Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties
Bron: ZDNet

De Britse regering is van plan politie de bevoegdheid te geven om organisaties en individuen te verplichten encryptiesleutels openbaar te maken of data te decoderen. Iedereen die weigert om een sleutel aan de politie te overhandigen, kan tot twee jaar gevangenisstraf krijgen. Onder de huidige antiterrorismewetgeving kunnen terroristen al tot vijf jaar celstraf krijgen voor het achterhouden van encryptiesleutels. De maatregel maakt onderdeel uit van deel drie van de 'Regulation of Investigatory Powers'-wet die reeds in 2000 is ingevoerd. Tot op heden is het derde deel van de wet echter niet geďmplementeerd en beveiligingsexperts en privacy-voorvechters zijn verontwaardigd dat dit alsnog gepoogd wordt. Het Engelse ministerie van Binnenlandse Zaken wil met de nieuwe maatregel criminelen, pedofielen en terroristen beter kunnen vervolgen. Door de wijdverspreidheid van encryptietechnologie is het gebruik ervan snel toegenomen, aldus een minister.

EncryptieExperts waarschuwen echter dat bijvoorbeeld financiële instellingen ook encryptiesleutels voor het beveiligen van banktransacties moeten opgeven. Beveiligingsexpert Richard Clayton van de universiteit van Cambridge schetst het scenario dat, als onderdeel van een legitiem onderzoek of door corrupte agenten, de privésleutels van banken in verkeerde handen kunnen komen. Clayton wijst er op dat een internationale bankier zich niet in Engeland zal vestigen als hij gedwongen kan worden de encryptiesleutels te moeten prijsgeven. Bovendien is het in de praktijk zeer lastig om deel 3 van de RIP-wet uit te voeren. Ten eerste is het moeilijk te bewijzen dat een willekeurig lijkende verzameling data in feite versleuteld is. Daarnaast kan een verdachte altijd volhouden dat hij de sleutel kwijt is. Terroristencellen maken bovendien geen gebruik van een algemene sleutel voor alle communicatie, maar gebruiken sleutels slechts op een-tot-een basis. In zo'n geval kan de van terrorisme verdachte persoon net zo goed gedwongen worden de communicatie te decoderen of andere methoden voor decryptie te gebruiken. Clayton is wel te spreken over de rest van het wetsvoorstel en stelt dan ook voor om alles te implementeren, behálve de mogelijkheid tot het opeisen van encryptiesleutels te implementeren. Pas na een adviesronde zal definitief besloten worden in welke vorm deel 3 wordt ingevoerd.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (100)

1 woord: "Steg FS"! Meerdere encrypted partities verstoppen binnen een bestaande partitie. Resultaat: Plausible Deniability! Ze kunnen nooit bewijzen dat er encrypted partities bestaan. En als je er 2 prijsgeeft, zeg je dat dat alles is, terwijl er best 5 kunnen staan...

Het prijsgeven van wachtwoorden valt onder "meewerken aan je eigen veroordeling", voor zover ik weet is dat in ieder geval in Nederland nooit verplicht. En is dat niet ook een van de fundamentele rechten van de mens?
Kan je meer info geven over dit? Ik ken enkel truecrypt. Wat ook ideaal is om dit probleem hier te omzeilen.
De informatie op deze site is wellicht nuttig:

http://www.mcdonald.org.uk/StegFS/
Het prijsgeven van wachtwoorden valt onder "meewerken aan je eigen veroordeling"
Inderdaad, ik ben benieuwd hoe dit zich verhoudt tot:"U bent niet verplicht tot antwoorden" of "You have the right to remain silent". Het lijkt me dat hier grondwetswijzigingen voor noodzakelijk zijn. Wordt nog een hele lastige vermoed ik.
ja... als verdachte mag je je mond houden,
echter als getuige ben je altijd verplicht tot antwoorden.
maw, ze bestempelen je even tot getuigen van je eigen verdachte handelingen en ben je dus verplicht tot antwoorden.
Uh... edelachtbare.. het was iets met een 1 geloof ik.. en dan nog wat cijfers.. en letters ook... zeker een c.. maar het kan ook een d zijn geweest.. Neemt u me niet kwalijk, maar mijn geheugen weet u.... en 54 tekens onthouden.. Opschrijven? Ja... maar ik raak dat papiertje steeds kwijt, onlangs nog, net voor ik werd gearresteerd. Overal gezocht, met de hulp van de politie zelfs.. heel aardig van ze.. Maar niets hoor! :)
@eazy_2: HAHA dan heb je mooi 2 jaar extra om er over na te denken :o
Ja, deze wet houdt geen stand bij een praktijk-situatie.

En iedereen weet waar dit heen gaat; zoals RetepV ook al zegt; dit is exact wat terroristen wensen. Nog een paar dreig-tapes en hun 'endgame' is afgerond. Behoorlijk triest, zeker omdat de kans een meteoriet tegen je kop te krijgen vergelijkbaar is.
Precies.

Klinkt misschien gek, maar als je terrorisme echt wilt bestrijden, moet je juist niet de politie bellen als je een verdacht pakketje ziet...

(En dit bedoel ik serieus :) )
Bij een huiszoeking mogen de opsporingsambtenaren je kluis openmaken om bwijsmateriaal te zoeken. Het kan zelfs zijn dat de verdachte daarvoor de combinatie moet geven. Er is dus een verschil tussen verklaringen van een verdachte en het bewijsmateriaal.
Vandaar dat deniable encryption zo''n handig hulpmiddel is. Als een gebruiker niet kan bewijzen dat zij alle sleutels heeft afgegeven, kan je veel makkelijker de laatste sleutel geheim houden.
Dat staat ook in internationale verdragen.
Overigens: herschrijven van de grondwet van de UK zal moeilijk worden: hij is nog nooit (op)geschreven :)
Ik meen dat wij in Nederland al de verplichting kennen gegevens te ontcijferen als justitie daar om vraagt. Hoe zich dat verhoudt tot de vrijheid van zelfincriminatie weet ik niet: dit staat o.a. in artikel 6 EVRM en ergens in het IVBPR.

Update: art. 125k Wetboek van Strafvordering zegt dat mensen verplicht kunnen worden toegang te geven tot bestanden, art. 125m Sv geeft aan dat verdachten dit niet hoeven. In ons grote voorbeeld in vrijheid, de USA, worden verdachten soms aangemerkt als getuigen om dit soort regels te omzeilen. Ziek, ja.
Als het daar wordt ingevoerd. Dan kan je het ook hier verwachten zoals dat soort dingen gaan..

Die 'camera-plaatsingen' vinden hier nu ook al plaats in drukbezette gebieden..


Enja, op terrorist-gebied is het welkom, maar al die terroristen laten zichzelf ook zonder problemen opblazen dus gaan ze echt niet hun encryptie-sleutel afgeven. Voor 'maar' 2 jaar minder in de gevangenis.

Op particulier/zakelijk gebied vind ik het absurd en ben ik het compleet eens met het artikel.
Met de nadruk op als. Het is nu door de House of Commons, de zakenlui zitten merendeels in de House of Lords. Die kunnen nog even hard nee zeggen wat wel realistisch is en dan gaat het hele verhaal nog niet op. Imo is deze post dan ook nog ietwat voorbarig en niets meer dan een nieuws blog van Richard Clayton die waarschijnlijk recentelijk niet veel in het nieuws is geweest en nu weer even wat moet publiceren.
Het Engelse ministerie van Binnenlandse Zaken wil met de nieuwe maatregel criminelen, pedofielen en terroristen beter kunnen vervolgen.

Ze roepen gewoon weer "terrorist" en "pedofilie" en alle rechten van de burgers mogen weer rustig worden afgepakt. Het heeft wat langer geduurd dan Orwell voorspelde, maar we komen er wel. ;(
terwijl waarschijnlijk juist deze mensen de celstraf voor lief zullen nemen. (beter 2 jaar de cel in voor dit, dan 1 maand voor pedofilie, gezien de behandeling van pedofielen in gevangenissen door mede-gevangenen)
Aangezien het afstaan van die sleutels onderdeel is van een paket aan maatregelen, zou het mij niet verbazen dat ze dat punt hebben toegevoegd voor z'n onderhandelingswaarde.

Ze weten ook wel dat zoiets redelijk wat weerstand oproept. Nu kunnen ze na een potje onderhandelen zeggen: "Oke, we zien af van het sleutel punt, maar dan willen we wel dat al die andere punten goedgekeurd worden!"
Ik vind dit ook in strijd met 'bewijzen dat je schuldig bent' principe. Nu moet je je eigen onschuld gaan bewijzen. Stel je raakt echt je sleutel kwijt of whatever voor een reden, hoe kan justitie jou dan dwingen dingen te geven die je niet hebt? Daarbij kun je dus al 2 jaar de bak in gaan, zonder dat bewezen is dat je schuldig bent... beetje raar hč?
Oftewel encrypten van data wordt strafbaar...
Nu gewone burgers en bedrijven ook steeds meer in hun mogelijkheden en vrijheden beperkt worden door regeringen, kan ik eigenlijk maar 1 conclusie trekken: de terroristen zijn aan het winnen. ;(
Ik vraag me ook wel eens af wie hier nou de echte terroristen zijn. De afgelopen jaren heeft de overheid mij al meer schade gedaan onder het mom van terrorisme bestrijding dan terroristen me waarschijnlijk ooit zullen doen...
In deze context lijkt terrorisme mij minder belangrijk dan gewoon fraude/drughandel/... . Er gaan in dat circuit vele malen meer geld/mensen/... rond.
Als een keer de methode van TrueCrypt gelezen?

Het hele programma draait om 'Plausible Deniability'.

Met hidden volumes en niet verborgen volumes kan je dus met twee verschillende sleutels ervoor zorgen dat schijnbaar belangrijke data versleuteld is, maar dat de rest van je schijf vol staat met random data (zoals wel vaker op een HD voorkomt) waar je niets mee bent tenzij je WEET dat er nog iets op staat en je ook de sleutel hebt.

Door bijvoorbeeld een meervoudige AES-DES-Blowfish encryptie te gebruiken kan je je Plausible Deniability volhouden tot het einde der tijd. Je geeft immers je sleutel vrijwillig op (bijvoorbeeld als ze met een mes op je keel staan). Dan ziet de politie/crimineel-met-mes-op-je-keel je supergeheime bestanden. Wat ze echter nooit kunnen bewijzen is dat er nog meer data staat die niet random is. Aangezien jij direct je sleutel gaf kan je volhouden dat er niets meer op staat. Er is ook geen manier om te checken of er ergens nog wat op staat zonder sleutel, keyfile of salt.

De overheid kan je niks maken omdat je al meewerkt.

Verder vraag ik me af of ze je kunnen verplichten om ze te voorzien van bewijslast tegen jezelf. Is dat niet hetzelfde als onschuldig zijn en een moordwapen moeten fabriceren omdat ze je hiertoe verplichten?

Plausible Deniability is wat TrueCrypt sterk maakt. Een goede beveiliging met een 2K+ bit sleutel is niet genoeg als ze zo zien dat er iets versleuteld is.

Hier, Lees even zelf: http://www.truecrypt.org/documentation.php

Edit: dit was bedoeld als een reactie op een andere post van MarvisDMartian, mijn fout.

Quote: Ik denk dat je op dat moment hard kunt maken dat er meer data in de file zit dan het stuk dat tevoorschijn getoverd wordt? Dus dat je een sleutel achter de hand houdt?

Het lijkt mij dat de politie ook de programma's kent die je gebruikt... /quote
Stel je niet zo aan zeg.

Wanneer justitie een onderzoek instelt is het doodnormaal dat bedrijven vertrouwlijke informatie moeten afgeven. En ligt nogal voor de hand om dan ook de encryptie sleutels te eisen, anders heeft het weinig zin om de data op te vragen...
Mee eens.
Terrorisme is niet het plegen van bomaanslagen en het onthoofden van journalisten.

Terrorisme is het angst inzaaien bij de massa... (terror = angst) En met dit soort reacties lijken ze daar aardig in te lukken.

Terrorisme overwin je alleen door niks van ze aan te trekken... (En als het aan mij ligt ook niks aan te trekken van al die "maatregelen" die de overheid neemt).
Ik denk dat je dan ook beter kan gaan praten met terroristen en proberen hun onvrede te verminderen, of de populatie waar zij uitkomen, dan ze rechtstreeks aanpakken. Ook kon het wel eens helpen als Westerse landen minder gingen konkelen in andere landen.

Bin Laden schijnt gemotiveerd te worden door de VS inmenging in Saudie-Arabie. En wat ik daarvan weet is die inmenging inderdaad ook niet fris. Tel daarbij op dat Bin Laden ooit een VS agent was...
Bin laden was geen VS agent :P
De VS heeft alleen wapens ed. geleverd aan de lokale bevolking van een of ander land in het midden-oosten (weet niet meer welk) om hun grond te beschermen van een ander land. En ik geloof dat bin-laden een van de mensen was die wapens geleverd kreeg oid.
weet het allemaal niet meer precies, maar google is je vriend als je het preciezer wilt weten
Ik volg alleen niet HOE ze hier uiteinderlijk terrorisme e.d. mee aan kunnen pakken.
Gaat ze iedere datalijn in engeland opeens 24/7 monitoren ofzo...?
Als ik dit zo lees moet ik denken aan V for Vendetta trouwens :P
Nee, het gaat erom dat een verdachte de sleutel moet afgeven zodat het politieonderzoek sneller door kan gaan. Als de politie maanden moet wachten totdat "bewijs"materiaal gekraakt is, kost dat de gemeenschap een boel geld, kan het zijn dat de verdachte in de tussentijd op vrije voeten komt, en hebben andere (nog niet onderkende) medeplichtigen de tijd om zich uit de voeten te maken of om bewijsmateriaal te vernietigen. Als je verplicht bent om de sleutel af te geven gaat het onderzoek sneller met een grotere kans op resultaat. Hoopt men.

Ik zit te wachten op een encryptie methode waarbij je een extra sleutel hebt waarmee de data vernietigd wordt. Een soort van plofkoffertje voor encrypte data.
Je hebt nu programmas (bvb truecrypt) die het geheugen dat jij instelt volledig volschrijft met nonsense en waar 2 encryptiesleutels kunnen gebruikt worden. 1tje voor datgene dat jij wil dat publiek gemaakt mag worden en eventueel (wie zal het zeggen Walter? :) ) een tweede of derde die heel andere data kan tevoorschijn toveren.
Wat gaan ze hiertegen doen :7
back to the old british afluistermicrofoontjes
Ik denk dat je op dat moment hard kunt maken dat er meer data in de file zit dan het stuk dat tevoorschijn getoverd wordt? Dus dat je een sleutel achter de hand houdt?

Het lijkt mij dat de politie ook de programma's kent die je gebruikt...
ze kunnen niet bewijzen dat er data verborgen is. kunt altijd zeggen dat je het bestand eerst vol met random data hebt gestopt om het moeilijker te maken te raden waar de gewenste data staat (alleen nullen bijv. zullen ze vast negeren).
Oftewel, ze kunnen het denken, maar niet bewijzen.
idd zoals eerder gezegd schrijft dit programma eerst een bepaald volume van je harddisk vol met random nonsense.
lijkt me een beetje zinloos omdat er altijd backups genomen kunnen worden...
Vind ik het toch knap stom als mensen met gevoelige informatie iets zouden versleutelen dat 'maanden' kost om de kraken, terwijl er zat encryptie mogelijkheden zijn (AES, Twofish, e/d) die brute force langer niet te kraken zijn binnen het aantal jaar dat het universum nog te leven heeft...
Dat is betrekkelijk, er worden steeds weer nieuwe methodes en formules ontwikkeld om sneller te hacken, en de pc / supercomputers worden ook steeds sneller, techniek verouderd gewoon, en wat nu onkraakbaar lijkt zal over 10-20 jaar in een handomdraai gehackt zijn.
alleen wil je daar als rechtbank niet op wachten.
Ik volg alleen niet HOE ze hier uiteinderlijk terrorisme e.d. mee aan kunnen pakken
Als dit doorgaat kan de Britse overheid bij in beslag genomen computers wat meer druk leggen op de verdachte pedofiel of terrorrist om de sleutel vrij te geven.

Ben ik dan de enige die hier geen problemen mee heeft?
Hebben ze in de UK dan geen recht om te zwijgen? }>
Ik hoop het....

Ik ben altijd een beetje bang voor die "Ik heb niks te verbergen dus ze mogen alles zien" en "Bij criminelen mogen ze dit best doen" reacties... Het gebruik van dit soort middelen speelt zich namelijk altijd in de fase daarvoor af. Dus: Wie zegt mij dat alleen verdachten dit gaat overkomen? En wanneer ben je verdacht genoeg? En wie bepaalt dat dan? Als ik een geheim vriendenclubje heb, dan mag ik daarover zwijgen als ik dat wil. Zo wil ik ook gewoon mijn keys niet hoeven te vertellen als ik dat niet wil.

(Refererend aan de in Portugal opgepakte verdachten van de moorden in de R'damse In&Out. Heel goed dat ze verdachten hebben. Maar het feit dat ze gepakt zijn onder voorwendselen dat ze "terrorist" zijn en "hofstadgropeleden" doet me het ergste vrezen. Kennelijk ben je zomaar een terrorist en dan gelden er opeens allemaal andere regels: waarvan ook iedereen altijd zei "Tja, maar als je geen terrorist bent, heb je niks te vrezen"....

Ik zie binnenkort de eerste hackers, muziekkopieerders en andersdenkenden als terrorist vervolgd worden.
T'wordt wel erg 1984 de laatste tijd.. De overheid wil steeds meer van ons en zegt vertrouw ons maar... Grote Broer zal wel voor je utikijken..

Is hier geen paralel te trekken met zwijgrecht als verdachte? Kijk, als de wetgever zou zeggen dat in kader van een rechtzaak of gerechterlijk onderzoek iemand wordt gevraagd (sub-poena) om informatie te geven dan kan ik nog slikken dat die rechter wil dat ik m'n gegevens aan 'em geef maar toch niet aan de politie! De politie staat onder geen enkele democratische controle, de rechter wel. En tevens betekent dit dat de politie als instituut alle gegevens heeft en dus ook gegevens van advocaten en rechters alsmede parlementariers en ministers!!! Neen, dit gaat echt te ver...

Onder de Amerikaanse grondwet zou dergelijke actie onder het tweede amendement kunnen worden bestreden...
of Truecrypt gebruiken, een hidden volume maken, de sleutel voor het decoderen geven -> voldaan :7
Daar is het idd voor gemaakt.. Ook al je gegijzeld wordt, en men je vrouw en kinderen met de dood bedreigd, kun je dit volhouden, er is namelijk ook echt geen manier om na te gaan of er nog een hidden volume is binnen een encrypted volume.. Volgens de makers van truecrypt althans.

Je geeft ze inderdaad 1 password, en daarmee zien ze een encrypted volume met files, en met het 2e password het hidden volume daarin..
Ga er nou maar vanuit dat die regeringboys echt alle truuks wel kennen die jij nog lang niet kent...
SuperDre, denk je dat bovenstaand ontwerp door een 'truukje' van 'die regeringsboys' ongedaan kan worden gemaakt ofzo? Verklaar u nader..
Als dit in Nederland gebeurt, of opgelegd wordt vanuit Europa, dan ga ik de straat op...

Wat heb ik in godsnaam aan een regering die de terroristen gewoon laat winnen??? Een regering die onze cultuur, onze normen en waarden kapot maakt, wat precies is wat die terroristen ook al aan het proberen zijn?
Iedereen weet toch dat dit niets maar dan ook niets met terrorisme te maken heeft. Terrorisme is gewoon het excuus dat men al jaren zoekt om "inbreuken" tegen de privacy te verantwoorden.
Het gaat gewoon over controle ŕ la Big Brother... en helaas gaat ook de EU deze richting uit. Binnenkort zijn ISP's en Telco's verplicht om alle e-mail en telefoon records bij te houden (1 aug 2006 dacht ik).

Recht op vrije meningsuiting, dat is bv in België al "ver" gevorderd, je mag alles zeggen en een vrije meningsuiting hebben... zolang die maar overeenkomt met die van de staat.

As for me, ik encrypteer zoveel mogelijk verkeer en naar de sleutels kunnen ze fluiten :)
sleutels? Als ze mijn afgetapte mailverkeer decrypted willen hebben mogen ze hopen dat ik per ongeluk mijn ipsec daemon in debug mode heb lopen draaien :P
Dan nog... ze zullen niet eens weten dat het mailverkeer is geweest wat er door die tunnel ging ;)
hier ben ik het dus met de volle 100% NIET mee eens.. (en/dencryptie sleutel geven)......... kijk dan zijn er toch lekker mensen die hun data beveiligd hebben.. zou ik ook gaan doen als je allemaal weet waarvoor die europese data retentie gaat gelden en wie het allemaal gaat gebruiken (USA wou al toegang) je wordt gewoon tegenwoordig op een gore manier bespioneerd.. gaat allemaal digitaal.

ik zelf gebruik nog geen encryptiesleutel voor e-mail verkeer, maar was wel van plan dat te gaan doen... dit omdat IK een mail naar een bepaald persoon stuur en niet naar al die veiligheidsdiensten.. als ik dat wil stuur ik ze wel een cctje.

volgens mij verzuipt de wereld nu in anti-terrorrisme maatregelen als ook een EU lidstaat nog eens gaat met die onzin mee doet..
Je brengt me wel op een idee...... Als we, als "ludieke actie" tegen de bewaarplicht en andere spionagepraktijken, nu eens massaal al onze mail een CCtje naar de AIVD, of Donner geven....! Wraak is zoet :D
Is dat niet een beetje hetzelfde idee als dat programma dat mails naar de geadverteerde site in spam stuurt?

Misschien wel effectief tegen de AIVD o.i.d, maar ik denk niet dat het ze tegen zal houden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True