VK lijkt eis voor iCloud-achterdeur te schrappen na Amerikaanse druk

Het Verenigd Koninkrijk wil Apple naar verluidt niet langer verplichten om een achterdeur in iCloud te bouwen. Britse ambtenaren zeggen tegen The Financial Times dat deze eis mogelijk indruist tegen overeenkomsten die het VK met de VS heeft gesloten.

Anonieme hoge functionarissen van de Britse regering zeggen tegen The Financial Times dat het VK 'waarschijnlijk' niet langer een achterdeur in iCloud gaat vereisen. De Britse overheid zou voor de VS een grens overgaan met die eis, omdat 'ze niet willen dat wij aan hun techbedrijven komen'. Volgens de ambtenaren heeft het VK nog niet officieel besloten om de eis van tafel te vegen, maar ze verwachten naar eigen zeggen dat de regering geen andere keus heeft dan om terug te krabbelen.

Begin dit jaar eiste de Britse regering toegang tot versleutelde inhoud van iCloud-gebruikers. De overheid beriep zich op de Investigatory Powers Act uit 2016. Op basis daarvan zou de overheid eisen dat Apple een algemene achterdeur bouwt in iCloud. Laatstgenoemde heeft zich hier niet over uitgesproken; dat is strafbaar volgens deze wet. Wel heeft Apple kort na deze eis de functie Advanced Data Protection, waarmee de cloudopslag wordt versleuteld, uitgeschakeld in het Verenigd Koninkrijk.

De Amerikaanse regering heeft zich al vaker uitgesproken tegen deze Britse eis. Het land stelt dat het VK hiermee het Cloud-verdrag schendt. Dat is een verdrag dat de VS met meerdere landen heeft afgesloten, waarbij Amerikaanse opsporingsdiensten gegevens kunnen opvragen van Amerikaanse burgers als die in andere landen zijn opgeslagen. Dat geldt ook andersom. Amerika vreest echter dat het VK met de achterdeur in iCloud ook toegang kan krijgen tot versleutelde data van Amerikanen.

Door Kevin Krikhaar

Redacteur

21-07-2025 • 11:04

94

Reacties (94)

Sorteer op:

Weergave:

Heel goed, America! Privacy anno 2025 is helaas niet meer vanzelf sprekend. Blij dat er nog landen in de wereld zijn die het nog wel belangrijk vinden.
Serieus ? Amerika de nummer 1 land als het om spionage gaat zowel binnenlands als buitenlands en op de 57ste https://www.bing.com/sear...C94364312AB59DADE9AC9382F plaats staat van landen als het om vervolging van persvrijheid gaat en dan iemand als Trump die daar nog even verder in gaat met aanvallen op burger en pers en bedrijven en de politiek dan voorheen denk jij dat iemand als Trump goede bedoelingen heeft voor eigen burgers of burgers zoals jij en mij ?

Trump heeft een punt maar als ik kijk naar de persoon en het land dan komt dat niet ten goede van jouw en mij of zelfs de Amerikaanse burger en ja er zijn veel landen waar het nog erger is als het om rechten en informatie gaat maar dat betekent niet dat Amerika vertrouwd kan worden en al helemaal niet iemand als Trump die gaat straks bepalen wie wel en wie niet Amerikaans burger is en wat voor prijskaartje daar aan hangt en wie wel en wie niet informatie mag krijgen en wat voor prijskaartje daar aan hangt het gaat allemaal om zijn eigen bankrekening en wie de klant is interesseert hem niets.
Mwah volgens mij is privacy hier niet het argument voor de VS (daar nemen ze het namelijk helemaal niet zo nauw met privacy). Gaat vooral om bescherming van de techbedrijven en de belangen van de VS. Desondanks is het effect wel hetzelfde, dus top.
verdrag dat de VS met meerdere landen heeft afgesloten, waarbij Amerikaanse opsporingsdiensten gegevens kunnen opvragen van Amerikaanse burgers als die in andere landen zijn opgeslagen. Dat geldt ook andersom. Amerika vreest echter dat het VK met de achterdeur in iCloud ook toegang kan krijgen tot versleutelde data van Amerikanen.
Privacy lijkt wel het argument te zijn, echter alleen om Amerikanen te beschermen tegen andere landen. Maar idd niet tegen de Amerikaanse overheid. In die zin klopt je argument wel, 1 achterdeur minder...
Dit is zeker goed van USA/ Trump _/-\o_
En in 2025 zijn er nog steeds zielen die geloven dat er geen verplichtte achterdeuren in grote propetarian software pakketten en OS-en zitten. Lekker op het blauwe pilletje blijven sabbelen ;)
Even pilletje tijdelijk uitgespuwd ;) De reden waarom ik denk dat software bedrijven niet direct achterdeurtjes maken, is voornamelijk omdat geheimen heel moeilijk te bewaren zijn.
Mensen gaan weg, worden ontslagen. Als een programmeur de bepaalde bronnen aan het bekijken is, kan hij de achterdeur vinden (hé, waarom zit dit erin ?), je hebt pen testers die zoiets kunnen tegenkomen.

Wat ik wel denk is dat er specifiek iemand getargeted kan worden.
Bv. Je Windows computer stuurt computernaam, IP-adres en meer gegevens naar Microsoft.
CIA gaat naar Microsoft en zegt we moeten op een PC op IP-adres. n.n.n.n komen.
Medewerker Microsoft stuurt een specifieke spoed update naar alle computers op dat IP-adres.
Spoed update installeert een RAT-software en CIA kan stiekem meekijken op alle Windows computers op dat IP-adres.

Phewwww. Snel weer pilletje in nemen :)
Het is zo jammer dat de grap zoveel minder leuk is als je moet vertellen dat je sarcastisch bent ;)
Degene die de illusie heeft dat zijn data in whatever cloud zo streng beveiligd is moeten toch even goed achter hun oren krabben. Wat wij lezen erover is voor de buhne, maar ik verzeker je (ja echt) dat alles gewoon in te zien is. Mijn ervaring begon met het lezen van de verhalen van de heer Zimmermann en zijn PGP avontuur welke erna afgetopt werd met de onthullingen van Snowden. Een TLDR ervan is simpel: alles is in te zien wat digitaal is.
edit:
en om nog even wat extra druk op de ketel te zetten, verdiep je eens in CVE-2023-38606 bijv. Een hardwarematige backdoor in Apple's chips waar zogenaamd niemand iets vanaf weet ;)

[Reactie gewijzigd door Yzord op 21 juli 2025 16:57]

En dat is dus niet correct. Anders zou de overheid aan de ene kant niet met deze eis moeten komen en zou Apple aan de andere kant niet een deel van de beveiliging uitzetten voor klanten in het VK.
Zoals ik al zei, dat is allemaal voor de buhne. Er moet natuurlijk wel de illusie worden gemaakt dat het allemaal veilig is. Maar geloof mij, linksom of rechtsom, als men wilt kan men er in kijken.
Maar geloof mij, linksom of rechtsom, als men wilt kan men er in kijken.
Graag onderbouwing. "Trust me bro" is niet een heel sterk argument. Voor zover onderzoekers en analisten tot dusver hebben vastgesteld werkt iCloud ABP zoals geadverteerd en is de encryptie uitermate goed ingeregeld.

Uiteraard kan men bijvoorbeeld proberen de iPhone met toegang tot de data (op afstand) te kraken en zo toegang te krijgen, maar dat is even van een heel andere orde en makkelijker gezegd dan gedaan.
Als je een onderbouwing wilt, grote cloudproviders als Microsoft, Google en Apple zijn verplicht de data van hun gebruikers te scannen op CSAM materiaal. Dat gebeurt dus ook:

https://www.dailymail.co.uk/sciencetech/article-11133805/Google-AI-flags-dad-photos-childs-groin-infection-phone-share-doctors.html

De data wordt ongetwijfeld versleuteld opgeslagen (data at rest encryption) maar uiteraard heeft de cloud provider de sleutel. Dus de cloud provider zou dat kunnen zien en wordt vanuit overheden verplicht controles uit te voeren. Nu is het CSAM, maar als er een ander gevaar opduikt dan kunnen ze ook verplicht worden daarop te scannen. Dus @Yzord heeft gelijk als hij stelt dat data in te zien is. Niet door de overheden zelf, maar ze kunnen de dienstverleners wel dwingen.
Als je een onderbouwing wilt, grote cloudproviders als Microsoft, Google en Apple zijn verplicht de data van hun gebruikers te scannen op CSAM materiaal.
Dat doen ze op data die ze kunnen scannen. Bij ADP kan Apple het niet scannen, omdat het end-to-end versleuteld is. Dan zijn ze dus ook niet verplicht hier iets mee te doen. Ze hebben dat wel geprobeerd met de introductie van de on-device scanning vóór upload, maar dat werd niet al te best ontvangen. (Overdreven slecht overigens, het voorstel was best elegant. Daarmee zeg ik niet dat het wenselijk was, maar het is raar dat Apple er zoveel gezeik mee kreeg terwijl Microsoft en Google het continu al scannen en mensen om de haverklap foutief gevlagd worden en hun account kwijtraken. :P)
De data wordt ongetwijfeld versleuteld opgeslagen (data at rest encryption) maar uiteraard heeft de cloud provider de sleutel.
Het hele punt van ADP is dus dat ze die sleutel niet hebben. We hebben het niet over de normale iCloud variant, maar over iCloud+ADP. (Dit kun je zelf inschakelen en is gratis.)
Dus @Yzord heeft gelijk als hij stelt dat data in te zien is. Niet door de overheden zelf, maar ze kunnen de dienstverleners wel dwingen.
Nope. Dat kunnen ze dus niet, want de cloudprovider (in het geval van iCloud met ADP ingeschakeld) heeft de key niet en is ook niet verplicht die te hebben. Er is geen wet in de VS die dat verplicht en voor wat het waard is ook niet hier in Nederland. Men moet data overhandigen die op hun servers is opgeslagen, maar als die versleuteld is door de gebruiker: dan is dat niet het probleem van de cloudboer. Die kunnen ze dus ook niet dwingen. Dat is ook waarom Apple in het Verenigd Koninkrijk ADP niet meer aan kon bieden, omdat daar wél de verplichting werd geintroduceerd dat de cloudprovider te allen tijde een sleutel/backdoor moet hebben (waarmee je heel ADP/E2EE onderuit haalt): en daar kunnen ze en willen ze niet aan voldoen; dus was de oplossing: dan maar geen ADP meer in het VK. (Op zich logisch, want wat heb je aan de ADP-schil/E2EE als je als cloudprovider er alsnog bij kan en er kopietjes van de sleutel leven?) Die keutel wordt nu ingetrokken waardoor ADP weer beschikbaar zal komen.

[Reactie gewijzigd door WhatsappHack op 21 juli 2025 15:53]

Dus met andere woorden : Apple kan zelf de ADP sleutel intrekken bij een deel van de gebruikers waarna de data weer leesbaar wordt voor Apple. Dat doen ze onder druk van de overheid, in dit geval de UK.

Dat maakt het verhaal niet anders. Data wordt leesbaar als ze de sleutel intrekken en dat blijken ze ook te kunnen.
Je trekt een conclusie die niet in het verhaal staat. Tenzij je denkt dat keutel "sleutel" betekent :+
Dus met andere woorden : Apple kan zelf de ADP sleutel intrekken bij een deel van de gebruikers waarna de data weer leesbaar wordt voor Apple.
Dat is niet wat er in mijn post staat. Je schrijft dus niet louter andere woorden, maar ook een heel ander verhaal. ;) Nee, mensen in het VK kunnen ADP simpelweg niet meer activeren; de opt-in optie is pleite en toont een melding “Apple can no longer offer Advanced Data Protection (ADP) in the United Kingdom to new users”. That’s it. Bestaande gebruikers hebben ADP gewoon nog actief.

De verwachting, door de BBC gemeld, was wel dat die groep gebruikers die het al geactiveerd hadden in de toekomst wel gedwongen moesten worden om ADP uit te schakelen of iCloud niet meer mogen gebruiken, omdat nieuw E2EE-versleutelde data onwettig opgeslagen zou worden (eerder versleutelde data was wel legaal als zodanig opgeslagen) waardoor Apple in overtreding zou zijn door geen backdoor te bieden op die data. Eg: “Om iCloud te blijven gebruiken, dient u Advanced Data Protection vóór <datum> te deactiveren”. Apple kennende met een beschrijving erbij van de impact. Dat is user-initiated; niet Apple-initiated. En dan heb je ook de kans om te verwijderen wat je wil voordat je teruggaat naar de standaard iCloud. Of om ADP helemaal niet uit te zetten, maar dan wordt je account bevroren. Maar goed, de invulling zullen we nooit weten en blijft speculatie gezien het VK nu kennelijk stelt dat ze de verplichting gaan laten vallen. -edit- Kennelijk weten we dat wel en zou het ongeveer precies ingevuld worden zoals gesuggereerd. :P Zie de post van @Blizz.

Lang verhaal kort: feit blijft dat Apple geen sleutel heeft en dat dit een user-initiated actie is, dus jouw lezing klopt niet.

[Reactie gewijzigd door WhatsappHack op 22 juli 2025 00:10]

Hoe dan ook, zo te zien wilden ze dit oplossen op een wijze waarmee ze hun argument (dat kan technisch gesproken niet) niet aantasten:
For users in the UK who already enabled Advanced Data Protection, Apple will soon provide additional guidance. Apple cannot disable ADP automatically for these users. Instead, UK users will be given a period of time to disable the feature themselves to keep using their iCloud account.
https://support.apple.com/122234
Als je Apple's Advanced Data Protection hebt aangezet, is je icloud data wel degelijk E2E encrypted. CSAM wordt on-device via hashes op gescanned: https://www.apple.com/child-safety/pdf/CSAM_Detection_Technical_Summary.pdf

Apple heeft best vaak in depth technische uitleg bij hun gebruikte techniek en de keuzes die ze gemaakt hebben.

Je kan natuurlijk Apple niet geloven, maar er zijn geen indicaties dat ze de boel aan het oplichten zijn.
CSAM wordt on-device via hashes op gescanned: https://www.apple.com/chi...ion_Technical_Summary.pdf
Dit doen ze niet. Dat was een voorstel, maar dat voorstel heeft het niet gehaald. https://www.ctvnews.ca/sc...-for-child-abuse-imagery/ (Het originele artikel is van Wired, maar die staat achter een paywall. :+)
Dat volgt uit logica. Criminelen gebruiken telefoons. Daar staat gevoelige data op. Vind je het niet raar dat justitie of de overheid hier niet bij kan. Wat als de veiligheid van het land in gevaar komt? Alles is in te zien/te kraken. De vraag is, kan het makkelijker.

Ohjaa en niet te vergeten, leuke marketing voor apple op deze manier.

[Reactie gewijzigd door pannalicour op 21 juli 2025 13:38]

De meeste mensen vinden dit niet raar en willen niet dat de overheid zomaar inzage heeft in hun privaat. Als jij thuis papieren hebt in een kluis moeten ze ook op een of andere manier inbreken, dit is niet veel anders. Je moet niet meewerken aan je eigen veroordeling, je bent geen crimineel en mag niet als crimineel behandeld worden totdat je veroordeeld wordt.
In principe geef je (indirect) mij gelijk. Criminelen moeten inbreken als ze iets nodig hebben. Justitie kan gewoon de fabrikant vragen van die kluis om die te openen en moeten dus gewoon meewerken als de politie zich aan de wettelijke voorschriften houd. Apple zegt dat ze het zelf niet eens kunnen kraken. Dat lijkt me een groot verschil. Zoiets kan natuurlijk nooit op de commerciele markt worden uitgebracht als justitie niet hier in kan. Of apple liegt (niet te kraken) of justitie is genaaid. Welke klinkt aannemelijker?
Waarom is een kluis die niet geopend kan worden niet mogelijk op de markt? Er zijn genoeg kluizen die precies zo gemaakt zijn door bedrijven die buiten het bereik van de grote overheden liggen. Die kluizen zijn niet goedkoop (20k voor een relatief kleintje), maar ze bestaan wel. Apple maakt dit soort beveiliging gewoon ‘gratis’.
Zoals ik al eerder zei, de overheid/politie zou overal in moeten kunnen. Of dat nu zonder of met hulp gebeurd. Zolang het legaal gebeurt, heb ik daar geen moeite mee. Ik denk dat ze overal uiteindelijk in kunnen (met hulp)
Waarom zou de overheid overal in moeten kunnen? Dit is nu juist de crux van dit artikel en gaat tegen het privacygevoel van de overgrote meerderheid mensen. Als je zegt dat de overheid overal in moet kunnen, waarom bestaat er dan het idee dat je onschuldig bent tot het tegendeel bewezen is. Tot aan de veroordeling ben je een 'gewone' onschuldig burger, wat ze kunnen doen in een 'onderzoek' kunnen ze ook doen zonder onderzoek.

Volgens jouw moet de overheid dus ook mijn bankgegevens meelezen en een camera in mijn huis zetten "in geval van"?

[Reactie gewijzigd door Guru Evi op 4 augustus 2025 18:22]

Met die logica zou je ook in elke woning microfoons moeten ophangen. Je kunt ook daar immers bespreken hoe je het land ten onder brengt.
Met die logica zou je ook in elke woning microfoons moeten ophangen. Je kunt ook daar immers bespreken hoe je het land ten onder brengt.
Dat is niet nodig, vrijwel elke woning hangt al vol en vrijwel iedere inwoner draagt 24/7 een microfoon bij zich. Officieel wordt daar natuurlijk geen misbruik van gemaakt... [alu-hoedje-smiley]

[Reactie gewijzigd door Fourtrain op 21 juli 2025 15:03]

Maar sommige mensen dragen een Apple microfoon waar geen misbruik kan gemaakt worden, deze wetgeving wilt dit veranderen. In mijn huis zijn er echt geen apparaten die 'naar buiten' kunnen spreken zonder mijn expliciete toelating.
Volgens mij heb ik mijn boodschap niet kunnen brengen op een manier die ik wilde brengen aan de lezer.

Ik zeg niet dat de overheid constant in je telefoon moet kunnen wanneer ze maar willen.

Het gaat erom dat je eerst iets verdachts doet en de telefoon hier een hulpmiddel bij is.

Dus microfoons plaatsen in een woning is basically iedereen verdenken voordat er uberhaupt iets verdachts gebeurt. Net als bij telefoons. Dat mag natuurlijk niet. En overigens wordt voor mijn gevoel de context van mijn voorbeeld uit verband getrokken.

Ik zal jouw voorbeeld met een (mijns inziens) beter voorbeeld uitleggen wat ik bedoel:

Met jouw logica kan politie nooit in iemands huis komen (onmogelijk want te goed beveiligd) ook al bevindt zich daar bewijsmateriaal. Dat is toch een beetje raar of niet?
Zolang je niet veroordeelt bent, ben je onschuldig. Wat ze kunnen doen aan verdachten kunnen ze ook aan jouw doen, het is maar een verdachtingsstelling - je rijdt te snel is een verdachting totdat je voor de rechter komt (of het toegeeft).

Het enige dat ze kunnen doen is iets in beslag nemen om als bewijs te bewaren tot de rechtszaak, dan heb je nog steeds het recht om bepaalde dingen buiten spel te zetten voor de aanklager en moet de overheid bewijzen dat het verzamelde bewijs relevant is alvorens de rechtszaak beginst. Een geencrypteerde telefoon is geen bewijs, ze mogen dit ook niet opbrengen in de zaak, "we weten dat hij moord gepleegd heeft, maar het enige bewijs staat op zijn foon en hij wil die niet opendoen" is een snelle manier om de zaak te seponeren.

De politie verzamelt bewijs, ze hebben het recht niet om te beslissen als het bewijs relevant is en ze mogen dus zomaar je telefoon niet doorzoeken. Een wet die dit soort fratsen toelaat gaat misbruikt worden, zoals ze nu al doen. Er zijn zaken waar politie een telefoon doorzoekt en bepaalde soorten foto's met elkaar uitwisselen of online zetten, natuurlijk is dit strafbaar, natuurlijk is dit verkeerd, maar het gebeurt wel. Dat is waar je je tegen moet beschermen. Er gaan ook dingen op je telefoon staan die mogelijk strafbaar zijn maar niet relevant in de zaak, eenmaal je de politie de macht geeft om zulke dingen te doorzoeken, kunnen ze de zaak vele malen moeilijker maken of meer veroordelingen zoeken, als alternatief of wraak omdat ze geen degelijk bewijs gevonden hebben.

Al Capone is ook niet veroordeeld geweest omdat hij (naar men zegt) een mafiabaas was, zijn veroordeling was in legale termen heel erg controversieel en enkel mogelijk omdat de regering in die tijd (J. Edgar Hoover onder FDR) het niet echt nauw nam met burgerrechten.

[Reactie gewijzigd door Guru Evi op 4 augustus 2025 18:40]

Wat jij hier stelt is dat alle vormen van encryptie, of het nou via SSL certificaten gaat of in welke vorm dan ook, ingezien kan worden door de overheid zonder moeite, ofwel geen bruteforce op de encryptie. Dat lijkt me zeer sterk en niet echt geloofwaardig. Dat op den duur met quantum technologie oude data die opgeslagen is alsnog ingelezen kan worden, ja, dat is wel een ding. Maar ook daar worden al stappen genomen om het te voorkomen.
Ik vermoed dat hij er naar hint dat E2E encryptie niet E2E is. Met veel partijen zet ik hier mijn vraagtekens bij.

Wij bieden ook diensten voor beveiligde data opslag & transfer, met onze eigen oplossingen, maar dat is (bewust) geen E2E. Daar kan in principe niemand bij behalve degene die er bij horen te kunnen. De grote boze overheid heeft echt niet in alle lokale oplossingen zijn vingers zitten. Het gaat hem om de bulk (Azure/AWS/GCloud inclusief s3-achtige buckets). Ik zou zelf nooit data neerzetten die écht belangrijk is bij een Amazon S3 dienst, gebruik makende van de ingebouwde encryptie. Het is natuurlijk beter dan niks, want veel van de grote datalekken zijn op basis van dit soort open repositories, maar ik geloof niet dat Amazon daar niet bij kan als ze dat zouden willen.
Yzord-v leeft in een wereld waar alle encryptie gekraakt is en waar alle servers voor overheden toegangkelijk zijn. Hij is dan ook naar eigen zeggen een "Digitaal Particulier Onderzoeker". En wil dat wij "the God of our own Data" moeten worden. En waar "A World where KARMA and BELIEVE will be the New LAW" de leidraad moet worden.

Ik denk dat je zijn posts met die achtergrond moet lezen.
Laat ik jou een simpel vraagje stellen:

Denk jij dat wij (en daar doel ik mee de bevolking) altijd en direct juiste informatie krijgen over wat men (en daar doel ik mee 'geheime diensten') kan kraken of niet?

is je antwoord nee? Dan is mijn opmerking zo gek nog niet, toch?
Natuurlijk niet, maar het probleem met elke complottheorie is dat de regering een complot niet echt jaren overeind kan houden. Misschien 5 jaar, misschien 10 jaar, maar zoals we nu in de VS zien, de volgende administratie komt aan de macht en alle mishandelingen van de vorige administratie(s) worden op straat gezet.

Je moet zowel direct als indirect bewijs 'verbergen' - dus niemand kan veroordeeld worden adhv geencrypteerde data, anders weet de dader direct dat je een methode hebt om de encryptie te kraken. Daarnaast moet de groep mensen die ervan weet enorm klein zijn, 2 mensen kunnen een geheim houden, meer niet, moest de overheid alles kunnen kraken zou de interne vraag zo hoog zijn, ze zouden duizenden mensen moeten kunnen aannemen die het zwijgen opgelegd worden. Dus wat is de 'waarde' van een geheim dat je niet kan gebruiken?
Ik vermoed dat dit klopt. Maar daar willen de meeste mensen nooit in meegaan. Ook al worden ze honderden keren bedrogen door politici, er blijft hoop dat de wereld eerlijk en oprecht is. Anders is immers het fundament weg voor een NL samenleving. Het gaat niet om waarheden en feiten, het gaat om waar mensen in willen geloven. En mensen willen nou eenmaal geloven in een eerlijke en rechtvaardige wereld. Aan de andere kant, er gaan gelukig ook veel dingen wel goed, en verlopen op een nette manier.
Leuke whataboutism, maar niet relevant hier. Als overheden volgens jou gewoon toegang hebben, dan is er dus geen wetgeving nodig om toegang te verlenen.
Die redenering klopt niet helemaal denk ik; ze zouden al toegang kunnen hebben maar willen dat dan ook legaliseren.
Of ze willen idd doen voorkomen dat het niet zomaar kan...
Ook binnen een overheid zijn er die meer weten dan de rest.

In ieder geval is 'toegang hebben' niet hetzelfde als 'toegang mogen hebben'.
Als dat echt zo was dan zou je niet die rare "wetsvoorstellen" voorbij zien komen om alsnog een achterpoortje in te bouwen.
Door muren kan je soms ook breken, maar uiteindelijk gaan er meer inbraken via de achterdeur dan door de muur.
Waarom zou een overheid voor de bühne, een privacy ondermijnende wet willen invoeren?
Het is toch helemaal niet logisch voor een overheid om dat uit te dragen, daardoor raken mensen alleen maar sneller het vertrouwen kwijt.
Dan kunnen ze beter doen alsof ze het goede voor hebben met de privacy van het volk, maar stiekem wel bij de data kunnen (zoals je suggereert).
maar ik verzeker je (ja echt) dat alles gewoon in te zien is.
Ik snap niet wat je wil zeggen maar hyperbolen en overdrijvingen (en onbewijsbare stellingen) helpen niet in een discussie.

[Reactie gewijzigd door Mathijs Kok op 21 juli 2025 14:18]

Als we dan toch de complot theorie roman toer opgaan. <complotdenkmodus>Waarom zou een overheid dit publiekelijk willen kunnen als ze het ondertussen toch al kunnen? Dan zou ik dat gewoon stilhouden zonder er veel rumoer aan te geven. Ze hebben misschien zelfs al een kwantum servertje ergens staan dat al lang brute force SHA256 kan kraken :/.</complotdenkmodus>
ow dat kan ook hoor hahaha, Wij weten nog niks van wat zij weten. Hence de naam geheime dienst ;)
Het was ook een dom idee. Niets meer niets minder
Klopt. Het domme aan de andere kant is weer dat de VS natuurlijk al te graag die informatie voor zichzelf willen houden.

Die kunnen gewoon in iCloud aangezien ze een wet hebben waarmee ze bedrijven kunnen verplichten alle informatie te delen met de overheid.

Is overigens wel lastiger met informatie van mensen die hun iCloud end to end encrypted hebben, maar dit staat standaard niet aan.
De VS heeft geen wet die een backdoor in encryptie verplicht. Ze mogen weliswaar de versleutelde data opeisen bij Apple, maar hoe ze dit versleuteling verbreken is vervolgens hun eigen probleem. Apple hoeft geen backdoor in te bouwen.

Voor de mensen die geen ADP aan hebben staan op hun iCloud, is het niet enkel de VS die dan bij de data kan. Elke overheid kan er dan met een rechtsgeldig verzoek bij. Ook de Nederlandse opsporingsdiensten mogen zo'n verzoek indienen en als die rechtsgeldig is, dan is Apple gewoon wettelijk verplicht om op te leveren wat ze hebben. Als ADP aanstaat is dat versleutelde data, staat het uit dan is het plain-text.
In theorie klopt dit wat je zegt. Alleen in de praktijk zou Nederland, zelfs met de correcte wetten, echt niet bij de data kunnen komen die op Amerikaanse servers staan opgeslagen.

De VS zal dit namelijk dwarsbomen, die willen liever dat jij (Nederland) minder weet, en zij meer weten.

Knowledge is power.
Apple biedt zijn diensten in Nederland en andere landen van de EU aan, dus Apple is onderhevig aan Nederlandse en Europese wetgeving.
Het is ook maar de vraag waar de data zich bevindt, aangezien ze ook gebruikmaken van hun eigen datacenters in Denemarken en Azië en ze gebruiken ook AWS, die ook datacenters in verschillende landen heeft.

VS, Ierland, Nederland en nog vele andere landen delen informatie (7, 14 eyes). Als de VS dit gaat dwarsbomen, zal NL in andere zaken ook geen data uitleveren.
Vergis je niet, dit alles gaat ook in de VK alleen over de mensen die dit hebben ingeschakeld. De Britse overheid heeft hoogstwaarschijnlijk ook gewoon toegang tot de data van Britse inwoners, mits ze de procedures daarvoor volgen en Apple zelf ook toegang heeft tot die data.

Dat er een "probleem" is bij bestanden of berichten die end to end encrypted zijn, komt vooral omdat het bedrijf daar zelf geen toegang toe heeft. Het bedrijf in kwestie kan dan alleen maar data overhandigen waar de overheid niks aan heeft, tenzij die de encryptie op de een of andere manier kraakt. In het verleden hebben we al gezien dat er verschillende politiediensten zijn geweest die hier heel goed toe in staat zijn geweest, zoals de Nederlandse en Franse politie met Encrochat (Encrochat was trouwens niet n.a.v. overhandigde data, maar een zelfde soort manier zou hier in theorie wel voor gebruikt kunnen worden).

Het maakt het natuurlijk erg makkelijk voor de politie (en inlichtingendiensten) als ze daar die moeite niet voor hoeven te doen, maar tegelijkertijd maak je de data van alle onschuldige mensen erg kwetsbaar. Zo lopen meer risico op gebruik (misbruik) van hun data door de dienstenaanbieder, ze zijn kwetsbaarder tegen kwaadaardige actoren die makkelijker bij de data kunnen door een hack van de provider en het is voor de overheid laagdrempeliger om data op te vragen.

Dezelfde risico's bestaan evengoed bij een backdoor, alleen dan is het platform zelf niet per se extra kwetsbaar, maar de backdoor. Bijkomend voordeel is tevens dat acties (veel) gerichter moeten plaatsvinden. Je kan als overheid met end to end encrypted content niet heel makkelijk alle berichten binnen X periode opvragen, maar zal veel specifieker moeten zijn, wat ook de privacy van betrokkenen ten goede komt.

Ik heb persoonlijk nog nooit iemand die verstand heeft van deze discussie horen pleiten voor een backdoor of afschaffing van end to end encryptie. Ik ga er maar vanuit dat er vaak goede bedoelingen achter zitten, maar het begint erg vermoeiend te worden om deze discussie constant steeds opnieuw te blijven voeren, alleen dan elke keer met een andere reden waarom ze het willen afschaffen.

Meer data is niet altijd (vaak zelf niet) beter.
edit:
typo & correctie

[Reactie gewijzigd door Zen1581 op 21 juli 2025 11:30]

Dat er een "probleem" is bij bestanden of berichten die end to end encrypted zijn, komt vooral omdat de perceptie is dat het bedrijf daar zelf geen toegang toe heeft.
Apple beheert de software in de "veilige" en "onveilige" omgevingen van de hardware. Apple beheert de cryptografische sleutels. Apple kan op afstand updates doorvoeren.

Apple heeft dus de mogelijkheid om een update uit te rollen die gewenste informatie opstuurt zoals iCloud E2EE-sleutelmateriaal, zonder tussenkomst van de gebruiker.
Dezelfde risico's bestaan evengoed bij een backdoor, alleen dan is het platform zelf niet per se extra kwetsbaar, maar de backdoor.
Een partij als Apple kan dus gedwongen worden om (voor een specifiek toestel) een backdoor te implementeren en om die backdoor later te verwijderen. Als dat gericht wordt gedaan (lees: in beperkte mate en niet van toestellen (in beheer) van security experts), dan zal zoiets niet snel opvallen.

[Reactie gewijzigd door The Zep Man op 21 juli 2025 19:43]

Dus de vs kan wel bij de iCloud komen? Oke, hoe weet je dit dan?
Cloud Act. Amerikaanse wetgeving die in simpele termen de Amerikaanse overheid de macht geeft om bedrijven zoals Apple of Microsoft etc. te bevelen om data af te geven. Dit kan dus ook iCloud gegevens zijn van mensen etc.
Dat weet je door de Amerikaanse wet. Amerikaanse bedrijven zijn wettelijk verplicht alle data waar de Amerikaanse overheid om vraagt, te leveren zonder de betrokken in te lichten.
Maar dat kan toch niet? Als ie goed beveiligd is, en alleen jij als gebruiker weet de wachtwoord om de boel te ontsleutelen, dan kan toch niemand bij jouw data komen?
Je hebt geen enkele controle over wat er onder water gebeurt. Alleen als je een bestand offline encrypt op een systeem dat nimmer aan Internet hangt en de gebruikte encryptie methode niet gekraakt kan worden, heb je enige garantie.

Voor de rest is het gewoon een kwestie van vertrouwen op iemand's blauwe ogen en verstandig met je data omgaan.

Mooi voorbeeld zijn de zaken van de FBI tegen Apple in 2015,2016 en 2020 waarbij de FBI hulp eiste om telefoons van verdachten ontgrendelt te krijgen. De zaken werden ineens gedropt door de FBI, mysterieus genoeg hadden ze ineens wel toegang tot de telefoons.
mysterieus genoeg hadden ze ineens wel toegang tot de telefoons.
Hoezo mysterieus? Toen misschien wel, maar nu weet je dat het niet door Apple kwam maar door een derde partij.

Er zijn een aantal partijen, bijvoorbeeld Cellebrite, die bekend staan om het kunnen cracken van de beveiliging van iPhones. Apple lost het op door een patch als ze weten hoe ze dat doen, dan komt er weer een nieuwe methode bij. Kat en muis spel.
Mysterieus in de zin van dat gebruikers dachten dat hun gegevens veilig op de telefoon stonden en ineens blijkt dat de FBI er wel degelijk bij kan zonder de toegangscode. Hoe de FBI dat precies gedaan heeft, weten we niet.

Bij de iCloud geldt hetzelfde. Heb je ADP aangezet, dan zouden je gegevens zodanig versleutelt moeten zijn dat niemand er zonder de sleutel bij kan. Maar of dat echt zo is of dat we straks ineens horen dat de FBI er wel bij kan, we weten het niet. Dat is wat ik bedoel met we moeten erop vertrouwen.
Ik ben het met je eens dat je maar moet geloven wat een bedrijf zegt over de beveiliging. Alleen bij het openstellen van de sourcecode (en verifieerbaar kunnen vaststellen dat dat de versie is van de software die je draait voor de encryptie) heb je enige garantie.

Of er decryptie mogelijkheden zijn van robuuste encryptie algoritmes is en blijft lastig te bewijzen. Quantum computers komen om de hoek kijken wat dat betreft, dus krijg je weer een encryptie wedloop om decryptie tegen te gaan.

Ga er maar vanuit dat op individuele basis het meestal wel lukt om toegang te krijgen tot bijvoorbeeld een gelockte toestel. Dat is de makkelijkste manier om toegang te krijgen tot data die bijvoorbeeld E2EE is.

Ik denk niet dat een Apple, Microsoft, Google of Amazon ongelimiteerde toegang geeft tot alle data. Op individuele basis, ja, zou kunnen, maar met backdoors zoals de regering in de UK wilde? Nee.
Of ze zeiden dat ze het met een derde partij hebben gedaan om Apple geen gezichtsverlies te geven.
Je kan er natuurlijk alles van maken wat je wilt. Als je daarin geloofd dan heeft Apple stiekem een backdoor ingebouwd voor de FBI.

Aannemelijker is dat de FBI een derde partij heeft ingeschakeld om een exploit te gebruiken zodat ze de passcode konden bruteforcen. Het is maar net wat je geloofd. Beide aannames kunnen waar zijn ;)
Die kunnen gewoon in iCloud aangezien ze een wet hebben waarmee ze bedrijven kunnen verplichten alle informatie te delen met de overheid.
Volgens mij gaat dit niet over "alle" informatie maar om specifieke mensen, dit moet altijd via een rechter geregeld worden, net zoals het afluisteren van telefoons.
In Nederland mag een recht commissaris toestemming geven voor het gericht afluisteren en data vergaring. Ja het is een rechter die toestemming geeft, maar het loopt niet via een procedure bij de rechtbank waarin iemand bezwaar kan maken. De rechter commissaris toetst slechts het verzoek van de officier van justitie marginaal.

Sleepnet afluisteren wordt gedaan door de NSO die dat voor de AIVD en MIVD doet. Meer dan tien jaar geleden was daar al een rel over toen bleek dat 1,8 miljoen gesprekken afgeluisterd en opgeslagen waren zonder dat betrokkenen er ooit vanaf wisten. Achteraf wordt je niet ingelicht.
Ik bel daarom zoveel mogelijk met kennissen via Signal en Threema, dat is namelijk wel versleuteld tegenover de normale telefoon en sms.
Helaas is PGP bij e-mail lastig, maar bij Proton hebben tenminste Microsoft/Google geen toegang. Zwakste schakel blijft hier vooralsnog de andere kant.
De VS heeft strengere wetten zodat de overheid dit niet zomaar kan veroorloven. Daarnaast is Apple’s oplossing dat enkel de klant de data kan lezen, als je het paswoord vergeet kan Apple dit ook niet oplossen.

Wat de VK wou is dat Apple de encryptie volledig uitschakelt zodat ze alsnog kunnen meelezen. Het probleem is dat ze hierdoor het hele systeem moesten uitschakelen zodat het enorm duidelijk was wie en waarom en de VK wou dat Apple de vinger niet in hun richting wees.
De eu heeft ook een cloudwet hoor, maak je maar niet druk.
Ja, en USA heeft CloudAct. Maak je geen illusie

Alain Issarni bij hoorzitting voor de Franse Senaat
Volgens Anton Carniaux, directeur Publieke en Juridische Zaken bij Microsoft Frankrijk, kan Microsoft niet garanderen dat gegevens niet aan de Amerikaanse autoriteiten zullen worden doorgegeven.
Volgens mij is EU-wetgrving niet van toepassing op de USA.
EU-wetgeving is evenzeer van toepassing op Amerikaanse bedrijven als VK-wetgeving dat is. Dat wil zeggen, zodra Amerikaanse bedrijven producten of diensten in de EU of het VK aanbieden, hebben ze zich daar aan de wet te houden.

Als de VK-wetgeving niet op Apple van toepassing zou zijn omdat het een Amerikaans bedrijf is, dan zou de Amerikaanse overheid niet zo'n druk op het VK hebben uitgeoefend om die wet te schrappen.
Jij bent je er niet van bewust dat Apple in Europa ook gewoon vestigingen e.d. heeft? En daarom ook boetes kan ontvangen?
Jij bent je er niet bewust van dat dta opgeslagen in USA cloud, niet onder EU wetgeving valt?

Verder is herhaaldelijk uitgesproken dat USA wetgeving ook geldt voor USA bedrijven die clouds elders hebben.
Ik ben niet bekend met de Europese cloudwet, maar Europese wetgeving is over het algemeen van toepassing op elk bedrijf wat diensten aanbied binnen Europa. En kunnen daarvoor verantwoordelijk gesteld worden als ze een vestiging in Europa hebben.

Dus lijkt me niet off topic an erg zinloos?
Hoewel die wet inderdaad op papier zo is, denk ik niet dat je er in de praktijk echt iCloud data mee kan inzien die bijvoorbeeld in de VS opgeslagen staan. Enkel degene die in de EU opgeslagen staan.

En word er nu iCloud data binnen de EU opgeslagen?
Zeker wel. Als het data is van bijvoorbeeld een Nederlands staatsburger, dan moet Apple die gewoon opleveren; ongeacht of ze die in een datacenter in de VS of EU hebben opgeslagen. Dat zijn ze wettelijk verplicht. Is het versleutelde data, dan leveren ze dat op en is het breken van de versleuteling vervolgens het probleem van de overheid.
Volgens de wetgeving wel ja. Echter zoals al eerder is gebleken lapt de VS wetgeving vaak aan hun laars.

De EU heb ik nog wel beetje vertrouwen in dat ze die wetgeving wel gewoon handhaven.
Het duale gevoel dat ik blij ben dat er de belachelijke gat in de beveiliging moet worden ingebouwd word geschrapt, tegenover dat het weer alleen zo is omdat Amerika z'n zin moet krijgen.

[Reactie gewijzigd door AtrumVesica op 21 juli 2025 13:55]

Het meest verontrustende is dat het waarschijnlijk geschrapt wordt omdat
'ze niet willen dat wij aan hun techbedrijven komen
Niet vanwege het fundamentele probleem van een ingebouwde achterdeur voor _alle_ gebruikers.

En natuurlijk het voorover bukken voor wat de VS wilt, in plaats van soeverein eisen kunnen stellen aan diensten binnen je eigen landsgrenzen.

Beiden zijn _precies_ de verkeerde redenen.

[Reactie gewijzigd door DropjesLover op 21 juli 2025 12:10]

Op zich heb je een punt, maar ik kan me ook voorstellen dat dit één van de zovele eisen is vanuit de VK richting de VS, dat ze die gebruiken om te onderhandelen. Wat is er nou echt belangrijk en die punten laten ze staan, pure onderhandeling over e.e.a. zoals dat wel vaker gebeurt in de (vriendjes)politiek.
Aan de ene kant is het de UK partij die zegt dat er een achterdeur in gebouwd moet worden. En anders kan en mag het niet gebruikt worden.

Aan de andere kant is het de US partij die zegt dat er geen achterdeur in gebouwt zal worden maar dat de versleuteling gewoon wordt vereenvoudigd.

Waarom is er hier niemand die zegt dat de UK dan maar niet de US spullen moet gebruiken? Wat mij betreft zou de UK haar poot stijf moeten houden en de gebruikers dan maar hun eigen keuze laten maken.

TIP: Als je hier in plaats van US iets als Russies of Chinees doet is er niemand die er over zeurt dat het dan maar niet gebruikt moet worden...
Goh, nergens in de overwegingen van de Engelsen hoor ik iets van "privacy". Volgens mij kunnen ze het niet helpen, het zit in hun bloed. Ze hangen alles vol met CCTV, hebben een groot afluisterstation en een geschiedenis van codebrekers. Zelfs honderden jaren terug hadden ze hun beruchte "black chamber" waar mensen voorzichtig de lakzegels van brieven lospeuterden om de inhoud van de brieven over te schrijven.

Maar maak je niet te blij. Ook al is er geen formele achterdeur, zowel de VS als de VK hebben er een handje van om toch stiekem mee te kijken. Iedereen kent nog de verhalen van de FISA rechters die zo'n beetje elk verzoek goedkeurden.

Als iets echt geheim moet blijven hoort het niet thuis op internet of in de cloud. Er is altijd wel iemand die ooit, al dan niet per ongeluk, er achter komt. Er gaat altijd iets fout waardoor iets per ongeluk open staat of open gebroken wordt.
De oplossing is eenvoudig. Apple producten simpelweg verbieden.
Als je dit toelaat dan zul je uiteindelijk alle bedrijven moeten verbieden die je gegevens veilig opslaan.
Aangezien alleen Apple specifiek wordt genoemd neem ik aan dat Google al lang en breed die achterdeur heeft ingebouwd.
Hoe en waarvoor is dat de oplossing precies?
Voor criminelen en pedofielen die zich veilig wanen in de verborgen krochten van Apple tech.
Dus jouw wens is dat alle vormen van end-to-end encryptie verboden worden? (En daarmee dus ook iedereen die graag veilige online opslag wil deze optie ontnemen? En dan ben ik ook wel benieuwd hoe je daar tegenaankijkt in bijvoorbeeld de context van The Fappening. Met volledig versleutelde opslag was dat nooit gebeurd, maar dat is van ondergeschikt belang?)

[Reactie gewijzigd door WhatsappHack op 22 juli 2025 18:31]

Privacy en encryptie worden zo inzet van geopolitieke macht, ten koste van de burger.
Digitale soevereiniteit raakt ondergesneeuwd in verdragen en belangen buiten zicht.
Ben benieuwt wie onze data nog beschermt als overheden ze zelf verhandelen.
Jij zelf. Jij bent de belangrijkste factor in het beschermen van je eigen data.

De meeste mensen zijn zelf het grootste data lek om overal hun persoonsgegevens achter te laten en de ene na de andere app installeren en bevoegdheden geven zonder ook maar de meest basale checks.

Ook bij aanschaf van electronica kijkt bijna niemand naar waar die electronica vandaan komt en of die gebruik maakt van de Cloud. Laat staan dat ze zich bekommeren waar de servers in de Cloud staan.

Hoe makkelijk het ene na het andere IoT apparaat Internet toegang gegeven wordt, ik schrik er soms van.
Helemaal eens dat mensen beter moeten opletten wat ze installeren en delen. Maar er is ook zoiets als zorgplicht van de overheid: burgers mogen verwachten dat hun data niet verhandeld of ondergraven wordt. Encryptie slopen en dan zeggen “je had zelf beter moeten opletten” is een zwaktebod. Verantwoordelijkheid ligt aan beide kanten.
Geen idee of iemand zijn of haar Privacy 100% kan beschermen met bijv. VPN want bedrijven en regeringen hebben ook daar weer middelen voor en mogelijk krijgen die VPN bedrijven zelf ook inzicht op informatie en hoe gaan hun daar mee om ? maar het lijkt mij een stuk veiliger dat elk volwassen persoon hun eigen informatie en dat van hun gezin probeert te beschermen met VPN als basis want je hoeft niet op jouw regering te rekenen en al helemaal niet op een buitenlandse regering want je bent gewoon een nummer net als je data.

Misschien kan Tweakers meer bezig met bescherming van privacy en ook dat het actief op de startpagina blijft met links naar forums en reviews dat iemand niet uren door forums en producten hoeft te spitten maar in één uur overzicht krijgt hoe VPN werkt en welk product het beste bij hun past dan speculaties over bedrijven en regeringen of hun wel of niet vertrouwd met informatie omgaan want ik vertrouw niemand en niets meer ongeacht het land en merk.

Ik ben vrijgezellig en ik overtreedt geen regels en wetten en ik heb niets meer bijzonders aan informatie dan wat de gemiddelde burger heeft maar door dat hypocriet gedrag en dat bedrijven en regeringen denken dat mijn informatie hun eigendom is heb ik gewoon genoeg van en anders moeten hun open en eerlijk zijn over wat voor soort data hun verzamelen en hoe dat ten goede komt in jouw belang en mijn belang en niet hun eigen belangen dus wat mij betreft sluit iedereen VPN rechtstreeks aan in hun meterkast en naar hun wifi en hopelijk blijft dan de meeste informatie een PRIVACY als dat nog bestaat..

Op dit item kan niet meer gereageerd worden.