EU-Raad: Autoriteiten moeten toegang tot onversleutelde data kunnen krijgen

De Europese Raad heeft een draft van een resolutie opgesteld waarin staat dat autoriteiten toegang moeten kunnen krijgen tot data, ook als er gebruik wordt gemaakt van encryptie. De EU-Raad roept op om tot 'een betere balans' tussen encryptie en beveiliging te komen.

De draft van de resolutie, die het Oostenrijkse FM4 publiceert, heet 'Security through encryption and security despite encryption'. In de tekst staat dat de Europese Raad de ontwikkeling, de implementatie en het gebruik van sterke encryptie weliswaar steunt, maar dat het tijd is voor een 'betere balans'. Als autoriteiten rechtmatig toegang tot data krijgen is het door encryptie in de praktijk niet mogelijk die te lezen of te gebruiken. Het gaat om een voorlopige tekst van een resolutie, die juridisch niet bindend zijn maar standpunten van de Raad verwoorden.

In de gepubliceerde tekst staat dat het 'extreem belangrijk is om de privacy en beveiliging van communicatie te beschermen met encryptie, en tegelijkertijd de mogelijkheid voor bevoegde autoriteiten op het gebied van beveiliging en justitie te behouden om legaal toegang tot relevante data te verkrijgen'. De tekst noemt daarbij als doel het bestrijden van georganiseerde misdaad en terrorisme.

Hoe die toegang met behoud van sterke encryptie zou moeten verlopen, staat niet vermeld in de tekst. Die stelt alleen dat er een actieve discussie met de techindustrie op gang gebracht moet worden, en dat technische oplossingen moeten voldoen aan de principes van legaliteit, transparantie, noodzakelijkheid en proportionaliteit. "Omdat er niet één enkele manier is om deze doelen te behalen, moeten overheden, industrie, onderzoek en academies samenwerken om deze balans te creëren", staat in het rapport.

De draft van de resolutie heeft als datum 6 november. Tot 12 november mogen betrokken partijen erop reageren, zoals werkgroepen uit de veiligheidssector. Als er voor die tijd geen voorstellen tot wijziging binnenkomen, zal de tekst op 19 november voorgelegd worden aan de Committee on Operational Cooperation on Internal Security en op 25 november aan het Comité van Permanente Vertegenwoordigers, ter verdere voorbereiding. Pas daarna kan de resolutie eventueel voor de Europese Raad terecht komen.

Er gaan al langer stemmen op toegang tot data voor autoriteiten mogelijk te maken. Daarbij wordt vrijwel altijd het belang van sterke encryptie onderstreept, maar geen concrete mogelijkheden genoemd hoe sterke encryptie met toegang tot de achterliggende data te realiseren is. Minister Grapperhaus van Justitie en Veiligheid zei vorig jaar bijvoorbeeld dat het 'onmogelijk zou moeten zijn om encryptie te gebruiken om kinderporno uit te wisselen', hoewel hij verduidelijkte niet te pleiten voor het verzwakken van encryptie.

IT-banen

Reacties (384)

384

377

187

154

Wijzig sortering

Robert-Jan 9 november 2020 09:57

Ja goed idee. Hier kan toch geen enkele Tweaker mee eens zijn...

Nieknikey @Robert-Jan • 9 november 2020 10:09

Ik begrijp werkelijk niet hoe je het hier in essentie mee oneens kunt zijn. Als de opsporingsinstanties niet de mogelijkheid hebben om versleutelde data te lezen als ze daar wel toe bevoegd zijn in het kader van strafrechtelijke vervolging (voorbeeld) - door de rechter getoetst - dan is dat absoluut een groot probleem, en het is goed om dat probleem vooral te erkennen.

Waar het echter (vaak) fout gaat bij beleidsmakers is dat ze dan denken aan (/hinten op) het bewust inbouwen van backdoors, of het verzwakken van encryptie. En dat slaat natuurlijk nergens op; een backdoor voor de overheid is een backdoor voor iedereen. Ingebouwde masterkeys lekken uit en exposen ook een beveiligingsrisico. Kortom, wat ze willen gaat niet. Al lijkt het erop dat ook beleidsmakers/politici zich er tegenwoordig van bewust zijn dat het pleiten voor verzwakte encryptie of ingebouwde backdoors ze flink voor lul zet.

bytemaster460 @Nieknikey • 9 november 2020 10:18

Op papier ziet het er altijd allemaal mooi uit: de (onderzoeks)rechter toetst, alleen bevoegden hebben toegang, misbruik wordt bestraft, etc. Vervolgens blijkt het in de praktijk allemaal lastig na te leven en blijken er ook bij de overheid mensen te werken met verkeerde bedoelingen waardoor er toch misbruik van gemaakt wordt. We zien het bij EPD's waarin onterecht geneusd wordt, de "sleepwet", kentekenregistratie, stiekem neuzen in informatie van blijf-van-mijn-lijf-huizen of BRP om adressen te achterhalen etc.
De overheid is geen onfeilbare instantie waardoor verzwakte encryptie enorme negatieve gevolgen kan hebben.

Edit: typo

[Reactie gewijzigd door bytemaster460 op 25 juli 2024 04:15]

Kurgan @bytemaster460 • 9 november 2020 10:43

En niet te vergeten de USB sticks die kwijt raken, (niet beveiligde!) laptops die gestolen worden of ronduit corruptie. Er zijn zoveel manieren waarop gevoelige data al vanuit de overheid op de verkeerde plaatsen terecht is gekomen. Met een master key of backdoor heeft dan een onbevoegde persoon opeens de mogelijkheid om in allerlei geheime / privacy-gevoelige informatie te neuzen en dat gaat geheid een keer gebeuren. En gaat de overheid dan haar verantwoordelijkheid nemen en de gedupeerde(n) compenseren? Gelet op de toeslagenaffaire bij de belastingdienst en hoe dat afgehandeld wordt weet ieder weldenkend mens het antwoord al.

MSalters

Politiek en recht

@bytemaster460 • 9 november 2020 10:35

"Onfeilbaar" is natuurlijk ook een onredelijk hoge eis.

Het probleem is echter dat falen meer dan een uitzondering is. En dat is geen wonder, gezien de straffeloosheid waarmee het gebeurt. Dit soort data moet beschermd worden in het strafrecht. Het gevolg van snuffelen in een EPD moet zijn dat je een VoG op je buik kunt schrijven. En bij het verlenen van toegang moet aan de gebruikers duidelijk gemaakt worden dat die wetten bestaan; "wist ik niet" mag nooit een excuus bij de rechter zijn.

Gezien de problemen met de georganiseerde criminaliteit zouden die straffen bij de politie en douane nog hoger moeten zijn; dan moet het gaan om jaren in plaats van maanden celstraf.

Mr_Light @MSalters • 9 november 2020 13:19

Encryptie speelt een belangrijke rol in het 'vervolgen' van misbruik. De herleidbaarheid naar een persoon, de waarschijnlijkheid waarmee we kunnen vaststellen dat een aanvraag niet in transitie is aangepast. Tot het vaststellen en veiligstellen van bewijs hiervan.

Mensen die roepen om opsporing makkelijker te maken moet zich misschien eens afvragen of dit niet de mogelijkheid tot vervolging schaad.

Toegang tot een EPD word over het algemeen niet beperkt, gezien er een afweging is tussen gezondheid en privacy van de patiënt. Wanneer jouw behandelaar niet beschikbaar is(vakantie, ziekte, file, elders ingezet etc.) is het belangrijk dat dingen als medicatie(voor contra-indicaties), allergieën, wilsverklaring(niet reanimeren) etc beschikbaar blijven. Een goed systeem houd precies bij wie, wat benaderd en met een beetje historie en context(type behandelaar, behandel relaties etc) is het vrij eenvoudig om tot een korte lijst afwijkende acties te komen en hier onderzoek naar te plegen. Helaas zit de software markt voor ziekenhuizen vast en is er geen tot weinig innovatie.

Zoals MSalters aangaf, toegang tot EPD leunt bij design op (reactieve) straf. De oplossing zit hem in het verbetering van het proces hieromheen. VoG worden steeds vaker gevraagd maar het opvolgen en 'registreren' van misbruik moet beter.

(ik zei eerder gezondheid en privacy - welzijn is beter op z'n plaats hier maar is ook te relateren aan privacy. Is namelijk beetje gek om het op gezondheid te betrekken als je vanwege de wilsverklaring niet geanimeerd - bij twijfel word gereanimeerd)

(Men heeft het altijd over neuzen in het EPD als of het een ding is maar het bestaat uit veel onderdelen en voor sommige disciplines is het misschien logisch een onderdeel te bekijken maar hebben absoluut niets te zoeken in andere onderdelen.)

bytemaster460 @MSalters • 9 november 2020 10:52

Ik noem onfeilbaarheid niet als eis. Ik constateer dat de overheid feilbaar is en daarom bepaalde middelen ook niet zou mogen inzetten.

KoffieAnanas @bytemaster460 • 9 november 2020 14:12

Ik zou het iets algemener willen trekken, de mens is feilbaar. De overheid is geen levend organisme. Bij iedere organisatie zorgt de mens voor de feilbaarheid. Wel valt er veel te halen op het vlak van informatiebeveiliging en veel op het vlak van voorlichting. Mensen moeten bewust worden gemaakt van hun gedrag en wat goed en slecht is, en welke impact hun gedrag heeft. Strenger straffen kan helpen, maar dit helpt alleen als mensen vooraf bewust zijn van de regels, de impact van hun acties en de straf waartoe dat kan leiden. Ik heb de indruk dat hier veel te weinig aandacht voor is binnen (semi-)overheidsorganisaties.

bytemaster460 @KoffieAnanas • 10 november 2020 10:47

Bij de overheid werken veel feilbare mensen en dus is de overheid als geheel feilbaar.
Het gaat niet alleen om bewust maken. Er zijn overheidsmedewerkers die te kwader trouw zijn en bewust voor een familielid uitzoeken waar een ondergedoken ex-partner zich bevindt, of informatie doorspelen aan criminelen. Dat ga je niet oplossen met meer voorlichting en strenger straffen. Wetgeving moet je baseren op hoe de praktijk werkt en niet op hoe de ideale situatie eruit ziet.

Stoelpoot @MSalters • 9 november 2020 11:10

"Onfeilbaar" is een onredelijk hoge eis, maar bij computersystemen is de impact van een probleem vele malen groter dan bij 'fysieke' fouten. Als een kwaadwillende of de overheid nu misbruik zou willen maken van bevoegdheden, bijvoorbeeld onrechtmatige huiszoekingen, dan moeten ze dat bij elk doelwit opnieuw uitvoeren. In de digitale wereld zou zo'n aanval veel makkelijker veel meer mensen kunnen raken omdat in 1x een grote dataset zou kunnen worden opgehaald en geanalyseerd.

IJzerlijm @MSalters • 9 november 2020 11:24

Opvallend hoe keihard straffen opeens effectief en gewenst is op t.net als het om privacy schenders gaat.

WillySis @MSalters • 9 november 2020 14:27

Het schenden van privacy door personen die onterecht in dossiers neuzen wordt inderdaad nauwelijks serieus bestraft. Dat zou wel onder het strafrecht moeten vallen. Het is immers een vorm van stelen.
Voor politie en douane hoeft de straf niet strenger. Een veroordeling betekend daar dat men niet langer een VOG kan krijgen en dat houdt in dat men automatisch ook ontslagen zal moeten worden. Daarmee is de straf al zwaarder, zonder dat je men er in het recht een andere categorie van hoeft te maken.

tweaknico @MSalters • 9 november 2020 14:35

Er zijn weinig mensen ontslagen omdat ze in allerlei zaken zaten te neuzen waar dat niet mocht.
(dossier van Barbie bv.). Ik betwijfel of er ooit meer dan een waarschuwing voor gegeven is.

Daarnaast heeft het publiek GEEN controle. Voorzover bv. de CTIVD toezicht kan houden geven die al aan dat er problemen zijn met dat toezicht. En dit zou de schaal alleen maar groter maken. Dat is meestal geen reden dat het daardoor beter of makkelijker controleerbaar wordt.

Probleem is dat "een beetje encryptie" niet bestaat.

OldNoob @MSalters • 9 november 2020 19:38

Eens indien er "backdoors" voor daartoe gemandateerde overheidsfunctionarissen worden gecreëerd dan is het "hack" van de dam

Los van de lage straffen die op misbruik worden toegepast, maak ik me grote zorgen hoelang misbruik onopgemerkt blijft.

M3m30 @bytemaster460 • 9 november 2020 10:30

Om het harder te maken; hier kan de AIVD wel worden getoetst door de eigen toezichthouder, maar die mag weer geen straffen uitdelen.

tweaknico @M3m30 • 9 november 2020 14:38

Die toezichthouder heeft ook aangegeven dat ze HOPEN dat het goed gaat omdat lang niet alles controleerbaar is.

fapkonijntje @bytemaster460 • 9 november 2020 10:37

Het oorzaak/gevolg stukje maakt dit soort discussies altijd een beetje rommelig.

Dat bevoegdheden risico's met zich meebrengen is zo, maar ligt de oorzaak en oplossing dan niet ergens anders? Alle data die inzichtelijk is, betekent ook een vorm van risico. Maar de oorzaak van de risico's ligt wat mij betreft niet direct bij de wens van autoriteiten om, na tussenkomst van een rechter, data in te kunnen zien. Zeker als ik kijk naar de door jou genoemde voorbeelden, deze hebben wat mij betreft een oorzaak in teveel rechten voor gebruikers en te weinig controle/audit. Maar staan los van of autoriteiten bepaalde zaken moeten kunnen inzien.

Als autoriteiten meer kunnen inzien, dan moet er inderdaad daarná gekeken worden naar hoe die rechten, beperkingen en controle zodanig worden dat er geen misbruik van gemaakt kan worden. Maar voor mij is dat geen reden om dit hele voorstel zomaar af te schieten.

[Reactie gewijzigd door fapkonijntje op 25 juli 2024 04:15]

bytemaster460 @fapkonijntje • 9 november 2020 10:55

Zeker ligt het vaak in te veel rechten, maar dat is nu eenmaal hoe de praktijk werkt nadat er een wet is aangenomen waarin beweerd wordt dat alles goed is afgedekt. Die ervaring leert dat we de overheid niet zomaar alle middelen in handen moeten geven.

[Reactie gewijzigd door bytemaster460 op 25 juli 2024 04:15]

cpt Iglo @bytemaster460 • 9 november 2020 11:13

Ja misbruik gebeurd inderdaad. Ben wel eens van achteren aangereden door een politieagent in eigen auto. Afgesproken dat meneer en ik contact zouden hebben om de schade op te lossen aangezien we beide zo dom waren geen schadeformulieren in de auto te hebben. (dat heb ik nu wel). (wel foto's gemaakt en mobiele nummers uitgewisseld). 's avonds werd ik gebeld dat meneer wel langs wilde komen om de schade af te handelen. Ik wilde hem mijn adres gegevens overhandigen maar dat was niet nodig gaf meneer te kennen. Die had hij al opgezocht....

Dit lijkt een redelijk onschuldig voorbeeld maar als we nu met elkaar al zwaar in de kling hadden gelegen dan kan dit wel intimiderend overkomen.

[Reactie gewijzigd door cpt Iglo op 25 juli 2024 04:15]

tweaknico @cpt Iglo • 9 november 2020 14:40

Dit is idd een onbevoegd gebruik van middelen. (Overigens kan jij ook op basis van kentekens gegevens opvragen, maar dat vereist een overdracht van geld.).

WillySis @Nieknikey • 9 november 2020 14:40

Het verzwakken van de encryptie met een achterdeurtje is in heel veel gevallen niet nodig. Ook met encryptie kan men netwerken in kaart brengen. Dat is vaak nog belangrijker dan de berichten zelf. Met wat recherchewerk wordt daar altijd wel een zwak punt in gevonden en kan men uiteindelijk toch een deel van de berichten meelezen. Anders kan men de personen gewoon (digitaal) goed volgen (de sleepwet geeft meer dan voldoende mogelijkheden). Het meeluisteren zonder dat men het idee heeft dat men dat (via een achterdeurtje) kan is veel effectiever.

Grotere criminele of terroristische organisaties zetten nu al eigen berichtenservices op en die gaan echt niet netjes een achterdeurtje inbouwen.

indigo79 @WillySis • 9 november 2020 21:02

Grotere criminele of terroristische organisaties zetten nu al eigen berichtenservices op en die gaan echt niet netjes een achterdeurtje inbouwen.

Dit. Je gaat encryptie de facto verzwakken voor de legitieme gebruikers terwijl de gebruikers die je ermee zou willen pakken echt wel zorgen dat ze encryptie gebruiken die echt werkt. En dat kan je niet tegenhouden.

Hoboist @indigo79 • 10 november 2020 08:29

Inderdaad. Daarom vond ik de opmerking van minister Grapperhaus dat het 'onmogelijk zou moeten zijn om encryptie te gebruiken om kinderporno uit te wisselen' ook wat bijzonder.

Het is in de praktijk niet mogelijk om ervoor te zorgen dat zij geen toegang hebben tot sterke encryptie.

[Reactie gewijzigd door Hoboist op 25 juli 2024 04:15]

WillySis @Hoboist • 10 november 2020 09:23

Kinderporno wordt er een beetje te pas en te onpas bijgehaald als het om encryptie gaat. Het dient alleen maar om wat begrip bij "het volk" te creëren, maar is niet functioneel. De encryptie is daar helemaal niet zo'n probleem. Als je eenmaal een kinderporno liefhebber te pakken hebt, staan de bestanden zelden encrypted op de computer. Ook hier zijn de contactenlijsten veel belangrijker om het netwerk in kaart te brengen dan de bestanden zelf. Als je het netwerk in kaart hebt gebracht kom je de bestanden altijd wel ergens leesbaar tegen, of geeft iemand het wachtwoord netjes af.

Het belang om achterdeurtjes in de encryptie aan te brengen wordt schromelijk overdreven. Justitie heeft onlangs ook al bewezen dat ze prima in staat zijn om op een encrypted berichtendienst van criminele organisaties in te breken en meer dan een jaar gewoon alles konden meelezen. Dit terwijl de gebruikers zich volkomen veilig waanden.

The Zep Man

Encryptie
Politiek en recht

@Nieknikey • 9 november 2020 12:37

Als de opsporingsinstanties niet de mogelijkheid hebben om versleutelde data te lezen als ze daar wel toe bevoegd zijn in het kader van strafrechtelijke vervolging (voorbeeld) - door de rechter getoetst - dan is dat absoluut een groot probleem, en het is goed om dat probleem vooral te erkennen.

Dat is geen probleem, want opsporingsdiensten richten zich op de endpoint, niet op verkeer onderweg. Er wordt echter een probleem van gemaakt door de overheid.

Geen effectieve encryptie is een veel groter probleem dan opsporingsdiensten die niet alles kunnen sleepnetten.

Corodix @Nieknikey • 9 november 2020 14:12

Door de rechter getoetst? We hebben het hier bijvoorbeeld over chat applicaties die internationaal worden gebruikt. Stel je hebt een Signal groepschat met mensen uit de EU, USA en mogelijk andere landen. Nu is het netjes end to end encrypted, maar stel je bouwt een backdoor in en eist dat het netjes bij de rechter getoetst moet worden voordat er gebruik van mag worden gemaakt. Dat is dan Nederlandse/EU wetgeving waar andere landen, zoals bijvoorbeeld de USA, zich niet aan hoeven te houden. Dus hoe bescherm je privegegevens van EU burgers, welke via die backdoor beschikbaar zijn, dan tegen misbruik door andere landen welke niet onder deze wetgeving vallen?

Door de rechter toetsen klinkt dus leuk, maar is zo lek als een mandje en voorkomt misbruik niet.

Nieknikey @Corodix • 10 november 2020 06:38

Je reactie doet het voorkomen alsof ik voor het plaatsen van backdoors heb gepleit, maar dat is nu precies wat ik niet geschreven heb. Backdoors inbouwen werkt niet voor het doel waarvoor "ze" het willen gebruiken in dit scenario: het is onveilig, voor iedereen (niet alleen voor criminelen). Sterker nog, criminelen gaan gewoon encryptie gebruiken die geen backdoors heeft, want ze trekken zich toch niks aan van wat verboden is, en (iemand anders noemde het hieronder al) de facto tref je alleen normale gebruikers.

Het punt wat ik probeer te maken is dat het in essentie absoluut een probleem is dat versleutelde data niet toegankelijk is voor opsporingsinstanties op het moment dat de rechter deze instanties de toegang daartoe goedkeurt. Zo werkt onze rechtstaat. Dat dit soort zaken over de landsgrenzen heen gaat, doet aan de constatering dat dit een groot probleem is, niets af (het maakt het probleem alleen maar ingewikkelder zoals je zelf ook opmerkt).

robvanwijk

Encryptie
Politiek en recht

@Nieknikey • 10 november 2020 00:20

Ik begrijp werkelijk niet hoe je het hier in essentie mee oneens kunt zijn.

Volgens mij is niemand het oneens met de essentie; het probleem is dat wat ze willen (voor zover wij met zijn allen in kunnen schatten) volkomen onmogelijk is.

Stel dat een politicus een voorstel doet dat voortaan alle alcoholhoudende drank nog wel is toegestaan, maar dat alcohol meteen uitgewerkt moet zijn als iemand een stuur vastpakt. Nooit meer verkeersongevallen door dronken bestuurders; daar kun je toch niet tegen zijn!? Bij dat voorstel denkt iedereen meteen "hoe dom kun je zijn, zo werkt alcohol niet". Maar bij dit net zo onmogelijke voorstel over encryptie roept bijna iedereen (lees: iedereen die niet weet dát het onmogelijk is) "ja, goed plan, waarom beschermen technici de criminelen!?".

Als je zelf al ziet (te oordelen naar de tweede alinea van je post) dat dit idee onuitvoerbaar is, hoe zie je dan voor je dat dit ooit kan gaan werken...?

EthirNandor3 @Nieknikey • 9 november 2020 10:22

tot nu toe is de rechter meestal heel bewust buiten de procedures gelaten voor het delen van burger data tussen instanties en landen.
Dat alleen al is voor mij genoeg reden om mordicus tegen dit soort dingen te zijn.

Eufemistische namen zoals 'Privacy Shield' voor het blind delen van burgergegevens met Amerika – nadat een eerdere regeling om die reden was verboden - is ook al een indicatie dat zij de grondrechten van burgers niet zo belangrijk vinden.

Dit allemaal nog los van de morele overwegingen en privacy grondrechten

Yoshi @EthirNandor3 • 9 november 2020 11:03

hoezo een rechter wordt bewust uit de procedure gelaten? Dan haal je die toets er zelf toch bij, dat recht heb je nog wel als burger :-). (wat trouwens door verschillende organisaties gedaan wordt of gedaan is)

dingo35 @Yoshi • 9 november 2020 14:27

Zelf een rechter erbij halen kan doorgaans niet, want het komt zelden voor dat jij aan kunt tonen dat een buitenlandse mogendheid over jouw gegevens beschikt, laat staan dat je hard kunt maken dat ze die verkregen hebben via de AIVD of andere Nederlandse inlichtingenorganisatie. En daarbovenop zou je dan aan moeten tonen dat dat alles illegaal gebeurd is.

tweaknico @Yoshi • 9 november 2020 14:42

In het geval van Privacy Shield was er een toezichthouder aangesteld (een soort ombudsman) maar die onderzocht niet. (Is aangetoond door Max Schrem).. ==> Privacy Shield kon niet waarborgen wat het wel moest doen dus ongeldig verdrag.

EnigmaNL @Nieknikey • 9 november 2020 10:34

Als er een achterdeurtje ingebouwd wordt voor de autoriteiten gaat dat achterdeurtje misbruikt worden door criminelen. Een achterdeurtje voor de autoriteiten betekent het einde van betrouwbare encryptie.

bytemaster460 @EnigmaNL • 9 november 2020 10:57

En wat dacht je van de situatie in Hongarije. Als dit een EU-brede wet zou worden, krijgen ook regimes als dan van Orban de mogelijkheid om alles te ontsleutelen. Gezien het verleden van deze president gaat hij dat ook misbruiken tegen de oppositie. Je zou dat natuurlijk onder "criminelen" kunnen scharen.

Hinotori @Nieknikey • 9 november 2020 13:13

Ik begrijp werkelijk niet hoe je het hier in essentie mee oneens kunt zijn.

Omdat ik weiger om de overheid als een trusted-party te zien. 'De overheid' is een verzameling mensen die ieder hun eigen belangen en overtuigingen hebben; daarmee is 'De Overheid', voor mij iig, geen door god gegeven instantie die automatisch het juiste of het goed zou doen. De macht van de overheid vind ik te groot om in zijn algemeenheid afstand te doen van dit soort rechten. Dus ik ben het er in essentie mee oneens. Bevoegdheid is daarin niet eens een factor. Ze maken zelf de regels, dus bevoegdheid is niet veel maar dan 'ik vind dat ik dat mag'.

Misschien is het beter om te accepteren dat we niet alles kunnen of willen oplossen; het leven bestaat nou eenmaal uit risico's en aan het einde ga je dood, dat weet je iig zeker.

[Reactie gewijzigd door Hinotori op 22 juli 2024 22:17]

harmen50 @Nieknikey • 9 november 2020 19:49

wat ben jij naïef!

BuZZem @Nieknikey • 10 november 2020 20:36

Ik gebruik meestal gewoon dit fimpje.
https://twitter.com/ProtonMail/status/887686813728616449
Dan is het wel duidelijk.

Ik ben het na een jaar of 12 telkens opnieuw uitleggen een beetje beu. Het komt met een cyclus van zon 2,5 jaar telkens opnieuw terug.

Verzwakken van encryptie of alleen toegang voor de good guys werkt niet, never had, never will.
Encryptie verbieden werkt niet, want de mensen waar de opsporing dan bij wil hebben nog wel want andere feitjes op hun naam waardoor deze dan geen overwegende beperking meer is; je pakt er dus alleen de burger, bedrijf en overheid mee die zich tegen criminelen beschermd met versleuteling.
Oh ja: en de VS hadden dat als eens geprobeerd - weinig succesvol.

Dit https://www.statewatch.or...t-encryption-12143-20.pdf
is ook weer zon fantastisch document vol punten waar je het nauwelijks mee oneens kunt zijn, maar zonder enige klaarblijkelijk begrip van de materie of -verras me- een oplossing die doet wat we allemaal willen, maar dan ook echt kan en werkt.

lezzmeister @Nieknikey • 13 november 2020 00:53

Ze zetten er duidelijk in "proportionaliteit". En met de it kennis van beleidsmakers lees ik dan "encryptie die sterk genoeg is om de gelegenheidsdief weg te houden maar absoluut niet sterk genoeg om een flinke brute force af te slaan".

Keypunchie @Robert-Jan • 9 november 2020 10:01

Het gaat niet om eens/oneens. Het gaat om het fundamentele punt dat ‘een beetje encryptie’ niet bestaat.

Er is fundamenteel geen manier waarop ‘alleen de overheid’ door een beveiliging zou heenbreken, maar kwaadwillenden niet.

Het idee dat het dichtste in de buurt komt zou zijn om de overheid een ‘sleutelhouder’ te maken, maar a) kwaadwillenden geven dan domweg hun sleutel niet af..

Daarnaast: de overheid heeft in geval ban criminalitiet al mogelijkheden: zie Encrochat...

The Zep Man

Encryptie
Politiek en recht

@Keypunchie • 9 november 2020 12:35

Het gaat niet om eens/oneens. Het gaat om het fundamentele punt dat ‘een beetje encryptie’ niet bestaat.

Zie ook in het artikel:

De EU-Raad roept op om tot 'een betere balans' tussen encryptie en beveiliging te komen.

Geen effectieve encryptie is geen beveiliging. Die twee zijn onlosmakelijk met elkaar verbonden.

beau-key @The Zep Man • 9 november 2020 15:23

Encryptie is toegepaste wiskunde. Dat kan je niet eens stoppen/verbieden. Een echte boef weet keurig om die "verboden" heen te werken (symm./ass. versleuteling, steganografie, etc.).

Vergelijk het oprollen van netwerken met versleutelde telefoons. Het cryptografisch protocol is niet gebroken, men kreeg toegang tot het sleutelmateriaal. Als de sleutels betere beschermd waren geweest (FIPS hardware?), dan had de popo het nakijken gehad.

robvanwijk

Encryptie
Politiek en recht

@beau-key • 10 november 2020 00:08

Encryptie is toegepaste wiskunde. Dat kan je niet eens stoppen/verbieden.

Dat kan wel degelijk. Of het volkomen stompzinnig is... dat is een andere vraag. De VS heeft jarenlang een verbod gehad op het exporteren van sterke encryptie. En als jij verklapt welke p * q = n voor, "heel toevallig", de n waarop een DRM-systeem is gebouwd, ga er dan maar rustig vanuit dat je voor de rechter moet komen.

Een echte boef weet keurig om die "verboden" heen te werken (symm./ass. versleuteling, steganografie, etc.).

Ja inderdaad, dit hele probleem zou zo eenvoudig op te lossen zijn als criminelen zich gewoon eens een keertje aan de wet zouden houden...

beau-key @robvanwijk • 10 november 2020 06:51

(Edit: Sorry, overbodige reactie van mij)

[Reactie gewijzigd door beau-key op 25 juli 2024 04:15]

robvanwijk

Encryptie
Politiek en recht

@beau-key • 10 november 2020 18:58

Ik denk dat je een copy-paste foutje hebt gemaakt; je post de link uit mijn reactie

EmbarrassedBit @Keypunchie • 9 november 2020 11:01

Het argument dat "een beetje encryptie niet bestaat" is waar, maar toont ook aan hoe tech-ideologie, en encryptie-promoters in het bijzonder, gevangen zitten in een circle jerk. Men argumenteert altijd dat encryptie nodig is voor X, Y, Z, en X, Y, Z hebben onvoorwaardelijk de steun van de maatschappij, dus als we de politiek en, als het even kan, de massa kunnen overtuigen dat zonder encryptie veilig X, Y, Z niet meer mogelijk is, dan is encryptie gered. We leven immers in [huidig jaar], dus een wereld zonder veilig X, Y, Z, dat kan toch niet?

Wat je gaat merken naarmate we als gevolg van zich opstapelende gezondheids- economische en klimaatcrisissen evolueren naar een minder complexer samenlevingsmodel, waar minder steun is voor eindeloze abstractie, is dat zowel burgers als politiek meer gaan denken over encryptie in termen van zeer concrete opbrengen versus zeer concrete kosten. Zonder encryptie geen veilig dataverkeer over publieke netwerken, dat klopt. Maar concreet: dataverkeer voor wat? Veilig e-commerce, communicatie, bankzaken, industriële systemen en zoveel meer. Aan de andere kant: pedofielen, terroristen, islamisten, georganiseerde misdaad... Het is naïef om te blijven denken dat samenlevingen eeuwig het behouden van de voordelen een waardevoller publiek goed gaan blijven vinden dan het effectief kunnen bestrijden van de nadelen. Tech-ideologen argumenteren altijd alsof mensen met een andere mening over encryptie niet weten waarvoor het gebruikt wordt. Dat zal in veel gevallen wel zo zijn, maar ik vermoed dat er ergens toch ook een latent aanvoelen is dat een steeds groter deel van de bevolking technologie zal willen terugschroeven naarmate het opbrengsten- vs. kostenplaatje concreter wordt.

"Maar maar maar, jij bent hypocriet, want je post die comment via https!"
Iedereen mag gebruik maken van de voordelen die een bestaande regeling biedt, een dergelijk gebruik verplicht je niet om die regeling te steunen. Als ik in de toekomst niet meer veilig kan posten op Tweakers omdat de maatschappelijke consensus over encryptie veranderd is, en encryptie niet veilig meer is, dan aanvaard ik dat.

En ik ben bovendien eerlijk, ik ga niet beweren dat er een "goede" manier is om encryptie te backdooren. Dat is een cope voor mensen die niet aanvaarden dat encryptie een zaak van alles of niets is. En het toont aan hoe dom de afgelopen kwarteeuw wel niet geweest zijn door veel van onze systemen afhankelijk te maken van een technologie die inherent een zaak van alles of niets is. Vergeet immers niet dat als de momenteel gebruikte vormen van encryptie ooit gebroken worden alvorens ze vervangen zijn door een superieure vorm, we in een minstens even slechte situatie zitten als wanneer encryptie gebackdoord wordt om bepaalde vormen van criminaliteit aan te pakken.

[Reactie gewijzigd door EmbarrassedBit op 25 juli 2024 04:15]

DataGhost

@EmbarrassedBit • 9 november 2020 12:42

Geinig betoog, maar encryptie bestaat nu al zonder backdoors. Als je backdoors in zou willen bouwen in de gangbare encryptiemethoden, of het maar helemaal af wilt schaffen omdat "de nadelen dan wegvallen", is het enige wat je doet alle legitieme communicatie openbaar maken, terwijl de criminelen die je ermee probeert te pakken gewoon een van de momenteel bestaande methoden gebruiken, of iets nieuws wat ze zelf ontwikkeld hebben. Het is echt heftig naief om te denken dat mensen die de wet willen omzeilen zich wel aan deze wetgeving zouden houden of gebruik zullen gaan maken van encryptie met backdoors. Hier komt jouw "circlejerk"-idee onterecht vandaan, namelijk geen enkele verzwakking die je aanbrengt is van toepassing op criminelen e.d. terwijl je daar wel alle eerlijke personen mee benadeelt, dus de zeer legitieme vraag is waarom je het dan in godsnaam zou verzwakken.

Encryptie is voor het beschermen van al jouw communicatie die nu nog als onschuldig gezien wordt (onder bepaalde oude, huidige en toekomstige regimes zou ik voor deze post achter slot en grendel gezet kunnen worden) en zaken waardoor jij directe financiële of andersoortige nadelen van kan ondervinden als ze openbaar waren. Een bijeffect is dat criminelen hun schimmige zaken iets makkelijker kunnen verbergen maar encryptie is daar zeker niet de enige faciliterende factor bij en het verbieden ervan is op geen enkele manier een oplossing.

janbaarda @EmbarrassedBit • 9 november 2020 11:40

Het is naïef om te blijven denken dat samenlevingen eeuwig het behouden van de voordelen een waardevoller publiek goed gaan blijven [blijft] vinden dan het effectief kunnen bestrijden van de nadelen.

Het kunnen afluisteren van willekeurig welke vorm van communicatie leidt tot overheidsterreur. Zodra dit wordt doorgevoerd heeft de burger geen enkel verweer tegen de overheid meer. Het vrije denken wordt aan banden gelegd omdat dit een gevaar voor de gevestigde orde kan betekenen. Processen tegen klokkenluiders die illegale overheid acties openbaren zijn al normaal (Edward Snowden, Julian Assange zijn enkele schrijnende voorbeelden.)

EmbarrassedBit @janbaarda • 9 november 2020 12:00

[...]

Het kunnen afluisteren van willekeurig welke vorm van communicatie leidt tot overheidsterreur. Zodra dit wordt doorgevoerd heeft de burger geen enkel verweer tegen de overheid meer. Het vrije denken wordt aan banden gelegd omdat dit een gevaar voor de gevestigde orde kan betekenen. Processen tegen klokkenluiders die illegale overheid acties openbaren zijn al normaal (Edward Snowden, Julian Assange zijn enkele schrijnende voorbeelden.)

Een reactie die zich volledig binnen de ideologische krijtlijnen van tech-ideologie situeert, want ze gaat er van uit dat digitale communicatie de enige mogelijke vormen van communicatie zijn. Daarnaast is "overheidsterreur" ook gewoon maar een voorbeeld van Amerikaanse retoriek, retoriek van en voor een land waar men enkel in termen van alles of niets over rechten kan denken (bemerk de parallel met encryptie). Een normaal persoon conceptueert "overheidsterreur" steeds in verhouding tot concrete rechtsgoederen die beschermd moeten worden of geschonden dreigen te worden. Bv. in termen van "onderscheppen van onze domme WhatsApp-berichtjes om islamistisch terroristen te stoppen of netwerken van pedofielen op te rollen". Als men dat aanvaardt als een goede balans, is het voor de doorsnee burger geen zaak dat grote, abstracte principes geschonden worden. Dat is geen rechtsstatelijke logica, wel een politieke. In de minder complexe, post-liberale samenlevingsmodellen van de nabije toekomst gaat de concrete politieke logica immers fors aan belang winnen, ten koste van de abstracte rechtsstatelijke logica.

Begrijp ook niet waarom je mijn correcte grammatica meent te moeten verbeteren, terwijl er een anglicisme en een voorbeeld van onvermogen om de regels voor samengestelde zelfstandige naamwoorden correct toe te passen in je reactie staan.

JJM @EmbarrassedBit • 9 november 2020 13:12

Een reactie die zich volledig binnen de ideologische krijtlijnen van tech-ideologie situeert, want ze gaat er van uit dat digitale communicatie de enige mogelijke vormen van communicatie zijn.

Heel strikt genomen is dat natuurlijk niet het geval, maar we leven in [huidig jaar] in een geglobaliseerde samenleving, waar fabrieken in China orders uitpompen voor allerhande bedrijven wereldwijd, waar niemand meer cash bij zich heeft en je met twee drukken op de knop spullen over de gehele wereld kunt kopen. Bedrijven zijn multinationals met kantoren op meerdere continenten die tegelijkertijd aan dezelfde processen werken, en organisaties van de schaal van sportverenigingen tot overheden synchroniseren al hun gegevens online. Al die communicatie is essentieel voor het voortbestaan van de maatschappij in haar huidige vorm, en ik zie dat niet zo één-twee-drie teruggedraaid worden naar 1930.

Digitale communicatie is essentieel en onmisbaar in onze maatschappij, en versleuteling van die communicatie net zo goed.

EmbarrassedBit @JJM • 9 november 2020 17:26

Ook dit is weer een voorbeeld van de beperktheid van het historisch referentiekader. De geschiedenis beweegt niet in één richting, van geen globalisering naar perfecte globalisering. Niet op lange termijn (ik kan niet bewijzen dat het niet zo is, maar het is aan wie beweert dat het wel zo is om dat te bewijzen), en al helemaal niet aan een constante snelheid. Dat zijn immers seculiere religieuze overtuigingen, net als de onzichtbare hand van de markt.

Aan de globalisering komt dus ook een einde als de mogelijkheidsfactoren daarvoor wegvallen: relatieve geopolitieke stabiliteit, beschikbaar kapitaal, economische groei, goedkope energie, goedkope computatie wegens de Wet (sic) van Moore, etc. Met de corona-lockdowns hebben we een duidelijk bewijs gekregen van de waarde van redeneringen gebaseerd op "komaan ze gaan dat toch nooit kunnen maken, wees nou ernstig"-ologische gemeenplaatsen. Tot een lockdown zou het nooit komen, en dan was er plots een. En dan later nog een. Zo ook met het stilvallen van de globalisering. Ik beweer niet dat de Nederlandse Eerste en Tweede Kamer ooit wetten gaan aannemen om Nederland actief te onttrekken uit de globalisering hé. Het gaat eerder het ongepland en grotendeels onbeheersbaar resultaat zijn van een cascade van crisissen. De coronacrisis is bv. slechts de eerste (in de ervaring van westerlingen) van een lange reeks pandemieën. Met Covid-19 gingen de grenzen nog selectief en tijdelijk dicht, terwijl bij de volgende pandemieën geleidelijk het besef zal beginnen groeien dat gesloten grenzen de facto het nieuwe normaal zijn. De economische verbanden en logistieke ketens zich moeten aanpassen en minder complex en minder lang worden.

Ooit was globalisering dus absoluut onomkeerbaar, en daarna zal het opeens plots heel wat relatiever blijken te zijn. En dan zal de bijhorende technologische infrastructuur, waaronder encryptie, ook ineens heel wat minder absoluut blijken te zijn. Dat kan je natuurlijk niet zeggen op een tech-site, maar over 100 jaar zouden mijn reacties op dit nieuws-item wel eens heel profetisch kunnen blijken geweest te zijn.

[Reactie gewijzigd door EmbarrassedBit op 25 juli 2024 04:15]

cvr42 @EmbarrassedBit • 10 november 2020 09:48

Zelfs als jouw georakel uit zou komen zou de wereld virtueel globaal blijven. Versleutelde communicatie zou ook dan nog een essentiele techniek blijven.

Appelsap @janbaarda • 9 november 2020 13:17

Je wijst terecht op machtsmisbruik door de overheid: dat is niet ok. Maar dat het geven van enige ruimte aan de overheid altijd leidt tot overheidsterreur is opruiend en onjuist.

Bijzonder dat dit zo door mede-tweakers gewaardeerd wordt. Ergens ook wel begrijpelijk, niemand wil beperkt worden in de eigen vrijheid en zeker niet een overheid die ruimte krijgt om de macht die ze heeft verkeerd in te zetten. Maar laten we wel wezen: geen enkel recht is absoluut. Vrijheid van meningsuiting is belangrijk, maar mag je niet misbruiken om zelf terreur over anderen uit te roepen. Aanzetten tot haat, smaad e.d. zijn daarom niet toegestaan, en de overheid mag daarop repressief ingrijpen. Je mag je vrij over straat bewegen en bepalen waar je heen gaat, totdat je een gevaar vormt voor anderen en die vrijheid inzet om anderen dwars te zitten. Je vrachtwagen dwars over de snelweg parkeren mag dus niet. Je mag communiceren met wie je wilt en hoe je wilt, maar zodra je die vrijheid gebruikt om aanslagen te plegen, pedosexuele plaatjes te verspreiden of andere misdrijven uit te voeren, kan het niet zo zijn dat de overheid geen enkele mogelijkheid mag hebben om in te grijpen. Het gemak waarmee het betoog gevoerd wordt om geen enkele vorm van ingrijpen mogelijk te maken wordt kennelijk gevoerd vanaf een hele veilige bank met laptop op schoot. Ik ben benieuwd hoe gefrustreerd dezelfde tweakers zouden zijn als ze doodsbedreigingen ontvangen, er een aanslag op ze wordt voorbereid en bij de aangifte de politie zegt: kunnen we niks mee, want we mogen de communicatie niet onderscheppen, dus we wachten wel tot de aanslag gepleegd wordt.

Kortom, er is zeker een waarde die beschermd wordt door vrije communicatie, maar die kan nooit absoluut zijn. Er zijn ook waarden als de veiligheid van anderen, recht op leven, eerbied, het voorkomen van (ernstige) misdrijven enz. die beschermd moeten worden. Bij botsende belangen moet soms de ene, en soms de andere wijken. Het gaat om het vinden van de juiste balans - en de overheid alleen die macht geven, die daarvoor nodig is. Dat is best ingewikkeld, maar niet onmogelijk.

DataGhost

@Appelsap • 9 november 2020 13:41

Door slechts het bestaan van de huidige (en vroegere) encryptie is het onmogelijk om criminelen te beperken in hun gebruik ervan. Hier wordt vrijwel altijd aan voorbijgegaan door voorstanders van encryptie-beperkende maatregelen. De enigen die vrijheden inleveren zijn dus niet de criminelen en dan mag je je wat mij betreft echt grote vraagtekens zetten bij alle voorgestelde beperkingen. Dan kan je wel allemaal complexe voorstellen proberen te verzinnen om bewust of onbewust misbruik door of via de overheid te beperken maar dan heb je echt een paar denkstappen overgeslagen. Als diezelfde overheid vervolgens keer op keer blijft pushen voor iets wat onmogelijk is dan vind ik het ook erg moeilijk om opkomende gedachten in de richting van "overheidsterreur" los te laten. Of het is echt gewoon onkunde van politici die zichzelf graag herkozen zien onder een grote achterban die denkt dat ze een oplossing hebben.

Jerie

@janbaarda • 9 november 2020 13:11

De twee voorbeelden die je noemt hebben betrekking tot de VS (specifiek een belabberde wet genaamd Espionage Act 1917); niet de EU, waar dit wetsvoorstel over gaat. Als je een gedegen argument wilt maken tegen overheidsterreur binnen de EU, moet je met heldere voorbeelden komen van binnen de EU.

Ivolve

@Keypunchie • 9 november 2020 10:20

Je zoomt met je reactie in op de (huidige stand van) techniek. Er wordt expliciet bij vermeld dat het nog onduidelijk is hoe exact maar het princie staat...

Als ik een bankkluis heb volliggen met gestolen goud dan kan de politie (op basis van verdenking) de bank verzoeken de kluis open te maken. Waarom zou dat met een dropbox account vol kinderporno anders moeten werken?

M3m30 @Ivolve • 9 november 2020 10:33

Dat is lastig.. de politie moet immers harde bewijzen hebben om die kluis open te maken.
Jij hoeft immers nooit mee te werken aan je eigen veroordeling.

kaaas @M3m30 • 9 november 2020 12:10

Volgens mij moeten die persoonlijke kluizen opengebroken worden door de politie. Dacht niet dat de bank daar een masterkey van heeft.
Dat zou namelijk erg onveilig zijn. Dat is ook precies waar het hier om gaat. Je wilt geen masterkey. Als iemand die eenmaal heeft zijn alle kluizen onveilig en kun je ze beter vervangen.

Ubartu @kaaas • 9 november 2020 14:14

Klopt. Toen het bankkantoor waar ik voorheen werkte ging sluiten bleven er kluizen achter die open geboord moesten worden omdat de eigenaren ondanks herhaaldelijke verzoeken geen reactie gaven.
Uiteraard ook nog onder toeziend ook van een accountant. De bank heeft absoluut geen masterkey van deze kluizen.

aad_handgranaat @Ubartu • 9 november 2020 17:49

Onder toezicht van een notaris, geen accountant. Btw Ik was degene die het boorwerk deed, in den haag danwel.

Tintel

Politiek en recht

@Ubartu • 9 november 2020 15:40

Onder toezien van een accountant? Waarom?

Ubartu @Tintel • 10 november 2020 09:11

Goed gecorrigeerd door @aad_handgranaat, was inderdaad een notaris.

Verwijderd @M3m30 • 9 november 2020 12:45

Jij hoeft immers nooit mee te werken aan je eigen veroordeling.

Jawel, het is vreemd dat tweakers dat maar blijven roepen.

Je kan gedwongen worden je foto te laten nemen.
Je kan gedwongen worden bloed te laten afnemen om alcohol of drugs te constateren
Je kan gedwongen worden je vingerafdrukken te laten registreren
Je kan gedwongen worden je huis en auto te laten doorzoeken
Je kan gedwongen worden om DNA af te staan.

In dat licht gezien is het vreemd dat we de grens trekken bij encryptie.

AibohphobiA BoB

@Verwijderd • 9 november 2020 13:39

Bij al die zaken die jij noemt heeft niemand anders last van de maatregel.
Bij encryptie ligt dat anders. Als er een achterdeur is dan geldt dat voor iedereen.

ultrapreventive @Verwijderd • 9 november 2020 21:46

Nee, dwang is het middel dat men inzet bij onvoldoende medewerking. Gedwongen worden houdt geen medewerking in.

EraYaN @Verwijderd • 9 november 2020 13:35

Nouja het gaat om dingen die je weet, niet die je hebt of bent.

Ivolve

@M3m30 • 9 november 2020 10:35

Dat is ook terecht als je het mij vraagt. Lijkt me ook niet de bedoeling dat de politie in iedereen z'n bankkluizen/dropboxen/mailaccounts/etc.. gaat lopen rondsnuffelen.

killercow @Ivolve • 9 november 2020 10:28

Er is al jare en jaren onderzoek gedaan naar een technische mogelijkheid om encryptie te voorzien van een (voor derden) onbreekbare super-sleutel. En keer op keer blijkt het wiskundig gewoon niet mogelijk om wel een super-sleutel te hebben die alle andere keys overbodig maakt, maar om die sleutel niet onveilig te laten zijn.
Dat heeft echt heel weinig met de huidige stand van techniek te maken, maar gewoon met een stukje logica. Het toevoegen van 1 altijd werkende sleutel compromitteert nu eenmaal het hele concept dat er per encryptie/decryptie paar een andere key nodig is.

.oisyn Moderator Devschuur®

Encryptie

@killercow • 9 november 2020 12:23

De oplossing moet dan ook niet gezocht worden in de wiskunde, maar in het gebruikte communicatieprotocol, want het is technisch gewoon mogelijk en vrij straightforward. Jij staart je echter blind op de verkeerde oplossing.

Je wil een deur die open te maken is met een unieke sleutel en een loper. Nu zeg je dat het ontwerp van een slot die dat mogelijk maakt fundamenteel niet te maken is. Maar wat wel mogelijk is, is om twee sleutelkastjes in de deur in te bouwen waar de deursleutel in zit. De ene is open te maken met een unieke sleutel van de bewoner, de andere met een unieke sleutel in bezit van de overheid. En zie daar, een oplossing die niet tornt aan het slot, maar wel de gewenste functionaliteit geeft zonder in te perken op veiligheid (voor zover je het bestaan van een loper geen inperking van veiligheid vindt uiteraard).

Deze analogie is prima te realiseren in de digitale wereld. Hoe een versleuteld communicatiekanaal doorgaans wordt opgezet is middels een key exchange van een voor die sessie geldige symmetrische sleutel middels asymmetrische versleuteling. Versimpeld: Alice heeft Bob haar publieke sleutel gegeven, Bob verzint een sessiesleutel en versleutelt dat met Alice' publieke sleutel en stuurt dat terug, en nu zijn de beide op de hoogte van de sessiesleutel. Nu is er een derde partij, mevrouwtje Overheid, die ook haar eigen publieke sleutel heeft. De sessiesleutel wordt ook nog los met deze publieke sleutel versleuteld en meegestuurd. De afluisterende Overheid kan dat stukje data ontsleutelen (want alleen zij beschikt over haar privésleutel), en weet vervolgens ook wat de sessiesleutel is en kan dus meelezen.

De encryptie is hiermee niet verzwakt. Er is natuurlijk wel een extra point of failure, het bestaan van een extra sleutel.

[Reactie gewijzigd door .oisyn op 25 juli 2024 04:15]

killercow @.oisyn • 9 november 2020 12:34

De deursleutel is daarmee inderdaad niet zwakker geworden. Echter je hebt een 2e slot geïntroduceerd wat wel degelijk zwakker is dan het eerste, in ieder geval accepteert dat nieuwe slot (die van dat kastje op de deur) een tweetal sleutels in plaats van 1, en mogelijk is een van die sleutels altijd de zelfde, omdat je anders een nieuwe probleem introduceert:
Hoe krijg je die 2e sleutel veilig wel bij de overheid, elke keer dat er een nieuwe gemaakt is, en hoe gaat de overheid die sleutel accepteren, opslaan en testen of dat wel degelijk de juiste was.

.oisyn Moderator Devschuur®

Encryptie

@killercow • 9 november 2020 12:44

in ieder geval accepteert dat nieuwe slot (die van dat kastje op de deur) een tweetal sleutels in plaats van 1

Goed lezen, ik had het over twee sleutelkastjes, allebei met hun eigen sleutel.

Hoe krijg je die 2e sleutel veilig wel bij de overheid

Dat is een hele andere vraag, en als je het over die boeg gaat gooien, voegt je verhaal over wiskunde in de vorige post natuurlijk ook weinig toe, want dat probleem hou je sowieso

. Bottom line is dat het technisch wel mogelijk is. En ik ben het met je eens dat je het niet moet willen.

.edit: oh wacht, misschien interpreteer ik je vraag verkeerd. Vraag je hoe de overheid zijn key veilig houdt, of vraag je hoe je de key bij de overheid krijgt? Dat laatste hoeft dus niet, de overheid publiceert zijn eigen publieke sleutel. Die gebruik je om de sessiesleutel mee te versleutelen en mee te sturen als metadata bij het opzetten van de communicatie. Als de overheid afluistert, zien zij dit pakketje, kunnen ze met hun privésleutel de sessiesleutel ontsleutelen, en kunnen ze de rest ook uitlezen.

[Reactie gewijzigd door .oisyn op 25 juli 2024 04:15]

Vrietje @.oisyn • 9 november 2020 13:32

Maar kwaadwillende(even er niet van uitgaan dat de overheid dit zelf is) heeft je zo toch ook gewoon een 2de mogelijkheid om binnen te komen? Natuurlijk gaan uit de beveilig van de sleutelkastjes gelijk is.
Maar om het maar zo te zeggen als je kastje 1 niet gekraakt krijg heb je nog een kans...

.oisyn Moderator Devschuur®

Encryptie

@Vrietje • 9 november 2020 13:34

Maar kwaadwillende(even er niet van uitgaan dat de overheid dit zelf is) heeft je zo toch ook gewoon een 2de mogelijkheid om binnen te komen?

Dat is toch inherent aan het concept van een lopersleutel?

dingo35 @.oisyn • 9 november 2020 14:32

Hoe lang denk je dat het duurt voor die privé sleutel van de overheid bekend raakt? Zie de historie m.b.t. de versleuteling van DVD's, die sleutels komen na verloop van tijd altijd op straat te liggen. Er is altijd wel iemand slordig, of een wraakzuchtige ontslagen medewerker, of een digitale kopie die in een cache/buffer staat en uitgelezen worden door een handige Harry....

.oisyn Moderator Devschuur®

Encryptie

@dingo35 • 9 november 2020 14:34

Hoe lang denk je dat het duurt voor die privé sleutel van de overheid bekend raakt?

Hoe lang duurt het tot een privésleutel van een gemiddeld certificate authority op straat ligt? Dat gebeurt niet aan de lopende band.

De vergelijking met optische mediaspelers is een ontzettend slechte omdat de sleutel aanwezig moet zijn in ieder apparaat om te ontsleutelen. Kijk dan naar de privésleutels van Microsoft en Sony om hun games mee te signen. Liggen die op straat? Nee. Die hoeven dan ook niet op het apparaat te staan, je hoeft alleen de publieke sleutel te weten om te controleren of de authenticiteit gewaarborgd is. Net zoals de privésleutel om het metadata-pakketje te ontsleutelen waar de sessiesleutel in staat niet aanwezig hoeft te zijn op het apparaat dat dat pakketje versleutelt (daar gebruik je de publieke sleutel voor)

[Reactie gewijzigd door .oisyn op 25 juli 2024 04:15]

dingo35 @.oisyn • 12 november 2020 14:58

"Hoe lang duurt het tot een privésleutel van een gemiddeld certificate authority op straat ligt? Dat gebeurt niet aan de lopende band."

Toevallig was de (mede-)oprichter en directeur van Diginotar een oud-werknemer van mij; de toestanden daar waren voor insiders bekend en voorspelbaar, en ik heb de indruk dat dit bij andere certificatie autoriteiten niet veel anders ligt. Maar dat kan ik niet staven.

Desalniettemin is een overheidsinstantie NIET te vergelijke met een private certificate authority; bij die laatste partij zijn mensen voor hun inkomen en hun toekomstzekerheid afhankelijk van die authority, bij de overheid wordt dat soort verantwoordelijkheid (helaas) veel minder gevoeld, en al helemaal niet gehandhaafd. Marktwerking ontbreekt.

.oisyn Moderator Devschuur®

Encryptie

@dingo35 • 12 november 2020 14:59

Volgens mij vergeet je even dat onze overheid óók een CA is.

dingo35 @.oisyn • 12 november 2020 15:03

Ja en ze hebben zo weinig vertrouwen in hun eigen capaciteiten dat alle ondernemers van Nederland bij een private CA een e-Herkennings-niveau aan moeten vragen....

.oisyn Moderator Devschuur®

Encryptie

@dingo35 • 12 november 2020 15:05

Nu ben je echt naar strohalmen aan het grijpen

. Punt is dat PKIOverheid een private key beheert, en dat die niet op straat ligt. Je stelling dat de overheid daar niet voor kan zorgen is daarmee dus bewezen onjuist.

dingo35 @.oisyn • 12 november 2020 16:41

De tijd zal het ons leren!

WhatsappHack

Politiek en recht
Encryptie

@.oisyn • 9 november 2020 13:37

Je beschrijft nu gewoon en backdoor en dit verzwakt de veiligheid wel degelijk. Niet alleen verzwakt het de encryptie door inderdaad de introductie van een tweede key, maar het zorgt er ook voor dat je absoluut niet meer kan vertrouwen dat de authenticiteit en vertrouwelijkheid gewaarborgd blijft. Normaal moet je daar ook een slag om de arm houden, maar als er een tweede key naar een door de overheid toegankelijk systeem gaat: dan weet je 100% zeker dat het volledig onbetrouwbare encryptie en signing kent.

.oisyn Moderator Devschuur®

Encryptie

@WhatsappHack • 9 november 2020 13:42

Je beschrijft nu gewoon en backdoor

Natuurlijk, dat is waar we het hele artikel over gaat

. Let even op de directe discussie, ik reageer op @killercow's opmerking dat het "wiskundig onmogelijk" is, terwijl we de oplossing helemaal niet per se hoeven te zoeken in de wiskunde (al valt een algoritme natuurlijk nog steeds onder de wiskunde). Ik had natuurlijk wel kunnen voorspellen dat er meteen gereageerd gaat worden hoe je dit niet moet willen, maar dat was niet de kern van mijn post.

maar het zorgt er ook voor dat je absoluut niet meer kan vertrouwen dat de authenticiteit en vertrouwelijkheid gewaarborgd blijft

Dat is, wederom, inherent aan het toelaten van de overheid aan de datastroom.

[Reactie gewijzigd door .oisyn op 25 juli 2024 04:15]

Ivolve

@killercow • 9 november 2020 10:33

Jaren en jaren onderzoek doen geeft alleen aan dat iets ingewikkeld is, niet dat het onmogelijk is. Er is ook jaren en jaren onderzoek gedaan naar DNA modificaties, bleek ook gewoon te kunnen....

Dit artikel onderstreept enkel de noodzaak om hier onderzoek naar te doen op basis van een doel dat we willen bereiken. Een veilige samenleving en autoriteiten die toegerust zijn om hier toezicht op te houden.

hackerhater @Ivolve • 9 november 2020 10:40

De limitatie is niet onze stand van de techniek (zoals bij DNA), maar wiskundige onmogelijkheid.
Encryptie is niks anders dan wiskunde.

mawashigeri @Ivolve • 9 november 2020 10:45

DNA is geen wiskunde. Maar ook zonder wiskunde is dit betrekkelijk eenvoudig in te zien: als een ENKELE sleutel oneindig veel sloten open moet kunnen maken, dan krijg je sleutels zoals op je schuurdeur: hij zit wel dicht, maar veilig is het niet.

Verwijderd @Ivolve • 9 november 2020 10:57

Jaren en jaren onderzoek doen geeft alleen aan dat iets ingewikkeld is, niet dat het onmogelijk is. Er is ook jaren en jaren onderzoek gedaan naar DNA modificaties, bleek ook gewoon te kunnen....

Maar er is geen enkele wetenschapper geweest die ooit heeft beweerd dat DNA modificatie theoretisch onmogelijk was.

Pep7777 @Ivolve • 9 november 2020 11:01

In de computer wetenschappen en wiskunde zijn er wel degelijk problemen die niet oplosbaar zijn (onberekenbaar).

https://nl.wikipedia.org/wiki/Berekenbaarheid

Dus soms is het niet alleen heeeel erg moeilijk maar ook bewijsbaar onmogelijk.
En dat is wat er met @killercow bedoelt, en met encryptie ook aan de hand is.

Verwijderd @killercow • 9 november 2020 12:52

Een sleutel is niet van zichzelf veilig of onveilig. Wel kan een sleutel veilig of onveilig bewaard worden.

T.a.v. de veiligheid van encryptie, zijn er twee assen waarover je veiligheid kan bepalen.

De eerste is het algoritme zelf (wiskunde). Zo is SHA-256 en veiligere algoritme dan SHA-1, maar minder veilig dan SHA-512.

De tweede betreft de implementatie van de encryptie (technologie). Zo is TLS 1.2 veiliger dan TLS 1.0, maar minder veilig dan TLS 1.3.

Uiteraard kan een sleutel makkelijk te raden zijn, minder dit zegt nog steeds niks over de veiligheid van de sleutel zelf. Want een gelekte moeilijke sleutel is net zo onwenselijk als een makkelijk te raden sleutel. En voor beide risico's moeten veiligheidsmaatregelen ingericht worden die buiten de implementatie van encryptie liggen.

dingo35 @Verwijderd • 9 november 2020 14:33

"Een sleutel is niet van zichzelf veilig of onveilig." Onzin, een sleutel met een lengte van 1 bit is inherent onveilig, hoe je m ook bewaart.

Verwijderd @dingo35 • 9 november 2020 19:24

Een sleutel is niks meer dan en bit of byte of een verzameling ervan. Eens. Het doet echter verder niks. Het is statisch, het is geen logica, geen algoritme en geen technologie. De kluis waarmee je het opent wordt niet veiliger of onveiliger als je de sleutel deelt. Het doet namelijk precies wat het moet doen, namelijk de houder toegang geven.

Tuurlijk ben ik het met je eens dat het veel beter is om een lange sleutel te hebben. Het raden ervan wordt moeilijker daardoor. Maar een gedeelde sleutel, makkelijk of moeilijk, geeft de houder ervan toegang.

T.a.v. de sleutel zou de primaire focus op de geheimhouding ervan moeten liggen. En het slot (lees: implementatie) moet eisen stellen aan de sleutel, maar dat is veiligheid van de implementatie, niet de sleutel. En die eisen moeten gesteld worden, omdat een sleutel van zichzelf niet veilig of onveilig kan zijn, en een implementatie wel.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 04:15]

AibohphobiA BoB

@Ivolve • 9 november 2020 10:36

Een overheid de sleutel geven lijkt leuk, maar dat komt omdat de huidige overheid (misschien) te vertrouwen is. Het punt is alleen dat je je spullen bij een bank weg kan halen op het moment dat denkt dat overheid niet meer te vertrouwen is. Digitaal is dat wat anders want weghalen is niet altijd hetzelfde als verwijderen.

Nog even los van het feit dat ik persoonlijk de overheid met geen enkele sleutel vertrouw. Niet omdat ze er snel misbruik van zullen maken, maar meer omdat de kans op lekken veel te groot is.

WhatsappHack

Politiek en recht
Encryptie

@AibohphobiA BoB • 9 november 2020 13:39

Nou als ze dit EU-breed door onze strot willen rammen kan ik nu al een aantal overheden noemen die niet te vertrouwen zijn.

Daarnaast is vertrouwen een groot woord. Ik vertrouw onze overheid absoluut niet als het aankomt op het veilig houden van mijn data/encryptiesleutels... Het is ook gewoon een extreem enge gedachte dat een derde partij zomaar te allen tijde mijn encryptie ongedaan kan maken... Opzouten.

litebyte @Ivolve • 9 november 2020 12:10

Omdat dat dropbox account vol met kinderporno (of bijv. politiek- onwelvallige informatie) totaal niet te vergelijken is met een kluis vol gestolen goud.

Veel populistische politici hebben daar vaak ook een handje van om omwille van de publieke opinie onlogische vergelijkingen te gaan maken die een bepaalde/meer emotie moeten oproepen om zo meer sympathie en steun voor hun beleid(voorstellen) te krijgen. Kinderporno of terorrisme doen het dan altijd goed.

Euronitwit

@litebyte • 9 november 2020 13:07

Omdat dat dropbox account vol met kinderporno (of bijv. politiek- onwelvallige informatie) totaal niet te vergelijken is met een kluis vol gestolen goud.

Maak van kinderporno 'gestolen cryptocurrency wallets'

"Omdat dat dropbox account vol met gestolen cryptocurrency wallets totaal niet te vergelijken is met een kluis vol gestolen goud."
Ben je het daar ook mee eens of vind je gestolen cryptocurrency wallets wel vergelijkbaar met gestolen goud?

tweaknico @Euronitwit • 9 november 2020 14:22

Die is aardig... Cryptocurrency is geheel gebaseerd op encryptie...
Dus decryptie in het kader van cryptocurrency is vergelijkbaar met een wettelijke eis dat geld op gewoon A4 papier gedrukt moet gaan worden met gewone toners ipv. speciaal papier en inkt soorten.

EraYaN @Euronitwit • 9 november 2020 13:38

Bij cryptocurrencies is het een geaccepteerd risico dat als men je keys jat ze de coins kunnen jatten en dat dat op afstand kan. Die zijn dus niet echt vergelijkbaar want voor het goud moet je echt zelf langs komen.

Euronitwit

@EraYaN • 9 november 2020 14:23

Onzin.
Ik vergelijk 2 verschillende gestolen monetaire waarden - de ene is digitaal en de andere fysiek.
Wat heeft dat verder te maken met mijn vraag.

Er wordt altijd kinderporno en terrorisme bestrijding bijgehaald, om ingrijpen/ vrije toegang voor de overheid te rechtvaardigen.
Dan zeggen veel: oké het mag.
Ik schrijf: vervang kinderporno eens door crypto valuta. Zeg je dan nog steeds oké het mag.?

[Reactie gewijzigd door Euronitwit op 25 juli 2024 04:15]

EraYaN @Euronitwit • 9 november 2020 14:39

Ik geef gewoon antwoord op je vraag. Wat is je probleem? Digitaal is de drempel gewoon voor lager om de sloten te breken als het eenmaal kan, dat is een probleem. "Gelegenheidsambtenaren" zeg maar.

Euronitwit

@EraYaN • 9 november 2020 14:52

Mag de regering jouw encryptiesleutel opeisen bij:
1/ (vermoedelijk bezit van) kinderporno
2/ (vermoedelijke) terroristiche activieteiten
3/ (illigaal verkregen) goud
4/ (illigaal verkregen) cryptocurrency/wallet

Voor mij mag dit dus nooit, want waar legt men de grens als het eenmaal voor iets wel wordt toegestaan.

EraYaN @Euronitwit • 9 november 2020 14:53

Voor mij nooit, maar goed zoals je wellicht weet gaan we dat verliezen natuurlijk.

litebyte @Euronitwit • 9 november 2020 15:27

Losstaande van de fysieke verschillen tussen zoiets als tastbaar goud en te reproduceren/massaal te verspreiden kinderporno (en dat maakt gelukkig nog wel degelijk een verschil in de huidige wereld) is ook de vergelijking met crypto currency een nonvergelijking.

Euronitwit

@litebyte • 9 november 2020 15:48

Nee, want de vraag is waar legt men de grens tussen wel of niet de sleutel moeten afgeven.
Ik zeg nooit.

Men begon ooit als eerste met kinderporno als argument voor van alle geboden en verboden. Toen kwam terrorisme er als tweede argument bij. Wat gaat het derde argument worden?
Sociaal acceptabel gedrag? Wie bepaald de grens? Een grenzen zoals in China? In Saoedi Arabië? In de USA? Of in ....?

litebyte @Euronitwit • 9 november 2020 16:02

U geeft zelf eigenlijk al antwoord m.b.t. het afgeven van de sleutel - en als dat niet mogelijk is. Dus ja er is wel degelijk verschil tussen een fysieke 'altijd open te breken' brandkast met daarin een vaste/ niet te vermenigvuldigen en te encrypten fysieke materie in vergelijking met wat voor soort digitale (encrypte) informatie dan ook. Het is dus een nonvergelijking

Natuurlijk moet je nooit een overheid zover de macht geven om een soort van 'moedersleutel' te mogen gebruiken (al dan niet alleen in juridische zin.)
Overigens zijn in de VS al diverse personen door de overheid gegijzeld omdat ze bepaalde encryptie techniek niet wilden delen met de overheid

Keypunchie @Ivolve • 9 november 2020 10:44

Het is nogal fundamenteel wiskundig. “Er moet toch iets te doen zijn aan de huidige verhouding tussen de straal en de omtrek van een cirkel?” is een beetje wat je zegt.

En ja, er is mogelijk een totaal radicale andere wiskunde “out there”, waarin je zelf de waarde van het getal Pi kunt kiezen. Maar dan hebben we het over iets zo theoretisch, dat de huidige wetenschap er alleen maar over kan dromen.

Zeerob @Keypunchie • 9 november 2020 15:27

Het is nogal fundamenteel wiskundig. “Er moet toch iets te doen zijn aan de huidige verhouding tussen de straal en de omtrek van een cirkel?” is een beetje wat je zegt.

Waar een wil is, is een weg ...
https://en.wikipedia.org/...eometry#Circles_and_disks
In hyperbolic geometry, the circumference of a circle of radius r is greater than 2 pi r.

[Reactie gewijzigd door Zeerob op 25 juli 2024 04:15]

Keypunchie @Zeerob • 9 november 2020 16:25

Ha, ik ben op de hoogte van niet-euclidische wiskunde, dus daarom hield ik al een slag om de arm om ‘zelf te kiezen waarde voor Pi’ te zeggen ipv. ‘andere waarde’ ;-)

Heb ik gelukkig nog die 2 pi r als ondergrens!

[Reactie gewijzigd door Keypunchie op 25 juli 2024 04:15]

Zeerob @Keypunchie • 10 november 2020 15:40

Heb ik gelukkig nog die 2 pi r als ondergrens!

Ja, leuk. Helaas is die ondergrens ook niet hard. In eliptische geometrie is de omtrek juist kleiner.
https://upload.wikimedia....son_of_geometries.svg.png

Durandal @Ivolve • 9 november 2020 12:09

Als ik een bankkluis heb volliggen met gestolen goud dan kan de politie (op basis van verdenking) de bank verzoeken de kluis open te maken. Waarom zou dat met een dropbox account vol kinderporno anders moeten werken?

Als ik goed geencrypte kinderporno heb kan de politie dat met geen mogelijkheid openen. Waarom zou dat bij een fysieke kluis wel mogelijk moeten zijn?

Dat is natuurlijk een non-reden om dat het in de basis om twee hele verschillende dingen gaat. Niet te vergelijken en toch klagen mensen dat er niet hetzelfde mee om te gaan is.

Als ik trouwens die kluis, net als die Tesla, in een baan om mars schiet kan je hem ook niet meer openen.

marcovtjetje @Ivolve • 9 november 2020 14:40

Dat is iets anders dan wat hier gezegd wordt. Dat is meer een juridische verplichting om te decrypten in bepaalde gevallen. B.v. op bevel van de rechter.

Dat is iets anders dan de technologie om in de kluis in te breken op straat te gooien. In feite heb je dan geen kluis meer, maar een hok.

Zeerob @Ivolve • 9 november 2020 15:14

Als ik een bankkluis heb volliggen met gestolen goud dan kan de politie (op basis van verdenking) de bank verzoeken de kluis open te maken. Waarom zou dat met een dropbox account vol kinderporno anders moeten werken?

Hoe stel je je dat dan voor? Als die kinderporno goed geencrypt is, dan kan niemand buiten de eigenaar dat toch ontsleutelen?

Ivolve

@Zeerob • 9 november 2020 15:16

Ik heb het dan enkel voor de encryptie die dropbox toepast. Ik begrijp dat als de eigenaar zelf een encryptie erop zet dat daar weinig aan te doen is.

Oon

@Keypunchie • 9 november 2020 10:12

De overheid sleutelhouder maken is zo'n beetje hetzelfde als gewoon geen encryptie gebruiken. Zie recent nieuws over mensen bij de overheid die gewoon even whatsapp gebruiken om te bellen of via hun privé email iets mailen om te kunnen printen, en ook alle IT-projecten van de overheid die zo goed verlopen.

Gewoon niet aan beginnen, zo'n constructie werkt nooit

Paul @Oon • 9 november 2020 11:38

Zelfs al zou men het wel voor elkaar krijgen om die keys niet te lekken, wat lost het op?

De mensen die braaf zijn vragen hun key op bij die overheidsinstantie (of geven die af), en de mensen die niet zo braaf zijn (lees: juist de mensen die men in de gaten wil houden) voeren een keer `openssl genrsa` uit en hebben een key die de overheid niet heeft.

JAVE @Paul • 9 november 2020 12:54

En dan kunnen ze die 'ongereguleerde' encryptie strafbaar stellen...
Hoeven ze niet meer moeilijk te doen als mensen hun key zijn vergeten, kunnen ze ze alsnog legaal opsluiten.

Jerie

@JAVE • 9 november 2020 13:09

Ja, voor het vergrijp dat ze niet meewerken aan hun eigen veroordeling. Wat niet hoeft volgens UVRM. Dat is ook het fundamentele verschil tussen je vingerafdruk en je wachtwoord. Het een weet je, het ander laat je overal en nergens achter.

Daarnaast wil ik niet dat de overheid in Polen data kan lezen die ik in Nederland genereer. Ik heb de regering in Polen niet gekozen, en ze nemen het daar ook niet zo nauw met de mensenrechten. Graag op nationaal niveau regelen, dit, en een analyse waarom de huidige methoden wel of niet werken.

Welke huidige methoden? Infiltratie (HUMINT), 'hacken' van verdachten. In ieder geval die twee.

bskibinski @JAVE • 9 november 2020 13:06

Maar dan blijft de data encrypted, en lossen ze hun probleem dus niet op, dat ze toegang willen tot de data.

En de straf op 'onlegitieme encryptie' zal voor vele vast lager zijn dan waar ze voor berecht worden.

Punt blijft dat je met deze wetten zware criminelen niet gaat pakken, of ervoor gaat zorgen dat je bij de data kan.

JAVE @bskibinski • 9 november 2020 14:02

Het niet bij de data kunnen is een deel van het probleem. De persoon achter slot en grendel is een oplossing voor een ander deel van het probleem. (Of dat nu is omdat er foute dingen waren in een encrypted bestand, of omdat hij zich niet aan andere regels hield. (Al Capone, anyone?))

Daarnaast, waarom zou ik moeten toestaan dat anderen kunnen lezen wat ik aan mijn vrouw schrijf? Strafbaar of niet, dat gaat ze geen donder aan.
Het gat namelijk niet alleen om de zware criminelen; het gaat over alles en iedereen.

En natuurlijk zal de regering er geen misbruik van maken ('erewoord!'), en natuurlijk zullen ze er alleen maar in het uiterste geval gebruik van maken, na diverse checks & balances ('erewoord!'), en natuurlijk zullen ze het niet gebruiken waar het niet voor bedoeld is ('erewoord!')

En als je dat gelooft, dan heb je 1 - geen moer opgestoken van de geschiedenislessen, en 2 - geen nieuws gevolgd sinds je uit het ei bent gekropen.

Paul @JAVE • 9 november 2020 15:01

Dat doen een aantal overheden al: https://en.wikipedia.org/wiki/Key_disclosure_law

M3m30 @Oon • 9 november 2020 10:32

Niet alleen at.. nu zijn wij in Corona tijd.. wat bleek? GGD medewerkers hebben zitten neuzen in gegevens van BN'ers die zich lieten testen.. let wel; wij weten nu alleen dat..

Oon

@M3m30 • 9 november 2020 10:34

Dat zie je wel vaker. Er zijn in de meeste systemen wel auditmogelijkheden, maar die hebben geen automatisch alarm oid en daarmee moet dus een tweede persoon toevallig zien dat de eerste persoon gegevens heeft opgezocht die ze niet nodig hadden.

Maar goed, met de hoeveelheid IT-systemen die gebruikt worden bij de gemiddelde overheidsinstantie is dat natuurlijk ook niet te doen. Laat wel zien dat we dus echt geen vertrouwen in de overheid moeten leggen als het om persoonlijke/gevoelige gegevens gaat.

AmigaWolf @Oon • 9 november 2020 14:00

Tweakers: De Europese Raad heeft een draft van een resolutie opgesteld waarin staat dat autoriteiten toegang moeten kunnen krijgen tot data, ook als er gebruik wordt gemaakt van encryptie. De EU-Raad roept op om tot 'een betere balans' tussen encryptie en beveiliging te komen.

Hahaha, ja ja een balans, met andere woorden maak een kwetsbaarheid er in zo dat wij er in kunnen komen, en andere die dat ook vinden, maar dat zal ons (EU) een worst wezen want we zijn toch erger dan de andere.

Vieze walgelijke praktijken, en toch vertrouwd de meeste mensen alles wat de EU en regeringen zeggen.

Standeman @Oon • 9 november 2020 10:40

Dat is wel iets te kort door de bocht. Je kan het vergelijken hoe de grote banken en CC maatschappijen te werk gaan. Technisch kan de overheid encryptiesleutels distribueren via een paar racks aan HSM's en een berg aan infrastructuur/wetgeving/procedures. Andere partijen kunnen dan daar de keys ophalem om hun data versleutelen. Daarmee hebben ze dus de mogelijkheid om via de rechter een sleutel op te vragen bij de bevoegde instantie om bepaalde communicatie te ontsleutelen. Waarschijnlijk heb je daar wel een nieuw op te richten ministerie voor nodig, want het is een enorme operatie.

En dit kan veilig. Voor zover ik weet zijn bedrijven zoals ING, Rabobank of MasterCard nog nooit gehacked in die mate dat ze bijvoorbeeld alle EMV chips moeten vervangen omdat de sleutels op straat liggen.

Of je dit allemaal wil, is weer een andere vraag. Veilig kan het allemaal wel.

bkor @Standeman • 9 november 2020 10:46

Of je dit allemaal wil, is weer een andere vraag. Veilig kan het allemaal wel.

Als je de mogelijkheid maakt voor de EU, mogelijk kan het veilig. Nu heb je de functionaliteit en bijvoorbeeld India of China begint dezelfde wetgeving. Hiermee kunnen ze ook elk gesprek ontcijferen met dezelfde manier. Stel dat die andere landen het minder op de privacy hebben en gewoon meer gesprekken willen inkijken. Wat dan?

Dat het veilig kan, ligt eraan of je elk land ter wereld wilt vertrouwen met de nieuwe mogelijkheden. Zo'n achterdeur blijft niet tot een EU achterdeur, ook een China achterdeur, India, Australië, etc.

Jeanpaul145 @bkor • 9 november 2020 13:08

[...]

Dat het veilig kan, ligt eraan of je elk land ter wereld wilt vertrouwen met de nieuwe mogelijkheden. Zo'n achterdeur blijft niet tot een EU achterdeur, ook een China achterdeur, India, Australië, etc.

Ik vertrouw geen enkele entiteit die niet alleen een geweldsmonopolie heeft maar ook maatregelen erdoorheen probeert te drukken die rechtstreeks tegen de wetenschap ingaan en daardoor niet werkbaar zijn.
Ook heb ik het wel gehad met de continu verschuivende grens van zogenaamde "democratieën" waarmee ze zich incrementeel steeds meer macht toeëigenen. En zullen ze die macht ooit weer opgeven? Natuurlijk niet, want waarom zouden ze? Dus het is een one-way trip waarin normale, onschuldige, individuele burgers steeds meer de macht over hun eigen leven krijtraken.
Er is geen beter voorbeeld daarvan dan na 9/11. De macht die verschillende overheden zich toen hebben toegeëigend hebben wij, de burgers, nog steeds niet terug gekregen.

Dus nee, doe mij maar geen overheidsinzage in de gegevens waarvan er steeds meer duidelijk wordt dat 't niet meer dan ethisch is dat je gewoon eigenaar hoort te zijn van die data.
Jammer van de criminaliteit, maar wetenschappelijke feiten zijn wetenschappelijke feiten.

[Reactie gewijzigd door Jeanpaul145 op 25 juli 2024 04:15]

haam @Standeman • 9 november 2020 13:49

En dit kan veilig. Voor zover ik weet zijn bedrijven zoals ING, Rabobank of MasterCard nog nooit gehacked in die mate dat ze bijvoorbeeld alle EMV chips moeten vervangen omdat de sleutels op straat liggen.

Het grootste probleem van dat statement is dat die partijen per direct hun bestaansrecht kwijt zijn als de sleutels op straat komen.
Daar heeft een overheid geen last van, daar ben je als (goedwillende) burger/bedrijf zelf de dupe.

Standeman @haam • 9 november 2020 14:56

Daar hebben dat soort bedrijven ook geen last van, dat werd wel heel duidelijk tijdens de kredietcrisis. Net zoals een overheid: too big to fail.
Daarbij komt nog het feit dat het een stuk makkelijker op te lossen is door nieuwe keys uit te brengen, dat duurt geen jaren.

F-r-e-d @Standeman • 9 november 2020 16:31

En dit kan veilig.

In Frankrijk was er al een systeem waarbij bedrijven hun crypto sleutels verplicht in moesten leveren bij een speciale, "heel veilige" stichting. Het duurde niet lang voor bleek dat het systeem misbruikt werd voor industrie spionage.

amigob2 @Keypunchie • 9 november 2020 10:21

Toch ben ik er niet op tegen, maar zoals je zegt een beetje encryptie bestaat niet.

Maar implementatie van een Keykeeper is natuurlijk te doen. Alle keys worden dan weer encrypted met een public key, zodat alleen de gewenste instantie die de public key heeft uitgegeven bij de encrypted private key kan, met gerechtelijk bevel. En zelfs de keykeeper niet bij de sleutels kan.

Probleem hier wel is dat als de key eenmaal encrypted is, hij natuurlijk een eigen leven gaat leiden

M3m30 @amigob2 • 9 november 2020 10:35

Hoe wil jij voorkomen dat daar geen misbruik van wordt gemaakt?
Er zijn ook tal van zaken geweest dat zelfs agenten het politie systeem hebben misbruikt.

Ivolve

@M3m30 • 9 november 2020 10:44

Met procedures kun je dit risico verkleinen en beheersbaar houden, er is echter geen enkel systeem waterdicht. Maar stel dat dit lukt om het goed te laten gaan in 99 van de 100 gevallen. Heb je dan onder de streep iets goeds gedaan? En welk van die 100 gevallen vermoed je dat de krant gaan halen?

M3m30 @Ivolve • 9 november 2020 10:48

Dan nog is het geen goed plan.. je vernietigd daarmee ook direct het laatste stukje democratie die wij hebben in Nederland.
Als de staat hard kan meelezen.. kan je nooit in vrijheid bespreken wat je wilt.
Ook komt dit regelmatig voor;
https://www.ad.nl/binnenl...en-afgeluisterd~ae52ff8b/
dus dat advocaten illegaal worden afgeluisterd.

amigob2 @M3m30 • 9 november 2020 11:06

Sorry maar ik zie de relatie tot democratie niet zo, behalve dan dat je een democratie nodig hebt om dit te laten werken, in een dictatuur werkt dit systeem echt niet.

JE hebt wel een gerechtelijk bevel nodig voor toegang, dat is wel een design specificatie

[Reactie gewijzigd door amigob2 op 25 juli 2024 04:15]

M3m30 @amigob2 • 9 november 2020 11:20

Omdat je dan kan worden afgeluisterd... hierdoor beschadig je de democratie... als men op de werkvloer die regels negeert... heb je daar niets aan.

amigob2 @M3m30 • 9 november 2020 11:02

Dat kun je niet, maar dat is altijd na te gaan of dat gebeurd is, want de Keykeeper moet natuurlijk wel een automatisch toegang log bij houden.
Dit voorkomt niet dat er misbruik gebruikt kan worden maar de misbruik kan altijd terug gevonden worden. En de toegang tot de database zal niet veel zijn als een gerechtelijk bevel ( rechter heeft de toegang goed gekeurd voor een specifieke persoon ) als grondslag moet liggen voor de toegang.

M3m30 @amigob2 • 9 november 2020 11:17

Diezelfde systemen dat ook hiervoor geld?
https://www.ad.nl/binnenl...en-afgeluisterd~ae52ff8b/

of hiermee?
https://www.security.nl/p...age+uitslagen+coronatests

of dit
https://www.ed.nl/eindhov...3A%2F%2Fwww.google.com%2F

Je kan wel een rechter hebben... maar als personen op de werkvloer zich er niet aan houden... heb je daar niets aan...

amigob2 @M3m30 • 9 november 2020 13:45

Daarom moet de persoon op de werkvloer ook niet de partij zijn die de data beheerd ( keykeeper). Dat moet dus een partij zijn die zelf niet de private key bezit, maar wel de check doet dat er een uitspraak van de rechter ligt dat de toegang is goedgekeurd en de encrypted data aan de vragende partij overhandigt.
Dan heb je dus meerdere personen nodig die iets fout willen doen, en daar bij ook meerder logs waar de fout in opgeslagen wordt.

killercow @amigob2 • 9 november 2020 10:29

Je introduceerd daarmee dus 1 nieuwe "weakest link". Eentje die je als encryptiegebruiker ook nog eens niet in de hand hebt, en bij een overheid hebt neergelegd.

amigob2 @killercow • 9 november 2020 13:53

Je moet dan wel vertellen wat de weakest link is, toegang tot de data kan niet door 1 persoon, omdat de encrypted data door een partij ( Keykepper) beheerd wordt die de private key niet hebben om de data in te zien. En die moeten natuurlijk wel het gerechtelijke bevel controleren voor dat de encrypted private keys overhandigt worden.
Op die manier heb je dus (1 weakest link ), twee personen ( van 2 verschillende partijen ) moeten dan samen werken, of de vragende persoon moet een gerechtelijk bevel vervalsen, maar daar zijn natuurlijk ook mogelijkheden om dat onmogelijk te maken ( Check het bevel bij de rechtelijk macht ).

[Reactie gewijzigd door amigob2 op 25 juli 2024 04:15]

me23 @Keypunchie • 9 november 2020 10:42

Zelfs als je hiervoor zou (kunnen) kiezen; wanneer je ervoor zou kunnen zorgen dat overheden als enige bij data kan, dan staat de crimineel niets in de weg om zelf iets te bouwen met encryptie waar de overheid dan niets mee kan. Kortom; je pakt hier alleen de domme crimineel mee en iedere niet kwaaddoende burger dus de oplossing (zo die al technisch zou kunnen bestaan) is "eenvoudig" te omzeilen.

Stoney3K

Politiek en recht
Encryptie

@Keypunchie • 9 november 2020 14:08

Het gaat niet om eens/oneens. Het gaat om het fundamentele punt dat ‘een beetje encryptie’ niet bestaat.

Vergeet ook niet dat er dan ineens heel selectief omgegaan wordt met het begrip 'encryptie'. Iedereen is het ermee eens dat betalingsverkeer hoe dan ook versleuteld moet worden. Net zoals vertrouwelijke bedrijfsinformatie ook versleuteld hoort te worden.

Maar de kopieerbeveiliging op je games is net zo goed encryptie, en de overheid gebruikt zelf encryptie om vertrouwelijke staatsgeheimen voor andere landen (en voor de burgers) te verbergen. En dat is nog even los van de gewone Whatsapp-chats....

Dus laten we dan een overheid de afweging maken welke encryptie er 'goed' is en welke voor kwade doeleinden kan worden misbruikt, en dus een backdoor zou moeten hebben? Lijkt me echt geen goed plan, want ook een overheid heeft een bepaalde agenda.

Ze willen zelf heel graag een onkraakbare kluis om hun kernwapens in op te kunnen bergen zodat de vijand er niet bij kan. Maar ze willen natuurlijk niet dat iemand anders óók zo'n onkraakbare kluis heeft.

[Reactie gewijzigd door Stoney3K op 25 juli 2024 04:15]

cotix @Keypunchie • 9 november 2020 16:11

Het idee dat het dichtste in de buurt komt zou zijn om de overheid een ‘sleutelhouder’ te maken, maar a) kwaadwillenden geven dan domweg hun sleutel niet af..

Niet dat ik hiervoor pleit, maar je zou natuurlijk het gebruik van encryptie zonder overheidbackdoor illegaal kunnen maken. Dat hoef je niet meer de data te kraken van een verdachte, maar kun je hem meteen op het gebruik van zware encryptie veroordelen.

Het probleem is natuurlijk dat dit soort master keys gaan uitlekken met alle gevolgen van dien, en het dus niet haalbaar is.

janbaarda @Robert-Jan • 9 november 2020 11:24

Ja, hier kan niemand met gezond verstand het mee een zijn. Als misdaadbestrijding afhankelijk is van ontsleuteling dan is er iets goed mis met onze veiligheid.

Ik begrijp wel dat de overheid t.b.v. bewijsvoering graag achteraf (dus als de misdaad al gepleegd is) toegang tot versleutelde berichten wil hebben, maar daar zijn al middelen voor (o.a. verplichte afgifte van paswoorden). Het (bijna)realtime mee kunnen lezen van versleutelde berichten vereist dat de sleutel vooraf bekend en in bezit van de afluisteraar is. Dit duidt op iets als een loper die in alle sleutelgaten past (lees: "backdoor").

De volgende stap is meelezen wat mensen denken. (een goede reden hiervoor is, naast terrorisme, voorkomen van kindermisbruik

)

DancingMonkey @Robert-Jan • 9 november 2020 10:11

Inderdaad eerst jarenlang op politie bezuinigen en nu er makkelijk vanaf te kunnen komen door alles in de gaten te kunnen houden omdat er gewoon geen mankracht is om echt onderzoek te kunnen doen.

Dit kabinet heeft vast de beste bedoelingen maar wie weet wat voor gek aan de macht is over 10 jaar.

PCG2020 @DancingMonkey • 9 november 2020 10:19

Het artikel gaat over een concept van een EU-resolutie, niet om een concept-wetsvoorstel van het Nederlandse kabinet.

debroervanhenk @PCG2020 • 9 november 2020 10:56

De Europese Raad bestaat uit de ministers van de lidstaten, dus het Nederlandse kabinet heeft hier wel degelijk invloed op. De verantwoordelijke minister heeft waarschijnlijk niet aan deze conceptresolutie meegeschreven, maar in het hele proces speelt hij/zij een belangrijke rol.

Grote kans trouwens dat de minister zegt dat het “moest van Brussel” als de resolutie impopulair blijkt te zijn.

bytemaster460 @DancingMonkey • 9 november 2020 10:20

Los van dat ik het een slecht idee vind, heeft dit niets met mankracht te maken. Meer mankracht gaat versleutelde communicatie niet eerder ontsleutelen. Het probleem is dat men machteloos staat tegenover degelijk encryptie en dat los je met duizenden extra mensen niet op.

CH4OS @Robert-Jan • 9 november 2020 11:01

Vandaar dat er ook aan alle kanten om advies gevraagd wordt, hoe dit op een degelijke manier geregeld kan worden.

Vogel666 @Robert-Jan • 9 november 2020 13:16

Als lokale overheden een master key kunnen krijgen (los van de technische onmogelijkheid) dan is er dus geen encryptie meer.
Want wie is de de lokale overheid? dat beperkt zich dan natuurlijk niet tot de EU
Als de US-overheid namelijk een master key heeft dan mogen ze dus al het bedrijfsverkeer dat over internet gaat monitoren op bedrijfsgeheimen en doneren aan bedrijven in de USA (zie Patriot Act)
China: idem dito
Krijgen Iran en Pakistan dan ook de masterkey.
En hoe zit het dan met forensische bedrijven die namens de overheid onderzoek doen?

Deze domme intentieverklaring van de EU ondermijnt het hele concept "vertrouwelijke communicatie"
Maar goed dat een private key per definitie private is en deze hele discussie nooit verder komt dan een theoretische discussie....

Some12 @Robert-Jan • 9 november 2020 12:51

Nee natuurlijk niet. Hoe gaan we kleine kinderen digitaal beschermen?

Investeer dan geld in een supercomputer/quantum-computer. Wil ik best wat extra belastinggeld voor betalen.

Uiteindelijk komt het gewoon neer op het volgende: iemand die zich niet aan de wet houdt creëert een stukje uber software en de bestanden zijn weer “onkraakbaar”.

Verwijderd @Robert-Jan • 10 november 2020 12:59

oost-europese nog minder wrsl maar het zit er aan te komen met de nieuwe lading kopensnellers ... nu ook in de oostkantons in soviet helgium en als ik het goed heb ook op school in holland ?

een beetje net als zogenaamde hangjongeren oudjes laten terroriseren met het excuus van "we kunnen daar niets aan doen van nonkel po" tot de verkiezingen 12% extra geven aan extreem rechts , 50/50 voorbedachten rade mais bon

ik moei me der niet meer mee, ik ga landmijnen en prikkeldraad beginnen verzamelen

en ik praat gewoon mijn dialekt dat begrijpt toch niemand (ahahah)

Aetje @Robert-Jan • 11 november 2020 01:46

Niet alleen dat, maar de statements van de Raad zijn tegenstrijdig. "We zijn voor sterke encryptie, maar we willen wel dat autoriteiten de encryptie kunnen breken."
Autoriteiten lopen vaak achter op IT gebied. Dus als die encryptie kunnen breken, kunnen criminelen (en vijandige autoriteiten) dat ook. En dan is de encryptie niet sterk meer.

Er wordt geen keuze gemaakt. Sterke encryptie die niemand makkelijk kan breken, of zwakke encryptie die alleen hobbyisten buiten de deur houdt. Pick one.

Suncatcher 9 november 2020 09:58

Vraagstuk, zou jij de politie een huissleutel geven in het geval van nood, ongeacht of er mogelijk corrupte agenten zijn die in je huis rond willen snuffelen ?

Juist, ik niet.

eric.1

@Suncatcher • 9 november 2020 10:15

Alleen is dit het probleem niet. Een deur mag de Politie ook geforceerd openen, indien ze daar een bevel voor hebben. Zo ook met data, ze hebben al een bevel tot je data - anders hadden ze het niet hoeven ontsleutelen.

Het punt hier is dat de standaard versleuteling gewoonweg wordt verzwakt door het toevoegen van een "achterdeur". En die verzwakking kan mogelijk door derden (niet-"overheden") worden misbruikt.

[Reactie gewijzigd door eric.1 op 25 juli 2024 04:15]

sanane @eric.1 • 9 november 2020 11:20

Ik denk dat het juist gevaarlijker is als de "verzwakking" door overheden wordt gebruikt dan door "derden". Als dit zo doorgaat dan voorspel ik dat we over 30 jaar een groot probleem hebben..

tweaknico @sanane • 9 november 2020 14:55

Dat duurt geen 30 jaar, dat gaat binnen enkele jaren/maanden al fout.

Justevo @eric.1 • 9 november 2020 13:26

Als ik mijn deur goed genoeg barricadeer kan de politie hem ook niet forceren. Als ik in een bunker ga wonen al helemaal niet. Een zeer ingewikkelde versleuteling is praktisch een bunker.

pepsiblik @eric.1 • 9 november 2020 11:22

Dus moet je iets anders verzinnen als die achterdeur. Of je moet een zodanige achterdeur verzinnen dis de encryptie niet teveel verzwakt. Een achterdeur hoeft niet permanent te zijn.

tweaknico @pepsiblik • 9 november 2020 14:57

Hoe zie jij een tijdelijke achterdeur voor je?... Dan is het alleen maar nodig om de tijd die het encryptie systeem ervaart naar het juiste windows te verplaatsen... Dat is niet zo moeilijk.

Kortom een andere non-starter.

boto @pepsiblik • 9 november 2020 13:06

wat leest als=dan toch ontzettend moeiljk.

als je de encryptie ook maar enigzins verzwakt, heb je dus gewoon dat; een verzwakte encryptie, dat wil niemand.

Tintel

Politiek en recht

@eric.1 • 9 november 2020 15:46

Grappig dat niet-overheden altijd worden gezien als het probleem terwijl deze nu juist net zo goed de misbruikers (kunnen) zijn.

t link @eric.1 • 9 november 2020 17:59

inlichtingen diensten mogen nu ook virtuele deuren geforceerd openen met bruteforce attacks en credential stuffing etc. wat ze niet mogen is alle deuren verbieden die niet makkelijk genoeg te openen zijn voor hun. netzoals de politie dat niet mag.

robvanwijk

Encryptie
Politiek en recht

@eric.1 • 10 november 2020 00:35

Een deur mag de Politie ook geforceerd openen, indien ze daar een bevel voor hebben.

Heeft iemand een idee wat er gebeurt als de politie een huiszoekingsbevel heeft, maar het huis is zo'n ontzettende bunker dat ze met geen mogelijkheid naar binnen komen?

pepsiblik @Suncatcher • 9 november 2020 10:04

En toch hebben we dat met zijn allen wel afgesproken voor het digitale tijdperk begon. Onder bepaalde omstandigheden mogen telefoongesprekken worden afgetapt en post worden geopend. Dus waarom dat niet met email en WhatsApp gesprekken zou mogen is mij niet zo duidelijk. Het principiele besluit daarover is al decennia geleden genomen.

Nu wordt dat door encryptie onmogelijk. En ja, er zitten haken en ogen aan het hebben van decryptie sleutels. Maar je kunt ook niet ontkennen dat er soms behoefte is aan dit soort toegang.

Kevinp @pepsiblik • 9 november 2020 11:47

Een telefoongesprek is niet encrypted. Je mag ook de encrypted data afluisteren.

Als ik met iemand een taal verzin kan ik prima praten met hem/haar. De politie weet dan met wie ik praat maar heeft geen idee waarover.

Dergelijke wetgeving onder het mom van KP en Terririsme is echt ziekelijk. Als ik terrirst en ten eerste houd ik me dan niet aan de wetgeving.

En als ik KP verspreid ook niet.

En wat gebeurt er omdat ik principieel niet mijn encryptie wil afstaan wordt ik straks veroordeeld voor KP? of terrorisme?

wat is er gebeurd met onschuldig tot schuld bewezen is.

pepsiblik @Kevinp • 9 november 2020 11:56

Om je laatste vraag te beantwoorden: dat geldt nog steeds. Voordat je mag aftappen, moet je eerst een gerechtelijk bevel hebben. En dat krijg je alleen wanneer je aannemelijk kunt maken dat er iets niet in de haak is.

Kevinp @pepsiblik • 9 november 2020 13:53

De vraag is.

Als ik mijn sleutel toch niet vrij geef. Ben ik dan ineens schuldig zonder dat ik eigenlijk iets heb gedaan wat niet mag.

robvanwijk

Encryptie
Politiek en recht

@Kevinp • 10 november 2020 00:31

En wat gebeurt er omdat ik principieel niet mijn encryptie wil afstaan wordt ik straks veroordeeld voor KP? of terrorisme?

Nee, dan wordt je veroordeeld voor illegaal gebruik van encryptie. Het slechte nieuws is dat de rechter weinig andere keuze zal hebben dan je levenslang te geven, want als de straf voor illegale encryptie lager is dan die voor het misdrijf waarvoor je op die manier je straf ontloopt, dan heeft het verbod nog steeds geen zin...

wat is er gebeurd met onschuldig tot schuld bewezen is.

De politie heeft je betrapt op het versturen van data versleuteld via een niet-goedgekeurd protocol of zonder je keys aan te melden of hoe ze dat verbod vorm willen geven. Dat je voor jouw (en mijn) gevoel niets fout hebt gedaan betekent niet dat je onschuldig bent; het zou een gruwelijk stomme wet zijn, maar je bent wel degelijk schuldig aan het overtreden ervan.

Kevinp @robvanwijk • 10 november 2020 09:31

Prima, maar dan moet ik mijn telefoon ook unlocked laten?

Geen wachtwoord op mijn werk PC?

etc etc.

Ik snap je punt, maar zoals gebruikelijk willen de politici naar een soort politiestaat toe waar privacy en vrijheid geen enkele waarde meer heeft.

robvanwijk

Encryptie
Politiek en recht

@Kevinp • 10 november 2020 19:01

Prima, maar dan moet ik mijn telefoon ook unlocked laten?

Geen wachtwoord op mijn werk PC?

Nee, zolang de fabrikant (eerste geval: Google of Apple, tweede geval: hetzij Microsoft, hetzij Dell of zo) je data kan decrypten als de politie daar om vraagt dan is het goed.

Om misverstanden te voorkomen: ik zeg niet dat dit een goed idee is (ik denk zelfs dat het een gruwelijk slecht idee is), maar zo'n soort wet is wel degelijk mogelijk.

M3m30 @pepsiblik • 9 november 2020 10:12

Met encryptie is het dit;
je bent wel of niet versleuteld.. om met ander voorbeeld te komen;
je bent wel of niet zwanger; je kan immers nooit een beetje zwanger zijn.
Ook heeft dit een glijdende schaal.. als Rutte die sleutel krijgt.. dan gebeurd dat ook in niet frissere landen zoals Turkije, Rusland, landen in het midden oosten..
Dat is echt onwenselijk.
Ook dit; mensen vertrouwen Rutte... maar wat als er een niet frisse persoon aan de macht komt?
let wel; Adolf Hitler kwam via normale legale verkiezingen aan de macht.
Erdogan kwam via normale verkiezingen aan de macht.. pas toen ze die macht hadden, zag je hun ware gezicht.

pepsiblik @M3m30 • 9 november 2020 10:17

Dat is wel erg kort door de bocht. Er zijn best oplossingen te verzinnen om de sleutels niet voor iedereen toegankelijk te maken. Denk aan een soort van 2FA systeem, waarbij een onafhankelijke tweede instantie mee moet beslissen.

Daarnaast ga je volledig voorbij aan mijn punt dat we al decennia geleden besloten hebben dat toegang tot privé informatie soms noodzakelijk is. Als de aanslag op het Bataclan voorkomen had kunnen worden door een ge-encrypt bericht in te kunnen zien, dan is dat ook best zuur, toch?

thunder8 @pepsiblik • 9 november 2020 10:37

Als als als, Als mijn tante kloten had gehad, was het mijn oom geweest. Als ze de daders van de aanslag op de bataclan beter in de gaten hadden gehouden, was het misschien ook niet zover gekomen.

Indien encryptie door de autoriteiten kan worden omzeild, gaan criminelen wel verder met andere manieren van hun boodschap verspreiden. Zo gebruikt de Aryan Brotherhood in de VS meerdere "ouderwetse" encryptie methoden om via brieven hun orders in en uit de gevangenis te krijgen. Deze worden allemaal gescreened, maar toch wist men op die manier jaren gevoelige communicatie te voeren verstopt in normale brieven. Als je dit extrapoleert naar digitale communicatie, loop je als handhavende macht altijd achter de feiten aan. Ook al zou je bepaalde encryptie kunnen omzeilen door wetgeving, dan staat de criminelen niets in de weg om hun eigen lagen van encryptie in te voeren, waardoor de eerste omzeiling weinig zoden aan de dijk zet.

pepsiblik @thunder8 • 9 november 2020 11:31

Berichten ge-encodeerd versturen is veel moeilijker. Je werpt dus een barrière op. Dat kan ook nuttig zijn. En dat soort gecodeerde berichten kunnen ook gekraakt worden. Zowel in WW1 als WW2 zijn de Duitse codes gekraakt. En ook de Amerikanen hadden inzicht in Japanse berichten omdat ze de codes deels konden ontcijferen. En ten laatste kan het feit dat je na deze barrière een nieuwe barrière tegenkomt, nooit een argument zijn om dan deze barrière maar niet te slechten.

WhatsappHack

Politiek en recht
Encryptie

@pepsiblik • 9 november 2020 14:07

Gewoon lokaal op je toestel versleutelen en dan pas versturen. Problem solved.

tweaknico @pepsiblik • 9 november 2020 15:07

De jappenners hadden dan weer moeilijkheden met de US codes waarom? omdat die een andere taal gebruikten, van een vrij kleine Indianen stam... dus berichten werden vertaald naar de andere taal en iedere eenheid had weer een lid van de stam bij zich voor decryptie en omgekeerd voor retour verkeer.

Encoded verzenden is bytes versturen, unencoded verzend is bytes versturen... dat is lood om oud ijzer...
transformatie van data if ook niet zo moeilijk.

Een het eerder aangehaalde voorbeeld van de overval op de Bataclan is zonder encrytie te gebruiken beraamd en uitgevoerd.

Aanvulling: https://en.wikipedia.org/wiki/Windtalkers

[Reactie gewijzigd door tweaknico op 25 juli 2024 04:15]

M3m30 @pepsiblik • 9 november 2020 10:28

en hoe ga jij dat beveiligen? als jij toegang tot die sleutel hebt, de crimineel ook... want hoe wil jij die sleutels zo bewaren dat NIEMAND er toegang voor heeft dan?
Ook niet als er een kwaadaardige leider aan de macht komt?
UK laat goed zien wat er gebeurd;
de dwang om je wachtwoord af te staan zou alleen voor terrorisme/kinderporno worden gebruikt.. die wetje is zodanig afgezwakt dat het standaard is.
Tot slot; denk jij werkelijk waar dat terroristen niet nadenken? ow wacht.. soms niet nee.. weet niet meer in welk land dat was.. maar paar jaar geleden besprak een terrorist zijn plannen via SMS.

pepsiblik @M3m30 • 9 november 2020 11:24

En da's nou precies waartoe de Europese Raad oproept. Ze willen in discussie om te zien hoe je toegang kunt krijgen zonder de encryptie (teveel) te verzwakken.

Die toestanden in het UK krijg je juist wanneer de tech bedrijven niet meewerken. Want de overheid wint deze discussie natuurlijk altijd.

[Reactie gewijzigd door pepsiblik op 25 juli 2024 04:15]

M3m30 @pepsiblik • 9 november 2020 11:28

Daarom moeten zij eens inzien dat hun wens niet kan.

pepsiblik @M3m30 • 9 november 2020 11:36

Net omgekeerd. De tech bedrijven zullen moeten inzien dat ze iets zullen moeten doen. Overheden willen dit en gaat er iets gebeuren. Zie bijvoorbeeld die hele rechtszaak van Microsoft om die Ierse email. Microsoft ging steeds maar in beroep en dus werd de wet gewoon aangepast en die email ging naar de FBI. Klaar is Kees. Dus men zal wat moeten. Dat kan bijvoorbeeld ook zijn door via een omweg toegang te krijgen. Je heeft bijvoorbeeld de encryptie niet op, maar je krijgt toegang tot het scherm van de gebruiker of zo. Laat de ideeën maar komen.

tweaknico @pepsiblik • 9 november 2020 15:09

Het probleem is niet Tech bedrijven, maar mathematische regels (nogal rechtlijnig en wel/niet) en menselijke behoeften en nukken waar ook voor allerlei beambten geldt dat er een eigenbelang prevaleert.
ten koste van de "burger".

Ondanks dat de burger feitelijk de broodheer van de ambtenaren / overheid zijn.

Kevinp @pepsiblik • 9 november 2020 13:55

https://www.youtube.com/watch?v=CINVwWHlzTY

Kijk dit maar eens. En dan weet je dat je dit misschien wel wil, maar toch niet moet willen.

bbob

Politiek en recht
Encryptie

@pepsiblik • 9 november 2020 11:55

Grappig iedere keer komt het voorbeeld aanslag voorkomen weer voorbij.
De vraag is dan mag je mensen martelen om aanslagen te voorkomen ? Hoe mooi zou het zijn als je daardoor een aanslag kan voorkomen. Het zou toch zuur zijn als je dat niet kan voorkomen ?

Het is leuk dat je het hebt over onafhankelijke instantie. Polen rechter die in de zak van de overheid zitten, Hongarije idem. Landen die binnen de eu zitten. Hoe onafhankelijk is een 2de instantie dan ?

Het betekend ook dat er dus een andere sleutel is die toegang geeft tot data = achterdeur en kan die achterdeur niet door anderen misbruikt worden. Moeten er nieuwe algoritmes komen met een masterkey = gevaarlijk.

Overheden kunnen veranderen en onze overheid heeft de tapwet er al doorgedrukt waarbij ongerichte data hup naar het buitenland gaat zonder controle. Hoe moeten we de overheid dan vertrouwen. Ik vertrouw ze op dat gebied voor geen meter.

pepsiblik @bbob • 9 november 2020 12:03

Net zo goed als elke keer het punt van dictators voorbij komt.

Die Poolse rechter is dus niet onafhankelijk. En dus controleert die 2de instantie of er echt iets is en die kan dus ook een verzoek weigeren. En als die 2de instantie nu gewoon in Brussel zit. Of de VN in Geneve? Die 2de instantie hoef je niet op nationaal niveau te regelen. Dat kan ook hoger.

Tja, zo kun je van alles bedenken om niets te doen. Bedenk dan een beter systeem en blijf niet steeds in die dogmas hangen.

Dat is dus een mening. En zoals al eerder gezegd, dat er toegang moet zijn tot privé gegevens is niets nieuws. Dat principe is al decennia geleden in de wet verankerd. Als je dat wilt veranderen moet je ook consequent zijn en bijvoorbeeld het brief geheim absoluut maken.

bbob

Politiek en recht
Encryptie

@pepsiblik • 9 november 2020 12:25

Beter systeem, geen achterdeurtjes gewoon zoals het nu is. Ik zie het probleem niet behalve overheden die tot alles toegang willen hebben.

Toegang tot gegevens daar zijn wetten voor net als toegang tot een afgesloten safe. Je hoeft echter niet mee te werken en moet de overheid dan van iedere safe ook een sleutel hebben.

Probleem met encryptie is dat de overheid niet zoals bij een safe met bruut geweld toegang kan krijgen zoals huis safe of andere tastbare zaken. Dat is nog steeds geen reden om dan encryptie feitelijk onbruikbaar te maken.

Het klinkt allemaal mooi maak kijk naar de USA waar Trump er persoonlijk voor gezorgd heeft dat de hoogste rechters nu uit republikeinen bestaan. Hoge raad is zo een voorbeeld van 3de of 4de lees laatste instantie waar de politiek dus ook al invloed op heeft.

Daarnaast zoals gezegd dit kan alleen met achterdeurtjes om toegang te krijgen en achterdeurtjes maakt encryptie per definitie onbetrouwbaar en misbruikbaar door anderen.

DataGhost

@pepsiblik • 9 november 2020 13:12

Dan verplaats je het probleem alleen maar naar die 2e instantie. Wie gaat dat worden? Wie beslist dat? Wordt dat bijv. Trump? Of Biden? Of toch een Poolse rechter? Iemand in Brussel? Iemand van de <vul maar in> overheid? Welke wetgeving wordt daarbij gehanteerd? Als er een verzoek komt van de VS voor een hoge VS-overheidsofficial die codes om de kernbommen van de VS onschadelijk te maken naar China wil gaan uitlekken? Als er een verzoek komt van de China voor een hoge Chinese overheidsofficial die codes om de kernbommen van China onschadelijk te maken naar de VS wil gaan uitlekken? Wat zegt die instantie als er een verzoek komt van Afghanistan om communicatie van een homosexueel te ontsleutelen? Of iemand uit Somalië die is vreemdgegaan? Iemand uit China die zich niet fijn voelt in dat land? Iemand uit Noord-Korea die porno kijkt?
Nog afgezien van dat elke niet-achterlijke crimineel een van de huidige, veilige versleutelingmethodes zonder backdoor zal gebruiken.

[Reactie gewijzigd door DataGhost op 25 juli 2024 04:15]

jaenster

@pepsiblik • 9 november 2020 10:28

Gelukkig kan geen enkel mens een encrypt bericht lezen. Uiteindelijk moet het ergens decrypt op een scherm terrecht komen, anders heb je er niks aan.

Dat gezegd hebben zijn er altijd manieren om met mensen mee te kijken. Alleen misschien niet rechtstreeks door het netwerk af te tappen.

pepsiblik @jaenster • 9 november 2020 11:37

Precies. En dat laatste, daar gaat het om. Linksom of rechtsom, er gaat iets gebeuren.

vosManz @pepsiblik • 9 november 2020 12:20

Als de aanslag op het Bataclan voorkomen had kunnen worden door een ge-encrypt bericht in te kunnen zien, dan is dat ook best zuur, toch?

Ik weet niet of het bewust is, maar je kiest wel het beste voorbeeld uit om aan te tonen dat ook zonder encryptie aanslagen niet altijd te voorkomen zijn.

De aanslag op het Bataclan had wellicht voorkomen kunnen worden OMDAT de terroristen geen encryptie gebruikten. Maar ondanks dat is het de veiligheidsdiensten toch niet gelukt deze aanslag te voorkomen.

Bron: https://theintercept.com/...-between-terror-suspects/

MSalters

Politiek en recht

@M3m30 • 9 november 2020 10:38

Turkije en Rusland zijn niet aan EU resoluties gebonden. Die kunnen zo'n backdoor eisen ongeacht wat de EU doet. Mijn zorg is de regimes in Polen en Hongarije. Het argument van "rechterlijke toestemming" is al niet meer bruikbaar in Polen, waar de rechters niet meer onafhankelijk zijn.

M3m30 @MSalters • 9 november 2020 10:59

Rusland offieel wel, want Rusland zit in de raad van Europa.

Maurits van Baerle @M3m30 • 9 november 2020 11:16

Het staat een beetje onhandig in dit artikel "EU Raad" maar ze bedoelen de Raad van de Europese Unie en niet de Raad van Europa. De EU en Europa zijn twee verschillende dingen. Rusland is geen lidstaat van de EU maar ligt wel in Europa en is lid van de Raad van Europa.

Kortom, dit zal geen direct effect hebben op Rusland.

MSalters

Politiek en recht

@M3m30 • 9 november 2020 11:13

Nu haal je de Raad van Europa en de EU door elkaar. Turkije zit ook in de RvE, overigens.

HakanX @M3m30 • 9 november 2020 11:38

Met encryptie is het dit;
je bent wel of niet versleuteld.. om met ander voorbeeld te komen;
je bent wel of niet zwanger; je kan immers nooit een beetje zwanger zijn.
Ook heeft dit een glijdende schaal.. als Rutte die sleutel krijgt.. dan gebeurd dat ook in niet frissere landen zoals Turkije, Rusland, landen in het midden oosten..
Dat is echt onwenselijk.
Ook dit; mensen vertrouwen Rutte... maar wat als er een niet frisse persoon aan de macht komt?
let wel; Adolf Hitler kwam via normale legale verkiezingen aan de macht.
Erdogan kwam via normale verkiezingen aan de macht.. pas toen ze die macht hadden, zag je hun ware gezicht.

Jij bent het boekvoorbeeld waarom de overheid geen sleutel moet hebben. Je kan zo van de één op de andere dag onterecht door een gek als boeman aangewezen worden en vergeleken worden met een massamoordenaar. Ik als Nederlandse staatsburger, maar met Turkse roots kan opeens de lange arm van die door jullie gekozen boeman zijn omdat ik op hem heb gestemd en steun. We hebben eerder gezien wat er met de Joden is gebeurd hier puur om hun roots en we gaan weer die richting heen.
Overheid moet gewoon niet onbeperkt toegang tot alles hebben zonder dat er sterke aanwijzingen zijn van een strafbare feit. Anders kunnen ze je met dit soort verzinselen en bij elkaar geraapte data zonder context, onterecht als een bedreiging zien. Niet iedereen bij de overheid is nuchter, onze wetten beschermen ons tegen figuren zoals jij.

LightofDarkness @pepsiblik • 9 november 2020 10:23

Volgens mij was het ook voor het digitale tijdperk mogelijk versleuteld te communiceren, dan moesten de ciphers gewoon face-to-face uitgewisseld worden. Vervolgens onthouden en de hardcopy vernietigen en je zit in dezelfde situatie als nu. Je hoeft de cipher (of je wachtwoord) namelijk niet op te dreunen als dat betekent dat je gedwongen wordt mee te werken aan je eigen veroordeling.

Het digitale tijdperk maakt alleen het versleutelen makkelijker (en het kraken moeilijker, dat wel).

pepsiblik @LightofDarkness • 9 november 2020 11:20

Je kon inderdaad een brief in code versturen. Maar een telefoongesprek was altijd af te luisteren op de centrale. Totdat het digitaal werd, en toen werd de PTT verplicht om het mogelijk te maken om die gesprekken toch af te tappen.

thunder8 @pepsiblik • 9 november 2020 12:52

Je kan ook praten in code aan de telefoon. Daarmee zou het gelijk zijn aan een gecodeerde brief. Zonder de code te weten, word je als afluisterpartij ook niet wijzer.

En het is niet toegestaan om alle gesprekken af te luisteren cq op te slaan om naderhand maar alles na te zoeken of er ergens gepraat werd over een strafbaar feit. Pas na een gerechtelijk bevel mag er een tap worden aangelegd voor een bepaalde tijd voor een bepaalde verdenking bij een bepaalde verdachte.

Waarom zouden we de overheid wel de mogelijkheid geven om alle data binnen een bepaalde functie, bijvoorbeeld whatsapp, zowel op te slaan als te ontcijferen? Veel data heeft men niets mee te maken en deze bijvangst is zeer schadelijk voor de privacy van het individu als de gemeenschap in het geheel. Er is bij encryptie geen sprake van een gerichte tap voor alleen die bewuste verdachte. Een masterkey of achterdeur in encryptie biedt volledige inzicht in ALLES binnen dat bepaalde netwerk en niet de gerichtheid van een ouderwetse telefoontap. Ik weet dat Whatsapp end-to-end encryptie heeft, waardoor er al geen sprake kan zijn van een database met decryptiekeys. En zodra dat wel het geval is, ben je zeer kwetsbaar in de vorm van een hack of een overheid die meer wil dan is afgesproken.

LightofDarkness @pepsiblik • 9 november 2020 12:07

Codetaal kan ook gesproken worden hè. Misschien wel te verstaan, maar geen kaas van te maken.
Zo heeft volgens mij het verzet in WW2 ook gecommuniceerd.
Ik kan me voorstellen dat dit ook nu gewoon gebruikt wordt, met name in het criminele circuit.

Individuen hebben in mijn ogen het recht om privé te communiceren als ze dat willen. Dat ze daarbij zelf encryptie voor kiezen, omdat ze het communicatiemiddel niet vertrouwen, is geen bezwaar. De overheid kan daar in mijn ogen ook geen paal en perk aan stellen, omdat dat zou betekenen dat ook een eigen ontworpen encryptie per definitie strafbaar moet zijn, zowel gesproken, geschreven als digitaal.

tweaknico @LightofDarkness • 9 november 2020 15:19

Done: https://en.wikipedia.org/wiki/Windtalkers

nehal3m @pepsiblik • 9 november 2020 10:54

Post openen en (in het analoge tijdperk) telefoongesprekken aftappen droegen kosten met zich mee. Er stond een barrière tussen degene die de tap wilde plaatsen en degene die afgeluisterd moest worden: Het kost tijd, mankracht en geld om iemand op die manier in de gaten te houden.

In het digitale tijdperk gaat die vlieger niet meer op. Het is zo goed als gratis om ogenblikkelijk een tap te zetten. Dat is zelfs zo makkelijk dat je het voor honderdduizenden mensen tegelijk preventief kunt doen; van tevoren, zonder verdenking, alle data over iemand opslurpen voor het geval het later nodig blijkt te zijn.

Dat is het enorme verschil tussen toen die wetten zijn bedacht en nu en je gaat de mist in als je dat als reden aandraagt om diezelfde logica op moderne technologie toe te passen.

pepsiblik @nehal3m • 9 november 2020 11:21

Kan allemaal wel zijn, maar dat zijn geen redenen om het dus daarom niet meer toe te staan. Het zijn slechts redenen om het systeem aan te passen.

Tintel

Politiek en recht

@nehal3m • 9 november 2020 16:02

Aftappen kost ook in de moderne tijd geld en tijd. Nu is meer mogelijk en kan sneller toegang worden gekregen dus waarom is het dan nodig om het nog makkelijk te maken? Of bedoel je dat juist?

nehal3m @Tintel • 9 november 2020 16:18

Ik bedoel inderdaad dat het te makkelijk is geworden (als je in acht neemt dat de wetten die hierop van toepassing zijn geschreven zijn toen het nog betrekkelijk kostbaar was) om te tappen.

bytemaster460 @pepsiblik • 9 november 2020 10:33

Zo'n afspraken gelden altijd voor de situatie van dat moment. Het is niet zo dat wanneer er in de techniek iets verandert die afspraken zomaar opgerekt kunnen worden naar de nieuwe situatie. Voor nieuwe communicatietechnieken zijn nieuwe of aangepaste wetten nodig.
Behoefte aan toegang hoeft niet te betekenen dat de toegang ook verleend moet worden. Opsporing is niet het hoogste doel van een samenleving.

pepsiblik @bytemaster460 • 9 november 2020 12:04

Klopt. Maar dat wil niet zeggen dat je het dogmatisch kunt weigeren zelfs maar te bespreken. En dat is wat velen wel doen.

Mr_Tomatohead @pepsiblik • 9 november 2020 11:58

Volgens mij zit de crux erin dat met moderne technieken het relatief simpel is om met gigantische sleepnetten gigantische hoeveelheden data te verzamelen. Dat gebeurde vroeger op veel kleinere schaal en ook veel gerichter (omdat het duur en arbeidsintensief was).

pepsiblik @Mr_Tomatohead • 9 november 2020 12:05

En vergeet niet het principe van tussenkomst van een rechter. En dat principe zal er altijd zijn. En geen rechter heeft ooit sleepnetten goed gekeurd. Da's over het algemeen allemaal illegaal gebeurd.

daan9999 @pepsiblik • 9 november 2020 11:58

ja en dat is prima. ik zou het persoonlijk prima vinden als ze een zelfde soort tap zoals bij de telefoon lijn kunnen doen. ze kunnen alleen zien wat er gebeurt tijdens dat de tap actief is. niet alles wat een mogelijk crimineel op zijn telefoon heeft. in dat geval zou ik het prima vinden, maar niet encryptie ondermijnen voor het algemene "goed" lijkt mij een zeer slechte zaak.

zAb @Suncatcher • 9 november 2020 10:01

Nee dat wil je inderdaad niet, voorbeeld van afgelopen zomer;

De politie is zaterdagnacht na een melding van geluidsoverlast een woning van studentencomplex Uilenstede binnengetreden met een eigen elektronische sleutel, zonder toestemming van de studenten. Er werd van tevoren ook niet aangebeld.

PCG2020 @zAb • 9 november 2020 10:26

(...) melding van geluidsoverlast (...) Er werd van tevoren ook niet aangebeld.

Het is natuurlijk heel goed mogelijk dat de aanwezigen de bel niet gehoord hebben. Bij geluidsoverlast is er doorgaans sprake van veel herrie

zAb @PCG2020 • 9 november 2020 10:38

Dat is inderdaad geen gekke aanname, ik had in mijn post wellicht wat meer informatie
moeten geven waarom ik dit voorbeeld heb gebruikt.

Als je al kan spreken van een "gemiddelde" politie agent dan zal deze zich focussen op het oplossen van in dit geval een probleem met geluidsoverlast. Iedereen blij, buren kunnen weer slapen, probleem opgelost. Maar er is geen enkele waarborg dat het bezit en gebruik van deze sleutel enkel en alleen voor dit soort problemen gebruikt zal worden. En daar knelt het. Er is al meerdere malen aangetoond dat juist de mensen die ons zouden moeten beschermen het niet zo nauw nemen met die vervelende regeltjes. Ze doen immers goed werk en zonder hun inzet zou het allemaal veel onveiliger worden dus schiet nu maar op en geef ons toegang ja dat bevel van de rechter krijgt u wel later...

M3m30 @PCG2020 • 9 november 2020 11:01

In die zaak gaf de politie toe niet aan te hebben gebeld.. ze hebben de marsterkey gewoon gebruikt zonder na de denken of dat echt mocht.

cracking cloud @PCG2020 • 9 november 2020 12:06

De politie heeft zelf toegegeven dat ze niet hebben aangebeld: https://www.parool.nl/ams...de-onrechtmatig~bce08430/

De politie geeft toe dat agenten zaterdagnacht een woning van studentencomplex Uilenstede niet hadden mogen betreden. Na een melding van geluidsoverlast besloten ze met een eigen sleutel naar binnen te gaan – zonder toestemming van de studenten, en zonder aan te bellen

[...]

De tag, een elektrische sleutel, is inmiddels geblokkeerd.

Die sleutel is dus geblokkeerd, maar zo'n simpele ingreep zou je met encryptiesleutels niet kunnen doen denk ik? Want dan moet je alle eerdere data weer opnieuw decrypten (als dat al kan) en weer encrypten..

M3m30 @DigitalExorcist • 9 november 2020 10:08

Dan ben jij officieel aan het inbreken of leeft huisvredebreuk precies wat die agenten gedaan hebben.
Het is ook nog eens tegen alle privacy wetten... en wat als men dan dat geintje bij JOUW uit zouden halen?

DigitalExorcist @M3m30 • 9 november 2020 10:11

Ik zorg niet voor geluidsoverlast. Als iemand dat bij mij zou flikken zal het ongetwijfeld ook terecht zijn.

M3m30 @DigitalExorcist • 9 november 2020 10:20

Geeft de politie alsnog niet het recht om zomaar deuren in te trappen, daar moet de politie eerst zware redenen voor hebben... en let wel; de politie belden niet eens aan.
achteraf bleek geen enkele wet te zijn overtreden en als men de zaak nakeek.. zou de politie zelfs van geen enkele OVJ toestemming tot binnen treding hebben gehad.

FreshMaker @M3m30 • 9 november 2020 12:27

Hier de bron ( althans één van de bronnen ) want zoiets is makkelijk weg te zetten zonder vermelding
https://www.oozo.nl/hulpd...verlast-een-woning-van-st

Let wel, essentieel onderdeel van het artikel " Bericht afkomstig van Twitter"

Dus WIE is de oorspronkelijke berichtgever ?
Een student ? - dan is het makkelijk te zeggen 'ja, maar ze hebben niet eens aangebeld'
Of is het écht een journalist - en bij WIE heeft die zijn informatie dan weer weggehaald ?

De politie heeft geen 'eigen' sleutels, dus ( even waarschijnlijk ) hebben ze hun keycard gekregen van de huisbaas, of zelfs van een een niet uitgenodigde student

M3m30 @FreshMaker • 9 november 2020 12:42

In die situatie had de politie met toestemming een mastersleutel gekregen... maar die is na dit incident direct ingetrokken/geblokkeerd.

ImdaMned @DigitalExorcist • 9 november 2020 10:20

Jij vindt dat je niet zorgt voor geluidsoverlast. Ik vind dat echter wel en heb daarmee, volgens jou, het recht om jouw deur in te trappen.

Fijn he, dat "vinden"

Of zullen we ons gewoon aan de wetten houden van dit land?

DigitalExorcist @ImdaMned • 9 november 2020 10:43

De politie komt niet zomaar toevallig langs, die zijn gebeld of getipt door iemand die ergens last van had.

En hoezo trouwens een feestje afgelopen zomer. We zaten toen in een lockdown. Dat is al reden genoeg.

[Reactie gewijzigd door DigitalExorcist op 25 juli 2024 04:15]

M3m30 @DigitalExorcist • 9 november 2020 11:10

Het was een studentenhuis.. volgens de politie teveel inwoners... fout; alleen de geregistreerde bewoners waren in het huis.. en de politie ging erg ver om te kijken of iedereen 1,5M afstand hield tot in de slaapkamers aan toe.
In die studentenhuis verhaal... waren de feestbeesten de huidige bewoners.
De politie heeft toen onwettig het huis binnen getreden... dan zouden zelfs als er 1,5M tussen niet bewoners werd geschonden.. qua boetes onrechtmatig zijn geweest.
Maar goed.. in dit verhaal.. waren alleen de huidige bewoners in het pand... en nogmaals;
de politie heeft niet eerst aangebeld - gaven zij zelf toe... dat grapje deden ze niet 1 keer, maar 2 keer.

DigitalExorcist @M3m30 • 9 november 2020 11:11

Dan nog: degene die de politie gebeld heeft zal wel ergens last van gehad hebben.

Maar goed, studenten mogen alles flikken wat ze goeddunkt en de politie doet alles verkeerd. Kennelijk.

M3m30 @DigitalExorcist • 9 november 2020 11:24

wie zegt dat die persoon heeft geklaagd?
In dit verhaal waren zij de huidige bewoners en werden er geen wetten geschonden.. geen enkele en dan nog heeft de politie nog jij zomaar het recht om een huis binnen te treden.
Dat is zelfs bij wet verboden.
Inzake Corona wilde de ministers in de spoedwet opnemen dat men achter de deur mocht handhaven omtrent 1,5M wet... dit bleek echter van de grondwet en verdrag rechten van de mens niet te mogen.
Jouw gedachtegoed werkt enkel in een politie staat... ik raad jouw aan te kijken naar gameplay beelden van Watch Dogs legion... in die spel is er een politiestaat gaande... en dat is nooit fris.

DigitalExorcist @M3m30 • 9 november 2020 11:42

Kleine plothole: waarom kwam de politie daar überhaupt dan. Er zal toch iemand getipt hebben over een feestje of last gehad hebben van herrie of iets dergelijks. Of reden ze langs en konden ze de 'muziek' van binnen in de auto horen? ...

M3m30 @DigitalExorcist • 9 november 2020 11:52

Er bleek niets aan de hand te zijn.. totaal niets... dat is een feit.
Binnen het gezin mag je gewoon een feestje organiseren... en in dit huis was het wettelijk binnen het gezin situatie omdat alleen de huidige bewoners aanwezig waren.

bbob

Politiek en recht
Encryptie

@DigitalExorcist • 9 november 2020 10:06

m.a.w we moeten maar eigen rechter spelen ?
We leven is een land democratie / rechtsstaat waar iedereen rechten en plichten heeft.
Ook de Politie heeft zich aan de regels te houden, zo maar ergens n aar binnen gaan zonder wettelijke reden is niet wenselijk hoe logisch het ook is. Het is namelijk een glijdende schaal waar Politie dankbaar misbruik van maakt.

bbob

Politiek en recht
Encryptie

@DigitalExorcist • 9 november 2020 10:13

Iemand vermoorden mag ook niet, toch moet ook de Politie zich aan regels houden. Maar als je graag een Politiestaat wenst kun je je daar beter voor uitspreken.

M3m30 @DigitalExorcist • 9 november 2020 11:04

Laat ik even meegaan met jouw retoriek; stel jij had die deur ingetrapt.. dan was de overlastgever ermee weggekomen en had JIJ de nieuwe deur mogen betalen + een flinke boete... in een civiele procedure kan daar ook nog eens een schadevergoeding worden gehangen..

Nolimit89 @Suncatcher • 9 november 2020 10:01

Dan hang je een camera op.

Deleon78 @Nolimit89 • 9 november 2020 10:04

Ok, dan weet je misschien dat ze toegang hebben gehad. En dat geeft antwoord op de vraag hoe?

(Overigens hebben brandweer en volgens mij ook politie sleutels en codes voor bv toegangen tot gemeenschappelijke ruimtes)

Nolimit89 @Deleon78 • 9 november 2020 10:05

Je hebt ze net zelf de huissleutel gegeven, dus hoezo hoe?

Deleon78 @Nolimit89 • 9 november 2020 10:13

Volgens mij heb je niet door dat zijn vraag rhetorisch was en dat hij ondanks dat voor de zekerheid het antwoord eronder heeft gezet.

[Reactie gewijzigd door Deleon78 op 25 juli 2024 04:15]

Nolimit89 @Deleon78 • 9 november 2020 10:42

Ik geef gewoon antwoord op zijn vraag. Jij reageert op iets anders, en dan zou ik de vraag niet door hebben.

FreshMaker @Deleon78 • 9 november 2020 12:22

(Overigens hebben brandweer en volgens mij ook politie sleutels en codes voor bv toegangen tot gemeenschappelijke ruimtes)

Nee, al heel wat jaren niet meer, juist omdat de administratie en controle hierop te veel tijd in beslag nam.

Er bestaan nog wel procedures bij héle grote klanten, dat ze een ( eigen) sleutelkluis hebben in een buitenmuur, maar in de praktijk is het doorbeuken van de voordeur een effectievere oplossing.

mawashigeri @Suncatcher • 9 november 2020 10:48

Nee, die sleutel geef je niet af aan de politie. Grappig genoeg zijn wel alle voordeuren van huizen gemaakt zodat ze ingebeukt kunnen worden (naar binnen draaiend, een brandvoorschrift), hiervan maakt de politie ook graag gebruik.

stijn014 9 november 2020 10:06

Blijkbaar is het bronartikel wel erg kromgetrokken: https://twitter.com/iiyonite/status/1325573514305351687

CH4OS @stijn014 • 9 november 2020 10:56

Als je de tweet (en de thread) leest, schrijft Stefan Soesanto enkel dat er sites zijn die het artikel verkeerd overnemen en het nu brengen als 'Europa wil encryptie aan banden leggen', wat niet het geval is, iets wat het Tweakers-artikel ook niet impliceert.

EDIT:
Mijn reactie voor de zekerheid even verder verduidelijkt.

[Reactie gewijzigd door CH4OS op 25 juli 2024 04:15]

StefanJanssen @CH4OS • 9 november 2020 11:05

Toegang tot onversleutelde data, dat houdt in dat E2E Encryptie niet meer zou kunnen (mogen). En Stefan Soesanto zegt duidelijk dat ze dat niet willen.

JDVB @StefanJanssen • 9 november 2020 11:25

De bron die T.net aanhaalt zegt in de eerste paragraaf:

Im EU-Ministerrat wurde binnen fünf Tagen eine Resolution beschlussfertig gemacht, die Plattformbetreiber wie WhatsApp, Signal und Co. künftig dazu verpflichtet, Generalschlüssel zur Überwachbarkeit von E2E-verschlüsselten Chats und Messages anzulegen.

Mijn duits is goed genoeg om hieruit op te maken dat er wordt gesproken over een verplichte master decriptie sleutel voor Whatsapp, Signal en consorten. Stefan zegt dat men dat niet wil en dat dit ook niet in de draft staat die ook op die zelfde pagina staat.
Maar T.net heeft die eerste alinea hier nergens overgenomen, en daarom lijkt me die tweet hier niet op zijn plaats. T.net heeft hier zijn werk naar mijn idee beter dan hun bron gedaan.

[Reactie gewijzigd door JDVB op 25 juli 2024 04:15]

StefanJanssen @JDVB • 9 november 2020 11:35

Leg mij eens uit hoe je E2E wilt behouden zonder master sleutel terwijl de overheid wel mee kan kijken.

CH4OS @StefanJanssen • 9 november 2020 11:45

Daarom wordt dus gekeken naar wat de (on)mogelijkheden zijn, met o.a. researchers, de techindustrie en academici om te komen tot een voorstel.

[Reactie gewijzigd door CH4OS op 25 juli 2024 04:15]

JDVB @StefanJanssen • 9 november 2020 11:53

Hoe die toegang met behoud van sterke encryptie zou moeten verlopen, staat niet vermeld in de tekst. Die stelt alleen dat er een actieve discussie met de techindustrie op gang gebracht moet worden, en dat technische oplossingen moeten voldoen aan de principes van legaliteit, transparantie, noodzakelijkheid en proportionaliteit. "Omdat er niet één enkele manier is om deze doelen te behalen, moeten overheden, industrie, onderzoek en academies samenwerken om deze balans te creëren", staat in het rapport.

Dat is wat het T.net artikel daarover zegt. Als dat artikel het niet vermeld, hoe kun je dan van mij vragen dat wel te vertellen?
Soesanto klaagt over die eerste paragraaf en dat die niet overeenkomt met de draft (en dat kan ik begrijpen). Hij klaagt niet over de draft zelf die door T.net naar mijn idee correct weergegeven is.

Soesanto klaagt dus over het verschil verplichte masterkey versus niets noemen. Dus ook niet een verbod op E2E, er wordt niets genoemd. Dus nogmaals, de draft noemt geen verbod op E2E, dat meldt T.net ook niet, maar het bron artikel van T.net wat tevens die draft bevat, die bevat wel zaken die op dit moment zeker niet aan de orde zijn.

Dat er meer mogelijkheden zijn is overigens vrij evident. Wanneer ik mijn telefoon kwijt raak (encryptie sleutel is dan weg) en ik koop een nieuwe, kan ik toch mijn WhatsApp berichten weer lezen, ook oude berichten. Hierin zit zeker ook een mogelijkheid voor inspectie door overheden, zonder de reeds in gebruik zijnde encryptie voor een platform als WhatsApp te verzwakken ten opzichte van de huidige stand.

[Reactie gewijzigd door JDVB op 25 juli 2024 04:15]

StefanJanssen @JDVB • 9 november 2020 12:12

In het geval van Whatsapp zou dat inderdaad kunnen (blijkbaar heeft Whatsapp dan een masterkey). In het geval van Signal is deze data terughalen niet mogelijk (tenzij je zelf een backup hebt gemaakt). Signal heeft geen masterkey en zou dus wel zijn beveiliging moeten afzwakken. Ik zie niet wat de mogelijkheden daarmee zouden zijn.

JDVB @StefanJanssen • 9 november 2020 12:20

Als ik me niet vergis vraagt WhatsApp aan alle verzenders van berichten om de berichten opnieuw te versturen met jouw nieuwe sleutel.

Daarnaast kun je ervoor kiezen online backups te laten maken die ook zonder die sleutels in te zien zijn. Dan weet je meteen waarom Google de backups daarvoor niet laat meetellen voor je opslag quota. WhatsApp is dus wel volledig E2E, alleen maken vele mensen een niet versleutelde backup en kun je berichten nogmaals met nieuwe sleutels opvragen.

[Reactie gewijzigd door JDVB op 25 juli 2024 04:15]

WhatsappHack

Politiek en recht
Encryptie

@JDVB • 9 november 2020 14:05

Dat eerste geldt enkel voor berichten die nog niet afgeleverd zijn. Daarvoor verzoekt WhatsApp een hertransmissie aan de verzender ja.

Wat je zegt “ Dat er meer mogelijkheden zijn is overigens vrij evident. Wanneer ik mijn telefoon kwijt raak (encryptie sleutel is dan weg) en ik koop een nieuwe, kan ik toch mijn WhatsApp berichten weer lezen, ook oude berichten.” is uitsluitend mogelijk als je zelf een backup hebt gemaakt. Zonder backup is alles verloren. Deze backup kan je lokaal encrypted maken als je wil. In de cloud is het daarnaast ook encrypted, maar daarvoor heeft WhatsApp wel de sleutel. WhatsApp heeft echter de backup niet, dus je zult altijd twee bedrijven nodig hebben om te ontsleutelen: de cloud provider moet het bestand geven en WhatsApp de sleutel.

Jerie

@StefanJanssen • 9 november 2020 13:21

Door de data daarna weer te versleutelen en te uploaden naar een aangewezen server van de overheid? E2EE zegt niets over wat er gebeurd bij de twee endpoints. Er zijn hele hordes die hun WhatsApp geschiedenis netjes in de cloud (in de VS) zetten.

CH4OS @StefanJanssen • 9 november 2020 11:37

En Stefan Soesanto zegt duidelijk dat ze dat niet willen.

Dat is toch precies wat ik zeg?

Is althans wel hetgeen ik bedoel met

...wat niet het geval is...

in mijn vorige bericht.

[Reactie gewijzigd door CH4OS op 25 juli 2024 04:15]

StefanJanssen @CH4OS • 9 november 2020 11:49

Ik snap dan denk ik niet wat Stefan Soesanto hier probeert te zeggen. Ontkent hij dat de EU aan het discussiëren is over mogelijkheden van het meekijken van de overheden bij encrypted data? Zoniet dat zijn ze er toch mee bezig om te kijken wat de mogelijkheden zijn om encryptie aan banden te leggen? Encryptie is een gevalletje van alles of niets namelijk.

CH4OS @StefanJanssen • 9 november 2020 11:53

Stefan zegt de volgende dingen:

Er zijn sites die de verkregen informatie verkeerd interpreteren en daardoor FUD-artikelen online hebben staan;
De EU is al maanden, zo niet jaren, bezig om het mogelijk te maken dat autoriteiten toegang kunnen krijgen tot versleutelde data;
Men begrijpt dat versleuteling nodig is in het kader van de privacy;
Men wil de autoriteiten tools en middelen geven, om de versleutelde informatie wanneer nodig, ontsleuteld kan krijgen;
Er komt geen verbod op het gebruik van versleuteling/encryption an sich.

Een verbod op versleuteling/encryption zou dan zelfs HTTPS-verbindingen illegaal maken, terwijl ze wel degelijk nodig zijn anno 2020. Alleen wanneer je dus iets op je kerfstok hebt, wil men wel jouw data kunnen ontsleutelen, wat de FBI dus ook wilde inzake vele iPhones, om een voorbeeld te noemen.

[Reactie gewijzigd door CH4OS op 25 juli 2024 04:15]

StefanJanssen @CH4OS • 9 november 2020 12:07

Men wil de autoriteiten tools en middelen geven, om de versleutelde informatie wanneer nodig, ontsleuteld kan krijgen;

Dit houdt dan toch in dat ze een sleutel nodig hebben toch? Iets dat met E2E niet mogelijk zou zijn.
Het wordt niet specifiek genoemd in dit artikel maar zover ik weet wel de enige conclusie die je eruit kan trekken.
Het kan prima zijn dat ik er naast zit en dat encryptie en een overheid die mee kan kijken hand in hand gaan maar ik zie niet hoe, noch zie ik iemand die wel met een oplossing komt.

CH4OS @StefanJanssen • 9 november 2020 12:19

Of ze een sleutel nodig zijn, hoe dat er vervolgens uit gaat zien, wie dat gaat auditen en weet ik het wat allemaal, daar zoeken ze de komende dagen dus input voor.

Maar om even een voorbeeldje te geven waarbij niet direct een sleutel nodig is; Als de benodigde data toegankelijk is vanaf/via bijvoorbeeld een telefoon (en er dan even van uitgaan dat unlocken van de telefoon afdoende is), kan het natuurlijk voldoende zijn om mogelijkheden te hebben om de telefoon te ontgrendelen en hoeft er niet zozeer meer data ergens naartoe geëxporteerd en vervolgens ontsleuteld te worden.

In concreto hoeft het dus niet een achterdeur te zijn om de data aldaar te ontsleutelen, maar om mogelijkheden te hebben om toegang te krijgen tot de ontsleutelde data.

[Reactie gewijzigd door CH4OS op 25 juli 2024 04:15]

Aftansert @stijn014 • 9 november 2020 11:05

Ik snap niet zo goed waarom het op het forum van Tweakers niet toegestaan is om linkdrops te doen, en het onder nieuwsartikelen schering en inslag is. De forumregels zijn wat mij betreft erg doeltreffend. Zet hier eens in je eigen woorden neer wat je bedoelt, en til daarmee de conversatie naar een beter niveau!

[Reactie gewijzigd door Aftansert op 25 juli 2024 04:15]

stijn014 @Aftansert • 9 november 2020 11:16

Omdat de woorden van een cyber defense researcher belangrijker zijn dan mijn eigen woorden?

ACM Software Architect @stijn014 • 9 november 2020 11:27

Maar waarom citeer je die woorden dan niet, met daarbij dan het linkje dat je dropt?

Aftansert @ACM • 9 november 2020 11:35

Nee, niet citeren, in eigen woorden uitleggen welk punt je probeert te maken. Dan ontstaat er (mogelijk) een gedeeld begrip van het gelinkte, of bijvoorbeeld een constatering dat iemand niet goed begrijpt wat er in de gelinkte tekst wordt beweerd.

[Reactie gewijzigd door Aftansert op 25 juli 2024 04:15]

ACM Software Architect @Aftansert • 9 november 2020 11:35

Dat is inderdaad nog beter. Maar domweg verwachten dat iedereen hier even op Twitter gaat lezen wat er dan staat, maakt het helemaal een nutteloze post.

Raymond Deen @stijn014 • 9 november 2020 11:23

Ik snapte het artikel ook al niet zo goed, want E2E wel toestaan, maar wel onversleuteld uit kunnen lezen is natuurlijk behoorlijk tegenstrijdig.

Los daarvan: ik neem aan dat de bedrijven als Whatsapp niet verplicht worden om alle berichten die langs hun systemen komen daadwerkelijk te bewaren voor een X periode na ontvangst. Dan zouden de harddisks ineens wereldwijd een stuk duurder worden, net als de voor decryptie geschikte systemen die alles dan over moeten zetten....

Wolfos 9 november 2020 10:01

En had dat die aanslag daadwerkelijk voorkomen of zijn ze weer in het wilde weg aan het schieten? Dit valt natuurlijk niet te rijmen met de wens tot privacy.

Havelock @Wolfos • 9 november 2020 10:21

En had dat die aanslag daadwerkelijk voorkomen of zijn ze weer in het wilde weg aan het schieten? Dit valt natuurlijk niet te rijmen met de wens tot privacy.

Ik dacht gelijk aan deze criminoloog die zelfde als jij zegt In dit filmpje :
https://youtu.be/gJDA4t6lIgY

bytemaster460 @Wolfos • 9 november 2020 10:49

Het aftappen om een aanslag of schietpartij te voorkomen is symptoombestrijding. Men moet veel meer naar de oorzaken gaan kijken en problemen moeten durven benoemen zodat er helemaal geen plan voor een aanslag of schietpartij ontstaat. Zo zou het moeten werken. Dan is er ook bijna geen privacyschending nodig.

stresstak @bytemaster460 • 9 november 2020 12:24

Men moet veel meer naar de oorzaken gaan kijken en problemen moeten durven benoemen zodat er helemaal geen plan voor een aanslag of schietpartij ontstaat. Zo zou het moeten werken.

Aanslagen kunnen zomaar uit de lucht komen vallen. Als Charlie Hebdo geen spotprenten had gemaakt, had er geen aanslag plaatsgevonden. Spotprenten dan maar verbieden.?
Overigens kunnen aanslagen prima worden beraamd zonder (al dan niet versleutelde) telefoongesprekken.

bytemaster460 @stresstak • 10 november 2020 10:42

Aanslagen komen niet zomaar uit de lucht vallen. Wat ik bedoel is dat je veel meer moet kijken naar waarom mensen aanslagen willen plegen en die redenen ook gewoon onomwonden bij de naam noemen zodat je er effectief tegen kunt optreden. We weten dat bepaald cultureel en religieus gedachtegoed de westerse vrijheden niet accepteert en wat we doen is niet dat extremistisch gedachtegoed aanpakken, maar wachten totdat er een aanslag aanstaande is. De ene keer zijn we dan op tijd met voorkomen en de andere keer zijn we te laat.

stresstak @bytemaster460 • 10 november 2020 13:25

... wat we doen is niet dat extremistisch gedachtegoed aanpakken,

Dat kan ook niet. Er bestaan nu eenmaal extremisten die het een plicht en een eer vinden hun religie te verdedigen. Zie Bouyeri..

bytemaster460 @stresstak • 10 november 2020 17:15

Dat moet je niet per persoon aanpakken maar veel breder. Er zijn allerlei landen die hun vrijheid niet laten gebruiken om extremistisch gedachtegoed te laten bloeien.

dasiro @Wolfos • 9 november 2020 10:09

criminelen willen ook privacy, slachtoffers gerechtigheid en de overheid toegang tot data van de criminelen voor die gerechtigheid. Ergens zal die vicieuze cirkel doorbroken moeten worden.

walteij @dasiro • 9 november 2020 10:20

Dat kun je doen door gedegen onderzoek, investeren in kennis van de onderzoekers en vooral minder afhankelijk zijn van sleepnetten en verboden op encryptie.
Gericht onderzoek, dus als een sluipschutter goed zoeken naar het juiste doel en dan 1 keer schieten en raken, in plaats van in het rond schieten met hagel en hopen dat je het juiste raakt (in plaats van heel veel ongerelateerde onzin).

[Reactie gewijzigd door walteij op 25 juli 2024 04:15]

dasiro @walteij • 9 november 2020 11:29

dat is het juist: er wordt helemaal niet in het rond geschoten. Om je sniper-analogie in perspectief te plaatsen: er is een sniper-patch: "it takes a sniper to kill a sniper", maar als je niet met dezelfde regels werkt, is het bijna onmogelijk om die ene keer te kunnen schieten en als er dan iemand een bulletproof glazen wand in je vuurlijn zet, dan kan je hem wel zien en schieten, maar niet doden.

met encryptie kan je lekker voor een rechter staan en een encrypted document typen: ik heb het slachtoffer vermoord en zo heb ik het gedaan, je telefoon dan afgeven en zeggen dat je verklaring er op staat. "the perfect crime" bestaat wel degelijk en door encryptie toe te laten maak je het enkel makkelijker.

walteij @dasiro • 9 november 2020 11:50

Om je rechter analogie te 'pareren', jij hoeft bij de rechter niet eens een encrypted briefje met je bekentenis op te schrijven. Het is de taak van het OM om jouw schuld te bewijzen en daarvoor hoeven ze lang niet altijd encryptie te omzeilen. Het is aan jou en je advocaat om de bewijzen van het OM te ontkrachten en zelf bewijs aan te voeren waarom je onschuldig bent.

Een rechtszaak waar alleen bewijs wordt geleverd dankzij decrypted berichten, is de veroordelingskans relatief klein, want er moet echt wel wat meer bewijs worden geleverd, De verdediging kan immers beargumenteren dat de decryptie methode niet juist was.

Ik ben van mening dat gedegen onderzoek niet valt of staat bij het (massaal) aftappen en decrypten van berichten, je maakt het zoeken immers alleen maar moelijker. Om er een andere anologie bij te halen, de hooiberg wordt vergroot, maar de zoekmethode naar de naald in die hooiberg blijft hetzelfde (lees: slecht en ondermaats).

dasiro @walteij • 9 november 2020 21:27

tja, encryptie maakt de hooiberg de grootte van de Kazachstan en je mag geen metaaldetector gebruiken, want dan zoek je gericht naar bewijs tegen een schuldige ipv bewijs dat naar een schuldige lijdt.

walteij @dasiro • 10 november 2020 07:29

Bewijs is over het algemeen ook meer dan voldoende in de echte wereld te vinden, en zeer zeker niet alleen in de digitale wereld.
Dat is meer mijn punt. Beveiliging en encryptie van draagbare devices (telefoons, laptops, tablets) is allemaal erg eenvoudig geworden. Maar fysieke dingen (papier, gedrag, contactpersonen) is minstens zo veel bewijs uit te halen, alleen kost het meer werk.

dasiro @walteij • 10 november 2020 10:22

je vergeet dat er ook enorm veel online criminaliteit is waar in de fysieke wereld geen enkel spoor van te vinden is en een wallet hebben met 200 bitcoins in

walteij @dasiro • 10 november 2020 10:46

Nee, dat vergeet ik niet.
Gelukkig zijn bitcoins niets anders dan een digitaal grootboek, waarin alle verhandelingen worden vastgelegd en is er een goed overzicht van transacties, die ook nog eens non-encrypted zijn (vastleggen transactie is iets anders dan encrypted data verzenden).

Maar daar gaat het in dit artikel niet om. Het artikel (en de bron waarop dit artikel is gebaseerd) richt zich op georganiseerde misdaad en terrorisme. En voor beiden is er in de fysieke wereld echt wel voldoende bewijs te behalen. Bewijs dat ondersteund kan worden met digitaal bewijs. Digitaal bewijs dat je, als je in de fysieke wereld kunt aantonen dat er iets niet in de haak is, kunt verzamelen door gericht een aanval te doen op de apparaten van de betrokken personen, zodat je de data die op de toestellen staat kunt inzien, want op het toestel is een decryptiesleutel aanwezig.
Daarvoor hoef je dus helemaal geen enkele encryptie te verbreken, geen enkele leverancier hoeft hierbij dan zijn encryptie protocollen te verzwakken, waarmee je veel meer mensen vatbaar maakt voor kwaadwillenden die het lek in de encryptie gaan misbruiken.

Gericht schieten ipv met hagel is echt wel de betere oplossing.

dasiro @walteij • 10 november 2020 13:22

het voorbeeld van jullie minister is kinderporno en je blijft voorbij gaan aan het feit dat je soms wéét dat je bewijs in handen hebt, omdat je bvb bent binnen gevallen en een half serverpark in beslag hebt genomen inclusief camerabewaking in een appartement dat verder helemaal kaal was. Jij zegt dan: pech jongens, ga maar iets anders zoeken, want dit mag je niet gebruiken.

walteij @dasiro • 10 november 2020 13:34

Nee, dat zeg ik niet. Dat is jouw conclusie.
In jouw voorbeeld is er dus aanleiding gevonden voor een inval, waarbij er een serverpark in beslag wordt genomen. Ik zeg nergens dat de onderzoekers dit dan niet mogen onderzoeken en proberen te kraken.
Ze hebben namelijk al een inval mogen doen, dus hebben ze voldoende bewijst om het serverpark in beslag te nemen en aan een gedegen onderzoek te onderwerpen. Dat datadecryptie daar een onderdeel van gaat zijn is niet zo heel vreemd.

Ik zeg dat je niet op voorhand aan leveranciers moet gaan vragen om een backdoor, waardoor de encryptie omzeilt of buiten werking kan worden gesteld. Dat is een te groot risico. Ook wordt het dan te makkelijk voor opsporingsdiensten om die backdoor te misbruiken op grotere schaal (ieder jaar worden AIVD en MIVD op de vingers getikt omdat ze iets verkeerd hebben gedaan).

ik zeg juist: zorg voor gedegen onderzoek en lever bewijs, zodat je een zo klein als mogelijke groep kunt aanwijzen waarvan de data decrypt moet worden. Verklein de hooiberg en ga dan pas zoeken.

CH4OS @Wolfos • 9 november 2020 11:43

De aanslag in Zwitserland staat er los van, zie ook stijn014 in 'nieuws: EU-Raad: Autoriteiten moeten toegang tot onversleutelde ...

bArAbAtsbB 9 november 2020 09:59

Ik snap best dat de Politie ed toegang willen tot die data, en persoonlijk vind ik het prima zoals het nu is...de rechter moet erover beslissen en niet een of ander EU wetje wat het inbouwen van een achterdeur verplicht maakt!

Die achterdeur kan daarna ook weer misbruikt worden door criminelen!

pepsiblik @bArAbAtsbB • 9 november 2020 10:12

Ten eerste moet je dit op EU niveau regelen, want anders wordt het vanuit software oogpunt een zootje. En daarnaast roept dit document niet op tot achterdeuren, maar tot een discussie met de tech industrie om iets te verzinnen wat equivalent moet zijn aan het huidige recht om post en telefoonverkeer in te kunnen zien.

Californication @bArAbAtsbB • 9 november 2020 10:03

Whatsapp heeft die achterdeur al. Ze zeggen wel end-to-end encryptie. Maar daar zit whatsapp en dus facebook gewoon tussen in.

3raser @Californication • 9 november 2020 10:14

Je zou een stuk geloofwaardiger over komen als je even een bron linkt. Want het klinkt nu gewoon alsof je geen idee hebt waar je over praat.

Natuurlijk zit Whatsapp ertussen. Het voordeel van end-to-end encryptie is juist dat het niet uit maakt wie er tussen zit. De verzender versleuteld en de ontvanger ontsleuteld. Whatsapp mag het versleuteld bericht alleen doorgeven maar heeft geen sleutel.

Californication @3raser • 9 november 2020 10:21

Mee eens.
Ik heb het ooit gelezen op hun eigen site, en had het moeten screenshotten. Dus ik kan het helaas niet meer hard maken dat ze het zelf toe gaven.
Er is nog wel een dikke discussie over het geval wanneer je de app op een andere telefoon installeert etc en een key change krijgt. Aparte is dat die nieuwe key jouw berichten kan ontcijferen...

Hier een linkje daar over. Heel veel andere sites debunken dat het een backdoor is perse en denk dat dat gedeelte ook niet zo is. Meer een grote veiligheids risico.
https://www.counterpunch.org/2017/01/18/the-whattsapp-scandal/

Stoelpoot @Californication • 9 november 2020 11:29

Aparte is dat die nieuwe key jouw berichten kan ontcijferen...

WhatsApp heeft nooit berichten op hun servers opgeslagen, behalve een verzend-queue. Het dichtste bij komt hun back-up implementatie via Google Drive. Berichten op je telefoon zijn de 'E' in 'E2E' al voorbij en dus al decrypted. Dit is ook waarom WhatsApp Web op zo'n rare manier werkt: Berichten moeten eerst op je telefoon encrypted worden en worden pas op de telefoon van de ontvanger decrypted.

Het is jammer dat in je link de bronvermelding incompleet is, waardoor het lastiger is de claims te controleren. Op 1 van de blogs die wordt genoemd staat wel een mogelijke aanval op WhatsApp beschreven, maar die heeft niet te maken met het E2E proces maar met de key exchange.

svane @Californication • 9 november 2020 14:07

@3raser Californication doet niet aan bronnen geven, die moet je zelf opzoeken, ook als die bronnen niet blijken te bestaan. Als je die niet bestaande bronnen vervolgens niet kan vinden wordt je dommer dan dom genoemd

@Californication Ahhh wat toevallig. Whatsapp gaf het zelf toe, maar hebben het inmiddels weer van de site gehaald.

Whatsapp zal vast ook wel archive.org omgekocht hebben om die teksten uit de opgeslagen pagina's te halen.

Ook heeft geen enkele nieuwssite hierover een bericht geplaatst, 1 groot complot! $_/-\o_$

B0KIT0 @3raser • 9 november 2020 10:25

...maar heeft geen sleutel.

Zeggen ze.

Zyppora @3raser • 9 november 2020 10:38

Het probleem is alleen dat facebook in de volgende update van whatsapp het encryptiemechanisme zo kan aanpassen dat het te versturen bericht twee keer wordt versleuteld: met de sleutel van de ontvanger, welke vervolgens naar die ontvanger wordt verstuurd alsof er niets aan de hand is, en een kopie van het bericht met een sleutel van henzelf, wat naar de fb servers verzonden wordt 'voor marketing doeleinden en het verbeteren van de service en gebruikerservaring'. In die zin kan fb ondanks e2ee, en zonder afbreuk te doen aan encryptie an sich, toch meelezen.

Realiseer je ook dat dit niet in de volgende update van whatsapp hoeft te gebeuren, maar al in de vorige update kan zitten, en dus al actief kan zijn. De beschuldiging uiten doe je inderdaad niet zonder iets van onderbouwing, maar de mogelijkheid is zeer zeker aanwezig.

bytemaster460 @Californication • 9 november 2020 10:36

Dat weet ik niet. Dat wordt vooral geroepen door mensen die Whatsapp niet vertrouwen. Aanwijzingen of bewijzen hiervoor heb ik nooit gezien. Sinds de onthullingen van Snowden kijken bedrijven wel uit om te beweren dat voor hen iets absoluut niet inzichtelijk is terwijl er dan toch een backdoor is.

rik86 @bArAbAtsbB • 9 november 2020 10:29

maar is 't probleem dat ze proberen te tackelen niet juist dat als de rechter beslist dat ze bij de data moeten kunnen ze dat toch niet kunnen?

Ample Energy 9 november 2020 10:03

"De EU-Raad roept op om tot 'een betere balans' tussen encryptie en beveiliging te komen."

Geen speld tussen te krijgen. Sterker nog: voor een betere balans wil ik een agent aan het voeteneinde van mijn bed. 2 eigenlijk. Want de communicatie tussen mijn vriendin en mij is nu privé en soms aardig in geheime taal, maar de beveiliging kan altijd beter. Ik fluister voortaan alles wel naar mijn agent en die kan dan overleggen met zijn chef en Grapperhaus en daarna vertelt hij het de agent van mijn vriendin en zo zal er nooit een nare egoïstische overheid over mijn gedachten kunnen beslissen.

Tintel

Politiek en recht

@Ample Energy • 9 november 2020 15:39

Zoals de waard is vertrouwt hij zijn gasten...

Blijkbaar zijn we bij voorbaat allemaal verdacht.

En altijd om die duizenden(?) terroristen en pedofielen op te pakken...

hackerhater 9 november 2020 10:09

Er is 1 mogelijkheid dat de sterkte van de encryptie niet aan tast:
Dat ze via de maker van de applicatie een 2e paralelle versleuteling kunnen activeren per gebruiker. (update naar het toestel)
Vergelijkbaar met een tap.

Dit geeft de optie om gericht af te luisteren, maar verhinderd sleepnetten.

Coffee @hackerhater • 9 november 2020 10:24

Als dit met gericht per gebruiker kan, wat weerhoudt de ingerichte inzet van deze technologie dan?

Nee, ik denk dat onverzwakte encryptie kraken (bijv. d.m.v. ouderwets politie/speurwerk, denk aan Encrochat) de enige manier is om te garanderen dat het zaakje niet schaalbaar wordt.

hackerhater @Coffee • 9 november 2020 10:28

Goede encryptie is niet realitisch te kraken, dat is het hele probleem.

Dit verhinderd gerichte inzet ook niet, al is een gerechtelijk bevel een grote rem, dat is ook het punt.
Ze kunnen dan gericht tappen zoals ze nu met de telefoon ed kunnen doen.

Maar een hele stad of meer af luisteren in 1 keer kan dan niet.

Het is alleen iets wat wel ingebouwd moet worden, en persoonlijk zie ik dit als de enige manier zonder de encryptie te verzwakken.

Let wel: De echte hoge criminelen pak je hier niet mee. Die schrijven gewoon hun eigen communicatie aps.

[Reactie gewijzigd door hackerhater op 25 juli 2024 04:15]

Coffee @hackerhater • 9 november 2020 11:03

Dan moet er een andere wijze gevonden worden om toch de informatie te ontsleutelen. Daarbij vindt je altijd na enige tijd wel kwetsbaarheden.

Ik snap trouwens nog steeds niet hoe een gerechtelijk bevel kan tegenhouden dat een hele stad of meer in één keer afgeluisterd kan worden. Als de technologie bestaat, dan is het toch een kwestie van tijd voor er misbruik van gemaakt wordt?

Ik heb de Nederlandse rechterlijke macht wel hoog zitten hoor, maar ik twijfel juist bij de uitvoerende macht. We kunnen uit het verleden opmaken dat regels regelmatig ‘anders geïnterpreteerd’ worden, om het maar zacht uit te drukken.

Daarbij, wie zegt dat een toekomstige golf aan desinformatie, in combinatie met terroristische acties, niet tot een wijziging in prioriteiten leidt?

[Reactie gewijzigd door Coffee op 25 juli 2024 04:15]

hackerhater @Coffee • 9 november 2020 11:09

Niemand, dit is een gevalletje dammed if you do, dammed if you don't.
Maar door het onder de regels van gewone taps te laten vallen is er al een flinke drempel om er gebruik van te maken.

In ieder geval kan justitie dan hun werk doen, maar is massaal afluisteren niet mogelijk en de kans op misbruik een stuk kleiner.
Nu is Nederland wel kampioen afluisteren, maar een paar 100.000 zijn nog altijd minder dan like 12 miljoen mensen (even alle kinderend ed niet meetellen)

MSalters

Politiek en recht

@Coffee • 9 november 2020 10:44

Encrochat is een onbedoelde achterdeur. Wil je nu stellen dat de politie alleen gebruik mag maken van zo'n achterdeur als die per ongeluk is aangebracht?

Coffee @MSalters • 9 november 2020 10:59

Nou, ik bedoel dat ik vind dat er wel (binnen redelijkheid) slim gebruik gemaakt kan worden kwetsbaarheden gericht op een specifieke groep waarvan, na deze met bewijs in verband gebracht kan worden met (georganiseerde) criminaliteit.

Maar, ik moet zeggen dat ik niet specifiek op de hoogte ben van de wijze waarop Encrochat is overgenomen.

In mijn bericht was ik vooral aan het nadenken over hoe voorkomen kan worden dat aftappen schaalbaar is, en dus te voorkomen dat elke burger bij voorbaat verdachte gemaakt kan worden. Zoals al eerder benoemd is in de comments zullen de echte criminelen gebruik maken van tools die geen ingebouwde achterdeur hebben (Encrochat kennelijk daarbuiten gelaten).

[Reactie gewijzigd door Coffee op 25 juli 2024 04:15]

WhatsappHack

Politiek en recht
Encryptie

@Coffee • 9 november 2020 14:00

Enrochat was in de basis al compleet debiel opgezet, dat was een recipe for disaster zegmaar.

aequitas

@hackerhater • 9 november 2020 10:31

Dus als crimineel kan je dus detecteren wanneer die 2e versleuteling wordt geactiveerd en weet je dat je kanaal compromized is. Erger nog, je weet dus dat je afgeluisterd wordt en kunt dus meer op je hoede zijn. Dit help niet in de opsporing.

hackerhater @aequitas • 9 november 2020 10:33

Als je goed genoeg bent om de code te veranderen ja.
Dat is niet veel anders dan apparatuur die een tap detecteerd op je telefoonlijn.
Anders hoeft dat echt niet op te vallen.

Let wel: De update hoeft niet via de stores te komen!
Het kan simpelweg een extra reactie zijn op de keep-alive die de app naar de centrale server doet.

[Reactie gewijzigd door hackerhater op 25 juli 2024 04:15]

Coffee @hackerhater • 9 november 2020 11:11

Waarom zou een crimineel gebruik maken van een app met een ingebouwde kwetsbaarheid?

hackerhater @Coffee • 9 november 2020 11:13

Omdat het gros van de criminelen hier niet bij stilstaat of te dom is om het uberhaupt te beseffen?
Net als het gros van de doorsnee mensen.

Alleen de hoge jongens vang je hier niet mee, maar dat is like 0.01% van de criminelen of zo.

aequitas

@hackerhater • 9 november 2020 12:07

Je hoeft niet goed te zijn in code veranderen. Je kunt dit gewoon als product afnemen zoals encrochat.

En technisch gezien, zodra het iets is waar de app op moet reageren (wat well moet als je echt e2e verkoop zonder dat de server zich er mee bemoeit) dan moet dat logische keuze pad ergens in de code terugkomen. Hoe geheim het berichtje ook is, het is altijd wel te reverse engineren.

Stromboli @hackerhater • 9 november 2020 15:13

Wat weerhoudt criminelen ervan om eigen applicaties te gebruiken waar zo'n backdoor niet in zit?

hackerhater @Stromboli • 9 november 2020 16:17

De slimme? Niets.
Net als nu niets ze tegenhoud om een andere app dan de mainstream te gebruiken.

Echter dan praat je wel over de grote vissen, niet de standaard (straat)crimineel waar het meeste overlast van is.

En het is de EC een "bot" toegooien zodat ze rustig zijn en van de normale versleuteling af blijven

[Reactie gewijzigd door hackerhater op 25 juli 2024 04:15]

Single Core 9 november 2020 09:56

End-to-end encryption enters the chat ...

brinkie2004 9 november 2020 10:02

Dat dit op de lange termijn iets gaat opleveren in het kader van enige vorm van misdaadbestrijding is in mijn ogen echt een utopie. Je kunt wettelijk veel afdwingen bij commerciële partijen, maar als men (de criminele wereld) daar de gewenste "veiligheid" niet kan vinden, dan ontstaan er toch vanzelf alternatieven buiten de gereguleerde commerciële partijen om?

dixet 9 november 2020 10:06

Als autoriteiten rechtmatig toegang tot data krijgen is het door encryptie in de praktijk niet mogelijk die te lezen of te gebruiken

Als autoriteiten rechtmatig toegang tot data krijgen - lees: via een gerechtelijk bevel - dan maakt het toch niet zoveel uit of de data geëncrypt is of niet? Als ze via dat bevel beslag mogen leggen op álle data zit de private sleutel daar ook bij.

Als de verdachte die private sleutel ergens anders heeft opgeslagen en de autoriteiten daar geen toegang toe hebben is óf het gerechtelijk bevel te beperkt geweest, of het gaat om een wachtwoord in het hoofd van de verdachte die hij/zie niet hoeft af te geven omdat je niet mee hoeft te werken aan je eigen veroordeling. Dat laatste zou misschien nog onderdeel van de discussie kunnen zijn, het beperken van encyptie omdat sómmige data misschien voor criminele doeleinde gebruikt wordt natuurlijk niet.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (384)

Sorteer op:

Weergave: