Minister: versleuteling kan toegang VS tot Nederlandse cloudgegevens blokkeren

Minister van Economische Zaken Dirk Beljaarts zegt dat encryptie ervoor kan zorgen dat de VS geen bestanden van de Nederlandse overheid bij Amerikaanse cloudbedrijven kan inkijken. Volgens Beljaarts mag Nederland ook niet afhankelijk worden van een enkele clouddienstverlener.

Minister Beljaarts heeft de opmerking gemaakt in een kabinetsreactie op een rapport van denktank Clingendael. Die organisatie had eerder dit jaar nog gewaarschuwd voor de mogelijke veiligheidsrisico’s die kunnen ontstaan doordat Nederlandse overheidsdiensten en infrastructuur e-mailbeheer hebben ondergebracht bij grote Amerikaanse techbedrijven.

Beljaarts gaat in zijn reactie verder in op Amerikaanse wetgeving die cloudaanbieders in de Verenigde Staten in specifieke situaties ertoe kan dwingen om gegevens van gebruikers over te dragen aan de inlichtingendiensten. De minister meent echter dat het risico ‘laag’ is dat gegevens van Europese burgers op basis van deze wet overgedragen zullen worden. De minister stelt bovendien dat de inzagemogelijkheid in zijn geheel kan worden geblokkeerd door bestanden te versleutelen, voordat ze in de cloud worden opgeslagen. Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.

Beljaarts schrijft tevens dat de dominantie van Amerikaanse cloudaanbieders in Europa een economische afhankelijkheid creëert en impact heeft op de digitale open strategische autonomie van Europa. De minister vermeldt ook dat het Nederlandse ministerie van Economische Zaken momenteel onderzoek doet naar de verschillen tussen het Nederlandse en Europese cloudaanbod en het aanbod van de grote Amerikaanse techbedrijven.

Door Jay Stout

Redacteur

23-09-2024 • 15:45

101

Submitter: wildhagen

Reacties (101)

Sorteer op:

Weergave:

Minister van Economische Zaken Dirk Beljaarts zegt dat encryptie ervoor kan zorgen dat de VS geen bestanden van de Nederlandse overheid bij Amerikaanse cloudbedrijven kan inkijken.
Dat vind ik een boude uitspraak. Het is immers al jaren bekend dat de NSA bij sommige producenten een verzwakte encryptie heeft laten opnemen, zodat ze mee konden kijken. Als voorbeeld: nieuws: 'Juniper gebruikt door NSA verzwakt algoritme voor encryptie'

Ook kon de NSA meeluisteren bij de Nederlandse politie door het exploiten van een lek. Zie bijvoorbeeld nieuws: 'NSA kon meeluisteren met SE 660 Crypto-mobilofoons van Nederlandse p...

Snowden heeft ook aangetoond dat de NSA werkt aan speciale quantumcomputers om encrypte kunnen kraken: nieuws: NSA werkt aan kwantumcomputer om encryptie te kraken

Ook heeft de NSA speciale afdelingen, juist om encryptie (van bijvoorbeeld VPN, SSH etc) te kraken: nieuws: 'Speciale NSA-afdeling kraakt vpn-, https- en ssh-verbindingen'

Met al deze berichten in het achterhoofd, hoe kan minister Beljaarts dan garanderen dat de NSA dit soort methoden ook niet inzet voor toegang tot bijvoorbeeld data in de Amazon-, Google-, Oracle- of Microsoft-cloud omgevingen?

Ik vind dit een behoorlijk gewaagde uitspraak van de minister.
Ik neem even aan dat de minister geen Amerikaans product wil gebruiken om de boel te versleutelen. Het is anders inderdaad behoorlijk kansloos. Wel een ultieme kans voor de Amerikaanse inlichtingendiensten! Al die Europeanen die hun gevoelige data zo in hun handjes geven.
Dat hebben ze nu ook al, dus er verandert niks.
En ik wil de minister nog wel eens zien zonder Microsoft, Apple en Google (Android).
Het verschil is dat nu een aantal bedrijven die ik ken vrij huiverig zijn om gevoelige data in 'de cloud' te plaatsen en zo een andere oplossing hebben voor die data. Uiteraard wordt dat allemaal maar duur en onhandig gevonden, dus deze versleuteling zou ze zomaar over de streep kunnen trekken.
Wij hanteren ook zeer strenge richtlijnen rondom (zeer) gevoelige data, ik vrees dat de discussie binnenkort ook weer losbarst hier. -zucht-
Gewoon data in de EU houden, ik weet dat Amerikaanse bedrijven verplicht zijn om mee te werken aan inzage verzoeken ook in andere landen maar dat is niet ons probleem. Als de klant versleuteling (in transit en at rest) gebruikt dan kunnen ze wel toegang geven maar dan kunnen ze er niets mee. Dat is niet ons probleem.
De data van de europese bedrijven staat in de EU in datacenters. Elke cloud provider bied de mogelijkheid om een specifieke regio voor je data te selecteren. In het geval van Microsoft zijn dat bijvoorbeeld Ierland, 2 in de UK, Frankrijk, Spanje, Italie, Zwitserland, 2 in Duitsland, Noorwegen, Zweden, en Polen.
Elk Amerikaans data center in de EU dient zich aan de Patriot Act te houden. Ze kunnen verzoeken van de NSA niet weigeren en mogen Nederland ook niet inlichten indien er zo'n verzoek binnenkomt.

Het is zoals @Vaevictis_ stelt, de data zal versleutelt moeten worden voordat de data in de Cloud geplaatst wordt. Dan kan de NSA wel om de data via de Cloud provider in handen krijgen echter die is van versleutelt.
Vergeet niet dat de inlichtingendiensten onderling contact hebben. Een verzoek van de Amerikanen zou via de AIVD kunnen lopen of zelfs via bedrijven die in Engelse handen zijn zoals Fox-IT. Als Europa moet we meer loskomen van de VS en zorgen voor onze eigen Cloud infrastructuur. Desnoods zou dit gratis aangeboden moeten worden vanuit de Europese Unie. Iedere Europeaan een eigen Euro-drive met onbeperkte opslag en mailfaciliteiten. Het zou het speelveld tussen Europa en de VS gelijker maken.
Ik neem aan dat het hier gaat om de enige manier om het veilug te doen

DKE. Double key encryption.

Enige probleem is waar host je je eigen key want er is bijna geen enkele goede manier.

Je hebt dan eigenlijk een hardware key applaince nodig in een datacenter dat gecertificeerd is om dit te hosten net als een public PKI.

Outsourcen naar specialist is geen optie dan kan je net zo goed Ms AIP gebruiken.

En als je self hosting verkeerd gaat of een outage hebt kun je gedag zeggen tegen je hele tenant want ms kan niks meer voor je doen.

En als laatste heb je nog dat je key overdracht nu elke sessie via inet gebeurd en dus niet alleen de end users dus load kan best hard toenemen op die appliance.

En als laatste ga je het jezelf heel lastig maken in de legal en compliance hoek omdat je niet meer inzicht hebt in wat er met je data gebeurd.

Je kunt niet even een ediscovery over de tenant doen. Je zult onprem tools moeten gebruiken of dycrypten en terug uploaden naar blob etc.

Het is dus niet even gewoon encrypte.

#msft

[Reactie gewijzigd door Scriptkid op 23 september 2024 17:59]

Je zou kunnen denken aan een overheid-vault waar alle gemeenten en ministeries hun encryptie key opslaan, fysiek gehost door de Nederlandse overheid en dan 6 factor authentication erop, waarbij meerdere mensen hoog in de boom. techneuten en security officer allen een deel van de key kunnen ontvangen.
Dat is wel een leuke voor de Redhats.

als je dan een DDOS daar kunt veroorzaken is niet alleen de hele NL down maar ook alle data die ze ooit hebben gehad.

Painting a bullseye

[Reactie gewijzigd door Scriptkid op 24 september 2024 10:38]

nee, iedere organisatie bewaart (by default) zijn eigen decryptie key.
Het scenario werd geschetsts dat een organisatie de key kwijt raakt (door whatever calamiteit, zoals een uitgebrand serverpark of een cryptolocker)
In dat geval kun je je SaaS omgeving nog lezen omdat je een methode hebt om toch je key nog te recoveren, zonder dat een vreemde mogendheid daar bij kan.
Dus je wilt een HSM lokaal bij elke entiteit en dan een centrale backup HSM voor alle identiteiten samen,

is dat wat je bedoelt ?

Maar dan moeten al die entiteiten heel hard gaan opschalen om hun eigen HSM secure en met correcte redundacy en capaciteit te hosten , Ik zie dat niet snel gebeuren. HSM hosting is niet iets wat je even snel doet en zomaar in elk datacenter kan.
Dat de overheid nog veel werk te doen heeft als het gaat om security staat wel vast.
Alles is uitbesteed zodat de ambtenaren nooit zelf de fouten kunnen maken.

Dat moet natuurlijk als eerste stoppen. Als je niet eens weet wie er toegang heeft tot je omgeving, hoe kun je dan ooit verantwoordelijkheid nemen voor je security.
Maar zo'n machine kun je gewoon in een LAN opslaan. Zoals dat van Defensie. Want dat gaat nooit plat ;)
Ff serieus, als de NSA data wil, dan kan ze Microsoft dwingen die te verkrijgen via de front end applicaties.

Leuk die versleuteling, maar dat werkt alleen tegen derden. Als je het eindpunt te pakken hebt, kom je er alsnog bij...
Als je zelf de front-end applicaties bouwt en bijv. wel in de EU host, of bepaalde soorten beveiliging erin aanbrengt die lijken op e2e encryption, dan kan het wel gewoon :)
Dat zal vast, maar het artikel en de post van degene waar ik op reageer gaat over de VS. ;)
Het tweede deel van mijn zin ook.
Dus als ik een chatapp bouw, met end-to-end encryptie en en ik bouw een achterdeur in de software op de telefoon die de chatinhoud doorstuurt naar de NSA, dan ben je veilig?

End-to-end zegt alleen dat alleen jij en de ontvanger(s) een sleutel hebben. Maar het zegt niks over wel- of geen achterdeur in de clientsoftware.
  • De telefoon kan gekraakt zijn
  • De software kan een achterdeur bevatten\gekraakt zijn
  • De keys kunnen tijdens het aanmaken/uitwisselen onderschept zijn of via man-in-the-middel niet eens true e2e zijn
Er is van alles wat je kan doen terwijl het nog steeds e2e is of lijkt.
Ik interpreteerde het artikel alsof het alleen gaat om software die de overheid bouwt, dus niet Sharepoint/Office365-apps oid, maar zelfgebouwde en -beheerde apps.

Anders is het idd niet zinnig. En als je die dingen al on-prem kan draaien (wat met meerdere Azure-dingen kan, dan draai je containers op je eigen infra) dan bestaat idd het achterdeur-gevaar wat jij beschrijft.
Maar dan is er dus traffic van je end-points naar de servers van de NSA.
Nu zit ik niet de hele dag te kijken naar mijn uitgaande datastroom, maar toch is er een aanzienlijk risico dat iemand op tweakers toch ontdekt dat er rare dingen gebeuren.
Vooraf: dit is allemaal speculatie/theoretisch, ik weet niet of het gebeurt of zelf daadwerkelijk ingebouwd is/al kan.

Ik zou er van uitgaan dat het alleen bij specifieke personen aan wordt gezet. Scheelt een hele berg zinloze data, je kan het "targeten" en de kans dat het ontdekt wordt is heel klein.
Tja maar als je er toch vanuit gaat dat al onze encryptie gekraakt is, dan heb je wel grotere problemen die je niet oplost door een andere cloud aanbieder te gebruiken.
Zelfs als encryptie nu veilig is blijft het risico van 'harvest now, decrypt later' bestaan. Ook versleuteld is data gevoelig.
Ja voor een land als Amerika is het niet denkbeeldig dat ze gewoon een supercomputer 10 jaar lang laten draaien om iets te kraken.
Niet met quantum safe encryptie en perfect forward secrecy.
Indien goed uitgevoerd (wat ws wel impact heeft op performance) lijkt het me wel mogelijk om encryptie toe te passen via client of middleware aan Europese zijde?

Tuurlijk is het niet zonder risico en kunnen keys/certificates lekken, maar helemaal kansloos vind ik het ook niet?
Ik zou eerlijk gezegd niet weten hoe ik mijn Office365 data (e-mail en OneDrive) kan versleutelen. Iemand wellicht een idee. Ja ik kan natuurlijk bestanden versleutelen en dan opslaan in OneDrive, maar dan mis ik meteen ook wel een boel functionaliteit. Hoe dit verder moet met Sharepoint data met meerdere gebruikers is nog vager.

Of Google/Android. Hoe versleutel ik alle data? Hooguit de databestanden kun je versleutelen. De rest lijkt me toch redelijk lastig.

Oftewel. Ik zie nog wel wat gaten in de bewering van de minister.
Nee, niet Office365, maar wel pure compute/storage, daarmee kan het wel. Je voegt wel een laag complexiteit toe, maar die is sowieso verstandig om te hebben bij bijvoorbeeld data breaches.
Ik zou eerlijk gezegd niet weten hoe ik mijn Office365 data (e-mail en OneDrive) kan versleutelen. Iemand wellicht een idee. Ja ik kan natuurlijk bestanden versleutelen en dan opslaan in OneDrive, maar dan mis ik meteen ook wel een boel functionaliteit. Hoe dit verder moet met Sharepoint data met meerdere gebruikers is nog vager.
Sensitivity labels
Uiteraard met de benodigde licenties. En het vergt best wat uitzoekwerk en (daarmee) expertise.
Voor Sharepoint staat het er ook een paar menu items lager.

Welke gaten zie je dan? Hij benoemd het missen van functionaliteit.
Zover ik die opties doorzie, werkt het allemaal met services van MS waarbij MS dus ook minstens de sleutels een paar keer moet vasthouden. Dat lijkt me niet de bedoeling van dit verhaal.
Dat was niet je vraag :)

Maar dat kan met Double Encryption.

Alleen dan kan je niets wat Sharepoint vereist, zoals live samenwerken in hetzelfde document enz.
Ook Automatisch opslaan (in SP) werkt dan niet. En meer.
Dankje. Weer wat geleerd. Maar ik sluit me wel aan bij de vragen van @BvdW1978 hieronder. Voor een buitenstaander versleuteld, maar MS beheert de sleutels.
Dan heb je niet gelezen wat double key encryption doet. ;)

Die 2e key beheert MS niet, maar jij.

Ben jij de key kwijt, is de data voorgoed verloren.
Dan kan je net zo goed Double Encryption gebruiken.

Het is een sympathiek idee, maar als je een soort versleutelings-proxy gaat gebruiken, wat is dan nog het verschil met Double Encryption? Je besteed het beheer van de keys uit, maar niet echt meer dan dat.

De leuke features blijven net zo min werken omdat Azure de data niet leesbaar in Sharepoint heeft staan, wat voor bijna alles vereist is.
Welke reden heb je om aan te nemen dat deze minister dit allemaal zou weten en/of mee zou wegen in zijn uitspraken?
De minister meent echter dat het risico ‘laag’ is dat gegevens van Europese burgers op basis van deze wet overdragen zullen worden.
Dat zal een interessante manier zijn van risico-inschatting. Geen idee hoe je daar een waarde aan kan hechten.
De minister stelt bovendien dat de inzagemogelijkheid in zijn geheel kan worden geblokkeerd door bestanden te versleutelen, voordat ze in de cloud worden opgeslagen. Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.
Uh, ja. Als ze helemaal versleuteld zijn dan kan je er normaal gesproken niets meer mee doen. De enige informatie die losgelaten wordt bij "normale versleuteling" is informatie over de grootte van de data, en dat kan een aanvaller natuurlijk ook zien.

Er bestaat wel zoiets als homomorphe versleuteling waarbij je op gegevens nog steeds berekeningen kan doen, maar dat is niet gemeengoed en kost gigantisch veel rekenkracht. Dat zal zo duur zijn dat een lokale opslag veel goedkoper gaat zijn.

Verder is het de vraag op welk systeem je het dan gaat versleutelen. Dat zouden al bijna per definitie lokale systemen moeten zijn; i.e. of de clients of servers die hier draaien. Tja, dan kan je misschien beter de cloud naar je toe halen.

Als je de NL overheden en liefst EU overheden verplicht om vanwege de data inkijk mogenlijkheden van een lokale cloudprovider uit te gaan dan betaal je misschien wat meer, maar daarmee help je ook je eigen bedrijven mee. Als de US daar problemen mee heeft dan hadden ze die drakonische wetten maar niet aan moeten nemen.
Probeer eens een IT infrastructuur te bouwen zonder amerikaanse producten. Dus firewall, switches, OS, applicaties, etc.

Zelfs Open Source is niet veilig. Genoeg voorbeelden inmiddels waarbij malafide content redelijk ongemerkt in de code terecht is gekomen. Dat kan dus ook een geheime dienst doen.

Mij is het nog niet gelukt een enigszins valide concept te bedenken.Lukt het jou wel?
Mee eens op zich. Security is altijd een weegschaal. Als je de echter de administratie van de apparatuur en software uitbesteed dan ben je sowieso nat als de ander partij bij je data wil komen. Wat dat betreft maakt het niet eens zo veel uit waar de data fysiek is.

Momenteel kan je eigenlijk niet garanderen dat alle data niet continue wordt uitgelezen door een andere dienst. Als je het zelf in de hand hebt zou je dat het in ieder geval moeten kunnen detecteren.
Dat detecteren is nogal lastig, tenzij je natuurlijk ook nog je eigen hardware gaat ontwikkelen.

We draaiden vroeger gewoon een IPX/SPX netwerk naast TCP/IP. Beiden konden elkaar totaal niet zien. Zoiets zou dus ook heel simpel in hardware kunnen zitten gebakken. Kleine kans dat je dit dan met wireshark oppikt.

Aan de andere kant. Als ik me op dat niveau zorgen moet gaan maken, dan hebben we vrees ik grotere problemen dan partijen die bij onze data kunnen.
|:( dit zou toch ook in europa moeten kunnen?
Noem eens 1 EU aanbieder die een dienst heeft die zo veelzijdig is wat de Amerikaanse bedrijven aanbieden?
Moet het zo veelzijdig zijn dan?
Ze zijn er blijkbaar wel aan het bouwen: https://digital-strategy....t-project-common-european

Je zou dan juist met dat soort initiatieven in zee willen gaan om te zorgen dat ze kunnen groeien.
Dat is dat initiatief wat nu intern vecht en er maar niet uit komt.

Laat staan dat ze 20 jaar aan achteratand even weg programeren.
De meeste gebruikers willen ook met gebruikers in andere landen kunnen communiceren. Degenen die geen inkijk door de VS willen zijn ver in de minderheid. Dat maakt het moeilijk om winstgevend te worden.
De minister stelt bovendien dat de inzagemogelijkheid in zijn geheel kan worden geblokkeerd door bestanden te versleutelen, voordat ze in de cloud worden opgeslagen. Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.
Als ze over client-side versleuteling praten dan is er niet zoveel boeiends wat de aanbieder levert lijkt me. Enkel cloudopslag. Daar zijn echt wel voldoende serieuze partijen voor binnen Europa.
En die goedkoper zijn dan de VS.
Dat die er nu niet zijn, betekent niet dat die er niet kunnen komen.
Als je als EU in wetten vastlegt dat EU data alleen in de EU opgeslagen mag worden met een hoge mate van beveiliging, dan gaan bedrijven daar keihard op inspringen want die zien het geld aan de bomen groeien.
Nu zien bedrijven dat geld niet omdat Amerikaanse bedrijven een goedkoper alternatief aanbieden, maar als men niet meer buiten de EU mag plaatsen, dan is het ineens heel interessant om zoiets in de EU op te gaan zetten.
Eigenlijk zouden we er voor moeten zorgen dat het überhaupt niet nodig is. Er zijn genoeg mogelijkheden om cloud services in de EU werkend te krijgen. Denk aan het franse OVHcloud, of het Duitse T-systems. We zijn al teveel afhankelijk van de Amerikanen. Te beginnen met wat er in onze broekzak zit.
Dan doen we er toch wat aan? Zullen we wel een gunstiger ondernemersklimaat en beleggersklimaat moeten creëen.

Face it, je kan niet van twee walletjes eten. Je kan niet onafhankelijk zijn van de Amerikanen wat betreft bijvoorbeeld technologische kennis, gemakkelijke toegang tot (durf)kapitaal, (elektro)technische productie- en ontwikkeling, alsook goede faciliteiten voor ondernemers en vermogende personen,... én dan tegelijkertijd ook de Europese roze bril op blijven houden waarin we overal wet- en regelgeving voor hebben, solidair zijn met alles en iedereen (kansarmen, criminelen, vluchtelingen), goede vangnetten hebben, lekker genieten van parttime werken en enorm veel vakantiedagen, etc. etc.

In zekere zin lossen de Amerikanen op veel fronten het vuile werk voor ons op, en dat heeft een prijs: wij zijn afhankelijk van de Amerikanen, maar we leven wel een relatief rustig, gemakkelijk en veilig leventje. Voor de Americano's geldt daarentegen dat je een kutleven hebt als je geboren wordt in het verkeerde wiegje of als je onverwachts jong ziek wordt, maar het wel kan maken als alles lekker goed loopt in je leven.

Beetje gechargeerd, maar zo werkt de wereld wel natuurlijk, niet voor niks zitten de grote techreuzen in USA en niet in NL (op één uitzondering na dan).
Waar komt de hardware vandaan die in die servers zit?
Dat weet ik niet. Zal vast Amerikaans zijn, maar volgens mij is er geen verbod op het kopen van servers.
Dus dit kun je gewoon in de EU realiseren.
En worden daar geen backdoors ingebouwd door NSA etc?
Of springstof door de Mossad.
De hardware is het probleem niet. Een betrouwbare dienst met voldoende mogelijkheden is wat er ontbreekt. Bovendien wil je ook niet op één paard wedden, dus eigenlijk heb je meerdere aanbieders nodig. Als een enkele aanbieder voldoende is zouden ze eens bij Proton moeten gaan kijken.
Je kunt het ook omdraaien waarom kunnen neit een wereld cloud hebben.

Waarom moet alles met een eigen belang dat is het meest onlogische dat de mens ooit verzzonnen heeft.
Omdat de mens gewoon zo is. Zelfzuchtig.
Waarom moeten wij in Nederland data opslaan in de VS? Er is in Nederland veel te doen geweest om datacenters, laat onze overheid daar dan een gedeelte huren of het beter in eigen beheer doen. Toch niet meer dan redelijk dat je online gegevens versleuteld opslaat waarbij alleen de eigenaar van de bestanden de sleutel heeft de gegevens te openen?
Het grote probleem hierin is dat zelfs als de data in europa/nederland opslaan maar hiervoor een amerikaans bedrijf gebruiken (azure, aws, etc eu locatie) gebruiken amerika alsnog via de cloud act deze data kan opvragen/inzien.
https://en.wikipedia.org/wiki/CLOUD_Act
Nog erger is dat het eigenlijk ook kan als het niet bij Azure of AWS staat maar bijvoorbeeld bij KPN. Ook dan kan via de cloud act informatie geëist worden. Of het daadwerkelijk zover komt is maar de vraag, maar in theorie kan het wel.

edit: zie dit artikel van NCSC die hierover gaat

[Reactie gewijzigd door david-v op 23 september 2024 16:27]

Kunen en aanleveren zijn 2 delen.

Diverse grote big tech hadden al aangegeven die verzoeken niet te honoreren. Zelfs tot op het opsplitsen toe van de entiteiten
Er staat nergens dat we data opslaan in de VS maar dat we gebruik maken van Amerikaanse cloudaanbieders. Die kunnen door de overheid in de VS gedwongen worden om data die opgeslagen is in de EU over te dragen. Dit kan uiteraard niet zomaar en er is werkelijk waar een hele circus aan wetten opgesteld zowel bij de VS en de EU die niet eens op elkaar aansluiten.

Versleutelen met een eigen sleutel is overigens iets wat de meeste services wel aanbieden, bijvoorbeeld Azure biedt dat al langer aan (CMK)
Store now, decrypt later.

Wikipedia: Harvest now, decrypt later

Wordt de minister van EZ bijgestaan door mensen met expertkennis over dit soort zaken?
Vraag is natuurlijk hoe relevant de meeste informatie nog is op het moment dat je deze kunt ontsleutelen.
Gezien allerlei 'top secret' dossiers 50 jaar (of nog veel langer) geheim blijven denk ik dat een jaartje vertraging in het ontsleutelen geen groot issue zal zijn. Zeker niet als je daarmee jaren terug kunt kijken.
Dat is volledig afhankelijk van de informatie en wanneer het verkregen is. Dus daar valt weinig zinnigs over te zeggen.
Wikipedia: Venona project

Ik denk dat de interne communicatie van de AIVD of het ministerie van Buitenlandse Zaken best lang relevant kan zijn.
Wat een domme minister.
De encryptie sleutels bij cloud staan gewoon in diezelfde cloud onder beheer van diezelfde cloudleverancier. Dus dat lost het (lage) risico niet op.
Dat idd. Je kunt wel dingen roepen over encryptie, maar als je het niet over toegang tot de sleutels heb gaat het nergens over.
Precies. En zaken als HYOK voor cloud zijn nog niet gebruikelijk en vaak alleen voor een selectie workloads/apps beschikbaar. Daarnaast is een eigen HSM voor HYOK veels te duur voor de meeste organisaties. En als je dat uitbesteed, bijvoorbeeld aan Thales, zit je weer met een 3e partij, al dan niet Europees, die aan andere wetgeving moet voldoen.

Dit soort politieke uitspraken getuigen alleen maar van een hopeloos uitdijende kennis gat bij de overheid.
En wat verhinderd de CIA (of andere instanties) om deze encryptie te proberen te kraken als die data eenmaal op Amerikaanse servers staat? Beter is het om die gegevens alleen op Nederlandse (of EU) servers te houden, indien mogelijk.

[Reactie gewijzigd door CSB op 23 september 2024 15:49]

Wat weerhoudt de CIA of andere instanties ervan om een Nederlandse server te kraken?
Nog beter is om alle paden te versleutelen. Zowel de toegang als de bestanden zelf.
omdat de AIVD deze data net zo goed kan doorsturen naar de CIA? dit soort diensten werken heel vaak samen, dus de CIA hoeft helemaal niet moeilijk te doen door data op te vragen van aws of azure in de EU, dat gaat wel via de AIVD.
De minister vergeet een kleinigheid. Als je de data binnen jouw omgeving versleutelt is die data niet buiten jouw omgeving te benaderen. Maar dan.... stel je gebruikt naast de eigen cloud-applicaties ook teams. Om maar een kleine dwarsstraat te noemen. Dan kan teams ook niet bij die data. En dan maakt samenwerken wel heel erg lastig. Teams leunt op sharepoint om gezamenlijk aan documenten te werken. Als die mogelijkheid wegvalt is teams niet meer dan een dure facetime. Zelfde geldt voor Office356, Exchange, het complete powerplatform en zo voorts und so weiter.

Dus het verhaal klopt an sich wel, maar is in de praktijk een dood vogeltje
Dat verteld hij wel; "Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.". Samenwerken door het delen van bestanden is dan inderdaad snel onmogelijk. En bijvoorbeeld DLP ook, want die tools moeten je data kunnen lezen dus ook de private key hebben om de ge-encrypte bestanden te kunnen decrypten. Die key moet je dan moet afgeven aan je cloud leverancier, die dan dus in Amerikaanse handen is.

Dus aan de ene kant moet je voldoen aan wetten, ISO normen, NTA normen, waarin is vastgesteld dat je DLP moet implementeren, maar aan de andere kant moet je vooraf uploaden naar de cloud je bestanden encrypten. Lijkt mij een onwensbare en onwerkbare situatie.

Enige goede alternatief is om in Europa een cloud oplossing te bieden die gefund word en waarin overheden het voortouw nemen.
Ondanks ik onze data liever bij een EU leverancier zie staan.
De minister stelt bovendien dat de inzagemogelijkheid in zijn geheel kan worden geblokkeerd door bestanden te versleutelen, voordat ze in de cloud worden opgeslagen. Deze encryptie kan volgens Beljaarts echter ook nuttige cloudfuncties verhinderen.
Ben ik blij dat de minister, hiermee zegt. Dat KMS geen optie is :)
En via omwegen halen ze de data decrypted binnen.
Liaison van een Liaison die wel samenwerkingsverbanden heeft met een ander land.

Ik sta er niet van te kijken dat overheden elkaar bespioneren of elkaar data al dan wel niet legaal kunnen inzien.
ik denk inderdaad dat de lijn cia/nsa naar de aivd veel vaker gebruikt wordt dan de lijn cia/nsa naar Microsoft of AWS voor het inzien van bepaalde data.

Op dit item kan niet meer gereageerd worden.