'Europese Unie stelt stemming over omstreden wet voor encryptieachterdeur uit'

De Europese Raad stelt volgens verschillende bronnen de stemming over een omstreden wetsvoorstel rondom het afzwakken van encryptie van chatdiensten uit. Lidstaten van de Europese Unie zouden meer tijd nodig hebben om over de 'chatcontrol' te praten.

Vertegenwoordigers van alle EU-lidstaten zouden op 20 juni stemmen over het wetsvoorstel, maar verschillende betrokkenen melden tegenover Belgische media als HLN en De Morgen dat de stemming uit de agenda is gehaald. België is momenteel voorzitter van de Europese Raad en heeft volgens bronnen de stemming niet laten doorgaan omdat verschillende lidstaten meer tijd willen voor 'onderhandeling en overleg'.

Vanaf 1 juli is Hongarije voorzitter van het betreffende Europese orgaan. Het is nog niet duidelijk wanneer er wel over het wetsvoorstel gestemd wordt; daar zijn nog geen plannen voor bekendgemaakt. Als de Europese Raad met het wetsvoorstel instemt, moeten vervolgens de Raad van de Europese Unie, het Europees Parlement en de Europese Commissie zich over het voorstel buigen.

Met name de afgelopen dagen was er veel commentaar op het wetsvoorstel, maar het voorstel krijgt al sinds de aankondiging uiteenlopende kritiek. De Europese Commissie introduceerde in 2022 een wetsvoorstel om kindermisbruik aan te pakken door berichten, links en foto's in online communicatie standaard te scannen. In de praktijk zouden techbedrijven een achterdeur moeten inbouwen in hun producten; alle digitale communicatie, waaronder e-mails en versleutelde chatberichten, zou immers gecontroleerd moeten worden.

Zowel privacyexperts als techbedrijven noemen het concept met de bijnaam chatcontrol een inbreuk op de privacy van burgers en een ondermijning van de versleuteling van online communicatie. Ook zijn er zorgen over de technologie waarmee het scannen zou moeten gebeuren, onder meer omdat er een grote hoeveelheid valspositieven uit de scans zou komen.

Update, 15.15 uur: De Raad van de Europese Unie werd foutief als de Raad van Europa beschreven. Het artikel is aangescherpt.

Door Yannick Spinner

Redacteur

20-06-2024 • 13:54

103

Submitter: Bacara

Reacties (103)

103
100
51
10
1
34

Sorteer op:

Weergave:

Hoeveel jaar hebben we het hier nu al over?
Hoe vaak zijn politici al geschoold/geïnformeerd? dat:
  • encryptie (security/privacy) binair is. Je hebt het of je hebt het niet.
  • dat dit soort methoden niet werken. De pedo's weten heel goed hoe ze onder de radar en buiten zicht moeten blijven. Die hebben eigen communicatiekanalen die wel veilig zijn.
  • het bestaan van dit soort methoden misbruik uitlokt. Er is nog nooit een bevoegdheid geweest die niet misbruikt is. Dit is er eentje die, als hij misbruikt wordt, waarschijnlijk ook gelijk extreme impact heeft.
Misschien ben ik een wappie, maar we zijn nu zover dat ik me nog maar 2 soorten politici voor kan stellen die voor dit soort voorstellen zijn.
De hele domme, en degenen die het wel begrijpen, maar het niets kans schelen omdat ze graag een surveillance staat zien. Mensen die China als een voorbeeld zien, ipv. als een waarschuwing.
Ga er maar vanuit dat ze het prima begrijpen. Er worden immers uitzonderingen gemaakt voor politie, het leger en, indirect onder het mom van 'geheime zaken', zichzelf.
En banken, en platenmaatschappijen, TV providers, uitgevers van games? Techbedrijven die hun bedrijfgeheimen en backups willen versleutelen? Hoeveel bedrijven zijn er die je een 'encryptievergunning' wil geven, en hoe groot wordt dan de kans dat zo'n vergunning wordt misbruikt?

Als je hier aan begint is het een geest die je niet meer in de fles kan krijgen.
En beide soorten politici zijn ongeschikt voor hun werk, laten de bevolking in de steek.
Hoeveel jaar hebben we het hier nu al over?
Hoe vaak zijn politici al geschoold/geïnformeerd? dat:
• encryptie (security/privacy) binair is. Je hebt het of je hebt het niet.
Je vergeet dat er ook een grote groep bedrijven is die roept dat ze het klusje wel even zullen klaren, tegen de juiste prijs. Als politicus moet je dan denken: "Als BedrijfX zegt dat het wel kan, laat maar zien dan... Als het goed gaat ben ik de held, als het fout gaat krijgen zij de schuld."
• dat dit soort methoden niet werken. De pedo's weten heel goed hoe ze onder de radar en buiten zicht moeten blijven. Die hebben eigen communicatiekanalen die wel veilig zijn.
Dat ziet de politiek niet als show-stopper maar als probleem waar aan gewerkt moet worden. Ze maken wel een wet waarin ze computer/telefoonfabrikanten verplichten om andere software te blokkeren. Oplossingen hoeven niet 100% effectief te zijn om succesvol te zijn. Voorstanders zullen zeggen dat de wet al een succes is als er maar 1 boef gepakt wordt of kind gered.
De hele domme, en degenen die het wel begrijpen, maar het niets kans schelen omdat ze graag een surveillance staat zien. Mensen die China als een voorbeeld zien, ipv. als een waarschuwing.
Je vergeet de derde groep: opportunisten die meer naar de korte termijn kijken dan naar de lange. Voor sommige politici houdt de wereld op bij de volgende verkiezingen. Ze zijn niet op zoek naar het beste of meest perfecte beleid, maar naar iets dat goed genoeg is om een stapje verder te komen voor de volgende verkiezingen. Het oplossen van de nadelen doen ze wel nadat ze volgende de verkiezingen hebben gewonnen. Als ze die niet winnen worden ze toch niet afgerekend op te gevolgen van hun wet en moet hun opvolger het maar oplossen.
In de VS kun je dus je congressman bellen om je pleidooi te geven, maar wie moeten wij nu “bellen” om aan te geven dat dit een heel slecht idee is?

Lijkt mij heel goed als we als tweakers hier ook onze stem direct laten horen. Dit is echt een heel slecht idee op allerlei fronten.
In de VS kun je dus je congressman bellen om je pleidooi te geven, maar wie moeten wij nu “bellen” om aan te geven dat dit een heel slecht idee is?
Soortgelijk als in de VS, je kunt je MEP (Member of European Parliament) bellen/contacten, wie dat zijn kan je vinden op https://www.europarl.europa.eu/meps/en/home

Specifiek voor Nederland: https://www.europarl.euro...h/advanced?countryCode=NL

Zij kunnen dat dan weer meenemen in de relevante (sub)commissies etc voor bespreking of als inbreng.
https://www.patrick-breye...he-chat-control-proposal/

Een brief van MEP's van 18 juni, vooral ondertekend door de Groenen (en Volt en Pirateparty), dus dan weet iedereen meteen dat vooral de rechtse vleugel achter dit voorstel staat.
De rechtse vleugel heeft nu niet het idee dat ze begrijpen wat de gevolgen kunnen zijn. Rechts zou moeten betekenen vrijdheid en zelf redzaamheid. Maar wordt hier in Nederland altijd aangevuld met een sterk en machtig politie macht. Wat natuurlijk tegen het echt vrijdheid in gaat.
Klopt, en ons OM en onze politie is ziek.
Laten zich dolgraag voor het karretje van de politiek spannen.
Eigenlijk vooral de Groenen en de FDP (Duitste zusterpartij van de VVD). Een heel klein clubje dus, die ondertekenaars. De twee grote fracties in de EU (christelijk/socialistisch) hebben niet getekend, en dat is dus niet specifiek links/rechts.
Een brief van MEP's van 18 juni, vooral ondertekend door de Groenen (en Volt en Pirateparty), dus dan weet iedereen meteen dat vooral de rechtse vleugel achter dit voorstel staat.
En weeral klagen over rechts. Eigenlijk is totale controle door de staat eerder een links concept om eerlijk te zijn. En om je punt helemaal te ontkrachten, deze onzin komt van en wordt gedreven door EU commisaris Ylva Johansson, die wel erg links is (ex-communist/ nu gekend als deel van de linkse vleugel van de sociaal democraten in Zweden). De links/rechts tegenstelling werkt niet voor deze soort ongein, aan beide kanten van het spectrum zitten dergelijke totalitairen.
Ik klaag niet over rechts, geef alleen aan dat de rechtse partijen ontbreken als ondertekenaar van die brief.
En juist wordt het argument gevoerd dat BEIDE kanten van het politieke spectrum ontbreken. Dat toevallig het hele kleine deel dat ondertekend hebben toevallig links zijn is totaal niks zeggend. Sterker nog, het praktisch alleen Duitse leden die het ondertekend hebben en laat dat nou het enige land in de EU zijn dat privacy echt in de vaandel heeft.

Maar verwacht je nou echt van politici dat ze daadwerkelijk verstand hebben van dit soort zaken?
Ja, dat verwacht ik wel, zeker van de politici die in de Commissies zitten die dit behandelen, niet van alle 720 MEPs.
Wat een verrassing :+
Dat is helaas geen verrassing, nee (en dat zeg ik als rechts-stemmer)...
Links Rechts is eigenlijk niet van tel in deze, de geschiedenis leert dat elke fractie dit na een tijd misbruikt.
In de huidige context is het eerder als A voor stemt, dan stemmen wij tegen - ik zie er verder zeker geen nobele overwegingen achter.
Voordat we gaan bellen is het misschien ook van belang als we weten waar de partijen ongeveer staan omtrent dit probleem. Naar mijn idee heeft het meer zin om iemand van de coalitie (die het wetsvoorstel er doorheen proberen te krijgen) daarover de contacteren dan de oppositie.
Heel eerlijk denk ik dat er twee opties zijn. Of allemaal een “persoonlijke” “brief” sturen, of gewoon open en bloot benaderen met een open brief hierover. Dat wij als gemeenschap van tweakers hier ons gewoon echt niet in kunnen vinden en dat het zeer schadelijk gaat zijn voor de maatschappij.
Heel eerlijk denk ik dat er twee opties zijn. Of allemaal een “persoonlijke” “brief” sturen, of gewoon open en bloot benaderen met een open brief hierover.
Waarom "of"?
Wel opletten, de lijst is niet meer actueel na de verkiezingen.
Binnen de Europese politiek
- Contact met je favoriete EP lid.
- Geef feedback op voorstellen: https://ec.europa.eu/info...gulation/have-your-say_nl
- Sluit je aan bij een belangenvereniging.

Binnen de Nederlandse politiek:
- Contact met je favoriete tweede kamer lid.
- Als het over wetgeving gaat kan je vaak mee doen in de consultatie (in dit geval is de EU richtlijn dan al aangenomen): https://www.rijksoverheid...ieuwe-wet--en-regelgeving
Om uw mening te geven, moet u een account aanmaken of inloggen met een account op sociale media.
Tja datzelfde sociale media waar men een achterdeur voor wilt?
Hoewel deze fase gaat over een stemming in de Europese Raad (en je dan dus Mark Rutte en binnenkort Dick Schoof zou moeten bellen *) en niet over een stemming in het Europees Parlement heeft het toch wel zin om druk te zetten op Europarlementariërs. En dan niet op de MEP's die hier toch al veel kritiek op hebben maar juist op die Europarlementariërs die hier voorstander van zijn of nog over twijfelen. @wildhagen heeft een goede post over wie je zou kunnen bellen.

Als de Europese Raad hier straks mee instemt maar het Europees Parlement niet dan wordt het (althans in deze vorm) niet ingevoerd. Best kans dat het dan terug gaat naar de tekentafel en over een jaar in gewijzigde vorm weer ter stemming komt maar dat zien we dan wel weer.

* Theoretisch zou je de Nederlandse Tweede Kamer hier een stemming over kunnen laten hebben en zo de stem van Mark Rutte/Dick Schoof kunnen laten bepalen maar we zitten nog midden in de formatie dus de kans is klein dat je daar nu iets voor elkaar krijgt.
In Nederland houd "Bits of Freedom" zich al bezig met dit soort zaken.
Zie https://www.bitsoffreedom.nl
en specifiek: https://www.bitsoffreedom...municatie-op-het-spel-zet.
Hoe meer mensen hier zich mee bemoeien hoe beter. Ook de EU is een democratie dus als we het met zijn allen kenbaar maken dan moet men daar gewoon wat mee gaan doen.

Het is al eerder gebeurd dat experts gewoon genegeerd werden, maar als heel veel mensen het er niet mee eens zijn dan wordt het gewoon een meerderheidsdingetje. Dan kun je als verkozen vertegenwoordiger gewoon niet meer voor gaan stemmen zonder gezichtsverlies.
Niet de minister van digitale zaken in ieder geval.

Misschien dan bij het ministerie van Justitie en Veiligheid?

[Reactie gewijzigd door 3raser op 22 juli 2024 17:15]

https://www.europarl.euro...untryCode=NL&bodyType=ALL

kan je zo doorklikken naar hun persoonlijke pagina. vanaf daar kan je op een mailto knoppie duwen
Voor de Europese raad wordt dat de nationale regering, die zou vanuit de tweede kamer een opdracht mee kunnen krijgen om hier tegen te stemmen. Kortom: neem contact op met uw favoriete partij en/of tweede kamerlid.

Vervolgens hoop ik dat iedereen zich nog herinnert op wie die deze maand gestemd heeft voor het Europese parlement, want daar kan het volgens bovenstaande artikel ook nog tegengehouden worden.

Want we hadden allemaal gestemd, toch? En bovendien gekeken wat de standpunten hierover waren?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:15]

En bovendien gekeken wat de standpunten hierover waren?
haha ja.. die is leuk.
Kansloos voorstel, want een achterdeur inbouwen betekent einde online privacy.

De enige reden dat het geagendeerd is, is dat er kindermisbruik bij wordt gesleept als drogreden. Kindermisbruik en terrorisme worden zo vaak gebruikt om wetten (proberen) door te drukken die nergens op slaan ...
Ze hebben al een wet doorgevoerd die browsermakers dwingt om QWAC's (een soort certificaten uitgegeven door de overheid) te implementeren en te markeren als veilig. Op die manier willen overheden niet afhankelijk zijn van certificaatboeren (goed idee) en verzekeren dat hun website ten alle tijde als veilig wordt beschouwd (slecht idee). Browsers die QWAC's niet als veilig markeren, zijn in overtreding van de eIDAS 2.0-wetgeving.

Dat betekent dat als een van de EU-overheden een Diginotar-situatie creeërt, of lijkt te spioneren met hun QWACs, browermakers moeten kiezen tussen veiligheid van hun gebruikers en een risico op een boete. Helemaal in die laatste situatie wil er nog wel eens bewijs ontbreken, dus wordt het aanvechten van die boete lastig.

Er zijn wat strofes aan de QWAC-regels toegevoegd nadat dit spul in het nieuws kwam, maar de protesten van experts zijn grotendeels genegeerd. Stukje bij beetje sluipen ze die onzin de wetgeving in, ik erger me er kapot aan.
Ik heb er niet zo veel verstand van maar dat je een bovenliggend certificaat vertrouwd zegt toch niet dat alles wat daar onder zit per definitie onveilig is.

Misschien kunt u dit toelichten, en niet alleen voor mij.
Het idee van traditionele certificaten is dat je een bepaalde set vertrouwde organisaties hebt die verificatie doen voor websites en personen. Tweakers.net bewijst aan Let's Encrypt dat het de eigenaar is van het domein, en Let's Encrypt geeft daar een certificaat voor uit dat je browser vertrouwt. Alleen Let's Encrypt kan dat certificaat hebben gemaakt, omdat alleen Let's Encrypt de sleutel heeft waarmee het ding ondertekend is. Middels wiskundige trucs en hele speciale hardware wordt verzekerd dat deze certificaten niet na te maken zijn zonder in te breken bij hun servers en hun fysieke hardware te bedienen of hun personeel te forceren.

Als je browser Let's Encrypt niet vertrouwt en het uitzet, vertrouw je het certificaat van tweakers.net ook niet. Je kunt in je browser- of besturingssysteeminstellingen zelf kiezen welke partijen je vertrouwt; vertrouw je China Telecom of Staat der Nederlanden G3 niet, dan kun je met een vinkje het vertrouwen opzeggen. Websites die een certificaat tonen van zulke partijen zullen vervolgens waarschuwingen als deze laten zien als je ze probeert te bezoeken.

--- en dan nu QWAC's: ---

Een probleem van normale websitecertificaten voor overheidsdiensten is dat je een vertrouwde partij moet vragen (of soms betalen) voor een certificaat voor je domein. Overheid.nl heeft bijvoorbeeld een certificaat uitgegeven door "DigiCert Ireland Limited". Die partij, evenals al hun concurrenten, kunnen in theorie bijna iedere website faken door zelf die certificaten te maken en een HTTPS-slotje zonder beveiligingswaarschuwingen laten nadoen. Er is geen indicator in je browser die een verschil maakt tussen "deze website is van de Finse overheid" en "deze website is van een bedrijf genaamd Finse Overheid B.V.", en ook geen verschil tussen een echt veilige verbinding met de overheid en een verbinding die gekaapt is en ondertekend is door een shady certificaatverkoper.

Certificaten namaken mogen certificaatbedrijven natuurlijk niet zomaar doen, en als ze het wel doen vervalt het vertrouwen en zijn ze hun business kwijt; bedrijven als Diginotar, Startcom/WoSign, en Digicert is dit eerder overkomen. Browsers zullen hun certificaat uit de lijst van vertrouwen halen, en al hun klanten hebben ineens onbereikbare websites. De businessrisico's die daarbij horen, zijn wat ervoor zorgt dat deze bedrijven zich aan hun afspraken houden. Chrome en Chrome-gebaseerde browsers hebben een extra truc om misbruik te helpen vinden (certificate transparency log) maar dat lost alsnog het probleem niet op voordat de eerste browsers foutmeldingen rapporteren.

Toen het Nederlandse Diginotar gehackt was en diens certificaten kort voor het nadoen van grote websites gebruikt werden, was het vertrouwen in een keer weg. Alle Diginotar-klanten moesten opeens een alternatief zoeken, omdat het vertrouwen in Diginotar weg was en alleen oude certificaten nog (tijdelijk) werden vertrouwd. Een combinatie van browsermakers en auditingbureau's beheren welke website wel of niet vertrouwd worden, en websites van de Nederlandse overheid ware ineens onveilig of zelfs onbruikbaar. Diginotar is daarom ook omgevallen: hun taak was om vertrouwen te ondertekenen, en nadat ze gehackt waren, was niemand meer bereid te vertrouwen dat ze daartoe in staat zijn.

Met QWAC's probeerde men ervoor te zorgen dat overheden zelf vertrouwen konden aantonen. In plaats van commerciële entiteiten die elkaar vertrouwen, kiezen overheden vertrouwde partijen volgens nationale standaarden in plaats van die van zelfregulerende industrie (en dat kunnen diezelfde bedrijven zijn). In theorie niet zo heel slecht (je neemt macht over overheidsdiensten weg van big tech), maar aan de andere kant wil je misschien niet dat Rutte of Orban bepaalt wie jouw computer wel of niet vertrouwt.

De wet schreef origineel echter voor dat browsers verplicht waren om deze overheidspartijen zonder twijfel te vertrouwen. In theorie kon de Nederlandse overheid een QWAC voor Google.nl regelen en je verkeer onderscheppen en browsers die daar een stokje voor probeerde te steken zouden de wet overtreden. Mocht dat voorkomen, zou een Europese overheid die hun techniek niet op orde heeft hun sleutel kunnen lekken en iedere browser onveilig maken: patches overtreden de wet. Browsers hadden niet meer de keuze om te bepalen wie er betrouwbaar is.

De wet schreef daarnaast ook wat andere stompzinnige regels voor (van het "de adresbalk moet groen zijn" niveau, waar browsers om hele goede redenen juist vanaf stappen) die helemaal niet in de wet vastgelegd zouden moeten zijn. Dat was de kers op de taart die mij deed vermoeden dat de certificaatverkopers hier achter zitten; ze liegen op hun websites nog steeds dat je adresbalk groen wordt en er een groen slotje in je adresbalk verschijnt als je op een website zit die betaald heeft voor hun superdure, uitgebreide verificatie. De verouderde reclameclaims die al jaren niet meer kloppen werden ineens opgedrongen aan browsermakers.

De QWAC's zelf zijn een uitvinding van de certificaatboerindustrie. Ze zijn de ouderwetse Extended Validation-certificaten (het "groene slotje" dat je tien jaar geleden zag) met wat extra stappen, waarvoor weer een paar honderd euro per klant kan worden geïnd. Ze worden ook gebruikt voor PSD2-systemen (API's voor je bank). Er zit wat extra verificatie op EV-certificaten en QWAC's die niet op bijvoorbeeld de gratis Let's Encrypt-certificaten zitten, maar dat een deen het geld heeft om een bedrijf genaamd NederlandseOverheid ApS te registeren betekent niet dat nederlandseoverheid.nl ineens vertrouwd moet worden als er "NEDERLANDSE OVERHEID" bij het slotje staat. Dit is een paar keer misgegaan (zie bijvoorbeeld het voorbeeld van Stripe waar iemand een bedrijf heeft opgezet en geverifieerd genaamd "Identity Verified" wat in de adresbalk verscheen...)

Het allerstomste is wel dat de Nederlandse overheid en diverse andere overheden al hun eigen certificaten uitgeven via het normale systeem. Ze moeten zich daarvoor wel aan de regels van browsers houden, maar dat is nooit een probleem geweest.

Het originele einddoel, zorgen dat de Digid's van Europa werken zonder van bedrijven afhankelijk te moeten zijn, is op zich niet slecht. De implementatie ervan is echter lange tijd achter gesloten deuren gegaan met allerlei tekenen dat niemand ooit browsermakers om advies gevraagd heeft over browserwetgeving, met allerlei problemen voor de veiligheid van zo'n beetje iedere internetgebruiker.
Bedankt voor de uitgebreide uitleg, maar het gaat er dus eigenlijk om dat je iemand moet verleiden om naar jou site te gaan of je product te installeren.
Een beetje zoals Gator Corporation, die zei je kan ons vertrouwen want wij gebruiken encryptie. En dan vervolgens een advertentie tool installeerde op je pc.
Het hoeft niet eens verleiden te zijn. Als iemand op je WiFi-netwerk zit (WiFi in de trein?) en zich tussen jou en de echte server in kan zetten, kan je naar het echte adres toe gaan en alles goed doen, maar toch bij de verkeerde uitkomen.

Overheden, providers, en dat soort lui kunnen dit ook op netwerkniveau buiten de deur doen. Een overheid met de mogelijkheid certificaten te ondermijnen kan alle HTTPS-websites aftappen. Een crimineel die hun overheid hackt en bij een provider inbreekt ook.

De gevolgen zijn verreikend . Nederland is al koning aftappen (al krijgen ze boeven er niet heel vaak mee gepakt, lijkt het), maar met de mogelijkheid om daadwerkelijk de inhoud van dat verkeer te zien, wordt onze overheid nog weer een stapje enger.
Dit lijkt me een ander probleem, namelijk een “ Man-in-the-middle-attack” .

Daarbij maak je verbinding met een “ server” die vervolgens je aanvraag door stuurt naar de site die je wil bezoeken. Dit gebeurt natuurlijk op grote schaal bij grote bedrijven en instellingen als je bijvoorbeeld naar de site van je bank gaat, middels Deep packet inspection, controleren die wat je uitspookt.
Inderdaad, MitM is een van de grootste risico's. Dat is niet alleen voor bedrijven; landen als Kazachstan hebben dat nationaal uitgevoerd om hun burgers te kunnen bespioneren. Ik geloof zelfs dat de overheid een poging deed om dat certificaat standaard in browsers te zetten, maar dat was snel afgeschoten door browsermakers. Om exact dezelfde reden zijn browsers huiverig voor dit soort dingen.

Dat is alleen niet het enige; als onze belastingdienst hun sleutel lekt, zouden browsers het vertrouwen moeten opzeggen omdat iedereen de site van de belastingdienst zou kunnen nadoen. Momenteel is het zo dat certificaatboeren een retractie moeten aankondigen als ze weten van certitifcaten die niet meer te vertrouwen zijn, maar een trage/incompetente belastingdienst zou ervoor kunnen kiezen dat niet te doen. In dat geval wordt de beveiliging van internetverkeer aangetast door het feit dat vertrouwen niet ingetrokken kan worden.

[Reactie gewijzigd door GertMenkel op 22 juli 2024 17:15]

Zijn die QWAC's niet zo goed als stilzwijgend ingevoerd? Ik hoor dit nu voor het eerst en kan er ook geen nieuwsartikel op Tweakers over vinden. Mozilla heeft wel een mooie campagne gevoerd, maar ook die zie ik nu voor het eerst. Daarop lees ik wel dat de soep niet zo heet is gegeten als jij doet voorkomen:
Update 29/02/2024: [C]ritical changes in the law were approved in a vote in the European Parliament. This means EU citizens can continue to safely browse the web, provided the law is implemented correctly.
Ik merk wel vaker dat ik iets hoor als het te laat is, als er al over gestemd is, als het al ingevoerd is. Dan is het resultaat het nieuws, niet de "call to action". Misschien is Tweakers hier ook niet helemaal de juiste website voor? Ik zie vaak dat nieuwssubmits over dingen die ik belangrijk vind niet geplaatst worden. Misschien omdat T.net neutraal wil blijven in dit soort issues, of omdat het te ver buiten de doelstelling van T.net (hardware) ligt. Daarom zouden wat mij betreft alle nieuwstips openbaar gemaakt moeten worden, zodat ik kan kiezen om alle tips te lezen ook als er geen artikel bij geschreven is.

[Reactie gewijzigd door Sando op 22 juli 2024 17:15]

Het QWAC-verhaal heeft wat uitzonderingen gekregen ("browsers mogen ingrijpen voor de veiligheid" enzo) maar ik vind de tekst van de wetgeving zelf een stuk minder duidelijk en overtuigend dan het persstukje dat in je link vermeld staat. "provided the law is implemented correctly" stemt me ook niet heel gerust zolang voorstellen als "chat control" rond blijven slingeren.

De hele eIDAS-wet heeft in het nieuws helaas amper aandacht gekregen, waarschijnlijk omdat het grootste gedeelte ervan maar weinig interessant is voor de meeste mensen. Het is een uitbreiding op een wet die bedoeld is om te zorgen at je Digid in Duitsland en België werkt, iets dat alleen interessant is voor expats denk ik. Het QWAC-verhaal is tenslotte een kanttekening op een wet die best nuttig is.
Daarbij als ik morgen een illegale dienst wil aanbieden voor andere. Of dit nu kinderporno, terrorisme of wapenhandel is waarom zou ik voldoen aan deze wet? En niet gewoon een applicatie maken die alles encrypt en zonder de juiste sleutels (die ik namelijk niet weet, want dat zou onveilig zijn) niet leesbaar is?

Het is puur een wet voor de bühne.... Want je pakt er alleen de minder goede/succesvolle boefjes mee. Jij denkt dat goed georganiseerde bendes het geld niet hebben om dit te laten ontwikkelen?
Ik ben zelf fel tegenstander van deze wet, maar dat is natuurlijk een slecht argument. Als jij een applicatie aanbiedt die illegaal bevonden is, kan daar relatief aanvoudig op gehandhaafd worden. Deze zal worden geweerd uit app-stores. Daarnaast kunnen providers eenvoudig gesommeerd worden een eventuele website neer te halen die de applicatie aanbiedt, of de toegang daartoe ontzeggen.
Dat wil niet zeggen dat die applicatie niet alsnog op illegale wijze verspreid kan worden, maar je maakt het wel een heel stuk minder toegankelijk.
Dan sideload je toch de applicatie? De app-store is niet de enige bron voor applicaties.

Voor iOS is het wat lastiger, maar dan jailbreak je die. Mag misschien niet, maar dat interesseert een crimineel niet, anders was die ook niet een crimineel.

[Reactie gewijzigd door MoonRaven op 22 juli 2024 17:15]

Dan sideload je toch de applicatie? De app-store is niet de enige bron voor applicaties.
Mijn angst is dat de volgende stap is om sideloaden te verbieden. Ook dat zal niet genoeg zijn en dus zullen er steeds meer stappen nodig zijn om apparaten te "beveiligen" tegen de gebruiker. De commercie zal dankbaar van de situatie gebruik maken om hun eigen belangen door te drukken zoals het onmogelijk maken om ad-blockers te gebruiken.
Met Vrije Software is het dan ook wel afgelopen.
Mijn angst is dat de volgende stap is om sideloaden te verbieden.
Zou wat zijn, aangezien ze Apple juist net verplicht hebben het te gaan ondersteunen
Voor de 'normale' mens wel, maar voor de crimineel toch niet? Die krijgen gewoon instructie om installatie van onbekende bronnen in te schakelen en URL om de APK te downloaden en installeren...
Het "voordeel" is dus dat zulke acties an sich al als crimineel bestempeld kunnen worden. Je hoeft dus niet eerst sleutels te gaan vorderen of te onderzoeken of Piet Snot zijn browser onrechtmatig gebruikt heeft, want Piet Snot heeft de wet al overtreden door de illegale applicatie te installeren en te gebruiken. Een en ander maakt toestemming krijgen voor vervolgacties ook makkelijker.

Het nadeel voor de burger laat zich uiteraard ook raden; als jij liever geen achterdeur van de overheid in je chat hebt om redenen die niets te maken hebben met criminele acties heb je alsnog pech als je gesnapt wordt met je "illegale chattoepassing" om wat voor vergrijp of onderzoek dan ook.

[Reactie gewijzigd door MneoreJ op 22 juli 2024 17:15]

Kansloos voorstel, want een achterdeur inbouwen betekent einde online privacy.

De enige reden dat het geagendeerd is, is dat er kindermisbruik bij wordt gesleept als drogreden. Kindermisbruik en terrorisme worden zo vaak gebruikt om wetten (proberen) door te drukken die nergens op slaan ...
Precies. Zodra grondrechten worden geslachtofferd om opsporingstechnieken toe te staan die deze schenden, wordt er een grens overschreden die niet overschreden mag en moet worden.

Er is voor de opsporingsinstanties ook een prima en bewezen alternatief voor decryptie van chats: infiltratie.
Maak je maar geen zorgen, onze nieuwe premier Schoof zal dit "hoogstwaarschijnlijk" wel in goede banen leiden, zeker met zijn kennis van zaken betreffende digitale privacy.
Ja, eens, maar vooral omdat het digitaal lastig te reguleren valt. We hebben allerlei wetten voor het toestaan van privacyschending in opsporing, post doorlezen, telefoons tappen, mensen afluisteren etc. Alleen omdat digitaal de beveiliging makkelijker is om toe te passen (bijna alles automatisch), en het ontsleutelen alleen kan door het protocol te slopen (backdoors) krijg je deze lastige situatie.

Het ontsleutelen van sommige data is helemaal geen gekke gedachte, en zou met de juiste eisen gewoon logisch in ons wetssysteem passen. Echter is moderne encryptie te goed en kun je het alleen maar volledig slopen.

Ik snap wel dat er steeds wordt gezocht naar een soort tussenweg, alleen moet iedereen er steeds opnieuw achterkomen dat die (nog) niet bestaat.
Het ontsleutelen van sommige data is helemaal geen gekke gedachte, en zou met de juiste eisen gewoon logisch in ons wetssysteem passen. Echter is moderne encryptie te goed en kun je het alleen maar volledig slopen.
Met het ontsleutelen van 'sommige' data definieer je nou precies het grijze gebied waar veiligheidsdiensten maar al te graag over zouden willen beschikken.
Ik snap wel dat er steeds wordt gezocht naar een soort tussenweg, alleen moet iedereen er steeds opnieuw achterkomen dat die (nog) niet bestaat.
Het installeren van een backdoor is m.i. géén tussenweg, maar de boel (en de naam suggereert dit al) domweg open zetten voor diegene die daar interesse of behoefte in hebben.

Een tussenweg zou eventueel kunnen zijn dat individuele logs van chats op verzoek van een opsporingsinstantie door de beheerder van de applicatie worden ontsleuteld en vrijgegeven, mits met juridisch onderbouwd verleende toestemming, zoals bijvoorbeeld ook bij afluisteren of doorzoekingen ook gebruikelijk is.
Die reden is heel sterk dat de gemiddelde burger doet overhalen. Mijn vader heeft de ballen verstand van internet, maar het argument tegen cp en terrorisme maakte wel veel indruk.

Uitgelegd dat het onmogelijk is om een achterdeur in encryptie te bouwen zonder dat het internet, zoals we het nu kennen, ten onder zal gaan. Zelfs toen twijfelde die nog een beetje, terwijl hij normaliter vindt dat de overheid zich nergens mee moet bemoeien.

Plus door het uitvoeren van het voorstel zullen criminelen zelf wel applicaties met encryptie uitrollen en vang je alleen de kleine vissen die gebruik maken van main-stream communicatiemiddelen.

[Reactie gewijzigd door joost00719 op 22 juli 2024 17:15]

wordt gesleept als drogreden
Wat is volgens jou dan de echte reden? Dat er hele groepen politieagenten gaan zitten kijken naar wat voor websites Lenwar en MTVGN aan het bekijken zijn of wat voor foto’s wij maken? Denk je dat ze niks anders te doen hebben?

Begrijp me niet verkeerd. Ik vind een achterdeur op versleuteling per definitie een fout idee. Niet omdat ik de overheden niet vertrouw, maar omdat je dan een garantie hebt dat kwaadwillenden diezelfde sleutel ook in handen gaan krijgen.
Net zoals dat kwaadwillenden ook de lopers hebben van onze koffers. (Die TSA sloten die verplicht zijn).

Ik snap de gedachte vanuit het perspectief van de opsporingsdiensten. Maar dit is naar mijn mening niet de juiste manier.
Ja maar er staat duidelijk dat het alleen is om kindermisbruik aan te pakken, niks anders, dat gaat dan niet gebeuren.Of ben je vóór kindermisbruik. Nee toch?

Okay misschien om terrorisme aan te pakken dan. Maar je wil toch geen terrorisme? Of wil je dat soms wel? Ik denk dat jij even moet worden doorgelicht vriend.
Okay misschien om moord aan te pakken dan. Maar je wil toch geen moorden links en rechts?
Okay misschien om terrorisme aan te pakken dan. Maar je wil toch geen terrorisme?
Okay misschien om fraude aan te pakken dan. Maar je wil toch geen fraude?
Okay misschien om illegale wapenhandel aan te pakken dan. Maar je wil toch geen wapens op straat?

Misschien een goed idee om de Belastingdienst toegang te geven, dat gerommel met kilometers kan niet, daar kan vast wat voor worden gevonden in al die data.
Er moet altijd enige privacy blijven ook al gaat dat ten koste van "veiligheid". Ik heb genoeg (legale) dingen te verbergen. Daarom doe ik ook de deur op slot als ik naar de WC ga. Mijn moment van privacy. Hier in de VS heb je dan alsnog geen privacy want de kieren tussen de deuren zijn zo groot dat er met gemak een opossum tussendoor past. Dat is ooit bedacht om het schoonmaken te vergemakkelijken. De grap is dat hier de stoelganprivacy zeer beperkt is, maar achter die deuren kun je alsnog je illegale dingen ongemerkt doen. Zo voelt de huidige digitale privacy ook. Er worden allerlei achterdeuren ingebouwd, maar een boef zal altijd een third party encryption tool gebruiken waardoor de overheid alsnog niet kan meekijken bij de boeven, maar wel bij alle anderen die gewoon hun legale dingen willen verbergen.
Het is echt schandalig dat dit maar elke keer weer anders verpakt naar de EU commissie gaat om over te stemmen. Overal waar je over "Chat control" leest zie je hoe slecht het is, niet haalbaar, onrealistisch, massa surveillance noem maar op.
Wetten zoals deze zijn inderdaad erg gevaarlijk en ze werken ook niet goed in het behalen van de zogenaamde doelen. Experts op elk vlak van techniek tot privacy hebben aangegeven hoeveel problemen er zijn met deze hele denkwijze. Dat dit toch telkens, in veel landen en vormen, weer wordt geopperd laat wel zien hoe bang machthebbers zijn voor encryptie, en/of hoe weinig ze ervan snappen.

Argumenten zoals "denk om de kinderen" en "we stoppen criminelen" zijn al vaak weerlegd. Dat is simpelweg niet hoe het zou gaan in de praktijk, zelfs als de bedoelingen werkelijk in die richting lagen, wat ik sterk betwijfel. Het moet haast gaan om een lege controledrang, zonder goed te kijken naar de voor- en nadelen voor de samenleving als geheel. De sleutels van zo'n achterdeur belanden overal, en zijn grof geld waard. Criminelen vinden altijd een alternatief communicatiekanaal, en het zelf opzetten van een chat + encryptie zonder achterdeur is behoorlijk goed mogelijk. Dus het zullen de onschuldigen zijn die bespied worden en juist niet de criminelen. De instanties hebben ook nog eens helemaal niet de capaciteit om al die data te gebruiken die uit een wet als deze zou voortkomen.

Het moet hier eigenlijk wel gaan om controledrang en/of onwetendheid. Maar ze snappen blijkbaar ook niet dat zij zelf, dus politici en wetgevers, ook eenvoudig afgeluisterd zouden kunnen worden op deze manier.

[Reactie gewijzigd door geert1 op 22 juli 2024 17:15]

Echt bizar hoe dat werkt ja. Ze blijven het gewoon proberen totdat het een keer per ongeluk lukt.
Ach - hier doen ze het tenminste nog open en bloot. In de VS zouden ze zoiets als appendix toevoegen aan een ander wetsvoorstel, tussen 200 andere, en hopen dat niemand het ziet.
TIL:
er is volgens het artikel een Europese Raad en een Raad van Europa en dat zijn blijkbaar verschillende dingen.
Dat klopt, de Raad van Europa staat volledig los van de EU zelf, het is een eigen losstaande organisatie:
De Raad van Europa staat los van de Europese Unie (EU), maar voorwaarde om lid te worden van de Unie is wel het lidmaatschap van de Raad.

[...]

De Raad van Europa (Frans: Conseil de l'Europe, Engels: Council of Europe, soms afgekort als: RvE) is een internationale organisatie opgericht in 1949 door tien Europese landen met als doel de vrede in Europa te bewaren en mensenrechten, democratie en de beginselen van de rechtsstaat te beschermen en te handhaven.
De Europese Raad is wél direct onderdeel van de EU. Sterker nog, het is één van de belangrijkste instanties binnen de EU:
De Europese Raad (Engels: European Council) is een van de belangrijkste instellingen van de Europese Unie.

De Europese Raad bestaat uit de regeringsleiders (meestal premiers) of gekozen staatshoofden (meestal presidenten) van de 27 lidstaten van de Europese Unie, een voorzitter en de voorzitter van de Europese Commissie. De hoge vertegenwoordiger van de Unie voor Buitenlandse Zaken en Veiligheidsbeleid neemt ook deel aan de werkzaamheden van de Europese Raad. De Europese Raad geeft de nodige impulsen voor de ontwikkeling van de Unie en bepaalt de algemene politieke beleidslijnen en prioriteiten.

De Europese Raad komt minstens twee keer per halfjaar bijeen. Men spreekt dan ook wel van een Europese top of van een EU-top. De bijeenkomsten vinden plaats in het Europagebouw in Brussel.
Dus ondanks de op elkaar lijkende naam hebben beiden Raden in principe niets met elkaar te maken, hooguit indirect.

[Reactie gewijzigd door wildhagen op 22 juli 2024 17:15]

In de context van dit bericht is de Raad van de Europese Unie (Wikipedia: Raad van de Europese Unie) belangrijker: die onderhandelt met het Europees Parlement over de inhoud van wetten. Het is dus díe raad (ook wel de Raad van Ministers) die nu de boel uitstelt.
Twee jaar geleden werd het wetsvoorstel ook al besproken en na kritiek ingetrokken. Nu bespreken ze het weer. Ze gaan zo te zien net zo lang door dat deze wet er is. Treurig!

Enig goed nieuws: volgens onze Duitse vrienden gaat Nederland het wetsvoorstel niet steunen. Dit betekent natuurlijk niet dat het niet door gaat.

[Reactie gewijzigd door Rob vd Hoeven op 22 juli 2024 17:15]

Als het nu uitgesteld wordt en Nederland straks Dick Schoof (gesteund door PVV, VVD, NSC en BBB in de Tweede Kamer) als onze stem in de Europese Raad stuurt zou de stem van Nederland wel eens anders kunnen uitpakken dan nu.
Dat is nog maar de vraag, het klinkt natuurlijk leuk maar de man heeft nu een heel andere functie.
U denkt toch niet zoals vele dat Rutte alles bedacht heeft en duizenden ambtenaren aanstuurde.
Kunnen we anders eerst starten met een proef bij politici zelf, een backdoor op hun communicatiekanalen? Kijken of ze het dan zelf een prettig idee vinden, want de realiteit is dat ze er zelf ook onderhevig aan gaan zijn.

Of, we voeren de proef fysiek uit. Dat we een slotenmaker naar hun huis sturen om de achterdeur open te maken /s, want dat is hetgeen wat ze voorstellen om in de virtuele wereld ook mogelijk te maken.

Ik kan mij geen enkel scenario bedenken waarin deze wetgeving voor de politici zelf ook voordelig is. Dit is letterlijk voor iedereen een ramp als ze dit invoeren.
Het is nog erger, je zegt: want de realiteit is dat ze er zelf ook onderhevig aan gaan zijn
In de praktijk is dat dus zelfs niet waar, ze hebben een uitzondering gevraagd voor zichzelf. Dat zou toch genoeg moeten zeggen zou je denken.....
Dat deel heb ik gemist, waar staat dat?
Je kan het hier terugvinden.
In dat artikel staat niet dat het politici een uitzondering krijgen, enkel inlichtingendiensten, politie en militairen. En dan ook enkel hun werk accounts, niet hun privé accounts.
professional accounts of staff of intelligence agencies, police and military
Lees de zin daarna dan ook even. Die heeft al snel betrekking op elke politicus.
Dit is inderdaad een soortgelijke bronverwijzing als ik tegengekomen was.
Dat is inderdaad erger, maar ook daar zie ik niet hoe het praktisch moet werken. Ze gebruiken toch ook platformen als WhatsApp met hun familie e.d.?
Ik ben niet echt bang dat de politie of politiek dit zal aangrijpen voor massasurveillance. Het zou kunnen maar als ze dat echt willen houden we het toch niet tegen. Daar gaat dit voorstel niet veel aan veranderen.

Mijn bezwaar is veel pragmatischer, namelijk dat de uitvoering van die wet grote onbedoelde neveneffecten heeft. Chatcontrole vereist immers dat de controle door de chatapplicatie op apparaat van de gebruiker zelf wordt uitgevoerd. Als crimineel neem je dan wel een andere chatapplicatie die je niet controleert.

Daar begint het echte probleem want de politiek zal het daar niet bij laten zitten. Zodra de politiek doorkrijgt dat het te omzeilen is zullen ze de fabrikanten verplichten om het omzeilen onmogelijk te maken. Appstores worden verplicht om te controleren of apps wel netjes scannen en sideloaden zal verboden moeten worden. Alternatieve appstores zie ik dat niet overleven, die hebben het nu al erg moeilijk. Zelf je eigen software schrijven en installeren zal ook verboden moeten worden, of in ieder geval weggestopt achter een vergunning. Het rooten van je telefoon of het installeren van een custom rom zal onmogelijk zijn. Als eigenaar ben je niet langer echt de baas over je telefoon.
Dat zal niet op dag 1 zo zijn, maar het is de enige uitkomst die ik zie als je aan dat traject begint.

Daar kan het echter niet ophouden. Diezelfde regels zal je moeten toepassen op ieder apparaat met een internetaansluiting. Van PC's en TV's tot webservers en websites. Via websites kun je immers ook versleutelde berichten uitwisselen.

Een bijkomend negatief verschijnsel is dat dit waarschijnlijk ten koste gaat van het oplossen van security bugs, of beter gezegd, een verschuiving van welke bugs prioriteit krijgen. Momenteel zijn bugs waarbij je via internet toegang krijgt tot een apparaat de ergste soort securitybugs die we kennen. Security bugs waarvoor je al toegang tot het apparaat moet hebben zien we als veel minder belangrijk. De gebruiker hoeft z'n eigen apparaat en data immers niet te hacken, die toegang is er al. Daarmee wil ik niet zeggen dat die bugs geen risico meebrengen, maar wel minder.
Ik vrees dat bedrijven hier overmatig veel aandacht aan zullen (moeten) geven. Als bugs laten zitten hebben ze immers een conflict met de politie en politiek. Als ze andere securitybugs laten zitten dan komen de lasten bij gebruikers neer (die gehacked worden). Ik heb echter nog nooit gehoord dat een bedrijf gestraft is omdat een gebruiker is gehacked. Niet meewerken met de politie is iets dat wel echt wordt bestraft.
Dit deel hoeft niet per se negatief te zijn, het kan ook zo uitpakken dat er in totaal meer aandacht is voor het oplossen van (security)bugs.


In dit debat heb ik het liever niet over "massasurveillance". Op een bepaalde manier is dat net zo erg als het "maar csam!"-argument en het maakt geen indruk op de voorstanders van chatcontrol. Ze zien het zelf niet als brede surveillance en dat is ook niet hun bedoeling (in ieder geval van de meesten), ze voelen zich dus ook niet aangesproken. Net zo min als tegenstanders van wet zich aangesproken voelen als je zegt dat het allemaal pedo's zijn.

Als je breed indruk wil maken is het woord "(massa)surveillance" niet genoeg, je zal concreet moeten uitleggen hoe mensen er last van hebben. Hierboven heb ik dat uitgelegd op een manier die Tweakers aanspreekt, maar het grote publiek zal niet onder de indruk zijn, voor hen is het in praktijk al zo dat ze niet de baas zijn over hun eigen apparaten.

Daarbij is enige vorm van surveillance normaal in onze samenleving. Zo worden onze telefoon(centrale)s worden ook afgetapt en overaql hangen camera's. Of je daar nu blij mee bent of niet, de meeste mensen accepteren dat.
Ook ik vind dat de politie onder voorwaarden criminelen mag afluisteren. Uiteindelijk wil ik dat het recht zegeviert en boeven zich niet kunnen verstoppen. Als puntje bij paaltje komt wil ik dat de politie de waarheid boven tafel kan krijgen. Ik geloof dat digitale communicatie zo belangrijk is geworden dat je die nodig hebt in sommige onderzoeken en ik geloof ook dat het lastig is voor de politie dat ze daar niet bij kunnen. Uiteraard wil niemand dat dergelijk bevoegdheid verkeerd gebruikt wordt, maar af en toe een foutje is acceptabel, dat gebeurt overal waar mensen werken. Voorstanders zullen dat dus niet als show-stopper zien.


Mijn advies is dus om de gevolgen van zo'n wet zo concreet mogelijk te maken in termen die mensen direct begrijpen. Een strijd tussen het "csam"-frame en het "massasurveiliance"-frame kun je niet winnen. Mensen gaan nog liever onschuldig naar de gevangenis dan als pedo te worden bestempeld.
Hoe je dat precies doet is de uitdaging.
Beveiliging van de voordeur heeft ook vrij weinig zin wanneer je verplicht een zwakke achterdeur moet aanbieden. De enige die hier echt baat bij heeft, zijn diegene die toegang willen hebben tot jouw data. En dat zijn de criminelen en state sponsored hackers. Persoonlijk zie ik liever dat de beveiliging beter wordt ipv zwakker.

Of zou er een politicus zijn die mij kan uitleggen waarom bijvoorbeeld hackers in Rusland makkelijker toegang moeten krijgen tot mijn data?
Het is een briljant idee om decentralizatie van communicatie te verspoedingen. Zodat we niet meer vast zitten aan al de techbedrijven. Maar buiten dat.
Symboolpolitiek is dit. Privacy schendingen onder het mom van bestrijding van criminaliteit. De echte misdadigers stappen gewoon over (of zitten daar al) naar een app/dienst/protocol etc die niet gecontroleerd wordt.

Op dit item kan niet meer gereageerd worden.