Europol bouwt decryptieplatform waarmee politie data kan ontsleutelen

Europol begint met een decryptieplatform waarmee versleutelde data in onderzoeken kan worden gekraakt. Details over het platform maakt de politiedienst niet bekend. Europol noemt het project een mijlpaal in de strijd tegen terrorisme en misdaad zonder encryptie af te zwakken.

Het project heet het Europol Decryption Platform. Politiediensten uit Europese lidstaten kunnen gebruik maken van het platform om data te ontsleutelen die het in criminele onderzoeken heeft buitgemaakt. Het platform is van Europol maar is opgezet in samenwerking met het Joint Research Centre van de Europese Commissie. Europol heeft drie jaar aan het platform gewerkt.

Volgens Europol kunnen deelnemende politieorganisaties data ontsleutelen 'op een veilige manier terwijl ze fundamentele rechten blijven respecteren'. "We hebben een significante stap gezet richting het bestrijden van misbruik van encryptie met het doel om onze samenleving veilig te houden terwijl we fundamentele rechten behouden", zegt Europol-directeur Catherine de Bolle.

Hoe het platform werkt is niet bekend. Europol zegt niet welke software- en hardwaretools het gebruikt voor het ontsleutelen. Ook is niet bekend onder welk legaal framework versleutelde bestanden ontsleuteld mogen worden. Eerder dit jaar dook nog een document op waarin werd gesproken over een decryptieplatform. Dat maakt gebruik van 'nieuw verkregen processorkracht om de snelheid en efficiëntie van het kraken van versleutelde data te verbeteren'.

Reacties (116)

Anoniem: 428562 18 december 2020 15:58

De laatste jaarrekening die ik zie is van 2019.

In 2019 was er een budget van 121.000 euro voor het decryptie platform.
Pagina 50 van onderstaand verslag.

https://www.europol.europ...e_financial_year_2019.pdf

Ben benieuwd hoeveel ze dit jaar uitgeven, volgend jaar opnieuw de jaarrekening even bekijken, maar voor 120000 euro koop je niet een wereldschokkend snelle computer.

[Reactie gewijzigd door Anoniem: 428562 op 30 juli 2024 11:03]

kidde @Anoniem: 428562 • 18 december 2020 23:00

In 2019 was er een budget van 121.000 euro voor het decryptie platform.

Geloof ik niet. Pagina 43 laaste paragraaf:

the one-off amount of € 5M for the Decryption Platform

[Reactie gewijzigd door kidde op 30 juli 2024 11:03]

_Eend_ @Anoniem: 428562 • 18 december 2020 16:30

121.000 euro is echt niet veel.. Daar kun je iemand van inhuren met een leuke PC, leuk kantoor en wat trainingen en dan is het geld wel zo'n beetje op..

Anoniem: 428562 @_Eend_ • 18 december 2020 16:40

Terahash.com verkoopt een password crackers met 10 GPU's met de naam "The Inmanis" voor 32000 dollar.

Met het budget van 2019 kunnen ze dus 4 van die machines kopen.

MSalters

Politiek en recht

@Anoniem: 428562 • 20 december 2020 22:44

Kidde haalde al een budget van 5 miljoen aan; dat zou dus voldoende zijn voor een cluster van 150 van die machines (en 1500 GPU's). Ik kan me voorstellen dat je zoiets als een gedeelde omgeving voor de EU beschikbaar hebt. Het is net iets te gevoelig om in de publieke cloud te doen, maar tegelijkertijd heeft niet elk land een gestage stroom aan passwords die gekraakt moeten worden. Dan is een private cloud een goede oplossing.

tweaknico @_Eend_ • 20 december 2020 00:42

voor dat bedrag huur je een consultant (voor een deel van het jaar) in die het platform gaat bouwen....
De latere jaarrekeningen zullen vermoedelijk een ander beeld geven...

Het.Draakje @Anoniem: 428562 • 18 december 2020 16:38

Maar voor 121.000 euro kocht je in 2019 je wel een redelijk marktonderzoek, zodat je weet wat je in 2020 aan kan schaffen. Ik zie trouwens ook wat andere bedrag:

Expenditure 2019: (pagina 43)
budget 2019 excluding the one-off amount of € 5M for the Decryption Platform (carried forward from 2018). Waarvan 4,876,729 valt onder het kopje "Paid" (pagina 54)

Daar kan je toch wel een aardige laptop voor kopen.

Jace / TBL

Encryptie

@Anoniem: 428562 • 18 december 2020 21:37

Ook met een computer die wel wereldschokkend snel is (of een heel serverpark vol zulke computers) kraak je geen encryptie.

Althans geen fatsoenlijke encryptie zoals AES, ChaCha, Camellia, enz.

Tk55 18 december 2020 15:03

Daar gaan we weer...

Europol begint met een decryptieplatform waarmee versleutelde data in onderzoeken kan worden gekraakt.

Ik ben heel benieuwd hoe Europol het voor elkaar krijgt om versleutelde data te kraken. Hedendaagse sleutels worden allemaal zo genereerd dat de computertijd simpelweg te lang is om de versleuteling te kraken.

Europol noemt het project een mijlpaal in de strijd tegen terrorisme en misdaad zonder encryptie af te zwakken.

Volgens Europol kunnen deelnemende politieorganisaties data ontsleutelen 'op een veilige manier terwijl ze fundamentele rechten blijven respecteren'.

Marketing gelul. Of 1) je verzwakt encryptie, omdat je een backdoor inbouwt of zelf de sleutels bewaard, of 2) je hebt zulke computerkracht dat je snel versleuteling kan kraken. Punt 2 geloof ik niet, dus je maakt encryptie minder veilig.

Hoe het platform werkt is niet bekend. Europol zegt niet welke software- en hardwaretools het gebruikt voor het ontsleutelen. Ook is niet bekend onder welk legaal framework versleutelde bestanden ontsleuteld mogen worden.

Lekker is dat. Klinkt weer een beetje als "AIVD koopt voor miljoenen euro's afluistermachines die het wettelijk helemaal niet mag gebruiken".

Eerder dit jaar dook nog een document op waarin werd gesproken over een decryptieplatform. Dat maakt gebruik van 'nieuw verkregen processorkracht om de snelheid en efficiëntie van het kraken van versleutelde data te verbeteren'.

Mysterieus gelul. Als je met supercomputers encryptie al (niet of nauwelijks) gekraakt krijgt, waarom zou Europol dat dan opeens kunnen?

[Reactie gewijzigd door Tk55 op 30 juli 2024 11:03]

Auteur

TijsZonderH Nieuwscoördinator @Tk55 • 18 december 2020 15:19

je hebt zulke computerkracht dat je snel versleuteling kan kraken. Punt 2 geloof ik niet, dus je maakt encryptie minder veilig.

Er zijn genoeg voorbeelden uit het verleden waarbij agentschappen zoals Europol of de FBI hardware hebben om bv iPhones te kraken. Dat ligt heus niet zo erg buiten bereik.

Yzord @TijsZonderH • 18 december 2020 15:38

Dat is iets geheel anders, dan heb je het over exploits. Wat @Tk55 zegt is gewoon waar, het is utterly bullshit wat ze aan het verkondigen zijn. Het is simpel, of je komt aan de masterkey van de encryptiesleutels of je hebt de hardware tot je beschikking om betreffende encryptie te kraken. Meer is er niet.

Dit is niet meer dan een marketingpraatje om zogenaamd degene met verkeerde intenties angst in te boezemen. Ik geloof er namelijk ook niks van dat dit zogenaamde platform ineens encryptie kan kraken zonder de hashpower die men daarvoor nodig heeft.

Zolang er een encryptie plaats vindt tussen twee devices waarvan beide de sleutel hebben dan is er maar een mogelijkheid en dat een van de twee devices kraken om de masterkey te pakken te krijgen. Gewoon hetzelfde verhaal als die encryptietelefoons waarvan de masterkey op de server aanwezig was. Gewoon server pakken en je hebt de key.

Maar niet dom gaan lopen praten dat men wel even de encryptie kraakt die hedendaags standaard is want daar geloof ik helemaal niks in. Het zal gewoon inhacken worden van een device. Dus de naam decryptieplatform slaat gewoon nergens op en is gewoon jolige bink taal.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Yzord • 18 december 2020 16:25

Het is simpel, of je komt aan de masterkey van de encryptiesleutels of je hebt de hardware tot je beschikking om betreffende encryptie te kraken. Meer is er niet.

Dit is niet waar. Je kunt crypto analyse doen, zwakheden in encryptiealgoritmen gebruiken om aan te vallen etc. Het is niet voor niets dat veel encryptiealgoritmen welke vroeger als veilig werden beschouwd dit nu niet meer zijn. Dat heeft niet alleen met de toename van processorkracht te maken. Naast fouten in het algorithme zelf kan het ook nog eens fout gaan bij de implementatie ervan.

Rob Coops

Encryptie

@Bor • 21 december 2020 11:24

Ja en nee...

Als crimineel zijnde zou je toch gewoon de laatste veilige encryptie standaard gebruiken met meer dan de aanbevolen complexiteit voor je sleutel(s) of niet? Het lijkt me sterk dat je er voor kiest om een verouderde standaard te gebruiken.

De bestaande op het moment veilig geachte standaarden zijn met alle wil van de wereld en de bekende technieken om ze aan te vallen niet zomaar eve te kraken. Dat is juist waarom ze aangeraden woorden omdat voor zo ver we nu weten niemand de rekenkracht heeft om ze op een efficiente manier te kraken.
Ja met voldoende rekenkracht maar met een complexe key kan dat zo maar in houden dat je tientallen zo niet honderden jaren bezig bent om ze te kraken (met alle beschikbare rekenkracht op op deze planeet).
Het is nooit uit te sluiten dat Europol een manier gevonden heeft om een populaire encryptie standaard te kraken maar gezien de funding en de structuur van Europol is het niet waarschijnlijk dat ze dat daadwerkelijk gedaan hebben. En als ze dat zouden hebben gedaan denk je dan echt dat ze dat in een groot persbericht zouden aankondigen? De verschillende staten die maar wat graag zo'n oplossing in handen zouden hebben voor hun geheime diensten zouden ze onmiddellijk aan de hoogste boom opknopen. Dus ik durf met zeer grote zekerheid te zeggen dat ze echt niet een exploit gevonden hebben voor de nu veilige standaarden en dat aan de hele wereld vertellen op deze manier.

Het is veel waarschijnlijker dat dit inderdaad grootspraak is en dat het niets anders is dan een verzameling gevonden keys uit verschillende onderzoeken waarbij jij als landelijke politie dienst je data naar Europol stuurt en zij alle mogelijke keys die ze hebben er tegen aangooien om eens te kijken of je toevallig geluk hebt.
Zeker geen slecht idee, het is immers waarschijnlijk dat een boefje in Albanie met een ander boefje in Belgie en wat andere in Spanje en Nederland praat. Als Nederland dan de key weet te achterhalen in een onderzoek dan is het niet noodzakelijk dat oom agent in Albanie daar weet van heeft of krijgt, hij pushed de data die hij gevonden heeft naar Europol en die smijten alle bij hun bekende keys er tegen aan en zonder dat er overdacht hoeft plaats te vinden tussen de twee landen kunnen ze het bericht ontcijferen.
Dit verklaard ook het verhaal over privacy respecteren en zo, immers alleen keys die gevonden worden in politie onderzoeken naar criminele netwerken komen bij Europol terecht. Daar naast bespaard het een heleboel gedoe voor de politie diensten die nu niet meer een verzoek tot samenwerking hoeven in te dienen om aan een key te komen. Ze kunnen de key met Europol delen en de rest van Europa kan er dan ook gebruik van maken. Dit delen zal vast niet meteen gebeuren omdat men eerst zeker zal willen weten dat ze hun onderzoek hebben afgerond en dat de boefjes die zij op het oog hebben er niet achter komen dat de politie hun geheime berichten kan lezen.

Al met al lijkt het me heel erg veel waarschijnlijk dat dit niets anders is dan een oplossing om keys te delen.
Het argument dat ze hardware zouden gebruiken om bijvoorbeeld iPhones te hacken lijkt me sterk dat zou betekenen (omdat deze hardware aan de fysieke hardware gehangen moet worden) dat een dienst bewijs materiaal zou moeten opsturen naar een in feite buitenlandse dienst. Dat zal vrijwel nooit zo maar te doen zijn als dat al mogelijk is. Dus ik betwijfel ten zeerste dat dat het geen is dat men hier beschrijft. Het is een zeer onlogisch verhaal, in dat geval zou het een service zijn waarbij Europol een landing van die hardware in huis heeft gehaald en die vervolgens beschikbaar stelt aan de verschillende landen. Dat lijkt me heel sterk ook weer omdat de funding van Europol dat nog al lastig maakt en ook de charter van Europol dit niet echt ondersteunt. Een dienst als het gezamenlijk delen van keys is iets dat al erg aan het rekken is wat betreft het charter van Europol en het geen deze dienst bied.

Ik kan er niets anders van maken dan het is een: Upload encrypted file and hope to get lucky. Dan een dienst waar men super computers dan wel quantum computers met nog niet bestaande oplossingen inzet om even alle bestaande encryptie nutteloos te maken. Een quantum computer is nog niet zo ver dat dat een realiteit is en de kosten zijn nog astronomisch hoog als je dat op grote schaal wil gaan doen.

.oisyn Moderator Devschuur®

Encryptie

@Yzord • 18 december 2020 15:47

Dat is iets geheel anders, dan heb je het over exploits

Waarom is het iets "geheel anders"? Wat weet jij van dit platform dat wij niet weten? Het enige waar ze het over hebben is data ontsleutelen. Dat is wat die FBI hacks ook doen. Er wordt hier vervolgens de aanname gemaakt dat elke soort data ontsleuteld kan worden, maar dat staat er niet bij.

Ik denk zelfs dat de kans best groot is dat het beheren en uitbuiten van exploits precies is waarom dit platform in het leven is geroepen. Het biedt natuurlijk een enorm voordeel om de kennis binnen Europa hierover te bundelen en te zorgen dat het niet in andere handen valt.

blk @.oisyn • 18 december 2020 16:15

In het gelinkte document staat:

"The new unit would be responsible inter alia for the optimisation of the newly acquired processing power of the Decryption platform in order to improve the speed and efficiency of the recovery of encrypted data encountered in criminal investigations,"

Het blijft uiteraard giswerk, maar het komt op mij over dat hiermee gedoeld wordt op een vorm van bruteforce (omdat de processing power so specifiek benoemd wordt).

[Reactie gewijzigd door blk op 30 juli 2024 11:03]

.oisyn Moderator Devschuur®

Encryptie

@blk • 18 december 2020 16:33

Maar ook bij zwakheden (in het algoritme danwel in de implementatie ervan) zul je het een en ander nog mogelijk moeten bruteforcen. Alleen is door de zwakheid het aantal mogelijkheden dermate verminderd dat het ineens binnen handbereik ligt ipv praktisch onmogelijk.

blk @.oisyn • 19 december 2020 11:14

Daar heb je volledig gelijk in. Het klinkt ook wel aannemelijk: meerdere vormen van encryptie, hashes inclusief eventuele salting, enz. kraken gaat wel echt heel veel processing power en tijd kosten. Als er mogelijke kwetsbaarheden beschikbaar zijn wordt dit een stuk toegankelijker.

Helaas zullen we waarschijnlijk geen reactie van europol krijgen.

WhatsappHack

Politiek en recht
Encryptie
Beveiliging en antivirus

@.oisyn • 18 december 2020 20:20

Die key ontsleutelt data niet, die kreeg het voor elkaar om de code te raden en zo de SE te dwingen het hele toestel open te gooien/plain-text accessible te maken. Het is niet zo dat ze AES-sleuteltjes aan het bruteforcen waren ofzo; dus wat dat betreft zit er inderdaad wel een enorm verschil tussen encryptie kraken en een gat exploiten om de telefoon “op natuurlijke wijze” alle data op te laten geven

SpiceWorm @Yzord • 18 december 2020 15:47

Tsja ik neem aan dat ze echt bepaalde encryptie wel kunnen kraken. Dmv brute force, slimme algoritmen etc. Het is echt niet uitgesloten dat dit soort instituten, net zoals de nsa / cia ver voorlopen op wat "wetenschappelijk gezien" mogelijk lijkt. Dat heeft het verleden vaak genoeg bewezen.

digi-savvy @SpiceWorm • 18 december 2020 16:12

Het zou me verbazing dat ze voorlopen op de huidige wetenschap. Alleen is de wetenschap al veel verder dan de praktijk.

De elliptic curve encryptie was ook al vele jaren in de wetenschap in gebruik voordat de eerste commerciële implementatie op de markt kwam. En voor die op de markt kwam was er al heel veel bekend over de verschillende zwakten in de encryptie en hoe je kon testen of een specifieke implementatie wel gedacht had aan het omzeilen van alle zwakheden in elleptic curve encryptie. Ze hebben deze tests waarschijnlijk tot next level verheven en vergaand geautomatiseerd.

MSalters

Politiek en recht

@digi-savvy • 20 december 2020 22:50

We weten van de NSA dat ze Differential Crypt-Analysis ongeveer 10 jaar vóór de wetenschap hebben uitgevonden. Ze hebben namelijk de S-boxes voor DES geoptimaliseerd, om daartegen bestand te zijn. Niemand wist destijds waarom ze aangepast werden. Dat werd pas 10 jaar na die optimalisatie duidelijk, toen Differential Crypt-Analysis in het openbaar her-ontdekt werd. Toen bleek het veschil tussen het oude voorstel en de uiteindelijke DES implementatie, en werd de reden voor de verandering duidelijk.

jurroen @SpiceWorm • 18 december 2020 19:17

Op het moment dat je een telefoon moet kraken met sterke encryptie met een viercijferige pin, heb je hooguit wat tijd nodig

Maar ja, je hebt gelijk. Als er een zwakte in het algorithme óf de implementatie zit waardoor het bruteforcen te versnellen is, zullen ze dat natuurlijk niet nalaten.

divvid @SpiceWorm • 18 december 2020 16:05

Dat heeft het verleden vaak genoeg bewezen.

Linkje?

SpiceWorm @divvid • 18 december 2020 16:31

Kijk bijvoorbeeld maar naar de ontwikkeling van spionageapparatuur en vliegtuigen. Daar zit bakken met techniek in waar ze gewoon 30 jaar voorlopen op andere landen.

Of bijv de interne dienstverleningsdocumenten van de NSA (heb ik zo geen linkje voor). Is wel uitgelekt NSA document.

Auteur

TijsZonderH Nieuwscoördinator @Yzord • 18 december 2020 15:40

Dat is zeker waar. Het is jammer dat ze er niet meer over zeggen, dus blijft het bij speculeren. Misschien bedoelen ze met wat in het document staat wel simpelweg de dure tools van Cellebrite in plaats van inderdaad een quantumcomputer.

jurroen @TijsZonderH • 18 december 2020 19:13

Het een sluit het ander uiteraard niet uit. Als ze beiden tot hun beschikking hebben (wellicht in combinatie met meer middelen) zouden ze op een per-case basis kunnen besluiten welk middel ze inzetten.

"Kan Cellebrite het kraken, kunnen we een exploit kopen bij Vupen? Nee, dan gaan we het bruteforcen."

tweazer @Yzord • 19 december 2020 12:51

Dat is iets geheel anders, dan heb je het over exploits.

Daar trap ik als techneut niet in. Een telefoon heeft een 4 of 6 cijferige passcode. Je copieert de flash module en 10^4 of 10^6 iteraties is de code gekraakt (de flash image data lockt niet na x foutpogingen). Het grootste probleem is de flash rom uitlezen, ik denk alleen dat dat dit in-place kan als je de juiste testpoints hebt en/of weet hoe de telefoon vanuit de fabriek gebootstrapt wordt en last but not least kun je ook deze desolderen en alsnog uitlezen met wat risico.

[Reactie gewijzigd door tweazer op 30 juli 2024 11:03]

MSalters

Politiek en recht

@tweazer • 20 december 2020 22:59

Zo dom zijn telefoonmakers ook weer niet. De échte key is veel langer dan 6 cijfers. De secure enclave bevat de lange key, en wordt met de pincode unlocked. Het flash is geëncrypt met de lange key.

De "secure enclave" is een fysiek deel van de SoC, en is dus niet te desolderen. En met een 5nm proces kun je 't ook niet zomaar uit een SoC zagen.

tweazer @MSalters • 21 december 2020 09:47

De makers niet, de gebruikers wel

De hardware kun je bootstrappen, dan wellicht ook de scure enclave misbruiken met een niet gelimiteerde inlogpoging firmware. Ik heb al filmpjes gezien met een arduino gestuurde 'robothand'. Als je hardware kunt aanraken is het te hacken.

YGDRASSIL

@Yzord • 19 december 2020 15:34

Misschien sniffen ze alle keys die langskomen in netwerkpakketjes op de backbones en slaan ze die op

R4gnax @Yzord • 19 december 2020 16:25

of je komt aan de masterkey van de encryptiesleutels of je hebt de hardware tot je beschikking om betreffende encryptie te kraken. Meer is er niet.

Of je bent bekend met een bepaalde zwakheid in een encryptiemethode waardoor je niet langer puur op brute force hoeft te leunen en waarmee je de benodigde looptijd om een bericht te kraken aanzienlijk in kunt korten tot iets wat real-world realiseerbaar is.

Rob Coops

Encryptie

@TijsZonderH • 18 december 2020 16:32

Helemaal waar maar het gaat hier om data niet om hardware althans dat is het geen wat er in het stukje staat.

En in het geval van data vraag ik me toch echt af hoe ze elliptic curve cryptography willen gaan kraken als de key 4096 bit lang is of nog complexer... Er zijn daar naast ook steeds meer mensen die hard werken aan quantum computer safe encryption standaarden, waar van sommige al claimen dat ze werkende versies hebben maar ik vermoed dat die net als vroege encryptie standaarden voordat quantum computers als een mogelijk gevaar werden gezien uiteindelijk ook blijken niet zo veilig te zijn als eens gedacht.

Maar dat alles daar gelaten ik ben het helemaal met @Tk55 eens dat die waarschijnlijk meer bluffen is aan de kant van Europol dan dat ze echt de mogelijkheid hebben om encryptie op grote schaal te kraken. Als dat zo zou zijn dan zouden er toch echt al lang papers geschreven zijn die deze mogelijkheden beschrijven en die papers zouden groot nieuws zijn geweest.
De enige andere oplossing die ik zie is dat Europol een verzameling keys heeft die in onderzoeken door de gehele EU verspreid gevonden zijn en die samenvoegt in de hoop dat een schijnbaar ongerelateerd onderzoek in een ander land hier mee bij data kan die ze anders niet zouden kunnen lezen en zo misschien ook verbanden kan leggen met misdaden in andere EU landen.

Hoe dan ook de vraag is hoe legaal dit allemaal is in verschillende EU lidstaten. In de meeste lidstaten is kon de wetgeving hier nog wel eens flink in de weg gaan zitten zeker als men poogt de decrypted berichten als bewijs op te voeren in een rechtszaak.

Hoe dan ook veiliger zal het er vast niet van worden als Europol inderdaad de mogelijk heeft om veel meer data te kraken zonder sleutels want als boefje zou ik maar wat graag mee kunnen lezen met mijn vijanden en we weten allemaal dat je met voldoende geld alles kunt kopen. Lukt dat niet in Nederland dan koop je het in Bulgarije of Italie, in Duitsland of in Portugal er is altijd wel ergens een agent te vinden die wel een extra zak centje kan verdienen of die liever niet heeft dat bepaalde dingen over zijn of haar verleden bekend worden dan wel die dat gewoon doet voor familie en vrienden want je weet toch familie...
Gelukkig heb ik er vrij veel vertrouwen in dat Europol hier niet bekend maakt dat alle of de meeste encryptie in middels vrij simpel te hacken is door een staat met voldoende wil en geld. Ik denk eerder dat het gewoon een lijstje met keys is en dan maar hopen dat jouw data matcht met een van deze sleutels.

Lapjespoes @TijsZonderH • 18 december 2020 17:07

Van een auteur verwacht ik toch wel een beter geïnformeerde reactie. Het kraken van iPhones gebeurde op een totaal andere manier door middel van exploits, niet door het berekenen van de decryptiesleutels.

Anoniem: 85014 @TijsZonderH • 18 december 2020 17:09

Wanneer je hardware toegang hebt dan kan je bv. de sleutels uit het RAM geheugen van het toestel halen terwijl het toestel reeds decrypteert. Dit is vermoedelijk ook wat Cellebrite recent aankondigde. Vermoedelijk een MiTM op één van de geheugenbussen van de SoC.

Ik vind het in ieder geval beter dat een overheids/politie-organisatie deze capaciteit zelf ontwikkelt en beheert dan dat het hiervoor afhankelijk is van Israelische zo-zo bedrijven.

Verder vind ik het prima dat men a.d.h.v. of m.b.v. de hardware of een hardware aanpassing (bv. een evil maid attack) een crimineel zijn digitale apparatuur kan afluisteren en uitlezen. Want hiervoor is er een individueel traject nodig. M.a.w. iemand van de politie moet die crimineel zijn toestel individueel afluisteren.

Dit is dus geen sleepnet of geen situatie waarbij erg veel onschuldige burgers afgeluisterd (kunnen) worden. Zolang de politie dit doet met eerst gerechterlijke tussenkomst (zodat er scheiding der machten is gerespecteerd), zie ik hier geen graten in en bekijk ik dat net zoals een huiszoeking met gerechterlijk bevel en toestemming om het huis te zoeken.

Is men hier bezig met het benutten van een zwakheid in encryptie die men bv. jaren geleden in de encryptiestandaarden heeft weten te krijgen, dan komt dat toch uit en dan zal de encryptie uiteindelijk gefixed worden. Dan vind ik dit verspilling van belastinggeld. Men houdt zich beter bezig met expertise te verzamelen hoe men individuele hardwares kan uitlezen / afluisteren (nadat men bv. een hardware inplant heeft gedaan, nadat er gerechterlijke toestemming werd bekomen).

tweaknico @Anoniem: 85014 • 20 december 2020 00:55

De vraag is alleen op welk moment krijgt iemand het stempel crimineel...

Voor sommigen is dat stemperl al mogelijk al op basis van geloof, stembus keuze, afkomst, nationaliteit en/of geaardheid. En let op onderzoek wordt gedaan naar verdachten, dat kan letterlijk iedereen zijn.
Dus waar stopt het, wanneer kom je NIET voor onderzoek in aanmerking?

Anoniem: 85014 @tweaknico • 20 december 2020 09:15

Dat is in de meeste landen wettelijk bepaald. Namelijk bv in Belgie wanneer je communicatie deel uit maakt van de dreiging die onderzocht wordt en er een redelijk vermoeden is van een crimineel feit van een bepaald gewicht (het middel moet proportioneel zijn). Bovendien is voor het middel 'afluisteren' rechterlijke toestemming nodig (m.a.w. Politieagent Guust van hier naast mag dat niet even zelf organiseren zonder eerst toestemming te krijgen van een onderzoeksrechter - die daar dan correct de nodige afwegingen over moet maken).

Concreet voorbeeld van vorige week nog (in het Vlaamse nieuws geweest): drones boven tuinen om Coronaregels te doen naleven is volgens minister van Justitie niet proportioneel. Drones om drugscriminaliteit op te sporen wel. Dit naar aanleiding van een Gouverneur die zijn politiekorps opriep om met drones boven de tuinen van de burgers te gaan vliegen om te kijken of er niet te veel mensen rond vuurkorven staan in hun tuin. Die vlieger gaat dus zowel spreekwoordelijk als letterlijk niet op. Dit is niet proportioneel. In de media werd ook een grondrechtsspecialist en moraal filosofe van de VUB (De Vlaamse Universiteit te Brussel) opgetrommeld en deze mensen waren ook helemaal niet te spreken over het optreden van de Gouverneur (een Gouverneur is nota bene een onverkozen postje dat uitgedeeld wordt aan uitgerangeerde politici in Belgie, dus dat een Gouverneur eventjes begint te kakken dat Belgen hun burgerrechten maar aan zijn dwaze onproportioneel politiestaat beleid moeten afgeven schoot bij velen toch even in het verkeerde keelgat)

Merk ook op dat proportionaliteit inhoudt dat wanneer er een minder ingrijpend middel is om hetzelfde te bekomen, dat moet verkozen worden boven het meer ingrijpende middel. Dus wanneer afluisteren een ingrijpender middel is dan te trachten op heterdaad te betrappen, of bv. een huiszoeking aan te vragen of eenvoudigweg een fouille uitvoeren of drugshond gebruiken; dan moet afgezien worden van dat afluisteren.

Toegepast op het eerdere voorbeeld moet de Gouverneur zijn politiekorps gewoon gaan aanbellen bij de mensen om te vragen dat ze niet te veel genodigde gasten samenbrengen ten einde men zich zou houden aan s'lands tijdelijke Coronaregels. Drones en Judge Dredd toestanden zijn daarbij onnodig, buiten proportioneel, van de orde politiestaat, ongewenst, ondemocratisch, en zo verder.

Verder toegepast zou het afluisteren van telefoongesprekken of het decrypteren van chatberichten al helemaal buiten proportioneel zijn om te trachten te weten te komen wie er tuinfeestjes aan het organiseren is.

edit. Jean-Marie Dedecker heeft er vandaag een leuk opiniestuk over in De Knack (dat ook niet achter Knack's paywall staat - dus de hoofdredacteur van Knack wil ook dat we het allemaal eens lezen).

[Reactie gewijzigd door Anoniem: 85014 op 30 juli 2024 11:03]

tweaknico @Anoniem: 85014 • 20 december 2020 10:14

Ook in de EU: Hongarije... daar is het al iets minder goed geregeld. In Polen beginnen ze aan een hellend vlak oa. door de rechterlijke macht onder staat toezicht te plaatsen.
Wetten kunnen aangepast worden.
Van kopvodden verbod (hoofddoekjes waren volgens Wilders zeer ongewenst) omdat die niet genoeg van een gezicht laten zien naar de roep om een mondkapjes plicht...

Anoniem: 85014 @tweaknico • 20 december 2020 10:17

Dat klopt. Maar Hongarije en Polen worden dan ook door vele EU landen en door de EU-politici zelf vaak aangesproken hier op. Recent nog heeft men het uitbetalen van EU-geld om Coronagevolgen in de economie aan te pakken gekoppeld aan het naleven van bepaalde EU principes. Gevolg Hongarije en Polen stelden hun veto. Maar daar is in compromis dan toch een oplossing voor gekomen.

@tweaknico hieronder: Ik ben het daar mee eens. Maar misschien hadden we het principe van veto-rechten dan niet zo uitgebreid moeten laten zijn? Maar dan zou dat willen zeggen dat landen de mogelijkheid om een veto te stellen moeten afgeven. Wat dus een inperking van soevereiniteit is. Dan ga je de anti-EU mensen weer daar over horen mekkeren. Het is m.a.w. altijd wel iets. Bijgevolg moet er overal een compromis voor gevonden worden. We hadden ook de EU minder snel kunnen laten groeien (dat is meer waar mijn voorkeur naar gaat) en/of de EU laten krimpen tot de landen die wel zinvol proberen om te gaan in samenwerkingsverband. M.a.w. Hongarije en Polen er uit, enorme heffingen voor hun producten en diensten, de grens voor hun burgers volledig dicht (dus reispas nodig om in de EU te geraken, etc) en zo verder.

Vind ik prima. Voor wat, hoort wat: wie lid wil zijn van de EU club heeft zich aan een aantal zeer strenge en stevige principes van de rechtstaat en scheiding der machten te houden. En anders: oprotten.

[Reactie gewijzigd door Anoniem: 85014 op 30 juli 2024 11:03]

tweaknico @Anoniem: 85014 • 20 december 2020 10:28

Het compromis, "Er moet eerste een formele klacht bij het EU gerechts hof komen", gaat nog jaren duren.
Daarvoor zal er vermoedelijk eerst een zaak vanuit deze landen bij het EU gerechtshof voorgelegd moeten worden. Als dergelijke zaken niet komen kan dit nog lang doorgaan. (Voor het voorleggen van de zaak moet een rechtbank vanuit het land toch een vraag stellen bij het EU-hof).

Het ging niet over EU corona gelden maar over de complete EU begroting (waar de Corona gelden een (urgent) onderdeel van uitmaken en HU en PL ook nog groot ontvangers voor waren, dus ze hadden er best wat ellende voor over).

Het compromis is dus alsnog niets te doen tegen deze 2 landen. Daarna komt weer een ander item ter discussie waar dan weer een veto over komt etc. Dat kan nog jaren gerekt worden.

hikashuri @TijsZonderH • 20 december 2020 03:47

Op basis van exploits kan iedereen met verstand het uitvoeren, is vrij simpel. De FBI en Europol hebben geen software of hardware beschikbaar dat sleutels kan decrypten zonder exploits, daarom dat ze ook serieus aan het zagen waren tegen Apple omdat ze wisten dat ze zonder een exploit hulpeloos waren.

Padje @TijsZonderH • 20 december 2020 12:44

[...]
Er zijn genoeg voorbeelden uit het verleden waarbij agentschappen zoals Europol of de FBI hardware hebben om bv iPhones te kraken. Dat ligt heus niet zo erg buiten bereik.

Laatst nog in een election hearing noemde iemand een bitlocker apparaatje, wat tussen de harddisk en de SATA aansluiting geplaatst kon worden.

87Dave @Tk55 • 18 december 2020 15:32

Kan ook dat ze een lijst van gekende kwetsbaarheden aanleggen en gebruiken.

Goede 256 AES encryptie is niet te breken. Maar in het verleden gebruikte bijvoorbeeld bitlocker de ingebouwde SSD encryptie die vaak compleet lek bleek te zijn.

It is in many cases possible to recover the contents of the drive without knowledge of any password or secret key, thereby bypassing the encryption entirely.

[Reactie gewijzigd door 87Dave op 30 juli 2024 11:03]

fastedje @87Dave • 18 december 2020 19:23

We weten niet 100% zeker of AES niet te breken is, er kan namelijk nog een zeer subtiele zwakheid inzitten waar alle encryptie experts tot nu toe overheen hebben gekeken. het youtube channel numberphile heeft wel interessante afleveringen hierover. De meeste lekken met AES zijn ontdekt i.c.m. zwakke cyclic block cipher protocollen zoals deze bij TLS worden gebruikt. Wellicht dat Europol hiervoor een decryptie tool voor heeft gemaakt, al lijkt het me sterk dat AES nog in combinatie met CBC wordt gebruikt vandaan de dag. Er bestaat overigens wel een perfect veilige encryptie: een waar de sleutel even lang is als de data zelf.

Xenir @fastedje • 18 december 2020 20:08

Vergis je niet. Het NCSC vindt een CBC cipher i.c.m. AES nog 'voldoende'
Bron: https://www.ncsc.nl/binar...ort-Layer-Security-v2.pdf

SSLLabs vindt de ciphers al enige tijd 'weak' maar ik kom ze nog vaak genoeg tegen....

[Reactie gewijzigd door Xenir op 30 juli 2024 11:03]

Het.Draakje @Tk55 • 18 december 2020 15:56

Inderdaad, mits goed geïmplementeerd, kan het zo zijn dat encryptie met de huidige techniek niet te ontsleutelen is. Maar daar zit wel een grote aanname: mits goed geïmplementeerd. Blijkbaar is het vooralsnog toch mogelijk. Ook zonder achterdeurtjes-wetgeving die sommige politici aanhangen.

https://www.justice.gov/o...wray-announce-significant

Al hebben ze het toestel volledig uit elkaar gehaald, geheugen gekopieerd en vervolgens met parallel computers brute force uitgevoerd. Of wellicht met rainbow-tables. Quantum computers of zelfs dom geluk. Hoe ze het gedaan hebben maakt in principe niet uit.

In tegenstelling tot anderen zie ik de actie van interpol als een mijlpaal:

Ze beweren dat ze wel in staat zijn, zonder wettelijke backdoors, encryptie van criminelen te doorbreken. Dus er is geen reden om de wetgeving aan te passen. Precies wat we willen.

Ze doorbreken de beveiliging op incidentele basis onder voorwaarden van een justieel onderzoek. Precies wat we willen.

Je moet gebruik maken van het expertise-team van Interpol. Één partij en het is niet mogelijk voor Oom Agent uit keuterdorp. Precies wat we willen.

Kunnen we ons nu druk gaan maken over de wettelijke regels wanneer Interpol dit kan/mag doen. Vooralsnog staat iedereen die voor backdoors pleit met 1-0 achter.

Zodra de theorie (onkraakbare encryptie) en praktijk (kraakbaar) dichter bij elkaar komen zal er geïnvesteerd moeten worden in kraakmogelijkheden. En als dat betekent dat Interpol een supercomputer of quantum computer moet hebben, vind ik dat best. Dat heb ik liever dan dat een Grapperhaus na gaat denken over backdoors in encryptie.

Skit3000

@Het.Draakje • 18 december 2020 16:58

Ze beweren dat ze wel in staat zijn, zonder wettelijke backdoors, encryptie van criminelen te doorbreken.

Niet alleen dat, doordat ze er veel moeite in stoppen doen ze het alleen wanneer zij het zelf echt noodzakelijk achten. Ze gaan dus niet jouw gecodeerde communicatie met je buurman onderscheppen als ze niet al één van jullie van een ernstig misdrijf verdenken.

SpiceWorm @Het.Draakje • 18 december 2020 16:33

Helemaal met je punten eens, goed omschreven!

Anoniem: 420148 @Tk55 • 18 december 2020 15:07

Zelfs bij punt 2 is het niet veilig of met respect naar je rechten. Bepaalde bedrijven en overheden zullen genoeg geld hebben om diezelfde hardware te kopen. Sterker nog, die maken de hardware voor Europol. Die zullen wel niet zelf processoren en SoCs aan het bakken zijn ergens.

Maurits van Baerle @Tk55 • 18 december 2020 15:39

Ik zie niet in waarom ze geen decryptieplatform kunnen hebben. Ze zeggen niet dat ze alle bestaande encryptie kunnen kraken, dat maak jij er van.

Het is prima mogelijk om als samenwerkende politiediensten uit 27 landen (want dat is Europol) al je kennis en krachten te bundelen. Als pak-em-beet de Slowaakse politie er achter komt dat er een kwetsbaarheid zit in een bepaald model smartphone en ze dat met succes gebruikt hebben om bewijs te verzamelen tegen een zware crimineel dan kunnen ze dat prima delen met dit platform. Als dan een paar maanden later pak-em-beet de Portugese politie zich meldt bij het platform met een vraag over precies dit model smartphone dan kan het platform helpen.

Je kunt zelfs nog al die kennis van kwetsbaarheden, buitgemaakte sleutels van ransomware, rainbowtables, dictionaries, lijsten met veelgebruikte wachtwoorden, lijsten met username/password combinaties die rond gaan op het dark web en nog een hele reeks andere bronnen allemaal in één systeem stoppen. Je kunt ook nog als Europol kwetsbaarheden opkopen van bedrijven die ze verkopen, voor een enkele politiedienst misschien te duur maar voor 27 partijen in één keer wel te doen. Misschien nog een intelligent sausje er overheen om vrij snel bepaalde methoden en paden te elimineren en je kunt al een effectief systeem hebben.

Kan het alles kraken? Nee, absoluut niet. Kan het deze politiediensten helpen met het oplossen van misdrijven? Absoluut.

nandervv @Maurits van Baerle • 19 december 2020 21:46

Lekker. Als de slowaken een zwakte vinden, dan moeten ze het melden, en het laten fixen door de makers van het apparaat/de software
Als vandaag de overheid het kan, kunnen morgen de criminelen het, en overmorgen de gestoorde exen

Zwaai Haai @Maurits van Baerle • 21 december 2020 12:08

Boeven zijn ook mensen en maken ook fouten in het kiezen van een sterk wachtwoord, niet hergebruiken van wachtwoorden, niet op tijd patchen van kwetsbaarheden of het laten afkijken van wachtwoorden.
Ik kan mij best wat opsporings methoden voorstellen waarbij je gedeelten van wachtwoorden kan afkijken, of hints kan krijgen op wachtwoord variaties.

Barryke @Tk55 • 18 december 2020 22:29

Hedendaagse sleutels worden allemaal zo genereerd dat de computertijd simpelweg te lang is om de versleuteling te kraken.

[...]

Mysterieus gelul. Als je met supercomputers encryptie al (niet of nauwelijks) gekraakt krijgt, waarom zou Europol dat dan opeens kunnen?

Omdat theorie niet de praktijk is. De hooiberg is in het echt veel kleiner.

In de praktijk (oud verhaal) blijkt bijvoorbeeld de randomness van een elleptic-curve formule niet op orde, waardoor je niet langer alle opties hoeft te proberen in je brute force.

Of je weet al iets over de inhoud, waardoor je de sleutel kan herleiden of de hooiberg kleiner maakt.

En dat zijn maar 2 voorbeelden..

WhatsappHack

Politiek en recht
Encryptie
Beveiliging en antivirus

@Tk55 • 18 december 2020 15:09

Mysterieus gelul. Als je met supercomputers encryptie al (niet of nauwelijks) gekraakt krijgt, waarom zou Europol dat dan opeens kunnen?

Er staat niet *hoeveel* sneller en efficiënter het is. Misschien is het wel gemiddeld 123.99 jaar per sleutel in plaats van 124 jaar.

En als ze eerst nog geen platform hadden dan kan "nieuw verkregen processorkracht" ook gewoon slaan op het aanschaffen van een Core i5 PC haha.

Dat soort marketingprietpraat is bijzonder nietszeggend.

[Reactie gewijzigd door WhatsappHack op 30 juli 2024 11:03]

xAn52 @WhatsappHack • 18 december 2020 16:06

Nou ja, er worden wel brute kracht stapjes gemaakt:

Google said last year it has built a computer that could perform a computation in 200 seconds that would take the fastest supercomputers about 10,000 years, reaching quantum supremacy. The Chinese researchers claim their new prototype is able to process 10 billion times faster than Google’s prototype, according to the Xinhua report.

https://www.bloomberg.com...in-quantum-computing-race Ongetwijfeld is de korrel zout van toepassing, maar ik denk ook rook en vuur.

dasiro @Tk55 • 18 december 2020 15:36

Lekker is dat. Klinkt weer een beetje als "AIVD koopt voor miljoenen euro's afluistermachines die het wettelijk helemaal niet mag gebruiken".

Dan moet je de inbeslagname of diefstal aan de kaak stellen, niet de analyse/decryptie ervan. De post mag een brief bvb niet zomaar openen, maar de politie mag die tijdens een onderzoek wel in beslag nemen en openen.

kidde @Tk55 • 18 december 2020 22:52

2) je hebt zulke computerkracht dat je snel versleuteling kan kraken. Punt 2 geloof ik niet,

Uw of mijn mening interesseert niemand hier, daar zijn verkiezingen immers al voor.

Helaas weet ik weinig tot niets van van FPGA's, maar wat feitjes die ik vrij snel vinden kan,
Als men bijv. paswoord-hash-functies beschouwt:

____Een Nvidia GTX 2080 doet 56k bcrypt-paswoorden (bij workfactor 5) per seconde,
Een FPGA-board uit 2011 doet 120k bcrypt-paswoorden (bij werkfactor 5) per seconde.

De genoemde Xilinx Spartan 6 LX150, uit 2011 dus, heeft 147k 'logic cells' / 5MB geheugen.
Deze werd gemaakt op een inmiddels 'fossiel' 45nm-proces; liep als ik het goed begrijp op 48mHz had DDR2 en werkte over een USB2.0 verbinding.

Snel vooruitspooelen naar 2020:
Een Versal ACAP VC1902 heeft 2000k logische units; dus ~14x zoveel als de Spartan 6 LX 150.
Kloksnelheid is variabel voor veschillende delen van de FPGA, ik vind dat de APU-snelheid tussen de 700mHz en 1700mHz is; en van de vorige serie (Virtex) vind ik dat de globale klok door Vivado (design suite) wordt gemaximeerd op 600mHz.

Laten we enigszins conservatief zijn, en de VC1902 haalt 480mHz, dan is tov. 2011:
-De kloksnelheid vertienvoudigd,
-Het aantal logische cellen ver-veertienvoudigd.

Stel, dat je met de VC1902 dus 100x zoveel haalt als met de Spartan; dan zou je moeten komen tot
12M paswoorden / sec, met een bordje van 4 FPGA's.

In de industrie zijn er oplossingen voor 160 FPGA's per rack.

Dus 1 rack doet 500M paswoorden / sec.

Als je (belasting)geld zat hebt, en je zet ergens een data-center weg met 100 racks, dan haal je 50G paswoorden / sec. Een random alpha-numeriek bcrypt-paswoord met 9 karakters is dan te "decrypten" in 3 dagen; maar het is exponentieel dus 10 karakters is dan al snel een half jaar.

En er is ook nog een veelgebruikte workforce van 12, ipv 5 in het voorbeeld hierboven.

Mogelijk gebruikt Europol ASIC's in plaats van FPGA's, dat kan alweer een hoop sneller zijn. En misschien hebben ze niet 100, maar ergens 10 000 racks staan?

Nu met betrekking tot het ontsleutelen van bestanden, bijv. AES: Vaak hoef je, om een mogelijk paswoord te testen, niet het hele bestand te ontsleutelen. In het begin van het bestand zit vaak een of andere header, verschillend per bestands-formaat.

-Mocht het een tekst-bestandje zijn, dan zit er in de eerste 20 karakers of zo iets leesbaars,
-Mocht het een afbeelding zijn, dan sluiten de eerste paar pixels bij het juiste paswoord in enige mate op elkaar aan ipv random te fluctueren zoals bij het verkeerde paswoord,
-ZIP-bestandjes e.d. (dus ook alle Word / Excel bestanden tegenwoordig) hebben een bepaalde header

R4gnax @kidde • 19 december 2020 16:31

ZIP-bestandjes e.d. (dus ook alle Word / Excel bestanden tegenwoordig) hebben een bepaalde header

En juist deze moeten we niet onderschatten. Het bestaan van een bekende, vaste reeks byte-waardes op vaste posities maakt het bij veel encryptie-methoden mogelijk om gerichter te werk te gaan dan puur brute-force.

GamingZeUs @Tk55 • 19 december 2020 09:49

quantum computer delen, zwakke crypto ontcijferen, intel backdoors toepassen

tweazer @GamingZeUs • 19 december 2020 12:59

cloud rekenkracht inkopen...

swel @Tk55 • 19 december 2020 09:58

Blijkbaar hebben ze genoeg processoren om encryptie snel genoeg te ont sleutelen. De tijd gaat verder en hoe meer hoe sneller. Simpel. Geen gelul.

Wat ik me afvraag hoe ze verantwoorden dat ze encryptie hiermee niet verwateren ? Een dergelijk platform kan misbruikt worden al dan niet door eigen mensen.

Elke vorm van encryptie is maar tijdelijk 'veilig'. Het woord veilig bestaat dus niet. Ook al wil je heel graag geloven dat diepe encryptie niet te kraken is. Dat is gewoon een domme opmerking.

TWeaKLeGeND @swel • 19 december 2020 13:17

Dat electrische auto's elk jaar wat zuiniger worden en de accu techniek steeds iets beter wil niet zeggen dat we ooit naar Mars zullen rijden. Simpel, geen gelul. (ja het is wachten op een 'elons tesla' grap). Er moet gebruik worden gemaakt van zwakheden in de encryptie of in de hardware of overige software (en zwakheden in mensen) . Met snellere of meer processoren kom je er niet tenzij je op magische wijze onbeperkt aantal/snelheid bemachtigd.

[Reactie gewijzigd door TWeaKLeGeND op 30 juli 2024 11:03]

TWeaKLeGeND @Tk55 • 19 december 2020 13:15

Decryptie is mogelijk zonder encryptie te breken maar door exploits te gebruiken. Uiteindelijk lijkt het me realistisch gezien om exploits gaan van de hardware en software van de apparaten waar de encrypted bestanden op staan. Ja een aes encrypted container op een usb stick gaan ze niet decrypten. Een crypto phone met wat exploits wellicht weer wel.

gevoelig @Tk55 • 20 december 2020 18:52

Mysterieus gelul. Als je met supercomputers encryptie al (niet of nauwelijks) gekraakt krijgt, waarom zou Europol dat dan opeens kunnen?

Dat hoor je hier heel vaak. Ik hanteer en andere redenering. Als commerciële bedrijven zaken voor elkaar krijgen met tientallen miljoenen, wat zouden ze dan voor elkaar krijgen met miljarden.

Los van de theoretische beperkingen verwacht ik zelf dat ze verder komen (of al zijn) dan je zou denken.

De VS zal TRNSLTR misschien al in bedrijf hebben

epoman @Tk55 • 18 december 2020 15:12

Ben geneigd het in de hoek van kwamtumcomputers te zoeken, redelijk wat relevante startups in de EU die blij worden van subsidie. Maar goed, is ook speculeren.

[Reactie gewijzigd door epoman op 30 juli 2024 11:03]

Robbierut4 18 december 2020 15:10

Ik vind het wel een goed idee eigenlijk. Creëer een hashcat cluster zo groot dat het eigenlijk niet praktisch te doen is voor de normale mens. Zo hou je goede encryptie voor de gemiddelde mens, maar kun je het wel breken als politie. Al kun je dat natuurlijk gewoon omzeilen door nog betere encryptie te gebruiken of een langer wachtwoord.

killercow @Robbierut4 • 18 december 2020 16:02

Zo'n groot cluster zou echt de allergrootste kapitaalvernitiging zijn. Daarbij is het ook nog eens achterlijk slecht voor ons milieu.

https://en.wikipedia.org/wiki/Brute-force_attack

Als ze een "betere" oplossing hebben, en dus niet deze hoeveelheden energie hoeven te verstoken om 1 key te kraken (wat al echt never ever een netto winst resultaat geeft, ongeacht de potentieel bewezen / gestopte misdaad), dan hebben ze dus een zero-day te pakket, en is het echt ontzettend slecht om deze verborgen te houden van de Europese burgers en industrie. Al zij hem hebben kun je er vanuit gaan dat de Amerikanen, Israeli's en chinezen hem ook hebben of te pakken krijgen, met als gevolg een zwakkere interne mark omdat onze bedrijven en burgers om winstbejag of vanwege invloed zonder wettelijk oversight gehackt gaan worden door die andere partijen,

Dingus35 @Robbierut4 • 18 december 2020 19:10

Die gebruiken gewoon de cloud en Provision tools waar nodig, makkelijker om bestaands infrastructuur te gebruiken op huur basis.. Op de gemiddelde platformen: Azure, Google cloud, AWS, etc kan je met software deployments al bij supercomputer/HPC performance komen van enkele jaren geleden door dat alles 10Gbit(+) verbonden is, SSD's gebruikt worden en een aantal cores beschikbaar zijn waar je u tegen zegt. Dan betalen ze ook alleen wanneer ze het "echt" nodig hebben. Kijk bijv. naar de animatie industrie, die bouwden altijd eigen clusters ter waarde van miljoenen, Disney was een van de eerste die de cloud ging toepassen voor render toepassingen.

[Reactie gewijzigd door Dingus35 op 30 juli 2024 11:03]

TWeaKLeGeND @Robbierut4 • 19 december 2020 13:34

Lijst met top 1000 supercomputers bij elkaar in de wereld is stront traag in vergelijking met wat je nodig zou hebben. Dat is een abacus vergelijken met een modern high end gaming systeem.

Dingus35 @TWeaKLeGeND • 19 december 2020 22:53

Zeker waar als je de encryptie probeerd te bruteforcen zonder zwakheden te vinden in de encryptie, maar er zijn echt al oudere algoritmes gekraakt door zwakheden te vinden in combinatie met bruteforcen.

Dit wordt ook echt vergeten en is ook echt wel een reëel iets, er was niet zo lang geleden een bericht over iemand die zijn toegang tot zijn crypto wallet was kwijtgeraakt, zat opgeslagen in een encrypted AES zip file. Leuke read:
https://www.wired.com/sto...itcoin-from-old-zip-file/

Hiervoor werd ook een cloud oplossing gebruikt om, na de zwakheden gevonden te hebben, nog te bruteforcen. Dus zo gek is het nog niet.

[Reactie gewijzigd door Dingus35 op 30 juli 2024 11:03]

TWeaKLeGeND @Dingus35 • 20 december 2020 07:50

Ik reageer op 'gooi veel brute force power bij elkaar zodat we dit kunnen inzetten samen als maatschappij'. Ik geef alleen aan dat als er echt iets encrypted is met als doel veiligheid je ook aan een enorme cluster rekenkracht helemaal niks hebt. We hebben het hier over 'criminelen' die encryptie toepassen niet over een zip met wachtwoord van 8 characters btw, je kan er zo veel power tegenaan gooien als je wil maar geheid dat deze unit bij Interpol zich richt op kwetsbaarheden in de overige hard/software of zwakheden in oudere encryptie methodes idd. Brute forcen van degelijke encryptie kom je nergens mee.

Uiteraard stappen er ook genoeg criminelen in brakke platformen met gaten, daar zal dit initiatief ook deels op draaien.

[Reactie gewijzigd door TWeaKLeGeND op 30 juli 2024 11:03]

bbob

Politiek en recht
Encryptie

18 december 2020 14:58

Klinkt allemaal heel geheim. Maar goed men koopt natuurlijk met hetzelfde water als anderen. Met brute kracht kom je nog steeds niet heel ver bij een goede encryptie. Maar wie weet voor oudere encryptiemethoden met wat gaten is het te gebruiken.
Of hebben ze daar al een dikke quantumcomputer staan ?

berchtold @bbob • 18 december 2020 15:00

Als je niet gepakt wil worden ga je geen zwakke encryptie gebruiken. Veel bedrijven gebruiken bijvoorbeeld nog wel zwakke encryptie. Veel ook MD5 hashes voor wachtwoorden bijvoorbeeld. Maar die zullen niet het doel zijn hier.

Stoney3K

Politiek en recht
Encryptie

@berchtold • 18 december 2020 15:03

Ik denk dat een passende XKCD cartoon hier misschien wel op zijn plaats is.

robvanwijk

Encryptie
Politiek en recht

@Stoney3K • 19 december 2020 11:03

Die is juist totaal niet passend; dat gaat over encryptie zodat criminelen niet bij je data kunnen, hier is het exact het tegenovergestelde: encryptie dóór criminelen, zodat justitite niet bij hun data kan.

Je kunt veel zeggen van hoe politie, justitie en de politiek zich opstellen in het debat over encryptie. Ik heb een hoop hele slechte (en vaak simpelweg onmogelijke) ideeën gehoord. Maar geen enkele instantie (uit de beschaafde wereld) heeft een voorstel gedaan dat zelfs maar in de buurt komt van verdachten aftuigen totdat ze hun sleutel afgeven.

@reactie @Stoney3K:
Nee, ook dan klopt het niet: een speciaal decryptieplatform bouwen is compleet het tegenovergestelde van "nobody cares".

[Reactie gewijzigd door robvanwijk op 30 juli 2024 11:03]

Stoney3K

Politiek en recht
Encryptie

@robvanwijk • 19 december 2020 11:16

Daarom moet je ook vooral de alt-tekst van die cartoon nog even lezen.

mae-t.net @robvanwijk • 19 december 2020 23:01

Er zijn wereldwijd best overheden die een moersleutel van 5 dollar op die manier gebruiken. En hoewel onze overheid dat gelukkig niet doet, trekken gegarandeerd niet alle decryptiepogingen op criminelen. Zo zwart-wit als jij het stelt, overigens niet relevant voor het werkingsprincipe, is het dus niet.

robvanwijk

Encryptie
Politiek en recht

@mae-t.net • 20 december 2020 02:06

Er zijn wereldwijd best overheden die een moersleutel van 5 dollar op die manier gebruiken.

Maar ik had het niet over wereldwijd, er stond specifiek "uit de beschaafde wereld" bij.

En hoewel onze overheid dat gelukkig niet doet, trekken gegarandeerd niet alle decryptiepogingen op criminelen.

We reageren op het artikel "Europol bouwt decryptieplatform waarmee politie data kan ontsleutelen". Van wie zou Interpol volgens jou dan precies data willen ontsleutelen, behalve van criminelen?

mrtl @berchtold • 18 december 2020 15:06

Bedrijven die slechte hash algoritmes gebruiken om wachtwoorden op te slaan zouden wat mij betreft vooral strafrechtelijk doelwit moeten zijn van de overheid.

berchtold @mrtl • 18 december 2020 16:59

Vind ik ook. Bedrijf waar ik werkte gebruikt(e) MD5 waarbij ik meerdere malen heb aangegeven waarom dat in deze tijd heel fout is. Sommigen voelen het liever eerst.

Horatius @mrtl • 18 december 2020 15:15

Ja want die hebben echt geen andere dingen te doen dan databases van bedrijven in beslag nemen en kijken naar de encryptie methode?

Dit is in de AVG geregeld alleen is het probleem een beetje dat dit vaak achteraf is.

berchtold @Horatius • 18 december 2020 16:57

MD5 is voor de AVG helaas genoeg

R4gnax @berchtold • 19 december 2020 16:15

MD5 is voor de AVG helaas genoeg

Nee, dat is het niet.

Persoonsgegevens moeten "door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is" (Art 5.1f)

En de verwerkingsverantwoordelijke "treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan." (Art 25.2)

"Passend" wordt in de overwegingen toegelicht als zijnde het voldoen aan huidige, levende maatstaven. En verder stelt ook Art 32.1d dat er periodiek getest moet worden of genomen maatregelen nog doeltreffend zijn. Aangezien de bescherming die een MD5 hash biedt tegenwoordig in no-time gebroken kan worden is deze effectief nul en dus zal zo'n test ook moeten concluderen dat deze niet doeltreffend is, dwz ontoereikend is.

[Reactie gewijzigd door R4gnax op 30 juli 2024 11:03]

berchtold @R4gnax • 19 december 2020 22:19

Oh, dat is in ieder geval wel wat de IT-beheerder tegen mij zei, dat MD5 genoeg was omdat het niet plain was. Is dit een schending die eventueel aangegeven kan worden?

R4gnax @berchtold • 20 december 2020 18:41

Oh, dat is in ieder geval wel wat de IT-beheerder tegen mij zei, dat MD5 genoeg was omdat het niet plain was. Is dit een schending die eventueel aangegeven kan worden?

Dit is iets wat wel even intern aangetekend zou mogen worden bij de functionaris gegevensbescherming, om op te lossen ja. Als je steekproefsgewijs een audit krijgt of je krijgt te maken met een data-lek en je krijgt in de afwikkeling daarvan met een audit te maken, dan zou je wel eens nat kunnen gaan.

[Reactie gewijzigd door R4gnax op 30 juli 2024 11:03]

mrtl 18 december 2020 14:59

Om af te schrikken neem ik aan? Want je kunt niet zomaar berichten ontcijferen als propere encryptie gebruikt is.

Anoniem: 9278 @mrtl • 18 december 2020 20:35

Wie zegt dat die propere encryptie niet gekraakt is? Kan prima zonder het bekend te maken. Daarnaast zijn er methoden genoeg om sleutels te achterhalen.
Er werken hele slimme vogels aan 👍🏻

dcts 18 december 2020 15:25

Prachtig nieuws! We hoeven dus geen verzwakte encryptie toe te passen of achterdeurtjes in te bouwen.

rshunter99

18 december 2020 15:00

Interessant hoe een huiszoekingsbevel verplicht is om iemands huis binnen te komen zonder sleutel maar er digitaal gewoon een stormram gebruikt mag worden. Nu ben ik zelf relatief gezien nog brave Japie maar toch geeft me dit geen prettig gevoel.

leuk_he @rshunter99 • 18 december 2020 15:11

Dit is enkel een stormram fabriek, of nauwkeuriger analogie, een slotenmaker.

De slotenmaker is niet degene die regelt welke sloten hij openbreekt, dat doet de politie binnen wetten die de politie is toegestaan En die ze soms wellicht oprekken, maar binnen de fundamentele rechten, waarbij ze dus wel eerst de veiligheid van de samenleving noemen.

Dit zal niet altijd over brute forcen gaan, maar juist vaak wellicht ook om manieren te vinden hoe decryptie te krijgen. Die worden immers wel eens niet veilig opgeslagen ... voor het gemak...

killercow @leuk_he • 18 december 2020 15:52

Helaas

Ze houden zich niet altijd aan de wet:
https://www.trouw.nl/binn...3A%2F%2Fduckduckgo.com%2F

En voordat ze die rechten potentieel hadden gingen ze ook al de mist in:
https://webwereld.nl/nieu...en-bredolab-bots-3748774/

komets @leuk_he • 18 december 2020 16:02

Het verschil is dat een slotenmaker niet schaalt zoals deze tools, en niet ff onopgemerkt ingezet kan worden.

Nico Klus @komets • 18 december 2020 19:18

Dit schaalt ook niet, anders hadden de diensten het echt wel al zonder europol gedaan.

er0mess 18 december 2020 15:50

Europol noemt het project een mijlpaal in de strijd tegen terrorisme en misdaad zonder encryptie af te zwakken.

En ik noem het een gitzwarte dag voor privacy en (dus) mensenrechten.

JT @er0mess • 18 december 2020 17:44

Nou, ik weet niet of ik het helemaal met je eens ben. Ik ben erg pro-privacy en absoluut mordicus tegen het inbouwen van backdoors of het anderzijds afzwakken van encryptie. Maar moreel vind ik het niet per definitie bezwaarlijk als ze iets kunnen kraken. Politie mag ook niet handhaven achter je voordeur ofzo. Maar als er redelijke verdenking is van een strafbaar feit (uit mijn hoofd waarvan de maximumstraf 4 jaar of meer is) dan mag de politie, na het krijgen van een bevel, ook een huiszoeking doen. Dat is het juridische kader waar het over gaat. Ik vind wél dat er een juridisch kader moet zijn waarbinnen er net zoals voor een huiszoeking of andere zaken een redelijke verdenking moet bestaan die wordt getoetst.

Als je het zo zwart-wit zou stellen dat de politie absoluut niks anders mag ten opzichte van onschuldige burgers dan openbare bronnen gebruiken voor een rechtzaak dan komt er weinig terecht van opsporing. Dan zou een zware drugscrimineel met onversleutelde belastende informatie op zijn telefoon die toevallig wordt aangetroffen bij een drugsdeal, waarvan ze hem niet daadwerkelijk drugs zien overhandigen, misschien ook wel niet veroordeeld kunnen worden want onschuldig dus telefoon niet te doorzoeken.

Nico Klus @er0mess • 18 december 2020 19:21

Ik heb te weinig inormatie om een oordeel te vellen.

jurroen @er0mess • 18 december 2020 19:32

En ik noem het een gitzwarte dag voor privacy en (dus) mensenrechten.

Hoe zou je bijvoorbeeld xkeyscore van de NSA dan noemen? Nee, ik ben hier als privacy voorvechter niet heel blij mee; maar een individuele (per-case) basis is in mijn ogen wel beter dan het verbieden of afzwakken van encryptie. Of het op massale/globale basis doen zoals bijvoorbeeld de NSA dat doet; een aanpak waarbij je verdacht bent tenzij het tegendeel bewezen is.

GewoonWatSpulle 18 december 2020 14:57

Europol noemt het project een mijlpaal in de strijd tegen terrorisme en misdaad zonder encryptie af te zwakken.

Dus ze gaan niet vragen om backdoors in encryptie maar ze willen dat we zo makkelijk kraakbare encryptie blijven gebruiken? Dat gaat natuurlijk nooit lang goed.