image

Column: D66 - een betrouwbare partner?

dinsdag 23 april 2002, 15:09 door Redactie, 4 reacties

Kent u Michiel Verbeek? Nee? Michiel Verbeek is oud wethouder (beter
'web-houder') van de gemeente Haren en heeft zich beschikbaar gesteld voor D66
bij de kamerverkiezingen. Hij staat op plaats 10. En dit verhaal gaat over
Michiel, maar begint met iemand anders.
Bruce Schneier beschrijft in zijn
laatste Cryptogram
hoe je beveiligingsmaatregelen kunt evalueren. Het is een 5-stappenplan. Stel
vijf vragen bij beveiligingsmaatregelen die worden getroffen. En bepaal daarmee
of de maatregel zin heeft. De vragen:
1) Wat voor probleem wordt hiermee opgelost?

2) Wat is het effect van de maatregel?

3) Ontstaan er nieuwe problemen door de maatregel??

4) Wat zijn de economische en sociale kosten?

5) Levert het dus uiteindelijk iets op of niet?
In zijn nieuwsbrief betoogt Bruce dat een groot aantal maatregelen dat ter
bestrijding van het terrorisme is doorgevoerd, het terrorisme niet bestrijdt
maar alleen de vrijheid van burgers beknot. Zijn uitspraak geldt primair voor de
Amerikaanse maatregelen. Ook Nederland heeft de nodige maatregelen aangekondigd
in navolging van 9-11. Eén van de meest in het oog springende maatregel is de
wens key-escrow in te voeren (meer daarover in
dit artikel
van Maurice Wessling en mezelf). Laten we die maatregel eens aan de hand van de
vragenlijst van Bruce doorlopen.
1) Wat voor probleem wordt hiermee opgelost?
Door een centrale instantie (TTP) backups te laten maken van sleutels die
gebruikt worden voor het encrypten van berichten (vertrouwelijkheidssleutels)
zijn de opsporende instanties in staat om via een verzoek aan de
sleuteluitgevende instantie (TTP) privé sleutels te verkrijgen. Zie artikel
125i, 125j en 125k, wetboek van strafvordering (WvS).
2) Wat is het effect van de maatregel?
De maatregel heeft tot gevolg dat van elke sleutel die door een
gecertificeerde TTP wordt uitgegeven een backup moet worden gemaakt. Artikel
125m van het WvS geeft aan dat een verdachte nooit om de sleutel gevraagd kan
worden.
3) Ontstaan er nieuwe problemen door de maatregel?
Legio. Jammer genoeg laat de economische effectrapportage op zich wachten (of
wordt deze niet openbaar gemaakt), maar problemen zijn te verwachten met 1) de
uitvoerbaarheid van deze maatregel (valt het af te dwingen?) en 2) de
effectiviteit (zal een terrorist die deze column leest er ooit toe besluiten om
een sleutel bij een TTP te bestellen?).
4) Wat zijn de economische en sociale kosten?
In de notitie "Grootschalig afluisteren van moderne telecommunicatiesystemen"
(27591-4) wordt door Klaas de Vries gezegd dat "een veilig gedrag door diegenen
die deelnemen aan de communicatie van belang [is]. Dezen dienen zich bewust te
zijn van het risico op afluisteren." De sociale gevolgen laten zich raden. Als
men niet kan vertrouwen op de betrouwbaarheid van de cryptografische
toepassingen waarmee communicatiestromen kunnen worden beveiligd, dan valt de
basis voor betrouwbare communicatie via het internet weg. Aangezien economische
bedrijfsspionage een steeds belangrijker onderwerp wordt en het internet een
steeds belangrijkere plaats inneemt, is het onvermijdelijk dat hierdoor een rem
wordt geplaatst op de economische groei.
5) Levert het dus uiteindelijk iets op of niet?
NEE! Natuurlijk levert het niets op. Het is heel erg simpel. De wet van
Murphy schrijft het al voor: "als iets mis kan gaan, dan zal het ook mis gaan".
Ik zeg: "als iets misbruikt kan worden, dan zal het misbruikt worden". Het is
een maatregel die niet alleen het vertrouwen van de internet gebruiker
ondermijnt, maar tevens onuitvoerbaar is (hoe zat het ook al weer met
proportionaliteit?)
Terug naar het lijdend voorwerp van deze column. Op het Information Security
Management congres werd afgelopen week een politiek debat gehouden. Dankzij de
val van het kabinet mochten we proeven aan de 'jonkies' van drie politieke
partijen. Michiel Verbeek van D66, Diederik Samsom van de PvdA en Jan Maurits
Faber van ons aller VVD. Een van de stellingen waarop door hen gereageerd werd
was "Het is naïef te denken dat met key escrow terrorisme en criminaliteit
worden bestreden. Key escrow staat haaks op het grondrecht van ieder mens tot
bescherming van de persoonlijke levenssfeer en moet dus door de Tweede Kamer
worden verworpen."
Het antwoord van Michiel? "De overheid moet een mogelijkheid
hebben." Oftewel, is de moeite van het overwegen waard. Mijn
mening? Als de burger ooit een escape nodig heeft gehad dan is het nu wel. Een
mening die ik deel met alle bezoekers van het ISM congres. Een stemming in de
zaal liet zien dat de informatiebeveiligers die het debat bezochten unaniem voor
verwerping van het voorstel waren.
Dus Michiel. Als je je nou openlijk uitspreekt tegen 'key-escrow', dan stem
ik D66. Echt. Vertrouw me maar. En help ik je voor de rest van de troepen uit te
lopen.

Reacties (4)
23-04-2002, 17:01 door Anoniem
Van Artikel over Mevrouw Voute heb ik genoten, van deze helaas iets minder.

Jammer dat het groentjes zijn, probeer eens een uitspraak van Bert Bakker omtrent Key Escrow te krijgen. (immers dat is al een aantal jaren de ICT vertegenwoordiger van D66)
23-04-2002, 17:25 door Anoniem
Originally posted by Unregistered
Van Artikel over Mevrouw Voute heb ik genoten, van deze helaas iets minder.
tsja, ik blijf het moeilijk vinden het oude nest af te vallen :)
Originally posted by Unregistered
Jammer dat het groentjes zijn, probeer eens een uitspraak van Bert Bakker omtrent Key Escrow te krijgen.
die ga ik nu mailen
24-04-2002, 16:29 door Anoniem
Leon,

1) Wat voor probleem wordt hiermee opgelost ?
- met encryptie is het mogelijk om informatie ontoegankelijk voor derden te maken en valt daarom in veel landen onder de wapenwetgeving. Door bepaalde encryptiemethoden alleen onder bepaalde voorwaarden toegankelijk te maken voor bepaalde partijen maak je het strafbaar voor derden om niet-toegestane methoden van encryptie te gebruiken.

2) Wat is het effect van de maatregel ?
- dat het strafbaar wordt voor derden om gebruik te maken van niet geauthoriseerde methoden van encryptie. Let wel: natuurlijk maken 'schurken' hier gebruik van. Dan is dit al direct strafbaar. Je controleert zo wie waar gebruik van kan maken.

de rest lijkt me duidelijk...


charlieMOGUL

(begrijp me overigens niet verkeerd, ik ben tegenstander van dit soort praktijken)
24-04-2002, 18:50 door Anoniem
Originally posted by charlieMOGUL

2) Wat is het effect van de maatregel ?
- dat het strafbaar wordt voor derden om gebruik te maken van niet geauthoriseerde methoden van encryptie. Let wel: natuurlijk maken 'schurken' hier gebruik van. Dan is dit al direct strafbaar. Je controleert zo wie waar gebruik van kan maken.

Define <geauthoriseerde methoden van encryptie>

Wanneer is daar sprake van?
Hoe wil je dat handhaven?
Laatstaan hoe wil je dat controleren.

Als je iets laten we zeggen met een common encyption scheme versleuteld en dit met behulp van stenografie ergens in stopt......

Stel je gebruikt een dialect als schrijftaal?

Ik denk dat kwaadwillenden ten alle tijden de wet weten te omzeilen, ook al was het maar dat packets in Europa vaak door Nederland reizen, maar Nederland weleens niet als eindbestemming hoeft te hebben.
Met wetgeving op cryptografie ondermijn je niet alleen je economische en maatschappelijke belangen -tenminste Europa heeft 'uit het niets' het bestaan van Echelon bevestigd- maar criminaliseer je ook iedereen die gebruik maakt van infrastructuur die in Nederland staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.