Minister wil afstaan encryptiesleutel verplichten
Als het aan minister Opstelten van Justitie en Veiligheid ligt wordt het straks verplicht om bij bepaalde misdrijven encryptiesleutels af te staan. De minister heeft een nieuw wetsvoorstel gepresenteerd dat naast een hackbevoegdheid voor de politie ook een decryptiebevel introduceert. Volgens Opstelten hebben hebben politie en justitie bij het aftappen van communicatie steeds meer last van encryptie.
"Op internet worden speciale programma’s aangeboden om gegevensbestanden te versleutelen. Informatiesystemen en software zijn dikwijls standaard ingesteld op versleutelde vormen van communicatie, bijvoorbeeld Gmail en Twitter. Internetgebruikers kunnen zelfs via bepaalde diensten gegevens anoniem transporteren."
Dit zou criminelen in de kaart spelen, aldus de minister. "Weliswaar is de aanbieder verplicht mee te werken aan het ongedaan maken van versleutelde communicatie, maar daar is hij soms zelf niet toe in staat of de aanbieder is gevestigd in het buitenland."
Daarom wil Opstelten dat politie en justitie bij ernstige strafbare feiten onder strikte voorwaarden kunnen aftappen op het apparaat in plaats van op de verbinding.
Verplichting
Het wetsvoorstel voorziet tevens in de mogelijkheid om verdachten van het bezit en de handel in kinderpornografie of van terroristische activiteiten te verplichten mee te werken aan het openen van versleutelde bestanden op hun computer.
De officier van justitie geeft dan een zogeheten decryptiebevel aan de verdachte. Op het negeren van een decryptiebevel van de officier van justitie staat een gevangenisstraf van maximaal drie jaar.
Heling
Verder wordt door het wetsvoorstel heling van computergegevens strafbaar. Daarmee wil de minister voorkomen dat bijvoorbeeld na een inbraak in een computer derden de gestolen informatie in handen krijgen en vervolgens op websites plaatsen. Er komt een gevangenisstraf van maximaal een jaar op te staan.
Reacties (28)
Toch makkelijk, iedereen gewoon maar verplichten zijn zonden op te biechten. Met dien verstande dat de kerk er dan zijn mond over hield, terwijl fred&ivo juist naar zoveel mogelijk redenen op zoek zijn om boetes op te leggen.
Aangezien er digitaal (en ondertussen ook niet-digitaal) wegens gelijkheidsbeginsel ("iedereen voor de wet gelijk") en criminaliteitsbeginsel (verdersluipende omkering van onschuldig-tot-tegendeel-bewezen) ondertussen iedereen als potentieel-crimineel (en dus onder surveillance te houden, handig excuus) te boek staat, heeft het nog maar nauwlijks zin je iets van de regels aan te trekken. Je overtreedt ze toch wel, of je wil of niet.
De vraag is dan niet meer: Hoe houd ik me aan de regels? Maar de vraag is wel: Hoe zorg ik dat ik de schade beperk wanneer, niet als, ik gepakt ga worden.
Wat voor "digitaal" op versleutelde opslag buiten Nederland gaat neerkomen. Lijkt me dat dit een markt voor "turn-key" oplossingen in dit veld gaat opleveren.
ivo doet best wat voor het land, hij zwengelt de economie aan. Is hij even goed bezig.
Aangezien er digitaal (en ondertussen ook niet-digitaal) wegens gelijkheidsbeginsel ("iedereen voor de wet gelijk") en criminaliteitsbeginsel (verdersluipende omkering van onschuldig-tot-tegendeel-bewezen) ondertussen iedereen als potentieel-crimineel (en dus onder surveillance te houden, handig excuus) te boek staat, heeft het nog maar nauwlijks zin je iets van de regels aan te trekken. Je overtreedt ze toch wel, of je wil of niet.
De vraag is dan niet meer: Hoe houd ik me aan de regels? Maar de vraag is wel: Hoe zorg ik dat ik de schade beperk wanneer, niet als, ik gepakt ga worden.
Wat voor "digitaal" op versleutelde opslag buiten Nederland gaat neerkomen. Lijkt me dat dit een markt voor "turn-key" oplossingen in dit veld gaat opleveren.
ivo doet best wat voor het land, hij zwengelt de economie aan. Is hij even goed bezig.
"Verder wordt door het wetsvoorstel heling van computergegevens strafbaar. Daarmee wil de minister voorkomen dat bijvoorbeeld na een inbraak in een computer derden de gestolen informatie in handen krijgen en vervolgens op websites plaatsen. Er komt een gevangenisstraf van maximaal een jaar op te staan."
Heling is verkoop (financieel gewin) ?
"De minister heeft een nieuw wetsvoorstel gepresenteerd dat naast een hackbevoegdheid voor de politie ook een decryptiebevel introduceert. "
Meent de minister altijd nog dat hij bevoegdheden kan toekennen buiten Nederlandse jurisdictie, of snapt hij inmiddels dat computers in het buitenland alleen 'legaal' gehacked kunnen worden met toestemming van de autoriteiten in het desbetreffende land ?
Heling is verkoop (financieel gewin) ?
"De minister heeft een nieuw wetsvoorstel gepresenteerd dat naast een hackbevoegdheid voor de politie ook een decryptiebevel introduceert. "
Meent de minister altijd nog dat hij bevoegdheden kan toekennen buiten Nederlandse jurisdictie, of snapt hij inmiddels dat computers in het buitenland alleen 'legaal' gehacked kunnen worden met toestemming van de autoriteiten in het desbetreffende land ?
Na het onderuithalen van het ne bis in idem (je kunt meermaals vervolgd worden voor "zware misdrijven") en de onschuldspresumtie (na vrijspraak worden je vingerafdrukken alleen niet opgeslagen door justitie als je "aantoonbaar" onschuldig bent), moet nu het zwijgrecht eraan geloven en moet je meewerken aan je eigen veroordeling op straffe van 3 jaar opsluiting.
Maar we zijn nog steeds een nette rechtsstaat hoor!
Maar we zijn nog steeds een nette rechtsstaat hoor!
02-05-2013, 10:10 door
[Account Verwijderd]
[Verwijderd]
Opstelten is een engerd. Het wordt weer steeds interessanter om gewoon 'back to old school' te gaan. Zie de data (in dit geval papier) eerst maar eens te vinden.
Het was allemaal geen probleem als de overheid te vertrouwen zou zijn met z'n 'strikte voorwaarden'. Maar diezelfde overheid bewijst keer op keer dat als het op onbetrouwbaarheid aan komt, ze erg vooruitstrevend zijn. En volledig de weg kwijt. Zodra dit er door is, wordt er elke keer een beetje aan die voorwaarden gesleuteld, en binnen een jaar of 5 stellen die niks meer voor - als politie en justitie ze überhaupt al eerbiedigen.
Wat Opstelten niet snapt is dat al die encryptie nodig is, juist omdat alles zo nodig via onbetrouwbare kanalen moet van de overheid. Juist daardoor is het noodzakelijk de boel af te schermen omdat anders echt alles van iedereen op straat ligt.
Het gedoe van 'criminelen in de kaart spelen' slaat zoals gebruikelijk helemaal nergens op - dat is weer de aloude koevoet om meer toegang tot vanalles en nog wat te creëren.
Die crimineel houdt zich toch al niet aan de wet (daarom is het een crimineel!), dus waarom zou die dat wel doen als dit verplicht wordt?
Verder wordt het een aardige escape voor een schuldige verdachte: als de boel encrypted blijft, dan krijgt-ie 3 jaar (en de zaak kan niet bewezen worden, dus daarvoor niks). Als-ie de boel wel openbaart, krijgt-ie vast meer.
Kortzichtige en onhandige gedachtegang van Opstelten. Al weer eens.
Het was allemaal geen probleem als de overheid te vertrouwen zou zijn met z'n 'strikte voorwaarden'. Maar diezelfde overheid bewijst keer op keer dat als het op onbetrouwbaarheid aan komt, ze erg vooruitstrevend zijn. En volledig de weg kwijt. Zodra dit er door is, wordt er elke keer een beetje aan die voorwaarden gesleuteld, en binnen een jaar of 5 stellen die niks meer voor - als politie en justitie ze überhaupt al eerbiedigen.
Wat Opstelten niet snapt is dat al die encryptie nodig is, juist omdat alles zo nodig via onbetrouwbare kanalen moet van de overheid. Juist daardoor is het noodzakelijk de boel af te schermen omdat anders echt alles van iedereen op straat ligt.
Het gedoe van 'criminelen in de kaart spelen' slaat zoals gebruikelijk helemaal nergens op - dat is weer de aloude koevoet om meer toegang tot vanalles en nog wat te creëren.
Die crimineel houdt zich toch al niet aan de wet (daarom is het een crimineel!), dus waarom zou die dat wel doen als dit verplicht wordt?
Verder wordt het een aardige escape voor een schuldige verdachte: als de boel encrypted blijft, dan krijgt-ie 3 jaar (en de zaak kan niet bewezen worden, dus daarvoor niks). Als-ie de boel wel openbaart, krijgt-ie vast meer.
Kortzichtige en onhandige gedachtegang van Opstelten. Al weer eens.
Weer een typische schijnmaatregel van Opstelten. Zoals Hugo al zei: de zware criminelen pak je er niet mee, alleen de domme mensen. Maar goed, waarschijnlijk is dat Opstelten's doel: de statistieken halen in plaats van echte veiligheid.
Door Hugo: Wat een flutmaatregel. Het is een kwestie van tijd voordat de criminelen Truecrypt's plausible deniability optie ontdekken, als ze dat al niet gedaan hebben.
Of je plaatst de Truecrypt sleutel op een USB-stick die je goed verstopt. Vervolgens bewaar je een kapotte USB-stick bij je computer en geef je de schuld van het kapotgaan aan de politie die je veel te hardhandig arresteerde.
Of je plaats alle gevoelige informatie op een versteutelde VPS die je alleen via een open wifi van iemand anders benadert. Uiteraard via een versleutelde verbinding.
En daarbij, de echte criminelen waar Nederland last van heeft zitten in het buitenland en lachen hard om dit soort prutsmaatregelen.
Met andere woorden, leuk bedacht Ivo. Maar misschien moet je je eerst eens gaan verdiepen in de materie voordat je met dit soort waardeloze prutsvoorstellen aankomt zetten.
Of je plaatst de Truecrypt sleutel op een USB-stick die je goed verstopt. Vervolgens bewaar je een kapotte USB-stick bij je computer en geef je de schuld van het kapotgaan aan de politie die je veel te hardhandig arresteerde.
Of je plaats alle gevoelige informatie op een versteutelde VPS die je alleen via een open wifi van iemand anders benadert. Uiteraard via een versleutelde verbinding.
En daarbij, de echte criminelen waar Nederland last van heeft zitten in het buitenland en lachen hard om dit soort prutsmaatregelen.
Met andere woorden, leuk bedacht Ivo. Maar misschien moet je je eerst eens gaan verdiepen in de materie voordat je met dit soort waardeloze prutsvoorstellen aankomt zetten.
Truecrypt's plausible deniability is juist heel gevaarlijk in zo'n situatie: jij krijgt straks het bevel ook de 2de (niet bestaande sleutel) vrij te geven. En net zoals nu niet wordt geloofd dat jij een 1GB file met random data hebt zal er ook niet worden geloofd dat er geen tweede volume in dat file verborgen zit.
Simpel gezegd, politie vind encrypted data -> dus er bestaat een verdenking m.b.t. kinderporno -> dus je moet de key afgeven.
Na decryptie blijkt (uiteraard) dat het geen kinderporno is, maar ander crimineel gedrag. Gevolg schending van je recht om niet mee te hoeven werken aan je veroordeling. Klinkt mij als een schending van de grondwet en van mensenrechten verdragen.
Na decryptie blijkt (uiteraard) dat het geen kinderporno is, maar ander crimineel gedrag. Gevolg schending van je recht om niet mee te hoeven werken aan je veroordeling. Klinkt mij als een schending van de grondwet en van mensenrechten verdragen.
De calculerende crimineel vraagt zich dan af: "Wat heb ik liever? Drie jaar cel indien ik de sleutels niet afgeef of 19 jaar en TBS indien ik de sleutels wel afgeef?"
Bovendien weer iets wat het gevoel van veiligheid in Nederland aantast. Ik voel me namelijk beslist niet veiliger als de overheid steeds meer rechten van haar burgers schendt (en iemand dwingen aan zijn eigen veroordeling mee te werken is wel zo'n beetje het toppunt).
02-05-2013, 11:35 door
Mend0x
Er zijn anders genoeg mensen in Nederland veroordeelt voor bezit en verspreiding van kinderporno. 9 van de 10 keer versleutelen de daders die bestanden. Het is geen waterdichte maatregel, maar wellicht dat je er een paar mee de cel in krijgt.
Overigens vind ik het wel een eng idee dat het vergeten van de sleutel je een ritje cel kan opleveren.
Overigens vind ik het wel een eng idee dat het vergeten van de sleutel je een ritje cel kan opleveren.
02-05-2013, 11:46 door
suizebol
@Mend0x - het K-woord is weer gevallen. Je leest De Speld zeker niet : http://www.speld.nl/2012/10/24/opstelten-%E2%80%98nieuwe-maatregelen-nodig-want-anders-kinderporno%E2%80%99/
02-05-2013, 11:55 door
[Account Verwijderd]
[Verwijderd]
02-05-2013, 12:28 door
Wim ten Brink
Ik kan genoeg manieren bedenken die deze wet alsnog nutteloos maakt als het gaat om echte kwaadwillenden die hun acties verborgen willen houden, terwijl het eerder onschuldige personen dwingt om hun prive-gegevens openbaar te maken terwijl ze geen schuld hebben.
De meest interessante manier die ik kan bedenken is met het gebruik van wat extra hardware. Neem b.v. een Arduino Leonardo en sluit daar een toetsenbordje op aan met alleen cijfers. Deze hardware kan dienen als toetsenbord dus om ergens in te loggen sluit je deze gewoon aan op je computer, typ je een pincode in en de hardware "typt" vervolgens een extralang wachtwoord in. (Eventueel ook nog eens eenmalig, willekeurig aangemaakt.) Zorg daarbij dat je een tweede pincode kunt invoeren die een 'selfdestruct' uitvoert, ofwel die het wachtwoord in de hardware wist, en je hebt een interessant systeem om onder de wet uit te komen. Je weet immers zelf het wachtword niet en de hardware kun je mooi verbergen. (En als het wel wordt gevonden zal men toch eerst moeten beseffen wat het doet, hoe het werkt en kun je altijd nog de selfdestruct code proberen door te geven.)
Maar goed, er zijn vast ook veel eenvoudigere oplossingen te bedenken voor de "Evil Geniuses" in Nederland. :-)
De meest interessante manier die ik kan bedenken is met het gebruik van wat extra hardware. Neem b.v. een Arduino Leonardo en sluit daar een toetsenbordje op aan met alleen cijfers. Deze hardware kan dienen als toetsenbord dus om ergens in te loggen sluit je deze gewoon aan op je computer, typ je een pincode in en de hardware "typt" vervolgens een extralang wachtwoord in. (Eventueel ook nog eens eenmalig, willekeurig aangemaakt.) Zorg daarbij dat je een tweede pincode kunt invoeren die een 'selfdestruct' uitvoert, ofwel die het wachtwoord in de hardware wist, en je hebt een interessant systeem om onder de wet uit te komen. Je weet immers zelf het wachtword niet en de hardware kun je mooi verbergen. (En als het wel wordt gevonden zal men toch eerst moeten beseffen wat het doet, hoe het werkt en kun je altijd nog de selfdestruct code proberen door te geven.)
Maar goed, er zijn vast ook veel eenvoudigere oplossingen te bedenken voor de "Evil Geniuses" in Nederland. :-)
Ach, als je voor het vergrijp misschien 8 jaar kan krijgen als je de encryptiesleutel afgeeft, dan is de keuze makkelijk want 3 jaar is dan eens stuk gunstiger. :-)
02-05-2013, 12:54 door
[Account Verwijderd]
[Verwijderd]
02-05-2013, 12:57 door
[Account Verwijderd]
[Verwijderd]
02-05-2013, 13:00 door
[Account Verwijderd]
[Verwijderd]
02-05-2013, 15:50 door
Jan Slot
Het is lastig ook, echt onderzoek doen. Ik stel voor dat we in de wet opnemen dat mensen die een misdrijf hebben gepleegd zichzelf aangeven en bekennen, en als je dat niet doet en je wordt toch gepakt, dan is de straf daarop 20 jaar.
02-05-2013, 15:54 door
[Account Verwijderd]
[Verwijderd]
02-05-2013, 15:57 door
Jan Slot
Ik ben het helemaal met je eens, een erg goed plan inderdaad. Problemen zijn soms zo simpel op te lossen.
Mooi, moeten ze gelijk in een wet zetten. Goede zaak. Jammer dat ze er niets mee kunnen. Of ze moeten toevallig ook nog even snel het Europese verdrag voor de rechten van de mens aanpassen.
Ergo, leuk voor de bühne maar niet echt inzetbaar. Volgend idee graag.
Ergo, leuk voor de bühne maar niet echt inzetbaar. Volgend idee graag.
02-05-2013, 18:42 door
[Account Verwijderd]
[Verwijderd]
De firma Bluecoat levert leuke kastjes. Die zet je bij isp neer, sterk vereenvoudigd geschetst: de ingang wijst naar mijn computer, de uitgang naar google.
Ik zet mijn keurig versleutelde email verbinding met google op. Bluecoat ziet dat, haalt het certificaat bij google op en zet dat aan mijn kant van het kastje.
Vervolgens ziet hij mijn versleuteling, zet dat aan de kant van google, Het gevolg: in het kastje is mijn data onversleuteld aanwezig, klaar om netjes uitgelezen te worden. Google nog ik merken er iets van. Maar soms zie je dat dat spoofen van een certificaat niet goed gaat.. zie je een vreemd certificaat wat je niet verwacht.
De moraal van dit verhaal: Opstelten heeft al de mogelijkheid je encrypte mail verkeer uit te lezen volgens het man in the middle principe.
Voor pc's geldt: als je op de pc werkt heb je zelf je pc opengezet. Remote toegang van oom agent levert hem unencrypted materiaal op.
Ik zet mijn keurig versleutelde email verbinding met google op. Bluecoat ziet dat, haalt het certificaat bij google op en zet dat aan mijn kant van het kastje.
Vervolgens ziet hij mijn versleuteling, zet dat aan de kant van google, Het gevolg: in het kastje is mijn data onversleuteld aanwezig, klaar om netjes uitgelezen te worden. Google nog ik merken er iets van. Maar soms zie je dat dat spoofen van een certificaat niet goed gaat.. zie je een vreemd certificaat wat je niet verwacht.
De moraal van dit verhaal: Opstelten heeft al de mogelijkheid je encrypte mail verkeer uit te lezen volgens het man in the middle principe.
Voor pc's geldt: als je op de pc werkt heb je zelf je pc opengezet. Remote toegang van oom agent levert hem unencrypted materiaal op.
Dit hebben ze een tijdje geleden ook in UK ingevoerd, daar was toen een leuke groep die bij de verantwoordelijke MP een encrypt bestandje op zijn computer hebben gedropt en zeiden dat daar kinderporno op zou staan, technisch gezien moest hij dit dus kunnen openen wat hij niet kon. Hij is natuurlijk niet vervolgd maar het laat wel een probleem zien.
Verder hoe kan de politie bewijzen dat het een encrypt volume is en niet een heleboel random data? Ik heb een aantal bestanden met white noise uit de ruimte dat ik gebruik als random data, dat kan ik niet decrypten en toch lijkt het verdomd veel op encrypted data...
Verder hoe kan de politie bewijzen dat het een encrypt volume is en niet een heleboel random data? Ik heb een aantal bestanden met white noise uit de ruimte dat ik gebruik als random data, dat kan ik niet decrypten en toch lijkt het verdomd veel op encrypted data...
03-05-2013, 11:40 door
_NPS_
03-05-2013, 11:45 door
Preddie
Je wachtwoord vergeten was nog nooit zo risicovol ....... 3 jaar cel als je wachtwoord vergeten bent ..... zie maar is eens het verschil aan te tonen tussen iemand die zijn wachtwoord vergeten is of deze bewust niet geeft ;)
05-05-2013, 12:25 door
freediver
HIj kan zijn sleutel in zijn achterste schuiven. Die kerel kan alleen onnodige wetjes maken. Vraag me af wat hij hiermee hoopt te bereiken als politicus.Zal wel weer met geld en macht hebben te maken hebben.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
