image

'Verplicht ontsleutelen ontoelaatbare inbreuk'

vrijdag 5 oktober 2012, 11:12 door Redactie, 26 reacties

Minister Opstelten van Veiligheid en Justitie stelde gisteren dat hij verdachten wil gaan verplichten om hun encryptiesleutel af te staan als ze hun computer hebben versleuteld, een onderwerp dat ook al in 1999 speelde. Toen achtte de toenmalige Minister van Justitie het verplichten van de verdachte om zijn gegevens te ontsleutelen ‘een stap te ver gaan’; de verklaringsvrijheid en zwijgrecht van de verdachte waren namelijk in het geding.

Ontoelaatbaar
In 2000 deed Bert-Jaap Koops een uitgebreid onderzoek naar de relatie tussen het nemo tenetur-beginsel en de ontsleutelplicht. Volgens Jan-Jaap Oerlemans, gastmedewerker en buitenpromovendus aan de Universiteit van Leiden, geeft Koops overtuigende argumenten waarom het ontsleutelbevel een ontoelaatbare inbreuk op het nemo tenetur-beginsel geeft.

"De aard en omvang van het probleem zouden zeer ernstig moeten zijn, willen zij opwegen tegen de inbreuk op de kern van nemo tenetur en systeem van de wet, en er zijn geen afdoende gegevens dat het cryptoprobleem voor de opsporing ook maar in de buurt komt van een dermate ernstige opsporingsprobleem", aldus Koops.

Die stelt verder. "En zelfs als zouden er aanwijzingen zijn dat cryptografie in ernstige mate veel belangrijke opsporingsonderzoeken definitief zou belemmeren, dan nog zou een ontsleutelplicht mank gaan aan gebrekkige effectiviteit vanwege de handhavingproblemen."

Keylogger
Volgens Koops zou het OM moeten bewijzen dat de verdachte opzettelijk kennis achterhoudt over de sleutel. 'Het verweer: “Sorry, ik ben het vergeten”, is dan al zeer moeilijk te weerleggen', merkt Oerlemans op. Die noemt een ontsleutelplicht een 'drastische maatregel is, waarbij bovendien veel mensen zich in hun privacy voelen geschaad.'

Zelf ziet Oerlemans meer in een alternatieve oplossing zoals het plaatsen van een hardwarematige of softwarematige ‘bug’, zoals een keylogger, 'onder de bevoegdheid van direct afluisteren teneinde toetsaanslagen en daarmee ook wachtwoorden af te vangen.'

Reacties (26)
05-10-2012, 11:48 door Anoniem
Oh, dus een keylogger, waarmee dus communicatie tussen jou en jouw computer wordt afgeluisterd, is wel toelaatbaar? Zeg maar van hetzelfde laken een pak als de Bundestrojaner?

Een telefoon tappen onderschept communicatie tussen jou en een externe partij. Wat per computer ook kan, daartoe moeten ISPs infrastructuur in hun netwerk hebben gebouwd. Een betere vergelijking is het plaatsten van afluisterapparatuur in je huis. Is dat ook maar enigszins redelijk? Waarom dan wel zodra je computer in beeld komt?

Duidelijk zichtbaar is wel dat de ene justitieminister wel, en de andere gewoon niet voor de mensen hun privacy opkomt. Scheelt maar een paar jaartjes, maar oh wat een verschil. Kennelijk geloven ze daar nu dat veiligheid en privacy lijnrecht tegenover elkaar staan en dat als je het ene wil je noodzakelijkerwijs het andere moet afbreken. En dat doen ze dan dus ook maar. Want ze zijn niet het ministerie van privacy. Duidelijk, burger?
05-10-2012, 12:14 door Wim ten Brink
Lastig probleem: hoe krijg je de keylogger op het systeem van de verdachte en krijg je de verdachte vervolgens gek genoeg om daadwerkelijk nog eens in te loggen.

Een ander probleem is dat dit natuurlijk andere beveiligings-maatregelen zou kunnen opleveren. Een self-destruct code heeft weinig zin omdat men toch wel backups zal maken van de versleutelde data maar ik zou kunnen denken aan een challenge-response beveiliging waarbij de verdachte met een bepaalde app een code moet berekenen, waarbij hij voor die app ook een wachtwoord moet invoeren. Doordat deze code iedere keer opnieuw veranderd kan de verdachte zonder deze app bij zijn data. En indien deze app is gekoppeld aan een web-applicatie kan een self-destruct code daar weer wel op werken!

Het zal dan wel een vrij complexe beveiliging worden omdat je eerst in de app een wachtwoord moet invoeren, vervolgens de challenge moet intypen en de response weer over moet nemen in je decryptie-programma, gevolgd door een tweede wachtwoord in het decryptie-programma. Blokkeert de app dan kun je de toegang wel vergeten...

Maar goed, wie zal binnenkort zoiets gaan bouwen? :-)
05-10-2012, 12:32 door Anoniem
Gewoon beroepen op je zwijgrecht!
Precies wat je zegt niet iedere computer is fysiek of via internet toegankelijk.
En dan nog zal ook pc's die wel verbonden zijn niet altijd vatbaar zijn voor een keylogger,
want er moet natuurlijk weer iets voor geïnstalleerd worden spyware of dergelijke.

Heb je weer een probleem.

Buiten het probleem dat ik zulke maatregelen de privacy zwaar vind aantasten.
Ben ik benieuwd naar de eerste veroordeling op grond van (U bent uw paswoord vergeten en we konden uw encryptie sleutel niet bruteforcen, dus u krijgt een paar jaar gevangenisstraf!)
05-10-2012, 12:38 door Security Scene Team
Door Redactie: Minister Opstelten van Veiligheid en Justitie stelde gisteren dat hij verdachten wil gaan verplichten om hun encryptiesleutel af te staan als ze hun computer hebben versleuteld, een onderwerp dat ook al in 1999 speelde. Toen achtte de toenmalige Minister van Justitie het verplichten van de verdachte om zijn gegevens te ontsleutelen ‘een stap te ver gaan’; de verklaringsvrijheid en zwijgrecht van de verdachte waren namelijk in het geding.

Ontoelaatbaar
In 2000 deed Bert-Jaap Koops een uitgebreid onderzoek naar de relatie tussen het nemo tenetur-beginsel en de ontsleutelplicht. Volgens Jan-Jaap Oerlemans, gastmedewerker en buitenpromovendus aan de Universiteit van Leiden, geeft Koops overtuigende argumenten waarom het ontsleutelbevel een ontoelaatbare inbreuk op het nemo tenetur-beginsel geeft.

"De aard en omvang van het probleem zouden zeer ernstig moeten zijn, willen zij opwegen tegen de inbreuk op de kern van nemo tenetur en systeem van de wet, en er zijn geen afdoende gegevens dat het cryptoprobleem voor de opsporing ook maar in de buurt komt van een dermate ernstige opsporingsprobleem", aldus Koops.

Die stelt verder. "En zelfs als zouden er aanwijzingen zijn dat cryptografie in ernstige mate veel belangrijke opsporingsonderzoeken definitief zou belemmeren, dan nog zou een ontsleutelplicht mank gaan aan gebrekkige effectiviteit vanwege de handhavingproblemen."

Keylogger
Volgens Koops zou het OM moeten bewijzen dat de verdachte opzettelijk kennis achterhoudt over de sleutel. 'Het verweer: “Sorry, ik ben het vergeten”, is dan al zeer moeilijk te weerleggen', merkt Oerlemans op. Die noemt een ontsleutelplicht een 'drastische maatregel is, waarbij bovendien veel mensen zich in hun privacy voelen geschaad.'

Zelf ziet Oerlemans meer in een alternatieve oplossing zoals het plaatsen van een hardwarematige of softwarematige ‘bug’, zoals een keylogger, 'onder de bevoegdheid van direct afluisteren teneinde toetsaanslagen en daarmee ook wachtwoorden af te vangen.'

ben het wel eens met die oelemans, maar dat van die keylogger is bullshit. ik denk zelfs dat bijna iedereen hier zijn/haar computer eens in de 2 a 4 weken schoonmaakt. ik denk dat een zeer oplettende computer nerd dit echt wel ziet. (de hardware matige) en tja, software matige keylogger plaatsen, ik wens ze succes de meeste gebruikers hebben hun systeem wel goed dicht te lijmd en tegenwoordig zijn er ook een hoop keyscrambler gebruikers. zo zouden we nog best x aantal uurtjes kunnen door gaan met beveiligingen die gebruikers all-over-the-world gebruiken.
05-10-2012, 12:39 door Anoniem
Gewoon beroepen op je zwijgrecht!
Precies wat je zegt niet iedere computer is fysiek of via internet toegankelijk.
En dan nog zal ook pc's die wel verbonden zijn niet altijd vatbaar zijn voor een keylogger,
want er moet natuurlijk weer iets voor geïnstalleerd worden spyware of dergelijke.

Heb je weer een probleem.

Buiten het probleem dat ik zulke maatregelen de privacy zwaar vind aantasten.
Ben ik benieuwd naar de eerste veroordeling op grond van (U bent uw paswoord vergeten en we konden uw encryptie sleutel niet bruteforcen, dus u krijgt een paar jaar gevangenisstraf!)
05-10-2012, 13:53 door Anoniem
"Oh, dus een keylogger, waarmee dus communicatie tussen jou en jouw computer wordt afgeluisterd, is wel toelaatbaar? Zeg maar van hetzelfde laken een pak als de Bundestrojaner?"

Is het afluisteren van de telefoon van een beroepscrimineel toelaatbaar ? Zoja, waarom zou je dan niet de communicatie op de computer van een beroepscrimineel mogen aftappen ? Bijzondere opsporingsbevoegdheden mogen overigens niet zomaar worden gebruikt, dus de kans dat jouw computer ooit op deze wijze zal worden afgeluisterd lijkt mij vrijwel uitgesloten (tenzij je natuurlijk een zware crimineel bent).

"ben het wel eens met die oelemans, maar dat van die keylogger is bullshit. ik denk zelfs dat bijna iedereen hier zijn/haar computer eens in de 2 a 4 weken schoonmaakt. ik denk dat een zeer oplettende computer nerd dit echt wel ziet. "

Ik denk dat die kans vrij gering is. Immers worden dergelijke keyloggers gemaakt om niet gedetecteerd te worden m.b.v. rootkit technieken. Verder wordt dit soort custom malware niet bepaald gedetecteerd door virusscanners. Verder vraag ik mij af wat je verstaat onder schoonmaken, je zal zo'n keylogger niet in je lijst van geinstalleerde programma's terug vinden om maar wat te noemen ;)

"Een betere vergelijking is het plaatsten van afluisterapparatuur in je huis. Is dat ook maar enigszins redelijk? Waarom dan wel zodra je computer in beeld komt?"

Dat komt voor, en of dat redelijk is wordt per geval bepaald door de rechter commissaris, die daarvoor toestemming moet geven. Gezien het gebruik van encryptie is het niet verbazingwekkend dat je niet alles kan aftappen vanuit het provider netwerk.
05-10-2012, 14:42 door Anoniem
http://www.truecrypt.org/docs/?s=plausible-deniability
I rest my case.
05-10-2012, 14:44 door [Account Verwijderd]
[Verwijderd]
05-10-2012, 15:20 door Anoniem
Is het afluisteren van de telefoon van een beroepscrimineel toelaatbaar ?

Net zo toelaatbaar of ontoelaatbaar als het afluisteren van een ieder ander, want de wet is voor iedereen gelijk. Uitzonderingen daargelaten want zo rollen ivo&fred dan ook wel weer. Vervang "beroepscrimineel" met "lieve oma die geen vlieg kwaad doet" en ze heeft op papier precies dezelfde rechten. In de praktijk minder.

Afluisteren van mijn telefoongesprek met jou valt daaronder. Er bestaat een vergelijkbare wet die afluisteren van dataverkeer over "openbare datanetwerken" toelaat.

Of dit wenselijk is laat ik even in het midden, die wetten bestaan al een tijdje. Als iemand een overtuigend argument voor of tegen wenst neer te zetten, graag.

Zoja, waarom zou je dan niet de communicatie op de computer van een beroepscrimineel mogen aftappen ?

Dat zeg ik net, omdat de communicatie tussen mij en mijn computer het niet vergelijkbaar is met telefoontappen, maar met, zeg, afluisteren in de slaapkamer. Die communicatie verlaat de kamer niet, is niet automatisch bedoeld om op facebook terecht te komen of anderszins met de rest van de wereld gedeeld te worden. Dat ben ik die op mijn computertje bezig is, niet die op "het internet" bezig is. Dat laatste is af te luisteren via een ISP-tap, dat eerste niet.

Daar moet dus eerst afluisterapparatuur of -software in je huis danwel op het apparaat zelf geplaatst worden, dat in jouw bezit is. En dus niet het bezit van de afluisteraar of je ISP of van je telefoonaanbieder die al dan niet ex-staatsmonopolist is. Het is jouw bezit waar aan gerommeld wordt.

Daarom, en omdat het een ernstige inbreuk op je directe leefomgeving is, vind ik dat toch wel een zoveel zwaarder middel dat ik zoiets heb van, opzouten. Het is ook pas vrij recent dat je huis afluisteren mag, en wellicht dat we ons eens moeten afvragen of we wel moeten doorgaan met dit eindeloze bevoegdheden oprekken waar ivo&fred keer op keer zo soepeltjes en nonchalant op aansturen.

Je "nou toe het mag alleen dan en mits en maar"-suspoging laat ik maar even voor wat het is, want we weten allemaal dat justitie en politie enorm tapgeil zijn en graag datasleepnetjes uitgooien of ze er nu wat aan hebben of niet.
05-10-2012, 16:01 door sjonniev
In Nederland ben je verplicht om je sleutel(s) op verzoek van de Directeur van de AIVD op te hoesten. Gezien de aard van hun werkzaamheden ben ik daar helemaal voor. Laten we het daarbij houden. We hebben al genoeg function creep en overschrijden van bevoegdheden meegemaakt.
05-10-2012, 16:04 door Anoniem
"Overigens wordt altijd door de advocatuur aangeraden om na de cauti (uistpreken als koutsie) = zwijgrecht, om altijd van dat zwijgrecht gebruik te maken, en volledig te zwijgen aan de bevoegde opsporingsambtenaren in het politiebureau. Dit is een Internationaal recht, zo ook het recht op een advocaat en een eerlijk proces. "

Zo internationaal dat je in diverse landen jarenlang kan worden vastgezet wanneer je weigert je wachtwoord af te geven. De situatie die jij omschrijft is zoals het zou moeten zijn.

"Onsleutelplicht is daarmee gewoon in strijd. En ik denk dat zowel de Nederlandse rechter, als het Europese Hof de critici gelijk gaat geven."

Dat zou je hopen, maar ik zou daar niet zo zeker van zijn. Indien de wetgevende macht invoert dat men voortaan verdachten kan dwingen om de decryption key af te staan, dan zal een rechter deze wet handhaven. De vraag of regels verandert worden is niet aan de rechter, maar aan de politiek.

Voor wat betreft het Europese Hof; deze heeft al talloze keren zaken toegestaan die strijdig lijken met de mensenrechten, dus van die kant verwacht ik ook niet al te veel.
05-10-2012, 16:49 door Anoniem
Ivo leeft volgens mij nog in de Middeleeuwen en wil even snel 800 jaar vooruitgang terugdraaien; als je in de Middeleeuwen namelijk verdacht werd van hekserij, bonden ze een grote steen/bolder aan je been en gooidde ze je in een meertje. Bleef je drijven, dan was je een heks en ging je op brandstapel; verzoop je, dan was je onschuldig. Prima oplossing toch, nooit klachten hoor...

En wat als Ivo's computer gehackt wordt en iemand een TrueCrypt container op z'n PC plaatst en 'm aanklaagt voor kinderporno; hoe hard zou Ivo dan huilen dat ie onschuldig is ?
05-10-2012, 16:55 door Anoniem
Ik denk dat ik DE oplossing weet voor dit probleem...

Minister Opstelten wil dat mensen al hun privégegevens overdragen zodat justitie kan onderzoeken of ze schuldig zijn en vervolgens de criminelen die met de ontfrutselde data ervandoor gaan (ze hoeven het, de overheid kennende, dan alleen maar van de straat op te rapen).

Men kan ervan uitgaan dat indien mensen gegevens versleutelen ze gevoelig moeten zijn. En eenmaal in de handen van de rommelige overheid kan je, als onschuldige, wel donder op zeggen dat alles op straat ligt.

Als het nu wettelijk wordt vastgesteld dat wanneer bij een bevel tot ontsleutelen de verdachte onschuldig blijkt, die persoon een (vooraf wettelijk vastgestelde) schadevergoeding van b.v. € 1000,- per bestand dient te ontvangen en een "credit" voor justitie wordt bijgeschreven (onafhankelijke waakhond). Bij 50000 of 100000 credit's is wettelijk vastgesteld dat er dus teveel onschuldigen het slachtoffer worden van deze privacy schendende maatregel en de wet komt dan te vervallen.

Als de minister inderdaad zoveel vertrouwen heeft in de kwaliteit van de opsporingsinstanties, dan worden de credits nooit gehaald en is versleuteling door criminelen geen obstakel meer. Gaat het toch mis, dan is er een compensatie voor het slachtoffer.
05-10-2012, 18:44 door Anoniem
afluisteren van criminelen mag alleen met een bevel van de rechter. Dat geen enkele overheid wereldwij zich daaraan houdt is een ander verhaal.

En waar is de "accountability" voor dit soort overtredingen? Die er al jaren niet meer, sterker nog we stemmen vrolijk verder op dezelfde mensen en daarna zeuren we dat het zo slecht gaat.

Politici moeten zich maar eens gaan verantwoorden in dit land, wat stelselmatig NIET gebeurt.
05-10-2012, 23:33 door Anoniem
Iedereen die ook maar iets weet van spyfree computeren weet dat deze wet totaal nutteloos is. Als je weet hoe bepaalde groeperingen te werk gaan met het ontraceerbaar maken van communicatie en ook met het werken via AANGEPASTE VNC en RDP op remote systemen met volledige versleuteling op ontraceerbare of bullet proof hosting locaties.

Dan staat er geen enkele bit op een PC op lokatie van de gebruiker. NIET 1!

Dus deze hele wet is nutteloos om de zware boys aan te pakken want er is geen enkele zware jongen die zo stom is om tegenwoordig nog versleutelde PC's of laptops te hebben...

Wederom het bewijs dat de overheid weer eens flink achter loopt bij de werkelijkheid...

Stop domweg met het inhuren van al die duurbetaalde nono's die de ongeïnformeerde media napraten.

My two cents...
06-10-2012, 11:04 door Anoniem
Door sjonniev: In Nederland ben je verplicht om je sleutel(s) op verzoek van de Directeur van de AIVD op te hoesten. Gezien de aard van hun werkzaamheden ben ik daar helemaal voor.
Kan je dit even nader verklaren, de AIVD staat namelijk niet boven de wet en heeft daarmee ook geen wettelijke bevoegdheid om je te verplichten je sleutel(s) te geven of in te zetten. Ze mogen het wel vriendelijk en dringend vragen, of iemand daar op in gaat is de eigen verantwoordelijkheid.
06-10-2012, 11:36 door [Account Verwijderd]
[Verwijderd]
06-10-2012, 11:59 door Anoniem
Key loggers werken niet als je gebruik maakt van een file mbv truecrypt.
06-10-2012, 17:59 door [Account Verwijderd]
[Verwijderd]
06-10-2012, 20:41 door Anoniem
Leuke discussie, maar wie van jullie heeft zijn verbinding over een VPN lopen?
Kijk je kunt je HD wel encrypten, maar al je internet gedrag wordt dagelijks naar het CIOT geupload, dus men weet al
een heleboel over je hebben en houden. Maar enkelen hier gebruiken echt ALTIJD een VPN of Tor dus waar praten
we dan nog over. Zorg gewoon voor een VPN, en zorg ervoor dat je zo weinig mogelijk op je PC bewaard.

Gelijk een probleem uit de wereld geholpen. Upload gewoon de meeste dingen ergens op het WWW voorzien van
encryptie en wie doet je nog wat.

Of gebruik een Boot CD.

Trouwens 90% van alle Nederlanders stemt toch voor dus Opstelten krijgt zijn zin toch wel, hoe hard we ook schreeuwen.
Ik ben ook geen fan van die man maar het is wel de realiteit.

Kijk maar op wie 90% van de Nederlanders heeft gestemd vorige maand, dat is dus meer Politie en meer veiligheid, dus
gelijk minder privacy.
07-10-2012, 00:38 door Anoniem
Door sjonniev: In Nederland ben je verplicht om je sleutel(s) op verzoek van de Directeur van de AIVD op te hoesten. Gezien de aard van hun werkzaamheden ben ik daar helemaal voor. Laten we het daarbij houden. We hebben al genoeg function creep en overschrijden van bevoegdheden meegemaakt.

Bron? Ik kan me niet voorstellen dat dit ergens is vastgesteld.
07-10-2012, 15:55 door Security Scene Team
Door Anoniem: http://www.truecrypt.org/docs/?s=plausible-deniability
I rest my case.

good point.
07-10-2012, 17:25 door johanw
Door sjonniev: In Nederland ben je verplicht om je sleutel(s) op verzoek van de Directeur van de AIVD op te hoesten.

Waar staat dat dan? Misschin dat bedrijven dat moeten maar zeker niet als je je eigen data
07-10-2012, 22:13 door Anoniem
Truecypt encyptie met bestand encyptie...
Ja sorry bestand is weg...
Einde verhaal...simpel.
08-10-2012, 11:17 door sjonniev
Door johanw:
Door sjonniev: In Nederland ben je verplicht om je sleutel(s) op verzoek van de Directeur van de AIVD op te hoesten.

Waar staat dat dan? Misschin dat bedrijven dat moeten maar zeker niet als je je eigen data

Dat staat gewoon in de Nederlandse wet. En zeker ook je eigen data. En ik vergis me, niet alleen de AIVD mag dit, maar ook ook de MIVD.

http://wetten.overheid.nl/BWBR0013409/geldigheidsdatum_08-10-2012#Hoofdstuk3_Paragraaf32_Paragraaf322_Artikel24

Zie ook eerdere discussie http://www.security.nl/artikel/28218/1/Juridische_vraag%3A_Moet_je_de_politie_je_encryptiesleutel_geven%3F.html
26-10-2012, 20:35 door Anoniem
Gewoon doen
Kheb nog een lastige overbuurman , verzin gewoon dat hij kinderporno heeft en dat hij dat encrypted heeft, politie valt zijn huis binnen, martelt hem, hij ontkent (klopt want hij heeft ook echt niks) en hij blijft mooi vastzitten !
Zijn gezin op straat en ik koop zijn stukje grond en huis voor weinig over ! Jippie!!!
Topplan Opstelten, laten we zeggen volgende maand invoeren ?

Groetjes
Hypothese
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.