Britse encryptiewet wordt niet gehandhaafd omdat 'encryptie scannen niet kan'

Een Brits wetvoorstel dat het mogelijk moet maken om versleutelde chats te scannen op kindermisbruikmateriaal is flink afgezwakt. De overheid zegt de wet niet te handhaven totdat het 'technisch mogelijk is' om chats te scannen. Dat kan nu niet, erkennen ook beleidsmakers.

Het wetsvoorstel werd gisteren in het Britse Lagerhuis behandeld. In die vergadering is volgens de Financial Times te elfder ure nog een aanpassing aan de gehekelde Online Safety Bill gedaan die de wet effectief onuitvoerbaar maakt. In de wet wordt opgenomen dat toezichthouder Ofcom bedrijven alleen kan opdragen om berichten te scannen als dat 'technisch mogelijk is' en 'met technologie die aantoonbaar aan de minimale standaarden van nauwkeurigheid voldoet en enkel scant op kindermisbruikmateriaal'. De verantwoordelijke minister Stephen Parkinson voegt daaraan toe dat 'als zulke technologie niet bestaat, Ofcom het gebruik ervan niet kan afdwingen bij techbedrijven'.

In plaats daarvan zou Ofcom zijn macht moeten gebruiken om van bedrijven te eisen dat ze 'hun best doen' om oplossingen voor dat probleem te vinden. Daar zitten echter verder geen sancties aan, of concrete eisen die de overheid gaat stellen.

Volgens de Financial Times hebben beleidsmakers inmiddels ook tegenover techbedrijven erkend dat zulke technologie niet bestaat. Dat is in lijn met wat experts al jaren zeggen; dat er geen manier is om versleutelde communicatie af te lezen voor alleen bepaalde gebruikers of alleen voor specifieke berichten.

Daarmee lijkt de controversiële wet praktisch dood te zijn. De Online Safety Bill verplichtte bedrijven om chats die met end-to-endencryptie waren versleuteld, te scannen. Dat stuitte echter op veel weerstand van die bedrijven. Onder andere Apple, WhatsApp en Signal dreigden eerder zich terug te trekken uit het Verenigd Koninkrijk als de wet zou worden doorgezet.

IT-banen

Reacties (121)

Verwijderd 7 september 2023 11:46

CSS (Client Side Scanning) heeft NIETS met cryptografie te maken, er worden zelfs geen cryptografische hashes bij gebruikt (wel "perceptional" hashes, ook bekend als neural hashes of PhotoDNA).

Het werkt vergelijkbaar met een computervirusscanner: die kan ook bijna {1} niets met versleutelde informatie. Scannen moet als de informatie onversleuteld is, dus vóór versleuteling of ná decryptie.

{1} Een uitzondering is dat je de cryptografische hash van een versleuteld bestand kunt bepalen, en daarmee een identiek versleuteld bestand kunt herkennen. Veel zin heeft dat meestal niet omdat fatsoenlijke versleuteling random informatie toevoegt (die bij decryptie wordt verwijderd) waardoor je steeds een ander versleuteld bestand krijgt als je het origineel opnieuw versleutelt.

CSS van onversleutelde data
Er bestaat simpelweg geen betrouwbare (met weinig valspositieven) technologie die bestaand, eerder als CSAM (Child Sexual Abuse Material) aangemerkt beeldmateriaal, dat minimaal is gewijzigd {2}, kan herkennen {3}.

Laat staan dat er AI zou bestaan die van nieuw beeldmateriaal kan vaststellen dat het om CSAM gaat.

Erger, voor video's bestaat er (nog) helemaal geen fatsoenlijke technologie als je minimale wijzigingen wilt kunnen detecteren.

{2} Veel chat-apps verlagen de resolutie van foto's en/of verhogen de JPEG-compressie (met enig kwaliteitsverlies als gevolg) en/of passen EXIF-data aan, waardoor het gebruik van cryptografische hashes zinloos zou zijn. Met opzettelijk aangebrachte wijzigingen kunnen kwaadwillenden herkenning via perceptional hashes ook eenvoudig omzeilen.

{3} Een enorm probleem hierbij wordt door Robbert Hoving van Helpwanted geschetst in een recent NOS-artikel over wraakporno:

"De online wereld hoort inmiddels bij de seksuele en relationele ontwikkeling van jongeren. Het versturen van naaktfoto's is daar onderdeel van."

Zonder de exacte context te kennen is het dus, in een groot deel van de gevallen, zowel voor mensen als voor AI, onmogelijk om vast te stellen of het om (door de afgebeelde persoon of personen) ongewenst gedeeld beeldmateriaal gaat.

Veel verschillende nadelen van CSS
Daar tegenover staat een enorme variatie aan nadelen, ik noem er een paar:

Je verplaatst opsporingscapaciteit (waar al een enorm tekort aan bestaat) van concreet kindermisbruik naar jagen op mensen die kinderporno kijken en uitwisselen met gelijkgestemden. CSS werkt dus averechts bij het bestrijden van kindermisbruik;
Veel onterechte verdachten door veel valspositieven;
Onschuldigen kan belastend materiaal "in de schoenen geschoven" worden;
Scope creep naar opsporing van heel andere "delicten", ook in regimes die mensenrechten aan hun laars lappen;
De technologie zal nieuwe (security) kwetsbaarheden introduceren;
De technologie valt eenvoudig te omzeilen door kwaadwillenden;
De technologie zal steeds slechter gaan werken (het percentage valspositieven zal toenemen) naarmate de database groeit (en dat gaat gebeuren, en kan zelfs worden gestimuleerd door bestaand CSAM materiaal te manipuleren en verspreiden);
De ingewikkelde discussie over VCSAM/CGCSAM (Virtueel, Computer Generated), waarbij geen fysiek kindermisbruik plaatsvindt, alhoewel beeldmateriaal van bestaande jongeren hierin misbruikt kan worden. Als je VCSAM ook als CSAM gaat bestempelen bij CSS, gaat de database mogelijk nog veel harder groeien de komende jaren.

Edit 12:18: sorry, ik had per ongeluk op "plaats reactie" gedrukt vóórdat ik klaar was met editen (die knop zit op een onhandige plek, een vraag "weet je het zeker" zou handig zijn).

Edit 14:32, #1: Tussengevoegd ter correctie: in een groot deel van de gevallen". Immers, bij seks met zeer jonge kinderen moet je er vanuit gaan dat dit niet vrijwillig plaatsvindt.
#2: Onderaan een bullet toegevoegd over VCSAM.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:05]

Sando @Verwijderd • 7 september 2023 15:11

CSS (Client Side Scanning) heeft NIETS met cryptografie te maken, er worden zelfs geen cryptografische hashes bij gebruikt.

Het werkt vergelijkbaar met een computervirusscanner: die kan ook bijna {1} niets met versleutelde informatie.

Het probleem ontstaat wanneer AI-gedetecteerde beelden worden doorgestuurd naar een bureau voor menselijke controle, wat bij sommige varianten van de verschillende CSS-plannen de bedoeling was. Zo spreekt de Europese "CSAM-verordening" van het doorsturen van materiaal naar "het EU-centrum". Net als die virusscanner die bij twijfel - hoewel in dit geval wel met jouw toestemming - een (privé-)bestand van jouw computer naar de cloud stuurt voor menselijke analyse. Zo lekken er toch gegevens weg uit jouw cryptografisch beschermde omgeving, of het nu om versleuteling at-rest of in-transit gaat.

Dus hoewel CSS in technische zin inderdaad niets met cryptografie heeft te maken, gaat het er natuurlijk wel om dat er voorwaarden worden gecreëerd waarin data uit je cryptografische circle of trust uit kan lekken. Hoewel dat helemaal niet je punt was, wilde ik toch even uitleggen waarom "CSS heeft NIETS met cryptografie te maken" wat mij betreft een misleidende uitspraak kan zijn. Het heeft technisch niets met cryptografie te maken, maar het hele CSAM-CSS concept is gebouwd omdat het afluisteren van de lijn door cryptografie onmogelijk wordt gemaakt en daarom heeft CSS in de praktijk juist alles met cryptografie te maken.

In combinatie met artikelen over 10% false-positive rates en artikelen over hoe ingehuurde krachten vaak privacywetten overtreden is dit een soort van GGD-datalek meets The Fappening.

[Reactie gewijzigd door Sando op 22 juli 2024 14:05]

Verwijderd @Sando • 7 september 2023 16:47

Redsandro schreef onder meer:

Hoewel dat helemaal niet je punt was, wilde ik toch even uitleggen waarom "CSS heeft NIETS met cryptografie te maken" wat mij betreft een misleidende uitspraak kan zijn. Het heeft technisch niets met cryptografie te maken, maar het hele CSAM-CSS concept is gebouwd omdat het afluisteren van de lijn door cryptografie onmogelijk wordt gemaakt en daarom heeft CSS in de praktijk juist alles met cryptografie te maken.

Je hebt deels een punt, namelijk indien beeldmateriaal client-side gescand wordt vóórdat het versleuteld naar een vertrouwd iemand wordt gestuurd die over de juiste decryptiesleutel beschikt.

Echter, niet alle chat-apps maken volledig gebruik van End-Device to End-Device encryptie, of versleutelen tekst wél maar bijlagen niet.

Belangrijker: demissionair minister Yesilgöz heeft jouw argument "CSS tast E2EE aan") -in haar ogen- al volledig gepareerd.

Daarnaast: olifanten
De olifanten in de kamer zijn de chat-apps die geen medewerking aan CSS zullen verlenen, waardoor binnen de kortste keren zal worden besloten dat elke op een smartphone of tablet door de gebruiker benaderde foto of video door het besturingssysteem zal moeten worden gescand - ongeacht of zo'n bestand wordt verzonden (en ongeacht eventueel versleutelen). Dan wordt ook elk beeld (en wie weet wat nog meer) gescand dat op andere wijze dan via een chat-app op een toestel terecht is gekomen.

Sowieso is dat "logischer" (het blijft een absurd slecht plan) dan eisen dat elke individuele chat-app z'n eigen scan-engine en database heeft.

Conclusie
Mijn zorg is dat elke discussie over CSS telkens beperkt blijft tot slechts één tegenargument, zoals ofwel het aantasten van E2EE of van "privacy" (een vreselijk woord waar iedereen een andere uitleg aan geeft en dat dus extreem lastig als "ruilmiddel" valt te kwantificeren).

De voorstanders van CSS profiteren er enorm van dat de meeste deskundigen niet buiten hun eigen straatje durven te argumenteren (natuurlijk ben ik op veel vlakken ook geen expert, maar ik heb me wel flink ingelezen en durf daarom deze stap wel aan - onder mijn eigen naam).

Om dat effectief en geloofwaardig te kunnen pareren, moeten we alle vóór- en tegenargumenten betrekken in de discussie.

En ook niet proberen om, voor de "leesbaarheid", alle tegenagumenten in één char[140] tweet te proppen; het is complexe materie met veel facetten die ook nog eens ernstig gehinderd wordt door onderbuikgevoelens.

Sando @Verwijderd • 7 september 2023 17:27

De olifanten in de kamer zijn de chat-apps die geen medewerking aan CSS zullen verlenen, waardoor binnen de kortste keren zal worden besloten dat elke op een smartphone of tablet door de gebruiker benaderde foto of video door het besturingssysteem zal moeten worden gescand

Dat is toch bizar. Dan zijn we toch net China? Daar is iedereen mogelijk een Oeigoerse terrorist. Hier is iedereen mogelijk een pedo. Allemaal moeten we ze in de gaten houden. Ik ben daar radicaal tegen, maar ik zal niet afdoende kunnen articuleren waarom. En mijns inziens zou dat ook niet moeten hoeven. Op mijn smartphone komt geen spyware. Ook niet als het goed bedoeld is. Ook niet van de overheid. Als het zo ver komt dan heeft iedereen opeens wel interesse in welke smartphones custom roms ondersteunen en welke niet. Wat is dan de volgende stap? Broncode van Android Open Source Project verbieden?

Mijn zorg is dat elke discussie over CSS telkens beperkt blijft tot slechts één tegenargument, zoals ofwel het aantasten van E2EE of van "privacy".

Het is ook moeilijk - wanneer je op emotioneel niveau voelt dat je met dit plan onrecht wordt aangedaan - dat je dan toch rationele argumenten moet formuleren tegen de digitaal aseksuele 50-plussers die hier voorstander van zijn maar geen enkele feeling hebben met de digitale realiteit. Zoals je zelf al aanhaalde: De online wereld hoort inmiddels bij de seksuele en relationele ontwikkeling van jongeren. Het versturen van naaktfoto's is daar onderdeel van.

Als iemand (de overheid) je dwingt op seksueel gebied iets ongewenst te ondergaan - in dit geval het toelaten van een permanente invasieve voyeur ter observatie en controle van je digitale seksuele activiteiten, en die zonder jouw toestemming en tegen jouw zin in seksueel expliciete doch volkomen legale privébeelden kan delen met een "EU-centrum" - dan is dat wat mij betreft gewoon aanranding.

Verwijderd @Sando • 7 september 2023 23:27

Redsandro begon met:

Dat is toch bizar. Dan zijn we toch net China? Daar is iedereen mogelijk een Oeigoerse terrorist. Hier is iedereen mogelijk een pedo. Allemaal moeten we ze in de gaten houden. Ik ben daar radicaal tegen, maar ik zal niet afdoende kunnen articuleren waarom.

Beide kanten reageren veel te veel vanuit de emotie, met extreme polarisatie als gevolg.

Bijvoorbeeld uit de brief van de minister van J&V van 28 juni aan de Tweede Kamer (PDF):

Het opleggen van een detectiebevel, waarbij beeldmateriaal van individuele burgers in de privésfeer wordt gescand, heeft grote gevolgen voor fundamentele grondrechten, waaronder de bescherming van de persoonlijke levenssfeer en het communicatiegeheim.

Echter, tegen de achtergrond van de duizelingwekkende aantallen waarmee online beeldmateriaal van seksueel kindermisbruik rondgaat, zijn extra maatregelen tegen het misbruik van bepaalde diensten voor de verspreiding van dit beeldmateriaal hard nodig, juist ook om de grondrechten van kinderen te beschermen.

Die emotie wordt versterkt door nieuws over kindermisbruikers die digitaal "toeslaan".

De emotie om daar wat tegen te willen doen, vind ik begrijpelijk, maar de eenzijdige kijk op de zaak snap ik niet.

Waar ik ook graag de vinger achter zou willen krijgen is welk werkelijk belang organisaties zoals Thorn en Safer.io en individuen zoals Ashton Kutcher en Sarah Gardner hebben (of ongelofelijk naïef zijn) dat zij overal lobbyen voor CSS. En hoe het mogelijk is dat politici zich zo laten beïnvloeden, zonder waarschuwende experts (waaronder deze en bijbehorende publicatie, of deze: gezichtsherkenning middels CSS) te raadplegen - en niet eens naar experts te luisteren die zich melden in het hol van de leeuw.

In het BBC artikel dat ik eerder aanhaalde staat ook:

The National Police Chiefs' Council (NPCC) lead on child safeguarding, Ian Critchley, said it would be wrong to argue that because no real children were depicted in such "synthetic" images - that no-one was harmed.

He warned that a paedophile could, "move along that scale of offending from thought, to synthetic, to actually the abuse of a live child".

Ja, dat kan, en dat zal af en toe ook wel gebeuren. Maar het is ook niet zo dat elke (heftige) pornokijker een verkrachter wordt, noch dat elke geweldadige filmkijker/gamespeler dat IRL gaat toepassen. Dit is ordinaire FUD.

Ook wordt soms, bewust, over (seksueel) kindermisbruik gesproken terwijl het over beelden van gaat. Anderzijds zou het voorstel van de EC nog verder gaan dan "Nederland" wil, uit laatstgenoemde kamerbrief:

Ik benadruk graag dat Nederland geen voorstander is van het voorstel voor het detectiebevel in zijn huidige vorm. In het huidige voorstel betreft het detectiebevel ook het opsporen van onbekend materiaal van seksueel kindermisbruik en grooming («online kinderlokkerij»), ook ten aanzien van interpersoonlijke communicatiediensten. Daarvoor moeten technologieën worden gebruikt met een grote kans op een relatief hoog percentage vals-positieve uitkomsten (materiaal dat achteraf geen materiaal van seksueel misbruik blijkt te zijn, waarmee mensen ten onrechte in verband worden gebracht met de verspreiding van dit materiaal).

Maar dat probleem bestaat ook bij het scannen van bekend beeldmateriaal. In deze lange posting bereken ik dat er "100.000 foto's per dag als geen kindermisbruik beoordeeld moeten worden" door medewerkers van een op te richten centrum (naar verluidt in Den Haag - ik ben benieuwd waar ze die medewerkers vandaan denken te halen).

Weer aan de andere kant is vrijheid niet absoluut. In een samenleving moet je regels overeenkomen én handhaven.

Indien we met iets als CSS netto veel leed zouden kunnen voorkómen, zou ik daar niet zomaar tegen zijn. Google Play Services scant immers ook alle apps op mijn Android smartphone, en wie weet wat nog meer. Google doet niets waar zij geen geld aan kan verdienen, dus geloof ik niet dat dit scannen uitsluitend in mijn voordeel is.

Redsandro schreef ook:

Het is ook moeilijk - wanneer je op emotioneel niveau voelt dat je met dit plan onrecht wordt aangedaan - dat je dan toch rationele argumenten moet formuleren tegen de digitaal aseksuele 50-plussers die hier voorstander van zijn maar geen enkele feeling hebben met de digitale realiteit.

Deze "digitaal aseksuele 50-plusser" (60+ zelfs) denkt dat je precies bereikt wat je niet wilt door vanuit je onderbuik te schreeuwen in plaats van met rationele argumenten te komen.

Edits 23:44: enkele zinnen beter lopend gemaakt.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:05]

Sando @Verwijderd • 8 september 2023 00:52

Indien we met iets als CSS netto veel leed zouden kunnen voorkómen, zou ik daar niet zomaar tegen zijn.

Misschien had ik moeten openen met mijn overtuiging dat dit dus netto extreem weinig leed gaat voorkomen. Mensen die weten dat ze fout bezig zijn zullen onmiddellijk overgaan op een app zonder CSS, dan wel een OS zonder CSS. En dan heb je enkel nog 448.399.000 onschuldige Europeanen die je wegens bureaucratische traagheid 10 jaar lang met false positive beschuldigingen bestookt conform het bekende patroon:

nieuws: Google weigert fout toe te geven tegen vader die foto's nam van infec...
review: Account geblokkeerd. Wat nu?

Dat kan vervelende gevolgen hebben. Iemand kan ten onrechte kapot gemaakt worden. En dan volgt 5 tot 20 jaar later, in de stijl van een toeslagenaffaire-, Schiedammerparkmoord-, Lucia de Berk-, of een Fred Spijkers-achtige zaak netjes een rapport waarin staat dat "het OM onmiskenbaar fouten had gemaakt en dat er heel veel was misgegaan, met ernstige gevolgen, maar dat niet is gebleken dat het OM te kwader trouw of bewust verkeerd zou hebben gehandeld."

Deze "digitaal aseksuele 50-plusser" (60+ zelfs) denkt dat je precies bereikt wat je niet wilt door vanuit je onderbuik te schreeuwen in plaats van met rationele argumenten te komen.

Dat ik vrij precies deze CSS-plannen langs de definitie van aanranding leg is wat mij betreft juist het meest rationele en meest kalme deel van mijn reactie. Het is ongelukkig maar mijn fout dat jij je hier aangesproken voelde - ik ging er pardoes van uit dat jij een gemiddelde tweaker was en (uit een poll is eens gebleken dat) 95% van de tweakers jonger dan 45 jaar is. Ik had op geen moment de intentie om jou op je leeftijd te wijzen met deze stereotypering (zoals slachtoffers/jongeren die hier het meeste last van gaan krijgen ook zullen maken). Het was slechts bedoelt om het generatieverschil tussen de wetgever en de slachtoffers van de wet aan te kaarten. Ik had het hier over demissionair minister Yesilgöz die hier geen enkele feeling met de digitale seksuele realiteit heeft. Nogal wiedes dat het haar weinig kan schelen. Hoewel ik zojuist op wikipedia zie dat zij nog geen 50+ is.

[Reactie gewijzigd door Sando op 22 juli 2024 14:05]

Verwijderd @Sando • 8 september 2023 01:07

Nog even voordat ik m'n mandje opzoek:

Het is ongelukkig maar mijn fout dat jij je hier aangesproken voelde [...]

Geen enkel probleem hoor, ik vond het wel grappig (ook om zo te reageren)

Cyberpuppy @Verwijderd • 7 september 2023 17:42

En naast je uitstekende uiteenzetting blijft er ook nog het feit dat er heel veel laaghangend fruit is. Ga eens een uurtje op een gemiddelde videochat voor volwassenen en je wordt gegarandeerd aangesproken door iemand die beelden wil hebben of met je wil delen. Men voelt zich dus best wel veilig en dit soort figuren zouden behoorlijk makkelijk door justitie moeten kunnen worden opgepakt. Gebeurd nu dus ook al niet. Dus in plaats van meer detecties zou ik eerst eens iets doen met de tools die je men nu al tot de beschikking heeft.

Verwijderd @Cyberpuppy • 8 september 2023 00:45

Cyberpuppy schreef:

Men voelt zich dus best wel veilig en dit soort figuren zouden behoorlijk makkelijk door justitie moeten kunnen worden opgepakt.

En dan? Allemaal TBS totdat ze "genezen" zijn (of ze dat simuleren)? Ik heb geen idee om hoeveel mensen het gaat, maar wat als dat er heel veel zijn, zoals jij lijkt te suggereren?

Zou een daadwerkelijke kindermisbruiker in beroep gaan omdat hij zijn straf (al veel hoger dan het OM had geëist) zelf nog te laag vindt?

Met hoeveel neemt de kans toe dat juist een door partner, familie, vrienden, collega's en de maatschappij verstoten persoon recidiveert? Oftewel, wat als je het labeltje "eens een pedo, altijd een pedo" toch al hebt en niemand "je meer moet"?

We moeten m.i. af van het idee dat "het probleem" is opgelost zodra we elke "vieze kwijlende" kijker en ruiler van "onacceptabel" beeldmateriaal achter tralies of in een kliniek hebben gestopt.

M.i. kunnen we veel meer bereiken door voor rede vatbare mensen te laten inzien welke (emotionele) schade je kunt berokkenen door (niet alleen) kinderen te misbruiken, seksueel of anderszins. En welke enorme consequenties jouw korte "pleziertje" voor jouzelf en jouw geliefden kan hebben. Daar praten we liever niet over, maar zodra iemand over de schreef gaat roepen we wel allemaal "hoe kon je zo stom zijn" - terwijl dat niks oplost.

De recente "metoo"-achtige discussies (ook na the Voice en de kus van de Spaanse voetbalbaas) lijken mij een stap in de goede richting. Hopelijk hoeven we bimnenkort alleen nog maar echt gevoelloze idioten op te sporen en aan te pakken.

DMZ 7 september 2023 10:17

Ofwel, totdat we quantumcomputing hebben, is deze wet dus precies de reden dat we encryptie nodig hebben, en waarom encryptie werkt. Dan nog is het een kwalijke zaak dat dit uberhaupt bestaat, want als het over 20 jaar wel kan, hebben ze er meteen een wet voor.

uiltje @DMZ • 7 september 2023 11:11

Quantum computing dat een langere tijd grotere quantum-circuits can opereren. Daar zijn we nog lang niet aanbeland, en zelfs nu is het nog onzeker of we dat kunnen maken. Wel is het zo dat bedrijven zoals IBM stevig aan het opschalen zijn, en de techniek wordt ook steeds meer verenigbaar met silicon en soms ook hogere temperaturen (vergeleken met dicht bij 0 Kelvin, wel te verstaan).

Maar op het moment dat er wel quantum computing is dan gaan we inderdaad over naar algoritmen die wel quantum-safe zijn. Bij symmetrische versleuteling ben je met protocollen / algoritmen gebaseerd op AES-128 en/of SHA-256 al voldoende beveiligd. Als je iets meer marge wil hebben dan zijn AES-256 en SHA-512 al ruim beschikbaar.

Voor asymmetrische versleuteling kan e.g. (CRYSTALS-)Kyber worden ingezet. In principe is dit key encapsulation + data encapsulation met bijvoorbeeld AES. Eventueel kan er ook RSA-KEM + Kyber worden gebruikt in het geval Kyber zelf toch niet zo veilig blijkt te zijn. Kyber wordt momenteel door NIST gestandaardiseerd (je kan zelfs commentaar insturen).

Quantum computing heeft weinig invloed op de wet want:

Als quantum computing beschikbaar wordt dan is het beschikbaar voor iedereen (cloud services);
Er zijn methoden die niet door de overheid gekraakt worden en toch veilig zijn (zie NIST PQC);
We hebben nog lang geen quantum computer die sterk genoeg is.

[edit] Harvest now, decrypt later is wel een belangrijk iets om rekening mee te houden overigens, zoals al in een ander commentaar vermeld.

[Reactie gewijzigd door uiltje op 22 juli 2024 14:05]

Hemingr @DMZ • 7 september 2023 10:20

Zodra de begoogde decryptietechnieken in quantumcomputeren mogelijk zijn maakt ook oudere encryptie geen fluit meer uit.

https://en.wikipedia.org/wiki/Harvest_now,_decrypt_later

Vraag me af welke shitshow dat gaat opleveren.

Alxndr

@Hemingr • 7 september 2023 11:35

Zolang de wet zelf expliciet over kindermisbruik spreekt mag het juridisch alleen daarvoor gebruikt worden? Niets mis mee zou ik zeggen.

Voor de rest, hoe groot is de kans dat ze tot die tijd de benodigde miljoenen/miljarden financiering vrij kunnen maken om zoveel data te kunnen verzamelen en zo lang op te slaan?

Laten we conservatief zeggen dat de gemiddelde consument zo'n 5 GB aan 'messenger' data per jaar genereert, keer 66 miljoen Britten kom je op 330.000 TB opslag per jaar. Als het nog 10 jaar duurt voordat quantumcomputing er echt is heb je 3,3 EB (exa = 10^18) nodig.

Delblanco @Alxndr • 7 september 2023 12:35

Zolang de wet zelf expliciet over kindermisbruik spreekt mag het juridisch alleen daarvoor gebruikt worden? Niets mis mee zou ik zeggen.

Hier zit voor mij de crux. Wie bepaalt wanneer er "niks mis mee is", of dat de inbreuk gerechtvaardigd is. Dit hangt sterk samen met cultuur, normen en waarden. Alle argumenten beginnen met kinderporno en terroristen. Alleen verschilt de definitie van terrorist nogal over de aardbol heen. Zelfde geld voor sexuele overtredingen.

Er zijn genoeg voorbeelden waarbij de scope achteraf langzaam werd opgerekt (politie, belasting, camera). Niks is zo veranderlijk als de politiek. Misschien zit er over x jaar een regering die iets vind van mijn sexuele geaardheid, mijn politieke voorkeur als terrorisme bestempelt, mijn klimaatvisie labelt als extreem voor/tegen, mijn religie wil opleggen of verbieden.

Daarnaast is de kans aanwezig dat eenmaal ontwikkelde technieken om de encryptie te omzeilen in "verkeerde handen" valt.

Met dit in het achterhoofd kijk ik sceptisch naar argumenten die het extreme gebruiken om iets te rechtvaardigen.

Microwilly @Alxndr • 7 september 2023 12:41

Dat is als je alleen whatsapp telt, maar dan heb je nog Youtube, instagram, netflix, snapchat, Tiktok. Zijn ook allemaal versleuteld. Denk dat de gemiddelde tiener het niet haalt met 10gb mobiele data per maand.

Facebook, instagram, youtube, snapchat, tiktok hebben ook allemaal chat functies.

De mobiele data van de gemiddelde Nederlander in december 2022 was volgens internetvergelijk.nl 6.3gb per maand.

[Reactie gewijzigd door Microwilly op 22 juli 2024 14:05]

kuurtjes @Alxndr • 7 september 2023 13:15

Wat ik de laatste tijd realiseer is dat ik me gewoon koest moet houden op het internet.

Alles was ik nu zeg kan wel eens binnen 10 jaar tegen mij gebruikt gaan worden.

Aldy @kuurtjes • 7 september 2023 17:05

Alles wat je schrijft kan over 10 jaar tegen je gebruikt worden. Het hangt er helemaal vanaf welke wind er dan waait of we ons moeten verantwoorden wat we ooit in het verleden geschreven hebben. Ik speel nog weleens advocaat van de duivel en dan zit je helemaal mis omdat je twee tegengestelde meningen verkondigt.

87Dave @Hemingr • 7 september 2023 12:39

Niet voor alle encryptie even sterk. Met asymmetrische dat we nodig hebben om over web te communiceren inderdaad.

Voor symmetrische waarmee we zelf met een sleutel encrypteren is het genuanceerder. AES 128 zal (theoretisch) gebroken worden omdat het brute force baar wordt naar equivalent van maar 2^64 stappen ipv 128. Duurt nog altijd een half millennium, maar we weten dat we ervan uit moeten gaan dat compute power blijft groeien.
More's law is al een paar keer dood verklaard om dan weer te verrijzen, ik zou er niets op verwedden dat we in ons leven geen 2^10 snellere machines gaan zien.

Een goed referentiepunt is DES met maar 56 bit key dat al sinds de jaren 90 brute force baar is. Met alleen een moderne GPU heb je dat binnen het jaar gekraakt. Zelfs een 80 bit key algoritme zoals PRESENT kan in theorie nu al gekraakt worden.

AES 256 blijft wel nog veilig en is de enige AES versie dat je op mag rekenen als het belangrijk is dat het in de toekomst niet gelezen wordt.

Windows bitlocker gebruikt echter standaard 128 AES variant en ik kan me inbeelden dat er zo heel wat dat in opslag ligt dat inderdaad later gekraakt zal worden.

[Reactie gewijzigd door 87Dave op 22 juli 2024 14:05]

elmuerte @87Dave • 7 september 2023 14:03

Moore's law heeft geen betrekking op rekenkracht.
Het gaat over de verdubbeling van transistors elke 2 naar in een IC.
Meer transistors maakt een bepaalde bereiking niet per se sneller.

Verder is elke algoritme te brute forcen.

[Reactie gewijzigd door elmuerte op 22 juli 2024 14:05]

blorf @elmuerte • 7 september 2023 19:22

Volgens mij was de betrekking op rekenkracht ooit de vraag meer performance over een tijdsduur, waarbij de praktijk uitwijst dat dat ongeveer evenredig is aan het aantal transistoren per vierkante mm.
Naar mijn idee al lang vervalst om kunstmatig duur gemaakte CPU's te kunnen blijven verkopen. Alles hoeft al lang niet meer op 1 plak. Als de gebruikers-I/O er acceptabel uit ziet en 100% real-time is kunnen verdere performance-eisen door andere chips geregeld worden. Probleempje is dat die geen moer opbrengen als ze al 10 jaar bestaan...

mbovenka

@Hemingr • 7 september 2023 12:02

Ik vermoed niet al te veel. Het meeste van wat er encrypt is, is nu wel van van belang, maar over langere (of vaak zelfs kortere) tijd totaal niet relevant en/of interessant meer.

DigitalExorcist @Hemingr • 7 september 2023 13:20

Nu ja, maar je hebt straks quantum-bestendige encryptie.(PQC, 'post quantum cryptography')

https://en.wikipedia.org/wiki/Post-quantum_cryptography

The Zep Man

Encryptie
Privacy

@DMZ • 7 september 2023 10:26

Ofwel, totdat we quantumcomputing hebben, is deze wet dus precies de reden dat we encryptie nodig hebben, en waarom encryptie werkt.

De opkomst van kwantumcomputers is gelijktijdig met de opkomst van nieuwe algoritmes die hier bescherming tegen bieden. Het effect van de wet zal dan alsnog beperkt zijn.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:05]

matroosoft @The Zep Man • 7 september 2023 10:59

Het is bekend dat massaal encrypted data wordt opgeslagen in te ontsleutelen zodra hier middelen voor zijn. In de overgangsperiode zal deze wet dus wel gebruikt kunnen worden voor bestaande chats.

The Zep Man

Encryptie
Privacy

@matroosoft • 7 september 2023 11:04

Daarom schreef ik:

Het effect van de wet zal dan alsnog beperkt zijn.

Ongericht al het versleuteld verkeer opslaan is niet te doen. Datacentrums hebben nu al problemen met 'oneindige' opslag aanbieden aan klanten voor een vast bedrag, en krabbelen terug daarvan (zie bijvoorbeeld Dropbox). Het probleem van versleutelde data is dat deduplicatie en compressie erop niet werken. Om een versleutelde bit in communicatie op te slaan heb je minstens één bit aan opslagruimte nodig, en er wordt heel veel versleuteld gecommuniceerd. De kosten van al het verkeer opslaan (als dat technisch al zou kunnen) zouden buitenproportioneel zijn.

Dan blijft er enkel gericht tappen over. Wat nu gericht getapt wordt en wat later succesvol ontsleuteld kan worden m.b.v. kwantumcomputers zal beperkt inzetbaar zijn omdat bijvoorbeeld zaken verjaren, het tappen zelf illegaal was, er capaciteitsproblemen zijn om zaken op te pakken, dat er alsnog veel versleutelde data is om door een kwantumcomputer te laten ontsleutelen waardoor het alsnog veel tijd kost, etc.

Zoals @Atmosfeer hieronder noemt kan het aanleiding zijn om verdachten verder te onderzoeken, maar die waren al verdacht. Anders waren die niet al eerder gericht getapt. Dus het netto resultaat zal alsnog beperkt zijn.

Om het te visualiseren:
Je gaat niet de hooiberg opruimen door meer hooi erop te storten.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:05]

Atmosfeer @matroosoft • 7 september 2023 11:05

Klopt, maar zal veel troep die aan het licht komt niet al verjaard zijn tegen die tijd? Het kan natuurlijk wel aanleiding zijn om mensen te onderzoeken voor nieuwe misdaden.

scholtnp @The Zep Man • 7 september 2023 12:06

Voor wie (@DMZ ?) geïnteresseerd is in de nieuwe post-quantum encryptiemethoden, volgende week dinsdag is er een presentatie in Nijmegen.

[Reactie gewijzigd door scholtnp op 22 juli 2024 14:05]

Teun! @scholtnp • 7 september 2023 13:50

Thanks, misschien kom ik hier wel even kijken

TWyk @DMZ • 7 september 2023 11:39

We hebben encryptie nodig om verspreiders van kinderporno te beschermen???
Door het internet is de verspreiding van kinderporno enorm toegenomen.

Het is heel makkelijk om te roepen dat encryptie nodig is voor de bescherming van de privacy maar lever dan tegelijk ook eens een constructieve bijdrage aan het oplossen van de verspreiding van kinderporno.?

TWeaKLeGeND @TWyk • 7 september 2023 13:30

Heel makkelijk om iets te roepen zonder onderbouwende cijfers. Ik geloof best dat de verspreiding is toegenomen, maar is de misbruik dat ook? En hoeveel is de verspreiding toegenomen? Zelf vermoed ik dat we er nu beter voor staan dan 10-20 jaar geleden in ieder geval. Vergelijken met de jaren 90 is mijn inziens niet meer relevant. Kijken naar de afgelopen 10-20 jaar wel.

Maar hoe dan ook, kinderporno verspreiding tegen gaan is NIET belangrijker dan privacy waarborgen. Het zijn daarnaast verschillende zaken waarbij als iemand het ene roept hij helemaal niks hoeft bij te dragen aan oplossen van het andere. Privacy in deze, is ook veiligheid. Ook voor kinderen. Met dit soort backdoors liggen straks de fotos van miep van 13 naar haar vriendje koos van 14 stuurt ook in de globale collectie.

Wat wel feitelijke informatie is: Dit soort wetten zullen nooit KP significant tegen houden maar zullen wel altijd een zware privacy inbreuk tot gevolg hebben. KP volk gebruikt uiteraard gewoon open source software voor hun zaakjes zodra partijen als WhatsApp gaan scannen. Sterker nog, ik betwijfel dat ze nu uberhaubt dingen als WhatsApp gebruiken puur vanwege de technische mogelijkheid dat Facebook al een soort scan toepast.

[Reactie gewijzigd door TWeaKLeGeND op 22 juli 2024 14:05]

TWyk @TWeaKLeGeND • 7 september 2023 16:25

Het is niet moeilijk cijfers te vinden met google.
Hier een voorbeeld van de Nederlandse politie over de toename van meldingen en hoeveelheid mensen die zich er mee bezig houden
https://open.overheid.nl/...2a9-a87d-0d80764ec212/pdf

Ik ben ook niet voor de voorgestelde maatregelen maar ik vind dat de ICT sector enorm onvermogen toont in het erkennen van de toename van bepaalde maatschappelijke problemen die zij veroorzaken en oplossingen daar voor te creeeren.
Daarom zal ik in jou eigen worden zeggen:

Wat wel feitelijke informatie is: Het idee dat mensen hun privacy beschermd is door encryptie in een paar applicatie is pas echt fictie. Er zijn meer partijen op het internet die je privacy schenden dan ooit.

TWeaKLeGeND @TWyk • 7 september 2023 22:55

Toename van meldingen is niet toename van verspreiding en al helemaal niet toename van misbruik wat het meest belangrijke cijfer is.

Nee dat is geen fictie. Dat zijn wederom losstaande zaken. En wederom totaal niet relevant. Al hangen er overal in de stad cameras nog is niet wenselijk dat er 24/7 een agent met camera achter je aan loopt als je in de stad bent. En voor het gemak vergeet je even dat het je veel meer kost dan privacy.

[Reactie gewijzigd door TWeaKLeGeND op 22 juli 2024 14:05]

TWyk @TWeaKLeGeND • 12 september 2023 13:05

Toename van materiaal gaat vrijwel altijd gepaar met meer misbruik.
Zeker nu misbruik in live sesses op webcam ook populair is geworden
Zie ook dit rapport van Europol over de toename tijdens Covid.
https://www.europol.europ...ren-during-covid-pandemic

Je kunt wel zeggen dat het niet relevant is maar per definitie gaat alle opsporing van misdrijven gepaard met een bepaalde mate van privacy schending omdat de polite probeert te achterhalen wat een dader gedaan heeft wanneer en hoe.
Absolute privacy zou beteken dat er nooit meer een dader van een misdrijf opgespoord zou mogen worden.
Het internet wordt door honderdduizenden, zo niet miljoenen criminelen gebruikt bij of voor fraude, oplichting, seksueel misbruik, haatzaaien, afpersing, DoS, auteursrechtschendingen enz enz
ICT'er moeten niet de kop in het zand steken. Opsporing van misdrijven is een noodzaak en bepaalde privacyschending hoort daarbij. Het is aan ICT'ers om te zorgen dat de overheid ook op het internet wetten kan handhaven liefst met zo min mogelijk privacyschending.

haam @TWyk • 7 september 2023 13:50

Een oplossing a la South park (aflevering Insecurity)?

M.a.w. alle kinderen overal en altijd voorzien van camera's e.d.

Andere mogelijkheid is om alle encryptie overal te verbieden, zodat iedereen van iedereen kan zien welke porno (o.a.) wordt gekeken.

goarilla @haam • 7 september 2023 14:20

Andere mogelijkheid is om alle encryptie overal te verbieden, zodat iedereen van iedereen kan zien welke porno (o.a.) wordt gekeken.

Nooo, toch niet nadat de porno van de laatste 20 jaren je eerst hebben gefetisheerd ? Dat is toch wel een beetje entrapment.

haam @goarilla • 7 september 2023 14:34

En daarom wil je voor niemand encryptie verzwakken/open zetten

Caelestis @DMZ • 7 september 2023 12:28

Het is een illusie dat quantum computing alle encryptie kan hacken.
Het probleem wat er speelt is dat het meest gebruikte vorm van encryptie op dit moment RSA is wat gebruik maakt van prime nummers.
Heel toevallig is quantumcomputing heel sterk in het herkennen van patronen in prime nummers.
Ja RSA heeft een zwakke punt maar dat zegt verder helemaal niks over quantum vs encryptie.
Nu gaan we net doen alsof het heel bijzonder is dat we nu anti-quantumcomputing encryptie kunnen maken. Feitelijk is het gewoon een uitzonderings geval wat gebruikt wordt om het einde van privacy te voorspellen.

justinkb @Caelestis • 7 september 2023 12:41

Er is maar een reden dat quantumcomputers encryptie gebaseerd op priemgetallen kunnen breken en dat heeft niks te maken met herkennen van patronen in priemgetallen. Het komt puur doordat je van de periodiciteit van de Quantum Fourier transform de factoren kunt afleiden

Caelestis @justinkb • 7 september 2023 14:07

Hum je kan de periodiciteit afleiden?
En als je dat data opschrijft op papier waar lijkt het op?
Juist ja een patroon.
Voor de leek is het gewoon veel makkelijker om aan te geven zoals ik dat deed zodat mensen het kunnen begrijpen.

justinkb @Caelestis • 7 september 2023 16:19

Heeft helemaal niks te maken met patronen in priemgetallen. De periodiciteit is relevant voor het vinden van de multiplicatieve orde in Shor's algoritme, d.w.z. r zodat g tot de macht r 1 is modulo het te ontbinden getal

Caelestis @justinkb • 7 september 2023 17:54

Ja precies klinkt heel leuk voor de non quantum expert.
Ik heb het niet verzonnen als leken taal. Ik geef het aan zoals een IBM expert mij dat heeft uitgelegd.
En gezien er wereld wijd max een handje vol mensen zijn die snappen hoe quantum werkt ga ik er niet vanuit dat de mensen hier op tweakers het beter uit kunnen leggen.
Tenzij je weet of we hier een echte expert hebben op de site?

justinkb @Caelestis • 7 september 2023 19:29

Shor's algoritme is heel simpel. Er is maar één stap die iets met quantum computing te maken heeft, namelijk het vinden van die multiplicatieve orde, via de QFT. En die stap heeft an sich niets met de distributie van de priemgetallen te maken. Dus wat die IBM expert je heeft uitgelegd, klopte gewoon niet.

Overigens is het tot nu toe grootste getal wat ontbonden is met Shor's algoritme... 21

[Reactie gewijzigd door justinkb op 22 juli 2024 14:05]

Caelestis @justinkb • 7 september 2023 20:06

Je begrijpt het punt niet. een probleem en oplossing kan je niet uitleggen in leken taal met formules. Het help echt niet om een formule met nog een formule uit te leggen. Het punt is om het min of meer te visualiseren hoe het werkt zodat iemand die niet een quantum opleiding volgt het begrijpt tot op zekere hoogte.
De overlap tussen priemgetallen en quantum zit in het feit dat wij mensen eerst in 200 bc priemgetallen hadden gevonden in de natuur. We zijn natuurlijk verder gaan kijken en erachter gekomen dat de natuur = quantum op een niveau waar we nog van kunnen dromen en in alles zitten priemgetallen verwikkeld. Gewoon omdat we met duizenden jaren verschil twee geheel onafhankelijke dingen hebben gevonden door naar het zelfde te kijken.
In de tussen tijd hebben we bedacht dat die prime getallen een leuke optie zou zijn voor encryptie niet wetend dat het een fundamenteel onderdeel is van quantum.
Het gaat erom dat quantum computing verschillen kan voorspellen op verschillende plekken op hetzelfde moment in de encryptie aan de hand van priemgetallen waar de encryptie op gebaseerd is en daarmee de data als het ware voorspelt zonder encryptie. We breken niet eens de sleutel.
We hebben onwetend een aardige grote lek gevonden in RSA encryptie. Nou is men daarmee aan de haal gegaan en voorspellen dat het einde van encryptie omdat quantum computing alles kan hacken. Dat is gewoon onwaar. Het is nog altijd puur theoretisch en enkel gericht op RSA encryptie.
Leuk ander feitje is dat we nog steeds niks met quantum computing hebben "gehackt" omdat we daar minimaal een miljoen qubits voor nodig hebben. Hoorde laats iemand nog aangeven dat we nu op 4000 zitten in canada.

goarilla @Caelestis • 7 september 2023 14:34

Ma dus all hail elliptic curve cryptography ?

justinkb @goarilla • 7 september 2023 16:40

ECC is nog kwetsbaarder dan RSA, m.b.t. quantumcomputers

Shal-Ziar @DMZ • 7 september 2023 10:37

Er bestaan al encryptiealgoritmen welke gebruikt kunnen worden en zgn Quantum-Safe zouden zijn.
Een goed voorbeeld hiervan is 'Lattice-based-cryptography'
https://en.wikipedia.org/wiki/Lattice-based_cryptography
Hoewel cryptografische experts, terecht voorzichtig, nog niet met 100% zekerheid durven zeggen dat ze veilig zijn.

Alxndr

@DMZ • 7 september 2023 11:38

" totdat we quantumcomputing hebben"

Als we quantumcomputing hebben, hebben we dan niet ook quantumencryptie?

Dit is toch gewoon een kat en muis spel wat eeuwig door zal gaan, net als virus/anti-virus, raket/afweersysteem en ga zo maar door.

Scriptkid @DMZ • 7 september 2023 12:06

De vraag is Wet = Wet,

Dus wat nu, ga je de software bannen zonder backdoor , of eisen van die bedrijven die zaken doen in UK dat ze een scanning backdoor inbouwen.

Leemeijer @DMZ • 7 september 2023 12:45

Quantumcomputing is er al. Het word nog niet op (hele) grote schaal toegepast, maar het is er al!

Polderviking

7 september 2023 10:16

Ja joh, waarom zou je toetsen of iets überhaupt haalbaar is voordat je er aan gaat trekken.

Sven4president @Polderviking • 7 september 2023 10:19

Wellicht doen ze het om de wetgeving alvast neer te zetten voor als de technologie er wel is?

anboni @Sven4president • 7 september 2023 10:22

Die technologie komt er alleen als het wettelijk wordt afgedwongen. Als de overheid dat vrij laat, gaat geen enkele messenging dienst backdoors inbouwen (want dat is in essentie wat er nodig is)

Raymond Deen @anboni • 7 september 2023 10:45

Dan wordt elke welwillende burger straks gemonitord en de doorgewinterde crimineel gebruikt gewoon een eigen platform dat zich niet aan die regels houdt; ze overtreden toch al de wet...

Triblade_8472 @Raymond Deen • 7 september 2023 12:46

En je weet vooraf al dat criminelen diezelfde backdoor kunnen gebruiken.

Net als vliegveld koffers met een TSA slot. Beveiligers hebben allemaal een loper om de inhoud te kunnen inspecteren. Maar iedereen weet net zo hard dat dieven deze zelfde sleutel aan hun bos hebben hangen.

Ik ga lachen wanneer die backdoor er komen en er berichten van (minister)presidenten openbaar komen.

Raymond Deen @Triblade_8472 • 7 september 2023 15:26

Een zeer valide punt dat ik nog vergeten was te noemen.
Elke backdoor ooit is volgens mij ook wel gevonden door het criminele deel van de bevolking, om vervolgens te misbruiken...

Huugje @anboni • 7 september 2023 11:28

Nieuwe technologie zoals quantum computing kan er anders voor zorgen dat er helemaal geen backdoors meer nodig zijn.

mbovenka

@Huugje • 7 september 2023 11:35

Vergeet het maar (gelukkig) https://en.wikipedia.org/wiki/Post-quantum_cryptography

m_snel @Huugje • 7 september 2023 13:36

Ja want het is natuurlijk niet belangrijk of het een 0 of een 1 is.

kodak

Privacy

@anboni • 7 september 2023 11:46

Aangezien de wereld zich al eeuwen bezig aan het houden is met proberen te kraken van versleuteling is dat geen redelijke aanname. Hooguit kun je stellen dat het kraken niet altijd lukt of niet op tijd lukt.

Scriptkid @anboni • 7 september 2023 12:07

maar dat is toch precies wat deze wet voorschrijft,

je bouwt een backdoor in als je in UK zaken wilt doen of je verlaat het land als bedrijf.

Wet = Wet

Miglow @Scriptkid • 7 september 2023 16:48

En je gebruikers vinden je toch wel.

sfc1971 @anboni • 7 september 2023 12:11

Het is natuurlijk niet afhankelijk van een commerciele dienst, een onafhankelijk ontwikkelaar kan ook iets bouwen op een zolderkamer of als een onderzoeks project van een universiteit of defensie bijvoorbeeld.

OverSoft @Sven4president • 7 september 2023 10:23

Als de technologie er zou zijn, is het internet effectief kapot.
Als versleuteld verkeer te lezen zou zijn, is onmiddellijk niets meer betrouwbaar.

Online bankieren, winkelen, medisch verkeer, e-mail, etc...

Dus als de technologie er zou zijn, maakt het toch niets meer uit.

sympa @OverSoft • 7 september 2023 10:25

Er is een verschil tussen ondertekenen en versleutelen.
Als je kan ondertekenen kan je nog steeds bankieren. Ook als de hele wereld kan meelezen met wat je doet.
Het is natuurlijk niet wenselijk, maar het is wel degelijk mogelijk.

DevWouter @sympa • 7 september 2023 10:30

Behalve dat beide op hetzelfde idee werken. Als encryptie gebroken wordt dan is het aannemelijk dat elke cryptografisch sleutel onbetrouwbaar is.

PageFault @DevWouter • 7 september 2023 10:36

Niet per se, je zou de platformen kunnen verplichten om ergens in het proces (bijv. bij het versturen vanaf een applicatie, dus voordat de encryptie heeft plaatsgevonden) te scannen op misbruik.

Mysco13 @PageFault • 7 september 2023 10:45

Dat klopt inderdaad, maar aan de applicatiekant scannen is anders dan het versleutelde verkeer scannen en ontsleutelen wat hier genoemd wordt.

Ian Fox @PageFault • 7 september 2023 10:55

Dan gebruiken de mensen die verkeerde dingen willen doen wel gewoon een niet-gereguleerd platform.

OruBLMsFrl @DevWouter • 7 september 2023 10:38

Sha3 is mathematisch en cryptografisch toch nog wel wat anders dan aes. Wel tegelijk stel dat aes256 echt compleet gebroken zou worden, dat we daarvoor zoveel verder in wiskundeen cryptografie zouden zijn, dat sha3 vast ook wel wat makkelijker te hash colliden zou worden dan. Meteen kapot en onbruikbaar is gelukkig wel wat anders nog. En je zou bij een aes defect nog kunnen gaan bankieren direct op asymmetrische encryptie, zoveel data is dat gelukkig niet.

Raymond Deen @sympa • 7 september 2023 10:44

Het is een glijdende schaal.

Wanneer je op illegale content scannen in chats verplicht maakt dan kan je dat ook op bankieren doen op een gegeven moment om de betalingen aan illegale content providers te monitoren. Enz. enz.

En wie zegt dat het alleen bij monitoren blijft? Er zijn een aantal landen waar al actief "illegale" content verwijderd of vervangen wordt doordat er met certificaten gerotzooid wordt om https verbindingen te kapen dus die certificaten zijn de facto waardeloos.

Wanneer we hier dit soort draconische maatregelen gaan krijgen dan komen we echt al snel in een wereld terecht waar een paar hele mooie Science Fiction films over gemaakt zijn en dat wil je echt niet!

Sven4president @Raymond Deen • 7 september 2023 11:20

Werkt het niet zo dat er gezocht wordt naar bepaalde hashes die geregistreerd staan als illegale content? Naar mijn weten wordt er niks gedecrypt maar alleen hashes vergeleken.

Nou is encryptie niet echt mijn specialiteit dus wellicht is dit verkeerd.

Kenhas @Sven4president • 7 september 2023 14:39

je kunt geen hashes vergelijken zonder dat het bestand gedecrypt is. Een geëncrypteerd bestand heeft een volledig andere hash als het pure bestand. Als ik het goed voorheb, weet je eigenlijk zelfs niet of een boodschap bestaat uit een afbeelding, tekst, pdf, ...

BeosBeing @Raymond Deen • 7 september 2023 11:24

Wanneer we hier dit soort draconische maatregelen gaan krijgen dan komen we echt al snel in een wereld terecht waar een paar hele mooie Science Fiction films over gemaakt zijn en dat wil je echt niet!

Het probleem is dat overheden denken dat ze het echt wel willen, en met name binnen die overheden de bestuurders en de uitvoerders van handhaving (Minister van Justitie, Politietop, Belastingdienst, FIOD, e.d.) en dat zijn nu net degenen die aan de touwtjes trekken m.b.t. wetgeving. Die hebben wel een juridisch geschoold beleidsmedewerkerje, dat die wetteksten schrijft, en die worden dan bij een volgende wetswijziging er tussen gemoffeld. Er is geen kamerlid die dat in de gaten heeft, bovendien mogen die tegenwoordig niet meer afwijken van de partijlijn. Doen ze dat wel, dan zakken ze al snel naar een onverkiesbare plaats op de lijst (1e overtreding) en verdwijnen ze er helemaal vanaf (2e overtreding).

Raymond Deen @BeosBeing • 7 september 2023 15:25

Ook dat zijn mensen en ik denk dat ook zij die films kennen en zich echt niet tecnisch ongeïnformeerd laten.
Dit is namelijk geen juridisch probleem, maar een technisch probleem, dat speelt. Een specifieke encryptie kun je namelijk niet verzwakken voor het ene doel en in stand laten voor het andere.

Elke poging om te beargumenteren dat dat wel mogelijk is, heb ik tot nu toe compleet onderuit zien gaan.

Het scannen van onversleutelde berichten zou bij de client moeten gebeuren; bij de verwerker gedaan zou natuurlijk versleuteling overbodig maken. Maar dat gaat wel weer een extra belasting op je device en accu leggen, ook al is die maar beperkt per berichtje, wat voor een enorme energieslurper gaat zorgen bij die miljarden berichtjes die er per dag verstuurd worden.

En zodra dit de praktijk wordt van Whatsapp, etc. vliegen die criminelen linea recta naar een andere oplossing die dat niet doet, waardoor de winst voor het overgrote deel weer vervliegt en voor de rest iedereen weer meer stroom verbruikt.

BeosBeing @Raymond Deen • 13 september 2023 10:38

Ook dat zijn mensen en ik denk dat ook zij die films kennen en zich echt niet tecnisch ongeïnformeerd laten.

Er zijn een heleboel mensen die zich niets aantrekken van of iets technisch wel of niet kan, maar gewoon zeggen, ik wil dat het zo gebeurt, en klaar. Zijn die mensen incompetent omdat ze niet luisteren naar het advies van experts en hun eigen zin doordrijven, maar doen we dat niet allemaal wel eens in zekere mate? Een ondernemer wilt niet horen dat iets niet kan, maar dat geldt dus nog meer voor (verlichte) koningen, hertogen, markiezen, graven, maar ook diverse directeur-generaals en andere topbestuurders, zowel bij overheid als in het bedrijfsleven. Een gevolg hiervan is wel dat dit soort personen wel vaak gedaan krijgt wat andere, minder autoritaire personen niet lukt.

Ook bij de besluitvorming tussen ministerraad en parlement (m.n. 2e kamer) en het opstellen van wetteksten wordt vaak niet gekeken of iets wel mogelijk is. Als het dan echt niet kan, en dat is aantoonbaar, dan wordt het misschien niet gedaan, maar in de meeste gevallen zal men proberen het alsnog uit te voeren, met de wanordelijke toestanden die we met name in de ICT kennen bij Belastingdienst, UWV, en soortgelijke organisaties.

[quote]Dit is namelijk geen juridisch probleem, maar een technisch probleem, dat speelt.[quote]
In deze wereld wordt de techniek steeds meer ondergeschikt aan het juridische. We kunnen als voorbeeld de veroordeling van de rechter van de Nederlandse overheid in de Urgenda-zaak. Er wordt daar een emissiereductie opgelegd van 25% en er was niet eens bekend of dit haalbaar was, laat staan wat de ongewenste effecten zouden kunnen zijn van het proberen die emissiereductie toch te halen.

Een specifieke encryptie kun je namelijk niet verzwakken voor het ene doel en in stand laten voor het andere.

Klopt, dat ben ik volledig met je eens. Nu zou je een specifieke encryptie een achterdeur kunnen geven via een specifieke sleutel die alleen de minister of de rechtbank mag hebben, maar in de praktijk zal die minister of rechtbank het gebruik ervan moeten delegeren, en uiteindelijk zal die sleutel uitlekken. Die sleutel wordt namelijk een dusdanig gewild object dat criminele crackers die zullen willen bemachtigen.

Het scannen van onversleutelde berichten zou bij de client moeten gebeuren; bij de verwerker gedaan zou natuurlijk versleuteling overbodig maken. Maar dat gaat wel weer een extra belasting op je device en accu leggen, ook al is die maar beperkt per berichtje, wat voor een enorme energieslurper gaat zorgen bij die miljarden berichtjes die er per dag verstuurd worden.

Klopt, in sommige landen doet Apple dit al, en het is slechts de vraag wanneer ze dat wereldwijd geimplemtenteerd hebben. En op de client is het altijd te omzeilen, ofwel via een versleutelde map, ofwel via een andere verzendapp.

En zodra dit de praktijk wordt van Whatsapp, etc. vliegen die criminelen linea recta naar een andere oplossing die dat niet doet, waardoor de winst voor het overgrote deel weer vervliegt en voor de rest iedereen weer meer stroom verbruikt.

Klopt, dat zie je nu al gebeuren met andere berichtgeving.

Raymond Deen @BeosBeing • 13 september 2023 13:28

Technische kant kan per definitie niet ondergeschikt raken aan de juridische kant wanneer het om wel of niet technisch mogelijk zijn gaat.
Deze autoritaire personen vallen daar niet buiten; zij hebben net zoveel invloed op het gegeven dat hele grote priemgetallen handig zijn voor encryptie als de koffiedame in een bar: namelijk geen.

Ik vind het persoonlijk van incompetentie getuigen van een geheel departement, van assistenten tot aan de Minister, wanneer er wetgeving wordt gepresenteerd waarvan vele deskundigen op dat moment al hebben verklaard, ook via formele weg gecommuniceerd, dat het niet werkt op de manier die ze beogen.

Het is simpelweg de verkeerde volgorde aanhouden, elke keer eerst je neus stoten voordat je door hebt wat velen al roepen en dan pas met een aangepast of verzwakt voorstel komen. Het maakt het hele proces onnodig stroperig; iets dat we sowieso de afgelopen 10 a 15 jaar al veel te vaak zien.

Even nog een reactie op dit:

de wanordelijke toestanden die we met name in de ICT kennen bij Belastingdienst, UWV, en soortgelijke organisaties.

Ik denk dat we met z'n allen eens moeten stoppen met bashen van de overheid hiervoor. De projecten worden hoofdzakelijk door grote zakelijke aannemers gedraaid en die maken er dus een zooitje van.

BeosBeing @Raymond Deen • 15 september 2023 12:16

Technische kant kan per definitie niet ondergeschikt raken aan de juridische kant wanneer het om wel of niet technisch mogelijk zijn gaat.

Dat vinden bestuurders en politici dus niet. Die zeggen eigenlijk altijd, het interesseert me niet of het kan of niet, doe het gewoon. Dit artikel hierboven zegt precies ook dat.

Een ander gebied waar we dit tegenkomen is de invoer van de warmtepomp en de elektrificatie van de auto. Er zitten zoveel haken en ogen aan*
- het netwerk kan het nog niet aan en er is geen personeel om het netwerk uit te breiden
- er is meer elektriciteit nodig, 's avond en vooral 's winters maar zonnepanelen leveren 's nachts niets, en in de winter nauwelijks en windmolenparken kunnen ook op zee onvoldoende elektriciteit leveren, bovendien gaan ze maar 10 tot 20 jaar mee (veranderen ondertussen in plastic soup en microplastics) en zijn (nog) nauwelijks te recyclen, met kerncentrales hebben we er minimaal 6 nodig, maar de bouw duurt te lang
- de warmtepomp moet vooral 's nachts draaien, de meeste mensen laden hun auto's 's nachts maar de piek in beschikbare elektriciteit is overdag
- de meeste mensen kunnen niet thuis laden omdat ze geen oprit hebben, geen kabels over de stoep mogen trekken en/of van de verhuurder geen laadpaal mogen installeren
- accucapaciteit is voor veel mensen nog onvoldoende
- aanschafprijzen van warmtepompen en batterijvoertuigen liggen dusdanig hoog dat de meeste mensen dit niet kunnen financieren
- reizen met het openbaar veevervoer duurt 2-5 keer zo lang, en is dus voor de meeste mensen geen optie, bovendien is het meestal overvol, vaak vies, vaak benauwd en vaak onveilig
- voor de mensen die het echte werk doen, in de volcontinue op de fabriek, in de zorg, enzovoorts is er op de tijden dat ze moeten werken, geen OV, en vaak op de plaatsen waar ze moeten zijn - industrieterreinen - al helemaal niet

Ik vind het persoonlijk van incompetentie getuigen van een geheel departement, van assistenten tot aan de Minister, wanneer er wetgeving wordt gepresenteerd waarvan vele deskundigen op dat moment al hebben verklaard, ook via formele weg gecommuniceerd, dat het niet werkt op de manier die ze beogen.

Het systeem is zo dat de politiek bepaalt wat er moet gebeuren (of eigenlijk de mensen achter de politiek) en de ambtenarij moet uitvoeren, of het nu wel of niet kan. Waar dat toe lijdt hebben we bv gezien in de toeslagaffaire. Feit is echter wel dat beleidsbeslissingen die door de politiek gemaakt worden altijd worden voorbereid door de ambtenaren, dus die zijn inderdaad medeschuldig.

Nu werkt dat met encryptie en meestal ook met andere techniek niet zo, maar met heel veel zaken die de overheid aangaan pretendeert men uit te gaan van de wetenschappelijke methode. Dat houdt dan zogenaamd in dat men het beleid bepaald aan de hand van wat de wetenschap er over zegt. Het probleem is echter dat diezelfde overheid die wetenschap financiert en onderzoeksopdrachten geeft en die onderzoeksopdrachten worden zo geformuleerd dat het onderzoek eigenlijk alleen maar de politiek gewenste conclusie kan geven. Waar we dit het sterkste zien op het ogenblik is in de zaken rond natuur, biodiversiteit, milieu en stikstof, en dus ook de hele discussie over de wolf. De wolf is heilig verklaard en mag geen strobreed in de weg gelegd worden, echter nu begin september 2022 de pony van Ursula von der Leyen door een wolf is omgelegd, komt de tegenbeweging op gang.

Het is simpelweg de verkeerde volgorde aanhouden, elke keer eerst je neus stoten voordat je door hebt wat velen al roepen en dan pas met een aangepast of verzwakt voorstel komen.

Het is niet de politiek die zijn neus stoot maar de burger die het slachtoffer is. De politiek zegt sorry en gaat op de oude voet verder, waarbij ze heel af en toe eens moeten aftreden en vervolgens gelijk een ander baantje toegeschoven krijgt.

Het maakt het hele proces onnodig stroperig; iets dat we sowieso de afgelopen 10 a 15 jaar al veel te vaak zien.

Afgelopen 10 à 15 jaar? Misschien kun je niet verder terug kijken, maar het is begonnen onder het premierschap van Lubbers. Toen is in de eerste plaats de visie opzij geschoven (alles moest wijken voor het opnieuw onder controle krijgen van het begrotingstekort) en sindsdien draait alles om geld, is er geen visie meer over hoe het land er uit moet zien over 5 of 10 jaar, wordt er amper vooruit gekeken (alleen voor de betaalbaarheid van de aow en de gezondheidszorg) en wordt het opgestelde beleid in het regeerakkoord uitgevoerd ongeacht wat er gebeurt, met als enige uitzondering als de staat wordt veroordeeld zoals in de Urgenda en Stikstof-processen.

Even nog een reactie op dit:
[i]de wanordelijke toestanden die we met name in de ICT kennen bij Belastingdienst, UWV, en soortgelijke organisaties.[/i[
Ik denk dat we met z'n allen eens moeten stoppen met bashen van de overheid hiervoor. De projecten worden hoofdzakelijk door grote zakelijke aannemers gedraaid en die maken er dus een zooitje van.

Het ging me hier niet om het bashen op de overheid. Waar het me in dit geval om ging is dat
1) de politiek dus een opdracht geeft waarvan ze niet eens weet of het uitgevoerd kan worden, vaak zelfs weet men dat het niet kan (zoals het voorbeeld in het artikel) maar eist men toch dat het gebeurt.
2) de politiek geeft een opdracht, maar korte tijd later komt er nieuw inzicht en moet het weer anders. Het steeds veranderende eisenpakket is één van de hoofdoorzaken dat dergelijke projecten mislukken (naast punt 1 en hetgeen jij hier noemt).
Die grote zakelijke aannemers zijn medeschuldig, maar net als in de politiek worden ze er nooit op afgerekend. De aanbestedingen zijn openbaar, maar bevatten steevast eisen als dat de aanbieder al soortgelijke grote projecten moet hebben uitgevoerd, en ervaring moet hebben met projecten voor de overheid. Daardoor zijn het vrijwel altijd alleen diezelfde grote zakelijke aannemers die in aanmerking komen, een ander komt er gewoon niet tussen.

Een ander mooi voorbeeld is dat ondanks het preferentiebeleid voor open source, bij de aanbesteding voor een nieuwe netwerk- en serveromgeving steevast in de eisen o.a. gespecificeerd wordt dat het compatible moet zijn met (de bestaande) Active Directory en Microsoft Exchange en dus kom je automagisch uit bij dezelfde leveranciers met Microsoft producten.

En zo houdt het systeem zichzelf in stand. Alle betrokken partijen profiteren er zo van mee
1) de politici zelf die later een leuk baantje krijgen als commissaris of burgemeester, bij de EU, bij een staatsbedrijf, bij een belangenorganisatie of een bedrijf dat ze in hun politieke carrière de voordeeltjes hebben gegeven,
2) de bedrijven die opdrachten uitvoeren voor de overheid en daarvoor een riante vergoeding krijgen (behalve tegenwoordig de wegenbouw-uitvoerders voor rijkswaterstaat)
3) de belangenorganisaties die zo steeds meer mogen meeëten uit de ruif van de overheid
4) de onderzoekers die "wetenschappelijk" onderzoek doen in opdracht van die belangenorganisaties, o van ministeries

En de belastingbetaler moet zorgen dat er voor dat alles voldoende geld is.

Raymond Deen @BeosBeing • 15 september 2023 13:34

Dat vinden bestuurders en politici dus niet.

En dat is dus een groot probleem in de maatschappij: feit en mening worden nogal eens door elkaar gehaald.

Het systeem is zo dat de politiek bepaalt wat er moet gebeuren (of eigenlijk de mensen achter de politiek) en de ambtenarij moet uitvoeren, of het nu wel of niet kan. Waar dat toe lijdt hebben we bv gezien in de toeslagaffaire. Feit is echter wel dat beleidsbeslissingen die door de politiek gemaakt worden altijd worden voorbereid door de ambtenaren, dus die zijn inderdaad medeschuldig.

Precies, incompetentie dus...
Natuurlijk zeg je niet zo heel erg makkelijk nee tegen een Minister, maar we leven niet meer in de vorige eeuw zeg...

En zo houdt het systeem zichzelf in stand. ....

Het resultaat van de laatste 4 rechtse kabinetten die er op een gegeven moment vooral leek te zitten voor de grote ondernemingen.

BeosBeing @Raymond Deen • 18 september 2023 13:12

Het resultaat van de laatste 4 rechtse kabinetten die er op een gegeven moment vooral leek te zitten voor de grote ondernemingen.

Nou, niet alleen de laatste 4 kabinetten. Als je een parallel trekt tussen het land en een kind enerzijds en als degenen die daarvoor moet zorgen anderzijds, dan waren de kabinetten Rutte niet alleen slechte ouders, maar zou je de kabinetten Balkenende kunnen bestempelen als de voogden. Er waren 4 kabinetten Balkenende. In het eerste, met LPF, trad al binnen enkele uren de eerste staatssecretaris af. Na 85 dagen stapten twee ministers op, één net voor en de ander net nadat de fractievoorzitters van VVD en CDA het vertrouwen in het kabinet hadden opgezegd. In de 5e maand stapte nog een minister op omdat hij in het vorige kabinet de kamer verkeerd had ingelicht. Totaal heeft het kabinet ±10 maanden "geregeerd" en meest substantiële dat ze hebben gedaan is versobering van de spaarloonregeling, hervorming van de WAO en verder werken aan de hervorming* van het zorgstelsel, op basis van plannen van D66-minister Borst uit het voorgaande paarse kabinet, wat onder Balkenende 2 werd ingevoerd.
* lees privatisering
Bij Balkenende 2 werd de LPF ingeruild voor D66, en nadat bleek dat de cda-minister van onderwijs niet overweg kon met de vvd-staatssecretaris, werd die laatste vervangen door Mark Rutte. Het tijdperk Rutte begint dus al op 17 juni 2004. Het is dit kabinet dat in het referendum de Europese Grondwet door het volk afgekeurd zag worden. Verder werd de WAO vervangen door de WIA en werd de WW ingekort en VUT en prepensioen afgebouwd, werd er besloten tot de missie naar Afghanistan en was er zware kritiek op het harde beleid van minister Verdonk die strak vasthield aan de afspraken in het regeerakkoord. Nadat D66 er uit stapte vanwege de affaire Hirschi-Ali, ging het kabinet verder als Balkenende 3 dat de vennootschapsbelasting verlaagde, en kreeg Verdonk na de verkiezingen een motie van afkeur vanwege haar asielbeleid (conform het regeerakkoord).
Met Balkenende 4 werd de VVD ingeruild voor de PvdA. Dat ging zonder inspraak van de bevolking akkoord met het verdrag van Lissabon dat feitelijk gewoon hetzelfde was als die Europese Grondwet, maar dan zonder het oncontroversiële Europese volkslied en met enkele "cosmetische" aanpassingen. Verder moest PdvA-minister Bos vanwege de bankencrisis grote steunpakketten uitdelen om de banken overeind te houden, en werd besloten tot verhoging van de AOW-leeftijd.

Je ziet dus dat ook Balkenende er duidelijk meer was voor de grote bedrijven en minder voor de burger, en dat ze de privatisering en afbraak voortzetten die zijn hoogtepunt had in de paarse kabinetten en die onder Lubbers was begonnen.

En of je de kabinetten Rutte nog rechts noemt is al twijfelachtig, ik vind dat een achterhaald begrip. Het komt uit de traditie dat de conservatieve en liberale partijen in de kamer het linkse deel van de stoelen betrok en de socialistische en communistische partijen rechts zaten. Destijds waren die laatste de partijen die de belangen van de arbeider behartigden en de eerste behartigden de belangen van adel en middenstand. Tot ± 1989 was dit nog wel correct, maar voorheen als de links aangeduide partijen zijn steeds meer de belangen van werklozen en uitkeringstrekkers gaan verdedigen, salonsocialisten geworden en de belangen van de werkende mensen, handarbeider of kantoorklerk, vergeten. Onder partijleiders Wim Kok en Wouter Bos maar ook nog lang daarna was de PvdA echter vooral een partij die neoliberaal beleid uitdroeg; als je zorgt dat de bedrijven goed draaien en veel winst maken, dan zullen die winsten doorsijpelen naar de bevolking via meer werkgelegenheid, hogere salarissen en lagere prijzen. In de praktijk hebben we gezien dat dit nu juist leidde tot meer verrijking van de aandeelhouders en de bestuurders. Sindsdien zijn ze ook steeds meer de partijen voor milieu en natuur geworden. De partijen die we als rechts classificeren echter zijn net zoveel veranderd, reeds onder Lubbers en werd de CDA een partij van privatisering en neoliberalisme, maar ook de VVD veranderde van een partij voor de middenstander en de ondernemer naar een partij voor het grote internationale bedrijfsleven, vooral onder VVD-leider Gerrit Zalm. Recentelijk hebben ook zij de milieu- en klimaatkaarten leren trekken, maar aanvankelijk vooral voor extra subsidies voor die grote bedrijven (meestal tegen boterzachte voorwaarden) en extra belastingen voor de burgers. Voor de kleine bedrijven zijn de regels voor die subsidies meestal zo ondoorgrondelijk dat ze gewoon niet beginnen aan het aanvragen ervan, en als er al subsidies zijn voor burgers, dan lijken die vooral te dienen om bedrijven te stimuleren (zie STAP en de verduurzamings-regelingen). Inmiddels zijn die partijen echter ook aan het opschuiven richting de positie van partijen als PvdD, Groen Links en D66.

Overigens klassificeren we in Nederland D66 als links en VVD als rechts terwijl ze op Europees niveau één partij zijn, Renew Europe (daarvoor zaten ze al samen met de Belgische OpenVLD en MR in de partij ALDE). Zijn ze dan rechts of links of beide?

Raymond Deen @BeosBeing • 18 september 2023 14:09

Mooi verhaal, kudo's!

Je hebt gelijk, de naam Balkenende is niet voor niets vaak verbasterd tot "Bak ellende".
Maar waar onder die kabinetten de sociale zekerheid vooral werd aangetast, werden onder Rutte vooral grote bedrijven, banken en de fossiele sector aan alle kanten bevoordeeld (naar mijn mening ten koste van de bevolking) en begon het grote uitknijpen door middel van hogere belastingen en accijnzen.

Onder allerlei voorwendselen (maar vooral werkgelegenheid) werden grote bedrijven met allerlei belastingvoordelen en subsisies Nederland binnen getrokken terwijl de werkgelegenheid er nauwelijks op vooruit ging.
Jaarlijks gaan de accijnzen omhoog om vooral maar mensen te laten stoppen met roken en drinken en uit de auto te krijgen terwijl de online casino's geen strobreed in de weg wordt gelegd. Terwijl iedereen wel weet dat men roken gewoon had moeten verbieden en drank duurder maken mensen vrijwel niet minder laat drinken. Ook weet iedereen dat mensen echt niet voor hun lol elke ochtend en avond in de file staan; mensen wonen namelijk niet vlak bij hun werk.
OV wordt jaarlijks duurder en verder uitgekleed en in diezelfde spits juist duurder gemaakt dan daarbuiten terwijl mensen juist in die spits uit hun auto "gelokt" moeten worden in plaats van erin gejaagd.

BeosBeing @Raymond Deen • 18 september 2023 16:35

Je hebt gelijk, de naam Balkenende is niet voor niets vaak verbasterd tot "Bak ellende".

Klopt, maar voor Balkenende was de achteruitgang nog erger.

Veel plannen voor de sociale zekerheid en ook het zorgstelsel was daarvoor al ingezet en grotendeels uitgedacht. Alles moest naar de markt toe. Naar het volk werd dus gezegd dat het door de marktwerking goedkoper zou worden, maar de werkelijkheid is dat er zo dus meer aan verdiend kon worden door de grote marktpartijen. Het meest opvallend is dat vanaf toen ook de woningcorporaties gingen beleggen, en dat de directeurs daarvan zichzelf gigantische salarissen gingen geven. Vandaar ook dat in 2006 de WOPT Wet openbaarmaking uit publieke middelen gefinancierde topinkomens is ingevoerd, en daarna in 2013 als opvolger de WNT Wet normering topinkomens beiden genoemd naar Balkenende, maar die was toen natuurlijk al weg.

Maar waar onder die kabinetten de sociale zekerheid vooral werd aangetast,

Ook onder Lubbers is er zeer fors op de sociale zekerheid bezuinigd, mensen die recht hadden op bepaalde voorzieningen werden deze afgenomen, de staat vond dat mensen eerst zelf moesten zoeken naar hulp in de omgeving voordat er een beroep gedaan mocht worden op voorzieningen betaald door de overheid. Als gevolg van dit beleid ging de burger anders tegen de staat aankijken, en als hij recht had op iets dat ook aanvragen. Omdat de beoogde bezuinigingen niet werden gehaald (de staatuitgaven liepen gierend uit de hand) kwamen de ambtenaren die de aanvragen moesten beoordelen toen verzuchtend met de term "de calculerende burger", een term waarover je nu nog diverse artikelen kunt vinden (allemaal geschreven vanuit het perspectief van die overheid). Ook is er onder Lubbers 4, met Wim Kok als vice-premier en minister van Financiën een begin gemaakt met de privatisering van de staatsbedrijven zoals de Postbank (voorheen Rijkspostspaarbank) die fuseerde met de NMB en verzekeraar Nationale Nederlanden tot de Internationale Nederlanden Groep (naderhand werden Postbank en NMB geïntegreerd), Nederlandse Spoorwegen en de Koninklijke Ptt Nederland; KPN.

... werden onder Rutte vooral grote bedrijven, banken en de fossiele sector aan alle kanten bevoordeeld (naar mijn mening ten koste van de bevolking)...

Dat begon al onder het vierde kabinet Lubbers met Kok op Financiën.
De verdere privatisering van de telefonie-markt, de privatisering van de energiemarkt, met het opsplitsen van de provinciale energiebedrijven en de privatisering van de zorg kwamen dus daarna, voornamelijk onder kabinet Kok-1. Onder Balkenende als laatste ook de kinderopvang geprivatiseerd, waarbij de kinderopvangtoeslag en de toeslagenwet zijn geïntroduceerd, daarna kwamen vervolgens de huurtoeslag en de zorgtoeslag, dat laatste uiteraard weer samen met het nieuwe vercommercialiseerde zorgstelsel, alleen zijn de zorgverzekeringen wel geprivatiseerd, maar de zorgverleners niet, al zijn er wel enkele private zorgverleners die ook goedkoper werken dan de bureaucratische klassieke ziekenhuizen die van de zorgverzekeraars aan absurde administratieve eisen moeten voldoen, maar ook een waterhoofd aan bestuurders hebben.

Maar het ergste is dat de overheid en de universiteiten al minimaal sinds beginjaren 80 bewust te weinig doktoren en specialisten opleiden waardoor er al sinds de helft jaren 80 in de grote steden een tekort is aan huisartsen, wat zich sindsdien naar alle specialismen heeft uitgebreid.

... en begon het grote uitknijpen door middel van hogere belastingen en accijnzen.

Dat begon al onder Kok-1.

Ook weet iedereen dat mensen echt niet voor hun lol elke ochtend en avond in de file staan; mensen wonen namelijk niet vlak bij hun werk.

Als 10% van de automobilisten met het OV zou gaan, dan moet daarvoor de capaciteit van het OV verdubbelen, dus ook alle spoorlijnen. Op sommige plaatsen tussen Dordrecht-Rotterdam-Den Haag-Amsterdam-Utrecht liggen nu 4 sporen, dat moeten er dan dus 8 worden.

OV wordt jaarlijks duurder en verder uitgekleed en in diezelfde spits juist duurder gemaakt dan daarbuiten terwijl mensen juist in die spits uit hun auto "gelokt" moeten worden in plaats van erin gejaagd.

Ik verval misschien in herhaling, maar er zijn veel mensen voor wie het OV geen alternatief is, het komt helemaal niet op de plaatsen waar ze moeten zijn, het komt er wel, maar niet op de de tijden dat ze er moeten werken, bv omdat ze in volcontinue-dienst werken of avond- en weekenddiensten draaien in de zorg, omdat ze in de horeca of de recreatiebranche werken. Vooral buiten de randstad gaat het OV niet frequent genoeg, en als je als ambulante zorgverlener van klant naar klant moet, is het OV meestal ook geen optie. En als het OV wel gaat ben je 2 tot 5 keer zo lang onderweg (gemiddeld 3 keer zo lang), bovendien is het dan vaak overvol en dampend vochtig omdat alle passagiers met natte (regen)kleding instappen. Vandaar dat ik het meestal Openbaar Veevervoer noem.

En ook de fiets is voor dergelijke ambulanten meestal geen alternatief.
Werk je bij iemand een half uur en moet je een kwartier fietsen naar de volgende, dan raak je veel te veel tijd kwijt, en ons stadje is qua inwoneraantal toch niet zo bijzonder groot.

verdroidnogaan2 @Raymond Deen • 7 september 2023 17:17

Op security.nl staat een mooi relaas van Pieter Omzigt over het scannen van burgers.
Quote : " Volgens Omtzigt zijn de technische middelen om veel informatie te verzamelen over burgers de afgelopen jaren enorm geworden. "Daarmee kunnen allerlei instanties, de eigen overheid, vreemde mogendheden maar ook bedrijven en andere niet-statelijke actoren enorme hoeveelheden informatie verzamelen op een relatief eenvoudige manier."
https://www.security.nl/p...maar+burger+steeds+minder

Raymond Deen @verdroidnogaan2 • 8 september 2023 00:13

Niks ten nadele van Peter Omtzigt, maar waar haalt hij die kennis dan vandaan? Is hij ineens expert?
Hij heeft veel betekend voor de politiek, maar dit is gewoon een ongefundeerd stuk waarin hij veel meningen uit.

OverSoft @sympa • 7 september 2023 10:52

Het internet draait grotendeels op privacy. Ondertekenen is maar een extreem klein onderdeel van het internet.

Bedrijfsgeheimen, persoonlijke geheimen, medische data, financieel verkeer zoals handelsinformatie voor de beurs, overheid- en militaire data, vrijwel alle gevoelige informatie kan niet meer betrouwbaar verzonden worden.

Ik durf dan wel te stellen dat het internet kapot is.

goarilla @sympa • 7 september 2023 14:49

Kan je uit dat stukje ondertekening en de publieke sleutel niet de private sleutel ontfutselen ?

sympa @goarilla • 7 september 2023 15:34

Niet als de sleutel lang genoeg is.
Het is juist het idee van public key cryptography dat het maar 1 kant op werkt.

goarilla @sympa • 7 september 2023 16:05

Het is juist het idee van public key cryptography dat het maar 1 kant op werkt.

In een perfecte wereld ja. Maar in de praktijk is het 1 kant makkelijk (grote (priem) getallen vermenigvuldigen) en naar de andere kant heel (astronomisch) moeilijk: factoriseren van enorm grote getallen naar zijn unieke set van priemfactoren. Alleez zo dacht ik toch dat het werkte.

lenwar

@goarilla • 7 september 2023 17:01

Nee. In de praktijk niet.

https://yewtu.be/playlist?list=PLB4D701646DAF0817

Deze playlist legt in heldere taal uit hoe RSA en sleuteluitwisseling werkt.

Raymond Deen @goarilla • 8 september 2023 00:18

Zoek maar eens op hoe asymmetrische encryptie werkt. Die publieke sleutel moet je juist uitdelen zodat je met je privé sleutel ervoor kan zorgen dat je een bericht dmv de publieke sleutel kan ontsleutelen. Bovendien zet elk weldenkend mens op zo’n privé sleutel een fatsoenlijk sterk wachtwoord.

Stoney3K

Verenigd koninkrijk
Encryptie

@sympa • 7 september 2023 19:32

Wanneer een versleuteling gekraakt is dan kun je ook een handtekening vervalsen. Een digitale handtekening is namelijk niets anders dan een versleutelde hash van je bericht.

Encryptie verbieden betekent dat het een Wilde Westen wordt van oplichters en man-in-the-middle attacks.

Een glanspuntje: Kopieerbeveiliging wordt dan ook verboden.

sympa @Stoney3K • 7 september 2023 20:19

Ik heb het niet over verbieden of onmogelijk maken van algoritmes. Maar alleen dat je de digitale ondertekening ook kan hebben als je geen encryptie hebt.

Stoney3K

Verenigd koninkrijk
Encryptie

@sympa • 7 september 2023 20:24

Digitale ondertekening IS encryptie. Wat je versleutelt is alleen niet het bericht wat je verstuurt. Het is dus niet bedoeld om te zorgen dat het bericht alleen bij de juiste ontvanger belandt, maar dat het van de juiste zender af komt.

En zonder versleutelde berichten liggen jouw wachtwoorden op straat omdat iedere dwaas ze van het netwerk kan plukken.

curkey @Sven4president • 7 september 2023 11:04

De bedoeling van encryptie is nou juist, dat zoiets idealiter nooit mogelijk gaat zijn.

lenwar

@Polderviking • 7 september 2023 11:39

Je kan niet verwachten dat een beleidsmaker alle technische ins and outs kent van alles natuurlijk.
Het feit dat iets nu niet bestaat, wil niet zeggen dat het niet ontworpen kan worden.

Even los van glijdende schaal, intentie of überhaupt wenselijkheid dat het gebeurd.

In die specifieke geval (meeluisteren met Messenger-apps), zijn er best wel technische oplossingen te bedenken, waarmee het kan.
Het is prima mogelijk om voort te borduren op het Asynchroneratelbomen-systeem (Asynchronous Ratcheting Trees, dat zoekt makkelijker) systeem voort te borduren. Dit mechanisme verzorgt op dit moment groeps-versleuteling, waar honderden/duizenden mensen een eigen sleutel hebben en dit kunnen uitwisselen zonder dat die sleutel individueel aan alle andere deelnemers uit te wisselen. (Je telefoon zou het niet tof vinden om ieder berichtje 100 keer te moeten versleutelen, en iedere keer als er een deelnemer bij komt of weg gaat, alle sleutels weer rond te bazuinen, met het probleem dat niet iedereen gelijktijdig online is)

Edit: typo

[Reactie gewijzigd door lenwar op 22 juli 2024 14:05]

Leon Straathof @lenwar • 7 september 2023 12:30

Zelfs al zou iets technisch mogelijk worden in de toekomst. Dat betekend meteen dat er actie nodig is om het platform aan te passen zodat het niet meer kan. Maakt niet uit of het een afgedwongen backdoor is of dat quantum computing de huidige encryptie de baas is geworden. De platformen zijn populair en vertrouwd bij een breed publiek mede omdat er niet kan worden meegelezen, indien de platformen dit dus niet meer bieden ongeacht de reden dan is het platform voor veel legitieme gebruikers al geen optie meer. Dus is het zeker geen platform meer waar mensen gebruik van zullen maken die illegale dingen doen en een beetje intelligentie hebben en dit gebruiken om niet gepakt te worden. Ja bij invoering zullen ze wat mensen kunnen pakken maar zodra bekend is dat een platform om welke reden dan ook lek is dan zul je heel snel veel mensen het platform zien verlaten, overigens ook gewoon mensen die vinden dat niemand recht heeft om in welke discussie dan ook mee te kijken al gaat het maar om iets stoms als mijn kat heeft gisteren 3 kittens gekregen.

lenwar

@Leon Straathof • 7 september 2023 13:21

De platformen zijn populair en vertrouwd bij een breed publiek mede omdat er niet kan worden meegelezen, indien de platformen dit dus niet meer bieden ongeacht de reden dan is het platform voor veel legitieme gebruikers al geen optie meer.

Heb je hier een bron van? Niet flauw bedoelt, maar voor zover ik in mijn omgevingen zie, is werkelijk vrijwel niemand daar mee bezig. Op een handjevol principiële techneuten na (waar ik mezelf ook onder schaar) en een handjevol 'personen' die denken dat de overheid hen willen vergiftigen om macht uit te oefenen. (bij wijze van.)
Wat ik vooral zie, is dat men het gebruikt, omdat 'iedereen het gebruikt' en omdat het financieel gratis is.

Kijk naar het verleden. In den beginne was er SMS. Dat kostte geld (best veel zelfs), maar ondanks dat was het best populair toen de tieners eenmaal telefoons kregen. Toen kwam BlackBerry met Ping. In één klap populair. Waarom? Niet omdat het al dan niet versleuteld/veilig was, maar omdat het 'gratis' of in elk geval onbeperkt voor een vast bedrag was.
De telecomboeren zagen het SMS-verkeer exploderen van de 'niet-Blackberry-gebruikers'. Retepopulair werd het. Ze hadden allerlei Sms-bundels (zoveel SMS'jes voor zoveel gulden/euro). Toen ze daar mee klaar waren om het groots te implementeren, kwam WhatsApp. Iedereen stapte over op WhatsApp. Waarom? Omdat het financieel gratis (dan wel heel goedkoop) was en simpel in gebruik. Pas later kwam de E2EE. (pas toen vrijwel niemand meer veelvuldig sms'te kreeg je de 'onbeperkt SMS'en'-bundels. Ze hadden tenslotte een walgelijke capaciteit aangekocht die nooit meer gebruikt zou worden)

Als mensen het echt belangrijk zouden vinden, dat er niemand mee kan lezen/kijken/luisteren met hun dagelijkse gedrag, dan zouden Alphabet, Meta, ByteDance en X Corp geen extreem populaire producten hebben. Het omgekeerde is in de praktijk raar. (het lijstje van mijn voorbeelden is uiteraard zeer incompleet)

Maar even ter volledigheid: Ik vind het een compleet onwenselijke situatie. Ik heb ook oprecht vraagtekens bij het daadwerkelijk beoogde effect ervan. Maar mijn reactie was op het feit dat het technisch prima mogelijk moet zijn om dit te kunnen bouwen, zonder dat je een soort een moedersleutel hebt die makkelijk gestolen kan worden.

Raymond Deen @lenwar • 8 september 2023 00:27

Dan nog; elk bericht moet dan door de aanbieder ontsleuteld worden, geanalyseerd en opnieuw versleuteld voor het doorsturen.
Door de gigantische hoeveelheid berichten is dat gewoon onmogelijk centraal te doen en moet je wel voor decentraal gaan.
Maar dan krijg je weer een ongelooflijke stroom aan hashes die verstuurd, opgeslagen en verheleken moeten worden.
Data verbruik, stroomverbruik en reactietijd bij versturen en ontvangen van berichten lopen dan op.

Maurits van Baerle

Verenigd koninkrijk

@Polderviking • 7 september 2023 10:34

Ik heb het debat gisteren niet gevolgd maar het is goed mogelijk dat er in het voorstel dat door de regering is geschreven er geen eis aan haalbaarheid stond maar dat er dus ter elfder ure door het parlement een amendement aangenomen is om die haalbaarheidseis toe te voegen. Dat hoeft dus niet in het oorspronkelijke plan zo bedacht te zijn.

w0rkw0rk @Polderviking • 7 september 2023 11:50

Ik denk dat je het voortschrijdend inzicht en intelligentie van politici een beetje overschat, met name op IT gebied.

Het is overigens natuurlijk belachelijk dat we dit allemaal maar accepteren dat de overheid overal in mee mag kijken.

lenwar

@w0rkw0rk • 7 september 2023 13:40

Het is overigens natuurlijk belachelijk dat we dit allemaal maar accepteren dat de overheid overal in mee mag kijken.

Is dat in de praktijk belachelijker dat we allemaal maar accepteren dat commerciële bedrijven overal in mee mogen kijken? Sterker nog. Dat we er dan maar actief aan meewerken? (kijk naar hoeveel gebruikers de producten van bijvoorbeeld Alphabet, Meta, ByteDance en X Corp hebben)

goarilla @lenwar • 7 september 2023 14:51

Als burgers genoeg brood en spelen hebben maken de ophangingen in het midden van de markt niet zo veel meer uit.

jdh009 7 september 2023 10:21

Ik vind dat de term 'technisch mogelijk' nogal breed geformuleerd is, gezien het feit dat software in principe de mogelijkheid biedt om vrijwel alles te creëren. In theorie zou je dus kunnen stellen dat het altijd technisch mogelijk is om zaken te scannen. De essentiële vraag die echter al vanaf het begin beantwoord had moeten worden, is of dit wenselijk is en wat we ze bereid zijn op te geven in ruil voor dergelijke mogelijkheden. Het is opmerkelijk dat deze kwestie nu pas aan het licht komt bij de beleidmakers, terwijl dit scenario van tevoren al door velen werd voorspeld...

Edit: typo w=z

[Reactie gewijzigd door jdh009 op 22 juli 2024 14:05]

Alxndr

@jdh009 • 7 september 2023 11:47

Software om te 'brute-forcen' bestaan natuurlijk al lang, maar het is gewoon een simpele rekensom: aantal mogelijkheden : aantal mogelijkheden wat je per seconde kunt proberen

Met goede encryptie duurt brute forcen langer dan dat het universum oud is of nog zal bestaan = praktisch onmogelijk. Leuk dat het in theorie kan, maar daar heb je niets aan.

Maar de vraag is inderdaad hoeveel tijd, geld en moeite wil je aan KP bestrijding uitgeven. Volgens mij is het gewoon net zo kansloos als de War on Drugs die de laatste 50 jaar al Amerika al een biljoen heeft gekost.

Helaas zal het me niet verbazen als het dezelfde kant op gaat aangezien de meerderheid van de politici realiteitszins (en gezondverstand) lijken te missen.

Nu de nuchtere feiten aan bod komen blijkt dat politici jarenlang de kinderporno-kaart speelden maar dit helemaal niet konden onderbouwen. Slechte zaak voor de betrouwbaarheid van politici, want wanneer ze het nu over veiligheid hebben, is het dan 'weer' bangmakerij of zijn er dan écht mensenlevens in het geding?
Het resultaat is dus een wassen neus zodat politici geen gezichtsverlies oplopen. Een loose-loose situatie, want het recht op integere communicatie staat nog steeds op losse schroeven, politici willen nog steeds overal inzage en big tech is miljoenen kwijt aan procederen, voorlichten en lobby werk.

Ik zie vaak genoeg dat als er kinderporno wordt gevonden dat de gebruikers meerdere harde schijven vol met die troep hebben. Ik geloof dan ook niet dat verspreiding tegengaan sowieso de beste methode van bestrijden is. Het is veel belangrijker om dat spul bij de bron aan te pakken. Zet een paar digitale mollen in, en probeer op die manier de daders te vinden. En zorg potverdikkie eens voor betere jeugdzorg. Zonder dat soort maatregelen zie ik het als symptoombestrijding. En de bijvangst is veel te hoog.

[Reactie gewijzigd door uiltje op 22 juli 2024 14:05]

Stetsed 7 september 2023 10:17

Het probleem dat ik zie is dat zodra deze wet in de wetboek staat, het veel simpler is voor de overheid om dan sancties toe te voegen met een amendment of toevoeging tot the wet/nieuwe wet. Dus voor nu is hij dan well dood, maar het is all gevaarlijk genoeg dat hij in het wetboek staat.

FrostyPeet 7 september 2023 10:40

Juich niet te snel. "postponing measures that critics say threaten users’ privacy". Let op de woordspelletjes.

Dus: wij, de UK, probeert toch geen achterdeurtje te vinden, dan wordt de wet weer ingediend. Als er één land is dat in het verleden bewezen heeft alles en iedereen te willen aftappen, decoderen en monitoren dan is het wel de UK. Ze hebben b.v. zo'n beetje op elke hoek in London een camera hangen, de aftapinstallatie van een van de MI diensten is zelfs op kilometers afstand te zien, en zelfs de roddelpers schrikt(e) niet terug om b.v. telefoonbeantwoorders te hacken op jacht naar scoops. Op YT kan je nog een leuk videotje vinden over post war kraken van de Britten.

Pinkys Brain 7 september 2023 10:59

Met client side scannen heeft overheid geen sleutels, hash database is redelijk onafhankelijk en je kan het Apple idee gebruiken om de database van meerdere landen gebruiken.

Dit is overduidelijk een prelude op client scannen, eerst de wereld bang maken met het opeisen van sleutels en dan doen of massa surveillance in de client een redelijk alternatief is ... Apple heeft niet geholpen door het balletje op te werpen.

beerse 7 september 2023 11:23

Misschien is deze wet die nu technisch niet praktisch haalbaar is wel een opstapje (breekijzer) om het doorbreken van die versleuteling te blijven proberen. Zolang er voor een overheid geen reden is om de versleuteling te doorbreken is het immers vreemd dat er wel wordt gewerkt aan het doorbreken van de versleuteling. En met een wet die aangeeft dat het kan/mag/(moet?) is er een reden om het in ieder geval te blijven proberen.

Een vervolg stap is ook dat zodra er op een creatieve manier wel door de versleuteling heen wordt gebroken, dat er in ieder geval een handvat is waarmee het mag. Dat het gezeur dan in ieder geval kan worden beantwoord.

Maar naar mijn idee wordt in dit soort gevallen misbruik gemaakt van kindermisbruik. Blijkbaar is er geen andere (universeel) ongewenst gedrag.

kodak

Privacy

7 september 2023 11:34

met technologie die aantoonbaar aan de minimale standaarden van nauwkeurigheid voldoet

Welke standaarden van nauwkeurigheid zijn er volgens de wetgever? Want de meeste technologie die scant lijkt gebaseerd op beste bedoelingen in plaats van officiele standaarden.

en enkel scant op kindermisbruikmateriaal

Dat lijkt me alleen kunnen als er geen andere content is. Het scannen is namelijk zowel het selecteren van content, het controleren van de geselecteerde content en het resultaat van de controle. Als je niet weet wat je aan het scannen bent scan je niet alleen op bepaalde content. Als je resultaat hebt van de controle dan zegt dat ook of het niet aan de content voldoet.

Op dit item kan niet meer gereageerd worden.

Britse encryptiewet wordt niet gehandhaafd omdat 'encryptie scannen niet kan'

Lees meer

IT-banen

Reacties (121)

Sorteer op:

Weergave: