‘Nederlandse overheid al dertig jaar op de hoogte van zwakke beveiliging Tetra’

De Nederlandse overheid is al dertig jaar op de hoogte van de kwetsbaarheden in de Tetra-communicatiestandaard. Dat stelt Gert Roelofsen, die medeverantwoordelijk was voor de beveiliging, aan de Volkskrant. De overheid zou zelf om de zwakke beveiliging hebben gevraagd.

Volgens Roelofsen zou het nieuws dat de Tetra-standaard kwetsbaarheden bevat voor 'een heel klein deel van de Nederlandse overheid' geen verrassing mogen zijn. De voormalige voorzitter van het Tetra-project meent immers dat de rijksoverheid zelf ooit om de zwakke beveiliging voor de radiocommunicatiestandaard heeft gevraagd. "De sleutellengte van het TEA1-algoritme (een van de vier encryptielagen) moest worden beperkt", klinkt het tegenover de Volkskrant. "Er was intern discussie bij de overheid, maar de verzwakte encryptie was de voorwaarde", klinkt het.

De zwakke encryptie is in een van de vier encryptielagen terug te vinden, de zogenaamde TEA1-laag. TEA1 is bedoeld voor de versleutelde communicatie in commercieel beschikbare apparatuur, maar werd volgens de Volkskrant ook vrijgegeven voor politiediensten buiten Europa. West-Europese ordediensten mochten gebruikmaken van de beter beveiligde TEA2-encryptielaag. Dat TEA1 werd voorbehouden voor politiediensten buiten Europa, had volgens Roelofsen te maken met het Arrangement van Wassenaar. Via dit akkoord uit 1996 kwamen 42 landen overeen om de export van wapens en technologieën die ook militair konden worden gebruikt, te beperken. Het TEA1-algoritme wordt ook nog in Nederland gebruikt, zoals in de haven van Rotterdam. Ook in buurlanden wordt de TEA1-standaard naar verluidt nog gebruikt bij kritieke infrastructuur.

Eerder deze maand kwamen drie Nederlandse beveiligingsonderzoekers van securitybedrijf Midnight Blue met het nieuws naar buiten dat radiocommunicatiestandaard Tetra enkele kwetsbaarheden bevat; met name de TEA1-laag zou relatief eenvoudig te kraken zijn. Tetra staat voor Terrestrial Trunked Radio en is in de jaren negentig ontwikkeld door het Europees Telecommunicatie en Standaardisatie Instituut. Het netwerk wordt onder andere gebruikt door hulpdiensten zoals politie en brandweer.

Reacties (89)

klonic 30 juli 2023 13:18

Eigenlijk zou het strafbaar moeten zijn om beveiliging opzettelijk slecht te maken of om het niet proberen op te lossen als je er vanaf weet.

Alfa1970 @klonic • 31 juli 2023 00:50

Je moet het wel in het licht plaatsen van 30 jaar geleden.

De meneer uit de Volkskrant zit een heel mooi verhaal op te hangen, maar meet met de standaarden van vandaag beslissingen af die 30 jaar geleden zijn genomen.

30 jaar geleden was een 32 bit encryptie sleutel praktisch gezien volstrekt veilig en niet te kraken binnen een mensenleven. (Gemeten met de technologie van destijds).

Dat men met 32 bit encryptie sleutels een minder goede beveiliging gekozen heeft wil niet zeggen dat het een opzettelijk slechte beveiliging was.
Je zou kunnen zeggen dat men destijds gekozen heeft voor "VHS" in plaats van "Betamax", en waarschijnlijk is dat vanwege dezelfde reden waarom VHS populair is geworden.

Anoniem: 1322 @Alfa1970 • 31 juli 2023 14:31

De meneer uit de Volkskrant zit een heel mooi verhaal op te hangen, maar meet met de standaarden van vandaag beslissingen af die 30 jaar geleden zijn genomen.

Precies wat je doet als je een aanbesteding hebt. Je neemt de gehele lifecycle van het systeem in beschouwing. Je gaat echter geen standaard kiezen waarvan je weet dat het binnen 10 jaar al overbodig is.

30 jaar geleden was een 32 bit encryptie sleutel praktisch gezien volstrekt veilig en niet te kraken binnen een mensenleven. (Gemeten met de technologie van destijds).
Dit is volledige onzin zoals @CARLiCiOUS al aangeeft. Maar ter verduidelijking:
Monochrome in 'Onderzoekers vinden kwetsbaarheden in radio-encryptiestandaard van C2000'

Maar uiteindelijk is toch al volledige onzin om te zeggen dat een 32-bits sleutel veilig is als je de rest van het systeem niet in beschouwing neemt.

Persoonlijk zou ik 'als regering' hier een heel uitgebreid onderzoek naar doen want het zou zelfs maar eens op 'landverraad' of 'spionage' uit kunnen lopen. Dat zou een logisch vervolg zijn maar gezien huidige reactie zal niemand zich hier aan branden.

CARLiCiOUS @Alfa1970 • 31 juli 2023 01:52

30 jaar geleden was een 32 bit encryptie sleutel praktisch gezien volstrekt veilig en niet te kraken binnen een mensenleven. (Gemeten met de technologie van destijds).

Wauw, zo'n zelfverzekerde uitspraak en toch compleet losstaand van de realiteit.

In 1998 bouwde het EFF al een machine waarmee DES werd gekraakt binnen 56 uur, met een budget van minder dan $250000.[1] DES heeft een sleutellengte van 56 bits, wat inhoudt dat de rekenkracht die nodig is voor het kraken van DES in de orde van 17 miljoen keer meer is dan dat van TEA1. Ergo, TEA1 kun je gewoon op consumentenhardware uit die tijd kraken in uren tot een enkele dag.

[1] https://en.wikipedia.org/wiki/EFF_DES_cracker

Frame164 @CARLiCiOUS • 31 juli 2023 11:36

Dat klopt helemaal, maar de mobiele devices die agenten in die tijd gebruikte waren niet krachtig genoeg om betere encryptiie te kunnen verwerken. Die waren er domweg niet. En Tetra is niet flexibel genoeg om meerdere encryptiemethodes te gebruiken zodat voor modernere devices een betere encryptie kan worden gebruikt. Dit i.t.t. mobiele netwerken.

CARLiCiOUS @Frame164 • 31 juli 2023 19:19

De mobiele devices die agenten in die tijd gebruikte waren niet krachtig genoeg om betere encryptiie te kunnen verwerken. Die waren er domweg niet.

Nog zo een. Die waren er gewoon wel. Vanaf de eerste dag waren er gewoon porto's met TEA2, welke 80 bits sleutels hanteert. De structuur, en daarmee de benodigde rekenkracht van TEA1 en TEA2 zijn heel vergelijkbaar, op de sleutel-reductie-stap in TEA1 na. De beste man geciteerd in het artikel verklaart nota bene zelf dat het om een bewuste verzwakking ging, opgedrongen door het Wassenaar arrangement.

En Tetra is niet flexibel genoeg om meerdere encryptiemethodes te gebruiken zodat voor modernere devices een betere encryptie kan worden gebruikt.

Dat is het wel. Support hiervoor is gewoon vastgelegd in de standaard (ETSI EN 300 392-7).

Douweegbertje @Alfa1970 • 31 juli 2023 01:58

Jouw verhaal is mooier. Er staat toch letterlijk dat er bewust voor een zwakkere beveiliging is gekozen. Daar is toch maar 1 reden voor? Ik weet niet wat er verder nog uitgelegd moet worden.

Maar goed, er zijn wel meer dingen geweest waar bewust backdoors en zwakkere encrypties zijn toegevoegd om zo andere landen/instanties/bedrijven te kunnen (blijven) afluisteren.. Dit kan gewoon bij het lijstje.
o.a. wat voorbeelden;
nieuws: Oud-medewerker bevestigt afzwakken encryptie door Philips in jaren ne...
https://en.wikipedia.org/wiki/Dual_EC_DRBG

downtime @klonic • 30 juli 2023 16:01

Beveiliging is altijd een afweging tussen veiligheid, gebruikersgemak, technische limitaties, kosten en nog wat zaken. Je kunt er niet één ding uitpikken en dat tot in het extreme doorvoeren want dan wordt dat veilige apparaat onbruikbaar, traag, onbetaalbaar, etc. En als dat gebeurt gaat niemand het meer gebruiken en ben je nog verder van huis.

kiang

@downtime • 30 juli 2023 18:43

Klopt. Maar vertel dit nu aan de familie van de agent die vermoord is omdat de maffia alles kon afluisteren dankzij de kwetsbaarheid die de overheid zelf in het systeem wilde.

Het lek zit er niet in omdat het niet anders kon om praktische of budgettaire redenen, het lek zit erin omdat de inlichtingendiensten de andere veiligheidsdiensten van het land wil kunnen afluisteren. Blijkbaar vertrouwen de aivd en de mivd de Nederlandse politie niet en willen ze ongemerkt kunnen meeluisteren. Waarom?

SunnieNL

@kiang • 30 juli 2023 21:53

Het zit erin omdat het wetgeving was. Net als in de usa (voor lange tijd) het normaal was dat de betere encryptie technieken niet in producten buiten de usa verkocht mochten worden als die producten uit de usa kwamen.
Zelfde soort wetgeving. Aan de ene kant om te voorkomen dat anderen reverse engineering konden doen/zwakheden konden ontdekken of dezelfde/betere encryptie hadden en aan de andere kant om te zorgen dat jij die zwakke encryptie wel kon decrypten als het nodig was.

Waarom die zwakkere encryptie vervolgens in eigen land wordt gebruikt bij kritieke diensten is mij dan wel een raadsel.

Aan de andere kant praten we over een encryptie van 30 jaar oud. Bijna alle encryptie uit die tijd wordt nergens meer gebruikt omdat het ergens voor vatbaar is of met de huidige techniek vrij snel te kraken is.

[Reactie gewijzigd door SunnieNL op 24 juli 2024 06:32]

T-men @SunnieNL • 30 juli 2023 23:15

Waarom die zwakkere encryptie vervolgens in eigen land wordt gebruikt bij kritieke diensten is mij dan wel een raadsel.

Zomaar een gedachte uit de losse pols, maar bedenk dat de overheid vooral een politiek en niet een technisch orgaan is.
Wellicht wilde de een of andere politicus een sterker systeem achter de hand houden. Te gebruiken op het moment dat het zwakkere systeem gekraakt werd. Dan kun je makkelijker zeggen dat je een probleem snel en goed opgelost hebt. Wanneer je meteen het sterkste systeem in zou zetten, dan is dat ook meteen doelwit voor hackers. Wanneer dát dan gekraakt wordt kun je nooit meer een snelle stap vooruit maken.
Technisch natuurlijk belachelijk, maar politiek kan dat heel handig uitkomen.

Aldy @T-men • 31 juli 2023 14:33

Misschien heb je gelijk, maar als dit zo is, kan ik mij steeds meer voorstellen dat de rest van de bevolking minder vertrouwen in de politiek heeft. (De rest van de bevolking zijn de niet-politici)

[Reactie gewijzigd door Aldy op 24 juli 2024 06:32]

sam1987 @SunnieNL • 31 juli 2023 00:37

Ik weet niet of je ooit verhalen van ouderen hebt gehoord die bv bij politiediensten, inlichtingendiensten of als militairen werkten?

Wat me altijd is gezegd geweest is dat dat diensten van de ene stad niet overeen kwamen met die van een andere stad etc. De bevoegdheden waren ook veel strikter afgebakend per zone en stad en het buitenland was zeker een nachtmerrie. Het was dan ook vrij normaal dat de een de andere beschuldigde van slecht werk te leveren, corruptie en belangenvermenging (achter de schermen weliswaar), de (lokale) politiek speelde hier ook een grote rol in. Dit is nu allemaal wel wat verbeterd, maar deze issues zijn nog altijd aanwezig.

Vanuit dat standpunt is het best wel te verstaan dat een de andere wou afluisteren, of ten minste over dezelfde informatie wou beschikken die al dan niet bewust werd achter gehouden. Vanuit federaal punt was dit misschien ook wel iets wat gecontroleerd moest worden om te zien of er geen samenwerking en/of machtmisbruik met georganiseerde misdaad plaatsvond enzovoort.

Wat ik hier vertel, is en was zeker een vrij bekend iets en je ziet het vaak verwaterd terugkomen in Nederlandse en Belgische politie series.

Aldy @sam1987 • 31 juli 2023 14:45

Wat me altijd is gezegd geweest is dat dat diensten van de ene stad niet overeen kwamen met die van een andere stad etc

Wat je hier aanhaalt geldt uitsluitend voor de politiediensten en heeft niets met inlichtingendiensten of met militairen van doen. Je vergeet ook te melden dat er vroeger uitsluitend gemeentepolitie was, dus het woord zegt het al: politie per gemeente. De verantwoordelijkheid hield dan ook op bij de gemeentegrens, waar dat bordje met 50km staat. Dit was heel strikt. Naast de gemeentepolitie had je nog de Rijkspolitie. Deze dienst vulde alle hiaten op, waar de gemeentepolitie geen bevoegdheid heeft.
Dat is later veranderd in de Nationale politie en daaronder vallen alle regionale diensten. De opzet is totaal veranderd en zo ook de bevoegdheden en samenwerking.

sam1987 @Aldy • 31 juli 2023 16:56

Qua structuur en bevoegdheid bedoel je dan? Of ook de gehele "rivaliteit" (niet de beste term) tussen overheidsdiensten en landen? Overheidsdiensten die andere overheidsdiensten willen controleren (wat de reden ook is) is toch niks nieuw? Daar is trouwens niks mis mee en dat zou er altijd moeten zijn vind ik persoonlijk. Maar waarschijnlijk niet op deze manier

.

Of je het nu nationaal of internationaal of in een hybride vorm bekijkt, daar komt het in essentie op neer. En daar heb ik misschien niet genoeg de nadruk op gelegd.

Internationaal zowel op niveau "inlichtingen" als militair "bespioneert" of "analyseert" (de legale term voor bondgenoten) men elkaar toch ook?

Vanaf een bepaald niveau dachten bepaalde diensten en/of landen er waarschijnlijk baat bij te hebben om dit (voor welke reden dan ook) niet op te lossen, aangezien er bepaalde diensten / personen op de hoogte waren.

Aldy @sam1987 • 31 juli 2023 17:26

Ja, ik bedoelde qua bestuur en bevoegdheid. Ik heb geen idee of er rivaliteit onderling bestond (binnenland), omdat alle diensten een afgebakend territorium en verantwoordelijkheid hadden. Spioneren binnen deze diensten (in het verleden en nu) vind ik uit den boze. Dit riekt heel erg naar de Stasi en als welke dienst dan ook kun je op deze manier niet functioneren.
Wat betreft het spioneren tussen bondgenoten en vijanden bedenk ik mij opeens wat het verschil is: De inlichtingendiensten van vijanden kunnen alleen met elkaar informatie uitwisselen in de zogenaamde neutrale landen, terwijl bondgenoten overal informatie kunnen uitwisselen.

Met informatie uitwisselen bedoel ik officieel info uitwisselen met toestemming van de betreffende overheden.

Vanaf een bepaald niveau dachten bepaalde diensten en/of landen er waarschijnlijk baat bij te hebben om dit (voor welke reden dan ook) niet op te lossen, aangezien er bepaalde diensten / personen op de hoogte waren.

Er is politiek gezien altijd een goede reden om een status quo ergens over te handhaven. Kijk alleen al naar de eerder genoemde neutrale landen. Dat Zweden lid wordt van de Navo is daar een behoorlijke inbreuk op.

kuurtjes @SunnieNL • 31 juli 2023 13:54

Dus iets dat wetgeving is is volgens jou verantwoord?

SunnieNL

@kuurtjes • 31 juli 2023 13:58

Dat zijn jouw woorden, niet de mijne.
Zover ik kan zien zeg ik dat nergens in mijn antwoord. Ik spreek zelfs mijn verbazing uit dat we de lagere encryptie in nederland gebruiken. Daarnaast geef ik alleen aan dat het niet is vanwege vertrouwen en afluisteren, maar voornamelijk vanwege wetgeving uit die tijd (die mogelijk nog steeds geldig is).

Enfin, 30 jaar oude encryptie. Wordt hoog tijd voor een update en deze aan de kant te schuiven. 30 jaar oude encryptie wordt op andere gebieden al jaren niet meer als veilig geacht vanwege kwetsbaarheden en toegenomen processorkracht, dus tijd om ook deze te gegraven en gewoon niet meer te gebruiken.

[Reactie gewijzigd door SunnieNL op 24 juli 2024 06:32]

kuurtjes @SunnieNL • 31 juli 2023 17:03

Je lijkt de USA aan te kaarten om het feit dat het wettelijk is goed te praten. Ik zou de USA er niet bij betrekken. Anti encryptie is extreem slecht voor de privacy. Of dat wettelijk is of niet heeft er niets mee te maken.

SunnieNL

@kuurtjes • 31 juli 2023 17:11

wel het hele draadje volgen en niet alleen één antwoord.
Het is ook helemaal niet om het goed te praten.

De reactie is op iemand die zegt dat die verminderde encryptie er alleen is zodat de inlichtingsdiensten anderen kan afluisteren. Maar dat is niet de 'main reason'. Die staat in het artikel namelijk al genoemd en is een wettelijke eis.

Dat we in Nederland niet de betere encrypte versie gebruiken is vreemd, omdat dat niet gebonden is aan het akkoord. Daarnaast moet je niet vergeten in welke tijd deze encryptie beschikbaar werd gesteld. Dat is 30 jaar geleden. Toen zaten we net in de afbraak van de koude oorlog.
Binnen de EU is ook niets aan de hand. Die hebben gewoon de beschikking over de zwaardere encryptie. De lagere encryptie was alleen voor landen buiten de EU (rusland, usa, etc.).
En die landen zijn niet verplicht onze EU encryptie te gebruiken (doen ze ook niet.. rusland en de usa houden hun eigen encryptie er op na). Die tijdsgeest, dat is wel om het goed te praten en in die tijd ook heel logisch.

Met de inzichten van nu is veel veranderd. Ook technisch is er veel veranderd. Deze encryptie zou sowieso niet meer gebruikt moeten worden. Dat zou ook de discussie moeten zijn. Niet waarom er bewust lagere encryptie was (wat al te zien is aan het getal op het einde). Er zijn meer encryptie protocollen met verschillende getallen erachter die aangeven hoe zwaar de encryptie is. De laagste versies worden in vrijwel al die gevallen niet meer gebruikt en zeker niet bij de encryptie protollen van 30 jaar geleden.

[Reactie gewijzigd door SunnieNL op 24 juli 2024 06:32]

kodak

Politie
Hack
Nederland
Beveiliging en antivirus
Hackers

@kiang • 30 juli 2023 21:31

het lek zit erin omdat de inlichtingendiensten de andere veiligheidsdiensten van het land wil kunnen afluisteren.

Het nieuws stelt dat het verzwakken juist was in het algoritme voor niet west europese gebruikers. Dat is niet zomaar op te vatten als willen verzwakken bij west europese gebruikers als die het in gebruik hebben of nemen. Het kan bijvoorbeeld betekenen dat men anderen niet kan of mag verbieden om het te gaan of blijven gebruiken. Of dat het eigen verantwoordelijkheid werd gevonden als klanten kozen voor een algoritme dat niet voor hun op de markt was gebracht. En natuurlijk kunnen we dat slecht vinden, maar het geeft wel aan dat er meer afwegingen kunnen zijn dan veiligheidsrisico's of 'gemak'.

HenkEisDS @kiang • 30 juli 2023 22:36

Waarom? Omdat de binnenlandse veiligheid hun job is.

laurxp @HenkEisDS • 31 juli 2023 04:43

Blijkbaar zijn ze dan het stukje "binnenlands" vergeten.

Ze verzwakten bewust de encryptie die gebruikt werd door buitenlandse veiligheidsdiensten en binnenlandse industrie. Om te kunnen spioneren op het buitenland, hebben ze het dus ook mogelijk gemaakt om bijvoorbeeld als drugsrunner realtime mee te luisteren met de communicatie van de havens van Rotterdam. Dat verslechtert de binnenlandse veiligheid.

Aldy @kiang • 31 juli 2023 14:28

Het lek zit er niet in omdat het niet anders kon om praktische of budgettaire redenen, het lek zit erin omdat de inlichtingendiensten de andere veiligheidsdiensten van het land wil kunnen afluisteren. Blijkbaar vertrouwen de aivd en de mivd de Nederlandse politie niet en willen ze ongemerkt kunnen meeluisteren.

Kun je mij vertellen hoe je aan deze info komt? Het staat in ieder geval niet in het redactionele stuk. Het kan ook zijn, dat jij dit denkt of vindt, maar dan moet je dit duidelijk kenbaar maken en niet als feit presenteren.

Finraziel

@downtime • 30 juli 2023 16:47

Je hebt technisch gezien gelijk, maar dat is overduidelijk niet wat hij bedoelt. In dit geval was het geen afweging tegen een van die andere factoren die je noemt maar puur dat de overheid zelf de beveiliging wil kunnen breken...

TechSupreme @Finraziel • 30 juli 2023 18:01

Waarom er destijds werd gevraagd naar de TEA1 encryptie is niet bekend, maar om nou te zeggen dat ze dat deden zodat ze zelf hun eigen netwerk kunnen hacken is onzin. De overheid heeft de zendmasten en alle apparatuur in eigen beheer dus ze hoeven niks te hacken.

kabelmannetje @downtime • 30 juli 2023 17:15

In het artikel staat duidelijk dat het algoritme bewust verzwakt is. Dus snap even niet waar je het over hebt.

Lieftalig @downtime • 31 juli 2023 10:22

Exact mijn gedachten en daarmee een kortzichtige mening van heer Roelofsen. Er is gewoon een afweging gemaakt, waarbij de focus niet 'alleen' op veiligheid lag.

jdh009 @klonic • 30 juli 2023 15:41

Ondertussen wil de minister beveiliging met een back door of ingebouwde zwakte…

nieuws: NOS: overheid werkt nog steeds aan plan om encryptie af te zwakken

https://www.vpngids.nl/ni...n-tot-versleutelde-chats/

https://nos.nl/artikel/23...e-taak-voor-nieuw-kabinet

[Reactie gewijzigd door jdh009 op 24 juli 2024 06:32]

kiang

@jdh009 • 30 juli 2023 18:47

Je eerste en laatste artikelen zijn verouderd: die plannen zijn intussen niet verder gezet.

Je tweede links is misleidend: in die Kamervragen ging het inderdaad over toegang tot private chats, maar expliciet werd benoemd dat dit ging over lokale toegang krijgen (dus door op het toestel zelf te komen: whatsapp slaat berichten gewoon onversleuteld op, signal gebruikt een versleutelde database waarbij de sleutel vaak te achterhalen is op het toestel). In diezelfde Kamervragen werd nog eens benadrukt dat e2e encryptie afzwakken niet in de huidige plannen of doelen zit.

Waakzaamheid blijft eeuwig geboden, maar wat je nu doet is pure paniekzaaierij zonder feitelijke basis.

[Reactie gewijzigd door kiang op 24 juli 2024 06:32]

jdh009 @kiang • 30 juli 2023 19:08

Daar ben ik het niet mee eens, dat die plannen er überhaupt geweest zijn is al een punt opzich en ik toon met de links aan dat dit inderdaad het geval is/was. Daarnaast heb ik het over (data)beveiliging en niet alleen over e2e en daarom bewust gekozen voor de verwoording "beveiliging met een back door of ingebouwde zwakte" omdat er meer is dan alleen de communicatie wat het geheel veilig maakt.

Dilan Yeşilgöz-Zegerius staat er zover ik kan vinden nog steeds achter dat ze (de opsporingsdiensten) toegang moeten kunnen hebben tot versleutelde zaken zoals bijv. chats. Dat de encryptie niet afgezwakt gaat worden is ook nog eens wat anders dan het niet proberen op te lossen als je er vanaf weet. Met de instelling van iemand zoals de minister zullen ze zwakte alleen maar gebruiken i.p.v. melden. Zie ook dit artikel waarbij de Nederlandse overheid al dertig jaar op de hoogte was van de zwakke beveiliging Tetra.

De Europese Unie is van mening dat er wel iets gedaan moet worden aan de verspreiding van kinderporno. Hier wordt daarom nog druk gesproken over het al dan niet verzwakken van end-to-end-encryptie of het inzetten van alternatieven om toch berichten te kunnen scannen op dergelijk materiaal. Techbedrijven zijn in ieder geval fel tegen het verzwakken van de encryptie en ook de Nederlandse overheid wil geen plannen steunen die encryptie verzwakken. Maar over een alternatief blijken de meningen te verschillen.

Alternatieve verplichten maakt een applicatie of systeem nog steeds zwakker als je daardoor om een beveiliging heen kunt. Als applicatiebouwer waarin soms gevoelige bedrijfsdata wordt opgeslagen zie ik dit dus weldegelijk als een probleem. Zowel op het uitlekken van bedrijfsgeheimen als op het gebied van de AVG. Als een opsporingsdienst erbij kan dan kan via diezelfde weg een 'hacker' er ook bij. De toegang tot versleutelde communicatie of data door opsporingsdiensten kan een precedent scheppen voor misbruik door (andere) kwaadwillende actoren.

Minister Yeşilgöz-Zegerius van Justitie en Veiligheid ziet dat echter anders, zo geeft ze aan in een brief aan de Tweede Kamer. De minister ontraadde de motie voor de stemming met klem, onder meer omdat ze wil dat Nederland "een positieve bijdrage levert" aan de aanpak van kinderporno "- en niet nagenoeg alleen komt te staan met een vroegtijdige afwijzing van voorstellen in de Verordening waar zich vooralsnog een grote meerderheid van Europese lidstaten achter schaart". Volgens haar is client-side scanning nu "de enige manier waarop de maatregelen in de verordening kunnen worden uitgevoerd zonder end-to-end encryptie aan te passen". Zou Nederland die optie uitsluiten, dan beperkt dat volgens de minister de onderhandelingsruimte en zou Nederland "geen betekenisvolle invloed" uitoefenen om het voorstel te verbeteren. "Immers: als de verordening wordt aangenomen, dan is Nederland daar onverkort aan gebonden."

Daarnaast benadrukt de minister dat als zowel client-side scanning als het breken van end-to-end-encryptie worden uitgesloten als maatregelen om de verspreiding van kinderporno via bijvoorbeeld chatapps tegen te gaan, er geen mogelijkheden meer over zijn. "Het is echter bekend dat juist deze diensten in toenemende mate voor de verspreiding ervan worden misbruikt. Die situatie acht ik, mede gezien ook de onderhandelingspositie in Brussel, zacht gezegd buitengewoon onwenselijk. Daarom heb ik deze motie, met klem, ontraden."

En de reactie van Ginneken (D66).

Van Ginneken zegt in een bericht op LinkedIn echter dat er nog wel gerichte acties mogelijk lijken te zijn. "Onze politie is in het verleden meermaals succesvol gebleken om chatkanalen van criminelen gericht te infiltreren en te volgen en dat is een prestatie van formaat. Zulke gerichte acties op basis van redelijke verdenking zijn dus mogelijk én nodig."

[Reactie gewijzigd door jdh009 op 24 juli 2024 06:32]

kiang

@jdh009 • 30 juli 2023 21:00

Daarnaast heb ik het over (data)beveiliging en niet alleen over e2e en daarom bewust gekozen voor de verwoording "beveiliging met een back door of ingebouwde zwakte" omdat er meer is dan alleen de communicatie wat het geheel veilig maakt.

Ok, dan zijn we het dus fundamenteel oneens: ik zie er namelijk geen enkel probleem in dat de politie exploits gebruikt om de telefoon van een individuele verdachte uit te lezen, mits toestemming van de OvJ, en wettelijke kaders die juridische en democratische controle op de procedures mogelijk maken. En momenteel is dat in Nederland absoluut wel het geval, we zijn verre van een dictatuur of een oppressieve samenleving.

Ik zou het veel enger vinden wanneer elke crimineel, zij het nu een drugsdealer of een corrupte politicus, zou kunnen zeggen "mijn laptop staat vol bewijs van absoluut gortige misdaden, maar ik heb BitLocker aanstaan en de politie mag dus zelfs niet proberen te ondernemen om bewijs te verzamelen".

jdh009 @kiang • 30 juli 2023 22:02

[..]politie exploits gebruikt om de telefoon van een individuele verdachte uit te lezen, mits toestemming van de OvJ, en wettelijke kaders die juridische en democratische controle op de procedures mogelijk maken. En momenteel is dat in Nederland absoluut wel het geval, we zijn verre van een dictatuur of een oppressieve samenleving.

Ik denk dat het wel mee valt hoe oneens we het zijn, met wat je hier schrijft ben ik het namelijk gewoon eens. Zeker het punt omtrent wettelijke kaders die juridische en democratisch gecontroleerd moeten worden. Van mij mag hier ook nog een constitutionele toetsing aan toe worden gevoegd door een, nog op te richten en wettelijk te regelen, constitutioneel hof.

De politie staat in Nederland echt niet machteloos tegen zulke misdaad, blijkt ook uit zaken rondom Iron Chat en EncroChat. Voor individuen: Nederlandse politieagenten mogen tijdens een onderzoek de vingerafdruk van een verdachte gebruiken om een telefoon te ontgrendelen en een faceID zoals hier zal via dezelfde gronden ook wel mogen.

Toch vraag ik me af of de samenleving altijd gebaat is bij het achterhouden van zulke lekken, zwaktes of exploits, vooral als softwarebouwers verplicht zouden worden door de overheid om deze bewust in te bouwen. Idealiter mogen er geen bugs, vooral die kunnen leiden tot exploits, in de software aanwezig zijn en klanten/gebruikers moeten er vanuit kunnen gaan dat hun data veilig is*. Dat is toch wel iets wat klanten en/of gebruikers mogen verwachten als ze software kopen/gebruiken.

Daarbij, we moeten ook serieus rekening houden met dat het niet melden of doorgeven van ontdekte zwaktes en lekken zwaardere neveneffecten kan hebben dan wat het aanvankelijk lijkt op te leveren. Het bestaan van onbekende zwaktes in software kan andere personen, zoals journalisten die communiceren met anonieme bronnen of klokkenluiders, in mogelijk 'gevaar' brengen of (bedrijfs)geheimen/persoonlijke of medische data die misbruikt kunnen worden (van phishing, ransomware, sextortion tot 'wapenproductie' (bijv. d.m.v. ASML productieprocessen). Als de politie of inlichtingendiensten op de hoogte zijn van een lek, is de kans groot dat andere (buitenlandse) diensten, groeperingen, individuen of bedrijven daar ook al van op de hoogte waren.

Mijn dilemma ligt in het feit dat wanneer een lek of zwakte niet wordt gemeld, het kan blijven bestaan zonder dat degenen die het risico lopen, zich hiervan bewust zijn. Dit kan leiden tot onbedoeld misbruik of het achterhouden van cruciale informatie die de veiligheid en privacy van vele anderen in gevaar kan brengen. Het verplicht melden van lekken (na x periode) aan de juiste instanties kan leiden tot snelle oplossingen en het beschermen van een bredere gemeenschap tegen potentiële bedreigingen.

Ik zou het veel enger vinden wanneer elke crimineel, zij het nu een drugsdealer of een corrupte politicus, zou kunnen zeggen "mijn laptop staat vol bewijs van absoluut gortige misdaden, maar ik heb BitLocker aanstaan en de politie mag dus zelfs niet proberen te ondernemen om bewijs te verzamelen".

Zoals de laatste quote in mijn vorige post en aan het begin van deze aangeeft, er zit meer in de toolbox van een opsporingsbeambte dan alleen de mogelijkheid om te hacken. Goed recherchewerk is iets wat ook resultaat geeft en met toestemming infiltreren of informatie tappen/afluisteren (internet maar kan ook met keyloggers of kabels als KeyGrabber) zijn allemaal opties. Zo zijn er nog veel meer zaken mogelijk qua opsporing maar dat gaat een beetje off-topic.

Ik zeg niet dat dergelijke middelen niet mogen worden gebruikt, maar het vooraf afzwakken van elke vorm van softwarebeveiliging ter bevordering van opsporingsdoeleinden kan vergelijkbaar zijn met schieten met hagel, waarbij een te grote kans op 'burgerslachtoffers' ontstaat voor problemen die in mijn optiek gerichter aangepakt moeten worden.

Let wel, al is het een beetje een dooddoener en n=1 ding, dat zonder encryptie en/of goed recherchewerk ook niet alle criminelen kunnen worden opgespoord:

Details about the major ISIS terror plot averted 10 months ago in Belgium also indicate that while Abaaoud previously attempted to avoid government surveillance, he did not use encryption.

Bron quote: https://theintercept.com/...-between-terror-suspects/

*dat is niet (altijd) zo, maar daar is o.a. de GDPR en AVG voor.

[Reactie gewijzigd door jdh009 op 24 juli 2024 06:32]

Anoniem: 58485 @kiang • 30 juli 2023 20:41

Kijk hier eens: https://www.techspot.com/...n-online-safety-bill.html

Actueel - ze willen daar encryptie verzwakken middels de wet, waardoor alle betrokken partijen zoals Apple, Google, Meta etc aan mee moeten doen. Of gewoon de biezen pakken uit dat land.

kiang

@Anoniem: 58485 • 30 juli 2023 20:55

Dat gaat over het VK, niet Nederland.

Sorry, maar ik kan geen gesprek voeren als constant de feiten waarover men praat aangepast worden

Anoniem: 58485 @kiang • 31 juli 2023 00:16

En of het invloed heeft op de rest van de wereld straks.

Polderviking

@kiang • 31 juli 2023 00:38

Je hebt allicht inhoudelijk gelijk maar paniekzaaierij wil ik het niet noemen. Dat het idee uberhaupt de revu passeert en niet gelijk de kamer uit wordt gelachen zegt echt wel wat over hoe (ongeinformeerd of anderzijds) sommige mensen er in zitten.

[Reactie gewijzigd door Polderviking op 24 juli 2024 06:32]

TheDudez @klonic • 30 juli 2023 13:26

Onder het mom van kindermisbruik wgaat dit misschien ook zo dadelijk gebeuren. Het moet eerst goed fout gaan voordat dit soort dingen echt opgelost worden. Zoals altijd met de overheid.

Je hebt helemaal gelijk.

[Reactie gewijzigd door TheDudez op 24 juli 2024 06:32]

_Thanatos_ @TheDudez • 31 juli 2023 11:24

Wat heeft dit met kindermisbruik te maken??

dasiro @klonic • 30 juli 2023 16:19

"every weapon can be used against you" zo ook met encryptie, daarom dat je altijd iets achter de hand wil kunnen hebben, maar daar willen security-puristen niet van weten.

Djerro123 @dasiro • 30 juli 2023 17:07

Je hoeft geen security purist te zijn om te weten dat als op dag 1 de overheid ergens een sleutel van heeft, criminelen deze sleutel op dag 2 hebben.

Mijn primaire angst voor opzettelijk zwakke encryptie is niet een overheid die mee kan kijken, maar voor mijn eigen digitale veiligheid tov criminelen.

dasiro @Djerro123 • 30 juli 2023 17:36

True, alles wat kan misbruikt worden, zal misbruikt worden, maar als iets zo veilig is dat zelfs de overheid er niet aan of in kan, de ultieme handhaver van de wet, dan is dat alsof je een uitnodiging naar alle anarchisten en criminelen stuurt om je product te gebruiken, want "ze kunnen je toch niet pakken". Dat is hetzelfde als een ontraceerbaar gif of een perfecte geldpers verkopen. De criminele industrie is er een van tientallen miljarden en die wil je geen tools spoonfeeden om zichzelf in te dekken, daar dient commerciële technologie niet voor.

leendt @dasiro • 30 juli 2023 17:56

Die tools hebben ze al lang in dit geval en ik denk niet dat deze 'industrie' de afgezwakte versleuteling gaat gebruiken. Hooguit misbruiken.

dasiro @leendt • 30 juli 2023 18:16

dat is ook de reden waarom e2e een probleem vormt voor de maatschappij en vanuit handhavingsstandpunt verboden moet worden. Je wil een gereguleerde communicatie en geen ondoordringbare.

!GN!T!ON @dasiro • 31 juli 2023 10:35

Totaal onnodig, zie hoe met sterke encryptie criminele diensten als PGP Safe, IronChat (2018), EncroChat (2020), SkyEcc en Anom (2021) toch aangepakt konden worden zonder voor de rest van de ganse wereld de encryptie af te zwakken.

Ik hoop oprecht dat E2E en sterke (bruikbare) encryptie niet door kortzichtige en/of technisch niet onderlegde politici word verboden, ik ben het dan ook grondig met je oneens.

[Reactie gewijzigd door !GN!T!ON op 24 juli 2024 06:32]

Ludewig @Djerro123 • 30 juli 2023 22:21

Mijn primaire angst voor opzettelijk zwakke encryptie is niet een overheid die mee kan kijken, maar voor mijn eigen digitale veiligheid tov criminelen.

Overheden zijn in potentie wel extreem veel gevaarlijker dan criminelen, want er is geen enkele criminele organisatie die minimaal een miljoen mensen heeft vermoord, maar wel diverse overheden die dat op hun geweten hebben.

En ook de Nederlandse overheid maakt regelmatig slachtoffers.

Overigens kan de Nederlandse overheid vrij eenvoudig achter digitale oplichters e.d. aangaan als ze willen. Daar hebben ze echt geen backdoors voor nodig.

Anoniem: 58485 @klonic • 30 juli 2023 20:37

Ik snap niet waarom tweakers niet wat dieper in aan het gaan is op wat er in de VK aan het spelen is: https://www.techspot.com/...n-online-safety-bill.html

Dat en ook met de kennis van het eerste GSM netwerk, dat niet 64bits was maar 48bits moest zijn (afgezwakte encryptie) is het niet zo raar dat de overheid, AIVD en toestanden overal hun vingers in wil hebben.

Big brother is watching you - zelfs je ISP van je telefoon houdt bij wat je de laatste 6 maanden hebt gedaan. Niks is heilig meer.

beerse @klonic • 30 juli 2023 23:41

Met deze Tetra standaard en het doel van die standaard kan je het slecht maken van de beveiliging op 2 verschillende manieren uitleggen:

Als je het hebt op het voorkomen van onbevoegde toegang, moet de beveiliging zo hoog mogelijk worden opgeschroefd.

Als je het hebt over het er voor zorgen dat alle bevoegde partijen er ook echt wel goed toegang toe krijgen dan moet de beveiliging zo laag worden gezet dat ook de minste broeder er mee om kan gaan.

Wie wil je dan bestraffen?

Rob Coops

Hackers

@klonic • 31 juli 2023 13:10

Het probleem met dat verhaal is voor wie gelden die regels?

Even het economisch aspect weg gelaten want dat is ook een hele goede reden om goed genoeg te gebruiken in plaats van de best mogelijke oplossing.

Als ik mijn producten wil kunnen verkopen aan landen die niet op de vrienden lijst van de EU staan dan kan mag ik volgens bepaalde regelgeving simpel weg geen "te sterke" encryptie leveren in mijn product. En dus moet ik dan jouw regel overtreden om mij aan de andere regel te houden. Of we moeten accepteren dat elk land en alle andere potentieel onvriendelijke groepen over de sterkst mogelijke encryptie beschikken en dus niet af te luisteren zijn...

Er is ook een ander probleem en dat is dat ik vandaag niet weet wat men morgen vind. Laten we zeggen dat de overheid niet wist van de minder sterke beveiliging, als dat vandaag gevonden wordt kan ik dan een fabrikant die misschien al lang niet meer bestaat verantwoordelijk houden voor het oplossen van dit beveiligingsprobleem? Zelfs als de fabrikant nog bestaat en nog steeds vergelijkbare producten maakt kan ik dan van hen eisen dat ze 20 jaar na dato de oude software/hardware zo aanpassen dat de zwakke beveiliging opgelost wordt? Zelfs als dat technisch mogelijk is wat is het effect op het protocol dat gebruikt wordt, als het protocol niet voorziet in het misschien zelfs wel drastisch veranderen van de beveiligingslaag dan is het misschien niet eens mogelijk om het aan te passen omdat er een X aantal fabrikanten allemaal met een eigen oplossing voor het probleem in hun systemen moet komen. Zelfs als her protocol drastische wijzigingen in de beveiliging mogelijk maakt dan moet je als nog met alle partijen om tafel om te beslissen welke veranderingen doorgevoerd gaan worden zodat de apparaten allemaal nog gewoon met elkaar kunnen werken.

Het is zeker geen slecht idee om te zeggen dat beveiliging zo goed mogelijk geregeld moet worden. Kijk bijvoorbeeld naar moderne wetgeving in vele landen met betrekking to privacy. De meeste eisen dat de beveiliging goed geregeld is. Dit is opzettelijk zo vaag dat je als bedrijf al het redelijke moet doen om de beveiliging zo goed mogelijk te regelen. Zo lang er geen probleem gevonden is hoef je er niets aan te doen maar als je als bedrijf er achter komt dat een bepaalde beveiliging minder veilig is dan gedacht dan moet je een leuze maken is het nodig om nu meteen in te grijpen of kun je redelijkerwijs door gaan zal als je altijd al gedaan hebt omdat je andere beveiligingen gebruikt die voorkomen dat de nieuw ontdekte zwakte succesvol misbruikt kan worden.
Een mooi voorbeeld hier van is het verschil tussen AWS en Azure als het om HIPPA certificatie (Amerikaanse gezondheidsdata bescherming is in deze wet geregeld) aankomt. Iedere nieuwe service van Azure is automatisch geschikt voor het opslaan en verwerken van HIPPA data op het moment dat de service publiek beschikbaar is. Bij AWS is een vergelijkbare service vaak vele maanden en soms zelfs jaren niet geschikt voor HIPPA data. Het verschil is niet dat Microsoft zo veel betere beveiliging automatisch toepast maar dat men bij Microsoft zich minder zorgen maakt om het risico dat een data lek tot een probleem voor Microsoft zal leiden waar de legal department bij Amazon zich daar een stuk meer zorgen over maakt en dus veel meer tijd besteed aan het controleren van de beveiliging van het nieuwe product voor ze er een HIPPA stempel op plakken. Beide zijn wat beveiliging eigenlijk gelijk, natuurlijk zijn er verschillen maar de mensen die aan de beveiliging van beide clouds werken kennen elkaar, gaan naar de zelfde conferences en wisselen regelmatig iedeeen uit en leggen in blogs en andere communicatie aan elkaar uit waarom bepaalde beveiliging wel of niet goed is in bepaalde situaties. Het is dus echt gewoon het verschil in hoe de bedrijven het risico inschatten en niets anders.

Dat is een veel betere oplossing dan het verplichten van het oplossen van beveiligingsproblemen, het verantwoordelijk houden van de gebruiker van de beveiligingsoplossing is veel beter omdat dit altijd een actief bedrijf zal zijn dat er alle belang bij heeft niet aangeklaagd te worden voor het slecht beveiligen van hun systemen. Waar een leverancier van die systemen misschien al lang niet meer zal bestaan tegen de tijd dat er een probleem gevonden wordt.

Skit3000

Nederland

30 juli 2023 13:39

"De sleutellengte van het TEA1-algoritme (een van de vier encryptielagen) moest worden beperkt", klinkt het tegenover De Volkskrant. "Er was intern discussie bij de overheid, maar de verzwakte encryptie was de voorwaarde", klinkt het.

In hetzelfde artikel van de Volkskrant staat ook dat het TEA1-algoritme bedoeld was voor landen buiten West-Europa, en dat (politie)diensten binnen West-Europa van TEA2 gebruik mochten maken. Opzich is het enige rare dus dat die diensten dus niet allemaal op tijd zijn overgestapt op TEA2, maar niet dat TEA1 eerder te kraken is?

Monochrome @Skit3000 • 30 juli 2023 13:48

TEA2 is alleen bedoeld voor nooddiensten in europa, en is dus niet beschikbaar voor commerciele / industriele partijen. TEA1 is daarvoor de enige optie.

analog_ @Monochrome • 30 juli 2023 15:26

ik dacht dat je mag je geen encryptie mag doen met analoge/dmr in europa.

GekkePrutser @analog_ • 30 juli 2023 23:51

Dat mag wel voor zakelijk gebruik hoor.

Radio amateurs mogen dat niet, maar dat heeft niets met de techniek te maken. Maar meer met dat het puur een hobby is en bedoeld als groeps communicatie middel. Encryptie maakt dat soort gebruik onmogelijk en het zorgt er ook voor dat mensen hun licentie stiekem zakelijk kunnen gaan gebruiken.

analog_ @GekkePrutser • 31 juli 2023 12:59

Thanks voor de update.

kodak

Politie
Hack
Nederland
Beveiliging en antivirus
Hackers

@Skit3000 • 30 juli 2023 14:15

Het lijkt mij niet raar dat bedrijven en (semi)overheidsorganisaties niet zomaar overstappen op TEA2 als het een vrije keuze is en ze niet te horen krijgen dat TEA1 nog zwakker is dan al was vermeld. Want die vrije keuze lijkt vaak te gaan om hopen dat het voldoende is om uit te gaan van mooie verkoopargumenten en een goedkopere prijs en de bekende risico's dan niet te veel merkbare problemen geven.

robert_paats @Skit3000 • 30 juli 2023 18:29

Ach dit zijn encryptie standaarden uit de GSM wereld en daarvoor hebben de overheden deze zwakkere standaarden neer gezet.
GSM. GPRS. Tetra
A5/0. GEA0. TEA0
A5/1. GEA1. TEA1
A5/2. GEA2. TEA2
A5/3. GEA3

In de GSM wereld werd standaard A5/2 en GEA2 gebruikt maar deze hebben ook issues en is al een heletijd A5/3 en GEA3 in gebruik. Geen idee of er een TEA3 variant is voor Tetra of dat in het Chinese C2000 netwerk van de overheid TEA3 beschikbaar is.

GekkePrutser @robert_paats • 30 juli 2023 23:53

Ja er is een TEA3 variant. En zelfs TEA4. Maar die is nooit ingezet. Bron: https://arstechnica.com/s...dio-encryption-algorithm/

dryroasted 30 juli 2023 13:47

Veel bedrijven gebruiken TETRA in de Botlek/Europoort voor bijv. portofoon communicatie tussen operators & controlekamer, of maintenance & kantoor. Zou een Tank Terminal die TEA1 gebruikt zich zorgen moeten maken (welke in feite geen "bedrijfsgeheimen" etc. via dit netwerk communiceerd)?

boxlessness @dryroasted • 30 juli 2023 14:18

Stel iemand verbindt met het netwerk, en zegt "zet die klep maar vol open".
Of men luistert af, "snel, wegwezen, ik hoor dat security naar deze sector komt!".

De deur naar "social engineering" en afluisteren staat open. Bedenk maar scenario's waarbij malafide communicatie een risico kan vormen.

analog_ @dryroasted • 30 juli 2023 15:29

ik denk voor spionage op staatsniveau? andermans logistiek tracken kan ook commercieel interessant zijn zoals ze met satelliet elkaars olietanks in de gaten houden

87Dave 30 juli 2023 16:39

Och fantastisch, opzettelijk gesaboteerde beveiliging.

Er zijn toch enkele partijen die dit gebruiken waar er ernstige risico's zijn. Zo bijvoorbeeld luchthavens in Eindhoven en Zaventem en ook het communicatie en beveiligingssysteem voor Brusselse metro. Voor terroristen al interessant de volgende keer dat ze in Brussel net die plaatsen opblazen.

En ook de haven van Antwerpen. Die is contant doelwit van de grote drugskartels. Ze hebben al meerdere keren allerlei bedrijven en overheidsdiensten inclusief politie in en rond de haven geïnfiltreerd. De ene keer door een zak geld te geven, de andere keer door bij mensen 's nachts in de slaapkamer te staan.
Nu blijkt dat ze dat er ook gewoon het communicatie systeem zelf kunnen afluisteren en misschien manipuleren. En voor degene die denken dat ze dat niet kunnen, het gaat hier over de kartels die hun eigen encryptie systemen opzetten.

schrikbeeld @87Dave • 30 juli 2023 17:28

De Nederlandse overheid is kampioen dataverzamelen, zie o.a.
- langere verplichting voor providers om internetgedrag op te slaan dan ieder ander EU-land
- herhaalde vragen van AIVD en MIVD om meer data te mogen verzamelen en minder toezicht daarop
- vragen om encryptie van Whatsapp, Signal etc. te verzwakken.

Nu dan weer het moedwillig verzwakken van Tetra encryptie.
Straks de gewenste verplichtte installatie van een monitor-app om pics met kinderporno op te sporen.
We gaan echt de verkeerde kant op, wie en wanneer stopt dit?

En nu niet zeggen dat je 'toch niets te verbergen hebt', want nu komen dit soort verzoeken om verzwakking van encryptie nog aan het licht en is er tenminste nog enige vorm van democratische controle, maar als er straks een keer een ander bewind zit krijg je dit soort maatregelen nooit meer teruggedraaid en zitten we met Russische toestanden.

litebyte @schrikbeeld • 30 juli 2023 18:15

Exact, dat heeft altijd te maken in Nederland m.b.t. gebrek aan vertrouwen, gebrek aan preventie & preventieve maatregelen, gebrek aan inzet & handhaving, gebrek aan vertrouwen in de eigen org, gebrek aan vertrouwen m.b.t. gebruikte techniek en belangrijkste het gebrek aan vertrouwen in haar eigen burgers.

Merik @87Dave • 30 juli 2023 19:11

Ergens hoop je gewoon dat dit misbruikt wordt en dat de overheid eens wakkerschiet. Maar zelfs dan zal die les 2 jaar later ook weer vergeten zijn.

FONfanatic @87Dave • 30 juli 2023 17:12

Je schrikt je rot in die hoogste beveiligingskringen hoe arrogant ze daar neerkijken op technologische commercie.

W00fer 30 juli 2023 14:20

Soortgelijke achterdeurtjes zijn al bijna tien jaar bekend.

https://www.groene.nl/art...e-nsa-geannoteerde-versie

Anoniem: 58485 @W00fer • 30 juli 2023 20:39

In de VK gaat het er erger aan toe: https://www.techspot.com/...n-online-safety-bill.html

FONfanatic @W00fer • 30 juli 2023 17:07

Klopt. Toen ik een paar dagen geleden in reactie op het oorspronkelijke bericht over Tetra het had over een backdoor à la wat Snowden destijds lekte over de NSA werd dat afgedaan als die heeft de klok horen luiden enz., terwijl ik dacht, oei, ik ben aan het klokkenluiden. Ik heb het maar laten staan, in mijn netwerk weerklonk het al dat het nu wel op het punt stond uit te gaan lekken.

field33P 30 juli 2023 13:18

Dat je voor exportproducten naar niet per se vriendelijk gezinde landen je encryptie verzwakt (en blijkbaar dus nog verder dan de specificatie!) is één ding. Maar heeft men dan dusdanig liggen te slapen dat de binnenlandse versie ook verzwakt is?

Keypunchie

Nederland
Politie

30 juli 2023 14:01

Vroeger (voor c2000) zond de politie gewoon unencrypted uit. Genoeg die meeluisterden op de ‘scanner’.

Politie was slim genoeg om als ze een gevoelige operatie (inval bij georganiseerde misdaad) uitvoerden om ff’tjes naar een ander kanaal te gaan of zelfs helemaal niet van de porto’s gebruik te maken.

Van mij mag de encryptie eraf, zal weinig effect hebben op de effectiviteit van de politie, misschien voegt het wel wat toe aan de transparantie.

Flavius @Keypunchie • 30 juli 2023 15:38

Los van allerlei andere bezwaren, dat zou niet eens mogen van de AVG. Niet voor niets zijn huisnummers verwijderd uit het openbare P2000 met betrekking tot meldingen van de overige hulpdiensten.

GekkePrutser @Keypunchie • 31 juli 2023 00:02

Politie was slim genoeg om als ze een gevoelige operatie (inval bij georganiseerde misdaad) uitvoerden om ff’tjes naar een ander kanaal te gaan of zelfs helemaal niet van de porto’s gebruik te maken.

Ja of ze belden mensen op hun mobiel, en in sommige regio's zoals Amsterdam hadden ze een computer in de auto. Dan stuurden ze het daar naartoe.

Dat hoorde je vaak op de scanner, als er dan wat qua privegegevens gevraagd werd dan zeiden ze "Je wordt zo gebeld" of "staat op je scherm"

rijnsoft 30 juli 2023 16:31

Ik had geen idee wat de Tetra-communicatiestandaard is. Alleen als je volhard, en vol vragen, doorleest tot de laatste alinea, en de laatste zin, kom je er achter. Het artikel is, als het ware, omgekeerd geschreven.

Dit is zeker niet de eerste keer dat ik dit zie. Misschien is het een idee om artikelen van de Tweakers redacteuren, op een of andere manier, te laten beoordelen door ons, de lezers? Zeg maar net zoals wij elkaars reacties hier ook beoordelen. Feedback voor redacteuren om hun schrijfstijl te verbeteren? Zou daar interesse voor zijn? Ah, oké, vergeet het. Dat zou niet werken.

FONfanatic @rijnsoft • 30 juli 2023 17:09

Daar is toch dat knopje "Feedback" toch al voor? Of moet alles op z'n pre-internet via lijfelijk bijeenkomende commissies georganiseerd worden?

rijnsoft @FONfanatic • 30 juli 2023 20:07

Goede tip, dat "feedback" knopje naast de foto van de redacteur was me nog nooit opgevallen. Nee, mijn voorstel was een wat modernere oplossing, maar een "feedback" knopje komt al dicht in de buurt.

GekkePrutser @rijnsoft • 31 juli 2023 00:03

Maar Tetra is de laatste weken ruim in het nieuws geweest (ook hier) vanwege de beveiligingsproblemen die hier aangehaald worden. Wat dat betreft vind ik het niet vreemd dat het zo wordt gebracht.

rijnsoft @GekkePrutser • 31 juli 2023 08:12

Je hoeft de schrijfstijl van Tweakers niet te vergoelijken. De aanname hier is inderdaad dat mensen weten wat Tetra is. Toch zal een deel van de lezers dat ongetwijfeld niet weten. Kom je die mensen tegemoet, of schrijf je voor de incrowd?

Het is gewoon normaal om kernbegrippen te introduceren. Op het web kun je dat al met een linkje doen. Vroeger ging dit bij Tweakers beter.

HollowGamer 30 juli 2023 19:35

Waarom zou je bewust voor een zwakke versleuteling kiezen, terwijl je zelf de sleutel in de handen hebt? Het is alsof je een slot op je deur zet, maar een raam open laat staan, om zeker te weten dat je toch nog binnen kan komen.

Snap er niet veel van, maar dat heb ik sowieso niet met de overheid en IT.

Anoniem: 58485 @HollowGamer • 30 juli 2023 20:40

Dat heeft met de mogelijkheid tot afluisteren te maken.

HollowGamer @Anoniem: 58485 • 30 juli 2023 22:36

Maar je kan toch ook meerdere sleutels hebben? Dat is toch wel efficiënter dan kraken.

Fiber 30 juli 2023 21:17

Wellicht tijd om deze meer dan 30 jaar oude techniek te vervangen door iets nieuwers en beters...?

Op dit item kan niet meer gereageerd worden.

‘Nederlandse overheid al dertig jaar op de hoogte van zwakke beveiliging Tetra’

Lees meer

Reacties (89)

Sorteer op:

Weergave: