EHRM: achterdeur in Telegram is schending van mensenrechten

Het Europese Hof voor de Rechten van de Mens (EHRM) oordeelt dat een verplichte achterdeur in de versleuteling van berichtenapps mensenrechten schendt. De Russische overheid probeerde eerder om zo’n achterdeur in Telegram te verplichten.

In 2017 probeerden de Russische inlichtingendiensten om Telegram te verplichten om toegang te verlenen tot gesprekken van zes gebruikers die beschuldigd werden van terroristische activiteiten. Telegram weigerde dat te doen, omdat het dan een achterdeur zou moeten toevoegen die encryptie zwakker zou maken voor alle gebruikers. Rusland probeerde het bedrijf vervolgens onder druk te zetten, onder andere door een boete uit te schrijven en de app in het land tijdelijk te blokkeren.

Volgens de Russische wet moeten berichtenapps zoals Telegram communicatie van gebruikers zes maanden bewaren. Voor metadata geldt een periode van een jaar. Indien Russische wethandhavers dat verzoeken, moeten apps sleutels aan de overheid geven die toegang verlenen tot gesprekken.

Een Russische gebruiker was het niet eens met de acties van de Russische overheid en stapte naar het EHRM. Hoewel Rusland sinds september 2022 geen deel meer uitmaakt van het Europees Verdrag voor de Rechten van de Mens, vond het EHRM dat het nog altijd kan oordelen over de zaak omdat de wet al langer bestaat. De aanklager beweerde dat de wet Rusland in staat zou stellen om toegang te krijgen tot alle versleutelde berichten op de app, waardoor de privacy van alle gebruikers in gevaar zou komen.

In een vonnis geeft het EHRM de gebruiker nu gelijk. De rechtbank oordeelde dat de wet artikel 8 van het Europees Verdrag voor de Rechten van de Mens schendt. De wet zou het voor de Russische overheid mogelijk maken om zonder enige reden toegang te krijgen tot conversaties van alle gebruikers. In Rusland is immers geen gerechtelijke toestemming meer nodig om zo’n achterdeur te gebruiken.

Volgens het EHRM zorgt het er ook voor dat alle gebruikers worden blootgesteld aan meer risico's, ook als zij niet worden onderzocht. Zo'n achterdeur zou er immers voor zorgen dat de encryptie voor alle gebruikers wordt verzwakt. Dat is volgens het Hof niet proportioneel tot het beoogde doel.

IT-banen

Reacties (72)

atthias 15 februari 2024 15:41

mooi voor precedentenwerking in de EU ook al heeft men er in rusland niks meer aan

Nieknikey @atthias • 15 februari 2024 15:57

Dit verdrag werkt veel breder dan de EU: het heeft werking in alle staten die lid zijn van de Raad van Europa. De Raad van Europa kent 46 leden, de EU slechts 27.

WillySis @Nieknikey • 15 februari 2024 18:59

Rusland negeert de uitspraak waarschijnlijk toch, maar voor de Europese landen is dit een belangrijke uitspraak. Er zijn al diverse landen die de wens hebben geuit om een verplicht achterdeurtje in diverse chat-programma's. Die kunnen dus gelijk stoppen met de uitwerking daarvan.

Heel veel gaat zo'n achterdeurtje toch niet helpen. Als dat er eenmaal is schakelen de mensen die berichten versturen die niet door politie of veiligheidsdiensten gelezen mogen worden over naar een ander (eigen) systeem wat maling heeft aan de verplichte achterdeurtjes.

Wat de Nederlandse politie heeft gedaan met het hacken van een systeem met crypto-telefoons is veel effectiever.

MSalters

Politiek en recht

@Nieknikey • 15 februari 2024 16:54

Alsnog, het heeft precedentwerking in de EU omdat de EU expliciet de RvE erkent als rechtsbron. Deze uitspraak is daardoor jurisprudentie voor het Hof van Justitie van de EU (Luxemburg). En dát Hof heeft veel meer feitelijke macht.

Aldy @MSalters • 16 februari 2024 15:43

En dát Hof heeft veel meer feitelijke macht.

Maar toch alleen binnen de EU?
Ik vraag mij af of al die wetten in Nederland nog wel te handhaven zijn door zo'n uitspraak. Ik denk hierbij aan die sleepnetwet, zonder dat er vooraf controle plaatsvindt.

dimdek @Nieknikey • 16 februari 2024 10:43

Gaat de EU zich nu ook uitspreken over Amerikaanse backdoors en de Britse overheid in de apps wil hebben?

mjtdevries @dimdek • 16 februari 2024 12:48

EHRM, niet EU. Dat zijn twee totaal verschillende organisaties.

dimdek @mjtdevries • 16 februari 2024 17:19

Ik begrijp dat het om meer landen gaat dan alleen de EU lidstaten, maar mijn punt is dat ze zich nu uitlaten over mensenrechtenschennis als Rusland een backdoor laat inbouwen terwijl Amerika dat al eerder aantoonbaar heeft gedaan en het Verenigd Koninkrijk dat ook wil (volgens mij zelfs ook de Nederlandse overheid). Ik vraag me dan of of het een propaganda-actie is of dat er een wezenlijk verschil is tussen een russische, amerikaanse of britse backdoor als het om mensenrechten gaat.

mjtdevries @dimdek • 16 februari 2024 19:01

Het verschil staat in het artikel:

Een Russische gebruiker was het niet eens met de acties van de Russische overheid en stapte naar het EHRM.

Blijkbaar zijn er vanuit het VK en de VS geen mensen naar het EHRM gegaan.

Voor het VK zijn er tot nu toe alleen wensen van ministers maar geen concrete plannen, dus waarschijnlijk ook te vroeg om naar het EHRM te gaan.

dimdek @mjtdevries • 17 februari 2024 12:36

Ah, helder. Maar ik denk dat elke klacht vanuit de VS, het VK (in de toekomst) of Nederland (want ik begreep dat ook de Nederlandse overheid wensen heeft op dat gebied) nu met jurisprudentie gegrond verklaard kan worden. Dat is best ingrijpend voor de discussie rondom backdoors, lijkt me.

atthias @Nieknikey • 15 februari 2024 16:00

bedankt voor de informatie dat wist ik niet

3raser @atthias • 15 februari 2024 16:59

In Rusland is immers geen gerechtelijke toestemming meer nodig om zo’n achterdeur te gebruiken.

Ik vraag me af hoe dit in Nederland geregeld zou worden. Zou de AIVD ongelimiteerd toegang krijgen of moeten ze per zaak gerechtelijk toestemming hebben?

atthias @3raser • 15 februari 2024 18:11

in NL moet er van te voren toestemming zijn van een club waarvan ik de naam kwijt ben helaas hebben de AIVD/MIVD daar lak aan en word dat geregeld vergeten

als ik me de laatste stand van zaken goed herinner tenminste want ik weet nog dat er discussie was over afschaffen van die of een andere controleur

kars noordhuis @atthias • 15 februari 2024 18:35

Ik geloof ook dat ze die toetsingscommissie uit de loop willen halen/hebben gehaald. Yay.

atthias @kars noordhuis • 15 februari 2024 19:23

yay indeed

BeosBeing @atthias • 16 februari 2024 12:17

mooi voor precedentenwerking in de EU ook al heeft men er in rusland niks meer aan

Voor alle duidelijkheid, de titel van het artikel suggereert dat er in Telegram al een achterdeurs zit, het artikel schrijft dat niet.

Als Rusland inderdaad aan de verplichting vasthoudt, dan zijn er voor Telegram twee opties.
1) alsnog een achterdeurtje inbrengen en zo legaal blijven in Rusland, maar hierdoor raken ze dus de EU (en meer) kwijt
2) geen achterdeurtje inbrengen en verboden worden in Rusland maar wel in Europa aktief blijven.

Wat nog interessanter is, echter is wat deze uitspraak zal hebben op andere landen (ik denk aan de UK waar sommige politici al eens om zo'n achterdeur geroepen hebben), de rest van de wereld en daarin vooral de andere Angelsaksische landen: USA, Canada, Australië, Nieuw-Zeeland, ...

Stev 15 februari 2024 15:56

Ik ben benieuwd naar de uitspraak van het EHRM over de door de EU gewenste client-side scanning die ze de chat apps verplicht willen gaan stellen.

david-v

@Stev • 15 februari 2024 16:14

Als het cliëntside is, wat is het bezwaar? Ik ben niet voor of tegen, maar ik kan pas oordelen als ik meer input heb

The Zep Man

Encryptie
Politiek en recht

@david-v • 15 februari 2024 16:18

Als het cliëntside is, wat is het bezwaar?

Dat een ander niets te zoeken heeft in mijn huis, systemen en informatiebronnen. Kom als overheid maar met een gerechtelijk bevel voor het gebruik van mijn rekencapaciteit en elektriciteit.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:15]

MSalters

Politiek en recht

@The Zep Man • 15 februari 2024 17:00

Gerechtelijk bevel? De verplichting tot client-side scanning zou een verplichting van rechtswege worden. Je hebt ook geen gerechtelijk bevel nodig om rechts te moeten houden op de weg; sommige dingen zijn zonder meer verplicht. Of nauwer verwant, de poortwachter functie onder de DSA - Google moet ook rekencapacaciteit en elektriciteit inzetten zonder concrete rechterlijke bevelen.

Nee, als je het er niet mee eens bent, dan moet je bij de politiek zijn en niet de rechters.

The Zep Man

Encryptie
Politiek en recht

@MSalters • 15 februari 2024 18:31

Dus met mijn post geef ik aan dat ik het daar niet mee eens ben, en ik de voorkeur heb voor een situatie waarin er geen verplichting is tot client-side scannen.

Verder ben ik geen politicus. Ik ben een techneut. Mijzelf kan ik beschermen tegen zulke belachelijke maatregelen. Het wordt dan alleen rekening houden met dat client-side scanning bij anderen wordt toegepast, dus een effectief einde aan E2EE via silogebaseerde diensten en in gesloten besturingssystemen. AOSP+Matrix dus uitgezonderd.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:15]

Verwijderd @The Zep Man • 15 februari 2024 17:22

The Zep Man schreef:

Dat een ander niets te zoeken heeft in mijn huis, systemen en informatiebronnen. Kom als overheid maar met een gerechtelijk bevel voor het gebruik van mijn rekencapaciteit en elektriciteit.

Er zijn mensen die "privacy" geen absoluut recht vinden. Daarmee zou het een zwak argument kunnen zijn.

Ik ken een heleboel argumenten tegen CSS, met als belangrijkste dat we nu al veel te weinig mensen (politie en anderen) hebben om daadwerkelijke kindermisbruikers op te sporen en ervoor zorgen dat zij daarmee stoppen.

In dat licht vind ik het krankzinnig om daar capaciteit aan te onttrekken, niet om producenten van nieuw CSAM (Child Sexual Abuse Material) op te sporen en/of te ontmoedigen, maar om uitsluitend delers van bestaand (eerder als zodanig herkend) CSAM op te sporen en daar vervolgens whatever mee te doen.

Nb. net zoals niet elke hardepornokijker een verkrachter wordt, en niet elke geweldsgamer een moordenaar, geloof ik ook niet dat elke kinderpornokijker, laat staan -deler (ongeacht hoe verwerpelijk je zulk gedrag ook vindt) een kindermisbruiker wordt.

Los van de vele andere nadelen is CSS sowieso symptoombestrijding.

The Zep Man

Encryptie
Politiek en recht

@Verwijderd • 15 februari 2024 18:34

Er zijn mensen die "privacy" geen absoluut recht vinden. Daarmee zou het een zwak argument kunnen zijn.

Met die mensen heb ik niets te maken. Iedereen heeft recht op een eigen mening, of ik die nu belachelijk vind of niet.

david-v

@The Zep Man • 15 februari 2024 16:29

Goed punt, zo had ik het nog niet berenedeerd. Dank je wel, dit is waar ik naar op zoek ben

downtime @david-v • 15 februari 2024 16:55

Zou jij een werkster aannemen als zij in het sollicitatiegesprek al vertelt dat ze meteen naar de politie stapt als zij iets in jouw huis vindt wat (volgens haar) niet door de beugel kan? Ik niet.
Ik kijk ook zo tegen client side scanning aan. Ik koop geen apparaat wat mij in serieuze problemen kan brengen als ik, bewust of per ongeluk, een fout heb gemaakt. Ik wil juist dat dat apparaat mij waarschuwt voor die fout en zo voorkomt dat ik in de problemen kom.

Azara @Stev • 18 februari 2024 14:29

Dat is een zijdeur

in plaats van achterdeur, maar creert een soortgelijk probleem als de achterdeur. Verschil is wel dat er niet direct toegang is tot alle communicatie, maar 1 bericht of een paar berichten. Op zich is het zeker wel mogelijk die side-scanning aan te passen zodat die toegang tot meer en meer berichten geeft dan alleen de oorspronkelijke kinderporno doelen.
Ik ga er vanuit de overheden het dus zeker zullen blijven proberen.

Boy 15 februari 2024 16:06

Even voor de duidelijkheid voor mij:

Telegram is niet encrypted, toch? Of gaat dit alleen over dat het verzenden en ontvangen de data niet E2EE is? Hoe is de encryptie dan gerergeld? Is deze sleutel dan opgeslagen op de server bij de gebruiker en kan ik daarom gewoon overal inloggen en al m'n berichten zien?

Omdat altijd werd gezegd "het is niet encrypted" had ik eigenlijk gedacht dat overheden vrij makkelijk toegang kregen tot deze data, maar dat valt dus wel mee?

david-v

@Boy • 15 februari 2024 16:24

Telegram is niet e2e encrypted standaard. Alleen bij één op één gesprekken kan je e2e handmatig aanzetten, en dat moet je dan elke keer doen.

Echter, je kan de berichten niet zomaar lezen, want telegram heeft wel de sleutel om de berichten te decrypten. Dus daar zou je al iets kunnen doen om een backdoor te realiseren, os telegram kan je toegang geven om de berichten te lezen, wat in e2e onmogelijk is mits het geen backdoors heeft.

Maar...ook bij e2e encryptie kan telegram een backdoor inbouwen, aangezien de code niet opensource is. Je moet ze dan op hun blauwe ogen geloven dat ze dat niet doen is gedaan hebben. Daarnaast is de e2e encryptie van telegram een zelf gemaakte encryptie protocol en die scoort niet echt heel goed, maar het feit dat het niet opensource is.

[Reactie gewijzigd door david-v op 22 juli 2024 17:15]

Grimm @david-v • 15 februari 2024 16:42

Maar...ook bij e2e encryptie kan telegram een backdoor inbouwen, aangezien de code niet opensource is.

O nee? En wat is dit dan?

https://github.com/telegramdesktop/tdesktop

De e2e encryptie vindt plaats in de client, die dus open source is.

david-v

@Grimm • 15 februari 2024 17:16

Ah, wist ik niet, I strand corrected

, bedankt

janmetdepet123 @Boy • 15 februari 2024 16:21

Je hebt in Telegram 2 manieren op te communiceren.

1: Normale modus
Data is encrypted tussen client en Telgram server.
Het voordeel hiervan zijn de features die Telegram aankan bieden zoals de enorm goede Windows client. Er is geen communicatie nodig met de telefoon zoals bij de Whatsapp client.

2: Secret chats
Deze chats zijn wel end-to-end encrypted. Daarom heeft deze methode minder features, zoals leesbaarheid in de Windows client.

Welke encryptie en hoe sterk is deze? Ik ben niet helemaal meer up-to-date maar de laatste keer dat ik er iets van vernam is dat dit een door Telegram gemaakt/aangepast encryptie protocol is. Hier kan je dus vraagtekens bij zetten als je je berichten extreem geheim acht.

Voor mij is en blijft Telegram het sterkste communicatiemiddel van alle. Whatsapp jaren geleden al de deur uit gedaan (ergens kort nadat Facebok het overnam. Need I say more?)
Je hebt zelf de keus in niveau van encryptie en dus features. Dat je het nooit waterdicht kan noemen, maakt mij niet uit. ZO geheim zijn mijn chats nou ook weer niet. Als de dat wel zijn, dan zou ik dat sowieso nooit door een 3rd party dienst laten afhandelen. Daarnaast; Al je data staat unencrypted in je client(wanneer deze open staat). Mocht een Telegram, Whatsapp, Signal, etc je data willen zien of moeten laten zien, dan kunnen zij simpelweg een backdoor in de app/client maken. De encryptie van het netwerk verkeer doet er niet toe.

Boy @janmetdepet123 • 19 februari 2024 10:33

Ik ben bekend met de secret chats en ik deel je mening ook.

Ik heb ook een aantal jaren geleden WhatsApp verwijderd vanwege FB, aangezien ik me hypocriet voelde om WA te gebruiken met wel FB te verbannen. Blijft wel nog altijd een flink gespreksonderwerp om je te verantwoorden.

Jerie

15 februari 2024 15:41

Indien Russische wethandhavers dat verzoeken, moeten apps sleutels aan de overheid geven die toegang verlenen tot gesprekken.

Rusland is een criminal enterprise in disguise. Als je Russische wethandhavers toegang geeft tot versleutelde berichten, dan geef je defacto een criminele overheid toegang tot versleutelde berichten. Wat ook blijkt uit:

De wet zou het voor de Russische overheid mogelijk maken om zonder enige reden toegang te krijgen tot conversaties van alle gebruikers. In Rusland is immers geen gerechtelijke toestemming meer nodig om zo’n achterdeur te gebruiken.

Het enige dat ik in deze post niet bewijs is dat de Russische overheid crimineel is. Maar dat is authentiek; uitgebreid gedocumenteerd in diverse boeken en documentaires.

Het goede nieuws is: Telegram zit inmiddels niet meer in Rusland. Het slechte nieuws is dat ze in Dubai zitten ipv in het vrije Westen.

litebyte @Jerie • 15 februari 2024 17:16

Het weerhoud rusland op geen enkele manier om personen (tegenstanders) onder druk te zetten (bedreigen), te vergiftigen danwel te vermoorden in het buitenland.

Dubai is totaal geen garantie dat eigenaren/ontwikkelaars Telegram niet onder druk worden gezet om mee te werken door wel een backdoor in te bouwen

OLED @Jerie • 15 februari 2024 15:52

“ Het slechte nieuws is dat ze in Dubai zitten ipv in het vrije Westen.”

Dat is op advies van Edward Snowden en Julian Assange.

david-v

@OLED • 15 februari 2024 16:27

/sarcasm on

Dubai, ja dat is een land waar je wel veilig je zaken kan doen en zich niet onder druk laat zetten door wie dan ook...

Om maar niet te spreken over de mensenrechten aldaar, maar goed, dat is in veel landen al een ding.

Edit:eerste paragraaf wat duidelijker aangeven dat het sarcastisch bedoeld is.

[Reactie gewijzigd door david-v op 22 juli 2024 17:15]

downtime @david-v • 15 februari 2024 16:46

Dubai, ja dat is een land waar je wel veilig je zaken kan doen en zich niet over druk laat zetten door wie dan ook...

Dat dacht Taghi ook. Toch werd ie aan Nederland overgedragen terwijl er niet eens een uitleveringsverdrag is. Er is daar ook geen rechter die daar wat van vindt.

MSalters

Politiek en recht

@downtime • 15 februari 2024 17:08

Waarom zou er een rechter iets van moeten vinden? Zonder verdrag gaat de uitlevering op ad-hoc basis. Er is geen enkele regel vastgelegd, dus dan kun je ook die regels niet overtreden bij uitlevering. Taghi kan dan alleen een beroep doen op universele mensenrechten (niet gemarteld worden bij de uitlevering etc). Een beroep op EHRM regels bij de uitlevering wordt moeilijk, want Dubai is geen EHRM lid.

En Dubai heeft gewoon het recht om ongewenste Nederlanders uit te zetten naar Nederland. Wij accepteren (zoals internationaal gebruikelijk) onze eigen criminelen, voor of na een eventuele veroordeling.

david-v

@downtime • 15 februari 2024 17:17

Het was ook sarcastisch bedoeld

cariolive23 @downtime • 15 februari 2024 17:30

Toch werd ie aan Nederland overgedragen terwijl er niet eens een uitleveringsverdrag is.

En waarom zou een verdachte dan ineens niet meer mogen worden uitgeleverd? Zonder verdrag kost het meer tijd, maar er is geen enkele wet die een verdrag eist.

Er is daar ook geen rechter die daar wat van vindt.

Dan ben je wel heel slecht op de hoogte, hij is het land uitgezet en retour afzender gegaan vanwege het vervalste paspoort dat hij heeft gebruikt. En dat was een Nederlands paspoort. Daar komt helemaal geen rechter aan te pas.

Zou hij via Italië en met een vervalst Italiaans paspoort naar Dubai zijn gereisd, hadden ze hem daar naar toe gestuurd. En zou hij daar zijn opgepakt en met uitleveringsverdrag in de hand, zijn uitgeleverd aan Nederland.

demokert @OLED • 15 februari 2024 15:54

Wat is dan het het voor en nadeel van in Dubai zitten?

Jerie

@OLED • 15 februari 2024 16:05

Dacht ik al dat ik dit soort reactie zou krijgen. Heb je begrepen dat deze uitspraak voor heel EU en vrijwel heel Europa geldt? Dus bijvoorbeeld ook voor het Letse MicroTik, of voor het Zwitserse Threema? Daarnaast, Julian Assange is een speelbal geweest van de GRU, en Edward Snowden zit momenteel in het vrije Osten.

litebyte @Jerie • 15 februari 2024 17:21

Snowden is in rusland.

Jerie

@litebyte • 15 februari 2024 17:48

Ofwel (de overblijfselen van) het vrije Osten. De meneer aan het roer aldaar is z'n carrière in de DDR begonnen

Rzarect0r @Jerie • 15 februari 2024 15:52

Het slechte nieuws is dat ze in Dubai zitten ipv in het vrije Westen

En dan verplicht een CIA achterdeur

[Reactie gewijzigd door Rzarect0r op 22 juli 2024 17:15]

MSalters

Politiek en recht

15 februari 2024 15:45

Juridische haarkloverij. Is Rusland maakt de uitspraak niets uit (want geen lid), en buiten Rusland maakt de uitspraak ook niet uit (want onafhankelijke rechters).

Dat is niet helemaal toeval: de onafhankelijkheid van Russische rechters was een langer bestaand probleem met het Russische EHRM lidmaatschap. Het zou het EHRM sieren indien ze ook Polen en Hongarije kritisch zouden beoordelen.

kodak @MSalters • 15 februari 2024 16:34

Hebben die landen dan verplichtingen voor achterdeuren in persoonlijke communicatiemiddelen? Want dat is waar de uitspraak om gaat.
Je lijkt er anders vooral een discussie van te willen maken om over het ERHM te klagen.

MSalters

Politiek en recht

@kodak • 15 februari 2024 16:48

Dat is nog verdere haarkloverij. Als er geen tap-verplichting is met controle door onafhankelijke rechters, dan hoef je niet verder na te denken of de rechters wel onafhankelijk zijn.

kodak @MSalters • 15 februari 2024 17:34

Kun je gewoon antwoord geven op de vraag die je kreeg? Ik stel niet wat jij nu suggereert. Ik vraag je of de landen waar je een uitspraak over wil een soortgelijke verplichting hebben als waar dit vonnis over gaat. Omdat je anders maar lukraak lijkt te klagen dat het EHRM niet doet wat jij wil. Want je kan niet zomaar een willekeurige uitspraak willen alsof dat relevant is, laat staan alsof dat bewijst dat je algemene klacht daarmee gegrond is.

Ik vind het overigens niet gepast dat je een kritische vraag verdraait om op een door jou verzonnen negatieve suggestie zogenaamd antwoord te geven. Dat de kritiek je niet bevalt is prima, maar je kan dan wel vragen verwachten om het er over te hebben dat je stelling mogelijk rammelt.

Verwijderd 15 februari 2024 15:42

Na deze uitspraak van het Europees Hof voor de Rechten van de Mens suggereert Europarlementariër Patrick Breyer dat dit het einde van de EC-plannen voor CSS (Client Side Scanning) zou kunnen betekenen.

Ik denk echter van niet, maar ik ben benieuwd hoe Arnoud Engelfriet hierover denkt.

87Dave @Verwijderd • 15 februari 2024 23:06

Doorbreken encryptie mag nu duidelijk niet omdat het te veel schade toebrengt aan de volledige bevolking om een paar criminelen te pakken.

Op zich kan het argument wel een stuk doorgetrokken worden. Het is nog geen directe uitspraak, maar stelt wel een precedent van hoe je kan denken.

Om client side te scannen, moet je client side wat installeren. Dat moet dan naar de gebruiker toe een black box zijn die door de beveiliging van het systeem kan gaan om om te kunnen werken. Het moet bijvoorbeeld een dataset kunnen binnenhalen of het scan algoritme up te daten. En naar huis bellen om een 'positief' scan resultaat te melden.
Dat zorgt er ook voor dat de volledige bevolking security schade lijdt om er een paar te pakken. Om naar huis te bellen, moeten firewalls het al niet kunnen blokkeren. En ook je DNS configuratie moet je kwijtspelen omdat het ook dat nodig kan hebben.
Een black box waar je niets aan kunt doen, draaien is altijd een risico. Als er een kwetsbaarheid in een niet blokkeerbare black box zit, is de device security compleet omzeilt.

Er zal op het device ook performance schade zijn want er gaan altijd resources nodig zijn. De impact van een typische virus scanner is niet zo slecht als analoog voorbeeld en die is niet triviaal. Zeker omdat men bij de EU een meer slimmere scan lijkt te willen die in essentie beeldherkenning doet.

En dan zijn er ook nog de vals positieven. Hopelijk heel weinig, maar met een beeldherkenning zal het toch soms verkeerd lopen. En dat heeft dan een zware impact op onschuldige burgers.

Er zijn ook nog andere legitieme belangen die geschonden worden. Zo is er bijvoorbeeld de patiënt-dokter relatie waar die systemen ook zouden meekijken. En ook in client-advocaat relaties zit men er mee.

De eigen EU Data Protection Supervisor zegt dan ook nog eens recent dat het een slecht idee is om heel wat redenen. Ik kan me niet echt inbeelden dat op basis van al dat, het ECHR het zou toelaten.

Verwijderd @87Dave • 16 februari 2024 01:47

87Dave schreef:

Doorbreken encryptie mag nu duidelijk niet omdat het te veel schade toebrengt aan de volledige bevolking om een paar criminelen te pakken.

Je hebt gelijk.

Maar dat argument, en dat van de Tweede Kamer, wordt keer op keer van tafel geveegd. Ik herhaal uit deze reactie:
-----
Bijvoorbeeld uit de brief van de minister van J&V van 28 juni aan de Tweede Kamer (PDF):

Het opleggen van een detectiebevel, waarbij beeldmateriaal van individuele burgers in de privésfeer wordt gescand, heeft grote gevolgen voor fundamentele grondrechten, waaronder de bescherming van de persoonlijke levenssfeer en het communicatiegeheim.

Echter, tegen de achtergrond van de duizelingwekkende aantallen waarmee online beeldmateriaal van seksueel kindermisbruik rondgaat, zijn extra maatregelen tegen het misbruik van bepaalde diensten voor de verspreiding van dit beeldmateriaal hard nodig, juist ook om de grondrechten van kinderen te beschermen.

-----
Ook met de andere argumenten die je noemt ga je mensen met zulke standpunten (en een mogelijk dubbele agenda, zoals opsporing niet beperken tot CSAM) niet van gedachten doen veranderen (ook niet als je jouw argument blijft herhalen; dat doet de tegenpartij namelijk ook).

Er zijn echter veel meer argumenten tegen CSS, met als waarschijnlijk belangrijkste dat je (reeds veel te krappe) opsporingscapaciteit verplaats van concreet kindermisbruik naar mensen die CSAM delen (elders op deze pagina beschreven in meer woorden).

Eerder schreef ik daar veel uitgebreidere stukken over, ondermeer hier, hier en meerdere reacties in deze pagina.

87Dave eindigde met:

De eigen EU Data Protection Supervisor zegt dan ook nog eens recent dat het een slecht idee is om heel wat redenen. Ik kan me niet echt inbeelden dat op basis van al dat, het ECHR het zou toelaten.

Gisteren (15 feb) was er recenter nieuws van de Europese privacytoezichthouders, maar ik verwacht dat zij CSS niet gaan tegenhouden.

Privacy-inbreuken en het schenden van het briefgeheim zijn m.i. namelijk veel te zwakke argumenten om deze de boventoon te laten voeren.

Redenerend als advocaat van de duivel: CSS moet je zien als een virusscanner die uitsluitend aanslaat op "hoogstwaarschijnlijk kwaadaardig materiaal". Bij een overgrote meerderheid van de burgers is er helemaal geen sprake van een inbreuk op de privacy of een schending van het briefgeheim. Jij gebruik zelf, neem ik aan, toch ook een virusscanner? Grote kans dat die verdacht materiaal ook stilletjes uploadt naar de antivirus-fabrikant, meestal onder het mom van iets als "cloud scan functionaliteit".

We moeten de voorstanders van CSS "pakken" op hun eigen belangrijkste argument: het beschermen van kinderen. Dat verslechtert door achter delers van bestaande CSAM aan te gaan jagen, in plaats van achter daadwerkelijke kindermisbruikers en/of producenten van CSAM.

Vervolgens kunnen aanvullende argumenten eventueel verder helpen overtuigen.

david-v

15 februari 2024 15:41

Tja, e2e, opensource en verifieerbare installatie packages is de enige "garantie" die je hebt om dit soort achterdeurtjes te voorkomen in chatapps. Het zijn er maar weinig die deze aanpak volgen (persoonlijk ken ik er maar één, maar misschien dat het weer met zijn).

lenwar

Politiek en recht

15 februari 2024 16:10

Telegram weigerde dat te doen, omdat het dan een achterdeur zou moeten toevoegen die encryptie zwakker zou maken voor alle gebruikers.

Dit is voor het MTProto-protocol inderdaad waar.

Maar stel dat Telegram het Signal-protocol zou gebruiken, dan is dit niet per definitie waar.

Het signal-protocol gebruikt voor (groeps)gesprekken het dubbeleratelalgoritme. Dit algoritme zorgt ervoor dat groepen eind-tot-eind-versleuteling hebben en dat dan per bericht en asynchroon. (dus ieder bericht krijgt een unieke sleutel en niet iedereen hoeft tegelijk online te zijn, clients die later in de groep komen, kunnen niet oudere berichten decoderen of na het verlaten van de groep, toekomstige berichten decoderen).

Met het Signal protocol zou de client dus groepssleutels kunnen injecteren alle gesprekken van die 6 gebruikers. Dit is dan wel zichtbaar dat dit gebeurd voor de client, maar dat zou voor de clients een kwestie van 'niet laten zien' zijn en de gebruiker heeft dan niets door.
Dit zou dan alleen gaan werken voor 'nieuwe berichten'. Je kunt zo niet teruggaan naar het afgelopen jaar. Maar je zou dus wel kunnen gaan 'afluisteren vanaf nu'.

N.B. Ik zeg niet dat ik het een goede ontwikkeling zou vinden als dit wordt ingebouwd in Signal of WhatsApp of zo. Ik zeg alleen dat het ter goede trouw (dus bijvoorbeeld oprechte verdenking van terroristische zaken en zo, met goedkeuring van een rechter, blablabla) wel zou kunnen, zonder dat alle gebruikers dan per definitie een verzwakte sessie krijgen.

Voor wie geïnteresseerd is in dit mechanisme, kun je zoeken op 'Double ratchet algorithm". Er zijn verschillende YouTube-filmpjes en aardig wat websites met 'normaal-persoon-begrijpbare' informatie over te vinden.

Het mechanisme wordt ook gebruikt voor (Perfect) Forward Secrecy in https en nog veel meer mechanismen.

OLED 15 februari 2024 16:05

De Nederlandse overheid probeerde in 2022 om een backdoor in zowel WhatsApp als Telegram te verplichten. Maar wij zijn de goeien dus dat was juist om… de mensenrechten te… beschermen! Tegen, eh… terrorisme? En kinderporno! Ja dat was het! Dus de Nederlandse overheid had alleen goede bedoelingen, in tegenstelling tot die akelige Russische overheid.

Gelukkig dat de EHRM dit begrijpt en zich enkel uitspreekt tegen het Russische regime!

Bron:https://www.security.nl/posting/755890/%22WhatsApp+dreigde+Nederland+te+verlaten+om+encryptie-backdoor%22

david-v

@OLED • 15 februari 2024 16:18

Heb jij een klacht ingediend bij de EHRM over de "plannen" die de Nederlandse overheid had om de backdoor te laten inbouwen? Plannen of verplichten is nogal een verschil.

Stemmingmakerij die nergens op gebaseerd is lijkt mij. Er worden genoeg uitspraken door het EHRM gedaan tegen overheden die lid zijn.

OLED @david-v • 15 februari 2024 16:30

Natuurlijk niet, ik ben het met onze AIVD baas eens zelfs:
https://www.dutchitleader...-telegram-wordt-ingeperkt

Ik heb absoluut geen hekel aan encryptie, maar wel een grote hekel aan terrorisme, dus vandaar

Probook8979 @OLED • 15 februari 2024 17:34

"terrorisme" wordt er altijd erop gegooit. Om juist plannen door te drukken.

downtime @OLED • 15 februari 2024 17:05

Rechters spreken zich niet uit over plannen. Ze doen pas een uitspraak als die wetgeving is ingevoerd en iemand daar bij de rechter bezwaar tegen maakt. Er is nu een zaak uit Rusland aan hun voorgelegd en daarom doen ze een uitspraak tegen de Russische regering. Dat heeft helemaal niks met de Nederlandse overheid te maken omdat wij zulke wetgeving nog niet hebben.

TwaalfdeMan 15 februari 2024 16:51

Heeft WhatsApp een backdoor? Kunnen overheden hier het 1 en ander meelezen? Als het moet dan is er altijd wel iets om te verzinnen om berichten mee te lezen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: