WhatsApp en Signal dreigen gebruikers in VK af te sluiten vanwege nieuwe wet

Chatapps WhatsApp en Signal dreigen op zwart te gaan in het Verenigd Koninkrijk als gevolg van een nieuwe wet die chatapps verplicht chats te scannen op materiaal van kindermisbruik. WhatsApp en Signal zeggen liever weg te gaan uit het VK dan te voldoen aan de nieuwe wet.

WhatsApp en Signal redeneren volgens Politico dat het onmogelijk is te scannen naar materiaal van kindermisbruik zonder de end-to-endencryptie van de chatapps te breken. Volgens Britse politici kan dat wel en moeten de chatapps daarom voldoen aan de wet.

De chatapps zeiden vorige maand al te protesteren tegen de nieuwe wet. Dat gebeurde toen met een open brief aan de Britse overheid en andere overheden. "Kortom, het wetsontwerp vormt een ongekende bedreiging voor de privacy, veiligheid en beveiliging van elke burger van het Verenigd Koninkrijk en de mensen met wie zij communiceren. Het moedigt andere, vijandige regeringen aan die wellicht zullen proberen ook zulke wetten te maken." De brief was ondertekend door topmensen van WhatsApp, Session, Signal, Element, Threema, Viber en Wire.

De chatdiensten zien end-to-endencryptie als een cruciaal element van hun chatapps en weigeren die te breken om te scannen op materiaal van kindermisbruik. Apple heeft geprobeerd om een systeem in iOS 15 te zetten met een scan op de telefoon zelf, maar heeft dat plan teruggetrokken nadat er veel interne en externe kritiek kwam op het plan. Veel chatplatforms maken gebruik van end-to-endencryptie om chats te beveiligen, zodat mensen veilig onderling kunnen communiceren.

De basis van Apple Private Set Intersection, de techniek die het bedrijf wil gebruiken om afbeeldingen te scannen

Door Arnoud Wokke

Redacteur

Feedback • 03-05-2023 08:17
230 • submitter: juliank

03-05-2023 • 08:17

230 Linkedin

Submitter: juliank

Lees meer

WhatsApp test volgens WABetaInfo unieke gebruikersnamen Nieuws van 25 mei 2023
WhatsApp en Signal protesteren tegen Britse wet over scannen naar kinderporno Nieuws van 18 april 2023
Amerikaanse staat Montana stemt voor wet die TikTok vanaf 2024 verbiedt Nieuws van 15 april 2023
Netflix-wachtwoord delen is illegaal volgens Britse overheidsorganisatie Nieuws van 22 december 2022
Britse overheid wil maken en verspreiden deepfakeporno expliciet strafbaar maken Nieuws van 25 november 2022
Meer producten en artikelen
Politiek en recht Encryptie Signal Whatsapp

Reacties (230)

-Moderatie-faq
230
227
138
9
0
65
Wijzig sortering
WendelV
3 mei 2023 08:36
Worden plaatjes ook e2e encrypted verstuurd? Voorheen deed WhatsApp dat gewoon via tijdelijke public URL op hun server, security through obscurity
WhatsappHack
@WendelV3 mei 2023 08:57
Die worden al sinds het begin van de introductie van E2EE in WhatsApp versleutelt. De app op je telefoon versleutelt de bijlage, upload het naar de server en stuurt vervolgens naar de ontvangers een pointer naar de blobstore en een sleutel om de bijlage te kunnen decrypten. Je zou kunnen stellen dat de pointer een "publieke URL" is, maar a.) zo publiek is die dus niet, want enkel de ontvangers krijgen hem (zij kunnen het doorsturen, maar dat kunnen ze sowieso gezien je ze een kopie hebt gegeven van je afbeelding) b.) het is volatiel, c.) zonder de bijbehorende sleutel heb je er geen reet aan, dus zelfs ALS je de pointer zou kunnen raden heb je alsnog enkel waardeloze gibberish in handen.

Dat is geen security through obscurity, maar gewoon security. En prima doordacht, anders moet je in een groep of broadcast list met 200 man vervolgens 200x de bijlage gaan versleutelen en apart uploaden. Voor een filmpje van 25MB moet je dan 5GB data gaan verstoken, dat gaat nergens over.

[Reactie gewijzigd door WhatsappHack op 3 mei 2023 08:58]

Olaf van der Spek
@WhatsappHack3 mei 2023 09:13
b.) het is volatiel
Wat is er volatiel aan?
anders moet je in een groep of broadcast list met 200 man vervolgens 200x de bijlage gaan versleutelen en apart uploaden.
Zou ook via hetzelfde kanaal als tekstberichten kunnen toch?

[Reactie gewijzigd door Olaf van der Spek op 3 mei 2023 09:15]

WhatsappHack
@Olaf van der Spek3 mei 2023 09:23
Wat is er volatiel aan?
De blobstore knikkert bijlagen vrij vlot na access weer weg. De enige reden dat het er langer op kan staan is als de ontvanger(s) niet online komen om het te downloaden. Als je te lang wacht kan de client de bijlage niet meer downloaden en zul je de verzender moeten vragen het opnieuw te sturen.
Zou ook via hetzelfde kanaal als tekstberichten kunnen toch?
Ik snap even niet wat je hiermee bedoelt?
Olaf van der Spek
@WhatsappHack3 mei 2023 09:27
Tekstberichten gaan niet via de blob store (neem ik aan), in theorie zouden afbeeldingen hetzelfde behandeld kunnen worden als (langs) tekstberichten (ala usenet base64 enzo).
De blobstore knikkert bijlagen vrij vlot na access weer weg.
Dat kan in een grote groepschat dus wel even duren?

[Reactie gewijzigd door Olaf van der Spek op 3 mei 2023 09:29]

WhatsappHack
@Olaf van der Spek3 mei 2023 10:38
Tekstberichten gaan niet via de blob store (neem ik aan), in theorie zouden afbeeldingen hetzelfde behandeld kunnen worden als (langs) tekstberichten (ala usenet base64 enzo).
Sure, dat zou je kunnen doen; maar ik denk dat dat inefficient is en je eigenlijk dezelfde "problemen" krijgt; enkel via een ander kanaal dat er eigenlijk nooit op ontworpen is vanwege efficiënte doelen. En je schiet er dan niets mee op tenzij ik je verkeerd begrijp. Immers: bij tekstberichten is het normaal zo dat als jij/je ontvanger multi-device werkt EN/OF als je naar meerdere mensen een bericht wil (door)sturen (eg: broadcast list), dat dan het bericht meermaals versleuteld wordt met de daarvoor bestemde unieke keys (ratchet functie) per gebruiker/device. Die individuele berichten worden allen geupload naar de messenger servers. Voor tekstberichten boeit dat heel weinig omdat die verwaarloosbaar groot zijn, die paar bytes aan data nog een keer versleutelen en opslaan is geen enkel probleem. Daarom gaan de decryptiesleutel en de blobpointer wél over het tekstkanaal (met unieke keys om de sleutel te beveiligen), zodat end-to-end encryptie tussen alle clients (multi-user en multi-device) gewaarborgd blijft; óok voor de bijlagen. (De bijlage heeft weliswaar één key for all, maar de uitwisseling van de pointer en die decryptiesleutel gaan wel over het uniek per-user/device versleutelde E2EE kanaal, waardoor je de sleutel sterk beveiligt én authenticatie hebt.)

Maar: als je bijlagen - of het nou een afbeelding, video, PDFje of wat dan ook is - ook via dat kanaal versleuteld wil gaan versturen, dan krijg je dus dat de verzender fors meer batterij gaat verbruiken om de boel meermaals te versleutelen en fors meer data gaat verstoken omdat elk bericht uniek moet zijn dankzij die unieke sleutels; en die unieke sleutels per bericht zijn verplicht vanwege de manier waarop het protocol en de encryptie werkt om o.a. PFS en Future Secrecy te garanderen. (En dan ook nog even bedenken: soms sturen mensen rustig 30 afbeeldingen tegelijk. Dan gaat het opeens heel snel qua data, resources, vereiste opslag, etc. Met een broadcast list aan 30 mensen moet je dan 30 x 30 afbeeldingen gaan versleutelen; als je multi-device werkt is het al tenminste 31 x 30 en zo voorts.) Dan moet je daarnaast dus in de metadata van het bericht meegeven dat er een bijlage bij zit ipv dat het een tekstbericht is. En daarvan moet de client dan ook eerst nog kunnen zeggen "Die bijlage wil ik nu niet hebben, want ik zit op 4G" (of als ze de instelling hebben dat ze altijd eerst erop moeten tikken om te downloaden, gebeurt dat altijd) - terwijl tekstberichten normaal gesproken juist direct afgeleverd worden zodra de user online komt. Dan moet (dat deel van) het bericht dus op de reguliere server blijven staan terwijl die normaliter eigenlijk afgeleverd zou moeten worden omdat het een tekstbericht is. Dat is dus niet perse anders dan de blobstore en dan ben je dus geen meter opgeschoten, maar ben je er eigenlijk juist op achteruit gegaan vanwege het verhoogde data- en resource-verbruik plus moet je tekstbericht A anders gaan behandelen dan tekstbericht B.

Goed, je zou kunnen zeggen: maar dan doen we hetzelfde trucje om data, CPU cycles en batterij te besparen: de bijlage versleutelen we AES en rammen we in base64 over het reguliere tekstkanaal tezamen met de key en geven in de metadata aan dat het een bijlage is. Zo besparen we 30x30 cycles zoals in het voorbeeld hierboven. Maarrrrr wat je dan doet is eigenlijk het breken van de unieke keys die normaal gesproken worden gebruikt voor elk individueel tekstbericht. Wat je nu hebt ontwikkeld is eigenlijk een Frankenstein: je tekstberichten horen een unieke key te gebruiken en uiterst volatiel te zijn per user/device, maar dat wordt nu opeens een single key speciaal voor afbeeldingen die in de client en op de server apart afgehandeld moet worden. Wat heb je gedaan? Je hebt de messenger servers nu de facto een veredelde blobstore gemaakt en je bent wederom dus niets opgeschoten, maar er enkel op achteruit gegaan naar mijn mening.

Daar komt nog bij dat de messenger servers extreem light-weight ontworpen zijn. Ik weet niet hoe het nu zit, maar een paar jaar geleden kon één server (bare-metal en niet eens met wereldschokkende specs ofzo) een paar miljoen *unieke gebruikers* tegelijk online aan. Zo efficiënt was dat ingericht. Als die servers opeens tig meer I/O moeten gaan doen en de bewaartijd vaak langer dan normaal zou zijn, dan ondermijn je de efficiëntie van de hele setup omdat diezelfde server nu opeens ook veel I/O-intensievere taken moet gaan verrichten een hybride tussen messenger en bijlagen wordt; daar ga je nooit dezelfde efficiëntie mee behalen. Plus: bij de scheiding zoals die nu is heb je 2 sets aan failure points ipv een SPoF. Zo is het weleens voorgekomen dat iedereen probleemloos kon chatten met elkaar, maar bijlagen niet werden verstuurd/ontvangen vanwege issues met/onderhoud aan de storage.


Ergo: zowel om uniformiteit in de encryptiemethode op het tekstkanaal te bewaken, een makkelijker manier te hebben voor multi-client synchronisatie, broadcast lists én groepen op een uiterst efficiënte manier, denk ik dat de huidige methode om bijlagen volledig te scheiden van het tekstkanaal superieur is aan het uitwisselen van bijlagen over datzelfde tekstkanaal zoals jij voorstelt - ook voor relatief kleine zaken zoals een afbeelding/meerdere afbeeldingen. Het is gewoon vele malen efficiënter en slimmer ingericht nu.
Dat kan in een grote groepschat dus wel even duren?
Als het een groep is met veel leden die maar eens in de zoveel tijd online komen of nooit kiezen om de bijlagen te downloaden, dan kan het inderdaad langer duren voor het expunged wordt dan wat je ziet qua volatiliteit bij één op één chats, broadcast lists en actieve groepen. (Overigens gaat het bij een één op één chat ook niet direct van de blobstore af, er zit een kleine marge in voor het geval de verzender dezelfde bijlage nog gaat versturen naar andere mensen óf de ontvanger dat bericht doorstuurt naar anderen. Als de pointer vervallen is en je wil het doorsturen, dan versleutelt jouw client het opnieuw en upload deze met een nieuwe AES-key naar de blobstore.)

[Reactie gewijzigd door WhatsappHack op 3 mei 2023 10:46]

kaas-schaaf
@Olaf van der Spek3 mei 2023 09:42
Dat kan in een grote groepschat dus wel even duren?
Bovendien werkt dat wellicht voor 1, 10 of 100 users maar niet voor miljoenen. Daarnaast neem ik neem aan dat de telecomboeren en hun klanten ook wel gaan klaagen als de FUP ineens werkelijk gebruikt gaat worden om mensen af te knijpen omdat ze enkele plaatjes van 10mb van de kinderen in een groepschat aan 100 familieleden verstuurt hebben.
terror538
@Olaf van der Spek3 mei 2023 10:06
Waarom zou je dat doen als je de afbeelding kan versleutelen middels 1 sleutel en dan die sleutel (uiteraard weer versleuteld) via je standaard kanaal versturen?

Als je het via het standaard kanaal verstuurd naar een groep moet de eindgebruiker de afbeelding N keer uniek versleutelen omdat dat kanaal nou eenmaal zo werkt.

Het is een simpele en elegante oplossing.
Grrrrrene
@Olaf van der Spek3 mei 2023 13:36
Dingen die je in een grote groepschat post, zijn doorgaans wat minder privacy-gevoelig, maar ik weet niet of die time-out voor een groepschat anders is dan een 1:1 chat.
HakanX
@WhatsappHack3 mei 2023 16:17
[...]
De blobstore knikkert bijlagen vrij vlot na access weer weg. De enige reden dat het er langer op kan staan is als de ontvanger(s) niet online komen om het te downloaden. Als je te lang wacht kan de client de bijlage niet meer downloaden en zul je de verzender moeten vragen het opnieuw te sturen.
Vrij vlot staat wel weer open voor interpretatie. Ik heb het net even uitgetest door mijn telefoon op vliegtuigstand te zetten en via whatsapp web oude bijlagen binnen te halen. Bijlagen van 17 april kwamen nog binnen, 14 april niet. Voor mijn mening is dat toch iets anders dan een tijdelijke blob.
Nark0tiX
@WhatsappHack4 mei 2023 13:26
Dat is toch het hele issue. Zal pas verzonden moeten worden als ontvanger online is. Het liefst peer2peer
Tassadar32
@WhatsappHack3 mei 2023 10:09
In een grote groepschat zou je eventueel aan een oplossing als een torrent swarm kunnen denken om iedereen gelijk te laten delen in het dataverbruik van de groep.
WhatsappHack
@Tassadar323 mei 2023 11:09
Je bedoelt om de noodzaak voor een blobstore weg te nemen? Dat zou in principe kunnen, maar dan moet de groep inderdaad wel groot genoeg zijn, omdat je zit met a-synchroniciteit, batterijverbruik en dataverbruik. Er moet dus altijd perse tenminste één persoon online zijn ofwel op WiFi of met mobiele data toegestaan en de app open hebben (omdat je niet wilt dat ie steeds op de achtegrond gepolld wordt voor een upload) op precies dat moment dat jij de bijlage wil downloaden. (En overigens zal het data- en batterijverbruik van de app dan sowieso omhoog gaan.) En als het steeds Pietje is die veelal online is, dan krijg je dat Pietje opeens eigenlijk voor servertje aan het spelen is voor de groep en kan je nog niet spreken van "gelijk laten delen". :P

Om het makkelijk te houden qua ontwikkeling, qua efficiëntie en om beter te kunnen garanderen dat bijlagen over het algemeen (storingen zijn vrij zeldzaam :)) te allen tijde beschikbaar zijn (tenzij je echt heel lang niet online bent geweest, maarja: dan vraag je maar of het opnieuw verstuurd kan worden.) is een AES-blobstore + de pointer & keys uitwisselen over het reguliere E2EE-kanaal denk ik de betere keuze in deze setup; zeker omdat die tekstberichten ook centraal uitgewisseld worden.

[Reactie gewijzigd door WhatsappHack op 3 mei 2023 11:11]

WendelV
@WhatsappHack3 mei 2023 19:43
Het was voorheen zeker het geval dat foto's gewoon een publieke URL kregen, waar de andere partij het plaatje kon downloaden. Dat was 2013/2014 zeker zo.

Die URL was niet te raden, maar de URL kon je doorspelen naar ieder ander, die dan ook het plaatje kon zien.
!GN!T!ON
@WendelV4 mei 2023 11:11
E2EE is ook pas ergens in 2016 geintroduceerd binnen whatsapp, dus dat kan prima kloppen.
WMax70
@WhatsappHack3 mei 2023 23:06
Dat lijkt me sterk. Misschien worden plaatjes e2e verstuurd, maar ze blijven zeker niet encrypted.
Plaatjes die via WhatsApp komen kan je gewoon uitlezen op je telefoon zonder Whatsapp.
Die staan daar niet encrypted.
Ook andere programmas kunnen daar gewoon aan. Ze staan gewoon in de Whatsapp map.
Ze staan daar niet encrypted en evenmin op de iCloud & google servers.
Dat is wel het geval bij Signal, die ook duidelijk waarschuwd als je de bestanden wilt opslaan.

Verder niet vreemd dat Whatsapp mee protesteert. Ze gebruiken een deel van de e2e encryptie algoritmen onder licentie van Signal. Signal is eigenaar, en als die stopt, kan Whatsapp ook niets meer met de e2e encryptie.
WhatsappHack
@WMax704 mei 2023 00:08
Niets "misschien" aan, afbeeldingen worden daadwerkelijk gewoon E2EE-versleuteld verstuurt; daar is geen discussie over. :) Dat ze niet encrypted blijven na ontvangst is nogal logisch (en irrelevant binnen de context van wel/niet E2EE uitgewisseld waar het in deze thread over gaat), je wilt immers wel het plaatje kunnen bekijken als ontvanger. :+ Dus bij ontvangst pel je de encryptie laag weg met behulp van de key, zo werkt dat. Mensen willen over het algemeen graag de afbeelding daadwerkelijk zien, niet een tekstbestand met een reeks vage tekens waar ze niets van snappen. ;) Op iPhone kunnen andere apps over het algemeen overigens niet zomaar bij a.) de storage van andere apps (sandbox & App Groups), b.) je filmrol, zonder dat je daar toestemming voor geeft. (Als je toestemming geeft aan een app voor volledige toegang tot je Filmrol en je laat WhatsApp syncen met je Filmrol, dan kunnen andere apps bij openen inderdaad toegang krijgen tot plaatjes origineel uitgewisseld via WhatsApp. Iets dat overigens ook geen enkele afbreuk doet aan de E2E-encryptie waar het hier over ging.) Je iPhone-opslag zelf is by default versleutelt, tenzij je hebt gekozen om geen beveiligingscode te gebruiken. (Waarom je dat zou doen is mij een raadsel.) Wat je daar dus zegt over andere apps/algemene permissies en versleuteling is onjuist dan wel op z'n minst onvolledig.

Als je er daarnaast voor kiest om WhatsApp automatisch alle foto's naar je filmrol te laten kopiëren (zowel algemeen als per chat/groep instelbaar) terwijl je gebruik maakt van iCloud Photo's en je iCloud daarnaast niet hebt beveiligd met Advanced Data Protection (iets noobvriendelijkere pagina in NL), dan kan het inderdaad zo zijn dat je afbeeldingen plain-text accessible (noot: dat is niet hetzelfde als onversleuteld opgeslagen!) maakt voor Apple. Maar daar kies je dan zelf voor door WhatsApp a.) te laten syncen met je Filmrol, b.) te kiezen om de Filmrol te synchroniseren met iCloud én daarnaast c.) te kiezen om geen gebruik te maken van ADP, waardoor Apple er in principe bijkan als ze dat willen. Dat heb je allemaal helemaal zélf in de hand en heeft niets te maken met de E2EE bij uitwisseling noch per definitie de algemene veiligheid - je maakt zelf je afwegingen of je veiligheid inruilt voor gebruiksgemak. Dus ook die uitspraak m.b.t. iCloud vind ik ongenuanceerd/onvolledig. Dit geldt overigens eveneens voor Signal of elke andere app; je kan prima de foto's naar je filmrol opslaan; maar als je dat doet met iCloud Photo's ingeschakeld én ADP uitgeschakeld: tja.

Hetzelfde geldt overigens voor WhatsApp's backups naar iCloud. Als jij er voor kiest om geen gebruik te maken van WhatsApp's functie voor E2EE-backups met eigen key management EN daarnaast kies je er ook voor om geen gebruik te maken van iCloud ADP: dan is er in theorie de mogelijkheid dat een overheid je back-upbestand opvraagt bij Apple én je sleutel eist van WhatsApp om zo toegang te krijgen tot de inhoud van je back-ups en/of toegang eist tot je bijlagen (incl. afbeeldingen). Bij een OF in plaats van EN is die Window of Opportunity al gesloten, want dan is één van de twee versleuteld op een manier waarbij je zelf de key beheert. (En doe je het beiden wel dan ben je veilig zelfs als één van de twee sleutels gejat/gekraakt wordt.)

Het is zodoende zo 'onveilig' of veilig als je het zelf wil maken, maar niets van dat alles doet ook maar iets af aan het feit dat afbeeldingen end-to-end encrypted worden verstuurd. Dat is gewoon een feit, dus dát hoeft je in ieder geval niet sterk te lijken. :)
Verder niet vreemd dat Whatsapp mee protesteert. Ze gebruiken een deel van de e2e encryptie algoritmen onder licentie van Signal. Signal is eigenaar, en als die stopt, kan Whatsapp ook niets meer met de e2e encryptie.
Signal Protocol is opensource... En als dat niet zo was of er sprake is van een speciale licentie, dan denk je toch niet serieus dat een bedrijf als META daar zelf niet over nadenkt en zichzelf volledig afhankelijk maakt van de grillen van een leverancier of zichzelf chantabel maakt? :P Daar zitten hele legers advocaten.


-edit- Ook de wat noobvriendelijkere variant van ADP toegevoegd ipv enkel de uitgebreidere documentatie.

[Reactie gewijzigd door WhatsappHack op 4 mei 2023 00:20]

blinchik
@WendelV3 mei 2023 11:10
Als je over security wil spreken denk ik dat vooral de backup een risico is. Backup naar Google Drive is standaard en telt zelfs niet bij je dataverbruik in Google. Ik weet niet exact hoe het onderliggend werkt maar die backup kan je ook gewoon terugzetten zonder zelf een code te moeten ingeven, de encryptiecode van die backup (of is die backup niet encrypted?) moet dus wel ergens bij Whatsapp of Google zitten...
WhatsappHack
@blinchik3 mei 2023 11:14
De backup van je berichten* wordt door de client versleutelt en geupload naar Google Drive of iCloud. Als je inlogt bij WhatsApp (en als je dat aan hebt staan: succesvol door 2FA heenkomt), dan krijg je van de server je key. De cloudboer heeft dus wel de backup, maar niet de key. En WhatsApp heeft niet de backup, maar wel de key. Dat is relatief veilig, zeker omdat je geen single point of attack hebt; een aanvaller moet dus toegang hebben tot je cloud-account, tot je WhatsApp (en dus je telefoonnummer) en indien ingeschakeld je 2FA code weten - maar een overheid zou in principe bij Google kunnen vragen naar het backup-bestand en bij WhatsApp naar de key...

... Daarom kan je er daarnaast tegenwoordig voor kiezen om een eigen sleutel te kiezen voor je back-up; end-to-end encrypted backups noemen ze dat. (Zie instellingen). Dan heeft niemand behalve jij de sleutel. Omdat het merendeel van de users achteloze noobs zijn, is de default echter methode 1; immers als je de eigen gemaakte sleutel verliest kan je nooit meer je backup ontsleutelen, maar dat is aan veel mensen maar lastig uit te leggen of ze lezen simpelweg niet. Maar je hebt dus wel degelijk de keuze om de sleutel voor je backup in eigen beheer te nemen als je dat graag wilt.

* = Het was zo dat dit bij non-E2EE backups (zonder eigen key dus) enkel voor berichten was en niet voor afbeeldingen. Ik weet niet of dat nu nog zo is, weet enkel dat bij E2EE-backups *alles* versleuteld wordt met de door jou gekozen key; dus ook bijlagen.

[Reactie gewijzigd door WhatsappHack op 3 mei 2023 11:19]

AnonymousWP
@WendelV3 mei 2023 08:47
Afbeeldingen worden al sinds dat E2EE ondersteund wordt versleuteld, wat dus sinds 2014 zo is.
Overv
@WendelV3 mei 2023 18:54
Afgezien van het feit dat het niet zo simpel is, is dit geen security through obscurity. Anders zou een gebruikersnaam & wachtwoord ook tellen als security through obscurity, want het is alleen maar "een moeilijk raadbare code".
Caayn
3 mei 2023 08:19
Volgens Britse politici kan dat wel en moeten de chatapps daarom voldoen aan de wet.
Ik ben heel benieuwd hoe de Britse politici denken end-to-end encrypted berichten te kunnen controleren op inhoud.
Luchtbakker
@Caayn3 mei 2023 08:22
Lokaal scannen is de enige optie, daar waar het decrypted is. Maar zoals het artikel aangeeft is dat niet iets wat op app niveau kan, maar op OS niveau waar Apple en Google iets van moeten vinden en doen.
hiostu
@Luchtbakker3 mei 2023 08:27
Waarom zou dit niet op app niveau werken? Als app maker kun je best van de foto's die toegevoegd worden in een app de finger print genereren en deze tegen de beschikbare databases aanhouden. Dat hoeft echt niet per se op OS niveau te gebeuren. Maar dan gaat het uiteraard wel alleen om afbeeldingen die in de app verstuurd worden en niet om alle afbeeldingen die op het device staan.
Jazco2nd
@hiostu3 mei 2023 08:35
Je fingerprint klopt natuurlijk al heel gauw niet meer bij de kleinste aanpassing van een plaatje. Dus het lijkt me een stuk ingewikkelder..
Caayn
@Jazco2nd3 mei 2023 08:37
Daar zijn o.a. fuzzy hashes (https://www.microsoft.com...ction-evasion-techniques/) voor uitgevonden maar dan is de kans op een false-positive ook groter. Zoals wij weten is er geen enkele manier voor een gewone sterveling om een false-positive aan te vechten: review: De muur van techbedrijven na afsluiten account

[Reactie gewijzigd door Caayn op 3 mei 2023 08:38]

pepsiblik
@Caayn3 mei 2023 09:35
Fuzzy? Dus als ik een foto stuur aan mijn ex vrouw van mijn kind om een verwonding te laten zien op haar bil, dan wordt dat als kinderporno aangemerkt? Lekkere boel!
cyclone
@pepsiblik3 mei 2023 09:52
Dit is dus 1 van de vele goede redenen waarom Signal / WhatsApp dit ook structureel weigeren en ook Apple terug is gekomen van haar voornemen.

Laten we vooropstellen dat kinderporno verachterlijk is en ook ik dit het liefst uitgebannen zie voor ik verder ga (houdt dit dus even goed in gedachten).

Er zijn behalve kinderporno nog legio andere onderwerpen die ik / we het liefst uitbannen en niet willen fasciliteren met een berichten app.
Echter zou er nu wel een prescedent geschept gaan worden over de rug van kinderen (kinderporno) voor de het volgende wat we willen uitbannen and so on and so on.
Behalve dat al zouden we nu gehoor geven aan "de politici" uit het VK dan nog ban je hiermee kindermisbruik niet uit dan wel lost het iets op. Tegen dit soort lui is geen kruid gewassen en vindt men weer wel een ander kanaal.
Kortom stel Signal en Whatsapp geven wel gehoor, dan lost dit niets op de kindermisbruikers kiezen een ander kanaal en gaan door met hun praktijken echter is er wel een prescedent geschept om Signal en Whatsapp behalve te scannen op kinder porno wellicht op criminele activiteiten te scannen of financiele fraude.
Met alle nadelige gevolgen van dien (false possitives etc. etc.) het is niets meer of minder een slinkse wijze om 1984 te bewerkstelligen (Big Brother is Watching you).

Houdt dit goed in uw achterhoofd bij het lezen over of voeren van dit soort discussies.
Want dit is het grote doel en dit onder het mom om Kinder Porno aan te pakken.

Ik vind daar wel iets van.
T-men
@cyclone3 mei 2023 13:17
Tegen dit soort lui is geen kruid gewassen en vindt men weer wel een ander kanaal.
Hoe waar ook, en hoe eens ik het ook ben met je conclusie, toch vindt ik dit een heel slecht argument. Als iedereen er zo over denkt, dan blijven er inderdaad altijd kanalen over. Je moet het dit soort lui zo moeilijk mogelijk maken.

Nogmaals: ik ben het eens met je conclusie, alleen niet met dit stukje van je onderbouwing. Wél met het 1984-deel !
cyclone
@T-men3 mei 2023 15:09
Lastig om dit compleet in al zijn nuances in een kort stukje tekst goed uit een te zetten.
Al ben ik van mening dat de geschiedenis leert dat er altijd kanalen blijven of ontstaan ongeacht welke (technische) blokkades er worden opgeworpen.

Maar voorop prevaleert natuurlijk wel dat je dit soort zaken niet makkelijk wilt faciliteren, niets doen is ook geen optie. Die mening deel ik.
Timmiejj
@T-men4 mei 2023 16:19
De vraag is; Ten koste van wat.

Ten koste van alles als het aan 'de politici' ligt kennelijk |:(
Heroic_Nonsense
@pepsiblik3 mei 2023 09:56
Als die foto toevallig grotere overeenkomsten vertoont met een bestaande, bekende kinderporno-afbeelding (waarvan de hash is vastgelegd in de database) dan: ja, dan kan dat tot een false positive leiden.

Het is niet zo eenvoudig als -bijvoorbeeld- het scannen op grote hoeveelheden huidskleur in een foto- het gaat verder dan dat.

Je kunt het vergelijken met false positives in virusscanners - als code in een legitieme app toevallig lijkt op code uit bekende malware, dan triggert die legitieme app ook een false positive.

Bij het hashen van afbeeldingen wordt ook nagedacht over bewerkingen die iemand zou kunnen uitvoeren om detectie te voorkomen. Denk aan draaien, spiegelen of inverteren (kleuren omdraaien) van de afbeelding. Dus ook van gedraaide, gespiegelde of geïnverteerde varianten van zo'n afbeelding wordt de hash opgeslagen. Zo ook met interlacing, skewing en allerlei filters die je kunt uitvoeren (en later weer ongedaan kan maken in een fotobewerkingsprogramma).

Het zijn dus nogal wat hashes per afbeelding - en naarmate er meer bijkomen, wordt de kans op een false positieve ook groter. Daarom is dit geen goede methode. Het is prima als detectiemiddel bij een onderzoek (snel een PC doorzoeken op bekende afbeeldingen), maar om iemands account voorgoed te vergrendelen of bij voorbaat al verdacht te maken, is er veel te veel risico.

Zoals altijd met kinderporno (en met terrorisme) is het weer een leuk dilemma: iedereen is er tegen, en iedereen vindt dat alles gedaan moet worden om het tegen te gaan, maar de manier de politiek het wil aanpakken slaat weer totaal door. E2EE is een belangrijk goed; eigenlijk is geen enkele overtreding het waard om het open te breken. Dus blijft lokaal scannen de enige optie.

Maar dan moet er dus een aardige database met hashes op je device staan, die ook bijgewerkt wordt met de nieuwste hashes. Daarom wilde Apple het met machine learning oplossen (geen hashes, maar AI). AI kost echter weer batterij en vereist een telefoon en een OS die het aankan. Dit in een app stoppen gaat ook wat ver.

Farfetchedmode=on:
Als er ooit een AI komt die een afbeelding uit hashes kan reconstrueren, dan is een lokaal benaderbare database met hashes natuurlijk een goudmijn voor "geïnteresseerden".
d3burt
@Heroic_Nonsense3 mei 2023 17:42
Je far fetched voorbeeld schijnt al realiteit te zijn: je kunt uit de PhotoDNA hash inderdaad een stuk van de foto terughalen met AI. De voorbeelden die ik zag waren niet fantastisch, maar zoals je zegt weet AI wel raad met het verzinnen van de rest :-) Zie bijvoorbeeld https://www.anishathalye.com/2021/12/20/inverting-photodna/

Wat zo mogelijk nog gevaarlijker is is de mogelijkheid om een ander plaatje aan te passen zodat het met een PhotoDNA hash matcht. Zo'n hash collision schijnt relatief simpel te maken te zijn, en niet of nauwelijks met het blote oog te herkennen. Als je bijvoorbeeld een meme JPEG maakt die mensen weer delen krijg je vanzelf overal en nergens mensen die hun cloud accounts kwijtraken terwijl ze zich van geen kwaad bewust zijn.
kaas-schaaf
@pepsiblik3 mei 2023 09:45
Apple heeft in het verleden foto's van kinderen op het strand al aangemerkt als verdacht als die in de cloud opgeslagen werkden, dit is niets nieuws.
Mitsuko
@pepsiblik3 mei 2023 09:48
Dat specifieke voorbeeld komt niet door fuzzy hashes, maar dat is wel het grote probleem van dit hele gebeuren. Je vangt er eigenlijk geen zware criminelen mee maar bestempelt onschuldige foto's af en toe wel als crimineel, terwijl er eigenlijk geen systeem is om je onschuld te bewijzen (even afgezien van het feit dat dit sowieso al omgekeerde wereld is).

[Reactie gewijzigd door Mitsuko op 3 mei 2023 09:48]

Waswat
@pepsiblik3 mei 2023 10:01
Nee, fuzzier dan dat, het gaat hier niet om een algoritme dat kan herkennen dat je een bil van een baby laat zien.

Het is een database van informatie over fotos van kindermishandeling, deze data bevat bijv
(en nu zeg ik maar wat) gemiddelde grijswaardes per 20x20 pixel regio. En als een willekeurige foto van jou voor deze grijswaardes gemiddeld minder dan een bepaald percentage afwijkt, dan zien ze dat als een hit.
wiseger
@pepsiblik3 mei 2023 11:51
Dat is al gebeurt, met iemand die tijdens zijn vakantie foto's van zijn kinderen op het strand gemaakt had. Microsoft sloot alles af. En dan kom je in een spagaat want in contact komen met Microsoft om je accounts terug te krijgen is een crime.

Stond afgelopen week nog een heel artikel in de krant over een gedupeerde wiens email account vergrendeld was vanwege 'ongebruikelijke activiteiten'. Het is een heel gedoe om dat weer goed te krijgen.
joost00719
@hiostu3 mei 2023 08:33
Niemand houdt je tegen om dan een eigen app te maken die met de servers van Whatsapp praat. Dan stuurt jouw client gewoon een andere hash op van een kat of zo.
Zorgt er alleen voor dat zulk soort shady apps meer gedownload worden & voordat je het weet is je account gehackt.
jcbvm
@joost007193 mei 2023 08:39
Dat is een beetje vergezocht. Lijkt me niet dat de server van whatsapp andere apps toelaat
GekkePrutser
@jcbvm3 mei 2023 08:49
Dat is nu al het geval. Ik gebruik WhatsApp ook niet meer direct maar via een Matrix server met de WhatsApp bridge. Die werkt via whatsapp web maar je hoeft de echte client niet meer te draaien om die te laten werken tegenwoordig.

En niet alleen WhatsApp maar ook Signal, Telegram enz. Zo heb ik al mijn chats in 1 programma. Heeft niks met checks omzeilen te maken in dit geval, maar meer met het niet vast zitten in al die 'walled gardens' van al die aparte chat appjes.

[Reactie gewijzigd door GekkePrutser op 3 mei 2023 08:51]

Chip.
@GekkePrutser3 mei 2023 20:33
Zou je in wat meer detail kunnen uitleggen hoe je dat doet? Dat scheelt mij een hoop. 🙈
GekkePrutser
@Chip.3 mei 2023 21:50
Ja, misschien is dit ook wel eens een idee voor een diepgravend artikel bij Tweakers. Want elke keer als ik het noem krijg ik er dit soort vragen over. Logisch want het biedt best veel en het is nog vrij onbekend.

Kort gezegd zijn er 3 mogelijkheden. Wisselend in mogelijkheden, prijs en opties.

- Helemaal zelf doen: Dit is de goedkoopste optie, maar ook het meest tijdrovend en ingewikkeld. Je moet echt een beetje verstand hebben van IT zaken. Ik gebruik zelf het geweldige ansible playbook dat een matrix server opzet en alle bijbehorende bridges die je wil. Dit houdt ook alles up to date maar regelmatig verandert er iets in de configuratie waardoor je het een beetje bij moet houden. Dit wordt wel duidelijk uitgelegd. Als je alles echt 100% wil self hosten en je houdt van een beetje IT werk (en je vindt Ansible en docker interessant) dan is dit verreweg de beste optie.

Dit is wel de optie die het meeste uitleg behoeft, vandaar dat een artikel hierover wel eens leuk zou zijn. Het is ook de optie waar je het verreweg meest mee kan en die echt alles in eigen beheer houdt (inclusief een complete database van al je chats), maar het is echt niet voor iedereen wegelegd.

- Uitbesteden met de minimale functionaliteit voor een goede prijs: De dienst Element One van de makers van het Matrix protocol. Voor 5 euro per maand regelen zij het voor je voor WhatsApp, Telegram en Signal. Maar alleen die drie dus. Hiermee sponsor je ook de ontwikkeling van het open Matrix protocol en de open Element client.

- Een wat volledigere hosted optie, (die je ook self kan hosten, maar niet volledig met hun eigen client), heb je Beeper. Dit is een project van Eric Migicovksy, ook wel bekend van Pebble. Door dit te nemen, steun je de ontwikkeling van enkele bridges die ook open source worden gemaakt (van tulir). Beeper gebruikt een eigen client die het gebruik van bridges wat meer voorop stelt (anders dan Element dat vooral een algemene Matrix client is). Het ondersteunt veel meer netwerken zoals Slack, Twitter, Discord, LinkedIn chat, instagram enz. Zelfs iMessage, al geloof ik dat je dan wel een mac of een oude geroote iPhone moet hebben ofzo. Maar het kost ook meer, 10 euro per maand.

Met al deze 3 opties kan je ook op het matrix netwerk zelf, wat ook een hele fijne optie is omdat het een open gedecentraliseerd netwerk is. Zelf heb ik dit wel apart gehouden voor de veiligheid, maar de meeste mensen federeren met Matrix. Momenteel doe ik nog niet zo veel met Matrix, vandaar dat ik dat niet nodig vond.

Dus bij deze. Als je nog vragen hebt laat het maar weten :)

[Reactie gewijzigd door GekkePrutser op 3 mei 2023 22:01]

pixeled
@GekkePrutser3 mei 2023 09:07
Ik gebruik dezelfde setup als jij, maar ik moet eens per 2 weken de officiële WhatsApp client openen om te zorgen dat de boel nog werkt. WhatsApp Web (en dus je bridge) word anders gedeactiveerd. Eerst had ik die client in een headless Android VM draaien op mijn server, maar dat was gruwelijk irritant als je de VM eens visueel wilde inspecteren. De client draait nu dus weer op m'n telefoon, in een 2e 'bevroren' Android gebruikersaccount (work profile), die ik eens in de 2 weken ontdooi.

Kortom, voor zover ik weet moet je voor WhatsApp nog steeds ergens de officiële client geïnstalleerd hebben. Helaas :)
GekkePrutser
@pixeled3 mei 2023 09:20
Oh okee, dat had ik niet gemerkt. Ik open de officiele client heel af en toe nog om te bellen via whatsapp. Daardoor heb ik het kennelijk niet gemerkt.

De work profile is inderdaad ideaal hiervoor, ik heb alle privacy-stelende apps ook in een work profile gedaan, met Island / Insular en Blokada om hun tracking zoveel mogelijk dwars te zitten. Hierdoor kunnen ze ook niet bij mijn foto's of contactpersonen (tenzij i ervoor kies om er eentje expliciet te delen).

[Reactie gewijzigd door GekkePrutser op 3 mei 2023 09:21]

jhaan1979
@pixeled3 mei 2023 09:43
Hum... Is dat zo? Ik heb de officiele client nog wel op mijn telefoon staan, maar ben tot nu toe te beroerd geweest hem te deinstalleren. Maar heb de client in geen maanden geopend. Maar kan me zo voorstellen dat er ergens nog een achtergrond procesje hangt wat hem in leven houdt.
jcbvm
@GekkePrutser3 mei 2023 09:04
Kende ik nog niet, werkt dit dan met een bot die als man in the middle werkt tussen matrix en whatsapp?
GekkePrutser
@jcbvm3 mei 2023 09:19
Man in the middle zou ik het niet echt noemen. Het is meer een vertaling van het protocol. Het gebruikt whatsmeow.
Stoney3K
@joost007193 mei 2023 08:40
Dit dus. Er is geen instantie die die apps controleert, dus er is niemand die de apps tegen houdt om een valse hash van een 'veilig' plaatje terug te sturen of gewoon volslagen random data als 'hash', want dat levert (als het goed is) nooit een match op.
Sissors
@Stoney3K3 mei 2023 08:56
Behalve dat als het zo makkelijk was alternatieve Whatsapp clients te maken, ik daar wel meer van had verwacht. En als je toch zowel aan zendende als ontvangende kant alternatieve clients gaat gebruiken, dan kan je ook wel alternatieve servers gebruiken.

Hell, als je dit wil ontwijken, of er wel of geen E2E encryptie wordt gebruikt, kan je natuurlijk ook gewoon lokaal het in een versleutelde container stoppen.

[Reactie gewijzigd door Sissors op 3 mei 2023 08:57]

jhaan1979
@Sissors3 mei 2023 09:40
Gebruik al jaren whatsapp via de element app en een wa/matrix brige op mijn telefoon. Alternatieve apps zijn er misschien niet veel, maar alternatieve clients (zoals bijv. zo'n bridge) zijn er zeker wel.
pinotgrigio1
@hiostu3 mei 2023 09:19
precies dit ja, lijkt mij toch wel te programmeren om de hash values van beeld materiaal te vergelijken met politie/interpol databases om dit materiaal te identificeren. De "masterkey" is toch gewoon beschikbaar bij whatsapp/signal? het is toch hun eigen encryptie>?
Het.Draakje
@pinotgrigio13 mei 2023 09:33
E2E encryption wil zeggen dat het bericht door de gebruiker encrypt wordt en door de ontvanger decrypt. Met een key die alleen bij die partijen bekend is. Er is geen masterkey.
Olaf van der Spek
@hiostu3 mei 2023 09:16
Als app maker kun je best van de foto's die toegevoegd worden in een app de finger print genereren en deze tegen de beschikbare databases aanhouden
Waar zijn die 'databases' te downloaden? En hoe groot zijn die?
hiostu
@Olaf van der Spek3 mei 2023 10:26
Daar zijn diensten voor met APIs die je aan kunt roepen. Hoeft niet lokaal opgeslagen te staan.
NielsFL
@hiostu3 mei 2023 09:42
Die databases zullen al snel te groot zijn om op elke telefoon te downloaden. Dat betekent dat je die hashes naar een server moet gaan posten om daar de controle uit te voeren.

Daarmee geef je die controle-servers de potentie om de verspreiding van alle hashes, ook hashes die niet in de database voorkomen, te tracken. Dit opent een deur naar misbruik die normaliter, dankzij E2EE, niet bestaat.
hiostu
@NielsFL3 mei 2023 10:22
Dat kun je ook weer via een API van Whatsapp zelf laten verlopen. Dan is er niets aan de hand vwb traceerbaarheid.
jhaan1979
@hiostu3 mei 2023 09:45
Regel 1 van software bouwen; Vertrouw nooit de client.
En aangezien de client (zender of ontvanger) de enige is die de decrypted versie van het bestand heeft, is dit al gelijk gedoemd te mislukken.
hiostu
@jhaan19793 mei 2023 10:23
Dat wordt nu al gedaan met E2E encryptie. De clients communiceren al direct met elkaar. Zolang je E2E encryptie wilt blijven gebruiken, is de enige optie om dit clientside te doen.
jp
@jhaan19793 mei 2023 21:45
"All user input is evil until proven otherwise"
blorf
@hiostu3 mei 2023 10:34
Een app moet de data naar een centraal punt sturen om er iets mee te kunnen. Hetzelfde beveiligingsrisico ontstaat op die manier opnieuw. Android en iOS hadden dat privilege al. Die zijn dus ook het primaire lek.
Eric Oud Ammerveld
@Luchtbakker3 mei 2023 08:32
Ja en alsnog, scan je er op dan weet "men" dat en dan stopt men de foto's vervolgens eerst in een geencrypt document dat wederom via Whatsapp verstuurd wordt.
GoldenLeafBird
@Eric Oud Ammerveld3 mei 2023 08:44
Voor kwaadwillenden zijn er altijd omwegen, maar op de manier genoemd hierboven voldoet de chatdienst aan de wet.
Eric Oud Ammerveld
@GoldenLeafBird3 mei 2023 08:53
Ik ben blij met ons artikel 10 en 13, niet omdat ik iets te verbergen heb maar omdat ik vind dat niemand anders dat hoeft te weten.
Tintel
@Eric Oud Ammerveld3 mei 2023 10:24
Ja, het blijven kapstok redenen. Al ben ik nog zo tegen kindermisbruik en terrorisme. Mijn afkeer van overheden die vinden dat communicatie tussen haar burgers moeten kunnen worden bekeken is nog veel groter.
Ik heb niets te verbergen, maar alles te verliezen....
jhaan1979
@GoldenLeafBird3 mei 2023 09:46
Dat slaat dan nergens op, want het gaat juist om die kwaadwillenden, en die mis je dan net.
Sissors
@Luchtbakker3 mei 2023 08:28
Waar staat dat in het artikel? Want ik zie niet waarom dat niet op app niveau zou kunnen. Of het gewenst is, is een tweede uiteraard, maar het zou best kunnen. Stuur een lijst hashes van een server, check offline of plaatje wat gestuurd wordt zelfde hash heeft, klaar?
ronaldmathies
@Luchtbakker3 mei 2023 08:30
Waarom zou dat niet op App niveau kunnen? Kan prima, betekend alleen dat elke software bouwer het zelf moet ontwikkelen.
sfc1971
@ronaldmathies3 mei 2023 09:24
Hoe wou je dit op API niveau doen? Want deze diensten werken ook met API's en die worden gebruikt door partijen die om een of andere reden niet de officiele client/App gebruiken. Wordt hierboven al besproken overigens.
AWiersma
@Luchtbakker3 mei 2023 08:33
Niet dat ik voor dit plan ben maar waarom zou de app dat niet kunnen doen? De app zou toch voor het versturen van het bericht dit kunnen scannen en vergelijken met een lijst van verboden inhoud. Daarna pas de encryptie toepassen en het bericht versturen naar de ontvanger. En omgekeerd bij de ontvanger de scan doen nadat het bericht is ontsleuteld. Dan houd je toch de end-to-end encryptie overeind.
TheDudez
@Luchtbakker3 mei 2023 09:43
Dat zal je dan ook uit kunnen zetten als gebruiker bij Android. Costum rom.
Triblade_8472
@Caayn3 mei 2023 08:26
Lokaal hashes maken, en naar een naar centrale server sturen ter controle.

Deze centrale server kan mogelijk zelf foute hashes verzamelen en/of een lijst van de overheden krijgen.

Een van de twistpunten is wel dat ze niet (direct) weten welke afbeeldingen achter een hash zitten. Zo kunnen regeringen flink gaan censureren door alle ongewenste afbeeldingen te hashen en in te sturen.
Caayn
@Triblade_84723 mei 2023 08:41
Dan moet je de client kunnen vertrouwen. Wie geeft dan de garantie dat de afbeelding die je verstuurd hoort bij de gemaakte hash?

Wat weerhoudt echte pedofielen ervan om een third-party client te gebruiken of simpelweg het als een archief of als onderdeel van pakweg een word bestand te versturen. Dan werken technieken als een fuzzy hash ook niet meer.

Wat als iemand ongewenst zo'n afbeelding naar mij toe stuurt via een third-party app en mijn legitieme app vindt dat het kinderporno is? Wordt ik dan geblokkeerd omdat de hash bij mij wel een match is?

[Reactie gewijzigd door Caayn op 3 mei 2023 08:46]

CAPSLOCK2000
@Caayn3 mei 2023 10:06
Dan moet je de client kunnen vertrouwen. Wie geeft dan de garantie dat de afbeelding die je verstuurd hoort bij de gemaakte hash?

Wat weerhoudt echte pedofielen ervan om een third-party client te gebruiken of simpelweg het als een archief of als onderdeel van pakweg een word bestand te versturen. Dan werken technieken als een fuzzy hash ook niet meer.
Draconische maatregelen zoals verbieden dat je software manipuleert en chips die de gebruiker controleren.

We hebben toegestaan dat Hollywood het doet om geld te verdienen (zie DRM) dus ik verwacht niet dat er veel verzet komt als het moet "om de kinderen te beschermen". Mensen zijn al jaren klaargestoomd om te geloven dat ze niet de baas zijn van hun eigen computer en vinden het normaal dat anderen bepalen wat ze met hun eigen apparatuur mogen doen en dat ze door hun eigen apparaat gecontroleerd worden.

De reden dat ik tegen de plannen van de VK ben is niet omdat ik pedo's wil beschermen, maar omdat ik niet aan de vrijheid van de rest van de samenleving wil morrelen.

[Reactie gewijzigd door CAPSLOCK2000 op 3 mei 2023 10:08]

Jism
@CAPSLOCK20003 mei 2023 13:06
Echte pedofielen uitroken kan gewoon. Dat heet oud recherchewerk en vergt capaciteit.

Maar met het digitaliseren kunnen 30 rechercheurs elders worden ingezet. Zo redeneert men.
Sissors
@Caayn3 mei 2023 08:54
Als ze toch third party clients gaan gebruiken voor communicatie, waarom zouden ze dat dan nog over de Whatsapp servers doen? Dan kan je ook gewoon andere servers gebruiker die ook bij breken van E2E encryptie het niet doorsturen.

Er zijn altijd manieren om langs de controle heen te werken. We hebben wel meer wetten die niet 100% elke crimineel tegenhouden. (Waarbij voor de duidelijkheid, ik stel hier dus niet dat ik voorstander ben van deze wet).
Wat als iemand zo'n afbeelding naar mij toe stuurt via een third-party app en mijn legitieme app vindt dat het kinderporno is? Wordt ik dan geblokkeerd omdat de hash bij mij wel een match is?
Hopelijk voor jou wordt die gewoon in de app geblokkeerd, heb jij nergens last van, wordt hij niet geupload naar je Onedrive, wordt niet je Onedrive geblokkeerd, niet je Outlook geblokkeerd, niet je Xbox spellen geblokkeerd, etc. Als ik moet kiezen heb ik 100x liever dat de app hem blokkeert dan een iets te streng afgesteld Onedrive filter hem pakt en die alles blokkeren.
NielsFL
@Sissors3 mei 2023 09:47
Als ze toch third party clients gaan gebruiken voor communicatie, waarom zouden ze dat dan nog over de Whatsapp servers doen? Dan kan je ook gewoon andere servers gebruiker die ook bij breken van E2E encryptie het niet doorsturen.
Er zit toch wel een verschil tussen het optuigen en onderhouden van een complete infrastructuur voor illegale communicatie, en het lichtjes aanpassen van een open source whatsapp/signal client.
Triblade_8472
@Caayn3 mei 2023 10:09
De bekende clients kan je vrij zeker wel vertrouwen, als ze hieraan zouden meewerken.

De garantie is 100% dat het de juiste afbeelding betreft, als deze niet is aangepast. Dit is dan ook de truuk waarmee je het kan omzeilen.

Als er een soort fuzzy logic gebruikt gaat worden dan wordt het wat mee tricky, maar men denk dan hiermee dat (natte vinger) 1:10 miljoen afbeeldingen als false positive wordt gezien wel acceptabel is.

Het weerhoud uiteindelijk niemand, dat is een van de redenen waarom dit zo'n slecht voorstel is. Je pakt een bizar groot stuk privacy af en krijgt er eigenlijk niks voor terug als samenleving. Er gaan niemand door gepakt worden, want die schakelen vrolijk door naar alternatieven.

Afbeeldingen worden aangepast waardoor hashes niet meer matchen, obscure apps worden gebruikt voor uitwisseling, afbeeldingen worden versleuteld voor verzending, VPN's enz. Er zijn legio mogelijkheden omheen.
Automark
@Caayn3 mei 2023 09:19
Die snappen daar niks van, maar er zullrn ongetwijfeld een paar lobby clubjes actief zijn geweest.
Triblade_8472
@Automark3 mei 2023 10:10
Lees: veiligheidsdiensten.
GertMenkel
@Caayn3 mei 2023 09:26
Meerdere sleutels toevoegen aan een sessie kan gewoon. Sterker nog, bij groepschats is dit de norm. Eentje voor jou, eentje voor je gesprekspartner, eentje voor de overheid. Bedrijven die geen sleutels delen op verzoek krijgen een boete en hun medewerkers worden gearresteerd. Platformen die illegale apps aanbieden worden gedwongen die apps te verwijderen en websites gaan op zwart.

Het is allemaal prima mogelijk. Dystopisch, maar mogelijk.
TheDudez
@GertMenkel3 mei 2023 09:44
Gelukkig kan je bij Android buiten de store om apps installeren.
SuperDre
@GertMenkel3 mei 2023 12:03
Alles is mogelijk, maar met jouw voorstel betekent dus dat de overheid (en dan eigenlijk ook andere entiteiten) alles in kan zien. Beter is dan om met hashes oid te werken en die te vergelijken met een centrale server die dan dus verder niets opslaat. Dus geen noodzaak om end-to-end encryptie te breken en toch te voldoen aan wat men wil.. Betekent natuurlijk niet dat men dan elkaar encrypted images gaat sturen die buiten de app bekeken moeten worden, maar dat is dan niet meer het probleem voor de app.
GertMenkel
@SuperDre3 mei 2023 12:14
Hashes zijn leuk maar die werken alleen als de overheid daadwerkelijk als doel heeft om kinderverkrachters en terroristen te pakken. Bij de overheid van het VK geloof ik daar geen snars van.

Daarnaast zijn met hashes natuurlijk niet alleen kinderporno te tracken, ieder bestand kan worden bijgehouden. De natte deoom van iedere functionaris die klokkenluiders de mond wil snoeren.

Daarnaast verandert een hash elke keer als er een JPEG encoder over heen gaat. Je kunt visuele hashes proberen, zoals Apple voorstelde, maar dan blijft het trackingrisico nog steeds aanwezig en zul je ook veel false positives krijgen. Als er een match is moet dat kunnen worden bewezen en dat is lastig als hrt bestand aan twee kanten verwijderd is en versleuteld is overgedragen.
SuperDre
@GertMenkel3 mei 2023 18:50
Pure hash op bestand zelf gaat zeker niet werken, maar op karakterestieken gaat wel werken, zo leren veel AI de inhoud van images te herkennen, dus niet puur op pixels aantal.
Dhr.Maassen
@Caayn3 mei 2023 08:43
[...]
Ik ben heel benieuwd hoe de Britse politici denken end-to-end encrypted berichten te kunnen controleren op inhoud.
Hier gaat het sowieso al fout... bij mij hebben tot op heden politici nog niet de indruk gewekt dat ze inhoudelijk ook maar iets snappen van ICT. Ze zullen best wel goed geinformeerd kunnen worden door capabele mensen, maar dan alsnog lijkt het me dat enige verstand van zaken alsnog essentieel is.
SuperDre
@Dhr.Maassen3 mei 2023 12:00
Maarja, aan de andere kant is dat ook niet hun probleem, dat is een probleem voor de apps om op te lossen. Een voorbeeld zou dus kunnen zijn dat ze allemaal samen gaan werken aan 1 centrale service welke hashes controleert, dus bij binnenkomst van de image aan de app kant wordt een hash gemaakt (obv van verschillende zaken), en deze wordt dan vergeleken met een externe centrale server, die simpel Ja/Nee teruggeeft. Dan is dus niet de end-to-end encryptie verbroken en ze kunnen het net zo veilig houden als ze zelf willen. Zie? er is dus wel degelijk een oplossing te bedenken.
GertMenkel
@Dhr.Maassen3 mei 2023 12:16
Ik denk dat veel van hen dondersgoed weten hoe het in elkaar steekt, maar leek zijn is beter te verdedigen dan de intentie om iedereen te bespioneren. Bij onze eigen overheid is dat ook niet anders.
LaTiNo156
3 mei 2023 08:31
Opvallend dat Telegram niet meedeed aan de actie. Is daar iets over bekend?
Andros
@LaTiNo1563 mei 2023 08:40
Telegram is Russisch, die liggen de laatste tijd niet zo wakker van wetten en regels.
qless
@Andros3 mei 2023 09:01
Nee, de oprichter komt uit Rusland, maar Telegram zit in Duitsland.
WhatsappHack
@qless3 mei 2023 09:10
Telegram zit niet in Duitsland en heeft daar ook nooit werkelijk gezeten. Ze hebben er een postadres gehad, meer niet. Een postbus ergens huren maakt niet dat je daar gevestigd bent. Ze hebben tot de Brexit juridisch altijd in het VK en de VS (ja...) gezeten, nooit in Duitsland. De inc. in het VK was op papier echter eigendom van allerlei vage shell bedrijfjes van Durov (Digital Fortress, Dogged Labs, etc.) in witwas landen zoals Panama, Belize, Britse Maagdeneilanden, etc. dus hoewel in het VK gevestigd op papier was ook dat niet werkelijk waar. Niemand kan echt precies zeggen waar Telegram werkelijk zit, wat de geldstromen zijn, met wie ze transacties uitvoeren, etc. Maar een ding is zeker: ze zitten niet in Duitsland. Ze beweren nu intussen al een tijdje in Dubai te zitten geloof ik.

[Reactie gewijzigd door WhatsappHack op 3 mei 2023 09:11]

NightFox89
@Andros3 mei 2023 08:47
Dat hoor ik vaker, en is ook deels de reden waarom ik het niet gebruik. Maar als ik op wikipedia lees zie ik wel dat het is opgericht door de oprichters van het russische Facebook (VK), maar dat ze al daarvoor mot hadden met het Kremlin en uit Rusland waren vertrokken. Klinkt meer als de anti russische chat app als ik dat zo lees.
WhatsappHack
@NightFox893 mei 2023 09:06
Mwah, "uit Rusland vertrokken vanwege ruzie met het Kremlin" (na voor miljarden en miljarden dollars gebruikersdata te hebben verkocht aan stel oligarchen) is nogal een stretch als je in je "ballingschap" in Finland vlak aan de grens met Rusland gaat wonen en meermaals per week in St. Petersburg rondloopt op VK HQ. Maar goed, dat kan aan mij liggen natuurlijk.
dutchnltweaker
@WhatsappHack3 mei 2023 09:24
Heb je een bron toevallig?
dutchnltweaker
@Andros3 mei 2023 09:14
Telegram was launched in 2013 by the brothers Nikolai and Pavel Durov. Previously, the pair founded the Russian social network VK, which they left in 2014, saying it had been taken over by the government.
Telegram is registered as a company in the British Virgin Islandsand as an LLC in Dubai. It does not disclose where it rents offices or which legal entities it uses to rent them, citing the need to "shelter the team from unnecessary influence" and protect users from governmental data requests.
https://en.m.wikipedia.org/wiki/Telegram_(software)
@qless ook niet, ze zitten in legal terms op de British Virgin Islands maar opereren vanaf de Verenigde Arabische Emiraten.

Telegram heeft verder niks met Rusland te maken, dan alleen dat de App daar te gebruiken is en de oprichters daarvandaan komen.

[Reactie gewijzigd door dutchnltweaker op 3 mei 2023 10:41]

JakkoFourEyes
@dutchnltweaker3 mei 2023 10:35
Nou, helemaal niks...: https://www.wired.com/sto...lin-has-entered-the-chat/
Jazco2nd
@LaTiNo1563 mei 2023 08:38
Telegram heeft geen e2e aanstaan by default laatste keer dat ik checkte.
AnonymousWP
@Jazco2nd3 mei 2023 08:47
Dat, en het is ook bij lange na niet zo veilig en gerenommeerd als het Signal Protocol.
GekkePrutser
@AnonymousWP3 mei 2023 08:53
De E2E van Telegram is helemaal niet slecht hoor.

Het probleem is meer dat het zo onhandig is. Beide apparaten moeten tegelijk online zijn voor de key exchange en het kan maar tussen 2 apparaten onderling. Secret chats kan je niet op andere apparaten of bijv. telegram web lezen. Zoals met de E2E van Signal en WA wel kan.

Daardoor gebruikt in de praktijk niemand het op Telegram.

[Reactie gewijzigd door GekkePrutser op 3 mei 2023 08:54]

GertMenkel
@Jazco2nd3 mei 2023 09:28
Telegram kan niet eens e2ee in groepsgesprekken of chats die je van meerdere apparaten kunt benaderen. Technisch gezien is mtproto 2 prima, maar Telegram doet er schijnbaar alles aan om het gebruik ervan zo beperkt mogelijk te houden.
Triblade_8472
3 mei 2023 08:22
En terecht!

Er wordt nogsteeds misbruik gemaakt van de vieze praktijken als kindermisbruik en terrorisme om maar een vinger tussen de persoonlijke communicatie van burgers te krijgen.

Het zou, net als de briefpost, gewoon wettelijk gegarandeerd privé moeten worden naar mijn mening!

Sterker nog, ongescande (door derden) end-to-end encryptie zou juist verplicht moeten worden.

Laat ze zich maar terugtrekken. De landen trekken de keutel echt wel weer in als alle burgers niet meer kunnen happen. Power to the people enzo.
DigitalExorcist
@Triblade_84723 mei 2023 08:27
Onderschat de gemakzucht van de mensheid niet. Ieder brein zoekt te allen tijde de kortste (en dus makkelijkste) uitweg, dus als dat betekent dat er een chat app is met de functionaliteit van een Whatsapp of Signal maar zonder E2EE dan zal men die gebruiken. Onder het mom “ik verspreid geen kinderporno dus ach boeien”…..
Stoney3K
@DigitalExorcist3 mei 2023 08:33
Totdat er iemand in zijn kraag wordt gevat door de Chinese geheime dienst omdat ie een foto van Winnie de Poeh naar zijn zoontje heeft geappt...
D.nukem
@Stoney3K3 mei 2023 09:39
Eens,

En mensen vergeten nog wel eens dat hun kritiek en mening in het buitenland land wel eens strafbaar kan zijn.

Ik weet namelijk donders goed dat ik nooit naar een land moet gaan waar ze lepeltje-lepeltje met China in bed liggen. Er is namelijk een kans dat de Chinese geheime dienst mijn mening en opvatting in een dossier heeft zitten verkregen via openbare bronnen op het internet.
Nu ben ik niet interessant genoeg om "te ontvoeren" of de "sociale politie" langs te sturen, Wat wel degelijk gebeurt bij inwoners die deze overheden kan chanteren., maar de gok nemen lijkt me ook niet het slimste idee ooit.

Je bent enkel veilig voor vervolging voor het geven van een mening daar waar het op dat moment getolereerd is om deze mening te hebben.
Plaats + Tijd + Cultuur* = risico op vervolgen.

En wat heeft dit met de Engelse wet te maken? Veel, want alles wat genoteerd wordt door een overheid of bedrijf blijft staan als (toekomstig) bewijslast. En weet men welke overheden er allemaal toegang hebben tot deze data? En wat als de overheid deze data van de zwarte markt koopt?
De consequenties bij een (valse) positief is pure willekeur van de (huidige)overheid.

---
*) O.A. Wetten, rechtssysteem en bereidheid van politie-inzet.
Aldy
@D.nukem3 mei 2023 17:32
En je weet nooit hoe de wereld er over 10 jaar uitziet en wie er dan aan de macht is in VK. Datzelfde geldt overigens voor elk land.
Tintel
@Stoney3K3 mei 2023 11:04
idd - of een kindertekening van de oorlog...
Marco076
@DigitalExorcist3 mei 2023 08:33
Precies. En "ik heb toch niks te verbergen" en dat soort crap.
IJzerlijm
@Triblade_84723 mei 2023 08:51
Brievenpost bevat regels wanneer dat mag worden geschonden. Als een bedrijf een technologie ontwikkeld die het onmogelijk maakt een gerechtelijk bevel uit te voeren dan zal er een keuze moeten worden gemaakt. Of het bedrijf wordt boven de wet gesteld of het moet hun product dat zo ontworpen is aanpassen.

Ik wil ook wel een auto waar geen mogelijkheid is een kenteken op te monteren. Scheelt in boetes.
bed76
@IJzerlijm3 mei 2023 09:42
Van brievenpost weet je dat het is opengemaakt als jet het bericht krijgt. Zonder encryptie kan iedereen zijn berichten worden afgeluisterd of onderschept zonder dat je het doorhebt. Of met encryptie en een sleutel.

Dus als ik jouw redenering volg, zou een bedrijf ook geen kluis mogen maken waar de overheid niet in kan komen?
Triblade_8472
@IJzerlijm3 mei 2023 10:01
En is het dan verboden om berichten op papier te versleutelen?

De overheid mag ook via de wet data opvragen, al is deze natuurlijk wel versleuteld. Datzelfde geld ook voor versleutelde brieven toch?

Ik zie geen verschil. En hiermee gaat je argument niet op.
Andros
@Triblade_84723 mei 2023 08:38
Sinds wanneer is een groot bedrijf als Meta "the people"? Letterlijk alles daar is "power to the Zuckerberg"...
zenlord
@Andros3 mei 2023 09:25
En hoeveel mensen gebruiken dagelijks Whatsapp? @Triblade_8472 heeft het over *die* people, die plots niet meer kunnen chatten met hun familie, vrienden en/of collega's en dus zullen klagen bij hun verkozenen.
litebyte
@Triblade_84723 mei 2023 11:44
Er was hier nog niet eens heel lang geleden een minister van justitie die wilde (met een ja knikkende Aivd'er in de achtergrond) dat overheden altijd een achterdeurtje moeten hebben om versleutelde berichtgeving te kunnen ontsleutelen.

Kinderporno, terrorisme worden dan altijd als excuses gebruikt
Jism
@litebyte3 mei 2023 13:08
Denk niet meer dat het nodig is. Men heeft echtwel gigantische computers staan om elke encryptie te kunnen breken. Ook die van whatsapp.

https://www.crimesite.nl/...och-afluisterland-column/

Ik heb er een hard hoofd in dat we uberhaubt nog echte privacy over digitale communicatie hebben.
Sfynx
@Jism3 mei 2023 19:21
Denk niet meer dat het nodig is. Men heeft echtwel gigantische computers staan om elke encryptie te kunnen breken. Ook die van whatsapp.
Waar maak je uit op dat goede encryptie zoals AES e.d. gebroken kan worden met gigantische computers? Die vent in je bron geeft niet veel duidelijkheid daarover.

Je zal eerst een serieuze zwakte moeten vinden, want anders duurt het bruteforcen van een enkele AES-256 sleutel langer dan je kan bevatten.

https://scrambox.com/article/brute-force-aes/
bytemaster460
@Jism4 mei 2023 13:57
Probleem voor hun is wel dat ook grote computers niet in staat zijn AES te breken, behalve via brute force. Brute force kan jaren duren. Steeds vaker blijkt juist dat ook veiligheidsdiensten en opsporingsdiensten achter de feiten aanlopen als het gaan om encryptie. Dat is juist de reden waarom men encryptie wil verzwakken.
SuperDre
@Triblade_84723 mei 2023 12:06
Aan de andere kant, waar leg je de grens? Als door dit het vele malen moeilijker wordt om bv kindermisbruik te kunnen aanpakken en daardoor dus stijgt, vind je dan dat jouw recht op privacy preveleert dan op het recht van dat kind om niet misbruikt te worden?
Overigens zijn er ook wel andere methodes om images te scannen zonder end-to-end te breken. En uiteindelijk is het toch zo dat degene die echt willen delen dan zelf wel een app schrijven en onderling sharen.
Triblade_8472
@SuperDre3 mei 2023 12:50
Dat is zeker een goede vraag.

Voor mij is er zeker een grens bij scannen en doorsturen van gegevens hierover (hashes voor nu) van digitaal verkeer op een privé apparaat zonder huiszoekingsbevel.

Dit is gewoon legale digitale huisvredebreuk.

Hiernaast wordt censuur wel weer een stuk gemakkelijker gemaakt. Dit is stapje voor stapje richting het makkelijk maken van een dictatorschap. Lekker makkelijk en alles uit handen geven. Mensen willen juist meer vrijheid en controle, maar het tegenovergestelde wordt bewerkstelligd door overheden.

Ja maar er is controle op dit soort databases met hashes! Hoor ik iemand roepen.
Ja, wss net zo effectief als Commissie Stiekem. Niet dus.
NoSugar
3 mei 2023 08:27
Kwalijke zaak wanneer multinationals gaan dreigen en wetten gaan beïnvloeden. Of je het nu eens bent of niet met de wet, een overheid zou nooit moeten zwichten voor een bedrijf.

What’s next? Microsoft, Apple en Google die hun diensten blokkeren als er een wet komt die hun niet bevalt? Of Huawei die onze netwerken plat legt, omdat we een wet aannemen die ze niet willen?
PizZa_CalZone
@NoSugar3 mei 2023 08:42
Bedrijven die zich terugtrekken uit Rusland vanwege de oorlog is met die redenering dus ook kwalijk? Of bedrijven die games niet uitbrengen in nederland en belgie vanwege de lootboxwetgeving?

De overheid hoeft niet te zwichten voor een bedrijf. De bedrijven gaan gewoon zelf weg als de wetgeving of cultuur niet matched met het product wat ze leveren. Dit gebeurt overal ter wereld. In sommige landen is alcohol verboden, dus kan je geen alcohol kopen. Tabak... etc. etc. etc.
Bozebeer38
@PizZa_CalZone3 mei 2023 09:00
Er is geen wetgeving in Nederland omtrent lootboxes.
Die was in de maak, er was een hoop over gezegd, maar die wet zoals het was, werd door de rechter afgeschoten.

Dus als ze het hier niet uitbrengen is inderdaad wat flauw.
Daarbij moeten politici niet zoiets bepalen voor tig duizenden die geen schulden maken of gewoon met geld om kunnen gaan.

[Reactie gewijzigd door Bozebeer38 op 3 mei 2023 09:01]

Jan-Remco
@NoSugar3 mei 2023 08:39
Bedrijven hebben net zo goed recht om in het democratisch speelveld hun balletje te spelen. Zolang ze dat in de openbare discussie doen vind ik dat alleen maar prettig. Het wordt wat anders als ze dat niet openbaar doen, maar in de achterkamertjes.
vanstra
@NoSugar3 mei 2023 08:45
Een bedrijf is toch vrij om hun diensten terug te trekken uit een land als ze het niet eens zijn?
Frame164
@NoSugar3 mei 2023 08:59
Dat is niet zo heel gek hoor. Dat gebeurt al zo lang als dat er bedrijven zijn. Als een bepaalde markt geen ruimte biedt voor je product dan begin je daar niet of trek je je terug. Er zijn genoeg bedrijven die spullen niet in Nederland/Europa leveren omdat dat hier verboden is, niet aan de regels voldoet of omdat er domweg geen markt voor is.

[Reactie gewijzigd door Frame164 op 3 mei 2023 08:59]

Tintel
@NoSugar3 mei 2023 10:38
Ze dreigen toch niet zozeer dat ze een opstand zullen starten? Dit is nu juist het meest gehoorde tegen argument als er een wet/regel is waar men het niet mee eens is; "Dan gaan ze maar fijn ergens anders heen".

Dat sommigen (velen) afhankelijk zijn van een produkt of dienst betekent dat die ook zullen protesteren maar dat kun je zien als 'opstand' maar ook als 'side-effect'.
Metalfreak
@NoSugar3 mei 2023 11:25
Als het risico voor jou als bedrijf door een nieuwe wet juist te groot is, dan ben je toch als bedrijf ook vrij om je terug te trekken? Of gaan we bedrijven verplichten om diensten aan te bieden? Dan is het dus gewoon een verkapte overheidsdienst.

Het is ook een absurde wet. Het is te vergelijken met het aanklagen van een wegbeheerder als die weg is gebruikt als vluchtroute na een overval.
bytemaster460
@NoSugar4 mei 2023 13:58
Een bedrijf is natuurlijk gewoon gerechtigd hun product uit een land terug te trekken als ze niet willen of kunnen voldoen aan de wetgeving. Sterker nog we verwachten het van bedrijven als het om China of Rusland gaat.
Drekback
3 mei 2023 08:27
Vermoeiend hoe regeringen iedere keer weer schreeuwen : 'voor de kinderen'. Terwijl het ze om iets heel anders gaat. Je ziet ze niet PornHub aan pakken bijv. Ja, dat zit kinderporno op en verkrachtingen.
Wanneer Signal zou toegeven hieraan, is de volgende stap dus dat de veiligheidsdiensten inzage kunnen hebben in je prive berichten. Dat is het doel.
Bozebeer38
@Drekback3 mei 2023 08:59
Niet dat ik nou dagelijks op Pornhub zit, maar heb beide zaken daar nog nooit gezien.
Daar moet je heel actief naar op zoek gaan volgens mij, om zoiets specifiek te vinden.
WhatsappHack
@Bozebeer383 mei 2023 09:17
PornHub stond toch juist behoorlijk bekend voor het verspreiden van o.a. revenge porn, verkrachtingen, een aantal minderjarige meisjes en meer van dat soort fratsen? En daar niet tegen optraden; waardoor MasterCard, VISA, PayPal, etc. besloten om PornHub op de shitlist te zetten en ze vervolgens opeens wél de boel konden verwijderen? (The Great Purge.).

https://www.nytimes.com/2...hub-rape-trafficking.html
https://www.vice.com/en/a...unverified-videos-content

[Reactie gewijzigd door WhatsappHack op 3 mei 2023 09:18]

Bozebeer38
@WhatsappHack3 mei 2023 09:24
Volgens mij werd daar wel tegen opgetreden, maar ging het niet op de gewenste manier van bepaalde politici.
Tenminste zoiets herinner ik mij nog wel.

Maar nogmaals, zelf in al die jaren (ja jaren :P) nog nooit tegen gekomen.
En ik ben toch wel een smerig mannetje hoor.
Dhr.Maassen
@Drekback3 mei 2023 08:45
Vermoeiend hoe regeringen iedere keer weer schreeuwen : 'voor de kinderen'. Terwijl het ze om iets heel anders gaat. Je ziet ze niet PornHub aan pakken bijv. Ja, dat zit kinderporno op en verkrachtingen.
Wanneer Signal zou toegeven hieraan, is de volgende stap dus dat de veiligheidsdiensten inzage kunnen hebben in je prive berichten. Dat is het doel.
Dit vind ik nogal pittige uitspraak... wat is dan hun daadwerkelijke agenda? En waarmee kan je dit onderbouwen? En hoe weet je dat kinderporno en verkrachtingen op PornHub staan?
GertMenkel
@Dhr.Maassen3 mei 2023 09:33
Iedere gratis pornosite die al een paar jaar bestaat heeft helaas dat soort materiaal gehost op een gegeven moment. Daarom is Pornhub begonnen met strikte validatie van auteurs en is de hele oude collectie op de website verwijderd op een gegeven moment.

Er zijn nogal wat zieke mensen op deze aardbol en ik vind persoonlijk dat pornobedrijven hier meer tegen kunnen gaan doen. Pornhub heeft nu een uitgebreid verificatiemechanisme, maar de concurrentie blijft nog achter.

Over Pornhub gesproken, die kun je toch niet bereiken in het VK zonder een telefoontje naar je provider vanwege een eerdere wet...
AnonymousWP
@Dhr.Maassen3 mei 2023 08:50
Volgens mij is het niet per direct zo, maar schijnt het wel eens voor te komen: https://www.nu.nl/tech/62...lmpjes-offline-halen.html
bytemaster460
@Drekback4 mei 2023 14:04
De term “kinderporno” wordt inderdaad vaak gebruikt als smeermiddel om weer stand tegen een wet te verkleinen. aan de andere kant is vervaardiging van kinderporno sinds de opkomst van internet een gigantisch probleem geworden. Mensen die er werk van maken om daar tegen optreden kun je niet iedere keer betichten van het misbruiken van kinderporno om wetten erdoor te drukken.
theduke1989
3 mei 2023 08:23
Dus het VK wilt end-to-end encryptie decentraliseren zodat ze op "kindermisbruik/kinderporno" kunnen kijken want ja dat is extreem en die term kunnen ze goed gebruiken voor alle andere dingen zodra ze binnen zijn.

Dan beter weg uit het VK. Of signal moet ergens op een eiland geregistreerd staan, zodat ze niks hoeven te doen.
Sissors
@theduke19893 mei 2023 08:30
Zo werkt het niet, maakt niet uit waar je geregistreerd staat, als je ergens een dienst aanbiedt, moet je aan de wet daar voldoen. Zou anders echt een mooie boel worden.
Seal64
@theduke19893 mei 2023 08:35
Signal kan nog steeds aangepakt worden. Als je actief bent in een land, heb je te voldoen aan de regels van dat land. Dan kun je op een vliegenstrontje in de Pacifische Oceaan gaan zitten, maar die regels gelden nog steeds. Het VK kan nog steeds boetes opleggen en, als je daar geen gehoor aan geeft, je gewoon blokkeren.

In dit geval kiezen ze er dan zelf voor om zich van die markt terug te trekken, want op die manier kunnen ze het naar de VK gebruikers verkopen in de vorm van dat ze geen keuze hebben, dat ze de privacy van de gebruiker op één hebben staan en dat hen dat door de VK overheid onmogelijk wordt gemaakt. Een sterk signaal naar niet alleen de Whatsapp gebruikers in het VK, maar ook daarbuiten.
bytemaster460
@Seal644 mei 2023 14:06
Je moet je dan richten op een land. Enkel beschikbaar zijn is niet genoeg. Vanwege het open karakter van internet zijn heel veel diensten beschikbaar in ieder land.
SuperDre
@theduke19893 mei 2023 12:07
Nee, ze willen end-to-end encryptie helemaal niet decentraliseren, ze willen dat de apps gedeelde images en video's scannen op misbruik, hoe ze dat doen is hun probleem. En dat kan dus ook gewoon rustig zonder end-to-end encryptie te breken.
TgR_KILLER
3 mei 2023 08:25
Vind dit sowieso wel een dingetje, want de bedoeling is dan vast weer om met algoritmes alles te gaan scannen. Als ik dan een foto van baby's eerste badje naar oma stuur hang ik dan aan de grootste strop?

We hebben tegenwoordig zoveel privacy wetgevingen en shit, cookie muren van hier tot Tokio, 1001% regeltjes. Maar de overheid doet maar gewoon wat ze willen.
Seal64
@TgR_KILLER3 mei 2023 08:37
Dat is al gebeurd. Meerdere malen. En in principe zul je daar, mocht er een rechtszaak van komen, van worden vrijgesproken - de rechter ziet echt wel dat dat onschuldig is. Maar intussen is je Apple/Google/whatever account al wel genuked en zie maar dat je die nog terugkrijgt.
Fordox
@Seal643 mei 2023 08:55
Al word je makkelijk vrij gesproken, je moet door de rechtzaak heen en de rechter +politie heeft genoeg aanleiding om door de rest van je media heen te gaan en al je computers te confisceren.
Met een beetje pech staat er ook in de locale krant een artikel met titel 'man gearresteerd, vermoedelijk kinderporno gevonden'
Daarnaast heb je ook de automatische reactie inderdaad, die al je accounts blokkeren.
En dat allemaal wanneer je moet uitleggen waarom je een foto heb gestuurd naar een vertrouwd persoon zonder intenties.

Zelfs al win je een rechtzaak, je moet dat echt niet willen.
jpsch
@Seal643 mei 2023 08:48
Rechter in Amerika zeker, waar al die bedrijven zitten.
iAR
@Seal643 mei 2023 08:48
Het feit dat je voor de rechter moet verschijnen voor dergelijke plaatjes is al een stap te ver. Vrij gesproken of niet
Seal64
@iAR3 mei 2023 09:08
Mee eens. De kans op vals-positieven is aanwezig en aantoonbaar een issue, want daar zijn dus al gevallen van geweest. Een gang naar de rechter is al niet wenselijk, maar daar heb je verder geen problemen meer mee, naderhand, dat was meer mijn punt.
paulmes
3 mei 2023 08:30
End to end encriptie. Hoe verhoudt zich dit met crimineel gebruik? Politie heeft aantal diensten gekraakt, maar hoe zit hiermee dan?
Kunnen criminelen weer vrijuit met elkaar communiceren?
zenlord
@paulmes3 mei 2023 09:29
Kunnen criminelen weer vrijuit met elkaar communiceren?
Net zoals ze dat al honderden jaren kunnen. Je kan geen politie-agent in iedere achterkamer laten post vatten omdat er misschien ooit wel eens twee criminelen elkaar zullen ontmoeten in die kamer.
Alxndr
@paulmes3 mei 2023 09:57
Ik vraag me idd ook steeds af hoe encrochat en dat soort diensten werken als zelfs WhatsApp end-to-end encrypted is en dus een probleem voor justitie is.
bytemaster460
@Alxndr4 mei 2023 14:08
Bij Encrochat had de politie sleutels in handen gekregen. Ze hebben het niet gekraakt.
Alxndr
@bytemaster4604 mei 2023 14:32
Bekend, maar ik bedoel: waarom gebruiken ze niet gewoon whatsapp/telegram of welke andere chat app die encryptie heeft, die zijn toch ook nog nooit gekraakt? Gewoon goede marketing om iemand, wat was het, 600 euro per maand uit de zak te kloppen?
bytemaster460
@Alxndr4 mei 2023 17:22
Encrochat was al veel ouder en leek een bepaalde veiligheid te garanderen. Bij WA zijn velen sceptisch. Het is ook lastig om in een encrochat groep te gaan roepen: "zullen we allemaal overstappen naar een WA-groep?". Dan zien opsporingsdiensten patronen. Het iets zijn van blijf zitten waar je zit.
n4m3l355
@paulmes3 mei 2023 10:01
De politie kraakt veelal private networks. Er zijn bedrijven die beveiligde netwerken leveren aan derde, zij het consumenten maar vaak dus ook de kleine crimineel. De politie weet vervolgens dan toegang te verschaffen tot de servers waar ze of server side meekijken of via een update client side.

WhatsApp is hier anders in, zij slaan zelf geen data op tenzij dat gevraagd wordt door autoriteiten. Het lijkt er dan ook op dat deze data alsnog onveilig is ondanks end to end encryptie?

Een snelle Google geeft het volgende, dat de FBI met een warrant gewoon kan meekijken.

[Reactie gewijzigd door n4m3l355 op 3 mei 2023 10:03]

Sfynx
@n4m3l3553 mei 2023 19:36
Dat ze metadata kunnen opvragen was al bekend. Gelukkig bevestigt dat bericht ook dat de daadwerkelijke inhoud van de berichten niet kan worden opgevraagd.
litebyte
@paulmes3 mei 2023 11:48
Er is nog nooit een misdrijf voorkomen met het kraken, er is wel heel veel informatie (bewijs) over misdaden naar boven gehaald via deze hacks/toegang tot servers.
bytemaster460
@litebyte4 mei 2023 14:10
Veel kinderporno wordt via TOR uitgewisseld. Ik weet eigenlijk wel zeker dat veel actieve verspreiders zich gedeisd gaan houden als blijkt dat TOR gekraakt is en niet meer anoniem zou zijn. In die zin worden dan wel misdrijven voorkomen.
litebyte
@bytemaster4604 mei 2023 17:14
Tor is inderdaad berucht, maar Telegram wordt ook veel gebruikt.
Het verschuift naar een ander medium. Je ziet dit bij elke vorm van misdaad, het verschuift of verplaatst zich.
Lorenzo.
3 mei 2023 08:47
Maar hoe zit dit voor mensen die het land bezoeken? Stel ik ga een weekendje naar London, moet ik dan eerst WhatsApp verwijderen om toegelaten te worden of komt er een uitzondering voor toeristen? Waardoor dus die hele regel wankel zal worden? Of denk ik te makkelijk?
Neruo
@Lorenzo.3 mei 2023 09:57
"This service is not available at your location"
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee