image

Nederlandse tool omzeilt ontsleutelplicht

vrijdag 30 november 2012, 16:09 door Redactie, 21 reacties

Deze week werd bekend dat minister Opstelten van Veiligheid en Justitie het afstaan van de encryptiesleutel wil gaan verplichten, maar een Nederlandse programmeur heeft een tool gemaakt die de wet moet omzeilen. Het programma heet Secrypt en is volledig open source. "In reactie op de aangekondigde ontsleutelplicht heb ik een tooltje gemaakt die de wet buiten spel zet", zegt de 19-jarige Luc tegenover Security.nl.

Hij programmeerde de tool. "Deze tool verschilt van TrueCrypt's verborgen partitie mogelijkheid in de zin dat TrueCrypt slechts een tweede wachtwoord kent. Met deze tool kan een oneindig aantal wachtwoorden worden gegenereerd, en het is niet mogelijk om te weten welke de juiste is."

TrueCrypt
Op Reddit zijn sommige internetgebruikers kritisch en stellen dat TrueCrypt net zo goed en zelfs beter is. "Het is beter om iets bekends te kiezen dat goed wordt onderhouden en op problemen is onderzocht."

Ook Luc erkent dat. "Ik zou dit niet in plaats van iets bekend gebruiken. Op dit moment is het niet verstandig om iets waardevols hiermee te beschermen." Volgens de onderzoeker is het dan ook vooral als proof-of-concept bedoeld.

Reacties (21)
30-11-2012, 16:21 door SirDice
Ik vind dit toch een beetje linke soep. Niet zozeer omdat het nog niet goed getest is maar omdat het geven van een vals wachtwoord (en navenante valse data) gezien kan worden als obstructie. Dan kun je m.i. beter helemaal je mond houden en je beroepen op je zwijgrecht.
30-11-2012, 16:41 door Security Scene Team
Door SirDice: Ik vind dit toch een beetje linke soep. Niet zozeer omdat het nog niet goed getest is maar omdat het geven van een vals wachtwoord (en navenante valse data) gezien kan worden als obstructie. Dan kun je m.i. beter helemaal je mond houden en je beroepen op je zwijgrecht.

je hebt gelijk, laat dat duidelijk zijn.

maar een jager... ehh.. Ivo opstelten en zijn waakhonden met 'n aantal kluitjes het riet in sturen is toch wel erg verleidelijk. de lat nog hoger leggen voor ome Ivo qua technische mogelijkheden is toch wel heel erg mooi, en het idee er achter is helemaal nog niet eens zo gek te noemen om de wet te omzeilen. dat kan je met een hele hoop dingen een beetje juridische kennis laat je wetten buigen, al is het maar een beetje. en het laat zien dat je dingen in de cyberwereld niet kunt afdwingen met wetten uit de echte wereld.

beroepen op je zwijgrecht is een optie, al denk ik gezien de extreme maatregelen die ivo en fred van plan zijn, zal het ook wel niet lang meer duren dat we uberhaupt nog een zwijgrecht hebben.

en dan nog stel nou dat je 1000 wachtwoorden hebt gemaakt, en de politie komt je ophalen. zij weten echt wel dat jij de juiste wachtwoord wel kent van al die 1000, de vraag die bij mij opkomt echter lost het wel wat op om 1000 of meerdere wachtwoorden te hebben? zoja in welk opzicht? :-/

want het hele ontsleutel plicht is bedoelt om de juiste wachtwoord bovenwater te halen, ook al heb je 1000 wachtwoorden. of is het de bedoeling het ze zo moeilijk mogelijk te maken dat ze wel 1000x naar je celletje toe moeten om te vragen wat het volgende wachtwoord is? hmm... misschien wel als je de inverzekeringstelling helemaal afwacht, want dan moeten ze je weer los laten mits ze geen dingen tegen je kunnen vinden.
dan zijn ze idd nog wel even bezig.

wie kan daar een (zinnig) woordje over vertellen?
30-11-2012, 16:45 door Anoniem
Door SirDice: Ik vind dit toch een beetje linke soep. Niet zozeer omdat het nog niet goed getest is maar omdat het geven van een vals wachtwoord (en navenante valse data) gezien kan worden als obstructie. Dan kun je m.i. beter helemaal je mond houden en je beroepen op je zwijgrecht.


Net als SST ben ik het met je eens.

Echter vind ik het wel een interessant concept en het is mogelijk een leuke vraag voor arnoud. Qua juridische mogelijkheden.
30-11-2012, 17:14 door Anoniem
Door SirDice: Ik vind dit toch een beetje linke soep. Niet zozeer omdat het nog niet goed getest is maar omdat het geven van een vals wachtwoord (en navenante valse data) gezien kan worden als obstructie. Dan kun je m.i. beter helemaal je mond houden en je beroepen op je zwijgrecht.

De truc is nu juist, dat met de ontsleutelplicht dat zwijgrecht voor een deel komt te vervallen. Er ontstaat een verplichting tot medewerking die niet kan worden gefrustreerd door een beroep op het zwijgrecht.
30-11-2012, 17:20 door SirDice
Door Security Scene Team: beroepen op je zwijgrecht is een optie, al denk ik gezien de extreme maatregelen die ivo en fred van plan zijn, zal het ook wel niet lang meer duren dat we uberhaupt nog een zwijgrecht hebben.
Ik dacht eigenlijk dat 't een grondrecht was maar kan 't zo snel niet vinden. Maar sowieso ben je nooit verplicht te antwoorden (dat zeggen ze er altijd netjes bij ook). Dus dat geldt ook voor die nieuwe wet die die koekenbakkers verzinnen.

En dan nog, stel dat er een jaar gevangenisstraf op staat (het niet afgeven van je sleutel) en je weet dat er voor 20 jaar straf encrypt is, waarom zou je dan uberhaubt antwoorden? De enige die wel zullen antwoorden zijn personen die weten dat er niks strafbaars in staat, en dat zijn nu net niet de personen waar deze wet voor bedoeld is (je hoeft je onschuld niet te bewijzen).

Kortom, deze wet schiet totaal z'n doel voorbij en ik voorzie alleen maar misbruik, want je kunt er vergif op innemen dat kinderporno, terrorisme en "zware" criminaliteit heel ver opgerekt wordt.
30-11-2012, 17:41 door Anoniem
Door SirDice:
Door Security Scene Team: beroepen op je zwijgrecht is een optie, al denk ik gezien de extreme maatregelen die ivo en fred van plan zijn, zal het ook wel niet lang meer duren dat we uberhaupt nog een zwijgrecht hebben.
Ik dacht eigenlijk dat 't een grondrecht was maar kan 't zo snel niet vinden. Maar sowieso ben je nooit verplicht te antwoorden (dat zeggen ze er altijd netjes bij ook). Dus dat geldt ook voor die nieuwe wet die die koekenbakkers verzinnen.
.

Ook een grondrecht is niet onbeperkt of onaantastbaar. Het ene recht wordt altijd beperkt door het andere recht. Mijn recht om met mijn armen te zwaaien wordt beperkt door de aanwezigheid van andermans neus.
30-11-2012, 18:06 door Anoniem
Door SirDice:Ik dacht eigenlijk dat 't een grondrecht was maar kan 't zo snel niet vinden. Maar sowieso ben je nooit verplicht te antwoorden (dat zeggen ze er altijd netjes bij ook).
Dit staat in het wetboek van strafvordering:
http://www.wetboek-online.nl/wet/Wetboek%20van%20Strafvordering.html
in artikel 29:
http://www.wetboek-online.nl/wet/Wetboek%20van%20Strafvordering/29.html
Dit kan ook niet in de grondwet staan, want in sommige gevallen ben je namelijk wel verplicht te antwoorden (maar nooit als verdachte van een strafbaar feit waar WvS van toepassing is).

Door SirDice:Ik vind dit toch een beetje linke soep. Niet zozeer omdat het nog niet goed getest is maar omdat het geven van een vals wachtwoord (en navenante valse data) gezien kan worden als obstructie. Dan kun je m.i. beter helemaal je mond houden en je beroepen op je zwijgrecht.
Hoezo? Je wordt gedwongen de ww af te geven ter ontsleuteling van je hdd.
Je 2e ww is idd te ontsleuteling. Je hoeft er natuurlijk niet bij te zeggen dat het om een gedeeltelijke ontsleuteling gaat (als ze daar niet specifiek om vragen).

Wat ik me verder af vraag. Alleen vanwegen KP en terrorisme kan je worden verplicht je ww af te staan.
Dus niet voor andere strafbare zaken.
Wat nou als ze tijdens het doorzoeken van je hdd ook op andere strafbare feiten stuiten? Waarvoor dus geen ontsleutelingsplicht geldt?
Mag dat nog steeds als bewijs voor een andere zaak worden gebruikt?
30-11-2012, 19:23 door S-q.
"...wie kan daar een (zinnig) woordje over vertellen?..."

Nou, of het zinnig is?
Bekijk het eens zo;
Volgens het Wetboek van Strafvordering ben je als "verdachte" niet verplicht aan je eigen veroordeling mee te werken.

Allereerst: je moet dus als "verdachte" kunnen worden aangemerkt.
De voorwaarde? Dat dit blijkt uit "feiten en/of omstandigheden" die een redelijk (?) vermoeden......

Hoe buig je nu de situatie?

Door een wet te maken.

Voorbeeld?
Als je ruikt naar het gebruik van alcohol (feit/omstandigheid->verdachte) wordt je gevorderd (niet verplicht) aan een onderzoek mbt tot de alcohol in je lichaam mee te werken dmv blaastest en event. bloedproef.
Doe je niet mee? Dan is dit een op zich zelf staand strafbaar feit.
Dat wil zeggen: je wordt niet vervolgd voor te veel alcohol in je lichaam, maar voor de "weigering".
Je hebt dus niet mee hoeven te werken aan je eigen veroordeling voor (alcohol gebruik).
(Je hoeft niet mee te werken aan je eigen veroordeling voor "weigering" Toch?)

Simpel he?

Hoe gaat het dus (te raden) worden?

Na vaststellen feiten en omstandigheden;
Je kunt vandaar uit "verdachte"worden/zijn.
Je wordt pas dan "gevorderd" de wachtwoorden/versleuteling te geven.
Je hoeft niet mee te werken (aan je veroordeling) door je wachtwoord te geven.
Je wordt veroordeeld voor het : "weigeren".

De sanctie?
Die hangt af van de waarnemingen van feiten/omstandigheden.
Die zullen min of meer in overeenstemming daarmee een (maximale) strafmaat opleveren.

MaW; Je zult niet in volstrekte willekeur, ->zonder feiten/omstandigheden<- die je rechtens als verdachte kunnen aanmerken, gevorderd worden je wachtwoorden prijs te geven. (dwz in Nederland)

Voordat het tot een veroordeling tot "niet mee werken" komt zal het openbaar ministerie een rechter met een behoorlijk vermoeden om je als verdachte aan te kunnen merken, met een redelijke mate bewijs dus, moeten komen.

Nu is het altijd het punt; Wat is een redelijke mate; Wat is dan aan te merken als bewijs.
Dat weet je niet op voorhand en wordt van geval tot geval beoordeeld.

In een rechtsstaat van behoorlijk niveau zal het uiteindelijk goed kunnen komen.

In een niet rechtsstaat maakt het geen verschil.

Maak je druk als je wilt. Iedereen kan wat van wetsmisbruik te vrezen hebben, maar vooral de criminelen.
30-11-2012, 19:26 door N4ppy
De blog van Arnoud Engelfriet hierover
http://blog.iusmentis.com/2012/11/29/kan-een-ontsleutelplicht-voor-verdachten-worden-ingevoerd/
Die heeft er meer verstand van dan ik ;)
30-11-2012, 21:27 door Anoniem
Een bestand van 1Gb met 500Mb porno in de ene partitie en 500Mb vakantiefotos in de andere. Ik denk dat het nog steeds op valt dat er meer dan genoeg ruimte is voor "verborgen" bestanden.
30-11-2012, 23:27 door JurrevanBergen
Wat goed dat er meerdere mensen bezig zijn met "plausible deniability" cryptografische projecten. Zoals wij allen weten is Julian Assange een van de uitvinders van "plausible deniability" met zijn Rubberhose project. Waarbij er moeilijk te zeggen was wat echte data was of noise en hoeveel partities er nu echt op het systeem zaten. Nu zijn een aantal studenten bezig om dit werk nieuw leven in te blazen onder diverse plausible namen van het project. Je kan meer vinden op het volgende adres: http://cryptohub.nl/rubbernose.html
30-11-2012, 23:50 door Anoniem
Ik zit hier wat te spelen met Truecrypt omdat het onderwerp interessant is. Dus af en toe encrypt ik een lege memorystick (ik heb er verschillende) en zet daar wat onbelangrijke data op. Na een aantal maanden weet ik echt niet meer welke wachtwoord ik heb gebruikt voor welke stick en erger nog de keyfile is ook weg ondertussen.

Voor mij geen probleem, ik ben maar aan het spelen.

Valt de politie binnen, nemen alle informatiedragers in beslag en beginnen die te analyseren en halen er enkele memorysticks uit waar een Truecrypt volume op staat. Geweldig toch. De laatste waar ik mee getest heb daar weet ik het wachtwoord nog wel van, maar van de rest ???

Dus ga ik in het slechtste geval naar de gevangenis omdat ik wat zat te testen.

Erger nog stel ik ben een programmeur met interesse in het onderwerp en ik schrijf mijn eigen encryptie spullen. Ik moet die dan testen, dus ik maak allerlei volumes aan. Zelfs al wis ik die op bestands niveau dan zijn ze nog niet echt weg. Dat maakt niet uit want het waren maar test containers. Maar de politie kan die wel terughalen met alle gevolgen van dien.
01-12-2012, 09:47 door bobsec
Door SirDice:
Door Security Scene Team: beroepen op je zwijgrecht is een optie, al denk ik gezien de extreme maatregelen die ivo en fred van plan zijn, zal het ook wel niet lang meer duren dat we uberhaupt nog een zwijgrecht hebben.
Ik dacht eigenlijk dat 't een grondrecht was maar kan 't zo snel niet vinden. Maar sowieso ben je nooit verplicht te antwoorden (dat zeggen ze er altijd netjes bij ook). Dus dat geldt ook voor die nieuwe wet die die koekenbakkers verzinnen.
Dit zwijgrecht wordt nu juist opgeheven na invoering van deze wet,
in een interview zegt Opstelten:
"door deze wet wordt op het strafrechtelijk principe , nl:' een verdachte hoeft niet mee te werken aan zijn eigen veroordeling, een inbreuk gemaakt' omdat bij dit soort zaken de geestelijke gezondheid van mensen wordt aangetast."

het interview(tje) : http://nos.nl/artikel/445418-pedo-verplicht-bestanden-te-openen.html

Ik vindt het ronduit verbijsterend dat er een oorverdovende stilte is ,zowel bij de media als uit de politiek, een minister is van zins het zwijgrecht te verwijderen uit ons rechts systeem!

Enkele frases uit wikipedia:
http://nl.wikipedia.org/wiki/Cautie_%28strafrecht%29

"De cautie is de mededeling aan een verdachte dat deze het recht heeft om te zwijgen."

"Deze cautie is gebaseerd op het recht van verdachten om te zwijgen en om zichzelf niet te incrimineren. Het doel ervan is te voorkomen dat een verdachte ongewild meewerkt aan zijn eigen veroordeling."

"Het recht van een verdachte om te zwijgen, en ook het recht om zichzelf niet te hoeven incrimineren behoren tot de elementaire kenmerken van een eerlijke procedure, zoals bedoeld in het zesde EVRM-artikel. Deze rechten strekken tot bescherming van verdachten tegen onbehoorlijke dwang van de autoriteiten en kunnen daarom rechterlijke dwalingen voorkomen. Vooral het recht om zichzelf niet te incrimineren vooronderstelt dat de officier van justitie in een strafzaak het bewijsmateriaal verzamelt zonder zijn toevlucht te nemen tot methoden van onbehoorlijke dwang tegen de wil van de verdachte."
02-12-2012, 10:02 door Anoniem
Wellicht moet iemand eens een tool maken (of is het er al) die twee wachtwoorden heeft. Een voor het normaal vrijgeven en de ander die werkt als een soort 'panic button' en military grade wist. Wat is de betekenis hiervan veroordeeltechnisch?
Ik begrijp trouwens best dat het aanpassen van de wet nodig is om sommige ratten te kunnen veroordelen. Toch ben ik het niet eens (behalve waarschijnlijk als ik zelf of mijn naasten door zo'n rat getroffen wordt....oh wrangheid).
03-12-2012, 12:44 door AdVratPatat
Door bobsec: Ik vindt het ronduit verbijsterend dat er een oorverdovende stilte is ,zowel bij de media als uit de politiek, een minister is van zins het zwijgrecht te verwijderen uit ons rechts systeem!
Het is nog geen wet, er is nog geen uitspraak van de Hoge Raad, er is nog niet eens bepaald of het een overtreding of misdrijf wordt, laat staan dat er een strafmaat is bepaald.

Overigens zou het ook geen nieuw artikel worden, maar een verwijzing naar reeds bestaande artikelen, zo is het sinds het begin der tijden al verboden om politie tegen te werken in een onderzoek, meineed te plegen tijdens een rechtszaak, etc.
Vandaar dat het niet willen blazen bij een alcohol-controle over het algemeen zwaarder wordt bestraft dan het drinken van een biertje of twee te veel.

Tot slot zal de politie eerst moeten aantonen dat er een redelijke verdenking is van een (zwaar) misdrijf en aantoonbaar maken dat de verdachte encryptie-sleutel wel moet weten (via meta-data bijvoorbeeld).
Voor het eerst dat ik me heugen kan, heb ik eens een keer geen probleem met datgene wat Ivo O. voorstelt eerlijk gezegd, aangezien hij eigenlijk alleen de huidige wetgeving beter wil toepassen op het digitale tijdperk.

Dat de gemiddelde eindgebruiker hier helemaal niets van gaat merken lijkt me duidelijk.


EDIT, OT:
Leuk zo'n tooltje, maar dat is dus gewoon obstructie en geen maas in de (nog te ontwerpen) wet.
03-12-2012, 13:00 door bobsec
Door AdVratPatat:
Door bobsec: Ik vindt het ronduit verbijsterend dat er een oorverdovende stilte is ,zowel bij de media als uit de politiek, een minister is van zins het zwijgrecht te verwijderen uit ons rechts systeem!
Het is nog geen wet, er is nog geen uitspraak van de Hoge Raad, er is nog niet eens bepaald of het een overtreding of misdrijf wordt, laat staan dat er een strafmaat is bepaald.

Overigens zou het ook geen nieuw artikel worden, maar een verwijzing naar reeds bestaande artikelen, zo is het sinds het begin der tijden al verboden om politie tegen te werken in een onderzoek, meineed te plegen tijdens een rechtszaak, etc.
Vandaar dat het niet willen blazen bij een alcohol-controle over het algemeen zwaarder wordt bestraft dan het drinken van een biertje of twee te veel.

Tot slot zal de politie eerst moeten aantonen dat er een redelijke verdenking is van een (zwaar) misdrijf en aantoonbaar maken dat de verdachte encryptie-sleutel wel moet weten (via meta-data bijvoorbeeld).
Voor het eerst dat ik me heugen kan, heb ik eens een keer geen probleem met datgene wat Ivo O. voorstelt eerlijk gezegd, aangezien hij eigenlijk alleen de huidige wetgeving beter wil toepassen op het digitale tijdperk.

Dat de gemiddelde eindgebruiker hier helemaal niets van gaat merken lijkt me duidelijk.
Fijn dat je me hebt gerustgesteld, ik kan nu rustig gaan slapen...........sarc/off
03-12-2012, 14:21 door Anoniem
Door Anoniem: Een bestand van 1Gb met 500Mb porno in de ene partitie en 500Mb vakantiefotos in de andere. Ik denk dat het nog steeds op valt dat er meer dan genoeg ruimte is voor "verborgen" bestanden.

Nee dat valt niet op.. Het probleem is bij true crypt is dat je op basis van de bestand van 1GB niet kan bepalen wat lege ruimte is en wat data is.
03-12-2012, 15:34 door AdVratPatat
Door bobsec: Fijn dat je me hebt gerustgesteld, ik kan nu rustig gaan slapen...........sarc/off
Lol, nee Ivo is en blijft een grote boef!
04-12-2012, 13:58 door PJW9779
Ik ken Arnoud "Galactus" Engelfriet al héél lang, o.a. uit de DB-NL-tijd.
Eerst technisch, en inmiddels óók juridisch, weet hij duvels goed hoe de zaken in elkaar steken.
Ga maar af op wat hij zegt.

Intussen : "Welke verborgen partitie, wat is dat?"
04-12-2012, 22:25 door Anoniem
Nu is het nog KP en Terrorisme, daarna is het je mp3 verzameling of een pfd-je over het omzeilen van de belasting.

Dus als ik niet meewerk ga ik het gevang in, dan kom ik na een aantal jaren (tientallen?) vrij en laat ze vrijwillig alsnog de versleutelde informatie zien, helaas voor justitie geen strafbare feiten, krijg ik dan een schadevergoeding?

#durftevragen
05-12-2012, 12:02 door Anoniem
Als je nou inception achtige praktijken gaat toepassen? dus een hidde encrypted volume in een hidden encrypted volume in een hidden encrypted volume IN EEN HIDDEN ENCRYPTED VOLUME ?

En dat je in de eerste encrypted volume wat standaard data zet (documenten/fotos etc) en zo anderen voor de gek houd?

Of is dit niet mogelijk?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.