"BlackBerry-verbod bedreigt recht op encryptie"
In 1995 eiste de Amerikaanse regering een verbod op sterke encryptie en wilde het een backdoor aan bestaande communicatieproducten toevoegen, een situatie die weer helemaal terug is. De afgelopen tijd zijn er verschillende landen in het Midden-Oosten geweest die de BlackBerry vanwege de gebruikte encryptie willen verbieden, omdat ze daardoor de communicatie niet kunnen afluisteren.
Het is echter onduidelijk wat voor afspraken BlackBerry-fabrikant RIM met regeringen heeft gesloten over dit onderwerp. "We zien slechts een klein gedeelte van de onderhandelingen tussen bedrijven en overheid, het publieke gedeelte, dus wat er precies gevraagd wordt blijft geheim, en zowel de overheid als RIM hebben weinig aanleiding om meer te vertellen", zegt professor Jonathan Zittrain.
BlackBerry
Hij wijst erop dat de communicatie van BlackBerry-gebruikers helemaal niet zo goed beveiligd is als veel mensen denken. Slechts een klein aantal van de berichten is wel goed versleuteld, en dat zijn de e-mails en chatberichten die via de BlackBerry Enterprise Service (BES) voor bedrijven worden verstuurd. Zittrain heeft in de normale BlackBerry Internet Service (BIS) die de meeste consumenten gebruiken veel minder vertrouwen.
"Het subtiele verschil tussen BES en BIS is een waarschuwing dat gebruikers sceptisch moeten zijn over wat voor bescherming ze krijgen", aldus de Electronic Frontier Foundation (EFF). De Amerikaanse burgerrechtenbeweging vindt dat recente verklaringen van RIM het verschil tussen beide producten niet goed duidelijk maken, waardoor een groot aantal klanten wordt misleid. "Wij vinden dat BlackBerry dit meteen moet ophelderen."
Crypto-oorlog
Wat betreft de recente ophef over de versleuteling van berichten doet dit de EFF aan de "crypto-oorlog" van de jaren 1990 denken. Toen probeerde de Amerikaanse overheid sterke encryptie uit de handen van het publiek te houden. Burgerrechtenbewegingen, waaronder de EFF, streden toen om Amerikaanse burgers hun communicatie te laten beschermen.
Uiteindelijk liet de Amerikaanse regering het plan voor de Clipper Chip vallen, volgens de EFF een 'backdoor' in de communicatie van Amerikanen. Daardoor verviel ook de regelgeving die het gebruik van sterke cryptografie tegenhield. Tegenwoordig is het gebruik van encryptie normaal. "Maar de houding van de Verenigde Arabisch Emiraten lijkt op een herhaling van 1995, waarbij regeringsfunctionarissen vinden dat sommige privacytools te veilig zijn om het publiek te laten gebruiken."
VPN
De aankondigingen van de Verenigde Arabische Emiraten en Saoedi-Arabië vindt de EFF dan ook eng, omdat dezelfde houding ervoor zorgt dat de overheid straks ook andere vormen van communicatie gaat verbieden, zoals webmail en virtual private networks (VPN), die waarschijnlijk ook als te veilig en privaat worden beschouwd. "Ze laten ook zien dat het recht op encryptie om de privacy te beschermen wereldwijd verdedigd moet worden. Het is goed mogelijk dat de crypto-oorlog nooit is afgelopen."
Er wordt door de Arabische Emiraten niet gevraagd om een zwakkere vorm van encryptie te gebruiken, maar om de keys af te staan waardoor men in het geval van lawful interception berichten kan decoderen. Lijkt mij toch een essentieel verschil, omdat je bij zwakkere encryptie ook slechter beveiligd bent tegen onderschepping van je berichten door derden wanneer er -geen- sprake is van lawful interception.
"Ze laten ook zien dat het recht op encryptie om de privacy te beschermen wereldwijd verdedigd moet worden."
Tegen welke dreiging ? Lawful interception, of tegen het wederrechtelijk toegang krijgen tot je communicatie door criminelen en concurrenten ?
Dat je niet wil dat de gegevens van je eigen overheidsfunctionarisen daar worden opgeslagen, begrijp ik. Maar om dat ook te willen voor al je onderdanen, getuigt van weinig oog voor hun wensen om de gegevens uit de handen van de overheid te houden.
Peter
"Ze laten ook zien dat het recht op encryptie om de privacy te beschermen wereldwijd verdedigd moet worden."
Tegen welke dreiging ? Lawful interception, of tegen het wederrechtelijk toegang krijgen tot je communicatie door criminelen en concurrenten ?
tegen het wederrechtelijk toegang krijgen tot je communicatie door criminelen, concurrenten en overheden.
Wie pleit er dan voor een verbod op encryptie ? Is er geen wereld van verschil tussen encryptie verbieden, en het afstaan van encryptie keys aan de overheid ? Immers ben je bij een encryptieverbod ook niet beveiligd tegen andere partijen die zonder bevoegdheden op het gebied van lawful interception toegang tot je dataverkeer proberen te krijgen.
Het hele fundament van encryptie is er op gebouwd dat er geen backdoors zijn. Want als er backdoors zijn (voor ieder land cq. overheidsinstelling binnen dat land een andere) worden die ook gevonden als je er expliciet naar op zoek gaat. En dan duurt het niet lang of minstens 1 backdoor wordt wijd bekend.
En dan heb ik het nog niet eens over corrupte overheden waarbij ambtenaren die backdoors gewoon verhandelen.
Peter
Want dan heb je je eigen encryptie key inhanden imho.
"Ze laten ook zien dat het recht op encryptie om de privacy te beschermen wereldwijd verdedigd moet worden."
Tegen welke dreiging ? Lawful interception, of tegen het wederrechtelijk toegang krijgen tot je communicatie door criminelen en concurrenten ?
tegen het wederrechtelijk toegang krijgen tot je communicatie door criminelen, concurrenten en overheden.
Kortom, gewoon iedereen. Vandaag is je buurman je vriend, maar morgen mogelijk een verrader. Communicatie moet gewoon privaat blijven zonder uitzondering. Terroristen of criminelen stop je echt niet door backdoors en zo. Ze weten bijvoorbaat dat technische middelen sporen achterlaten en dus gebruiken ze deze middelen niet bij hun criminelen activiteiten. En als ze ze toch gebruiken is het meestal als afleidingsmanoeuvre of spreken ze in codes en heb je nog niks.
Het draait gewoon om de controle hebben en houden over de massa, want die is namelijk niet te stoppen als blijkt dat we al jaren en jaren systematisch voor de gek zijn gehouden door onze overheden. De financiële crisis is slechts het begin.
De discussie gaat over het afstaan van de encryptie key t.b.v. lawful interception, niet over een verbod op strong encryption. Er is dus geen sprake van enig verschil m.b.t. toegang krijgen door criminelen en concurrenten wanneer overheden toegang krijgen tot de decryption keys. Het verschil is op gebied van lawful interception. Die andere belangen snap ik ook wel, maar daar gaat het verhaal dus eigenlijk helemaal niet over.
Wat ik nu in de reacties merk, is dat sommigen nog in de onschuld van hun eigen overheden geloven (blijkbaar ook op de lange duur, want als het bericht eenmaal vastligt, wordt het natuurlijk nooit meer geschoond). Maar vertrouw je dan ook op al die andere overheden? Mij lijkt het onwaarschijnlijk dat die allemaal te vertrouwen zijn.
De discussie gaat over het afstaan van de encryptie key t.b.v. lawful interception, niet over een verbod op strong encryption. Er is dus geen sprake van enig verschil m.b.t. toegang krijgen door criminelen en concurrenten wanneer overheden toegang krijgen tot de decryption keys. Het verschil is op gebied van lawful interception. Die andere belangen snap ik ook wel, maar daar gaat het verhaal dus eigenlijk helemaal niet over.
Vroeger moest je als VPN leverancier in Frankrijk een extra sleutel voor de Franse overheid toevoegen.
Interception zou alleen lawful mogen zijn wanneer er verdenkingen bestaan, niet domweg altijd.
De discussie gaat over het afstaan van de encryptie key t.b.v. lawful interception, niet over een verbod op strong encryption. Er is dus geen sprake van enig verschil m.b.t. toegang krijgen door criminelen en concurrenten wanneer overheden toegang krijgen tot de decryption keys. Het verschil is op gebied van lawful interception. Die andere belangen snap ik ook wel, maar daar gaat het verhaal dus eigenlijk helemaal niet over.
In de landen waar het hier om gaat (in verreweg de meeste landen trouwens, westerse niet uitgezonderd) is de overheid de grootste bedreiging voor de veiligheid van de burgers. En ook overheden zijn niet vies van industriele spionage ten bate van de eigen industrie, Airbus kan er over meepraten: die liepen daardoor in SA een grote order mis dankzij Amerikaanse inlichtingendiensten.
Het is een "probleem" wat zich wereldwijd afspeelt, namelijk de afkeer van religie, opkomst van het individualisme en het ontbreken van een gezamenlijke vijand naar het open gaan van het Oostblok. De bevolking is / was niet meer als een "makke" groep te besturen waarna er een nieuwe vijand gezocht moest worden. Helaas door o.a. door Internet laten mensen zich minder snel dingen wijs maken doordat zij beter geïnformeerd zijn... zie hier een probleem...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
