Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 75 reacties
Bron: Wired

Cryptografie artikel - aankondigingWired meldt dat in het Amerikaanse Congres de discussie weer is opgelaaid omtrent encryptie-software. In het licht van de tragische gebeurtenissen afgelopen dinsdag, wordt de roep om sterke, slagkrachtige inlichtingendiensten steeds luider. Mede gezien het feit dat de VS de vermeende terrorist Osama bin Laden als belangrijke verdachte beschouwen en met in het achterhoofd dat bin Laden's organisaties veelvuldig van (sterke) encryptie gebruik maken, is het volgens verschillende Congresleden noodzakelijk dat inlichtingendiensten te allen tijde de mogelijkheid moeten hebben om geŽncrypte data te kunnen decrypten.

Voor lange tijd, vooral tijdens de Koude Oorlog, hebben de VS vastgehouden aan de regel dat sterke encryptie (met sleutels langer dan 32- en later 48 bits) onder de wapenwet viel als zijnde 'munitie', die slechts onder stricte voorwaarden mocht worden geŽxporteerd. Onder president Clinton is deze regel in 2000 versoepeld, waardoor ook voor andere (westerse) landen het gebruik van sterke encryptie binnen handbereik kwam.

De nu opgelaaide discussie in het Congres zou de in 2000 aangenomen wet kunnen terugdraaien tot een situatie waarbij (vooral Amerikaanse) inlichtingendiensten te allen tijde geŽncrypte data kunnen ontcijferen:

In a floor speech on Thursday, Sen. Judd Gregg (R-New Hampshire) called for a global prohibition on encryption products without backdoors for government surveillance.

"This is something that we need international cooperation on and we need to have movement on in order to get the information that allows us to anticipate and prevent what occurred in New York and in Washington," Gregg said, according to a copy of his remarks that an aide provided.

Werd het besluit in 2000 nog genomen met privacy als motto, op dit moment lijkt dat credo ondergeschikt aan de nu veel belangrijker geachtte binnenlandse veiligheid.

Moderatie-faq Wijzig weergave

Reacties (75)

Beetje misleidende titel, ik dacht dat ze eindelijk een halt wilden toeroepen aan backdoors..

[edit] en als de titel gewijzigd wordt, van
[quote]
Congres VS: stop 'backdoors' in encryptie-software
[/quote] naar iets minder ambigues, krijg ik hier natuurlijk een 'first post' waardering.. ;)
Inderdaad, ik wist niet wat ik las. Backdoors in encryptiesoftware? Is toch te gek voor woorden...

Maar an het artikel gelezen te hebben heb ik nog dezelfde mening. Alsof je je huis volledig beveiligt met allerlei sloten en dan ťťn achterdeurtje half open laat voor de politie "voor noodgevallen". Waar gaat een inbreker als eerste naar toe? Juist: die aantrekkelijke backdoor.
Inderdaad, ik wist niet wat ik las. Backdoors in encryptiesoftware? Is toch te gek voor woorden...
dit bestond al heel lang hoor..denk bijna vanaf het begin van dit soort software....
neem bvb win nt....server os, dat toch goed beveiligd kon worden...daar is vorig jaar het bestandje nsakey in gevonden...(nsa=inlichtingen dienst-key=sleutel)
om maar ff een dwarsstraat te noemen...

elke encrypty software was verplicht om dit te doen...(alleen pgp deed dit niet(vooor zover ik weet)


edit:
pga verandert in pgp
Moet je eens op sex zoeken op je hd, hoeveel dll's je dan tegen komt...

Er is al gezegt dat dat toeval was van die nsa key.
hmmm zit wat in. :) ff wijzigen
ze zeggen het zelf als die organisaties HEBBEN al
sterke encryptie software ....
Dit gaat het dus niet oplossen.
achterdeurtjes in software.
Dat soort onrganisaties vertrouwens niks van amerika dus ook geen microsoft spullen.
Pcies. En ik kan me niet voorstellen dat dat soort organisaties gebruik maakt van standaart encryptie paketjes. Dus zijn de enigsten die ze hiermee kunnen pakken de gewone burger die juist encryptie gebruikt zodat hun belangrijke gegevens niet zomaar door iedere halve zool gelezen kan worden. Naja als het congres hun zin krijgt dus wel, die backdoor zal snel bekend zijn over de hele wereld en kun je net zo goed de moeite van encryptie gebruiken besparen...
Om te voorkomen dat er onbekende crypties gebruikt worden zou dan alle mail gemonitord en tegen worden gehouden als het hier om gaat. Dit is echter ook niet voldoende omdat ik dan nog steeds een MP3 attachement o.i.d. zou kunnen maken met daarin een niet hoorbare maar wel decodeerbare boodschap. Hetzelfde geld voor wav midi exe jpg gif etc. deze bieden genoeg overhead om een bericht in te verstoppen.

Backdoors bouwen in bestaande encrypties is gewoon zinloos, zodra dit bekend is worden deze toch nooit gebruikt door terroristische organisaties. Het enige wat die nodig hebben is een programmeur (en deze hoeft niet eens over de modernste middelen te beschikken, 10 jaar geleden waren er ook al niet kraakbare crypties, zolang je het wachtwoord/key maar niet meestuurd in het bericht).

Het enige wat je hier mee bereikt is dat de terroristen nog zwaardere en niet volgbare berichten gaan maken. Nu weten ze nog dat er gecodeerd vekeer heeft plaats gevonden, deze informatie zou je dan ook niet meer hebben.

edit:

Iets duidelijker gemaakt :)
Het doel van encrypted verkeer (email bijvoorbeeld) is dat alleen de zender en de ontvanger kunnen lezen waar het om gaat, en dat de informatie niet in 'verkeerde' handen komt. Als er backdoor's in komen, dan heeft het encrypten geen zin, want dan schiet je je doel voorbij.

Aan de andere kant zijn er wel weer mogelijkheden om dit georganiseerd toe te laten. Het is met PGP bijvoorbeeld mogelijk om het mailtje naast de sleutel van de ontvanger ook te versleutelen met een corporate key. (oveheidssleutel in dit geval.) deze sleutel is opgesplitst in verschillende delen en minimaal 3 van de 5 delen moeten bij elkaar zijn om het mailtje leesbaar te kunnen maken. Als de overheid dan delen krijgt en toezichthouders ook, dan moeten ze er samen over eens zijn dat het noodzaak is alvorens het mailtje leesbaar wordt gemaakt. Natuurlijk moet alles afgedekt worden door de nodige procedures. Ik denk dat deze optie nog niet eens zo gek zou zijn, mits er zorgvuldig mee word omgegaan. het is natuurlijk wel de vraag in hoeverre privacy in het geding komt in verglijking tot (inter)nationaal belang.......mijn centen
Het zogeheten 'trusted escrow management' (trusted omdat gebruikers meer vertrouwen zouden hebben dat hun sleutel niet zonder meer wordt gebruikt om willekeurig te decoden) geloof ik.

Leuk is het wel bedacht, echter, met het gemiddelde certificaat is het mogelijk om nieuwe certificaten te signeren. Als we dus toegaan naar een omgeving waarin dit wordt toegepast op basis van X509 certificaten (waar het bijvoorbeeld binnen Surfnet wel op lijkt) gaat iedereen vervolgens zijn eigen prive sleutels aanmaken en die met zijn corporate sleutel signeren. Zie bijvoorbeeld http://pki.surfnet.nl/
Zo is PGPi(nternational) ontstaan, volgens mij hebben ze dat ergens in scandinaviŽ ingescand. Onder andere hierdoor is Amerika tot inzicht gekomen dat die export/wapenwetten te belachelijk zijn.

edit:
Deze hoort hier niet. Dit s een reactie op TeCuMSeH van 12:02!!!
Als de overheid dan delen krijgt en toezichthouders ook, dan moeten ze er samen over eens zijn dat het noodzaak is alvorens het mailtje leesbaar wordt gemaakt.
Maar hoe maak je een terrorist duidelijk dat het noodzaak is dat zijn mailtje gelezen kan worden ;)

Zonder geintjes, de inlichtingendienst van de vs zal snel alles willen kunnen lezen, daar zullen ze geen procedure voor nodig willen hebben. Dit uiteraard omdat de 'binnenlandse veiligheid' in het geding komt...
Je hebt geen toestemming nodig van de zender. Er is een ADK (aditional decryption key) die ook kan decoderen. Die is dan te verdelen. komt er een mailtje ergens langs zonder deze extra key, dan kun je hem laten blokken. is hij er wel, dan kan de overheid hem ook lezen.....Deze private key (de ADK) kan bijvoorbeeld beschermt worden door Biometrie, dan hebben hackers er ook niets aan...
Dat zou echt belachelijk zijn. Encryptie is er nu juist om privacy te garanderen (voor zover mogelijk) Ik snap best dat de Amerikanen zich nu op alle mogelijke wijzen het idee van veiligheid weer willen vergroten maar dit is niet de juiste weg. Het enige waar dit toe lijdt is het Big Brother is watching.
Volgens mij mag zoiets niet eens omdat het inbreuk is op de wet van privacy. Ik bedoel je mag ook niet zomaar in iemands kamer een camera ophangen.
Tja, er zijn gevallen, waar je beter wat lak aan privacy kunt hebben.

Natuurlijk is het geen inbreuk op een bepaalde wet. Tenminste, dat hoeft het niet te zijn. Normaliter is telefoongesprekken afluisteren ook niet legaal, maar de politie mag het onder bepaalde voorwaarden doen.

Wat mij betreft mag dit ook voor allerlei digitale systemen gelden.


Verder zie ik het nut van deze congres maatregel ook niet in.
Het heeft natuurlijk twee kanten... is zeker makkelijk voor dit soort zaken, maar ook voor hackers.
Wat heb je aan encryptie, als anderen, buiten de ontvanger, de informatie kunnen decrypten?
Niets.
Die Amerikanen zijn trouwens hypocriet als de pest. Eerst heel lovend lullen over de mogelijkheden van privacy, en vervolgens alles omver schoppen voor de binnenlandse veiligheid.
Ook hier wordt de ramp weer als excuus gebruikt voor iets wat niet moet kunnen.

[update]
Overigens, ze kunnen verplichten wat ze willen, echte terroristen ontwikkelen dan wel hun eigen encryptie software zonder backdoor. Weer een lekker loos plan door leeghoofden die niet weten waar ze over lullen.
* 786562 Rene59
Een backdoor, dat is toch een bug? Als dat er komt zal het wel beperkt blijven tot commerciele software, want met de source erbij heb je dat gat er zo uit ;-)
Een backdoor, dat is toch een bug?
Mmm, geen smiley dus ik reageer maar even. Een backdoor is een 'ingang' die je opzettelijk in het systeem zet. Daarmee heb je de mogelijkheid om in bepaalde (welke ?) gevallen naar binnen te kunnen.

Stel, je zet bij een klant een IT-omgeving neer die de klant zelf gaat beheren. Je zou een extra admin-account aan kunnen brengen zodat je te hulp kunt schieten als klant het administrator wachtwoord heeft gewijzigd en het nu niet meer weet. (komt echt voor)
Het is geen bug, maar een verplichte 'achterdeur' in je software die de FBI of CIA toegang moeten geven tot je gegevens indien zij dat nodig achten
Voordat Clinton die regel in 2000 versoepelde, was het ook al mogelijk om 128-bits versleuteling of groter te gebruiken. Kijk maar naar PgPi. Ook was er een patch voor bijv. Netscape om 128-bits SSL te gebruiken. Deze moest je wel later zelf installeren, vanaf een server buiten de US.
Maar je mocht geen geencrypte berichten en encryptionsoftware het land in en uit exporteren.
En volgens mij mag je in bepaalde landen zoals Frankrijk okk geen grotere encry[tie dan 32bits gebruiken tenzij je het wachtwoord doorgeeft aan de inlichtingendienst. Ook in Nederland was volgens mij 32bits max. (vanwege BVD, maar dat is prob vrijgegeven)
Nee je mog het inderdaat niet exporteren in digitale vorm daarom hebben ze de source code van PGP uitgeprint en in duitseland weer in gescanned!!! en vervolgens in duitseland gecompiled!!!
dat ze het uitgeprint hebben geloof ik wel, maar volgens mij hebben ze tegelijk ook even een cdrom/laptop/diskette meegenomen valt toch haast niet te controleren.
met in het achterhoofd dat bin Laden's organisaties veelvuldig van
(sterke) encryptie gebruik maken
Wat een onzin! Iedereen die eventjes 3 klikken ver kijkt kan lezen dat de organisatie van bin Laden gebruikt maakt van een techniek die Steganography heet. Hiermee worden berichten voor het oog onzichtbaar gemaakt in andere documenten. Byvoorbeeld door de laatste bitjes in een JPG file te gebruiken voor je bericht, iets van je in een True Colour plaatje dus niet ziet.

Er staat nameijk:
USA Today reported on Tuesday that bin Laden and others "are hiding maps and photographs of terrorist targets and posting instructions for terrorist activities on sports chat rooms, pornographic bulletin boards and other websites
Dus de discussie over het aantal bits dat nodig is voor encryptie (is dus een heel andere techniek) wordt waarschijnlijk gevoerd door mensen in het Congres die andere belangen hebben (Big Brother dudes), zoals het afluisteren van hun eigen onderdanen. De actie van dinsdag geeft hun nu dus de gelegenheid om te zeggen "zie je wel" terwijl het voor de oplettende lezer een bewijs van niks is. Helaas heeft het grote publiek dit toch niet door |:(
+4 inzichtvol voor plok... ik heb al gepost.. :)
Het zat er al aan te komen, daadkrachtig optreden van hoge VS politici.

Er gaan nu al geruchten dat de aanslag van dinsdag net zo goed op hoog niveau binnen de VS georganiseerd zou kunnen zijn, bij wie gaan de budgetten omhoog, wie krijgt meer macht etcetc. Okee, populair geblaat...
(maar we weten nog steeds niet wat er met 2 vliegtuigen gebeurd is, 1 vloog als 2e op het pentagon af, een ander is ook verdwenen..)

Dit bericht geeft wel alvast de stemming aan waarmee de politiek zaken gaat regelen, mn op/mbt het internet ed: 'jamaar Bin Laden', en dan krijgen ze geld en toestemming om de meest idiote zaken ten uitvoer te brengen. Behalve Bin Laden te pakken te krijgen, hartstikke mooi dat ze die niet hebben, want dan moet je weer een andere Enemy of the State no1 gaan uitzoeken.... :r
Er gaan nu al geruchten dat de aanslag van dinsdag net zo goed op hoog niveau binnen de VS georganiseerd zou kunnen zijn, bij wie gaan de budgetten omhoog, wie krijgt meer macht etcetc. Okee, populair geblaat...
(maar we weten nog steeds niet wat er met 2 vliegtuigen gebeurd is, 1 vloog als 2e op het pentagon af, een ander is ook verdwenen..)
JAAA, laten we met z'n allen lekker paranoÔde gaan worden.
Conspiracy theoriŽn rulen.

Ikzelf dacht eigenlijk meer dat zoiets alleen het werk kan zijn van erg aggressieve aliens, of misschien van een Hogere Macht (Hij Die Daarboven Zij). ;)
Het is algemeen bekend dat bin Laden van PGP gebruik maakt al zolang het beschikbaar is (net als andere zielen met niet-nobele gedachten). En andere technieken, zoals jij noemt, maar zeker ook geencrypte communicatie met conventionele encryptie software.
Ik meen ergens gelezen *) te hebben dat er inderdaad sprake was dat Bin Laden mbv steganografie berichten verstuurt via veilingsites zoals e-bay... Naar aanleiding daarvan heeft iemand duizenden plaatjes gedownd om ze te ontcijferen... Geen enkele bevatte echter verborgen info... Niet dat het niet zo kan zijn, maar het bewijs is nog niet geleverd... Daarnaast maakt hij ook gebruik van fax en telefoon...

Het is dus ondoenlijk om het hele internet af te gaan zoeken naar bewijsmateriaal... Denk dat er gewoon naar de persoon zelf gezocht moet gaan worden en niet direct naar de info die hij verstuurd...

*) http://www.tweakers.net/nieuws/18436
Deze maatregel maakt niks uit. Als deze mensen het net een beetje kennen hebben ze zo een versie zonder backdoor.
Kijk maar eens naar de hoeveelheid illegale software die vrij down te loaden is. Zo'n encryptie pakket zonder backdoor zou binnen een dag het hele net overgaan op het moment dat de regel van kracht word.

Dat is immers met de originele PGP ook gebeurd. Om een voorbeeldje te geven van hoe dit werkt, moet je je maar eens afvragen waar die divx codec vandaan komt waar je al die leuke nieuwe filmpjes mee bekijkt :D
En wat als er in de wet een regel komt in de trant van: Gebruik, ontwikkeling en/of bezit van encryptie-software zonder backdoor zal beschouwd worden als staatsondermijnende activiteit en zal bestraft worden met 20 jaar cel....

Illegale encryptie wordt dan al snel minder aantrekkelijk.
Als ze zo'n wet invoeren kunnen we beter meteen doorstomen naar een totale politie-staat, zijn we tenminste van de onduidelijkheid af.

Zoals mensen al opmerkten: De VS zijn weer eens hypocriet bezig (ok,ok, ze zijn geschrokken, maar dat is GEEN excuus).
Als ze zo'n wet invoeren kunnen we beter meteen doorstomen naar een totale politie-staat
Dat is overigens waar ik bang voor ben! :(
<paranoide>
De overheid grijpt de ongrijpbaarheid van terreur-plegers en -planners misschien wel aan om het land opnieuw als poitiestaat a-la de Sovjet Unie en de DDR in te richten.
</paranoide>

Volgens mij ligt de oplossing van dit hele systeem van onveiligheid niet in technologie, maar ergens in het veld van 'methodiek', zoals bijvoorbeeld de methodiek van sociale controle, recht en democratie op zich (meeste stemmen gelden).

Iemand een idee? :*)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True