Google-topman Schmidt: encryptie is oplossing voor overheidssurveillance

Het versleutelen van alle communicatie is de oplossing voor overheidssurveillance. Dat stelt de bestuursvoorzitter van Google, Eric Schmidt. In de komende tijd zullen internetgebruikers steeds meer communiceren via versleutelde verbindingen, denkt de Google-topman.

google Schmidt denkt dat de bevolking het dankzij encryptie uiteindelijk van de overheid zal winnen in de race van controle tegen privacy, zo zei hij tijdens een lezing waarover Bloomberg bericht. "De oplossing voor overheidssurveillance is het versleutelen van alles", aldus Schmidt, die daarnaast toegeeft dat er bewijs is dat de NSA en inlichtingendiensten van andere landen backdoors hebben proberen in te bouwen in encryptiestandaarden.

Schmidt stelt ook dat Google na de onthullingen over de NSA de beveiliging van zijn systemen heeft aangescherpt. Google is al bezig met het versleutelen van communicatie tussen servers op zijn interne netwerk. Onlangs bleek dat die communicatie door de inlichtingendiensten zou zijn afgeluisterd.

Schmidt staat niet bekend om zijn privacyvriendelijke uitspraken. In 2009, toen hij naast bestuursvoorzitter ook ceo van Google was, zei hij dat 'als je iets hebt gedaan waarvan je niet wilt dat iemand het weet, dan had je dat misschien niet moeten doen'. Die uitspraken leidden tot flinke ophef.

IT-banen

Reacties (74)

rickiii

21 november 2013 09:05

Ja tenzij de bedrijven worden verplicht om de encryptie sleutels te overhandigen en dat niet publiek mogen vertellen.

Stygeon @rickiii • 21 november 2013 12:21

Er is een leuke truc die de "Warrant Canary" heet:

1. je mag niet zeggen wanneer je benaderd bent.
2. zolang je nog niet benaderd bent, heb je zulke beperkingen niet.
3. als je dus ergens een "we zijn nog nooit benaderd" publiceert, dan kun je die publicatie intrekken zodra je wél benaderd bent.
4. zo kun je dus inverse toch bekend maken dat je door de NSA benaderd was, terwijl je je perfect aan de regeltjes houdt.

Zie wikipedia en een Nieuwsbericht over de toepassing.

Menesis @rickiii • 21 november 2013 09:12

Dus moeten de bedrijven in de eerste plaats niet over de sleutels beschikken -a la Megaupload. Alleen kan dat niet altijd denk ik

Mr_Light @Menesis • 21 november 2013 12:25

dat wordt vervelend wanneer er daadwerkelijk iets met de data moet gebeuren aan de server kant. Dan moet de inhoud begrepen worden door de server.

Als ik bv een brief naar jouw stuur met een kluis er omheen kan jij die prima op zolder zetten voor mij en teruggeven wanneer ik de brief weer wil lezen kan je hem terug sturen en kan ik de inhoud weer lezen.

Als ik het zelfde doe en er zit een opdracht beschreven in de brief en vraag je dan om de opdracht uit te voeren zonder de kluis communicatie te geven heb je vermoed ik een probleem.

Ver het verhaal hierboven klopt deels niet, bij elke hand-shake word er een nieuwe sleutel bepaald voor alle communicatie binnen die sessie. Gezien er minimaal één hand-shake per https connectie gebeurd worden er dus heel veel sleutels gemaakt.

Wat gebeurd er dus wel? De certificaten wordt gebruikt om te bepalen of berichten wel van de server(of partij) komt waaraan je het gevraagd hebt. Een historisch, niet digitaal voorbeeld hiervan is een http://nl.wikipedia.org/wiki/Lakzegel en dan wordt middels bijvoorbeeld Diffie-Hellman http://www.youtube.com/watch?v=YEBfamv-_do als je bij die uitwisseling(en dus het bepalen van je sleutel) niet zeker weet dat de berichten daadwerkelijk van de partij komen die je verwacht is een Man in de Middle attack mogelijk om dat iemand anders er dan tussen kan gaan zitten.

(Alice-[Diffie-hellman]->bob)
vs
(Alice-[Diffie-hellman]->Mr_Light-[Diffie-hellman]->bob)

in dit geval zijn er dan twee sleutels gemaakt waarbij de man in de middle over beide beschikt en Alice en Bob alleen over een sleutel en is vanuit hun perspectief wat betreft het bepalen van de sleutel niets veranderd

stunn0r @rickiii • 21 november 2013 09:09

Dat zal lastig voor de bedrijven worden als alleen de gebruikers de sleutels hebben. Ze kunnen je moeilijk verplichten om jouw encryptiesleutel af te staan zonder het aan jezelf te laten weten.

Verwijderd @stunn0r • 21 november 2013 09:13

Als je https verkeer versleutelt wordt er geen sleutel van jezelf gebruikt eh...
Je neemt de publieke sleutel van de server, encrypteert daarmee je data en enkel de server heeft de juiste decrypt-key. Als bedrijven verplicht worden deze decrypt key af te geven... dan is er zoals rickii zegt, weinig aan te doen...

tofus @Verwijderd • 21 november 2013 09:22

Niet helemaal. De public-key wordt alleen gebruikt voor een block-cipher key-exchange. M.a.w.: voor de uitwisseling van een tijdelijk encryptie-wachtwoord (wat elke connectie weer wordt gewijzigd). Maar goed, als de private-keys worden uitgewisseld met veiligheidsdiensten maakt dat ook niet heel veel meer uit

enigmafan @Verwijderd • 21 november 2013 09:21

Als je https verkeer versleutelt wordt er geen sleutel van jezelf gebruikt eh..

Dan moet dat maar 's veranderen. Er zijn vast wel enkele knappe koppen die een https versie kunnen maken waarbij de key alleen bij de gebruiker staat.

kwikstaart @enigmafan • 21 november 2013 09:25

Dat zal nooit kunnen. De data die je richting server stuurt, zal door de server ontsleuteld moeten kunnen worden. Dat kan alleen als die server de sleutel heeft, z'n eigen private key. Het verkeer wat jouw kant op komt kan wel met jouw key versleuteld worden.

Enig probleem wat je niet kunt oplossen: als de NSA toegang heeft tot de server zelf, heeft ze ook toegang tot de data voordat die versleuteld naar jou verstuurd wordt, en heeft ze ook toegang tot de data die jij versleuteld naar de server stuurt, en die daar vervolgens ontsleuteld.

Wat wel werkt: je dropbox data versleuteld opslaan, bv mbv encfs, en dan kan de NSA weinig tenzij ze jouw private key hebben.

Verwijderd @kwikstaart • 21 november 2013 09:36

Dat zal nooit kunnen. De data die je richting server stuurt, zal door de server ontsleuteld moeten kunnen worden. Dat kan alleen als die server de sleutel heeft, z'n eigen private key. Het verkeer wat jouw kant op komt kan wel met jouw key versleuteld worden.

Euhh... dat kan wel. Denk aan OpenID.

En hier is een HEEL interessant filmpje over de zgn certificates.

Maar ik zeg al vaker: De huidige stand der techniek is bepaald door mensen en groeperingen met hun eigen visie en motivatie. Maar dat wil niet zeggen dat het de *juiste* technieken zijn. Denk maar bv aan ActiveX, C++, Flash, Java, Boost, MathML. Allemaal technieken die ergens door gedreven zijn, maar verre van perfect.

Het kan *altijd* anders.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 02:02]

Tukkertje-RaH @Verwijderd • 21 november 2013 09:49

Het probleem waar Google nu de oplossing voor gevonden denkt te hebben, zit niet zozeer in gebrek aan encryptie, maar meer in gebrek aan vertrouwen...

De encryptie waar Google zo'n voorstander van is, werkt alleen op het moment dat alles "daaronder" ook te vertrouwen is. Het OS (geen achterdeurtjes) de processor (geen verborgen instructies), de encryptie zelf (random number generator ok?) en je eigen browser - allemaal zijn het schakeltjes, en eigenlijk weet niemand precies of die schakeltjes wel veilig zijn.

De chips (CPU, etc) komen uit China, na te zijn ontworpen door een Amerikaans bedrijf dat zich moet houden aan de PATRIOT act. Het OS is geschreven door een Amerikaans bedrijf, dat ook weer moet samenwerken met de NSA. En de Open Source applicaties zouden best eens geschreven kunnen zijn door iemand met belangen binnen de geheime dienst. Een opzettelijk foutje is eenvoudig te verstoppen...

Encryptie alleen gaat 't 'm dus niet worden. De Truecrypt audit van een paar weken terug is al een goede stap. Dat zouden ze dus voor het OS moeten doen, de CPU, etc. En pas dan kan je stellen dat de overheden niet meer kunnen censureren/surveilleren...

Verwijderd @Tukkertje-RaH • 21 november 2013 10:16

Een audit is leuk, maar men zal nooit de gehele code kunnen doorlopen. Heb je die zelf wel eens gezien? Massive!

Ze zullen zich dus focussen op een aantal key punten. Maar zoals Ken Thompson al jaren geleden kenbaar maakte, je kan met een klein aantal regels code al een backdoor genereren die nagenoeg onzichtbaar is.

OpenSSH is ook zo'n voorbeeld. Dit speledingetje van Theo de Raadt is ook geaudit (onderdeel van OpenBSD). Maar dit pakket heeft ook een lange lijst van vulnerabilities.

Het grote probleem is complexiteit. Een OS als Windows is veel te complex. En het is om te beginnen niet ontworpen met veiligheid in oogschauw. Echter de installed base van Windows is zo groot dat het een serieus probleem is.

Als je denkt in termen van veiligheid, denk dan aan minimalisme. Alleen met die mindset kan iets echt veilig worden.

Denk bv aan Plan9 of Minix. Maar dan nog simpeler en vooral minder.

Wannial @Verwijderd • 21 november 2013 10:38

Als ze het kunnen schrijven dan kunnen ze het ook wel controleren hoor

Verwijderd @Verwijderd • 21 november 2013 15:38

"Dat zal nooit kunnen. De data die je richting server stuurt, zal door de server ontsleuteld moeten kunnen worden. Dat kan alleen als die server de sleutel heeft, z'n eigen private key. Het verkeer wat jouw kant op komt kan wel met jouw key versleuteld worden."

"Euhh... dat kan wel. Denk aan OpenID."

OpenID heeft werkelijk helemaal NUL te maken met encryptie laat staat met SSL. Misschien moet je je eens verdiepen in het OSI model voordat je allerlei dingen door elkaar haalt.

Verwijderd @Verwijderd • 21 november 2013 16:03

Ik heb ondertussen wel gezegd hoe ik erover denk. Je zou m'n andere berichten kunnen nalezen.

Rafe @Verwijderd • 21 november 2013 10:25

OpenID lost een ander probleem dan hier besproken wordt. Appels en peren.

Verwijderd @Rafe • 21 november 2013 10:32

Wat ik wil zeggen is dat er meer is dan de huidige technieken. Denk out of the box. Maar als iemand zegt: "Dat zal nooit kunnen.", dan heeft deze persoon het fout. Het kan altijd anders.

Manu_ @Verwijderd • 21 november 2013 10:43

Nee, in dit geval heb jij het echt fout. Voor communicatie tussen A en B moeten ze elkaars berichten kunnen begrijpen. Als A een encrypted bericht naar B stuurt moet B daar somehow de content uit kunnen halen, anders is er geen werkende communicatie. Als B de content uit het bericht kan halen, kan hij daar alles mee doen, bijvoorbeeld opslaan of aan de NSA vertellen.

Werkende communicatie tussen twee partijen zonder dat ze elkaars berichten naar de NSA kunnen doorsluizen zal dus nooit kunnen.

Verwijderd @Manu_ • 21 november 2013 10:54

Nee, jij hebt het fout. De server hoeft helemaal niet aan de data te komen, vooral niet als het alleen opslag is.
Maar waar ik oorspronkelijk op reageerde was dat dat de server de sleutel zou moeten hebben. In een reactie heb ik een link naar een filmpje gezet. Je zou deze voor de grap kunnen bekijken. Het hele certificatie verhaal wordt hierin onderuit gehaald.

jrfloor @Verwijderd • 21 november 2013 13:30

Zoals ik het begrijp zeg jij iets anders dan wat je bedoelt en/of begrijpen een boel mensen iets anders dan wat jij zegt. Voor communicatie tussen twee actoren moeten beiden de communicatie kunnen lezen. Dwz, google hoeft niet de inhoud van je mail kunnen lezen maar moet wel weten dat jij die mail wil zien. Eveneens, de persoon die jij mailt moet ook de de inhoud van de mail kunnen lezen. Daar verander je gewoon niks aan.

Dus je hebt gelijk want wat jij wilt zeggen klopt en je hebt ongelijk want wat mensen lijken te denken dat je gezegd hebt klopt niet. Maar als ik jou was zou ik die anderen mensen maar stom vinden

Grrrrrene

@Verwijderd • 21 november 2013 11:18

Ik vraag me dan toch af hoe je een opdracht richting Google client side wil encrypten, zonder Google (en daarmee de NSA) de sleutel te geven en vervolgens van Google wel verwacht dat de onleesbare brei tot iets nuttigs wordt omgezet (een zoekopdracht uitvoeren bijvoorbeeld of een e-mail versturen). En andersom: hoe versleutelt Google die data met een key die jij alleen hebt?

En wat hierboven al geschetst wordt: met al die onthullingen ga je je haast afvragen hoe ver de NSA gaat om af te luisteren. Het OS is wel duidelijk: Microsoft heeft zich aan de Patriot Act te houden, dus daar zullen diverse achterdeurtjes inzitten. Maar hoe zit het met je browser? Je toetsenbord? Je moederbord, je processor, je harddisk? De encryptiestandaard en -software? De hele reeks van toetsenbord input tot opslag / verwerking bij Google moet veilig zijn en dat is vrijwel onmogelijk aan te tonen (plus dat je je moet afvragen of je de instantie die het controleert wel moet vertrouwen, zeker als het een bedrijf uit de VS is

).

Zo blijf je in een cirkeltje redeneren waaruit uiteindelijk blijkt dat je niemand, behalve jezelf, 100% kunt vertrouwen.

^^^Hoog alu-hoedje gehalte natuurlijk, maar onmogelijk is het niet.

[Reactie gewijzigd door Grrrrrene op 24 juli 2024 02:02]

DutchReaper @Grrrrrene • 21 november 2013 14:27

Je kan wel zeggen dat ze je beveiliging op verschillende lagen te kraken is, maar dat betekend niet dat je dan het niet eens moet proberen. Daarbij zijn er ook verschillende alternatieven voor deze lagen waardoor het afluisteren minder effectief is.

Client side encryptie kan wel, dan moet je je public key beschikbaar stellen aan Google. Maar dan is er geen beveiliging aanwezig tegen man-in-the-middle attacks door de overheid. En dit zijn de aanvallen die met de huidige certificaten structuur al kwetsbaar zijn en niet makkelijk opgelost kunnen worden.

Verwijderd @kwikstaart • 21 november 2013 10:11

Met de eerste twee alinea beschrijf je het probleem waaraan Lavabit ten onder gegaan is.

Dan rest de derde alinea, waar je het in de tweede alinea aangekaarte toegangsprobleem niet hebt opgelost.
Encfs gebruikt AES, Twofish etc als encryptie. Dergelijke algoritmen zijn duur om te kraken, maar niet onkraakbaar. Met toepassing van quantum-computers en pseudo-random generators is hedendaagse encryptie een stuk sneller (=goedkoper) te kraken. Combineer dit met dataretentie en je privacy is tijdsafhankelijk.

Zolang de groep die extra encryptie gebruikt klein genoeg is, blijven het statistische outliers en dientengevolge relatief goedkoop om te monitoren.

Privacy bestaat alleen bij het respect daarvan. Voor de rest is het een kwestie van uptodate encryptie en beperking van dataretentie.

En wat doet Google ook alweer mbt privacy en dataretentie? De dataverwerkingsdiensten (gezichtsherkenningssoftware, profilering per dienst, integratie van diensten) en opslagdiensten van Google breiden zich uit.

Goderic @Verwijderd • 21 november 2013 11:42

AES 256 is fysisch onmogelijk te kraken met een normale computer, je hebt er simpelweg te veel energie voor nodig. Een computer die enkel tot 2^256 (het aantal berekeningen dat je moet doen om AES 256 te kraken) kan tellen heeft volgens de thermodynamica al meer energie nodig dan er in de zon zit, en dat gaat dan over een perfecte computer die enkel telt.

Met een quantum computer kun je in het beste geval het aantal berekeningen reduceren tot de vierkantswortel van het oorspronkelijk aantal, 2^128 dus. Met een quantum computer die even snel is als een hedendaagse computer gaat dat nog steeds een paar miljoen jaar duren.

Als je een pseudo random generator wilt gebruiken om encryptie te hacken moet je al een backdoor gaan inbouwen in de key generator. Niet onmogelijk maar zeer moeilijk om ongemerkt te doen. Kijk maar naar de backdoor die de NSA had ingebouwd, al heel snel had men door dat er iets niet koosjer aan was.

DutchReaper @Goderic • 21 november 2013 14:37

Maar voor een man-in-the-middle aanval hoeft de encryptie niet gehackt te zijn. De enige maatregel tegen man-in-the-middle aanvallen is dat er instanties zijn die bevestigen dat de SSL verbinding werkelijk afkomstig is van Google. Dit lijkt een goede oplossing totdat je bedenkt dat de overheid ook zulke instanties heeft en zelf ook certificaten mag aanmaken die bevestigen dat een server van google is.

Dus ben je bang dat je wordt afgeluisterd door de overheid, moet je niet alleen controleren over er een https verbinding is, maar moet je ook kijken of de instantie die het certificaat heeft uitgebracht de juiste is. (Wat in het geval van Google de Google Internet authority G2 is.

Verwijderd @Goderic • 21 november 2013 12:19

In jouw toepassing gebruik je Grover's algoritme voor aes (vooropgesteld dat de aes-implementatie deugdelijk is).

Mbt de moeilijkheden voor het ontdekken van (hardware) pseudo random generators verwijs ik je Theodore T'so (TheodoreT'so@google+)

[Reactie gewijzigd door Verwijderd op 24 juli 2024 02:02]

belal

@kwikstaart • 21 november 2013 11:47

Hiervoor is een methode beschikbaar sinds 2002 welke relatief weinig moeite moet kosten om als vervanging van SSL te dienen.

https://en.wikipedia.org/...80%93Hellman_key_exchange

Helaas zal de groep die http 2.0 gaat vaststellen hier geen gebruik van gaan maken.

off-topic: Zie veel doordachte reakties, maar niemand anders die Diffie-Hellman noemt als oplossing. Opvallend en eigenlijk wat teleurstellend. Tweakers zijn toch over het algemeen de top van kennis en zeker op dit gebied verwacht ik meer van mijn fellow tweakers (no offense intended)

[Reactie gewijzigd door belal op 24 juli 2024 02:02]

Manu_ @belal • 21 november 2013 18:23

Allereerst komt DH uit 1976 (klik), niet uit 2002. Verder weet ik niet precies wat je er mee wilt oplossen, maar DH biedt geen authenticity en is totaal waardeloos tegen een active adversary, want iedereen kan een MITM aanval doen. Niet echt iets om SSL met certificaten mee te vervangen dus.

Audione0 @enigmafan • 21 november 2013 11:41

Er zijn landen waar ze het aardig voor elkaar hebben. China, Noord Korea, Iran. (en misschien nog meer landen)

Nog even en het internetverkeer is in de westerse samenleving niet zo gesloten als daar.
Ik bedoel, als je dit echt de kop in wilt drukken moet elke land zn eigen netwerk maken, zonder een pijpleiding over de grens te trekken, dan alleen krijg je het 100% dicht, zonder dat er iemand mee kijkt. Maar dit willen we niet.
Dus alles is en blijft te hacken, cracken en te manipuleren. Dus encrypten, 1000 firewalls hebben denk ik totaal geen zin

Ik ga steeds harder lachen om dit soort berichten.

ikweethetbeter @Verwijderd • 21 november 2013 09:33

Als je https verkeer versleutelt wordt er geen sleutel van jezelf gebruikt eh...

Dat klopt niet, dat gebeurt wel!

Je hebt altijd een sleutelpaar, één deel is de publieke sleutel, en één deel is de private sleutel. Deze sleutelparen worden gegenereerd, het achterhalen van de private sleutel als je de publieke sleutel hebt kost zeer veel rekenkracht (afhankelijk van de sleutelgrootte).

Een secure webserver versleutelt gegevens met zijn private en jouw publieke sleutel, en deze gegevens zijn alleen te oncijferen door de publieke sleutel van de webserver en jouw private sleutel.

Stoney3K

Politiek en recht
Encryptie

@ikweethetbeter • 21 november 2013 09:39

[...]
Een secure webserver versleutelt gegevens met zijn private en jouw publieke sleutel, en deze gegevens zijn alleen te oncijferen door de publieke sleutel van de webserver en jouw private sleutel.

Wat dus feitelijk betekent, dat wanneer veiligheidsdiensten in bezit zijn van 'hun' private sleutel, dat ze jouw verkeer niet zo maar kunnen aftappen, maar ze zich wel voor kunnen doen als een legitieme HTTPS webserver voor een man-in-the-middle aanval.

ikweethetbeter @Stoney3K • 21 november 2013 13:22

Dat klopt!

De MitM aanvallen zijn inderdaad een probleem. Dus ook al is het HTTPS protocol helemaal secure, dan nog moet je er op één of andere manier vanuit kunnen gaan dat de partij waarmee jij denkt te communiceren ook echt de partij is waarmee jij communiceert.

Ook daarvoor komt een oplossing, en een volgende bedreiging, en ...

Het is en blijft een kat-en-muis spel.

stunn0r @Verwijderd • 21 november 2013 12:15

Dat er bij SSL verbindingen geen sleutel van jezelf gebruikt wordt klopt, echter doelde ik er op dat je ook de data die over deze SSL verbindingen loopt kan encrypten. Denk bijvoorbeeld aan PGP voor e-mail, OTR voor instant messaging. Bestanden kan je ook encrypten.

Xatr0z @stunn0r • 21 november 2013 11:18

Dan zou google ook niet meer je data kunnen inkijken, en dat is zo'n beetje hun hele verdienmodel.
In ieder geval: zelf encrypten, niet afhankelijk zijn van amerikaans bedrijf.

bbob

Privacy
Politiek en recht
Encryptie
Google

@stunn0r • 21 november 2013 11:55

Lees backdoor in de encryptie software en je hebt je antwoord.

IMarks @rickiii • 21 november 2013 09:16

Volgens mij spreekt Eric Schmidt hier over encryptie door de user ipv de dienst. Als voorbeeld even te noemen Google Drive of Dropbox, Daar kun je zelf je bestanden neer zetten, dus ook zelf encrypten.

Dit lijkt mij dan zelf ook een zeer effectieve methode, zeker met het programma TrueCrypt, wat niet voor niks verboden is in Amerika. Daar zijn ze (nog) niet van instaat het kraken, (of duurt veels te lang). als 50% van de gebruikers dit al zou doen is het surveillance niet meer effectief en kunnen ze dus niks meer doen

[Reactie gewijzigd door IMarks op 24 juli 2024 02:02]

Verwijderd @IMarks • 21 november 2013 09:35

Truecrypt is niet verboden in de VS het mag allleen niet geëxporteerd worden naar bepaalde landen.

Stoney3K

Politiek en recht
Encryptie

@Verwijderd • 21 november 2013 09:42

Truecrypt is niet verboden in de VS het mag allleen niet geëxporteerd worden naar bepaalde landen.

Volgens mij is die wetgeving (Amerikaanse wapenwet, verbod op 'strong encryption' sterker dan 64 bits) al lang niet meer van kracht omdat die in 1989 al is omzeild door de 'export' van open-source encryptie PGP. De broncode daarvan werd toen als drukwerk naar Nederland verstuurd, en hier weer ingescand, nagekeken en gecompileerd.

Juridisch kon de VS er niks tegenin brengen op last van het briefgheim, en er zijn nu legio (open-source) versleutelingsmethodes die vanuit de VS worden ontwikkeld.

[Reactie gewijzigd door Stoney3K op 24 juli 2024 02:02]

Standeman @IMarks • 21 november 2013 10:26

Dat denk ik juist niet, want dan heeft google ook geen toegang meer tot die bestanden en dat is nou juist waar het business model op gebaseerd is. Eric Schmidt heeft het alleen over de communicatie tussen google servers en die tussen google en de klant.

jrfloor @Standeman • 21 november 2013 13:34

Nee want dat voegt niks toe. Hij heeft het juist over encryptie vanuit de gebruiker.

PBloem @rickiii • 21 november 2013 09:14

Dat zal ook meer en meer komen , de controle is nodig vind een gemiddelde regering.
De burger mag niets te verbergen hebben, dit is verdacht.

Uiteindelijk gaan ze het toch verliezen van de techniek.
Dit zie je al terug in het spelletje met torrents en NZB bestanden.
Mensen zijn creatief als ze iets niet mogen maar toch willen.

.MaT @PBloem • 21 november 2013 16:58

De techniek zal inderdaad altijd een antwoord hebben maar het zwakke punt is de grote massa.
De regering hoeft maar te verbieden en te criminaliseren waarop de grote massa dit zal slikken omdat ze denken dat de regering het beste met hun voor heeft of 'omdat ze toch niets te verbergen hebben': Alleen illegale downloaders gebruiken torrent en andere P2P toepassingen, alleen ciminelen en verspreiders van kinderporno gebruiken proxy's/encryptie/VPN/... om hun activiteiten te verbergen,... enz.
Eens de grote massa mooi binnen de lijntjes loopt kunnen de enkelingen met 'verboden techniek' gemakkelijk aangepakt worden.

leuk_he @rickiii • 21 november 2013 10:58

Belangrijk daarin is : welke sleutels? De master key? Nee, dan heb je gelijk,dan heeft encrypty geen zin. Maar als er een sleutel per gebruiker of per document is, dan moet die ook op dat nivo worden opgevraagd. Daar kan dan op basis van een goed opvraag document, getoetst door een rechter. Dat is een ander verhaal dan dat je de overheid toegang geeft tot de grote bak met alle gegevens.

Nog beter wordt het als je de gebruiker zelf de sleutel geeft, maar dat is technisch helaas ingewikkelder.

Encrypty alleen is niet het toverwoord. Key management is ook belangrijk.

jobvr 21 november 2013 09:35

Ben ik nou de enige die het nogal lachwekkend vindt dat het bedrijf dat in zijn voorwaarden heeft staan, dat ze al je data mogen doorzoeken en er daarna mee doen wat ze zelf willen, zich zorgen maakt over het feit dat de overheid dit ook doet???

Verwijderd @jobvr • 21 november 2013 10:27

Ben ik nou de enige die het nogal lachwekkend vindt dat het bedrijf dat in zijn voorwaarden heeft staan, dat ze al je data mogen doorzoeken en er daarna mee doen wat ze zelf willen, zich zorgen maakt over het feit dat de overheid dit ook doet???

Zucht, Ik hoop het wel....

Het is nog steeds een keuze om producten van Google te gebruiken. Als je die producten gebruikt, dan zul je akkoord moeten gaan met de voorwaarden die ze stellen. Als je dit niet wilt, gebruik je hun diensten toch niet?
Voor zover ik weet zijn er geen voorwaarden bekend van de NSA, waarmee je akkoord kunt gaan. Laat staan ze afwijzen!

Maar wat heb je trouwens aan de producten van Google, zonder zoekfuntie... Dus van mij mogen ze mijn documenten doorzoeken. De voorwaarde dat Google mag doen met mijn gegevens wat ze willen ben ik nog niet tegengekomen....linkje?

jobvr @Verwijderd • 21 november 2013 13:44

Geen directe link, maar onder het stukje voorwaarden
http://www.consumentenbon...ders/google/google-drive/

Verwijderd @jobvr • 21 november 2013 20:44

"Zoals bij veel clouddiensten ga je voor gebruik ook hier weer akkoord met een hele riedel, soms absurd klinkende voorwaarden: 'Google heeft het recht de inhoud te gebruiken, op te slaan, te reproduceren en aan te passen.' Specifiek Google (met zijn advertentiesystemen) heeft zulke toestemmingen nodig om advertenties af te kunnen stemmen op bijvoorbeeld de inhoud van documenten. De adverteerder hoeft de documenten niet zelf in te zien, de computers van Google wel. En het is volgens Google nodig voor (onder andere) het verbeteren of promoten van diensten of het ontwikkelen van nieuwe"

Hier staat toch niet dat Google mag doen met mijn gegevens wat ze willen? Zoals de consumentenbond het trouwens omschrijft staat het niet in de voorwaarden. Dit staat er:

..."Wanneer u inhoud uploadt naar, of anderszins toevoegt aan, onze Services verleent u Google (en degenen met wie we samenwerken) een wereldwijde licentie om dergelijke inhoud te gebruiken, te hosten, op te slaan, te reproduceren, aan te passen, afgeleide werken daarvan te maken (zoals afgeleide werken als gevolg van vertalingen, aanpassingen of andere wijzigingen die we aanbrengen om ervoor te zorgen dat uw inhoud beter werkt met onze Services), te communiceren, te publiceren, openbaar uit te voeren, openbaar weer te geven en te distribueren...."

https://www.google.nl/intl/nl/policies/terms/regional.html

Als je even bedenkt welke services Google eigenlijk biedt, zijn al deze voorwaarden goed te verklaren. Als je bang bent dat Google tóch andere dingen met jou gegevens doet, heb je de keuze om hier geen gebruik van te maken.

Dit zegt Google zelf over hun service voorwaarden:
https://support.google.co...5?hl=nl&ref_topic=2428743

Natuurlijk moet iedereen goed bedenken wat ze doen als er bestanden worden opgeslagen in de Cloud, maar ik snap niet waar steeds weer die verhalen vandaan komen dat al je gegevens vogelvrij zijn, zodra je ze aan Google geeft.

Vizzie @jobvr • 21 november 2013 09:55

Bang voor concurrentie

H!GHGuY 21 november 2013 12:19

Peter Sunde (van The Pirate Bay) denkt net het omgekeerde.
Hij meent dat encryptie (en andere technologische oplossingen) geen oplossing zijn voor het maatschappelijk probleem dat er in beide richtingen wantrouwen is tussen burgers en politici.

Zie hier voor een uiteenzetting van zijn visie:
http://arstechnica.com/te...ay-cofounder-peter-sunde/

Verwijderd @H!GHGuY • 21 november 2013 13:38

Daar zit zeker een kern van waarheid in. Politici kunnen encryptie immers verbieden of aan banden leggen. Dergelijke voorstellen zijn er al regelmatig geweest, zelfs in Nederland. Gelukkig worden die tot nu toe direct afgeschoten, maar dat kan een keer veranderen.

jrfloor @H!GHGuY • 21 november 2013 13:40

Niet hetzelfde:

"The solution to government surveillance is to encrypt everything"

het probleem dat hier wordt "opgelost" is afluisterparktijken. Dat dat geen oplossing is voor het wantrouwen is niet ter zake, dat is een ander probleem.

H!GHGuY @jrfloor • 21 november 2013 21:01

Toch wel hoor.

Volgens Sunde is de manier om die afluisterpraktijken te stoppen om dit via politieke weg te stoppen. Niet om overal encryptie toe te gaan passen.

Qua Salébra 21 november 2013 09:36

Tsja, Google wil natuurlijk niet dat gebruikers zelf encrytie gaan toepassen via bijvoorbeeld drive, want dan kunnen zij deze gegevens niet meer analyseren en fungeren ze alleen nog maar als een soort van externe backup.

Daarom doen ze er alles aan om de gebruiker ervan te overtuigen dat het weer veilig is, terwijl de werkelijke veiligheidsproblemen waarschijnlijk in de versleuteling zelf zitten.

belal

21 november 2013 12:08

Off topic:
Omdat ik zie dat veel mensen niet snappen wat privacy is (niet alleen hier). Toch even een stukje reaktie met wat linkjes naar artikelen die je mening wel eens ernstig kunnen veranderen.

Als je de opmerking van Schmidt op privacy toepast mis je het punt van wat privacy IS.
Lees onderstaande artikelen eens om een iets beter inzicht te krijgen in wat privacy is.
Als je daarna bij dezelfde mening blijft snap ik niet waarom je gordijnen hebt en kleren draagt

De eerste link in het nederlands, de andere twee aanvullend in het engels.
https://decorrespondent.n...erbergen/6428004-ab2d5fc2

https://chronicle.com/art...y-Matters-Even-if/127461/
http://www.theatlantic.co...e-scholars-answer/273521/

Bunga @belal • 21 november 2013 14:10

Bedankt voor de links. Het volgende vond ik ontzettend belangrijk.
"...but also affect social structure by altering the kind of relationships people have with the institutions that make important decisions about their lives."

Het hele surveillance en data gathering tast de democratie aan. Het geeft meer macht aan de overheid terwijl de overheid ten dienste van het volk moet zijn en niet andersom. Je kan wel zeggen dat we via verkiezingen andere partijen kunnen naar voren schuiven maar door de hele inbreuk op privacy wordt die macht in stand gehouden op overheidsniveau en maakt het steeds minder welke partij zich aan de machtinfuus legt, dit doet elke partij watertanden. Het zal beginnen door de info te gebruiken om verkiezingen te manipuleren en waar het eindigt...
Kijk maar wat er nu gebeurt met de NSA. Iedereen waarmee je praat vindt het schandalig maar gaat het iets veranderen bij onze overheden? Nee, ze zijn namelijk gewoon jaloers dat NSA dit veel beter kan.

Verwijderd @belal • 21 november 2013 13:34

Mensen die "niks te verbergen hebben" vraag ik of ik even met hun telefoon of computer mag spelen, de post voor ze open zal maken, of een weekje op de bank mag logeren. Dan dringt de ware betekenis van privacy meestal snel genoeg door.

KidPaddle 21 november 2013 09:23

als de kwantum computers echt door gaan dringen gaat encryptie totaal zinloos zijn om de overheid uit je gegevens te houden. Dan kan zelfs met brute force elke encryptie gekraakt worden binnen afzienbare tijd.
En als de overheid je afdwingt om sleutels af te staan heb je ook weinig aan encryptie.

Het is een beetje alsof je het schuld bent als er ingebroken wordt omdat je de deur niet op slot hebt gedaan. Nee, men moet gewoon niet inbreken!

SuperDre @KidPaddle • 21 november 2013 09:43

tenzij dezelfde quantumcomputers ook gebruikt worden voor het versleutelen.. Maar ga er maar van uit dat in het geheim eigenlijk wel de meeste encryptie gewoon open ligt..

Verwijderd @KidPaddle • 21 november 2013 09:47

NTRUEncrypt is voor zover bekend niet te breken met een quantum computer.

http://en.wikipedia.org/wiki/NTRUEncrypt

Stoney3K

Politiek en recht
Encryptie

@KidPaddle • 21 november 2013 09:47

als de kwantum computers echt door gaan dringen gaat encryptie totaal zinloos zijn om de overheid uit je gegevens te houden. Dan kan zelfs met brute force elke encryptie gekraakt worden binnen afzienbare tijd.

Aan de andere kant kun je die kwantumcomputers ook weer gebruiken om je gegevens op een nieuwe manier te versleutelen. Ze zijn alleen een goed middel als je ze inzet tegen 'klassieke' cryptografie.

Vizzie 21 november 2013 09:11

Natuurlijk zegt hij dat.

Als mensen op eens bedenken dat het misschien handig is om wat minder zaken via internet te regelen kan hij ze minder reclames voorschotelen en minder van hun gegevens verzamelen.

Het is niet alsof Google zoveel beter is dan de NSA, het enige verschil is dat Google tenminste gratis diensten geeft ipv een vals gevoel van veiligheid. Blijkbaar wil meneer Schmidt mensen nu ook een vals gevoel van veiligheid geven. Welliswaar geen gevoel veilig te zijn tegen terroristen maar een gevoel veilig te zijn voor de NSA.

RielN @Vizzie • 21 november 2013 09:18

Waarom zou Google niet zijn best doen om de dienstverlening hoog te houden, en data te beschermen voor iedereen?

Zoals Google Apps geen advertenties toont en er geen profilering is, kan ook de gewone Gmail beschermd zijn voor alles behalve hun eigen algorithmen, wat voor de eindgebruiker niet zo'n ramp is.

tofus 21 november 2013 09:25

"Het is niet alsof Google zoveel beter is dan de NSA" Helemaal mee eens. Ik ben dan ook al jaren geleden overgestapt op NSA Mail en NSA+. En ik gebruik natuurlijk NSA Search voor al mijn websearches.

Oh wacht....

Ik ben geen fan van grote multinationals, maar in dit geval is er toch echt een heel groot verschil tussen een commercieel bedrijf wat van haar voortbestaan afhankelijk is van ons, de consument en de nationale veiligheidsdienst van 'swerelds grootste supermacht. Als je dat verschil (nog?) niet ziet, moet je (nog?) niet aan de discussie deelnemen...

SuperDre @tofus • 21 november 2013 09:44

vindt je? Ik vindt het nog erger juist dat een commercieel bedrijf hetzelfde doet dan dat een overheid het doet..

Vizzie @tofus • 21 november 2013 09:54

Als je citeert, citeer dan de hele zin en gebruik de quote functie in plaats van alleen het stukje wat in jouw kraam te pas komt te kopiëren, wat je nu doet is gewoon laf en slecht debatteren.

Daarnaast zou je als je beter had gelezen hebben gezien dat er niet staat dat er geen verschil is, maar dat ik Google net zo erg vind.

Natuurlijk is er een verschil tussen de NSA en Google, zoals ook vermeld in de oorspronkelijke post, maar de grote overeenkomst is dat ik (en ik denk met mij vele anderen) helemaal niet wil dat een of andere organisatie (veiligheidsdienst of bedrijf) gegevens over mij verzamelt. Niet om advertenties te verkopen en niet om terroristen te bestrijden en zelfs niet om puppy's te redden. Gewoon überhaupt niet.

Misschien moet je toch even wat beter leren lezen en argumenteren voor je aan een discussie deelneemt

Fransfb 21 november 2013 09:24

Als ze de boel overal encrypten, en ze moeten de keys afgeven. Dan kan Google (bijv) toch wel enigzins zien waar ze naar kijken. ipv totaal niet weten wat ze aan het doen zijn?

Blubber 21 november 2013 10:59

En dat van de man die eerder het volgende uitte:

“If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.”

bron: http://blogs.wsj.com/digi...he-quotable-eric-schmidt/

Op dit item kan niet meer gereageerd worden.

Google-topman Schmidt: encryptie is oplossing voor overheidssurveillance

Lees meer

IT-banen

Reacties (74)

Sorteer op:

Weergave: