Tool zoekt illegale beelden op basis van versleutelde database

Wetenschappers van de Universiteit Twente hebben een systeem ontwikkeld waarmee de politie of internetproviders foto's op internet kunnen vergelijken met illegale foto's die in een versleutelde database staan. Tot nu toe kon het vergelijken nog niet zonder inbreuk te maken op de privacy.

Momenteel maakt de politie bij onderzoek naar illegale foto's, zoals kinderpornoafbeeldingen, al gebruik van een standaarddatabase waarin geen echte afbeeldingen staan, maar hashes. De politie kan de hashes van afbeeldingen die op usb-sticks of harde schijven worden aangetroffen, vergelijken met die van de database en bij matches weet de politie dat het om dezelfde illegale afbeeldingen gaat. Het probleem is dat de database niet gebruikt kan worden om ook op internet te zoeken, aldus de Universiteit Twente.

Als de hashwaarden namelijk in verkeerde handen vallen, kunnen criminelen deze informatie gebruiken om hun foto's onvindbaar te maken. Onderzoekers van de Universiteit Twente hebben nu een systeem gemaakt op basis van een versleutelde database, waarmee de politie en andere partijen ook internet kunnen doorzoeken. Als criminelen de database in handen krijgen, zou dit geen problemen geven.

"Het werkt op basis van homomorphic encryption", zegt onderzoeker Andreas Peter tegen Tweakers. "Hiermee kun je bepaalde berekeningen uitvoeren op versleutelde data, zonder dat je hoeft te decrypten om resultaten te krijgen." Het systeem waaraan hij met collega's werkt, maakt het mogelijk de database van de politie te versleutelen, waarna de politie deze zelf kan gebruiken of zelfs aan andere partijen, zoals internetbedrijven, kan overhandigen. "Het gaat om een relatief nieuwe vorm van encryptie, die bestand is tegen kraken", beweert Peter. De versleuteling zou nauwelijks invloed hebben op de snelheid voor het matchen. "Grote hoeveelheden hashes kunnen in milliseconden worden vergeleken."

Het systeem geeft na het vergelijken een rapport met het aantal matches. Pas daarna hoeft de politie ertoe over te gaan dit aantal te ontsleutelen. Het is daarmee ook beter voor de privacy van internetters, aldus de onderzoekers, aangezien voor het decrypten geen foto's hoeven te worden ingezien. Volgens Peter heeft de Nederlandse politie grote interesse in het systeem en wordt er samengewerkt aan een apparaat. Ook zouden internationale bedrijven interesse hebben getoond.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 19-03-2014 16:26 67

19-03-2014 • 16:26

67

Lees meer

Homomorfische encryptie

9 aug 2021

Homomorfische encryptie

Zo voer je analyses uit op versleutelde data

58
Nederlander maakt 'onderwater-gps'
Nederlander maakt 'onderwater-gps' Nieuws van 28 mei 2014
Politie: effect uploadfilter tegen kinderporno is verwaarloosbaar
Politie: effect uploadfilter tegen kinderporno is verwaarloosbaar Nieuws van 13 december 2012
Politiek en recht Politie

Reacties (67)

-Moderatie-faq
67
67
50
4
0
8
Wijzig sortering

Sorteer op:

Weergave:
drdelta 19 maart 2014 16:47
Dus de gevolgen van een hash collision zou een veroordeling kunnen zijn wegens 'bezit' van bijvoorbeeld kinderporno?
Angelevo @drdelta19 maart 2014 16:51
Lijkt mij realistischer dat ze bij een match dieper gaan zoeken en met menselijke ogen kijken. Dat lijkt mij uiteindelijk de enige rechtsgeldige wijze om aan te tonen dat iemand in het bezit is van KP.
JAVE @drdelta19 maart 2014 16:55
Nee, daarvoor bekijken ze de naar boven gekomen matches.
Nu hoeven/kunnen ze alleen niet alles te bekijken.
Carharttguy @drdelta19 maart 2014 17:09
Neen. Een hash collision zou wel kunnen betekenen dat ze die bepaalde gedecrypt wordt. Om dan vast te stellen dat er niets illegaals aan is. En je gaat vrijuit.
MicScott @drdelta19 maart 2014 17:12
Lijkt me dan makkelijk aan te tonen dat het geen illegaal bestand is door het eenvoudigweg te decrypten en te laten zien dat het iets anders is.
Eloy 19 maart 2014 16:29
Als de hashwaarden namelijk in verkeerde handen vallen, kunnen criminelen deze informatie gebruiken om hun foto's onvindbaar te maken.
Als ze weten dat er van iedere foto een kans is dat de politie de hash heeft, kunnen ze toch in een batchbewerking een zwarte pixel toevoegen in iedere foto zodat de hashes niet meer werken?

[Reactie gewijzigd door Eloy op 23 juli 2024 08:46]

mvdejong @Eloy19 maart 2014 16:32
Ik neem aan dat ze, net als bij gezichtsherkenning, niet een pixel-voor-pixel hash berekenen, maar dat ze een hash berekenen op basis van kleuren en patronen.

Alleen
"Het gaat om een relatief nieuwe vorm van encryptie, die bestand is tegen kraken", beweert Peter.
doet me het ergste vrezen. Dat soort stellige zekerheid is meestal een teken van zelfoverschatting.

[Reactie gewijzigd door mvdejong op 23 juli 2024 08:46]

Verwijderd @mvdejong19 maart 2014 16:35
Dat gaat niet werken dan natuurlijk. Dan is het geen hash.
Wat als je een zooi foto's gaat exporteren met andere grootte, compressie, formaat(tiff, jpg, png) ?
lordfragger @Verwijderd19 maart 2014 18:05
Er zijn manieren om een soort hash te maken die met al die bewerkingen overweg kan. Dat wordt meestal gedaan door bvb 10% aan de buitenkant van de foto af te snijden (om tags en watermerken uit te sluiten) en dan de overgebleven afbeelding opdelen in een aantal vakken. Door van die vakken de gemiddelde kleur, grijswaarde en/of helderheid te berekenen heb je een "hash" die met redelijke zekerheid een match kan identificeren, ook al is er aan de afbeelding geprutst.

Een interessante paper hierover: http://www.cs.cmu.edu/~hcwong/Pdfs/icip02.ps
Caseman @lordfragger20 maart 2014 06:29
En een programma'tje als DupDetector (http://www.keronsoft.com/dupdetector.html) doet ook al zoiets. Bak met plaatjes scannen en indexeren (noem het "hashen") daarna kijken hoeveel matches je kan vinden en daarna pas de plaatjes naast elkaar laten zien.
Brahiewahiewa @lordfragger19 maart 2014 20:38
't Paper niet gelezen hoor, maar werkt dat ook in encrypted bestanden?
Ik stel me zo voor dat je in een encrypted foto niet eens de buitenkant van de binnenkant kunt onderscheiden. Als dat wel zo is, betekent het dat encryption in principe lek is. Dan zou je dus ook op een encrypted tekst bestand een soort van patroonherkenning moeten kunnen doen, voor bepaalde woordcombinaties, ofzo
Bij nader inzien blijkt 't dus ook te gaan om niet-encrypted bestanden

[Reactie gewijzigd door Brahiewahiewa op 23 juli 2024 08:46]

Verwijderd @mvdejong19 maart 2014 16:37
Is het dan niet makkelijk om een standaard "omreken-"mechanisme te maken dat ervoor zorgt dat de foto op het oog weinig verandert maar dat de hashes helemaal anders worden? Kan compleet belachelijk klinken hoor, ik weet niets van hashes en dergelijke, maar het kwam zomaar in me op. Anyway, het gaat waarschijnlijk niet lang duren voordat iemand ( een bepaalde overheid of overheidsdienst) dit gaat misbruiken om "illegale" media te vinden.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:46]

Zer0 @Verwijderd19 maart 2014 16:46
Anyway, het gaat waarschijnlijk niet lang duren voordat iemand ( een bepaalde overheid of overheidsdienst) dit gaat misbruiken om "illegale" media te vinden.
Iets wat de consument al massaal doet, hashes gebruiken om "illegale" media te vinden, ook wel bekend onder de naam torrents :P
Verwijderd @Zer019 maart 2014 16:48
De consument arresteert niemand daarvoor ;)
Anders @Verwijderd19 maart 2014 17:16
Ja. En nee. Het algoritme wordt immers zwaar geheim gehouden. Het zal echt niet werken op basis van individuele pixels, daar ziet ik de UT niet voor aan.

Boeven zullen hoe dan ook geen idee hebben of hun omzeilingsmethoden afdoende werken.
MrR0b3rt @Anders20 maart 2014 08:25
Ze kunnen het wel zwaar geheim houden, maar het is een kwestie van tijd voordat de boeven een manier hebben gevonden om dit te omzeilen. (zoals velen waarschijnlijk wel weten) security is altijd al een kat en muis spel geweest en dat zal het altijd blijven.
watercoolertje @mvdejong19 maart 2014 16:45
Ik neem aan dat ze, net als bij gezichtsherkenning, niet een pixel-voor-pixel hash berekenen, maar dat ze een hash berekenen op basis van kleuren en patronen.
Er zijn nog 1000 andere manieren om een foto anders te maken en later weer terug te zetten naar het origineel, geen algoritme wat daar tegen op kan boxen...

2 foto's in elkaar verweven (interlacing bijv), foto's opdelen in blokken van 100px en die dan random draaien of spiegelen, krijg je een soort puzzel voor pedo's dat wel (die moeten het weer terug zetten voor ze het totaalplaatje krijgen, maar is eventueel met een bepaald algoritme te doen), maar alles is te omzeilen, helaas (in dit geval dan), dus ook dit algoritme!

[Reactie gewijzigd door watercoolertje op 23 juli 2024 08:46]

Dykam @watercoolertje19 maart 2014 17:17
Dan krijg je gewoon versleuteling. Het gaat hier om het zoeken naar niet-versleutelde plaatjes.
MicGlou @mvdejong19 maart 2014 18:54
Het zal mij niets verbazen als de ontwikkelde techniek zijn basis vind in de techniek die Youtube gebruikt om video materiaal te analyseren. Dat systeem kijkt ook niet pixel voor pixel maar analyseert het complete beeld op basis van een soort van spectrum opgebouwd uit de bewegingen en kleuren etc... die zijn in principe voor iedere video uniek en ook niet direct afhankelijk van de resolutie. Alhoewel een heel erg lage resolutie het beeld zodanig zal verstoren dat het niet meer herkend kan worden... maar ook het kijken niet meer waard is.
Verwijderd @mvdejong19 maart 2014 19:45
Als je https://en.wikipedia.org/wiki/Homomorphic_encryption had gelezen, dan had je geweten dat er al meerdere research papers zijn geschreven en veel onderzoek naar is gedaan. Het is een hele interessante manier van encryptie.
Uiteraard, alles is te kraken. Het enige verschil natuurlijk is hoeveel moeite dat zoiets gaat kosten, maar voor zover ik tot nu toe dit begrijp lijkt dit een zeer goede manier om dingen te kunnen controleren.

Waar ik dan wel weer bang voor ben is als dit naar ISP's verstuurd gaat worden, gaan ze dan zelf filteren hierop?
Angelevo @Eloy19 maart 2014 16:35
Of zelfs Photoshop alles geautomatiseerd laten openen en opslaan met een andere compressie. De slimme boef vindt ook hiervoor wel een manier om de beveiliging te omzeilen.

Toch zal je tegenover elke slimme boef ook wel een stuk of tien minder slimme (of zorgvuldige) exemplaren hebben die ze hier wel makkelijk mee kunnen pakken.

En iedere boef veroordeeld is een positief resultaat.
Verwijderd @Angelevo19 maart 2014 16:43
Of zelfs Photoshop alles geautomatiseerd laten openen en opslaan met een andere compressie.
Gaat niet werken. Denk maar eens aan google image search (of Tineye, of de nieuwe Bing functionaliteit). Die vindt ook een foto weer terug aan de hand van een thumbnail, eentje die een beetje apart in kleur is, of er nou een meme text overheen zit of niet.
De slimme boef vindt ook hiervoor wel een manier om de beveiliging te omzeilen.
Uiteraard. Een slimmigheid is bijvoorbeeld door gewoon zelf ook de boel te encrypten, en alleen de personen die 'm moeten kunnen zien de decrypt sleutel geven. Maar ja, als je normaliter de boel verspreid door gewoon een plaatje upload op een vaag forum gaat dat natuurlijk niet werken.. moet je aan al die mensen uitleggen hoe het werkt, hoe ze aan de sleutel komen, etc. Denk daarbij ook aan het gemak van een Spotify, terwijl je ook de MP3s op een louche site kan vinden.
BLACKfm @Verwijderd19 maart 2014 18:00
Gaat niet werken. Denk maar eens aan google image search (of Tineye, of de nieuwe Bing functionaliteit). Die vindt ook een foto weer terug aan de hand van een thumbnail, eentje die een beetje apart in kleur is, of er nou een meme text overheen zit of niet.
Maar maakt google image search dan niet inbreuk op die privacy die in dit verhaal juist wordt vermeden? Google heeft die hele database aan plaatjes waarmee vergeleken kan worden, maar de politie mag dergelijke afbeeldingen niet bezitten/bewaren en daarom hebben ze in plaatst van de afbeelding een hash?

Hoe dat google image search werkt is vast niet hetzelfde of ook maar een beetje gerelateerd aan die manier van zoeken met hashes, lijkt me.
Verwijderd @BLACKfm19 maart 2014 18:07
Google's verhaal is natuurlijk een beetje tweeledig. Aan de ene kant slaan ze inderdaad kopietjes van afbeeldingen op (zodat deze als thumbnails en previews getoont kunnen worden), aan de andere kant maken ze voor het vinden van 'gelijkaardige' afbeeldingen niet rechtreeks van die afbeeldingen gebruik, maar van een serie karakteristieken.. een 'fingerprint' zeg maar. Sommige mensen noemen dat een hash, maar dat is in feite onjuist :)
Gomez12 @BLACKfm19 maart 2014 20:23
Politie heeft naast de hashes ook echt wel de complete afbeeldingen staan hoor, alleen hashes werken sneller.

Ik vermoed dat de politie een setup heeft als volgt :
- Compare hashes
- Bij gelijke hashes voer geavanceerdere vergelijkingstechnieken uit op origineel + kopie
- Bij nog steeds gelijkende afbeeldingen stuur door naar rechercheur

Hash-waardes op zichzelf zullen vermoedelijk nog veel false positives oproepen
triver @Eloy19 maart 2014 18:11
"While normally hashing a file hashes the individual bits of data of the file, image hashing works on a slightly higher level. The difference is that with image hashing, if two pictures look practically identical but are in a different format, or resolution (or there is minor corruption, perhaps due to compression) they should hash to the same number. Despite the actual bits of their data being totally different, if they look parctically identical to a human, they hash to the the same thing."

http://stackoverflow.com/...is-image-hashing-used-for

niet de meest wetenschappelijke bron maar het legt wel één en ander uit
Gomez12 @triver19 maart 2014 20:28
Alleen het concept wat de politie gebruikt is (volgens mij) net iets anders.

Het op SO beschreven gaat voornamelijk over voor de mens gelijkwaardige plaatjes, dit is 1 tak van image hashing.
Maar wat de politie zoekt is niet per definitie voor de mens gelijkwaardige plaatjes maar plaatjes gelijkwaardig binnen parameters x/y/z.

Politie wil juist ook de afbeeldingen vinden die expres donkerder / lichter gemaakt zijn om ze niet door tineye etc te laten vinden
Stoney3K
@Eloy19 maart 2014 16:32
[...]


Als ze weten dat er van iedere foto een kans is dat de politie de hash heeft, kunnen ze toch in een batchbewerking een zwarte pixel toevoegen in iedere foto zodat de hashes niet meer werken?
Dat vraag ik me dus ook af. Hoe veel moet de 'kandidaat' foto afwijken van een bekende foto om niet meer als een match te worden gezien?

Veel YouTube-uploaders hebben een vergelijkbaar systeem al behoorlijk goed weten te foppen door de video gewoon links-rechts om te draaien.
MuddyMagical @Eloy19 maart 2014 16:35
Ik ga er even vanuit dat de functionaliteit van de zoek programma's ook de mogelijk hebben om delen van de afbeelding te matchen.
De hash van een volledige afbeelding en van een crop hiervan zijn al anders, maar kunnen nog net zo strafbaar zijn. Hierdoor is het toevoegen van een pixel of een kleine wijziging geen probleem voor de software.
MrE @Eloy20 maart 2014 11:42
Als ze zo'n foto nu maar vaak genoeg delen, dan blijft er vanzelf alleen nog maar een zwarte foto over, probleem opgelost ;)

Tecnisch een leuke vooruitgang maar ik vraag mij af of dit het juiste pad is waarmee je het probleem wil benaderen.
Ik zat, bij het lezen van het artikel, ook te denken aan een algoritme dat kleurtonen/pixels etc. van een foto zodanig kan aanpassen dat er geen/nauwelijks kwaliteitsverlies optreed en de foto effectief onherkenbaar wordt.
Ik heb onlangs ook al eens een programma voorbij zien komen dat afbeeldingen optisch versleuteld. het lijkt mij voor de beoogde doelgroep dan ook geen probleem om de foto steeds met een ander algoritme te versleuten bij het doorgeven zodat er steeds een unieke afbeelding ontstaat.

Met databases zoals deze pak je dan volgens mij ook alleen de beginnende toereders of de onzorgvuldigen op, maar de harde kern, daar waar het echte probleem zit zal met een database als deze niet echt een probleem hebben.
shadylog 19 maart 2014 16:33
Goede toepassing! Ook wel een natte droom van DRM genoemd. Het is niet hetzelfde als hashing, als iemand dat dacht. Deze encryptie maakt het mogelijk berekeningen te doen over encrypted-data, die als ze decrypted worden, het zelfde resultaat hebben op de plaintext.
Verwijderd @shadylog19 maart 2014 16:43
Voor homomorphic encryption moet je wel een speciale manier van encrypten gebruiken natuurlijk, anders werkt het niet. Als de "boef" gewoon standaard AES gebruikt om te encrypten kun je er geen homomorphische bewerkingen meer op loslaten, lijkt mij.

Dat zou AES namelijk bijzonder zwak maken, want dan zou je dus allerlei vragen over de plaintext kunnen beantwoorden, waaronder dus een berekening van de hash.

Edit: Okee ik had het artikel niet goed gelezen...

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:46]

the_shadow @Verwijderd19 maart 2014 16:54
Voor homomorphic encryption moet je wel een speciale manier van encrypten gebruiken natuurlijk, anders werkt het niet. Als de "boef" gewoon standaard AES gebruikt om te encrypten kun je er geen homomorphische bewerkingen meer op loslaten, lijkt mij.

Dat zou AES namelijk bijzonder zwak maken, want dan zou je dus allerlei vragen over de plaintext kunnen beantwoorden, waaronder dus een berekening van de hash.

Edit: hoe men dit dus in de praktijk wil gaan toepassen is mij een raadsel. Of willen ze een nieuwe encryptie-standaard gaan forceren?
Het gaat niet om het doorzoeken van gegevens die door de "boef" zijn geencrypt, het gaat om het zoeken van beveiligde politiegegevens door partijen die niet noodzakelijk de boel hoeven te decrypten: De politie heeft een geencrypte database met hashes, jij hebt een hash van een plaatje, en je wil weten of dat plaatje voorkomt in die database. Normaal zou je die database moeten decrypten, hash vergelijken, database encrypten. Gevolg is dat je dan niet alleen de door jou gezochte record onversleuteld in handen hebt, maar de rest van de database ook. Door deze encryptie manier kan je de database ondervragen/doorzoeken zonder dat je deze hoeft te decrypten. Je krijgt dus jouw specifieke antwoord, maar je weet niet wat er voor de rest nog in de database staat.

[Reactie gewijzigd door the_shadow op 23 juli 2024 08:46]

MGutker @shadylog19 maart 2014 16:34
Goede toepassing! Ook wel een natte droom van DRM genoemd. Het is niet hetzelfde als hashing, als iemand dat dacht. Deze encryptie maakt het mogelijk berekeningen te doen over encrypted-data, die als ze decrypted worden, het zelfde resultaat hebben op de plaintext.
Ja dat staat dus ook min of meer in de teskt hé..
amsterdamned 19 maart 2014 16:31
"Als de hashwaarden namelijk in verkeerde handen vallen, kunnen criminelen deze informatie gebruiken om hun foto's onvindbaar te maken." Kan iemand mij vertellen waarom dat is? Kun je de hashwaarden van afbeeldingen dan veranderen? En waarom kunnen ze dat nu dan niet?
orange.x @amsterdamned19 maart 2014 16:34
Ik weet niet waar die hashwaarde op gebasseerd is, maar dan is het toch simpel om die hash aan te passen door of de afbeelding te wijzigen, veranderen van een enkele pixel, of het toevoegen van een watermerk ofzo. Maar daar heb ik dan te weinig weet van.
kimborntobewild @orange.x19 maart 2014 17:21
Ik gok, maar je kan een hashwaarde waarschijnljik baseren op bijv. 0,03% van de pixels, met evt. ook een kleine afwijking in de kleuren of displacement van de pixels (zoals bij vergroten/verkleinen). Zodat 't nogal moeiljik wordt het bestand zomaar te veranderen zodat ook de hash anders wordt.
RadioKies @amsterdamned19 maart 2014 16:41
{speculatie}
Omdat je met de hashwaarden erachter kan komen hoe ze de hashwaarden genereren aan de hand van een foto door zelf een hashwaarde te genereren aan de hand van jouw foto en als die overeenkomt met de database dan weet je hoe ze het doen. Als je dat weet dan weet je ook wat je moet veranderen aan de foto om op een andere waarde te komen.
{/speculatie}
Alleen moet je wel weten welke hash op welke foto zit in die database.

Zoals boven al vermeld, de hashwaarde hoeft niet gehaald te worden uit de gehele foto, maar kan opgemaakt worden uit delen zoals kleur/patroon.
koelpasta @RadioKies19 maart 2014 18:50
"Omdat je met de hashwaarden erachter kan komen hoe ze de hashwaarden genereren aan de hand van een foto door zelf een hashwaarde te genereren aan de hand van jouw foto en als die overeenkomt met de database dan weet je hoe ze het doen. "

Om zelf een hash te maken van een foto moet je in het bezit zijn van het hashalgoritme en dan kan je veel beter de binary zelf uitpluizen,..,.,
De vraag is, hoe kom je aan de code die die hashes genereert.

Mensen roepen vaak dat 'security by obscurity' niet werkt, maar dit is een duidelijk voorbeeld van dat het wel kan werken en soms ook gewoon nut heeft.
Genetai @amsterdamned19 maart 2014 16:39
Dat kunnen ze nu ook al maar dan moet je iedere foto aanpassen, dus ook de kopieën weer anders maken. Bij het delen, via websites zoals Tumblr of Pinterest of gewoon via hard copy, doen de meeste mensen dat niet (luiheid of onkunde) en zo kun je heel makkelijk de bulk van de foute images al tegenhouden. Als je de database weet hoef je enkel de "tracked" afbeeldingen aan te passen.
CyBeR 19 maart 2014 17:01
Als de hashwaarden namelijk in verkeerde handen vallen, kunnen criminelen deze informatie gebruiken om hun foto's onvindbaar te maken.
Dat is natuurlijk complete onzin. De hash kunnen ze namelijk zelf ook wel berekenen, gegeven dat ze de originele foto's bezitten. Wat ze daar voor nodig hebben (en om de plaatjes aan te passen zodat de hash anders wordt) is kennis van het algoritme dat gebruikt wordt om de hash te maken.
koelpasta @CyBeR19 maart 2014 18:55
"Dat is natuurlijk complete onzin. De hash kunnen ze namelijk zelf ook wel berekenen, gegeven dat ze de originele foto's bezitten. "

Je begrijpt het niet. :)

De hashes, die al jaren worden gebruikt, kunnen nu in een gecrypte database worden gestopt en je kan een plaatje met een hash in de gecrypte database vergelijken ZONDER dat je de database hoeft te decrypten!
Gaat dus om de versleuteling van de database en niet om de hashes die in die database zijn opgeslagen...

Zodoende kan niemand iets te weten komen over die hashes (want ze worden nooit uitgepakt) en zelfs als die database wordt gestolen kunnen de dieven niet bij de hashes komen.
Althans, zo de theorie.

[Reactie gewijzigd door koelpasta op 23 juli 2024 08:46]

CyBeR @koelpasta19 maart 2014 19:29
"Dat is natuurlijk complete onzin. De hash kunnen ze namelijk zelf ook wel berekenen, gegeven dat ze de originele foto's bezitten. "

Je begrijpt het niet. :)
Jawel.
De hashes, die al jaren worden gebruikt, kunnen nu in een gecrypte database worden gestopt en je kan een plaatje met een hash in de gecrypte database vergelijken ZONDER dat je de database hoeft te decrypten!
Gaat dus om de versleuteling van de database en niet om de hashes die in die database zijn opgeslagen...

Zodoende kan niemand iets te weten komen over die hashes (want ze worden nooit uitgepakt) en zelfs als die database wordt gestolen kunnen de dieven niet bij de hashes komen.
Althans, zo de theorie.
En dat is dus onzin. Die hashes zijn compleet oninteressant omdat je het algoritme moet weten om je foto's te kunnen aanpassen zodat de hash niet meer klopt.

Met foto + algoritme kun je die hashes zelf wel genereren.

[Reactie gewijzigd door CyBeR op 23 juli 2024 08:46]

koelpasta @CyBeR19 maart 2014 19:44
" Die hashes zijn compleet oninteressant omdat je het algoritme moet weten om je foto's te kunnen aanpassen zodat de hash niet meer klopt. "

Dan ga je ervan uit dat dat algoritme nooit gestolen kan worden.

Dat zou je vervolgens ook kunnen zeggen over dat encryptiealgoritme maar dat mag je rustig weten. Het werkt met sleutes en je kan voor 'in het veld' een sleutel maken met beperkte functies/rechten (b.v. toevoegen van een foto, controleren op aanwezigheid). De sleutels voor het compleet decrypten van de database kunnen dan veilig in een kluis worden opgeborgen zodat ze niet 'per ongeluk' op straat belanden.

Dit tegenover de huidige hashingmethode waarbij je hetzelfde algoritme 'in het veld' moet hebben om een hash te maken die je kunt vergelijken met de database. Zodoende zijn zowel de database als het hashingalgoritme voor handen om gestolen te worden.

Het probleem is dus dat dit soort informatie inderdaad wordt gestolen en dat de politie soms dingen terugvindt die zijn gecodeerd met hun eigen tools. Het is dus niet raar om te denken dat zo'n database een keer gestolen gaat worden, inclusief de keys die er bij gebruikt worden.
Deze methode maakt het in ieder geval mogelijk om met zo'n database te werken terwijl je eigenlijk niks prijsgeeft.
CyBeR @koelpasta19 maart 2014 19:48
" Die hashes zijn compleet oninteressant omdat je het algoritme moet weten om je foto's te kunnen aanpassen zodat de hash niet meer klopt. "

Dan ga je ervan uit dat dat algoritme nooit gestolen kan worden.
Ik ga er zelfs van uit dat dat gewoon publiek beschikbaar is. Anders is het namelijk niks waard.
Dat zou je vervolgens ook kunnen zeggen over dat encryptiealgoritme maar dat mag je rustig weten. Het werkt met sleutes en je kan voor 'in het veld' een sleutel maken met beperkte functies/rechten (b.v. toevoegen van een foto, controleren op aanwezigheid). De sleutels voor het compleet decrypten van de database kunnen dan veilig in een kluis worden opgeborgen zodat ze niet 'per ongeluk' op straat belanden.
Ik heb het idee dat je wellicht mijn kennis van zaken onderschat.
Dit tegenover de huidige hashingmethode waarbij je hetzelfde algoritme 'in het veld' moet hebben om een hash te maken die je kunt vergelijken met de database. Zodoende zijn zowel de database als het hashingalgoritme voor handen om gestolen te worden.
Je moet nog steeds het hashalgoritme hebben om de hash te genereren, of die database nou gecrypt is of niet. In de basis is het nog steeds het vergelijken van hashes namelijk.
Deze methode maakt het in ieder geval mogelijk om met zo'n database te werken terwijl je eigenlijk niks prijsgeeft.
Wat dus waardeloos is.

[Reactie gewijzigd door CyBeR op 23 juli 2024 08:46]

koelpasta @CyBeR19 maart 2014 20:26
"Ik ga er zelfs van uit dat dat gewoon publiek beschikbaar is. Anders is het namelijk niks waard."

Dan klopt je vorige stelling niet waarin je beweert dat men niks aan de hashes uit de database zou hebben...

"Je moet nog steeds het hashalgoritme hebben om de hash te genereren, of die database nou gecrypt is of niet. In de basis is het nog steeds het vergelijken van hashes namelijk."

Op zich heb je een punt. Nu kan ik me voorstellen dat ook het hashen binnen de encryptie gebeurt.
Ik weet niet hoe diep homomorphic encryptie gaat, maar ik geloof dat een hash halen uit informatie die geencrypt is tot de mogelijkheden behoort.
wica @koelpasta19 maart 2014 19:58
Zoals jij de werking beschrijft. Lijkt het er op dat ze een blackbox hebben, waar ze een foto in kunnen doen en dan op het scherme komt te staan, of de hash voorkomt of niet. 9heel simpel gesteld)

Dan lijkt het mij dus zaak, deze blackbox te jatten, en dara je foto's in te doen om te kijken hoe je ze kaan aanpassen, zodat ze niet herkent worden.
koelpasta @wica19 maart 2014 20:30
Je hebt nog wel sleutels nodig om iets met die blackbox te doen.
wica @koelpasta19 maart 2014 22:07
Oke, je heeft alleen maar een sleutel te hebben om een afbeelding te controleren en niet de sleutel om alles uit te kunnen lezen.
MicScott @CyBeR19 maart 2014 17:11
Ik denk dat er meer bedoeld wordt dat als criminelen de hashwaardes in handen krijgen die de politie heeft, ze weten welke bestanden niet meer veilig zijn en die dus gaan aanpassen of weglaten.
CyBeR @MicScott19 maart 2014 17:21
Dat lijkt me geen risico. Als je namelijk die database niet hebt, en je hebt een manier om je plaatjes zo te wijzigen dat de hash niet meer klopt, pas je dat gewoon op al je foto's toe.
MGutker 19 maart 2014 16:32
Goed nieuw initiatief,

Ik vraag me enkel af hoe ze zeker van hun "niet te kraken" database kunnen zijn als het type encryptie relatief nieuw is.. Internet is niet veilig, maar de tijd zal het leren :)
Verwijderd 19 maart 2014 16:32
Ook inzetbaar om 'illegale' media op usenet(servers) te zoeken vinden
Peatsmoke 19 maart 2014 17:34
Het is een extra wapen in de strijd tegen kinderporno, maar niet meer dan dat. De "openlijke" aanbieders van KP kunnen hier makkelijker mee opgespoord worden, maar het overgrote deel van deze vunzigheid wordt juist versleuteld gedeeld en opgeslagen.
Rembert @Peatsmoke19 maart 2014 18:09
Wat weet jij van die vunzigheid aangezien je zo stellig bent dat het versleuteld gedeeld en opgeslagen wordt? Ik vermoed wel hetzelfde maar ik weet het niet zeker.

Dat je zo'n tool gebruikt om snel een in beslag genomen harddisk door te spitten, prima. Maar wanneer het massaal tegen internet aan wordt aangegooid, zullen de kinderpornoboeren en afnemers meer ondergronds gaan en weer moeilijker vindbaar worden. Ga nou niet met een grote zeef heel Internet doorspitten maar doe gewoon ouderweds onderzoek en pas deze tool toe als daar reden toe is.

Nu is het kinderporno, wat wordt er straks gezocht? Als ik bloot foto's van mijn kind online zet (nivo familiealbum), dan word ik gespot door de Amerikaanse justitie, zij informeren de Nederlandse justitie dat er een match is op mijn adres waarna ik verdacht ben en mijn hele doen & laten wordt gemonitord. Zo'n tool kan een grote stap zijn in de verbigbrotherisering.
Yzord 19 maart 2014 22:51
Zover ik weet is het verkleinen van een foto genoeg om ook meteen een andere hash te krijgen. Zo haalden ze vroeger watermerken uit pornoplaatjes om deze te kunnen gebruiken op hun eigen pornosite. Ze gooien de hele set in een multi pictureshrink tool en de gehele database is onnuttig.

Daarbij heb je het over kinderporno criminelen dus de plaatjes een nieuwe hash geven zal al wel standaard in de procedure zitten om zijn of haar verzameling zover mogelijk te verbergen.

Ik ben dus huiverig voor deze methode en het ZAL gebruikt gaan worden om te kunnen spioneren in de toekomst, want de techniek is er.

Dus persoonlijk denk ik dat dit niet gemaakt is om kinderpornolui op te sporen (want die lui zijn ook niet dom helaas), maar dat het onderdeel is van een groter plan (zoals inbreken in een computer of piraterij opsporen etc.)
actionInvoke 19 maart 2014 18:18
"Momenteel maakt de politie bij onderzoek naar illegale foto's, zoals kinderpornoafbeeldingen, al gebruik van een standaarddatabase waarin geen echte afbeeldingen staan, maar hashes."

En ja hoor, daar hebben we dan het ergste woord waarmee iedereen maar braafjes ja knikt en ermee instemt dat dit een goede ontwikkeling is. Tot een paar maanden later weer blijkt dat het hier helemaal niet voor wordt gebruikt maar om onschuldige burgers te bespioneren. Dan vraagt iedereen zich toch weer af hoe het zo ver heeft kunnen komen. Zucht. :X
Brahiewahiewa @actionInvoke19 maart 2014 20:50
Op zich heb je gelijk hoor. Maar wat is het alternatief? Moeten we dan KP helemaal niet meer bestrijden?
the_shadow @actionInvoke20 maart 2014 07:26
Hoe kan homomorphic encryption (waarmee je dus kan gaan zoeken binnen geencrypte data) gebruikt worden om mensen te bespioneren? :? Dit onderzoek wordt binnen mijn vakgroep uitgevoerd (het werk van de betreffende PhD waar dit op gebaseerd is is een kamergenoot van me) en richt zich puur op de encryptie kant. Deze politiedatabase is een toepassing van deze techniek. Niet meer, niet minder.

Het lijkt wel alsof hier op Tweakers een groep mensen rondloopt die bij ieder bericht waar het woord 'politie' in voor komt, direct in de pen meent te moeten klimmen om te schreeuwen dat onze privacy er aan gaat. De in het artikel beschreven techniek heeft 0.0 met 'de burger' te maken, het is een nieuwe opsporingstool.

[Reactie gewijzigd door the_shadow op 23 juli 2024 08:46]

actionInvoke @the_shadow20 maart 2014 09:03
Omdat het keer op keer toch wel weer blijkt dat elke tool of actie die de politie en overheid ontwikkelt wordt misbruikt voor oneigenlijke spionage doelen. Dat jullie nog niet de mogelijkheden voor misbruik zien wil niet zeggen dat mensen met minder nobele doelen dat ook niet zien. Van parkeer systemen tot weg camera's tot drones en beyond, de overheid laat altijd zien dat het een rupsjenooitgenoeg mentaliteit heeft.

Ja, dat maakt me cynisch en wantrouwend voor alles wat ze doen. Zeker als het woord kp of terrorisme wordt aangevoerd (daar ging het ook eigenlijk meer over). Moment dat die dooddoeners worden gename-dropped dan weet je vaak al hoe laat het is.
the_shadow @actionInvoke20 maart 2014 09:12
De dingen die je opnoemt zijn allemaal manieren van data vergaring. Het gaat hier om het zoeken in reeds opgeslagen data. Die gegevens zijn er al, daar veranderd niets aan. Het zoeken is wat nieuw is. Minder nobele doelen gaat een beetje moeilijk op het moment dat je bezig bent met data die je zelf in beheer hebt (en nee, dit is geen manier om door andere mensen geencrypte data te doorzoeken, daar zijn andere encryptieschema's niet geschikt voor).

De dooddoeners KP en terrorsime worden in de tussentijd behoorlijk aangevuld met NSA en spionage; zelfde dooddoeners, andere kant van de lijn. Ik zit nog te wachten op de eerste reacties over de politie en de NSA bij een nieuwsbericht over een nieuwe grafische kaart.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq