Dus pedofielen en criminelen kunnen we het best oppakken met targeted surveillance. Bijvoorbeeld infiltratie in het sociale netwerk.
Niet alle criminelen zijn erg snugger.
Domme criminelen zijn ook niet bijzonder interessant voor de veiligheidsdiensten.
Veiligheidsdiensten nee, maar als dit erdoor komt word het ook gebruikt voor binnenlandse criminaliteit. Op het lagere niveau in een crimineel netwerk en bij kleine criminalitiet zitten genoeg debielen.
Sterker nog, criminelen maken al gebruik van andere systemen dan de gewone burger. Zie maar wat er met die pgp telefoons allemaal boven is komen drijven, nadat de politie toegang heeft gekregen tot dit systeem. De criminelen waanden zich onzichtbaar. De 'gewone' apps als Whatsapp e.d. vonden ze sowieso al niet veilig, ondanks de encryptie.

Goed, dat pgp-netwerk is nu niet meer betrouwbaar voor diezelfde criminelen, maar reken maar dat er gewoon weer een nieuw systeem voor in de plaats komt (of er misschien zelfs al is). Het blijft een kat en muis spel, als de overheid ergens toegang tot krijgt, dan zoeken diegenen die geen pottenkijkers willen gewoon weer nieuwe wegen.
De betreffende overheden moeten dat toch ook doorhebben, lijkt mij.
Ja hoor, dat snappen ze prima.
Ze hebben dan ook hele andere motieven.
Deze hernieuwde poging is een prachtig voorbeeld van een desensitiseringsoffensief. Door hetzelfde (compleet achterlijke en feitelijk onjuiste) standpunt maar te blijven herhalen hopen (uitermate domme) wetshandhavers dat mensen dit langzaam maar zeker normaal gaan vinden en hun verzet ertegen zullen opgeven.

En het ergste is dat het lijkt te werken. De reacties die ik hier nu zie zijn een stuk milder dan enkele jaren geleden toen Obama hetzelfde wilde.

Laten we hopen dat de tech bedrijven (die gelukkig beter weten) en andere groepen zoals burgerrechtenorganisaties e.d. voldoende tegengas blijven geven zodat de wetgevers in deze en andere landen wakker blijven/worden en hier niet intrappen.
Door hetzelfde (compleet achterlijke en feitelijk onjuiste) standpunt maar te blijven herhalen hopen (uitermate domme) wetshandhavers dat mensen dit langzaam maar zeker normaal gaan vinden en hun verzet ertegen zullen opgeven.

En het ergste is dat het lijkt te werken.
Dan zijn die handhavers dus niet uitermate dom maar uitermate slim.
Die handhavers zijn aan het eind van de dag net zo goed burgers die dus net zo goed last hebben van dit soort voorstellen.
[...]

Dan zijn die handhavers dus niet uitermate dom maar uitermate slim.
Nope, ze denken dat ze slim zijn. Maar omdat ze zo dom zijn realiseren ze niet dat dit de volgende gevolgen zal hebben:
  • Iedere enigzins half-intelligente crimineel zal afstappen van legale communicatiemiddelen en illegale E2EE gaan gebruiken.
  • De backdoors zullen misbruikt worden door criminelen en (buitenlandse) inlichtingendiensten.
Oftewel, het doel wordt niet gerealiseerd én je hebt er weer een extra vorm van criminaliteit bij.
Oftewel, het doel wordt niet gerealiseerd
Goh, je zou bijna gaan denken dat dit hun doel helemaal niet is.

Als jij denkt dat dit draait om criminelen pakken, dan lijken zij heel dom ja, maar dan vrees ik dat jij degene bent die het punt mist. Alsof de overheidslaag zich bezig houdt met wat kinderneukers...

Criminelen pakken kunnen ze namelijk al en daar hebben ze vele mogelijkheden voor. Maar kennis is macht en macht dat wil elke overheid. Voor politieke en voor commerciele redenen. Telefoontaps waren ook om criminaliteit op te sporen en verhip! toen bleek het ook wel handig te zijn om buitenlandse concurrenten bondgenoten te bespioneren. En als jij door de sub-top van een andere overheid af te luisteren kan achterhalen wat de plannen van andere overheden zijn, hun zwakke punten, hun concurrentiepositie, hun taktiek, hun interne vetes, etc. dan heb jij dus de macht om zelf als winnaar te eindigen.
Hoe voorspelbaar:
De landen noemen als voorbeeld de detectie van afbeeldingen van kindermisbruik. Met automatische tools ontdekt Facebook jaarlijks miljoenen van dergelijke afbeeldingen in Messenger-chats. Als eind-tot-eindversleuteling wordt ingevoerd, werken die tools niet meer.
Om dit te verkopen wordt de pedo en kindermisbruiker altijd van stal gehaald. Volgende stap is een terrorist. Natuurlijk is dit erg maat de vraag is en blijft moet daarvoor dus encryptie opgeven, verbieden of een achterdeur inbouwen. Met een achterdeur spreek je niet meer van encryptie.

Laten we hopen dat er nog landen zijn die hier niet aan meedoen en apps uit deze landen komen die gewoon wel encryptie ondersteunen.
Volgende stap is een terrorist. Natuurlijk is dit erg maat de vraag is en blijft moet daarvoor dus encryptie opgeven, verbieden of een achterdeur inbouwen. Met een achterdeur spreek je niet meer van encryptie.

Laten we hopen dat er nog landen zijn die hier niet aan meedoen en apps uit deze landen komen die gewoon wel encryptie ondersteunen.
Die stap was er al::p
Mogelijk zijn de EU landen wat stil omdat er al iets op stapel staat?...
Ook erkennen de overheden dat versleuteling een essentieel doel heeft bij de bescherming van bijvoorbeeld journalisten en mensenrechtenactivisten.
Dan snappen ze toch zelf ook wel dat dit vaak juist is om tegen overheden te beschermen? Binnen de kortste keren heeft Rusland zo'n 'master key' of hoe ze dit ook voor zich zien.
De Five Eyes, de vijf landen die wereldwijd al overal op spioneren, tot en met het mobieltje van Angela Merkel. Ja, dat zelfde clubje dat als de dood is dat China en Rusland spioneren.

Reken maar dat er achter de schermen enorme druk wordt uitgeoefend op de partijen die communicatie aanbieden, en reken er vooral niet op dat zulke bedrijven netjes een disclaimer gaan invoeren met "vanaf nu kunnen diverse overheden uw gesprekken inzien, van die mogelijkheid zal alleen gebruik worden gemaakt als ze dat nodig vinden."

Ze willen nu dus nog veel grotere hooibergen kunnen verzamelen om nog beter (?) naar een speld te kunnen zoeken. Veel is er nog niet veranderd, ze gaan er nog steeds vanuit dat de echte foute kabouters hun illegale praktijken via WhatsApp of Facebook bespreken en dat het mogelijk zou zijn om een backdoor in te bouwen die niet door anderen misbruikt kan worden.
HAH. Dikke middelvinger. Wiskunde illegaal maken is al eens geprobeerd. Gaat niet werken.
Dat is idd al eerder geprobeerd, het scheelde destijds niet veel of Philip Zimmerman was achter tralies beland.

"Strong cryptography was at the time considered a weapon under US law and Zimmermann was the subject of a three-year criminal investigation before the charges were dropped."

https://www.theguardian.c...ion-reveals-fears-privacy
Compleet kansloos. Iedereen die dat wil kan uitwijken naar alternatieve encryptiesystemen. En als de overheid encryptie verbiedt als er geen backdoor aanwezig is, gaan mensen over naar steganografie en plausible deniability. Bestaat allemaal al, maar door beperkte vraag zijn de tools nog niet erg gebruiksvriendelijk. We gaan echter nog een hoop meemaken de komende jaren. De overheiden gaan dit nooit winnen.
Lijkt me een slecht idee om een backdoor in encryptie te bouwen. Dat is vragen om vroeg of laat gehackt te worden.
Dat, plus dat je geen gedeeltelijke encryptie kan inbouwen (met sterke encryptie werkt het, of het werkt niet). Het is allemaal onder het mom van "tegen pedofielen en criminelen". Niet dat ik het goedkeur (tuurlijk niet. Die gasten moeten gepakt worden). Wat je echter gaat krijgen is dat de criminele overstappen naar andere diensten die wél een goede E2EE hebben (desnoods self-hosted, dus kunnen ze ook niet zo makkelijk forceren), of naar een dienst die niet mee wil werken aan dit belachelijke idee. De criminele en pedofielen zijn dus gevlucht en de normale burger die om privacy geeft is zijn privacy kwijt.

Als het daadwerkelijk ook in Nederland gebeurd: jammer voor m'n contacten, maar dan stap ik af van de platformen die E2EE moeten verzwakken.

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 18:30]

En ik met jou. End-to-End is geen luxe, het is wat mij betreft een grondrecht.
Elk product dat daar niet aan kan voldoen gaat er bij mij uit/komt er bij mij niet in.
En ik met jou. End-to-End is geen luxe, het is wat mij betreft een grondrecht.
Elk product dat daar niet aan kan voldoen gaat er bij mij uit/komt er bij mij niet in.
Ik hoop voor jou dat het vrij snel bekend is dan. Mij lijkt het dat de overheden niet snel ruchtbaarheid geven aan het feit dat ze ergens kunnen meelezen. Gekke tijden zijn het... iedereen moet maar toestaan dat de overheid alles zonder veel moeite kan meelezen om criminelen een halt toe te roepen. De volgende vraag wordt vast “mogen we camera’s in uw huis plaatsen, dan kunnen we onmiddellijk ingrijpen wanneer we inbrekers zien”.... te gek voor woorden dit.
Nee inbrekers zien en ingrijpen is een belofte aan opvolging.
Beter is dan kunnen we beelden vastleggen asl er ingebroken wordt. (Zonder erbij te vermelden dat het 24*7 opnamen zijn).
Ja, daar heb je wel een punt. Hoewel, de overheid doet wel vaker loze beloften :)
Andere discussie, hoewel er is geen discussie, we zijn het eens.
(Als het geen loze beloften zijn dan is het "Nieuwe Inzichten"...)_
Elk product dat daar niet aan kan voldoen gaat er bij mij uit/komt er bij mij niet in.
Zeker weten? Je belt en sms't nooit, verstuurt geen brieven en emailt alleen met mensen die PGP gebruiken?
Er zijn berichten waarvan ik beslist niet wil dat anderen die meelezen en die versleutel ik.
De rest zal me een zorg zijn.
E-mail, ik zou ergens (ahcter tor) een dropbox maken...
Dit is inderdaad precies het punt. Mensen die denken dat het niet zo'n vaart loopt omdat het toch de nodige technische kennis vereist en dat criminelen niet zo'n slimme jongens zijn zitten er gewoon vreselijk naast. We weten namelijk dat criminelen zeker slim genoeg zijn om encryptie te gebruiken en zelfs op te zetten, getuige ook https://tweakers.net/nieu...kberry-pgp-berichten.html.

En de moeilijkheidsgraad om zelf een E2EE app op te zetten? Dat valt wel mee: het Signal protocol (wat zowel Signal als Whatsapp gebruiken) is gewoon als library beschikbaar op Github. Natuurlijk ben je er daar nog niet helemaal mee, maar iemand die een beetje hobbyt kan dit misschien al binnen een week hebben opgezet, met app die zich voordoet als een app die zich aan de regels houdt (maar ondertussen).

Ondertussen zitten wij burgers - en vaak vergeten - bedrijven, met halfbakke encryptie waar in het beste geval iedere overheidsinstantie vrolijk bij mee kan kijken. Nieuw product ontwikkeld? He, dat is jammer, op een onverklaarbare manier is er al een kopie op de markt vlak voordat jouw bedrijf de markt op wilde.
Bedrijven inderdaad, ...

Je mag nog de beste zijn in nieuwe schone energie technologie, op onverklaarbare manier lijkt doelmarkt land x of y plots ongeïnteresseerd.
Omdat beleidsmakers & CEO's natuurlijk vrolijk communiceren over een netwerk van keuze in een restaurant naar keuze. Waardoor hun intenties kunnen gecountered worden, zij het persoonlijk (zgn corrupite) zij het door welgetimeded tegenvoorstellen die nét iets meer omvattender en interessanter lijken eens in kannen en kruiken.

Wiens semi-geecrypiteerd communicatieprotocol je vertrouwt,
diens product zal steeds het beste getimed, het meest competitief naar voren komen als het gaat om giga-contracten.

Energie , Vliegtuigen, Bewapeningscontracten, Infrastructuur..

Er de beleidsmakers monitoren, sturen en eigen bedrijven klaarstomen om in de opening te springen die dreigt ingenomen te worden door de concurrent..
Er zijn andere manieren dan een land plat bombarderen en dan heropbouwen om aan die grote contracten te komen.
Nooit is het gemakkelijker geweest de globale communicatie af te luisteren én te sturen.

Officieel heet dat: tot plots die sympathieke Obama een noodle soep ging eten in Ha Noi en alle deuren open gingen voor General Electric Wind Energie.

Diplomatie is niet meer in de mode, misschien is het ook niet meer zo noodzakelijk met alle mogelijke voorkennis van vandaag.

Encryptie is een recht en noodzaak voor wie gelooft in een vrije markt. (ok behalve voor die pedofielen en hun gretige van cultuur en religie overstijgende basiswaarden ontwrichte afnemers)
Of net niet. De criminelen zouden als ze slim zijn, en dat zijn ze, gebruik willen maken van wat het brede publiek gebruikt. Als ze zelf iets hosten of een gespecialiseerde dienst gebruiken is het voor de overheid gemakkelijker om direct iedereen in het netwerk op te lijsten. Ze hoeven één server of dienst binnen te dringen en het is jackpot.

EncroChat was zo een dienst in juli dit jaar opgerold. 60.000 gebruikers en 800 arrestaties.
https://en.wikipedia.org/wiki/EncroChat
En je kunt natuurlijk altijd nog zelf versleutelde berichten versturen met een pgp code. Dan maakt het ook niet meer uit of dat medium zelf wel of niet end-to-end encryptie heeft.
En je kunt natuurlijk altijd nog zelf versleutelde berichten versturen met een pgp code. Dan maakt het ook niet meer uit of dat medium zelf wel of niet end-to-end encryptie heeft.
Ja das waar maar vind dit stukje van wat Tweakers hier neergezet heeft wel lachwekkend.
De VS, het VK, Australië, Canada, Nieuw-Zeeland, India en Japan roepen techbedrijven op om berichten met eind-tot-eindversleuteling toegankelijk te maken voor overheden. De landen willen samenwerken aan 'redelijke voorstellen', waarbij privacy van gebruikers gewaarborgd blijft.
Want ja we kunnen de regeringen echt vertrouwen dat ze niks gaan doen met al onze gegevens die ze zien door onze berichten te lezen, al helemaal als er een andere overheden kommen in de toekomst.

Hoe kan privacy gewaarborgd zijn als de overheid stiekem kan mee kijken, omdat er een backdoor in zit?!

Aha nu al woorden me posts omlaag gemod door mensen die niet leuk vinden wat ik in me andere posts zeg, en niks met dit te maken heeft, wow, wat een zielige mensen.

[Reactie gewijzigd door AmigaWolf op 24 juli 2024 18:30]

Dat mag dan wel zijn, maar zoals het is geformuleerd,
"Handhavingsinstanties moeten volgens de oproep toegang krijgen tot versleutelde inhoud in een 'leesbaar en bruikbaar formaat' als daarvoor een rechtmatige autorisatie is afgegeven. Dat zou alleen mogen voorkomen als daar een noodzaak voor is en het verlenen daarvan zou onderworpen moeten worden aan sterke waarborgen en toezicht."
vind ik het niet zo gek. Allerlei criminaliteit faciliteren, wat door encryptie lastig is aan te pakken, is ook niet best. We weten allemaal dat opsporingsinstanties de grenzen van hun bevoegdheden opzoeken, logisch, ze willen opsporen. Daarom: geen sleepnetten, per geval een rechterlijke toets, enz.
En als de opsporings instantie FSB heet? of "Revolutionair Garde" of De inlichtingen afdeling van een plaatselijke warlord?... Zelfs de MIVD/AIVD kan zich niet aan de regels(=wet) houden.
Je denkt toch niet dat sleepnet ooit uit de NL wetgeving verdwijnt. Het is ondanks duidelijk verzet ingekomen, dus het gaat nu om de next step: Sleepnet + makkelijke toegang tot de inhoud.

Je moet niet de hele inbreuk op privacy in EEN KEER willen regelen. Dat moet stapje voor stapje geregeld worden, en dan met name met inspelen op angsten... K.P., Terrorisme, ...
Je vergeet dat beschermde berichten ook heel anders kunnen.. Denk aan de code zinnen vanuit Engeland naar het NL Verzet.. .(Oh die waren terroristen voor de toenmalige overheid).
In theorie zou je nog kunnen stellen dat het mogelijk zou kunnen helpen bij het voorkomen van misdaden.

Echter: er is encryptie die (momenteel) niet te decrypten is. Dat duiveltje kan je niet meer in een doosje stoppen, je kunt die kennis niet ontleren. Dat kan je dergelijke encryptie nog wel wettelijk verbieden maar het kenmerk van misdadigers is dat ze de wet niet respecteren. En dus ook echt wel in verboden hard- en software willen handelen en eventueel installeren. Je hindert de misdadiger daarom niet met een verbod. Alleen maar de niet-criminelen want die kunnen opeens niet meer veilig met hun bank communiceren.

Je kunt geen backdoor in de encryptie inbouwen die alleen op verzoek door opsporingsambtenaren ingezet kan worden. Las laatst nog een artikeltje over corruptie binnen het politiekorps in Nederland. Zo'n corrupte agent wil best wel even die backdoor delen met een criminele organisatie. Binnen de kortste tijd ligt zo'n backdoor gewoon op straat. En heeft de crimineel meteen een extra mogelijkheid om de gewone burger een financiële bijdrage afhandig te maken.

Of een nieuwsgierige agent gaat, terwijl hij het niet mag, toch maar even meeluisteren bij de conversatie's van Gordon of die overval echt wel zo indruk heeft gemaakt. Dat men even in het medisch dossier of aangifte van een BN-er gaat snuffelen. Ook daar zijn voorbeelden te over. Gewoon voor de gein, of om dat uit te lekken in privé sfeer of naar de roddelpers (uiteraard anoniem).

Stel dat iemand een manier vindt om aan bovenstaande bezwaren tegemoet te komen. En stel dat de politie inderdaad te weten komt dat een bekende crimineel (want je leest eveneens heel vaak: de verdachte - een bekende van de politie) een bankoverval gaat plegen. Als intelligente crimineel zou ik dan contact opnemen met mijn mededaders en mondeling afspreken dat we de actie @now-in-mail-bericht + 7 dagen uitvoeren. En vervolgens alles verder gewoon lekker via chats bespreek. Politie kan niets bewijzen totdat ik de actie uitvoer (neen meneer de rechter, aangezien crimineel tegenwoordig niet meer loont ben ik bezig met onderzoek voor het schrijven van een boek). En een week voor de actie kijk ik even bij de bank of er stiekem politie is opgesteld. Ik loop ongewapend de bank binnen, mag toch? en lachen toch al die agenten die voor paal staan. En als ze er staan dan weet ik ook meteen dat ik afgeluisterd ben en pakken we toch op een andere dag (of op de afgesproken dag) gewoon een andere bank?

Encryptie verbieden lost niets op. Backdoors zijn alleen maar lastig voor de goedwillende burger want die heeft geen veiligheid / privacy meer.
Even vooropgesteld dat ik het er ook ontzettend mee oneens ben, wil ik toch even reageren op dit specifieke puntje (omdat ik het leuk vind om te theorycraften):
Je kunt geen backdoor in de encryptie inbouwen die alleen op verzoek door opsporingsambtenaren ingezet kan worden. Las laatst nog een artikeltje over corruptie binnen het politiekorps in Nederland. Zo'n corrupte agent wil best wel even die backdoor delen met een criminele organisatie.
Op zich kan het wel, met een minimale set aan personen die daadwerkelijk toegang hebben tot de private key.

Over het algemeen gebruiken we bij het opzetten van het communicatiekanaal een computationeel zwaardere, asymetrische vorm van encryptie (met public en private key) om een symmetrische sleutel uit te wisselen die vervolgens gebruikt wordt voor de daadwerkelijke data. Je zou een backdoor in kunnen bouwen door die symmetrische sleutel ook nog eens een keer te versleutelen met een door de overheid gepubliceerde public key en dat mee te sturen. Een overheid die de data onderschept kan met hun private key de symmetrische sleutel uitlezen en vervolgens de rest van de data.

Vervolgens zou zo'n overheid een systeem op kunnen zetten dat data on demand decrypt voor opsporings-instanties. Een opsporingsambtenaar kan op die manier nooit zelf bij de sleutel en heeft dus vrij weinig te lekken. En als de "master key" van de overheid periodiek wijzigt, is er bovendien maar een selecte hoeveelheid van data daadwerkelijk te ontsleutelen met een gelekte sleutel. Al betekent dat natuurlijk weer wel dat je alle voorgaande sleutels moet onthouden om data uit het verleden te kunnen ontsleutelen.

Maar er blijft natuurlijk een risico. De sleutel-beheer-server moet ook onderhouden worden, dus er zijn mensen die hoe dan ook toegang kunnen krijgen tot de sleutels. En als dit systeem gehackt wordt, ben je ook de sjaak. Dit, tezamen met het feit dat het vooral de gewone burger treft en niet de doorgewinterde crimineel, betekent dat je het gewoon niet moet willen.
Ten eerste kan dergelijke oplossing met een overheidskey niet. De opsporingsdienst moet namelijk de key met anderen delen. Facebook, Google (gmail) etc moeten het in het uitgaand gedeelte programmeren. Het moet ook gedeeld worden nieuwe aanbieders. Je kunt uiteraard de toekomstige concurrentie vam GMail niet uitsluiten. Ik zie mogelijkheden voor Pablo Escobar als software engineer voor CokeMail.

Een corrupte opsporingsambtenaar hoeft in het geheel niet bij de master-key te kunnen. Hij hoeft alleen maar de gewenste berichten te onderscheppen en door de tool te laten vertalen. Essentieel niets anders dan even het opsporingsdossier met Linke Loetje delen wat momenteel ook in Nederland gebeurd. Die procedures, ach daar kijkt toch geen mens na.

Of een operator raakt toevallig een backup-tape kwijt en krijgt gratis en voor niets een nieuwe tape als vervanger van Pablo Escobar.

Of die programmeur laat een copy van de complete sourcecode uitlekken. Of facebook moet de nieuwe sleutel implementeren. En die wordt ergens in de pipeline onderschept.

Of...

Er zijn zoveel manieren waarop het fout kan gaan, dat we gerust aan mogen nemen dat het geheid fout gaat.

Één partij (mits klein) zou een geheim kunnen bewaren. Bij twee partijen wordt het al lastig. Bij meerdere partijen is het gewoon onmogelijk.
Ten eerste kan dergelijke oplossing met een overheidskey niet. De opsporingsdienst moet namelijk de key met anderen delen.
Ja, dat is hele idee van een public key, dat je die vrij kunt delen 8)7. Voor het ontsleutelen van het stukje metadata waar de symmetrische sleutel voor de rest van de data in staat heb je de private key nodig. Die deel je niet, die bewaar je louter voor jezelf.
Die procedures, ach daar kijkt toch geen mens na.
Het ging hier expliciet om de theorie. En je kunt natuurlijk gewoon audits doen van de toegang tot de tool. Dan val je vrij snel door de mand als je het gebruikt zonder gerechtelijk bevel.

Het lekken van de source code boeit natuurlijk niet, het gaat om de sleutel.

[Reactie gewijzigd door .oisyn op 24 juli 2024 18:30]

Ik had begrepen dat die private key van de gebruiker was, niet van de overheid. Edit (betere verwoording: ik had dat private key gedeelte opgevat als slaande op de gebruiker en dat andere stuk als zijnde de overheid. (end edit) Jou verkeerd begrepen. Mijn fout.

Uiteraard kan je auditen. De meeste organisaties, inclusief justitie, zijn niet ijzersterk in het consequent toepassen van dergelijke audits. Zeker niet als de raadpleging op grotere schaal gebeurd. Volstrekt logisch aangezien oom Agent tientallen opvragingen per dag doet en daarvan wil je niet iedere keer gaan onderzoeken of hij wel op het dossier zit. Vandaar dat we in de krant kunnen lezen dat aangifte van (of tegen) BN op straat ligt en dat men gaat onderzoeken wie er allemaal toegang heeft gehad. Pas als het uitlekt dat er misbruik plaats heeft gevonden wordt e.e.a. uitgebreid gecontroleerd. Maar dan is het al te laat. (En overtreders komen er meestal wel vanaf met een 'niet meer doen hoor').

Ik ben nu gepensioneerd maar heb tot voor kort ruim veertig jaar gewerkt in een beveiligde omgeving waar men echt wel aandacht behoort te hebben voor beveiliging van sleutels. De aantal keren dat ik niet in staat was de sleutel te benaderen (zonder dat ik het mocht) aan de hand van de broncode zijn te tellen op de vingers van mijn voet. Geloof me, daar heb ik weinig vingers. Een developer vindt het lastig tijdens ontwikkeling dus programmeert hij het gewoon hard-coded. Of in een bestandje op schijf. Of in een database, maar dan staan de credentials voor de database wel in de code (of schijf). Gebruikt dezelde key voor test (waar iedereen onbeperkt toegang heeft) als voor productie. Ja, inderdaad management zou daar op moeten toezien dat zoiets niet gebeurd. Maar management kijkt naar het budget en niet naar de uitwerking. Of valt voor de toverwoorden: dan kan ik productie niet ondersteunen als het misgaat. Dat zo'n versleuteling (mits goed geprogrammeerd) nauwelijks mis kan gaan in productie, ja, dat wil management meestal niet snappen.

Theoretisch heb je gelijk, het is (nagenoeg) volledig dicht te timmeren. Maar uiteindelijk gaat het om de praktijk en dat is gewoon huilen.

[Reactie gewijzigd door Het.Draakje op 24 juli 2024 18:30]

En de mensen gaat en masse iets anders gebruiken.
Mogen ook die handhavingsinstanties toegang krijgen tot data die "wij" niet erkennen. Ik kijk naar de president van Wit-Rusland of mogelijk toekomstige ongure personen? Wie bepaalt wat wel en niet rechtmatig is?
Ik vind dit echt een heel slecht idee. Het zou voor mij zeker de reden zijn om van al die berichten-diensten af te stappen.
Mij lijkt het wel een goed idee, ik wil wel eens weten wat die politici nu allemaal lopen te typen.

Of wacht. Nee niet dan, zijn politici hier van uit gesloten?

Sacrasm mode uit.
Stel dat je niet sarcastisch was geweest: in theorie had het gekund. Dan wordt er een keer een zeer ernstige kwetsbaarheid gevonden en dan ligt er voor terabytes aan data op straat. Maar hmm, ligt eraan hoe de uitwerking is: met E2EE krijg je de sleutels in handen (als de boel gehackt wordt). Of het plan moet zijn om alle data op servers op te slaan: zo kunnen de overheden inmiddels alles gemakkelijk uitlezen.
Mij lijkt het wel een goed idee, ik wil wel eens weten wat politici allemaal typen.
Dat heette Cablegate, die ons mede is toegekomen via Wikileaks. Als respons daarop wordt de oprichter van Wikileaks nu uitgemergeld in Her Majesty's Belmarsh Prison.

Zo rolt de wereld zolang wij dat toelaten.
Het waren diplomaten en niet politici, maar dat maakt iets minder uit.

Op dit item kan niet meer gereageerd worden.