250 wetenschappers schrijven brief tegen EU-plannen voor encryptieondermijning

Een groep van 250 wetenschappers, onderzoekers en securityexperts waarschuwt voor Europese plannen om encryptie in apps af te zwakken. De groep zegt dat encryptie niet zomaar kan worden afgezwakt en hekelt dat politici niet in gesprek zijn gegaan met experts.

De brief is ondertekend door meer dan 250 hoogleraren, wetenschappers, onderzoekers en securitybedrijven. Ook veertien Nederlandse academici, waaronder Frederik Zuiderveen Borgesius, Herbert Bos en Jaap-Henk Hoepman, hebben de brief ondertekend, naast negentien Belgische wetenschappers van onder andere de KU Leuven. De brief is een antwoord op een recent wetsvoorstel van de Europese Commissie om kindermisbruikmateriaal tegen te gaan en kinderen op andere manieren online te beschermen. Het plan werd eerder door het Europees Parlement afgeschoten, maar sinds vorig jaar zijn er nieuwe plannen om een afgezwakt wetsvoorstel op tafel te leggen. Met dat wetsvoorstel kunnen grote techbedrijven worden gedwongen kindermisbruikmateriaal op te sporen en te verwijderen, ook als dat via versleutelde diensten wordt verspreid.

In de open brief schrijven de wetenschappers dat het voorstel 'communicatie- en systeemveiligheid compleet ondermijnt' vanuit een technisch standpunt. De wetenschappers hekelen onder meer dat beleidsmakers 'geen dialoog zijn aangegaan met academische experts'. In plaats daarvan zorgt het voorstel volgens hen voor 'ongekende mogelijkheden voor surveillance en controle van internetgebruikers'. De wetenschappers schreven destijds ook al een brief met waarschuwingen en aanbevelingen.

Een van de belangrijkste nieuwe veranderingen aan het nieuwe voorstel, ten opzichte van het oude, is dat opsporingsdiensten daarmee gerichter kunnen zoeken naar daders. Zo is het onder andere de bedoeling dat opsporingsdiensten alleen naar 'users of interest' kijken. Dat zijn gebruikers die meerdere keren betrapt worden op het kijken naar kindermisbruikmateriaal. "Dit voorstel lost de problemen niet op die we destijds hebben aangekaart", aldus de briefschrijvers.

Dat heeft onder andere te maken met 'de zwakke prestaties van geautomatiseerde detectietechnologieën' om dergelijk materiaal te vinden. Dat betekent dat er mogelijk valspositieven als resultaten uit komen en die worden waarschijnlijk 'niet significant gereduceerd totdat het aantal herhaalde feiten zo hoog is dat detectie stopt met effectief zijn'. De wetenschappers wijzen erop dat er dagelijks miljarden berichten via bijvoorbeeld WhatsApp of Facebook Messenger worden verzonden en dat daardoor het aantal valspositieven in de miljoenen kan lopen.

De wetenschappers stellen ook dat beeldherkenning in een versleutelde community 'per definitie encryptiebeveiliging ondermijnt'. Het nieuwe wetsvoorstel stelt dat bedrijven 'cybersecurity en versleutelde data moeten blijven beschermen door end-to-endversleuteling die tegelijk binnen de scope van opsporingsbevelen staat'. De wetenschappers noemen dat een oxymoron. "De bescherming van end-to-endencryptie impliceert dat niemand behalve de ontvanger zulke communicatie kan lezen. Door detectietechnologie toe te voegen, zowel voor versleutelde data als voordat het versleuteld wordt, schendt de definitie van vertrouwelijkheid die end-to-endversleuteling belooft."

Er staan nog verschillende andere voorbeelden in het wetsvoorstel waar de wetenschappers moeite mee hebben. Zo is er een verplichting om aan leeftijdsverificatie van jongeren te doen. Ook daarbij wijzen de wetenschappers erop dat er op dit moment 'geen goede, bewezen technische oplossing is' om dat te regelen waarbij ook de privacy van gebruikers wordt beschermd.

Reacties (109)

XVI 3 mei 2024 21:57

Het is bizar om te zien hoe ver de politiek bereid is te gaan onder het mom van de 3 magische woorden "child sexual abuse". Valt nog mee dat terroristische activiteiten niet ook constant wordt genoemd.
En het is ronduit shockerend om het wetsvoorstel te lezen. Menig schoolwerkstuk heeft een betere analyse van het probleem en redenering voor de beste oplossing.
Niets van dat in dit voorstel. De vereiste maatregelen worden direct opgesomd en voor de beweringen van de ernst van het probleem is er geen enkele bronvermelding te vinden.
Dit is een perfect voorbeeld van een oplossing waarbij een probleem is gezocht.

Dit is hopelijk nog redelijk eenvoudig af te schieten omdat het zo bizar is en omdat er betere alternatieven zijn voor het daadwerkelijk beschermen van kinderen.
Zo denk ik dat menig ouder bereid is om de telefoon van de kinderen te voorzien van een tool die alles analyseert wat er gebeurt op de telefoon en daardoor een stuk beter zal werken tegen grooming en ander schadelijk gedrag dan verplichte client side scanning op alle end to end encrypted software en diensten.
Welke crimineel zal straks nog whatsapp gebruiken zodra er client side scanning in zit? Geen enkele, die gaan allemaal naar besloten apps en community's. Wacht daar zitten ze allemaal al.
Wat men erdoor wil drukken is niet effectief en dus ook overduidelijk niet nodig.
Waarom dan toch doordrukken?

Was er ook maar een mooie technische oplossing voor domme machtswellustelingen in de politiek.

crtlalternatief @XVI • 4 mei 2024 20:08

Goed om te zien dat steeds meer mensen inzien dat de politiek vrijheidsbeperkende maatregelen proberen door te voeren onder valse voorwendselen.

ronaldvr @crtlalternatief • 4 mei 2024 21:54

Dat gefoeter op 'de politiek' en helemaal met je wappie 'vrijheidsbeperkende maatregelen' is absolute bullshit. Ten eerste: 'de politiek' als uniforme entiteit bestaat helemaal niet (althans zeker niet in Nederland, waar het stembiljet iedere verkiezing wéér groter wordt. Ten tweede 'de politiek' is het niet eens, wat je hier ziet is een gevolg van lobby-activiteiten waar sommige politici gevoelig voor zijn. (En andere weer helemaal niet, je kent neem ik aan Sophie in 't Veld wel denk ik?) En ten derde: dit voorstel haalt het dus (zeer waarschijnlijk) niet omdat jaaa, jawel: 'de politiek' (nee die/dat bestaat niet due, maar wel een groot deel van het Europees parlement) verstandig genoeg is.

XVI @ronaldvr • 4 mei 2024 22:26

'de politiek' als uniforme entiteit bestaat helemaal niet?
sommige politici zijn gevoelig voor de lobby?

Dit is een voorstel van de Europese Commissie voor het verder invoeren van massa surveillance.
Hoezo 'de politiek' bestaat niet? Niet iedereen is het eens dus 'big politics' bestaat niet?
Wappie vrijheidsbeperkende maatregelen?
Instant dooddoener dit.

Dit hele EU chat control wetsvoorstel is inmiddels 3 jaar oud... and still going strong.
Dus waar wacht je op? Je d66-mevrouw Sophie?
Iets zegt me dat ze nog er nog niet over uit is wanneer de meest gemakkelijke links-populistische stemmen te vinden zijn voordat ze haar mening uit.

En over die lobby gesproken.
De EU blijft achter het groepje uit de states aanhobbelen genaamd Thorn (Digital Defenders of Children).
Het clubje waar Ashton Kutcher zich aan heeft verbonden (of was het andersom).
Je weet wel, die acteur die het nog recentelijk opnam voor z'n verkrachtersvriendje Danny Masterson.
Ieder doel heiligt schijnbaar de middelen.

Hopelijk draait het echt daadwerkelijk om onze kinderen en komt het dus wel goed en komt die onzinnige "CSAM" CSS er niet.
Of hang ik hier soms weer de paranoia wappie uit?

Vogel666 @XVI • 6 mei 2024 12:39

Dit gaat nogal off topic maar:

Net als in Nederland worden wetten in de EU voorgesteld en uitgewerkt door ambtenaren (niet altijd van hoge kwaliteit).
Soms gebeurt dat op aanvraag van een parlementarier, maar soms wil een ambtenaar ook zelf nadenken of goede sier maken met een al uitgewerkt plan van een ander (In dit geval een copy-paste van een plan uit één van de minst vrije landen in de wereld: de VS)

De volgende stap is om het voorstel 'in de groep te gooien'. Het voorstel wordt verspreid en dan gaan de voor en tegenstanders in een debat standpunten uitwisselen. Als de betreffende parlementarier daarna nog steeds vertrouwen in het plan heeft, dan brengt deze het voorstel in stemming. Zo niet of als het voorstel in de stemming afgewezen, dan gaat het plan terug naar het departement. Die besluit of ze het nogmaals gaan proberen met aanpassingen of dat ze het plan gaan afschieten.

In dit geval is er dus 1 ambtenaar en 1 parlementarier die besloten hebben dat ze het nogmaals gaan proberen. het is dus niet dat 'de EU' dit graag wil
...1 ambtenaar, 1 parlementarier, dat is wat er achter zit...

Nu is de incompetentie groot bij politici, met name als het om zoiets ingewikkelds gaat als een computer.
Dus het riscico is aanzienlijk dat dit er ergens tussendoor glipt zonder dat de mensen die er verstand van hebben er inspraak in krijgen.

maar teksten als "de EU wil dit" slaan dus helemaal nergens op.

ronaldvr @XVI • 7 mei 2024 14:40

OK, ik moet denk ik een paar dingen uitleggen omdat jij -blijkbaar- geen inzicht hebt (meegekregen) in hoe onderhandelingen op politiek gebied (vaak) werken.
Ook in de Europese commissie komen mensen bij elkaar met uiteenlopende doelen en achterbannen, om toch met een gemeenschappelijk standpunt te (kunnen) komen vindt een uitgebreid spelletje politiek kwartetten plaats. Het ene land vindt x belangrijker dan het andere, en het andere weer y. zo wordt gewheeled en gedealed waarbij ieder land wat veren laat maar ook iets wint. Dat is stap 1. Nu is het ook nog eens zo, dat alles dat in de EC wordt 'besloten' ook nog vie het parlement moet. Nu komt de tweede laag: Een land (of politicus) die in de EC een veer heeft gelaten óf iets 'binnengehaald' , kan drommels goed weten dat zoiets er in het parlement nooit door komt, maar kan terug naar huis met de boodschap ik heb mijn best voor jullie gedaan, maar helaas hebben die vervelende linkse/rechtse parlementariërs het tegengehouden!'.

Dit soort 'spelletjes' zowel serieus als louter voor de bühne spelen zich op meerdere niveaus tegelijkertijd af: Vanuit en voor lobby groepen, van en vanuit voor lokale achterbannen, en van en voor louter nationale belangen. En het is dus niet één uniforme kongsi, maar kan voor een buitenstaander wel een onontwarbare kluwen lijken als je niet weet hoe dit soort zaken gebeuren.

Maar ook in de formatiebesprekingen lokaal in Nederland zie je precies dit gebeuren: Omtzigt die 'uit de formatie stapt' (en er later weer in terugkeert), Wilders met zijn tweets 'dat ie nu écht niet meer gaat inleveren': allemaal 'virtue signaling' naar de eigen achterban om gezichtsverlies (en stemmenverlies) af te wenden.

Anoniem: 85014 @XVI • 4 mei 2024 21:18

Was er ook maar een mooie technische oplossing voor domme machtswellustelingen in de politiek.

Oom Stalin had daar de Gulags voor. Veel technische verwezenlijkingen zoals kanalen e.d. mee gebouwd ook.

lb2001 @XVI • 6 mei 2024 11:02

Men gebruikt lukraak de redeneringen 'om de kinderen te beschermen' of 'voor de veiligheid'. Op die manier verliezen al die uitspraken enige betekenis.

En het moment dat je ertegen bent, word je ineens van alles toegeroepen.

Toevoeging voor de zekerheid:
Het doel opzich is natuurlijk niks mis mee. Maar om overal dezelfde reden maar voor te gebruiken maakt het allemaal niet geloofwaardiger.

[Reactie gewijzigd door lb2001 op 22 juli 2024 19:33]

Vogel666 @lb2001 • 6 mei 2024 12:44

Ik zou het als volgt omschrijven.

Prima doel, maar:
a) leidt de maatregel tot het doel? (antwoord: ehhh, nee!)
b) wat zijn de nadelen van het plan?: (antwoord: ondermijning van informatieveiligheid en daarmee een potentieel einde aan de rechtstaat en de vrije hand voor criminelen en BigCorp.)
c) wegen de voordelen op tegen de de nadelen? Nee

CAPSLOCK2000

Beveiliging en antivirus
Europa
Europese Commissie
Encryptie

3 mei 2024 12:30

Het zijn twee kanten van dezelfde medaille. Hoe krachtiger de techniek wordt hoe belangrijker het voor de politie wordt om er gebruik van te maken. Tegelijkertijd neemt het risico van misbruik toe. Hoe krachtiger de techniek, hoe groter de gevolgen als het mis gaat.

Het wordt hierdoor steeds moeilijker om een compromis te vinden tussen alles of niets. Ik begrijp heel goed begrijp dat de politie enorme problemen heeft met encryptie en ik geloof op zich in de goede bedoelingen van de politie. Maar omdat het alles of niets is kan ik niet anders dan voor "niets" kiezen.

"Alles of niets" is misschien te kort door de bocht, maar deze discussie wordt gevoerd met het grote publiek, niet alleen met techneuten onderling. Er is echt wel wat nuancering aan te brengen op "alles of niets" maar op dit moment is dat vooral misleidend. De kans dat "een beetje" heel snel uitloopt in "alles" (of beter gezegd, "alles wat legaal is") is te groot.

boolean @CAPSLOCK2000 • 3 mei 2024 12:49

Dit is niet zozeer een technisch probleem maar een kwaliteitsprobleem bij zowel de bestuurders als achterban. Heel veel hedendaagse onderwerpen zijn te complex voor de huidige bestuurders, die niet gehinderd door enige (relevante) kennis beslissingen moeten nemen, waarvan ze de gevolgen niet kunnen overzien. Zogenaamde experts/adviseurs zijn veelal hoogwaardigheidsbekleders die in een grijs verleden ooit iets met de betreffende materie hebben gedaan, maar eigenlijk geen relevantie meer hebben. Gelukkig heeft een groep wetenschappers, onderzoekers en security experts aan de bel getrokken, maar het is ronduit triest dat er zoveel nitwits in belangrijke bestuursorganen zitten.

Maurits van Baerle

Europese Commissie
Europa

@boolean • 3 mei 2024 15:11

Ik denk dat een eventueel gebrek aan kennis niet de enige verklaring is. Althans, niet op dit niveau.

Je moet als context kijken naar hoe het EU-besluitvormingsprocess in elkaar zit. Je kunt het grofweg als volgt uitleggen. De beslissers (de Raad van de EU of het Europees Parlement) geven een globale richting aan, bijvoorbeeld “we moeten de productie en handel in beelden van kindermisbruik binnen de EU tegengaan”. De meeste politici die in de Raad of het Parlement zitten zijn geen experts op alle gebieden, dat zou vrijwel onmogelijk zijn. Daarom geven ze vervolgens de opdracht aan de uitvoerders (de Europese Commissie) om met voorstellen te komen hoe het bereiken van dit doel in de praktijk zijn werk zou kunnen gaan.

Bij de Europese Commissie zitten wél de experts op zo ongeveer ieder denkbaar gebied. Ik weet niet of je wel eens met EC personeel hebt gewerkt maar die zijn over het algemeen extreem indrukwekkend qua kennis en intelligentie. Het zijn best vaak mensen die zelf een wetenschappelijke achtergrond hebben en die hun kennis wat praktischer wilden inzetten voor het maken van beleid. Hun taak is vervolgens om verder in de specifieke materie te duiken, wetenschappers uit te nodigen voor meer theoretische kennis, mensen uit het bedrijfsleven uit te nodigen voor meer praktijkkennis en ervaring, in dit geval mensen uit de wereld van de opsporing en vervolging uit te nodigen voor meer specifieke ervaringen en kennis etc. etc. Het is dan ook geen wonder dat deze brief door een hele reeks wetenschappers speciaal gericht is aan de Europese Commissie omdat daar die diepgang nodig is en dat de juiste plek is om op het juiste moment te sturen. Waarschijnlijk zullen een aantal van deze mensen nu uitgenodigd worden om hun kennis face-to-face te delen met de verantwoordelijke personen bij de EC.

Als er dan een EC voorstel uitkomt waar je als wetenschapper, of bedrijfssector, of opsporingsinstantie niet tevreden over bent dan heeft het pas zin om je te richten tot bijvoorbeeld het Europees Parlement die dit voorstel vervolgens moet terugsturen of aannemen. Die mensen zijn eerder generalisten dus die zul je op een andere manier moeten overtuigen dan de specialisten bij de EC maar het gebeurt vaak genoeg dat het Parlement voorstellen terugstuurt dus het kan zeker. Er zijn overigens ook Europarlementariërs die wel redelijk weten waar ze het over hebben, Patrick Breyer bijvoorbeeld.

Kortom, ik denk ook niet dat de kern van het probleem hier zit in een gebrek aan kennis. Anders zou je wel voorstellen zien over decryptiesleutels aan de politie geven. Dat de voorstellen daarentegen vaak gaan over client-side scanning geeft wel aan dat er wel degelijk technische kennis is over wat er wel en niet mogelijk is.

Ik denk dat de kern van het probleem het eeuwenoude probleem van belangen afwegen is. Daarom is dit ook een politiek probleem (democratische politiek is vrijwel altijd een afweging tussen tegenstrijdige belangen) en niet een technisch probleem. Ik twijfel er niet aan dat encryptie erg prettig is voor mensen die beelden van kindermisbruik willen kunnen verhandelen. Ik twijfel er ook niet aan dat de gewone man en vrouw in de straat belang hebben bij encryptie voor hun communicatie. Maar hoe die balans tussen die twee belangen te vinden, dáár zit het pijnpunt. En daar kiezen we dus politici voor die we vertrouwen die afweging te maken zoals jij hem zou maken.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 19:33]

Rob Coops

Encryptie

@Maurits van Baerle • 3 mei 2024 16:32

Ik denk eerlijk gezegd dat het probleem misschien niet zo zeer de kennis is maar eerder de manier waarop de EU zich zelf ziet en de manier waarop de EU inwoners haar zien. Al is het kennis verhaal toch ook wel in twijfel te trekken op basis van de resultaten van de EU besluitvorming.

Als EU medewerker is het heel logisch dat je er voor kiest om client side encryptie aan te moedigen en dus end to end encryptie onzinnig te maken omdat de overheid altijd alles kan mee lezen. Iets wat je als burger als zeer een gevaarlijk ontwikkeling zou moeten zien maar als onderdeel van de heilstaat die altijd het beste voor heeft met de burger en die ooit iets zou doen om de burger te schaden als zeer acceptabel in de oren klinkt.

Het geen dat de EU medewerkers niet lijken te beseffen is dat het zeer gevaarlijk is om een organisatie welke dat dan ook is maar al helemaal de wetgever de mogelijkheid te geven alle berichten die welke burger dan ook verstuurt te onderscheppen en in te zien.
Het is niet dat ik de EU er van verdenk massa surveillance op te zetten maar meer omdat we allemaal weten dat er genoeg andere groepen en partijen zijn die wel liever niet aan de macht zien komen (ongeacht welke politieke richting of geloof je aanhangt iedereen heeft een clubje dat in de die vertrouw ik niet categorie thuis hoort). Het probleem is dat als de mogelijkheid er is er uiteindelijk gebruik van gemaakt zal worden zelfs als het niet voor de gehele massa geld maar alleen voor iedereen die wel eens met een politiek tegenstander heeft gecommuniceerd bijvoorbeeld misbruik is vrijwel zeker de volgende stap.
Voor hen die dat niet geloven kijk eens naar om het even welke technologische vinding dan ook en kijk eens naar hoe veel van die vindingen gebruikt zijn voor zeer slechte daden ook door overheden.

Het punt is dus niet zo zeer een gebrek aan kennis maar eerder een gebrek aan begrip voor de reden dat mensen end to end encryptie willen gebruiken. We zien dagelijks verhalen over mensen die uit ramen vallen in Rusland, Chinezen die op eens maanden lang niet meer in het publiek verschijnen en Amerikaanse ex-presidenten die vervolgd worden voor dood normale praktijken die alle andere project ontwikkelaars en zelfs zij die hem vervolgen ook doen omdat het schijnbaar legaal is. Of contracten met Pfizer die schijnbaar zo gevaarlijk geacht worden binnen de EU dat zelfs de toezichthouders ze niet in mogen zien en alleen een vrijwel geheel zwarte versie mogen kijken omdat alle informatie in het contract top geheim lijkt te zijn. Of de EU ombudsman die al weer de EU op de vingers tikt omdat het weigert relevante informatie vrij te geven als een journalist daar om verzoekt (geheel tegen de eigen wetten in).
Zeker die laatste twee laten zien dat het argument dat we regeltjes op kunnen stellen die zeggen dat misbruik niet mag dus onzinnig zijn omdat de EU zich maar al te vaak niet aan de eigen regels wenst te houden.

Het kennis argument is trouwens ook zwak en als voorbeeld wijs ik dan maar naar de rechte komkommers... als er echt experts aan deel hadden genomen aan die besluitvorming dan was die belachelijke regel er nooit gekomen omdat het meer kosten en meer schade op leverde dan het ooit aan voordelen deed. En ook hier geld dat is slechts een voorbeeld van een vrijwel oneindig lange lijst met belachelijke regels die de EU heeft aangenomen en waar men zelfs toen bleek dat het een ramp was veel al jaren en soms zelfs decennia lang over doet om de onzin regel weer ongedaan te maken.

[Reactie gewijzigd door Rob Coops op 22 juli 2024 19:33]

Maurits van Baerle

Europese Commissie
Europa

@Rob Coops • 3 mei 2024 20:08

Ik denk dat het niet nuttig is om te spreken over “de EU” die iets wil of iets op een bepaalde manier ziet. Het is geen monolitisch geheel. De EU bestaat uit ruim 450 miljoen mensen met minstens tientallen miljoenen verschillende belangen en miljoenen meningen over wat het doel is en hoe dat te bereiken.

In die EU zitten mensen die veel om privacy geven en mensen die niets om privacy geven. In die EU zitten mensen die in kindermisbruik handelen en mensen die daar iets tegen willen doen. In die EU zitten opsporingsorganisaties en privacywaakhonden. In die EU zitten rechtbanken en parlementen. In die EU zitten bedrijven en vakbonden. In die EU zitten lobbyclubs en consumentenorganisaties. In die EU zitten jij en ik.

Het vervagen van het speelveld en het spanningsveld door dit alles “de EU” te noemen helpt niemand, al helemaal niet de groep (waar ik mezelf toe reken) die zich zorgen maakt over deze beweging. Net zoals ik het niet nuttig vindt om te zeggen dat “Nederland” voor de afzwakking van encryptie is terwijl het alleen de Nederlandse vertegenwoordiging van de Raad van Ministers in Brussel is geweest die hier voor is: Minister Grapperhaus pleit bij Europese Unie voor achterdeur in encryptie Alsof Bits of Freedom niet bestaat, of Rob Coops, of Maurits van Baerle.

Als je kijkt wat er echt gebeurt en dus naar de verschillende groepen kijkt die hier soms lijnrecht tegenover elkaar staan kun je een veel betere analyse maken en veel effectiever sturen en verzet bieden.

Je ziet dat de Raad van de EU (die de regeringen van de lidstaten vertegenwoordigen) en waar ieder land z’n ministers naar toe stuurt om besluiten te nemen, over het algemeen voor het afzwakken van encryptie is. Dat is waarschijnlijk omdat zij kortere lijntjes hebben met nationale politieorganisaties en meer zicht hebben op vervelende dingen die er gebeuren. Bovendien zal er ook het aloude spel meespelen dat als je als nationale regering iets wil invoeren maar je niet je eigen bevolking van het nut er van wil overtuigen, je dat er dan in Brussel doorheen probeert te drukken zodat je thuis kunt zeggen “Wij wilden het ook niet maar het moet van Brussel”.

Je ziet dat het Europees Parlement, waar onze volksvertegenwoordigers in zitten die direct door ons als EU burgers gekozen zijn, over het algemeen veel kritischer is op dit soort verzwakkingen. Ik noemde Europarlementariër Patrick Breyer al die zich al jaren vast heeft gebeten in het verzet er tegen en hij is zeker niet de enige. Niet voor niets heeft het Europees Parlement tegen gestemd.

Dan is er het EU Hof van Justitie die in het verleden al hebben laten merken dat het recht op privacy dat iedere EU Burger heeft (en dat direct voortvloeit uit het EU Handvest van de Grondrechten) zwaarder telt dan zo’n beetje alles, zwaarder dan de wensen van overheden, zwaarder dan de wensen van bedrijven, zwaarder dan internationale verdragen. Als de Europese Commissie met een invulling komt die in strijd is met het EU Handvest van de Grondrechten dan kunnen ze die vernietigen. Met de uitspraak rondom het Safe Harbour principe van datauitwisseling met de VS hebben ze precies dat gedaan.

Tussen deze drie krachten moet de Europese Commissie met een voorstel komen dat niet alleen goedgekeurd wordt door de Raad van de EU én door het Europees Parlement maar ook eentje die niet een jaartje later alweer naar de prullenbak wordt verwezen door het EU Hof van Justitie.

Kortom, weet wat er speelt, wie de spelers zijn, en je kunt veel beter sturen op de uitkomst die je wil.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 19:33]

MallePietje @Maurits van Baerle • 3 mei 2024 16:03

Dat de voorstellen daarentegen vaak gaan over client-side scanning geeft wel aan dat er wel degelijk technische kennis is over wat er wel en niet mogelijk is.

Technische kennis misschien. Maar je moet er toch niet aan denken dat echt client side scanning gaat komen. Vroeger verstuurde ik wel eens een echte brief. Ik probeer me de analogie van client side scanning voor te stellen. Vlak voordat ik de brief thuis in de envelop doe, belt er een ambtenaar aan, die even de brief gaat lezen, voordat ik de envelop dichtplak. En dat niet alleen bij mij, maar bij iedereen.
Dat zijn praktijken die je verwacht in een politiestaat.

Maurits van Baerle

Europese Commissie
Europa

@MallePietje • 3 mei 2024 16:25

Ik denk dat de praktijk er iets anders uit zou zien, mocht dit er allemaal door komen (en dat is niet zeker).

Ik verwacht dat het iets in de vorm zal zijn als chatplatforms verplicht een optie in te laten bouwen waardoor er client side berichten opgevraagd kunnen worden. Denk aan de politie die aan klopt bij Telegram en zegt “Wij vermoeden dat Jantje met account xyz zich bezig houdt met strafbare feiten, laat ons real time meekijken”. Technisch is dat niet extreem complex om te verenigen met e2e encryptie.

De grote vraag zal zitten in de niet-technische details. Mag de politie dit zonder tussenkomst van een rechter doen of moeten ze rechterlijke toestemming hebben om in zo’n account mee te kijken? Hoeveel bewijs moet er zijn voor dat dit mag? Mag de politie zomaar ook alle communicatie met alle contacten van Jantje opvragen of alleen specifiek van de verdachte? Binnen die uitersten zit heel veel speelruimte en een heel spectrum van een kleine inbreuk op privacy tot hele enge politiestaat. Die details zijn dus minstens net zo belangrijk om in de gaten te houden.

MallePietje @Maurits van Baerle • 4 mei 2024 06:46

Ik denk dat de praktijk er iets anders uit zou zien, mocht dit er allemaal door komen (en dat is niet zeker).

Ik weet niet of je het zo bedoelt, maar je kunt inderdaad onderscheid maken tussen de wet tekst en de praktische uitvoering. Maar ik zou liever niet een vergaande wet aannemen met als argument dat het in de praktijk wel mee zal vallen. Het risico op een hellend vlak is dan te groot. Je geeft eigenlijk vrij spel.

Honza63 @MallePietje • 4 mei 2024 11:29

Het probleem is dat het hellende vlak (in de EU maar niet alleen daar) vrijwel altijd steeds verder de verkeerde kant op helt....
Nu is het zgn. kindermisbruik, straks is het "nepnieuws", "desinformatie", "racisme" of "islamfobie"...
Met in Duitsland de de facto internetcensuur tot zelfs een minister daar die nog zeer recent kritiek op overheidsbeleid strafbaar wilde stellen; met de EU die dat allemaal heel OK vindt; moet je ze gewoon geen centimeter ruimte geven.

bzzzt @Maurits van Baerle • 3 mei 2024 21:08

Ik verwacht dat het iets in de vorm zal zijn als chatplatforms verplicht een optie in te laten bouwen waardoor er client side berichten opgevraagd kunnen worden.

Alleen dit 'technische detail' al laat het totale gebrek aan inzicht in de gevolgen van zo'n aanpassing zien. Je kan niet garanderen dat een client side applicatie doet wat er vanaf een netwerk wordt gevraagd. Bad actors kunnen gebruik maken van gemodificeerde clients.

Het enige scenario waarin je kan afdwingen dat een applicatie doet wat de instanties willen is als overheid gaan voorschrijven welke applicaties wel of niet door de beugel kunnen. Dat in combinatie met een enorm DRM framework voor attestation en overheidscontrole op de app distributie waarbij een monopolie vergelijkbaar met dat van Apple op hun store de norm wordt, maar dan in handen van de overheid. Einde vrije software keuze en open source.

Holdsworth @Maurits van Baerle • 5 mei 2024 10:12

Maurits, ik ga helemaal mee met jouw argumentatie. Maar een paar dingen moet je niet uit het oog verliezen:
§1 Criminelen en ook mensen die handelen in child porn houden zich niet aan de wet. Als slangen kruipen ze overal tussendoor, en -gelukkig- best vaak wordt er weer een server gehacked door Politie (Europol en internationale collega's) waardoor er weer een bak van die lieden 'op de rol' staan.

§2 Zo moet het zijn en zo moet het gaan, volgens mij. Niet teveel lullen en geef Politie en Justitie de middelen om die lieden 'die op de rol' staan aan te pakken. Hier zit namelijk het pijnpunt: Capaciteits-problemen. Al jaren jaren lang.

§3 Om iedereen *vulnerable* te maken voor adveraries -zoals de Russen, de Chinezen en de Iranezen- gaat wel erg ver als er maar 1 : 1000 tot 1 : 10.000 aan child porn doet. Hier moet je het toch met mij eens zijn. Het is simpelweg buitenproportioneel.

boolean @Maurits van Baerle • 5 mei 2024 21:03

Kortom, ik denk ook niet dat de kern van het probleem hier zit in een gebrek aan kennis. Anders zou je wel voorstellen zien over decryptiesleutels aan de politie geven. Dat de voorstellen daarentegen vaak gaan over client-side scanning geeft wel aan dat er wel degelijk technische kennis is over wat er wel en niet mogelijk is.

Hoewel ik het een nette uiteenzetting vind, ben ik het niet helemaal eens met bovenstaande. Het voorstel tot encryptieondermijning is van precies hetzelfde niveau (net zo dom) als het overhandigen van decryptiesleutels aan de politie. Dit voorstel had al moeten sneuvelen voordat het op papier werd gezet. Als je CP aan wilt pakken, zul je ouderwets moeten infiltreren (iets wat men overigens al doet) en het bij de bron aanpakken. Het onveiliger maken (lees: zwakkere encryptie) van het gehele internet lost niets op en werkt zelfs verrechtst. Bovendien heb je de mensen die je hiermee wilt pakken toch niet, want die stappen gewoon over op een kanaal dat wel zwaardere encryptie toepast. Wet- en regelgeving is er namelijk alleen voor mensen die het niet kunnen permitteren om zich er niet aan te houden.

Repelsteeltje! @Maurits van Baerle • 3 mei 2024 18:42

Mooi pr-verhaal maar ik heb de indruk dat de praktijk toch iets anders werkt https://netzpolitik.org/2...eu-for-more-surveillance/

https://www.security.nl/p...deren+van+chatcontrole%27

SPee @Maurits van Baerle • 3 mei 2024 18:46

Nee, dit is geen kennisgebruik, dit is gewoon opzet.
Het vorige voorstel is afgekeurd. Toen werden een paar dingen elders geopperd en Apple heeft een pilot met client side scanning gedaan. Dat heeft men toen als "goed idee" overgenomen in dit nieuwe voorstel. Gewoon weer een nieuwe poging om extra controle toe te voegen.

Het probleem; dit wordt gedaan vanwege "kindermisbruik".
Zoals vaak aangeduid, het is dé manier om vergaande maatregelen door te voeren en weerstand daartegen te voorkomen. Maar vrijwel nooit is het daar de oplossing voor en wordt het vaak ook voor andere maatregelen misbruikt.

Als men écht begaan was om kindermisbruik, dan was het budget voor opsporing en hulp flink hoger, werden alle zaken direct opgepakt en zsm voor de rechter gebracht. Niet dat men stapels met dossiers nog op de todo stapel hebben liggen en particulieren meer succes hebben met onderzoek dan de politie.

Mitsuko @Maurits van Baerle • 6 mei 2024 10:15

Helaas mist hier nog een laag, in ieder geval wat betreft het Europees Parlement: Veel (de meeste?) politici in het Parlement zitten in politieke blokken en laten zich vertellen waar ze voor moeten stemmen door de ambtenaren die onder ze werken.

We verkiezen het parlement, maar of die parlementariërs uiteindelijk voor zichzelf denken is een andere vraag. Dat is natuurlijk een zwakte van de democratie - je hoopt dat je stem nuttig is, maar mensen hebben de tijd noch kennis om dit in de gaten te houden en te zorgen dat nutteloze stemmen bestraft worden (hooguit gaat de opkomst omlaag, wat helaas de macht van de politici niet vermindert).

zenlord @boolean • 3 mei 2024 13:18

Gelukkig heeft een groep wetenschappers, onderzoekers en security experts aan de bel getrokken, maar het is ronduit triest dat er zoveel nitwits in belangrijke bestuursorganen zitten.

Wat we hier zien, langs beide kanten van het verhaal, is dat bepaalde belangengroepen aan de overheid hun standpunt en hun argumenten laten kennen. Niets mis mee toch? Ik vind het lovenswaardig van de opsporingsautoriteiten dat ze ijveren voor meer middelen om hun taak naar behoren uit te voeren. Ik vind het niet ok dat ze dat willen doen door bij voorbaat reeds mijn recht op privacy te willen schenden.
Niets triest aan - (vooralsnog) de democratie is aan het werk.

emphy

@zenlord • 3 mei 2024 13:55

> Ik vind het lovenswaardig van de opsporingsautoriteiten dat ze ijveren voor meer middelen om hun taak naar behoren uit te voeren.

Wat ik iets minder lovenswaardig vind is dat ze willens en wetens kiezen voor de middelen die onze rechten en weerbaarheid beschadigen met een dubieuze effectiviteit voor het geclaimde doel.

[Reactie gewijzigd door emphy op 22 juli 2024 19:33]

BlaDeKke @emphy • 3 mei 2024 14:30

Hanlon’s razer kan hier wel eens van toepassing zijn: Never attribute to malice that which is adequately explained by stupidity.

Maurits van Baerle

Europese Commissie
Europa

@BlaDeKke • 3 mei 2024 14:51

Pas wel een beetje op met Hanlon's Razor. Je kunt hem namelijk ook prima misbruiken door bewust dubieuze dingen te doen die voor de buitenwereld een Plausible deniability geven dat het per ongeluk was.

BlaDeKke @Maurits van Baerle • 3 mei 2024 14:55

Verder naar beneden heeft @Arrogant deze link gepost. Als dat klopt dan heeft emphy gewoon gelijk.

emphy

@BlaDeKke • 3 mei 2024 16:30

Voor standpunten die zo vaak herhaald worden door officiële vertegenwoordigers van overheidsorganisaties: nee. Ze weten heel precies wat ze zeggen.

En zelfs als het een gevalletje van "stupidity" zou zijn, dan was het zó dom dat het een moedwillige domheid moet zijn van een niveau dat ik die zou classificeren als "malice".

[Reactie gewijzigd door emphy op 22 juli 2024 19:33]

Madrox @zenlord • 3 mei 2024 13:38

Triest is het wel, als de onwetenden zoiets op touw zetten zonder inbreng van de experts. Dat zijn niet zomaar belangrnverenigingen.

CAPSLOCK2000

Beveiliging en antivirus
Europa
Europese Commissie
Encryptie

@boolean • 3 mei 2024 13:22

Dit is niet zozeer een technisch probleem maar een kwaliteitsprobleem bij zowel de bestuurders als achterban. Heel veel hedendaagse onderwerpen zijn te complex voor de huidige bestuurders, die niet gehinderd door enige (relevante) kennis beslissingen moeten nemen, waarvan ze de gevolgen niet kunnen overzien.

Ik ben het daar op zich mee eens maar wil wel toevoegen dat dit overal zo werkt, niet alleen in de IT. Op zich kan het best werken als ze goed advies krijgen. De vraag is alleen wat goed advies is, en voor wie. Goed voor het bedrijf? Goed voor de klanten? Goed voor de aandeelhouders? Goed voor de winst op korte termijn? Goed voor het imago? Goed voor de eigen carriere?

Dat zijn allemaal echte belangen maar ze leiden wel tot heel andere conclusies. Zo kun je redeneren dat boetes voor overtredingen goedkoper zijn dan een goede beveiliging, of dat negatieve gevolgen voor klanten acceptabel zijn. Aan de bestuurstafel komen dingen vaak toch op geld neer. Iedereen wil alles wel mooi en goed doen, maar niemand wil er voor betalen. De vraag wordt dan al snel "wat kost het ons en wat levert het op?". Vanuit persoonlijk oogpunt wordt dat de vraag "Wat voor invloed heeft het op mijn carriere als dit fout gaat?". Ik heb nog nooit gehoord van een (Westerse) bestuurder die vol schaamte z'n onstalg moest indienen na een security incident. Als er al excuses worden gemaakt is dat nooit een persoonlijke fout maar een fout van de leverancier/adviseur. Ze zeggen er niet bij dat het hun verantwoordelijkheid was om de juiste leveranciers en adviseurs te kiezen en de maatschappij slikt dat.

Als blijkt dat een bedrijf afval in de rivier heeft gelekt spreekt het hele land er schande van en roept op tot een boycot. Als blijkt dat een bedrijf data heeft gelekt dan haalt men de schouders op, mompelt iets defaitistisch en gaat over tot de orde van de dag.

Zolang het eigenlijk geen invloed op de eigen carriere heeft zal men blijven kiezen voor de (te) goedkope/onveilige optie. Niet dat alle bestuurders alleen maar bezig zijn met hun eigen carriere, maar direct of indirect heeft het wel invloed op de beslissingen die genomen worden en wie daar op afgerekend wordt.

CharlesND @boolean • 3 mei 2024 15:19

Gelukkig heeft een groep wetenschappers, onderzoekers en security experts aan de bel getrokken, maar het is ronduit triest dat er zoveel nitwits in belangrijke bestuursorganen zitten.

Typische tot op het bot arrogante en misplaatste opvatting van iemand met een blok beton voor z'n kop die denkt dat het oplossen van technische vraagstukken moeilijker is dan sociale of politieke vraagstukken.

Floort

@CAPSLOCK2000 • 3 mei 2024 12:39

Waar het denk ik linkt wordt is dat de Politie een alternatieve bevoegdheid (hacken) al bij voorbaat disproportioneel vind en liever ziet dat voor bijvoorbeeld zo'n drie miljard WhatsApp gebruikers structureel de beveiliging een stukje wordt ondermijnd en dat blijkbaar niet disproportioneel vind. Bron

Polderviking

@Floort • 3 mei 2024 12:59

Dat is natuurlijk omdat een informatieverzoek sturen aan whatsapp en dan data krijgen van een heel cluster mensen makkelijker is dan één computer hacken.

Als ze niet gewoon bij de vleet data kunnen vorderen links en rechts vinden ze zich in hun werk belemmerd.

OV-chipkaart zat ook hele privacydiscussie om heen. Zou allemaal niet zo'n vaart lopen.
Duurde volgens mij nog geen week na formele invoering voordat OM/Politie bij TLS aanklopte voor data van iedereen die ergens in en uit had gechecked rondom één of ander incident.
En inmiddels vinden we deze privacyerosie normaal want "waarom zouden ze beschikbare data niet gebruiken".

Je vraagt je bijna af hoe ze hun werk dan deden voordat we internet hadden als encryptie alles allemaal zo moeilijk maakt voor ze.

[Reactie gewijzigd door Polderviking op 22 juli 2024 19:33]

Grrrrrene

@Polderviking • 3 mei 2024 13:52

Deels mee eens, maar ik denk dat het werk van de politie ook wel anders is geworden sinds internet en encryptie. Vroeger was veel misdaad fysiek (in de zin: je moest fysiek ergens zijn) en tegenwoordig kun je dat van achter je toetsenbord via een VPN of vanuit een land dat het toch allemaal niks boeit wat je doet in het buitenland.

Maar vroeger (en nog steeds eigenlijk) infiltreerden ze een netwerk om informatie te vergaren. Dat hebben ze ook al wel gedaan met encrypted communicatieplatforms. Hadden ze niet een heel netwerk overgenomen en gemonitord, waarbij de criminelen zichzelf veilig waanden en openlijk allerlei belastende informatie deelden met de politie?

Maar als je encryptie afzwakt, betekent dat ook dat kwaadwillenden die encryptie beter kunnen breken. Dat lijkt me juist niet wat je wil, dus ik vind het een slecht plan. Ik snap de bedoelingen, maar ze hebben zich duidelijk niet goed genoeg verdiept in de gevolgen.

BlaDeKke @Grrrrrene • 3 mei 2024 14:26

SKY ECC

Neutrino @BlaDeKke • 3 mei 2024 14:53

Sky gebruikte elliptic-curve cryptography; Schijnbaar veiliger dan RSA. Het kraken was de SKY berichten werd gedaan door de ram van de server te kopiëren.

"Dutch technicians then developed a technique to copy the random access memory (RAM) of one of the Sky ECC servers without causing them to go offline. Subsequently, the Netherlands developed a so-called ‘Man In The Middle technique’ (MITM technique), which enabled the decryption of message traffic."

https://journals.sagepub....10.1177/20322844231212661

Het is dus niet zo dat ze de berichten hadden gekraakt. Ze hebben de sleutels weten te onderscheppen die werden gebruikt voor versleuteling.Als SKY ECC een decentraal netwerk geweest was had men dit niet kunnen doen. Een systeem dat decentraal versleuteld via bijv. het TOR netwerk gaat maakt het bijna onmogelijk om een crimineel netwerk op te rollen.

BlaDeKke @Neutrino • 3 mei 2024 14:58

Dat is exact waar @Grrrrrene op doelde. Knap politie werk, zonder encryptie te verbieden.

Floort

@Polderviking • 3 mei 2024 13:48

Proportionaliteit van de inzet van een bevoegdheid gaat niet (alleen) de hoeveelheid moeite die het kost maar ook over de inbreuk op de persoonlijke levenssfeer van de mensen die je raakt.

TrekVogel @Polderviking • 3 mei 2024 19:00

"waarom zouden ze beschikbare data niet gebruiken?"

Beschikbare data moet de politie zeker gebruiken. Alleen is de versleutelde communicatie tussen wie dan ook geen beschikbare data. Dat is namelijk het hele punt van encryptie, het is alleen voor de eindgebruikers beschikbaar.

Overigens hoor ik politici heel vaak roepen dat ze niet bij de burger "achter de voordeur" willen kijken. Dit is natuurlijk precies hetzelfde.

Blinkin

@CAPSLOCK2000 • 4 mei 2024 12:23

Ik vind het niet kort door de bocht wat je zegt hoor. Encryptie staat aan of het staat uit. Er is niks tussen.

Je ziet vaak in deze discussie een nuances met een lamp maken die je kunt dimmen, dus minder krachtige encryptie, zodat je geen last hebt van veel licht. Echter vaak vergeet men een deel van de context zoals zeg je hebt veel licht nodig om iets te lezen, om de analogie met encryptie te maken: we hebben sterke encryptie nodig tegen kraken.
Kortweg komt het erop neer dat het dimmen van je lamp voor het goed kunnen lezen van je boek resulteert in dat je net zo goed het licht uit kunt doen. Even goed zwakkere encryptie is makkelijker te kraken dus dan kun je met zo goed geen encryptie hebben.

Er is niks kortweg aan je redenatie. Afgezwakte encryptie is in mijn ogen verwaarloosbaar beter dan geen encryptie. Aan of uit dus.
Dat dit niet bij de politiek doordringt na al die jaren is zot.

CAPSLOCK2000

Beveiliging en antivirus
Europa
Europese Commissie
Encryptie

@Blinkin • 4 mei 2024 12:50

Er is niks kortweg aan je redenatie. Afgezwakte encryptie is in mijn ogen verwaarloosbaar beter dan geen encryptie. Aan of uit dus.
Dat dit niet bij de politiek doordringt na al die jaren is zot.

Het probleem met een absoluut standpunt is dat één tegenvoorbeeld je standpunt helemaal onderuit haalt en dan je hele standpunt belachelijk wordt gemaakt. Politici weten niet wat er technisch mogelijk is, die vertrouwen op adviseurs. Als 100 adviseurs zeggen "kan niet" en ééntje zegt "kan wel" dan zal die laatste de opdracht krijgen om het systeem te bouwen en te laten zien dat het wel kan. Daar komt dan waarschijnlijk een onveilige systeem uit, maar het doet wel wat er is beloofd: encryptie open breken.

Dan zal de politicus zeggen "Ha, het kan dus wel, die ene persoon had gelijk! Die andere honderd zijn onwetende alarmisten, de rest van hun standpunt zal ook wel overdreven zijn, zo gevaarlijk is het allemaal niet".

Met mijn specialistische kennis kan ik verschillende manieren bedenken om crypto te verzwakken, omzeilen, centraliseren, etc, etc.. Al die methodes hebben forse nadelen waardoor we er niet aan moeten beginnen. Maar om uit te kunnen leggen dat het geen goed idee is zal ik wel eerst moeten erkennen dat die mogelijkheden bestaan. Als ik alleen maar zeg "kan niet" dan zal niemand meer naar mij luisteren als ik opeens zeg "oh, het kan toch wel, maar ...."

Blinkin

@CAPSLOCK2000 • 4 mei 2024 15:05

Nee klopt, dit is een terechte opmerking. Ik probeer mijzelf in deze discussie meer te leren te blijven uitleggen ipv de 'kan niet' houding. Moet zeggen dat dat er wel bik inschiet aangezien het er wel op neer komt. xD

Ik begrijp nu beter met wat je met te kort door de bocht bedoeld. Ik begreep die te letterlijk. Zit inderdaad wat in.

[Reactie gewijzigd door Blinkin op 22 juli 2024 19:33]

sprankel @CAPSLOCK2000 • 3 mei 2024 14:13

De politie is feitelijk helemaal niet geintresseerd in encryptie of om mensen te hacken, die willen gewoon kunnen aankloppen bij een tech bedrijf en zeggen, vertel mij wie de persoon achter @capslock2000 is en geef mij alle info die je hebt over die persoon. En als het even kan nog via een online portaal waar ze het rechstreeks kunnen opvragen. Het moet al een heel zware zaak zijn voor men er nog maar aan denkt een deskundige op de zaak te zetten.

Techbedrijven willen dat niet omdat ze wereldwijd zitten en er geen wereldwijd rechtsysteem bestaat. Als ze aan de lopende band dit soort verzoeken beginnen honoreren aan land A dan eist land B dat ook. Eenmaal die trein is vertrokken moet je het overal doen of landen beginnen je te blokkeren maar dan kom je in de problemen als je gebruikers erachter komen dat hun gegevens zomaar gedeeld worden met rechtstaat X die gekend staat voor corruptie en schending van mensenrechten.

Wat gebeurd er morgen met de userbase van Whatsapp als Whatsapp jou communicatie deelt met elke overheid die daar naar vraagt met een geldig legal document van de lokale overheid? Juist ja, Whatsapp kan het schudden en overmorgen zit iedereen op Whatsapp vervanger 2.0 decentraal, zonder achterdeurtjes en geen officieel bedrijf erachter.

Vroeger waren ze simpelweg niet bereikbaar en weigerden ze te reageren op dergelijke verzoeken maar dat kon ook niet blijven duren met allerhande rechtzaken tot gevolg. Maar nu zeggen de bedrijven, we willen wel hoor (echt niet) maar het is end to end encrypted dus we kunnen er zelf niet aan.

Die encryptie ondermijnen zal niets veranderen aan het feit dat techbedrijven niet wensen in te gaan op verzoeken van lokale overheden. En tegen de echte georganiseerde misdaad heeft het sowiezo nul effect, het is echt geen geheim hoe encryptie werkt en het zal zeker geen geheim zijn als morgen Whatsapp zijn encryptie ondermijnd en aan de lopende band communicatie ligt te delen met overheden dus diegene waar het zogezegd echt voor moet dienen zijn stappen gewoon meteen over naar iets anders.

Dus de enige conclussie die ik kan trekken is dat de politie er zelf niets van begrijpt, er geroepen word met kinderporno en terrorisme maar zelfs als ze het krijgen zal het enkel dienen om hun werk wat eenvoudiger te maken met het verzamelen van bewijzen tegen kleine criminaliteit zoals fietsdieven en naive jeugdcriminaliteit.

BlaDeKke @sprankel • 3 mei 2024 14:40

Mooie uiteenzetting. Het lijkt een beetje op het anpr camera verhaal.

Mijiru @CAPSLOCK2000 • 3 mei 2024 20:43

Het is ook werkelijk alles of niets. Wil de Europese Commissie dat er toezicht komt op communicatie, door politie of door privébedrijven onder bevel vàn. Dan is er NUL end-to-end encryptie, behalve misschien halverwege voor de schijn, en NUL privacy op je communicatie. Privacy kun je niet "een beetje" schenden. Je wordt geobserveerd, of niet.

Wat de Europese Commissie wil is ofwel wiskundig onmogelijk, ofwel gevaarlijk (een achterdeurtje.) Maar écht gevaarlijk. Europa vol nucleaire wapens, escalerende conflicten in het Oosten en gedementeerden aan de macht in het Westen. De gevolgen van een man-in-de-middle attack gecombineerd met een deep fake in real time zijn op dit moment potentieel apocalyptisch.

Het is tijd dat die wereldvreemde en machtsgeile functionarissen eens goed wakker geschud worden.

[Reactie gewijzigd door Mijiru op 22 juli 2024 19:33]

g_v_rijn @CAPSLOCK2000 • 5 mei 2024 10:29

Inderdaad: nieuwe en/of krachtiger: zowel de burger als politiek acteren hier op.

bzuidgeest @CAPSLOCK2000 • 5 mei 2024 14:16

In plaats van alles tappen, kunnen ze natuurlijk ook gewoon ouderwets infiltratie werk gaan doen. Dat is volgens mij nog steeds hoe ze de meesten pakken, door uitgenodigd te worden door de criminelen zelf. Encryptie helpt een groep weinig als je een informant lid maakt van de groep.

Terrestrial @CAPSLOCK2000 • 3 mei 2024 14:55

De politie moet niet zeiken, dan gaan ze maar weer ouderwets recherche werk doen zoals het hoort. Ik vind de politie meer ooit op dit moment een waardeloze organisatie en als het aan mij lag gingen daar koppen rollen.

ijdod

@CAPSLOCK2000 • 3 mei 2024 18:07

En we hebben helaas ook al gezien dat ook het 'alles wat legaal is' al wordt opgerekt. En dat men dan, in plaats van de diensten op de vingers te trekken, de wetgeving aanpast zodat er nog meer legaal wordt. En lather, rinse, repeat.

Het zou daarbij al enorm helpen als de toezichthoudende organen niet zulke tandenloze tijgers zouden zijn.

Scriptkid 3 mei 2024 12:21

Volgensmij iets met kippen en eieren.

Aan de ene kant willen we dat er meer gedaan word aan opsproren van dit misbruik , Maar aan de andere kant willen we dat diensten volledig encypted kunnen werken zodat er geen overheid mee kan kijken.

En het een sluit het ander natuurlijk uit. Je kunt geen 100% privacy hebben en tegelijk eisen dat misbruik word opgespoort.

Daarnaast denk ik dat het gros van de overtreders zelf echte wel een 2de encrypty laag zal toepassen op belasttend matteriaal anders zijn ze wel heel erg dom bezig. En met de regel dat je niet mee hoeft te werken aan je eigen veroordeling is dat een hele goede en makkelijke laag om het bewijs weg te houden van de overheid.

[Reactie gewijzigd door Scriptkid op 22 juli 2024 19:33]

laptopleon @Scriptkid • 3 mei 2024 14:07

Er zijn mensen die het belangrijk vinden dat hun boodschappenlijstje en whatsapp'jes door niemand onderschept kunnen worden. Prima. Maar er zijn ook mensen die er geen moeite mee hebben als politie, justitie, aivd etc mee willen kunnen kijken voor een bepaald onderzoek. Ik zou graag kunnen mailen, whatsappen, Marktplaats en sociale media willen gebruiken MET mijn digid en die van anderen zichtbaar. Optioneel dus, voor wie dat wil.

Dan kan ik zelf besluiten of ik die tweedehands telefoon wil kopen van iemand die zijn echte naam er bij durft te zetten. En of ik mail wil ontvangen van iemand die zijn digid er niet bij durft te zetten. Scheelt een hoop spam en internetoplichting.

comecme @laptopleon • 4 mei 2024 13:30

Wat bedoel je met je "DigiD"?

DigiD is immers het systeem waarmee je kunt inloggen. Ik neem aan dat je niet bedoelt dat je DigiD inloggegevens in de mail worden meegestuurd. Maar wat bedoel je dan wel?

laptopleon @comecme • 4 mei 2024 14:36

Ik zou graag zien dat je de optie krijgt jezelf te identificeren of misschien beter gezegd, je berichten zoals mailtjes, chatberichten en berichten op sociale media te authentificeren.

Een van de meest voor de hand liggende manieren om dat te organiseren is via Digid, aangezien daar een identiteitscontrole via paspoort, rijbewijs of identiteitskaart aan hangt en 16,5 van de 18 miljoen Nederlanders het al gebruiken.

Blinkin

@laptopleon • 4 mei 2024 12:38

In de ideale wereld zou dit inderdaad zo werken. Helaas leven we niet in een ideale wereld.

Het makkelijker mogelijk maken van meekijken van de instanties die je noemt opent ook de deur voor degene achter de spam en internet oplichting die je zegt minder te krijgen. In tegendeel, dat zal alleen maar toenemen omdat men middels social engineering effectiever slachtoffers kan maken.

Degene die tegen het afzwakken zijn en privacy noemen zijn niet alleen mensen die boodschappenlijstjes willen afschermen, ook bankzaken en zorg gerelateerde communicatie maken criminelen maar al te graag misbruik van om over jou rug heen rijk te worden. Hetzij in de vorm van diefstal, afpersing of oplichting.

Als jij dat niet erg vindt is dat prima natuurlijk. Ik zou graag ook minder spam en minder internet oplichting zien. Verzwakken van encryptie gaat dat niet bereiken.

TD-er

@Scriptkid • 3 mei 2024 12:30

Even het argument dat het mogelijk zou kunnen helpen bij opsporing aan de kant leggen, want dat is een discussie op zich.

Wat verzwakking van encryptie doet is dat je de deur open zet voor kwaadwillenden.
Encryptie met een achterdeurtje is effectief geen encryptie, oftewel geen beveiliging.

Aangezien encryptie echt overal gebruikt wordt (en nodig is), zal verzwakking van encryptie het aantal gevallen van misbruik, oplichting, inbraak, identiteitsdiefstal, enz. alleen maar doen toenemen.

whiner @TD-er • 3 mei 2024 13:19

precies. Een crimineel die hier bewust mee bezig is weet ook dit te misbruiken, die heb je er dus niet mee.
En volgens mij is dat nu juiste de doelgroep die je moet pakken.

De gemiddelde burger verliest hierdoor zijn "privacy".
Al is privacy natuurlijk relatief. Uiteindelijk ligt je data bij een multinational dat beloofd er niks mee te doen

Blinkin

@TD-er • 4 mei 2024 12:27

Exact dit. Je hoeft niet eens te weten hoe je een computer moet aanzetten om dit te begrijpen.

Als degene die dit wetsvoorstel opstellen niet willens en wetens dit negeren ga ik mij toch redelijk zorgen maken over de intelligentie van de betreffende personen.

Ik ben wel oprecht benieuwd waarom je zoiets wilt doordrukken. Surveillance? Macht?

CH4OS @Scriptkid • 3 mei 2024 12:46

Uiteindelijk worden dit soort zaken (maar ook bijvoorbeeld terrorisme) met dit soort wensen/maatregelen alleen maar verder en verder versplintert. Dat kan op zich acceptabel kunnen zijn, maar voor sommigen zal het nooit genoeg zijn. Zeker met kindermisbruik wil je dat natuurlijk liever op 0 zaken of gebeurtenissen hebben. Maar we moeten wel realistisch blijven; dat is gewoon een utopie, hoe graag we ook willen.

In dat op zicht moeten we ook een afweging maken hoe ver we willen gaan om dat getal naar beneden te krijgen. Hoe dichter bij 0 hoe beter, maar de vraag is natuurlijk wel hoever we willen gaan om dat te bereiken, zonder andere zaken (zoals privacy) in de weg te zitten. Aan de andere kant wil je ook niet constant roepen dat je bepaalde zaken toch moet kunnen zien uit naam van (bestrijding van) kindermisbruik en terrorisme. Al wordt dat natuurlijk wel steeds meer en steeds vaker gebruikt als excuus om nieuwe wetten en regels er doorheen te drukken, of meer rechten te vergaren.

Waar we ook voor moeten waken (naar mijn idee in elk geval) is dat we moeten voorkomen dat we een (Europese) politiestaat krijgen of worden. Waarbij we enerzijds wel vrijheid en privacy willen, maar anderzijds ook niet willen dat er terrorisme of kindermisbruik bestaat.

david-v

@Scriptkid • 3 mei 2024 12:57

En het een sluit het ander natuurlijk uit. Je kunt geen 100% privacy hebben en tegelijk eisen dat misbruik word opgespoort.

Misbruik kun je opsporen via de vastlegging ervan (fotos, videos) maar dat is niet de enige manier. Infiltreren in dergelijke groepen, zowel fysiek als digitaal is nog steeds mogelijk en daar zie ik veel meer opties en mogelijkheden.

Kan je het volledig voorkomen? Ja, indien je je privacy volledig opgeeft. Ik denk dat je wel begrijpt dat dat totaal onwenselijk is en zeer ernstig zou zijn.

Dat je de vastlegging van het misbruik op foto en videos niet "massaal" kan onderscheiden en onderscheppen zie ik als iets goeds, want anders moet je in je digitale communicatie je volledige privacy opgeven. Dat is niet iets wat wij als maatschappij willen.

100% digitale privacy en opsporing kan prima samen.

Prince @Scriptkid • 3 mei 2024 14:00

Volledig eens, dit voorstel schiet niet enkel zijn doel voorbij, maar maakt de kans groter dat er op vele andere vlakken slachtoffers vallen.
De enige reden waarom ze niet enkel het recht van privacy van elke EU burger beperken, maar ook de mogelijkheid dat de burger zich kan beveiligen wegnemen, is puur en enkel "omdat de onderzoekers het gemakkelijker willen hebben".
Straks komen ze nog af dat elke verkochte camera een AI-detectie algoritme moet hebben dat onzichtbaar meldingen kan doorsturen naar de correcte instanties.

Dan zou ik veel liever hebben dat als ze iemand vinden die dergelijke zaken doorstuurt, dat ze meer toegang hebben tot de metadata zoals van wie kwam het en naar wie is het nog doorgestuurd. Zo kan je eenvoudiger een netwerk oprollen. Dan ga je misschien ook mensen onderzoeken die onschuldig zijn, maar tenminste niet de hele EU én tegelijk hun manier om zichzelf te beschermen afnemen.

gevoelig @Scriptkid • 3 mei 2024 15:54

En het een sluit het ander natuurlijk uit. Je kunt geen 100% privacy hebben en tegelijk eisen dat misbruik word opgespoort.

Dat durf ik te betwisten. Je kunt 100% privacy hebben en nog steeds worden opgespoord. Zij het wat lastiger.

Waarom in moet de gehele bevolking zijn privacy opgegeven ten behoeve van een kleine groep raddraaiers?

the_stickie 3 mei 2024 12:38

Het is voor mij onbegrjipelijk dat beleidsmakers niet inzien dat encryptie een van de funderingen is van veilige verbindingen naar heel wat meer dan chatapps en pornsites. Zonder encryptie kunnen we vaarwel zeggen tegen oa betalingsverkeer.

Ze zullen wel blijven volhouden dat enkel 'bevoegde' diensten kunnen meelezen ter bestrijding van allerlei criminaliteit... maar als je een gat maakt kunnen ook misbruikers er doorheen. Daaag veilig betalen via het internet.

NotWise @the_stickie • 3 mei 2024 13:39

Verweg de politici hebben te weinig kaas gegeten van IT. Er is een schrijnend tekort aan kennis bij onze 1ste en 2de kamer.

https://www.agconnect.nl/...kennis-in-de-tweede-kamer

Het grote probleem is dat politici zich vaak door bijvoorbeeld inlichtingendiensten, politie en andere belanghebbenden (o.a. lobby groepen) laten voorlichten. Daar komt bij dat veel politici last hebben van allerlei biases zoals confirmation bias. Er is in het verleden heel erg veel wetgeving doorgedrukt terwijl experts daar tegen waren. Het gaat soms om hele grote en dure projecten zoals de HSL en Betuwelijn.

De sleepwet is ook tegen het advies van experts doorgedrukt.

https://www.security.nl/p...+open+brief+voor+sleepwet

Ik vind het persoonlijk zorgelijk dat dit kan. Dat een minister denkt het beter te weten dan experts.

vlaaing peerd @NotWise • 3 mei 2024 19:53

Naar mijn weten kan het ook niet want het Europees hof heeft enkele maanden geleden al verboden: "het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving"

NotWise @vlaaing peerd • 3 mei 2024 23:55

Het weerhoudt de idioten niet om dit om de haverklap weer van stal te halen.

Fiander 3 mei 2024 12:46

En hoeveel voorbeelden zijn er dat de politie terroristen niet heeft kunnen pakken terwijl de communicatie niet encrypted was maar er gewoon weg teveel data was om goed door te kunnen zoeken?

De politie kan nu al niks vinden en oplossen op basis van de te grootte hoeveelheid data die ze al hebben, en nu willen met verzwakte encryptie meer hooi op de hooiberg?

Verder: wie kan ik aansprakelijk stellen als straks mijn verkeer met mijn bank niet meer veilig blijkt te zijn? Wanneer mijn ouders of schoonouders gescammed worden omdat httpS niet meer veilig is?

[Reactie gewijzigd door Fiander op 22 juli 2024 19:33]

mphilipp @Fiander • 3 mei 2024 13:06

En hoeveel voorbeelden zijn er dat de politie terroristen niet heeft kunnen pakken terwijl de communicatie niet encrypted was?
De politie kan nu al niks vinden en oplossen, en nu willen met verzwakte encryptie meer hooi op de hooiberg?

Dat is een beetje te kort door de bocht denk ik. Er worden zo nu en dan terreurgroepen opgespoord en gepakt. Maar het is ingewikkeld, juist door alle wetgeviong rondom privacy e.d. De politie in Europa kan niet zomaar een huis binnenlopen en de boel doorzoeken omdat iemand scheef kijkt bij de moskee ofzo. Dus moet het tips komen, sociaal werkers, jongerenwerkers, wijkagenten die een vinger aan de pols houden in een wijk. Politie/justitie staat sowieso altijd op achterstand omdat ze niet overal mogen meekijken. Dat willen wij zo, want we zijn geen politiestaat. Vroeger was afluisteren of post lezen makkelijk, maar nu het je encryptie, waardoor een beetje slimme crimineel of terrorist zijn doen en laten aardig goed kan verbergen. En de tijd dat deze lieden niet zo handig waren met techniek is wel voorbij. Kijk eens hoeveel de politie is geholpen toen ze een aantal keer zo'n cryptofoon netwerk hadden geïnfiltreerd. Ik denk dat ze er zelf van stonden te kijken. Maar wat doe je daartegen? Er is software en hardware te koop waarmee een slimmerd zelf zo'n netwerk op kan zetten. Reken maar dat er gebruik van wordt gemaakt.
Dus ja, ik snap best dat men die encryptie wil afzwakken, maar dat is onbegonnen werk. De geest is uit de fles. Ik denk niet dat burgers bereid zijn om deze vrijheid op te geven. En het ironische is dat de politie zelf in allerlei campagnes vertelt dat je je bewust moet zijn van je online veiligheid. Let op dat je 2FA gebruikt enzo...en aan de andere kant willen ze dat je het liever niet doet, zodat zij kunnen meelezen

Fiander @mphilipp • 3 mei 2024 14:06

je hebt gelijk, ik was twee belangrijke elementen vergeten in wat ik typte. Dat heb ik aangepast.
ik heb op twee plekken toegevoegd dat het sloeg op de hoeveelheid data die ze al hebben.

huiz @mphilipp • 3 mei 2024 15:12

Ja hoor, het gros van de burgers gaat dit ook gewoon accepteren, en zullen er niet eens bij nadenken. Het gemak waarmee iedereen maar kopietjes van hun id kaart naar commerciële partijen opstuurt (Vinted, AirBnB, Marktplaats, LinkedIn) en de nog steeds heersende houding dat men niks te verbergen heeft.

Pas als je ze echt confronteert met de gevolgen, dan pas zullen ze zeggen: maar ho eens! En dan is het al te laat.

SPee @mphilipp • 3 mei 2024 18:58

Dus moet het tips komen, sociaal werkers, jongerenwerkers, wijkagenten die een vinger aan de pols houden in een wijk. Politie/justitie staat sowieso altijd op achterstand omdat ze niet overal mogen meekijken. Dat willen wij zo, want we zijn geen politiestaat.

Er zijn ook genoeg gevallen waar men met tips of waarschuwingen naar de politie zijn gegaan, maar die er niets mee hebben gedaan. Of dat het een "bekend de politie" of "bekend bij GGZ" was.
Dus dat helpt ook al niet.

mphilipp @SPee • 3 mei 2024 20:21

Bekend bij de politie betekent dat er een kruisje achter iemands naam staat. Maar dat betekent niet dat ie 24/7 in de gaten wordt gehouden. Dus ja....dat zegt helemaal niets. Hooguit als er iets gebeurt in de omgeving van die persoon. Dan komt ie op de radar. Maar zoals ik al zei: we leven niet in een politiestaat, dus ze komen je niet zomaar van je bed lichten.

En tips waar niets mee gedaan wordt: ik ken natuurlijk niet elk geval, maar er zijn gevallen geweest waar de poltitie later zei dat er inderdaad tips binnen zijn gekomen, maar die waren te vaag of klonken niet erg overtuigend. Als ik tegen de wijkagent zeg dat ik denk dat mijn buurman een wietkwekerij heeft, zal ie vragen waarom ik dat denk. Als ik dan zeg dat ie raar ruikt, is dat niet voldoende om iemands privacy te gaan schenden met een onderzoek. Want dan krijgen we dát weer...zonder een gegronde verdenking kan de politie ook niets. Maar eerlijk is eerlijk, er zullen best gevallen zijn waarbij er hele concrete tips waren die niet serieus genomen zijn. Politiewerk is ook mensenwerk. Maar om nou dat maatgevend te laten zijn voor alles wat de politie doet is ook overdreven.

cariolive23 @Fiander • 3 mei 2024 20:12

Wanneer mijn ouders of schoonouders gescammed worden omdat httpS niet meer veilig is?

Vergeet de belangrijkste niet, jijzelf...

Ga jezelf vooral niet overschatten, dat is dé reden waarom er zoveel slachtoffers worden gemaakt. En wanneer encryptie wordt afgezwakt, maakt jouw eigen kennis, kunde en gedrag niet eens meer uit, dan hackt men zich wel een weg naar binnen zonder dat jij daar iets van merkt. Dan merk je het wel bij de kassa van de supermarkt, onvoldoende saldo.

Rolio 5 mei 2024 08:18

Op weg naar een verbod van encryptie?

En hoe moet dat dan met onze geheimhouders?
Advocaten
Octrooiaanvragers en -gemachtigden
Artsen
Patiënten
Met jou dus?

Wie versleuteld wil communiceren heeft daar buiten en in combinatie met de gebruikelijke massa-apps (Whatsapp, Signal) legio mogelijkheden voor. En voor zover ik weet onkraakbaar binnen een mensenleven.

De voorgestelde maatregel is daarom sowieso niet doelmatig. Tenzij het voorgespiegelde doel slechts een voorwendsel is. Dat de maatregel disproportioneel is, is nog zwak uitgedrukt.

jellebaris @Rolio • 5 mei 2024 10:14

Buiten de door jouw genoemde groepen stel ik dat iedereen wel eens dingen communiceert die niet illegaal zijn maar die ze ook niet vrij toegankelijk willen publiceren.
En ja ik ben het met je eens dat het voorgestelde doel (bescherming tegen kinder pornografie/misbruik) een voorwendsel is. Globaal gezien is er in de meeste landen al jaren en jaren een trent waarbij privacy wordt veruild voor meer mogelijkheden van de overheid op surveillance van de gewone man, ook als er geen voorgaande indicatie is van crimineel gedrag. Kijk maar naar hoe de wetgeving tegen witwassen de banken nu verplicht het betalingsverkeer te controleren dat gewone burgers zelfs moeten verantwoorden waarom ze een bepaald bedrag bij een supermarkt hebben uitgegeven (uitzending kassa).

jpfx 3 mei 2024 12:26

Er zijn ander onderzoeksmethoden waarbij niet de privacy van onschuldigen worden geschonden. Men wil alleen liever een shortcut zodat het minder arbeidsintensief is (met alle gevolgen van dien).

Arrogant 3 mei 2024 12:27

Rules For Thee but Not for Me

rfnreynders 3 mei 2024 13:17

Wanneer overheid dit Soort zaken "reguleert", oftewel manieren toestaat om surveillance op het volk toe te passen, komen er vanzelf underground toepassingen die zich niet laten reguleren. Daarnaast is het natuurlijk zo dat criminelen, zoals drug, wapen en mensenhandelaren en, ook pedofielen allang software gebruiken die sterke crypto gebruiken. Ze zullen meer moeite doen om niet "gepakt" te worden dan een reguliere gebruiker die zich veilig waant omdat WhatsApp zegt end to end encryptie te hebben. Wat natuurlijk helemaal niks voorstelt als Meta alle tekst kan indexeren. Dus onbeveiligd. Geen illusies. De grote spelers zoals WhatsApp geven geen biet om jou privacy. Daarom is het wetsvoorstel onzinnig en niet gericht op het bestrijden van de criminelen of beschermen van kinderen, maar om het hele, gewone volk af te kunnen luister. Welkom in China 2.

ChrsL 3 mei 2024 13:34

Hoe ze dit willen implementeren lijkt wel hoe China dit al doet.

Wil je gebruik maken van bepaalde online services? moet je jezelf altijd hebben verbonden met een redelijk gemonopolieerde service zoals WeChat of Ali. Vereiste is dan dat je op z'n minst jezelf heb geverifieerd middels een telefoonnummer, dat ook nog eens per persoon aangevraagd kan worden. Hoe vraag je die dan aan? Je ID en aldus al je identificatie gegevens doorgegeven.

Door te gaan naar het onderwerp encryptie, ben ik niet bekend of er E2E encryptie toegepast is, maar heeft de overheid inzage via een backdoor. Ooit weleens gelezen dat hun nationale cyber security regels dat inbegrepen heeft (sorry, ik mis een source, en credibility). Op zich met het oogpunt om criminaliteit te detecteren, lijkt mij een legitiem gedachte, maar zoals er in het brief beschreven wordt niet de meest technische juiste manier, en doet dit me ontzettend denken aan de film Minority Report (kort gezegd mensen die opgepakt worden in combi met false positives).

Willen we kijken naar een oplossing, zouden we naar China kunnen kijken, maar daar komt privacy en feasibility bij kijken plus hetgeen false positives en detectie. om het erger te maken, is dat we geen statistieken of enige inzage hebben in de effectiviteit ervan, en zo ja, zijn dat dan echte cijfers?

Ja we moeten wat doen aan internet criminaliteit detectie, maar detectie in de grote stapel hooiberg is onmogelijk, en anders criminelen zullen zich verspreiden over zelfgemaakte of opensource tooling. (zoals vermeld wordt in de brief)

wat voeg ik toe aan deze discussie? volgens mij niks. terug bij af dus.

Op dit item kan niet meer gereageerd worden.

250 wetenschappers schrijven brief tegen EU-plannen voor encryptieondermijning

Lees meer

Reacties (109)

Sorteer op:

Weergave: