Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Minister wil achterdeur in encryptie

Nieuwe ronde in oude discussie

06-11-2019 • 15:06

188 Linkedin Google+

Het lastige vraagstuk over een achterdeur in encryptie

Plannen om een achterdeur in te bouwen in software met encryptie hebben ook Nederland bereikt. De discussie werd tot nog toe in andere landen gevoerd, maar nu wil ook minister Grapperhaus van Justitie en Veiligheid dat Nederlandse opsporingsdiensten toegang kunnen krijgen tot versleutelde communicatie. Hij opperde zondag tegen actualiteitenprogramma Nieuwsuur dat er een achterdeur moet komen in de versleuteling van chat-apps. Hij vindt het onacceptabel dat verspreiders van kinderporno door die versleuteling buiten beeld blijven.

Grapperhaus zegt niet specifiek om welke apps het gaat, maar versleuteling wordt in steeds meer applicaties gebruikt. WhatsApp heeft sinds 2014 end-to-endversleuteling en applicaties als Signal gebruiken dit vanaf dag één. Bij end-to-endencryptie is communicatie gedurende het hele verzendproces versleuteld. Pas bij ontvangst op een smartphone wordt deze leesbaar en tussenliggende servers of man-in-the-middles hebben dan ook geen zicht op de inhoud. Eén app die vaak genoemd wordt als het gaat om dubieuze communicatie door bijvoorbeeld terroristen, is Telegram. Die software ondersteunt ook end-to-endversleuteling, maar alleen als een gebruiker daarvoor specifiek een anonieme chat opent. Berichten en media die via openbare kanalen worden gedeeld, zijn alleen versleuteld op de server van Telegram zelf.

Grapperhaus noemt het woord 'achterdeur' niet expliciet in zijn plannen. Hij heeft het over 'een sleutel' waarmee het Openbaar Ministerie of een opsporingsdienst toegang moet krijgen tot versleutelde berichten. Dat moet gebeuren zodra er verdenkingen zijn van in het bijzonder kindermisbruik, al haalt Grapperhaus ook kort terrorisme aan als rechtvaardiging. "Ik wil dat een rechter kan bepalen wanneer we informatie moeten kunnen inzien wanneer er verdachte dingen spelen", zei Grapperhaus tegen Nieuwsuur.

De praktijk

Grapperhaus heeft geen uitgebreid plan uiteengezet. Hij zei slechts tegen Nieuwsuur dat hij 'om de tafel wil' met grote techbedrijven om te kijken hoe zij dat voor elkaar konden krijgen. Het is dus niet te zeggen hoe hij zijn plan ten uitvoer wil brengen en hoe hij over de belangrijkste hobbels heen wil komen. Het plan komt met nogal wat vraagstukken: hoe voorkom je misbruik door andere partijen? Door de overheid? Welke bedrijven moeten hieraan meedoen? Geldt dit plan voor Nederlandse bedrijven of internationale bedrijven die in Nederland opereren? Hoe dwing je die bedrijven de Nederlandse wetgeving te volgen?

De plannen van Grapperhaus zijn nog niet echt goed uitgewerktAls beveiligingsexperts zeggen dat 'een enkele achterdeur niet mogelijk is', dan bedoelen ze niet dat dat technisch niet kan. Er zijn best manieren te bedenken waarbij slechts één partij in sommige gevallen kan meelezen, door ondersteuning voor een specifiek slot met sleutel in te bouwen. Die sleutel zou je dan bijvoorbeeld via een escrow-dienst kunnen laten afgeven als een rechter-commissaris daarom vraagt. Maar met zulke puur theoretische oplossingen ziet Rejo Zenger van Bits of Freedom al problemen ontstaan. "Daarmee verlies je fundamenteel het vertrouwen in een dienst. Je weet dan nooit of iemand toch niet meekijkt. En dat vertrouwen is essentieel voor een dienst, of beter gezegd, voor alle soortgelijke diensten, ook als die geen achterdeur hebben. Bovendien is niet te garanderen dat die sleutel dan veilig bewaard blijft en zo niet wordt misbruikt door anderen."

Discussie in andere landen

Grapperhaus is verre van de eerste politicus met een dergelijk plan. De discussie over dit soort achterdeurtjes is al vaak gevoerd, maar het debat werd nog niet eerder in Nederland zo op scherp gezet. De prominentste discussie over de gevolgen van encryptie voor de autoriteiten deed zich voor in Amerika. Daar lag de FBI maandenlang met Apple in de clinch over de versleuteling van een iPhone 5c. Het ging om de telefoon van de San Bernardino-terrorist, waarvan de FBI vermoedde dat die veel informatie bevatte over mogelijke andere terroristische plannen of groepen. Eén probleem: de experts kregen geen toegang tot de data op de telefoon. Die telefoon was bovendien niet het enige lastige obstakel. De FBI zei in 2017 dat 6900 versleutelde smartphones onderzoeken belemmerden.

Inmiddels spreekt ook de Amerikaanse politiek zich uit tegen sterke encryptie. In een speech op een conferentie over cybersecurity zei minister van Justitie William Barr dat hij bezorgd was over 'wetteloze zones' op internet door versleuteling. Hij zei daarin dat end-to-endencryptie 'onverantwoord' is en tot slachtoffers leidt, wijzend naar drugskartels en terroristen die WhatsApp gebruiken. Barr zei ook dat gebruikers bepaalde veiligheidsrisico's maar moesten accepteren bij een achterdeur in de versleuteling. Tot nu toe hebben de Amerikaanse plannen nog niet tot concrete wetgeving geleid, maar Barr geeft aan met de techbedrijven in gesprek te willen. Hij stelde verder geen maatregelen voor.

Ook in Duitsland werd een balletje opgegooid, maar dat ging nog net een stap verder. De Duitse minister van Binnenlandse Zaken Horst Seehofer pleitte in mei voor een algeheel verbod op versleuteling. Het resulteerde echter niet in een concreet plan.

De discussie rondom encryptie laait elke paar jaar weer opHet enige voorbeeld waarin een achterdeur in de praktijk wordt ingezet, betreft Australië. In de Telecommunications and Other Legislation Amendment Act 2018 staat een controversiële passage die techbedrijven die versleutelde communicatie aanbieden, opdraagt 'vrijwillige en verplichte medewerking te bieden aan opsporing- en inlichtingendiensten'. De nieuwe wet werd ondanks veel kritiek van experts aangenomen, maar de precieze gevolgen ervan zijn nog onduidelijk. Bedrijven zijn op basis van de plannen niet verplicht een achterdeur in te bouwen, maar hoe zij dan wel toegang moeten verschaffen, is nog niet helder. Wel zijn veel bedrijven al bang voor de gevolgen; sommige hebben het er al over helemaal weg te blijven uit het land.

De 'angst voor encryptie' die autoriteiten lijken te hebben, werd aangewakkerd door plannen die Facebook in maart presenteerde. Daarin kondigde het sociale netwerk een radicale koerswijziging aan. De focus van het bedrijf zou niet langer komen liggen op statussen en foto's delen, maar op anonieme communicatie. Alle berichten op het platform, zowel via Messenger als via Instagram, zouden versleuteld verstuurd moeten worden.

Ontsleutelplicht en kabinetsbeleid

In Nederland concentreerde de discussie zich grotendeels op de kwestie rondom de 'ontsleutelplicht'. De invoering daarvan werd in 2012 aangekondigd. Toen wilde Ivo Opstelten, toenmalig minister van Veiligheid en Justitie, dat verdachten van ernstige misdrijven zoals kinderporno en terrorisme, verplicht konden worden gesteld om versleuteling van opslag ongedaan te maken. Dat plan kreeg veel kritiek, onder andere van de Raad voor de Rechtspraak. Het zou namelijk direct indruisen tegen het nemo tenetur-wetsbeginsel: een verdachte kan niet worden gedwongen mee te werken aan zijn eigen veroordeling. Een paar jaar geleden waren er plannen die decryptieplicht op te nemen in de Wet computercriminaliteit III, maar het kabinet schrapte dat plan in 2015.

Opvallend is nu dat Grapperhaus weliswaar vindt dat er 'geen enkel excuus is' om kindermisbruik af te schermen, maar dat hij tegelijk blijft vasthouden aan het schrappen van de ontsleutelplicht. Eerder dit jaar schreef hij in een brief aan de Tweede Kamer dat hij vond dat de ontsleutelplicht haaks stond op dat nemo-teneturbeginsel. Dat sluit wel weer aan op het officiële standpunt van de Nederlandse regering over encryptie. Dat is 'positief', schreven de voormalige ministers Van der Steur van Veiligheid en Justitie en Kamp van Economische Zaken in 2016 in een Kamerbrief. "Cryptografie speelt een sleutelrol in de samenleving", staat in de brief. "Het is op dit moment niet wenselijk om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland." Later stemde de Tweede Kamer in met een motie tegen het afzwakken van encryptie. De AIVD had kort daarvoor laten weten het liefst te zien dat de encryptie in chatapps beperkt zou worden.

Grapperhaus had al wel eerder laten doorschemeren bezorgd te zijn over sterke encryptie. Eerder deze maand zei hij al dat de specifieke plannen van Facebook hem niet lekker zaten. Grapperhaus gaat 'binnenkort' naar Washington om met zijn Amerikaanse ambtsgenoot te spreken over het onderwerp.

Kritiek van experts

'Een achterdeur voor één partij is een achterdeur voor iedereen'De uitspraken van Grapperhaus kwamen hem afgelopen week direct op veel kritiek te staan. Die was te verwachten; vrijwel geen enkele beveiligingsexpert vindt een achterdeur een goed idee. Het belangrijkste argument is dat een achterdeur voor één partij niet bestaat. Als zo'n sleutel beschikbaar is, dan kan die uitlekken of door de aanbieder zelf misbruikt worden. Het probleem is hoe dan ook praktisch van aard. "Voor je weet wanneer iemand kinderporno verstuurt, moet je eerst de hele tijd meekijken met wat mensen online doen", zegt Eward Driehuis van Cybersprint tegen BNR. Bovendien, denkt hij, gebruiken serieuze criminelen heel andere infrastructuur dan de apps waartegen Grapperhaus wil optreden.

Het grote probleem waarover vrijwel iedere expert het eens is, is dat je geen achterdeur kunt hebben voor slechts één partij. Ook Bits of Freedom is kritisch om precies hetzelfde argument. "Het is niet mogelijk een 'sleutel voor alles' te maken die je alleen voor de good guys beschikbaar stelt", zegt Rejo Zenger van de digitale burgerrechtenorganisatie. "Je kunt beveiliging niet een beetje verzwakken."

Vincent Böhre van Privacy First voegt daaraan toe dat encryptie in veel landen meer betekent dan alleen anonieme communicatie. "In sommige landen kom je in grote problemen als je niet veilig kunt communiceren. In landen waar je geen lid van een mensenrechtenorganisatie kunt zijn of een dissident bent, gaat het dan om een kwestie van leven en dood. Een achterdeur voor één groep gebruikers levert gevaar op voor de andere."

Kritiek komt ook uit politieke hoek. D66-Kamerlid Kees Verhoeven vindt het een slecht plan, zegt hij tegen BNR. "Je kunt encryptie niet voor één specifiek geval doorbreken", zegt ook hij. "Kindermisbruik moeten we tegengaan, maar dat moet je niet doen door privécommunicatie onveiliger te maken." Eerder deze maand stelde hij Kamervragen aan Grapperhaus over diens zorgen rondom de encryptieplannen van Facebook.

Onderzoek

De waarde van het kunnen doorbreken van encryptie is wetenschappelijk onderzocht door onderzoekers van de Universiteit van Columbia. De conclusie daarvan was dat het plan om één sleutel te hebben om berichten te lezen op verschillende vlakken, een slecht idee is. In dat onderzoek werd vooral gekeken naar de eerdergenoemde escrow-dienst. "Zulke diensten moeten voor lange tijd beveiliging opleveren, maar de sleutels wel snel paraat hebben voor opsporingsdiensten. Die basisvoorwaarden maken het erg duur en potentieel onveilig voor veel applicaties en veel gebruikers", staat in het onderzoek. Daarbij moet overigens wel de kanttekening worden gemaakt dat het onderzoek uit 1997 stamt en dat daarom eventuele nieuwe technische mogelijkheden niet zijn meegenomen.

Kees Verhoeven denkt dat een oplossing voor het probleem rondom online kindermisbruik eerder bij de providers ligt. Die aanpakken en laten meewerken om hosting van de bestanden tegen te gaan, zou een veel beter beleid zijn, betoogt hij.

Ook Zenger van Bits of Freedom denkt dat er voor de politie andere opties beschikbaar zijn. Hij wijst op de Wet computercriminaliteit III. "Nadat het kabinet besloot dat het verzwakken van encryptie onwenselijk is, heeft de politie de bevoegdheid gekregen om zelf computers te hacken. Dan hoef je de versleutelde data in transit niet meer te kraken, maar kun je inbreken op een computer om zo iemand te pakken. Een achterdeur is wat dat betreft dus helemaal niet nodig." Voorlopig denkt hij trouwens niet dat het plan doorgaat. "Het Nederlandse standpunt blijft dat encryptie belangrijk is. We voeren deze discussie al zo lang en keer op keer op keer blijkt dat het niet wenselijk is."

Reacties (188)

Wijzig sortering
Het allermooiste van dit verhaal vind ik wel, dat zelfs als er een methode wordt gevonden om een achterdeur in te bouwen en zeker te stellen dat die alleen onder de 'juiste' omstandigheden gebruikt wordt, het voor criminelen kinderspel is om zelf een dienst te bouwen met encryptie, zonder achterdeur (alles is immers als open source verkrijgbaar).

Wat overblijft, is verzwakte privacy, zonder dat we er iets mee opgeschoten zijn
Je kan ook niet veel verwachten van een minister zonder technische achtergrond. Natuurlijk zullen er experts zijn die hem het probleem proberen uit te leggen, maar dat is in veel gevallen een hopeloze zaak omdat mensen van deze leeftijd en deze achtergrond het simpelweg niet meer kunnen volgen.
Ik ben ervan overtuigd dat met name onze buitenlandse bondgenoten (zoals de VS), Grapperhaus hebben opgedragen deze positie in te nemen. Ik denk dat Grapperhaus slim genoeg is om te beseffen dat het geen oplossing biedt voor echte criminele netwerken. Echter Nederland is allang niet meer politiek onafhankelijk zeker niet op het gebied van defensie en veiligheid.

Ik geloof niet dat landelijke politici in 2019 te dom zijn om zelfs de simpelste technische vragen te begrijpen.
Maar waarom is deze push vanaf Amerika er? Snappen onze vrienden daar dan niet dat het weerhouden van encryptie compleet onhaalbaar is? Ook in de US is het triviaal om dit soort maatregelen te omzeilen.
Als dit het geval zou zijn, waar ik persoonlijk niet in geloof, dan is het motief niet cybercriminaliteit. Het motief is dan om af te kunnen luisteren op verzoek, waarbij gezegd wordt dat het om cybercriminaliteit gaat. Zo heeft Amerika sinds 9/11 al meer gedaan onder de noemer terreurbestrijding die in werkelijkheid een crimineel niet tegenwerken, maar de privacy van de normale burger niet ten goede komen.
Waarom noem je de feiten niet?

- Overheden mogen nog altijd niet hun eigen burgers afluisteren zonder gerechtelijk bevel
- Om hier omheen te komen hebben inlichtingendiensten van verschillende landen in het geheim met elkaar afgesproken dat zij het toestaan dat de tegengestelde overheid data verzameld van deze mensen.

In de praktijk neemt dus de Nederlandse (en andere) overheid het verzamelen van VS gerelateerde data op zich en de VS bijvoorbeeld de Nederlandse data. Deze worden weer via schimmige wegen en constructies met elkaar uitgewisseld waarbij al deze diensten aanspraak kunnen maken op elkaars data.

Dit is wat er feitelijk aan de hand was en er is geen commissie die bepaald heeft dat dit niet meer gebeurd.

@woopdiedoo, nu duidelijk waarom deze push er is?
Anders misschien wat meer diepgang zoeken te beginnen bij https://en.wikipedia.org/...ance_in_the_United_States

[Reactie gewijzigd door Liberteh op 7 november 2019 16:32]

Over het algemeen gebeurt het volgende; óf een minister maakt zonder (goed) advies een onuitvoerbaar wetsvoorstel, óf lobbyisten zullen alles haarfijn aan de minister uitleggen zodat het in ieder geval goed uit gaat pakken voor de financier van de lobbyisten.

Met alle gevolgen van dien.
Ik denk dat in dit geval Grapperhaus alleen maar een boodschapper is en de wens van de AIVD en de politie overbrengt. Misschien praat hij Trump zelfs na.
Als hij echt verstand van zake zou hebben had hij dit niet gedaan. Een eigen encrypted dienst is niet moeilijk op te zetten. De source code kan gewoon op github vinden.
Je kan ook niet veel verwachten van een minister zonder technische achtergrond.
Daar hebben we dus ministeries voor, met budgetten voor experts te raadplegen.

[Reactie gewijzigd door elmuerte op 6 november 2019 19:54]

Maar wie zien echter al jaren dat het niet werkt.
Inderdaad. En uiteindelijk gaat het dan om politiek en dan zal uiteindelijk toch niet de juiste beslissing vallen.

Politiek is dat proces dat van elk goed idee een middelmatig idee maakt dat vervolgens 4 maal zo duur is of 4 maal zo lang duurt om te implementeren.
Je kent justitie niet. Het meest achterlijke ministerie op IT gebied. Bovendien is justitie behoorlijk arrogant en niet bereid om advies/bijstand van b.v. Logius of ICTU te accepteren.
Dat zijn dan weer dingen die ik zo niet zou zeggen, maar wat me hoe dan ook opvalt is dat op MinJus altijd een Judge Dredd-wannabe wordt neergezet. Ambtenaren die een negatief advies indienen over dit soort proefballonnen worden in het beste geval gepasseerd, experts worden genegeerd omdat ze niet het gewenste zeggen en het gros van de bevolking heeft toch echt moeite met waar dit over gaat (anders dan "kinderporno bestrijden"). Of het ministerie daarmee arrogant is? Misschien.
[...]
Daar hebben we dus ministeries voor, met budgetten voor experts te raadplegen.
De ministeries hebben zelf ook geen kennis van deze materie. Daar hebben ze dure consultants en externe cyberspecialisten van bedrijven als FOX-IT voor nodig. Een zak geld is onvoldoende hiervoor.
Sterker nog, mensen van die leeftijd zijn extreem koppig en weigeren te accepteren dat hun ideeën onrealistisch of onuitvoerbaar zijn, oftewel om toe te geven dat ze fout zitten - Vooral in de politiek.

Grapperhaus zal dit overigens ook als een persoonlijk stokpaardje voor zijn carrière zien, en niet als een dienst jegens de Nederlandse bevolking. Ik geloof voor geen meter dat dit voorstel een altruïstische achtergrond heeft.
IMO gaat het om "roepen voor de Bühne"
In de politiek gaat het niet altijd om echte oplossingen, maar om te kunnen zeggen: "Ik heb mijn best gedaan om kinderporno tegen te gaan, maar ik sta nu eenmaal met lege handen."
Zoals al heel lang bekend is, vrijwel iedereen wordt digitaal gevolgd en daarmee als verdachte behandeld. Het heeft tot nu toe vrijwel niets opgeleverd. En dat terwijl Nederland (bijna) de grootste privacy schender van de wereld is.
De ontwikkeling in Australië is er een die ik zorgelijk vind. Ook dit levert bijna niets op en ondermijnt het recht op privacy van burgers.
Kom op he: dat is gewoon belediging voor de persoon in kwestie. Of overschatting van jezelf. Hoeveel bedrijven zijn er niet waar de 'baas' inhoudelijk lang niet, of helemaal niet (meer) de ins & outs kent. Graag onderbouwen je reactie. Heb je bewijzen om aan te nemen dat je verdachtmaking klopt?
Zo lust ik er nog wel een paar. Zoals je nu reageert, versimpel je de boel m.i. behoorlijk. Iemand die zo kort in de 2e kamer zit, heeft nog geen meters beleid kunnen maken. Daarvoor is het democratisch proces (met al zijn zegeningen) te traag. Zover ik weet is de sleepwet nog niet op zijn naam te schrijven, maar op zijn voorganger(s). Wat er nu over encryptie gezegd wordt, lijkt meer op een proefballon. Daar hebben politici wel meer een handje van. Praatprogramma, leuke uitspraak, en voila, je bent weer in het nieuws.

Dus opnieuw: welke concrete feiten uit zijn beleid geven jou reden om te reageren zoals je deed?
+Nu ja; een politicus heeft het nieuws nodig om zichtbaar te zijn. Anders krijgt hij/zij of de partij geen stemmen meer. Het oplaten van proefballonnen gebeurt vaker. Met (veel) tegengas is dat een indicatie dat het plan niet goed is. De geëigende weg om dat te laten weten is via de politieke partij. Dat doen w.s. niet zo heel veel mensen.

Daarnaast: met de krant regeer je geen land. Kranten hebben o.a. politici nodig voor bladvulling.

En als laatste; als burger, krant en iedereen bij de eerste beste fout gereed staat met geslepen messen (Barbertje zal hangen), dan zal een verantwoordelijk minister ook wel eens ferme taal uitslaan (kijk eens hoe goed ik alles onder controle heb). De nuance van wat (technisch/juridisch) mogelijk is, sneeuwt dan wellicht onder. En het zijn allemaal mensen (minister, departement), zodat ook overal iets mis kan gaan. Ik wil daarmee niet ernstige fouten bagatelliseren, maar het ligt volgens mij allemaal een heel stuk genuanceerder. Een land besturen is een kunst, laten we het daar maar op houden.
Criminelen, ook criminele organisaties bouwen niet zomaar een goed encrypted communicatiesysteem. Ze zijn wel georganiseerd maar ze vertrouwen elkaar allemaal niet dus er zit een limiet op het organisatorisch vermogen.
Dus, dan neem je een bestaand opensource cryptosysteem zoals PGP. Het bestaat al, en er zal altijd wel ergens een versie beschikbaar blijven zonder backdoors.
Hoe zie je dat voor je? Dat criminelen voordat ze iets over whatsapp versturen, het bericht eerst door hun pgp app halen op hun telefoon? Of zetten ze een programmeur aan het werk die zelf wel even alle infrastructuur beheert voor een messaging app? En welke criminelen gaan die app allemaal gebruiken?

Dat is voor mensen die van beveiliging hun werk maken nogal eens lastig, laat staan de crimineel die "al die computerdingen" er helemaal niet bij wil. Natuurlijk kan je altijd onder dingen uit komen, beveiligingen kraken etc
dat hoef je niet aan criminelen over te laten dat doet de opensource community voor je. Genoeg mensen die het er niet mee eens zijn en die capable zijn om dit te bouwen en op GitHub zetten / nieuwe app launchen.
Of zetten ze een programmeur aan het werk die zelf wel even alle infrastructuur beheert voor een messaging app? En welke criminelen gaan die app allemaal gebruiken?
Duizenden. https://www.parool.nl/nie...lf-hun-probleem~b27e50ce/
Ja eigenlijk is dat precies mijn punt. Het is moeilijk om het goed te doen, om voldoende capabele programmeurs te krijgen voor dit soort zaken en dat er nergens een lek zit. Dan nog de gebruikers die opgeleid moeten worden in veilig gebruik. Dit netwerk is dus opgerold.
Knoop een paar Nextcloud instances aan elkaar via openvpn, met end to end encryptie en je bent snel op weg om een “offline” schaduw netwerk te bouwen wat enkel via openvpn toegankelijk is.
Zo zijn er talloze andere opties waar je niet veel kennis voor nodig hebt, als security by design je doel is.
Is toch geen probleem. Wat dacht je, dat alle programmeurs nette mensen zijn? Een handige whizzkid zonder normbesef sleutelt zo'n platform het in elkaar op basis van open source software en laat gebruikers een bijdrage betalen via een untracable cryptocurrency. Telegram is ook begonnen als een soloproject van de broers Durov. Zo onrealistisch is dat allemaal niet.
Ik zeg niet dat het makkelijk is, en iedere crimineel dat gaat doen. Ik gok niet dat de gemiddelde straatdealer en inbreker hun operationele beveiliging goed op orde hebben. Maar er zijn voldoende criminelen die hier het tijd en geld wel in willen steken. En die blijven dan buiten schot.

Het punt is niet dat alle criminelen van onbreekbare crypto gebruik zullen maken. Het punt is dat er altijd criminelen zullen zijn die er gebruik van gaan maken.
Je hoeft maar een willekeurig nieuwsbericht over de "mocromafia" te lezen en ze hebben het over die PGP-telefoons.. https://electronica.infon...het-en-hoe-werkt-het.html

Elke crimineel die genoeg te verliezen heeft gebruikt een dergelijke app, en reken maar dat die infrastructuren er ook zijn. Overal is een markt voor.
Hoe zie je dat voor je? Dat criminelen voordat ze iets over whatsapp versturen, het bericht eerst door hun pgp app halen op hun telefoon?
Dat is een lichtelijk onhandige, maar goed werkende manier, en wettelijk dan nog steeds toegestaan. Je valt natuurlijk wel op, en je zult regelmatig keys moeten wisselen. Daarentegen kun je het goed automatiseren via Android Intents om het je doorsnee privacy-bewuste of criminele klant toch een praktische interface te geven.
Het hoeft niet alleen voor criminelen te zijn.

Als je vandaag een app wilt maken om de Hong Kong protestanten veilig te laten communiceren, dan is die toevallig ook nuttig voor criminelen. Dezelfde apps waarmee je mensen kan beschermen tegen onderdrukking, kunnen criminelen ook gebruiken. Waar trek je de lijn?

Verder snap ik trouwens niet waarom je denkt dat het zo complex is om versleutelde communicatie te voorzien? Een simpele chat-app met end-to-end encryptie kan je maken op een dag. Daar zijn allemaal makkelijke API's voor. Het versleutelen en terug ontsleutelen is echt maar enkele regels code extra. Je hebt hier waarschijnlijk zelfs kant-en-klare tutorials voor, of zelfs hele voorbeeld projecten.

Het lastigste is dat je in de meeste gevallen nog een server nodig hebt om devices met elkaar te verbinden. Daar zit wat meer tijd in, maar is ook echt geen onbegonnen werk. Nu gebeurt het niet zo vaak want Telegram bestaat. Maar als end-to-end encryption illegaal wordt, dan kan ik je garanderen dat op de zwarte markt er APKs te vinden zijn voor een dienst die het wel nog doet.

En die criminele netwerken zijn niet allemaal ruige jongens met een laag IQ. Ze zullen echt wel genoeg programmeurs kunnen vinden die een privacy-focused app willen maken voor een leuke smak geld. Inclusief goede gebruikservaring!

Je mag die criminelen echt niet onderschatten hoor. Dat zijn miljoenenbedrijven die volgens andere regels werken. Net zoals bij normale bedrijven kunnen die gewoon investeren in goede IT als dit voordelig zou zijn voor hun business.
Natuurlijk kan het op veel manieren wel, maar het is erg lastig om het op zo'n niveau goed te doen dat de overheid er niet bij kan. En ook laagdrempelig. En als het wat mag kosten, hoe verdienen ze dan weer hun geld terug? Hoe weten die criminelen of de aanbieder / dienst te vertrouwen is? Dat bedoel ik te zeggen.

Er zijn weinig criminele organisaties die hun infra tegen state level actors kunnen verdedigen Je doet als crimineel met je software ook niet zomaar mee aan het hackerone bug bounty programma lijkt mij.
the pirate bay ?! zelfs nu nog... overschat de kracht van geld niet die in criminele of grijze zones draait

[Reactie gewijzigd door svennd op 6 november 2019 19:28]

Zijn achterban? Dat hij het begrijpt betekent niet dat zijn kiezers het begrijpen. CDA stemmers zijn bovengemiddeld oud en conservatief, die horen: meer kans om criminelen te pakken en vinden het een goed plan. Dan kan je als politicus ook maar beter voor zijn helaas.
Niet alleen dat, maar zelfs binnen achterdeurapps zoals voorgesteld door Minister Geenverstandvanzaken, is het kinderspel om versleuteld te communiceren. Versleutelde bestanden kunnen bijvoorbeeld prima over die diensten verstuurd worden.
Sterker nog, dit is de praktijk, wie was ook alweer die software dev die in NL daarvoor veroordeelt is? (Ironchat dacht ik ...)
Spijker, kop. En zo typisch voor het Nederlandse beleid op dit thema. In de balans veiligheid/privacy worden keer op keer de domste keuzes gemaakt. Terwijl de privacy steeds meer wordt beperkt, neemt de veiligheid nauwelijks toe.
Ik word er moe van dat er elke keer kinderporno en terrorisme erbij gehaald moet worden om de discussie emotie te geven. Dit zal uiteindelijk leiden tot een glijdende schaal. Wanneer gaat de overheid meekijken of meeluisteren. Wanneer is het rechtvaardigt? Als een journalist zijn bron niet wil opgeven hoef je hem niet meer vast te zetten. Je kijkt en luistert gewoon mee. Wat doe je met bedrijfsspionage? Met deze gedachten zie ik niet zo snel dat iemand thuis aan gevoelige documenten of veilig aan broncode kan werken. Is dat allemaal nog wel veilig. Betekent het dat de overheid wel toegang heeft tot sterke encryptie voor hun zaken.
Als bepaalde bronnen niet meer beschermd kunnen worden wat is dan het verschil met China?
Ik zou zeggen laat de beste man dan eens beginnen met alle data van zijn ministerie en priveleven etc 100% open en bloot op internet te zetten en te houden.
Dat is namelijk wat hij met alle data wil doen, oftewel laat hem de eerste steen werpen.

Want die sleutel die blijft niet geheim, die wordt gelekt en dan ligt alles van iedereen open op straat...
Hij is momenteel heel erg druk bezig met zoeken.
Waarschijnlijk beneden gemodereerd, een uitleg die een "oude analogie" gebruikt om een bepaald principe uit te leggen, en die hopelijk wordt begrepen door mensen die geen fundamenteel begrip hebben van "computers" en "internet" (oa veel mensen onder onze politici).

Beschouw encryptie als een soort ketting, elke schakel is een vorm van encryptie. Door het bouwen van een "achterdeur", wordt een "schakel" opzettelijk verzwakt, en daar door gaat de ketting breken. Je kunt geen "klein beetje" of "iets minder" encryptie hebben.

Verder wordt encryptie al gebruikt voor internet, financiële transacties, en als er een politicus aan de macht komt die geen goede bedoelingen heeft?

En als een overheid toegang kan krijgen, dan zullen criminelen dat ook wel voor elkaar krijgen.

[Reactie gewijzigd door obimk1 op 7 november 2019 19:21]

Ah, het kinderporno en terrorisme argument dat alle deuren doet openen. Mensen die zich daarmee bezighouden doen dat allemaal via Whatsapp, en als encryptie van de grote publieke platformen voor overheden teniet zijn gedaan zijn alle problemen de wereld uit. Wij als pinautomaat voor de overheid burgers kunnen de overheid nu en in de toekomst gewoon vertrouwen. :/

Het is dus tijd om weer eens wat te doneren aan Bits of Freedom.

Verder is het wachten tot de overheid de sloten op je voordeur komt vervangen zodat de overheid altijd snel en makkelijk bij je binnen kan komen in geval van brand, gijzeling of medische situatie. Hoe kun je daar nu tegen zijn?

[Reactie gewijzigd door yade op 8 november 2019 14:23]

Kan de overheid alsjeblieft een keer competente mensen inhuren wanneer ze iets rondom IT zaken willen gaan doen? Aan alles blijkt dat Grapperhous totaal geen idee heeft waar hij het over heeft. Nu zullen er ongetwijfeld ook ambtenaren aan dergelijke proefballonnen hebben gewerkt, maar ook dit zijn dus niet de experts die je zoekt. Zo moeilijk is het toch niet? Er zijn legio goede consultancy bureaus, huur gewoon goede experts in.
Over bestuurders is altijd wel iets te zeggen, vooral wanneer het generalisten zijn. Maar ik denk dat het een rollenspel is en competentie iets anders is.

Minister Grapperhaus:
  • Als minister van Justitie en Veiligheid moet hij er voor zorgen dat de diensten onder zijn verantwoordelijkheid hun werk zo goed mogelijk kunnen doen. Dit kunnen ze gewoon beter wanneer alles lopen ligt. En dan zijn (hoe verschrikkelijk ook) kinderporno en terrorisme de gebruikelijke open deuren waar Minister Grapperhaus veel resonantie mee genereert.
  • De enige manier om communicatie makkelijk open te leggen is met een sleutel. Ook deze open deur moet hij intrappen. Misschien krijgen we net zoiets als in Australië. Hoe onpopulair en onverstandig dit misschien ook is.
Meneer Grapperhaus:
  • Ik denk dat meneer Grapperhaus ook niet wil dat iedereen zijn communicatie kan lezen. Maarja, dat is weer een andere rol.
En zo zijn er wel meer rollen te beschrijven, maar ik denk dat competentie echt niet het struikelblok is, maar de wens voor openheid met nogal onwenselijke consequenties.

Wat belangrijk is om te snappen, dat hij slechts een pion in een systeem is. Hij moet zijn wensen kunnen uiten en dat doet hij ook. Daarop komt een tegengeluid etc. en daar zal waarschijnlijk niets uitkomen. Heel effectief is zijn actie denk ik niet (gelukkig maar), maar hij moet zijn wensen uiten.

edit: laatste alinea toegevoegd

[Reactie gewijzigd door WienerBlut op 6 november 2019 16:00]

Als minister van Justitie en Veiligheid moet hij er voor zorgen dat de diensten onder zijn verantwoordelijkheid hun werk zo goed mogelijk kunnen doen. Dit kunnen ze gewoon beter wanneer alles lopen ligt. En dan zijn (hoe verschrikkelijk ook) kinderporno en terrorisme de gebruikelijke open deuren waar Minister Grapperhaus veel resonantie mee genereert.
De enige manier om communicatie makkelijk open te leggen is met een sleutel. Ook deze open deur moet hij intrappen. Misschien krijgen we net zoiets als in Australië. Hoe onpopulair en onverstandig dit misschien ook is.
Dit stukje zit dus zo vol met drogredeneringen..... zie alleen al de opmerking van @deputy hierboven! Niks van dit alles gaat zorgen voor meer veiligheid. En met incompetentie bedoel ik dus dit soort drogredeneringen geloven zonder 2 stappen verder na te denken wat er technisch allemaal wel en niet kan.
Ik ben het met je eens dat het drogredeneringen zijn en ik denk ook dat maar weinigen ook echt geloven dat kinderporno en terrorisme voorkomen gaat worden door het blootleggen van WhatsApp gesprekken.
Er is altijd weer een andere manier te vinden om beschermd te communiceren.

Het merkwaardige en misschien wel kwalijke aan het hele gebeuren is hoe het systeem werkt. Het gaat om aftasten van mogelijke oplossingen (deze sleutel oplossing, hacken, schaduwen, noem ze allemaal maar op) in een politieke arena waar de (publieke) opinie enorm belangrijk is. Denk aan verkiezingen en besluitvorming in een regering waar meerdere partijen in een coalitie zitten.

Minister Grapperhaus begint met een extreme dat er waarschijnlijk nooit zal komen: de sleutel. Ik vermoed, dat hij bij iets uitkomen dat veel milder is, maar voor sommige partijen en een deel van het electoraat nog altijd teveel gevraagd is. Daarom creëert hij nu een virtueel midden door het spectrum van oplossingen op te rekken. Het resultaat zal dan een oplossing zijn die goed genoeg voor een politieke meerderheid; bijvoorbeeld niet die sleutel maar een hack-permissie ofzo (zomaar een idee).

De minister kan nu in ieder geval zeggen dat hij "alles" heeft geprobeerd, hoe onzinnig zijn voorstel ook is en inefficiënt het proces ook wordt doorlopen.
Je doet me wel direct denken aan het Peterprincipe.

Het Peterprincipe is als volgt geformuleerd:
In een hiërarchie stijgt elke werknemer tot zijn niveau van onbekwaamheid.
(In het oorspronkelijke Engels: In a hierarchy every employee tends to rise to his level of incompetence.")
Haha, dat is wel heel cynisch. Ik denk dat de discussie een "helicopter-view" behoeft, want nogmaals: incompetentie is niet het euvel. Wanneer de politieke context en de werking van het bestuurlijke systeem genegeerd worden, slaat ieder commentaar de plank mis omdat er geen duiding in zit.

Misschien wil Minister Grapperhaus wel dat zijn idee als onzinnig wordt bestempeld en dat er over een paar werken een alternatief wordt voorgesteld. Een voorbeeld kan zijn dat de politie ineens iedereen mag hacken, of dat er een klimaat wordt geschapen voor een andere inlichtingenwet, of wat ook.

Ik kan bijna garanderen dat er achter zijn actie een strategie zit en dat hij misschien incompetent lijkt, maar dat niet is. Maar dat is mijn persoonlijke noot.
De politie mag ook iedereen hacken. Officieel hebben ze een reden nodig, maar die verzinnen ze waar je bij staat. Die rechter mag toch niets bekend maken, dus wie houd je tegen.
wie houd je tegen
Diezelfde rechter die de reden van de politie op geldigheid toetst, hopelijk.
Dat je er zelf al "hopelijk" achteraan zet verraad enige twijfel...

Ik heb op basis van "resultaten uit het verleden" (en ja, da's inderdaad "geen garantie voor de toekomst", maar toch ;) ) niet het idee dat het in toom houden van het "niet wettelijk toegestane doen en laten van de politie" gemiddeld heel hoog staat op het prio-lijstje van onze rechterende medemens.

Als het heel anders zou zijn dan ik hierboven schets en de rechterlijke macht "er echt bovenop zou zitten" zou de politie vast iets minder vaak "hun boekje te buiten gaan", vandaar.
Tsja, ik zou het wel wenselijk vinden als ministers vanuit hun eigen portefeuille-bril keken naar onderwerpen. De minister van defensie zou oorlog moeten willen etc., de minister van landbouw meer landbouw. Dan hebben we natuurlijk nog wel een minister van 'alles samenvoegen' nodig. Maar zo gaat dat niet in Nederland.

Of dan moet het er tenminste bij vermeld worden vanuit welke bril iets wordt bekeken.
Grapperhaus is een enge man. Waarom horen we trouwens niks in de media over die officier van kinderlokker justitie die werd vrijgesproken door een met opzet veroorzaakte administratieve fout?
Chris Klomp heeft er een mooi stuk over geschreven op zijn site https://chrisklomp.nl/hoe...chte-officier-liet-lopen/
De rechter heeft uitspraak gedaan. Dus is de zaak voor justitie klaar.

Dat dit gewoon een spelletje is geweest is een ander verhaal, en daar moet de hele justitie top inclusief minister zich voor verantwoorden. Maar niemand die ze ter verantwoording roept, ze zijn te bang. Ze zeggen gewoon dat het een foutje was en niemand die dat kan weerleggen.

De overheid in Nederland is in ieder geval gedeeltelijk corrupt.

Grapperhaus, en anderen voor hem zijn gewoon gevaarlijk. Waarom is die Opstelten na zijn"fout" niet opgepakt, of zelfs nu nog. Hij geeft zo ongeveer toe dat hij de wet heeft overtreden.
Is dat niet in de media geweest dan? ik ben geen echte nieuwsvolger op dit gebied (kindermisbruik), maar zelfs ik heb hier van gehoord.

Als het niet in de media geweest is vraag ik me dan af waar ik het dan opgepikt zou hebben.
Hij is eng, maar op zichzelf ongevaarlijk. Wie wel gevaarlijk zijn, zijn al die mensen die op hem en zijn soortgenoten stemmen, en deze engnek aan de macht helpen en houden.
Wat heeft dat met de discussie te maken?
Nou aan alles wat grapperhaus als minister verantwoordelijk voor is zit een luchtje (en op grotere schaal dus de VVD). Die heksenjacht op de klokkenluiders, inperken privacy, kinderlokkerbende (vanaf demmink tot deze nieuwe knakker) bij justitie, het aanpakken van groep de mos, hun grootste rivaal in denhaag voordat de mos zelf burgemeester zou zijn geweest van den haag wordt politiek geliquideerd (een wildersproces, ook een politieke rivaal, deel 2). Er zal nog wel geheid meer zijn wat zijn departement op zijn kerfstok heeft zitten.

[Reactie gewijzigd door govie op 6 november 2019 17:40]

Dit krijg je er van als je (bijna) 60+ers aan het roer in de overheid zet. In nieuwe ontwikkelingen (lees: ICT) kunnen zij totaal niet mee en roepen ze maar wat. Als grapperhaus zich hierover uitspreekt dan mist er enige specificatie. Hierdoor kunnen wij ook niet mee in wat er bedoeld word.

Is deze sleutel software of hardwarematig? Wil je op het moederbord van iedere telefoon een apart circuit hebben dat de interactie van de gebruiker opvangt en bij aanvraag verzendt naar de specifieke host oid. Wil je dat er op de server van bepaalde chat applicaties een "backdoor kanaal" kan worden aangeroepen die op het ID van de gebruiker kan zoeken en mee kan lezen? Wil je simpelweg de applicaties verplichten om de informatie te verzenden of *tijdig* de encryptie van een bepaalde gebruiker uit te kunnen zetten?

Dit zijn moeilijke begrippen en aangezien er nog niets is gedefinieerd/gestandaardiseerd, zijn bedrijven niet verplicht om hieraan mee te doen. Ferd doet er vrij nonchalant over en schuift gewoon mee aan de tafel van incompetente beheerders van informatica. Zolang deze mensen hieraan zitten kunnen criminelen hun vrije gang gaan. Die backdoor komt er wel (mijn mening)
Ik denk dat je 60 plussers onderschat, encryptie was er al voordat de huidige 60 plussers geboren waren.

Het is een politicus, een man met een agenda. Het zal voor Grapperhaus echt niet moeilijk zijn om het concept van encryptie te snappen, inclusief de risico's die vastzitten aan het achter de hand houden van een sleutel. Hij hoeft daarvoor geen enkele technische kennis te hebben.
Dan huren/zoeken ze net zo lang tot er een bureau is dat verteld wat ze willen horen.
Gezien de overheid altijd alles moet aanbesteden zijn bijna altijd dezelfde partijen aan tafel gezien ze alleen met trusted suppliers werken. Dus eens met je opmerking, alleen zelden realistisch.
Ik vind het zelfs nog erger dan onwetendheid. Als Grapperhaus maar een greintje verstand heeft dan moet hij snappen dat als zijn plan wordt doorgevoerd, hij letterlijk levens in gevaar brengt. Er zijn genoeg landen waar het levensbedreigend is als je een "verkeerde" politieke opinie of sexuele voorkeur hebt.
Kan de overheid alsjeblieft een keer competente mensen inhuren wanneer ze iets rondom IT zaken willen gaan doen?
De grap is dat ze dat soms wel doen, maar wanneer ze dat doen om projecten een beetje te checken of ze niet uit de klauwen lopen, deze mensen enorm worden gedwarsboomt
Ik denk dat als je inzage kunt hebben in chatverkeer dat iedere overheid die functie graag wilt hebben, of in ieder geval de geheime diensten. Bij whatsapp is het de vraag hoe goed en waar het versleuteld is want Facebook wil namelijk ook advertenties gaan plaatsen naar de voorkeuren wat mij zegt dat FB de teksten op trefwoorden kan lezen. Een masterkey om het verkeer te kunnen snifferen zal best mogelijk zijn en misschien zal de NSA en consorten wel alle teksten kunnen scannen.
Maar ja, of Grappehaus een dergelijke toegang zal krijgen betwijfel ik.
Ik zou hem andersom stellen. Als je het misbruik van kinderen wil terugdringen, wat is dan de beste manier? Hoe bereiken we relatief veel resultaat met relatief weinig inzet die ook nog eens specifiek, proportioneel en niet op een betere manier in valt te vullen.

Dit soort ideeen komen voor mij namelijk een beetje uit de lucht vallen, en in die zin raakt het heel erg aan wat jij al schrijft: "... competente mensen inhuren ...".

Het procesmatig, doelgericht en gestructureerd een onderwerp aanpakken. Ik mis het enorm in eigenlijk alle berichten die tegenwoordig uit de politiek komen.

Tegelijkertijd snap ik dat bepaalde rollen en posities vanuit die plek kijken. Dan is de vraag meer: wat mag je verwachten van een minister? Maar ook dit zie ik niet terug in Nederland, want dan zou je verwachten dat bijvoorbeeld de minister van defensie/oorlog voor alles een militaire oplossing zou hebben. Boerenprotest? Militairen er heen en geweld! En dat de minister van onderwijs het zoekt in het onderwijs. Boerenprotest? We gaan het lesprogramma en de didactiek aanpassen!

Maar dat is niet wat ik zie. Ik zie geisoleerde ideeen, waarvan je eerder zou verwachten dat ze bij een verborgen agenda horen als het geen geisoleerde ideeen zijn. Terwijl er veel kennis en kunde (nog) is in Nederland.
Vraag is eerder wanneer iets "IT zaken" zijn. Een nieuwe applicatie voor diverse overheidsdiensten; ja. Maar hier praat je over iets heel anders, waar "IT" rakelings ermee te maken heeft, namelijk enkel en alleen de encryptie, maar dat alleen, is dat al genoeg om te zeggen dat iets een "IT zaak" is?
Wellicht heeft het niets met incompetentie te maken, maar wordt Grapperhaus gewoon gepiepeld door anti-encryptie-bondgenoten VS, AUS en VK, om dit er door te drukken.
Even door zijn narratief heen prikken dus.
Geachte heer megens,

U bent bij deze uitgenodigd als spreker op ons overheidscongres "Zo moet het wel". Gelieve voor te bereiden hoe te handhaven in een wereld die potdicht zit. We verwachten er veel van, tot dan!

Groetjes,

Mark.
Hoi Mark, dank voor de uitnodiging, maar wanneer is dit?
Wanneer u wilt meneer Megens, uw uitmuntende inzichten zijn altijd welkom.
Juist. Ik erger mij kapot aan mensen die in de politiek zitten en gewoon totaal geen verstand van zaken hebben. Dit vraag je toch eerst na bij adviseurs alvorens je zulke uitspraken doet?

Het is erg jammer, want als je kennis hebt (een beetje is al genoeg) van de materie weet je dat dit gewoon niet haalbaar is.
Die adviseurs zijn waarschijnlijk ook vooral juristen en geen mensen de ins en outs van encryptie kennen. Die juristen hebben zich laten informeren en daar vervolgens een eigen licht op laten schijnen. vervolgens mag een minister dan het woord doen zonder veel kennis van de materie.
Er werken zat competente mensen bij de overheid maar die hebben uiteindelijk te maken met politiek en mensen die het niet begrijpen en komen dan ook geen steek meer verder.

Politiek is dat proces dat van elk goed idee een middelmatig of slecht idee maakt.
Het afkraken van Grappenhaus zijn ideeen is onterecht. De boodschap van hem is het niet willen afdwingen van toegang tot encrypted informatie bij derden maar een signaal afgeven aan de samenleving dat er wel nu iets moet gebeuren. Encryptie is dan een voorbeeld.

Ik zou het normaal vinden dat ook mijn chatberichten inzichtelijk zijn voor de opsproingsdiensten. Tenslotte kunnen dezelfde diensten ook mijn telefoongesprekken afluisteren en inzicht hebben in mijn internet verkeer.

Als we Grappenhaus blijven tegenhouden, en het misbruik loopt verder op, dan kiest de overheid voor een vergaande maatregelen zoals in China met een firewall/intranet. Heel eerlijk zie ik dit nog wel een keer gebeuren.

Kortom, laten we nou niet Grappenhaus zijn ideeen afkraken maar nadenken wat hierin het beste is om misbruik zoveel mogelijk tegengaan. En ja dat gaat soms ten koste van je eigen privacy en de risico's.

[Reactie gewijzigd door robertpNL op 6 november 2019 15:40]

Massale versleuteling van alle dataverkeer was juist een gevolg van de onthullingen van Snowden dat overheden massaal hun eigen wetten overtraden en dat buitenlandse overheden massaal onschuldige mensen volgende en tapten. Als die overheden zich toen hadden beperkt tot de criminelen en verdachten we nu niet massaal alles versleuteld. Het vertrouwen is weg.
Neen.
Dat is een kulargument: je laat je hand maar amputeren omdat men misschien anders besluit je hele arm eraf te draaien. Je kunt niet "een beetje" aan encryptie doen, het is al moeilijk genoeg om uberhaupt een veilig algoritme te maken, laat staan eentje voor meeluisteraars.
Daarnaast met quantumcomputing om de hoek zullen we sowieso aan nieuwe encryptietechnieken moeten. Als quantum computers er eenmaal zijn is het kraken van bestaande encryptie een stuk eenvoudiger en kan men oude beveiligde bestanden alsnog inzien.
Dat is een mooie 'als' voor de toekomst.
Tegen die tijd ben jij al lang met pensioen.
Telefoongesprekken en internetverkeer kan ook beveiligd worden, het is een non argument om te zeggen dat je chatberichten maar leesbaar moeten zijn omdat telefoon en internetverkeer ook afgeluisterd kan worden.

Grapperhaus geeft inderdaad aan dat er een probleem aan het ontstaan is, alleen de manier van oplossing die hij aandraagt is weer volkomen verkeerd om en getuigd van kortzichtigheid. Ik snap niet waarom ik mijn privacy moet opgeven en een overheid in mijn persoonlijke correspondentie moet toelaten omdat er een aantal gekken rondlopen die toevallig gebruik maken van dezelfde dienst?
Het gaat in de praktijk nooit werken. Iedereen kan in principe zijn eigen beveiligingssleutels uitwisselen en hun communicatie daarmee versleutelen en ontsleutelen. Dit gebeurt volledig buiten het zicht van de autoriteiten. Criminelen maken hier nu al gebruik van.

De volgende stap zou dus een verbod op encryptie zijn maar dat is onmogelijk te handhaven.
Ik wordt er zo moe van die eeuwige discussie en grapperhaus is daarnaast heel voorspelbaar.

Toen ik dit las wist ik al genoeg
Dat moet gebeuren zodra er verdenkingen zijn van in het bijzonder kindermisbruik, al haalt Grapperhaus ook kort terrorisme aan als rechtvaardiging.
Om wetgeving er door heen te drukken en in een mooie verpakking aan de burger te verkopen wordt de pedofiel en de terrorist altijd van stal gehaald. Die doen het namelijk heel goed in de beeldvorming en zeg nu eerlijk wie wil nu niet dat een pedo en terrorist gepakt wordt.

Als je echter verder gaat nadenken is dit de bekende deur die op een kier komt te staan. De volgende stap is dat onze overheid na de vinger met de hand verder gaat, je hele arm en ja dan komt jou china verhaal boven, met een sleutel kan men alles inzien wat jij doet.

Ik geloof trouwens niet dat we hier een firewall zoals in china krijgen. De discussie over encryptie zal nog wel langer doorgaan.

Daarnaast in de praktijk download je dan een app buiten de eu of open source encryptie en gebruikt die. Maar wie weet wil men gebruik van encryptie zonder achterdeur wel strafbaar gaan stellen. Dat betekend dan meteen dat we idd richting een totalitair systeem gaan.
If you autlaw privacy only outlaws will have privacy!!!
Kortom het helpo nietmand er word geen crimineel extra mee gevangen en criminelen hebben gewoon net als de politie toegang tot alle systemen dankzij deze backdoor!!!
denk niet dat ze dat niet kunnen wanty ALLES is te koop zeker als een crimineel hulp krijgt van een land als Iran.....
dan jkan die persoon net zo veel als de overheid mee lezen met al jouw chat evrkeer!!!
het is mijns inziuen juist de Beschikbaarheid van een zero day markt dat de politie problemen heeft, de criminelen kunnen gewoon de zelfde cyber wapens als de politie krijgen.
en ik vermoed dat ze die dus ook al hebben...
juist is encryptie dan de ENIGE veiliheid!
dat betekend dat de politie er niet bij kan maar de crimineel even min!!!
grapperhaus maakt het dus ook makkelijker voor criminelen met deze idiote acte....
zero days iedereen met geld kan ze kopen!
https://www.youtube.com/watch?v=JhkXSg9KQE8
Het afkraken van Grappenhaus zijn ideeen is onterecht. De boodschap van hem is het niet willen afdwingen van toegang tot encrypted informatie bij derden maar een signaal afgeven aan de samenleving dat er wel nu iets moet gebeuren. Encryptie is dan een voorbeeld.

Ik zou het normaal vinden dat ook mijn chatberichten inzichtelijk zijn voor de opsproingsdiensten. Tenslotte kunnen dezelfde diensten ook mijn telefoongesprekken afluisteren en inzicht hebben in mijn internet verkeer.

Als we Grappenhaus blijven tegenhouden, en het misbruik loopt verder op, dan kiest de overheid voor een vergaande maatregelen zoals in China met een firewall/intranet. Heel eerlijk zie ik dit nog wel een keer gebeuren.

Kortom, laten we nou niet Grappenhaus zijn ideeen afkraken maar nadenken wat hierin het beste is om misbruik zoveel mogelijk tegengaan. En ja dat gaat soms ten koste van je eigen privacy en de risico's.
Je kan geen good guy beveiliging maken...
iets is veilig of niet , als de politie er bij kan kunnen alle polities dat dus ook die van Iran....
en als Iran een crimineel helpt , kan de crimineel er dus ook bij.
ook kan die crimineel gewoon de spullen kopen die agenten kunnen komen , cyber wapens zijn niet fysiek en dus vanaf overal te krijgen,,,
en onzichtbaar!
als je priviecy verbied zullen aleen criminelen privacy hebben!
omdat tools als GPG tails signal etc ,, niet zullen verdwijnen omdat het hier verboden word.... de wereld is groter dan NL.
op dit moment is er teminste een iemand die in nederland word gezocht diue hulp krijgt van een land om onder de radar te blijven...
deze man zou dan hoe dan ook toegang hebben tot jouw chat berichten.
omdat hij hulp heeft van de politie van dat land.

[Reactie gewijzigd door bluegoaindian op 6 november 2019 17:47]

Het afkraken van Grappenhaus zijn ideeen is onterecht. De boodschap van hem is het niet willen afdwingen van toegang tot encrypted informatie bij derden maar een signaal afgeven aan de samenleving dat er wel nu iets moet gebeuren. Encryptie is dan een voorbeeld.

Ik zou het normaal vinden dat ook mijn chatberichten inzichtelijk zijn voor de opsproingsdiensten. Tenslotte kunnen dezelfde diensten ook mijn telefoongesprekken afluisteren en inzicht hebben in mijn internet verkeer.

Als we Grappenhaus blijven tegenhouden, en het misbruik loopt verder op, dan kiest de overheid voor een vergaande maatregelen zoals in China met een firewall/intranet. Heel eerlijk zie ik dit nog wel een keer gebeuren.

Kortom, laten we nou niet Grappenhaus zijn ideeen afkraken maar nadenken wat hierin het beste is om misbruik zoveel mogelijk tegengaan. En ja dat gaat soms ten koste van je eigen privacy en de risico's.
Grapperhaus afkraken is (op dit punt) volledig correct. Het is geen "boodschap", hij wil letterlijk van iedere huidige en toekomstige app met versleuteling de sleutels krijgen, als dat niet zo was heeft zijn poging namelijk bij voorbaat al geen enkele zin. Zijn plan werkt namelijk alleen als hij alles kan ontsleutelen. Kan hij namelijk niet alle apps ontsleutelen dan is er dus altijd een echt super simpele manier om niet op zijn radar te verschijnen, namelijk; gewoon een andere, nog wel versleutelde, app gaan gebruiken. Is voor iedereen met meer dan 1 hersencel volstrekt duidelijk en is een 100% heldere zwart/wit kwestie.

Het klinkt misschien simpel en hard maar is wel de waarheid; misbruik/criminaliteit/terrorisme/enz. is niet ineens te voorkomen doordat je in een bepaalde app wel kan meelezen... Misbruikers/criminelen/terroristen/enz. zijn ook niet achterlijk en gaan/laten een eigen app met versleuteling maken die ze alleen met elkaar delen. Dan is de volgende stap in het plan van Grapperhaus vast om open source software te laten verbieden want (en je hoort het hem al zeggen) "Open source software werkt kindermisbruik in de hand!"

Chat software en misbruik hebben in directe zin niets met elkaar te maken, alleen (heel erg) indirect.
Gaat hij dan ook hele snelle auto's verbieden omdat bankovervallers anders te makkelijk aan de politie zouden kunnen ontsnappen?
Gaat hij dan ook (fiets)slotkettingen verbieden omdat je daarmee te makkelijk iemand zou kunnen mishandelen?
Of gaat hij slimmer dan gemiddeld zijn verbieden omdat je dan te gemakkelijk wegen om zijn ondoordachte en halfbakken (of misschien toch uiteindelijk voor andere doeleinden bedoelde? Hè, jammer, zeg ik het toch... ;) ) plannen heen kan verzinnen...?

[Reactie gewijzigd door HuisRocker op 6 november 2019 20:54]

Yup, de quote van Benji. Iemand die wel fatsoenlijk kon redeneren. O+

[Reactie gewijzigd door Realtop op 6 november 2019 23:28]

Het afkraken van Grappenhaus zijn ideeen is onterecht. De boodschap van hem is het niet willen afdwingen van toegang tot encrypted informatie bij derden maar een signaal afgeven aan de samenleving dat er wel nu iets moet gebeuren. Encryptie is dan een voorbeeld.
Als we het "oplaten van proefballonetjes om signalen af te geven" als serieuze politiek moeten gaan beschouwen laat ik liever de eerstegroepers van de basisschool het land besturen, die zijn veel volwassener in dat opzicht.

Overigens wil Grapperhaus wel degelijk rechtstreeks toegang tot de versleutelde data dus waar deze opmerking vandaan komt is me een raadsel.

[Reactie gewijzigd door WokBoy op 7 november 2019 10:10]

Ja tuurlijk wil hij toegang tot versleutelde data. En hij weet ook wel dat dit onmogelijk is. Dat is allemaal helder. Maar niks zeggen is ook geen oplossing.

Zijn doel is de discussie blijven voeren hoe we misbruik (content zoals kinderporno0 via digitale wegen kunnen bestrijden. Niemand heeft de oplossing hierin. Beste is bij de bron maar dat lukt nooit. En als je bij de bron wilt uitkomen, moet je wel toegang tot de digitale kanalen. En ja, dat is iets "we" dan als burgers moeten accepteren, als is dat niet "de" oplossing natuurljk.

[Reactie gewijzigd door robertpNL op 7 november 2019 10:55]

Ik zou het normaal vinden dat ook mijn chatberichten inzichtelijk zijn voor de opsproingsdiensten.......... En ja dat gaat soms ten koste van je eigen privacy en de risico's.
“They who can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety.”
― Benjamin Franklin,
Ik schreef al een keer hoe je een "escrow" methode in kunt zetten waarbij mensen wél het vertrouwen kunnen houden dat het alleen gebruikt kan worden om de berichten van een terrorist/crimineel te ontsleutelen. In plaats van sleutels onder te brengen bij een notaris of in een of ander zwaar beveiligde bunker, kun je ze opsplitsen en onder alle gebruikers verdelen. Authoriteiten moeten dan een bepaald percentage van de gebruikers overtuigen van de noodzaak om te helpen een specifiek gecodeerd bericht te ontsleutelen door bijvoorbeeld via de pers uitleg te geven waarom het voor hen belangrijk is. Om te zorgen dat ze het vertrouwen behouden, zijn ze ook genoodzaakt om de bevolking via de pers ná ontsleuteling op de hoogte te houden van een onderzoek.

Maakt een overheid misbruik hiervan, dan zal de bereidheid van gebruikers om mee te helpen bij een volgende ontsleutelpoging afnemen en schieten zij zichzelf dus in de voet.
Zelfs als het voorgestelde wordt toegepast in een functionerende democratie, dan weerhoudt dat een ander land (Rusland/China/...) niet om dezelfde crypto-verzwakkingen te misbruiken. Die genereren gewoon mensen op papier, of zetten mensen onder druk. Of ze beslissen als volk dat ze alle berichten van de regering/bevolking van een vijandige staat gaan ontsleutelen.

Daarnaast heb je het probleem dat een functionerende democratie van vandaag, niet per se morgen nog functioneert. (verhoging van populisme/nationalisme, etc.)
Naast de wishful thinking, wat doet dit met bijvoorbeeld bepaalde regimes? Als je 1 milard onderdanen onder de plak hebt, is het niet zo moeilijk om een meerderheid te "overtuigen" om de chats van een paar vermeende dissidenten te kraken.
Of wat als iemand de boel hackt en er ineens miljoenen bots zijn die alle sleutels vrijgeven?
Dan zorg je dat je meer ja-knikkers in de pool krijgt. Google eens naar ""immigration mainland chinese hong kong" en trek je conclusies.
En wat nu als de er X% van de users bots zijn die altijd "voor" stemmen? Dus als er straks 10 echte gebruikers zijn, maar er 90 fake users zijn die wel stemrecht hebben? Als je dan 80% moet overtuigen om de key te krijgen, dan moet je alleen maar genoeg bots laten stemmen.
Dat lijkt me wishfull thinking.

Als je kijkt naar de brexit dan hebben onder het mom van leugens versterkt door de media er nogal wat mensen gekozen om zichzelf in de voet te schieten.

In Nederland is het niet zoveel beter hoor.

De gemiddelde mening van het Nederlandse volk ligt behoorlijk ver van de gemiddelde mening op tweakers en dat is dan nog maar een zacht voorbeeld
Zouden ze nou echt niet begrijpen dat dit ongeveer gelijk is aan: "he, ik zie dat je een slot op je huis hebt. Dat mag wel maar dan moeten wij ook een sleutel hebben zodat we naar binnen kunnen als we dat willen."
Beetje zoals alle staten in de VS, waar je de sleutels van je gebouwen buiten in een doosje aan de muur moet bevestigen :) https://www.reuters.com/a...ked-idUSBRE92004T20130301

de lockboxes werken met masterkeys die uitlekken, en vervolgens kan je in alle gebouwen binnen in die staat.
Is hier ook, voor de brandweer.
In veel gevalleen alleen voor de publieke ruimtes en speciale ruimtes voor gas/weter etc aansluitingen. Bovendien is iedereen vrij zijn voordeurslot te veranderen waardoor dat sowieso geen zin heeft.

Bij bedrijfspanden kan dat anders zijn.

[Reactie gewijzigd door Sloerie op 6 november 2019 16:03]

Inderdaad voor bedrijfspanden en instellingen. Voor woonhuizen is er de koevoet.
Ik ken het systeem vanuit de thuiszorg.
In ons woning complex hebben wij ook zo iets, maar dan voor (en op verzoek van) de brandweer. Een in de buitenmuur geplaatste cilindervormig opbergruimte met een toegangssleutel van de toegangspoort van het nogal zwaar uitgeruste hekwerk.
En dat kúnnen ze ook al. Dat heet een huiszoeking (net zoals ze je telefoon mogen hacken). Maar voor zo'n ingreep moet je via de rechter. Ze willen juist een methode waarmee het een stuk makkelijker is om alles uit het verleden, heden en toekomst mee te kijken.
Toch zit er een verschil in. Iemand met slechte bedoelingen kan geen huiszoekingsbevel aanvragen. Maar zou potentieel wel de sleutel voor mijn huis in handen kunnen krijgen. Of in het geval van een master sleutel, kan een inbreken makkelijk even alle huizen in de wijk langsgaan zonder braakschade of tijdverlies door het kraken van het slot.
Toch zit er een verschil in. Iemand met slechte bedoelingen kan geen huiszoekingsbevel aanvragen.
Het punt is dat er voor alles 1 sleutel zal zijn, die zal uitlekken en niemand hoeft meer een huiszoekingsbevel aan te vragen... Want er is maar 1 sleutel...
Met een huiszoekingsbevel mogen ze dat ook, zelfs geforceerd. Daaruit zou volgen dat de 'achterdeur' alleen gebruikt zou mogen worden op het moment dat daar een rechter toestemming voor gegeven heeft.

[Reactie gewijzigd door _Dune_ op 6 november 2019 15:24]

Zucht, dit is heel simpel: Wiskundig gezien is een achterdeur onmogelijk, daar is wiskundig bewijs voor.
Zou je op de een of andere manier een achterdeur met een encryptiesleutel inbouwen met nieuwe algoritmes en die sleutel aan de overheid geven, dan is de kans groot dat die ook gestolen wordt, dat heeft de overheid zelf bewezen.
Dus bewezen slecht idee |:(
Dat snap ik niet. Wiskundig/technisch gezien is het juist heel goed mogelijk om een achterdeur in te bouwen (als je met een achterdeur bedoelt dat een derde mee kan lezen).

Bij asymmetrische encryptie zoals PGP is het heel goed mogelijk om iets met meerdere keys te versleutelen zodat de houder van één van die keys het bericht kan openen.

Mijns inziens is het grote gevaar dat de sleutel van die derde uitlekt en daardoor de communicatie effectief onversleuteld is. Of dat de sleutel voor een groot deel van de berichten gebruikt wordt waardoor het afluisteren van partij A ook direct de mogelijkheid biedt tot afluisteren van B, C, D, etc. zonder dat de rechter daarover beslist heeft.
Het probleem is min of meer dat de toegepaste beveiligingsmethode zijn eigen betrouwbaarheid niet meer kan garanderen als er derden bepaalde privileges in het proces hebben. Een achterdeur betekent infrastructuur die een risico maakt, niet elimineert. Een zichzelf respecterende beveiligingstechnologie kan dat niet verkopen.
Dat is eigenlijk wel waar de minister op doelt, hij wil gewoon een sleutel kunnen opvragen zodat hij iets kan lezen van een gebruiker. Het heeft geen zin om applicatie ontwikkelaars te vragen dit te doen. Het is (relatief) eenvoudig voor iemand die er handig mee is, wat certificaten in elkaar te sleutelen en die te gebruiken voor een eigen versleuteling op een app. Natuurlijk de geverifieerde apps / software vereisen ook geverifieerde certificaten. Al is daar ook (relatief) eenvoudig aan te komen.

Wanneer ziet men eens in dat dit een probleem is van alle tijden, alleen nu door technologie gemakkelijker bruikbaar is? In de 2e wereldoorlog was er de Enigma machine, die gehackt (gekraakt) moest worden om e.e.a. te kunnen begrijpen/ mee te kunnen lezen. Daarvoor was het zo dat je met briefjes en een 'vertaalsleutel' gecodeerde briefjes uit kon wisselen. Ook daar was het de kunst om de code te kraken waarna je de briefjes kon lezen. Gebruikte men voor verschillende personen verschillende codes, had je er niet genoeg aan om 1 code te kraken. Datzelfde geldt tegenwoordig voor (al) die apps. Versleutelt men het niet, of is er 1 algemene (wellicht vrij eenvoudig) te kraken sleutel, dan luisteren niet alleen de goedwillende partijen mee, maar ook kwaadwillenden. En dat laatste is nu net wat we met elkaar proberen te voorkomen.

Uiteindelijk komt het erop neer dat alleen overheden willen dat hun (geheime) communicatie netjes versleuteld en bij voorkeur 'niet te kraken' mag gebeuren, want alleen de overheid mag geheimen hebben, de gewone (goedwillende) burger interesseert hen totaal niet.
Ergens is het al gemakkelijker geworden om de locatie van informatie te vinden, want het staat allemaal op een telefoon. Het is alleen lastiger geworden om de sleutel(s) te kraken en de informatie leesbaar te krijgen.

Ik kan op mijn computer ook allerlei tooltjes installeren die bepaalde map-inhoud versleutelen, met allerlei verschillende encryptie methoden en sleutels, omdat er (ook vanwege werk) soms wel gevoelige data op kan staan. Moeten we het dan wel willen om daar een bepaalde sleutel voor te creëren waardoor er juist weer een soort veiligheidsrisico wordt geïntroduceerd? Of gaan we allerlei uitzonderingen introduceren, waardoor het toch voor de kwaadwillenden weer eenvoudig wordt ook deze vormen van data-encryptie te hanteren, want als het voor de overheid beschikbaar is/ mogelijk is 'veilig' te encrypten, dan is het ook al snel voor andere partijen mogelijk.

Enige oplossing is alles wereldwijd, ook vanuit de overheid, vrij beschikbaar en leesbaar te maken, maar dan moeten we wel heel veel vertrouwen hebben in onze medemens. Die heeft helaas maar al te vaak aangetoond in veel gevallen niet betrouwbaar te zijn en misbruik te maken van gegevens die deze ontvangt.
Klopt. Ik reageerde eigenlijk vooral op Loy's opmerking dat een "achterdeurtje" wiskundig bewezen onmogelijk zou zijn. Dat is volgens mij niet zo. Technisch kan het, inderdaad alleen bij toepassingen waarbij de certificaten centraal beheert worden. Criminelen zullen zich daar niks van aantrekken. Die gebruiken dan gewoon iets anders.

"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
Enige wat enigzinds veilig zou kunnen is de functionaliteit van groepsgesprekken gebruiken na een trigger vanuit de chat-servers.
aka: de berichten versleutelen met de sleutel van de ontvanger en een sleutel van de maker, meegegeven in het signaal waardoor het effectief als een tap gaat werken.

Hierdoor is het dan, na een gerechtelijk bevel, mogelijk de communicatie vanaf dat moment te lezen, maar terugkijken en massaal afluisteren is niet mogelijk.

[update]
Mijn idee hierbij is dan ook dat die sleutel van de maker uniek is per tap. Het uitlekken heeft dan 0 effect voor anderen.
[/update]

[Reactie gewijzigd door hackerhater op 6 november 2019 16:13]

Dus het is onmogelijk en de kans is heel groot dat die onmogelijkheid gestolen wordt...?
1 2 3 ... 6


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True