Kabinet: cryptografie reguleren
Het kabinet wil krachtige cryptografie voor publiek gebruik gaan
reguleren. Dit staat in het actieplan Terrorismebestrijding en
veiligheid, dat het kabinet afgelopen week presenteerde.
Het kabinet besteedt in het actieplan ruime aandacht aan nieuwe
technologieën en de interceptie van telecommunicatie. `De
verschijningsvorm van het nieuwe terrorisme kenmerkt zich onder meer
door ongekend gewelddadige potentie, gericht op het maken van veel
slachtoffers, door martelaarschap en door gebruik van moderne
technologie,' aldus het kabinet.
Eén van de maatregelen die het kabinet wil nemen is het aan banden
leggen van sterke cryptografie voor publiek gebruik. Hoe het kabinet dit
denkt te gaan doen is nog onduidelijk. In het begin van de jaren
negentig wilde de regering cryptografie ook reguleren, bijvoorbeeld via
een vergunningenstelsel. Na forse kritiek van juristen en
privacydeskundigen verdwenen deze plannen echter in de ijskast.
Sindsdien is het gebruik van cryptografie in Nederland niet aan regels
gebonden.
Ook wil het kabinet de besluitvorming versnellen over de rechtmatige
toegang van inlichtingendiensten en de politie tot cryptografische
voorzieningen bij Trusted Third Parties. Begin dit jaar werd al bekend
dat de overheid de mogelijkheid wilde hebben om toegang te krijgen tot
de versleutelde berichten van TTP's. Daarvoor is het nodig dat TTP's in
staat zijn zelfstandig het versleutelde berichtenverkeer van hun
cliënten te ontsleutelen, zonder hulp of medeweten van hun cliënten.
Niet alle TTP's zijn daartoe in staat. Het is afhankelijk van de
technische vorm die voor TTP's wordt gekozen of deze mogelijkheid
bestaat. De overheid overweegt daarom om alleen TTP's die in staat zijn
zelfstandig versleutelde berichten te ontsleutelen, in aanmerking te
laten komen voor certificering.
In het Nationaal TTP-Project, waarin overheid en marktpartijen
overleggen over de criteria voor certificering van TTP's, bestaat echter
onenigheid over deze eisen. Het Nederlandse bedrijfsleven vreest dat
cliënten massaal zullen overstappen naar buitenlandse TTP's, die niet
met dergelijke eisen worden geconfronteerd. Veel cliënten vinden het
geen prettig idee dat een TTP buiten hun weten om in staat is
vertrouwelijke communicatie te ontcijferen, en door te spelen aan de
overheid. De oprichting van Nederlandse TTP's zou daardoor een ernstige
tegenslag krijgen. Bedrijven hebben al laten weten af te zien van de
oprichting van TTP's indien de plannen doorgaan.
De overheid vindt het echter van groot belang om toegang te kunnen
krijgen tot versleutelde berichten. De overheid wijst erop dat ook nu al
instellingen als banken, waar de vertrouwelijkheidsrelatie met de
cliënten ook een grote rol speelt, onder bepaalde voorwaarden verplicht
zijn mee te werken aan justitieonderzoeken. Indien er geen
overeenstemming komt over een systeem van zelfregulering, overweegt de
regering om de medewerkingsplicht van TTP's wettelijk vast te leggen.
Rechtmatige toegang zal desnoods afgedwongen worden, zo stond lezen in
de beleidsnotitie Nationaal TTP-Project uit 1999.
Daarnaast wil het kabinet dat de aftapverplichtingen uit de
Telecommunicatiewet snel volledig uitgevoerd worden. Daarbij gaat het
onder meer om de implementatie van de aftapverplichting voor Internet
dienstaanbieders, regelgeving rond het gebruik van IMSI-catcher (waarmee
anonieme mobiele telefoons getraceerd kunnen worden) en het Centraal
Informatiepunt. Dit informatiepunt maakt het voor inlichtingendiensten
en de politie mogelijk om snel en geheel geautomatiseerd de NAW-gegevens
van alle telefoonabonnees te achterhalen.
Ook de versnelde reorganisatie van de Nederlandse tapkamers staat op de
wensenlijst van het kabinet. Daarbij gaat het waarschijnlijk om de
inrichting van regionale tapkamers, die ook geschikt zijn voor het
aftappen van moderne communicatietechnologieën.
Het kabinet kondigt verder onderzoek aan naar de categorieën gegevens
die telecomaanbieders bewaren en de belemmeringen die politie en
inlichtingendiensten ondervinden `door de afwezigheid van bewaarplichten
voor historische verkeersgegevens.' Hierbij gaat het om zaken als de
bewaartermijnen voor verkeersgegevens en de verplichting locatiegegevens
te bewaren. Tot nu toe geldt in Nederland dat telecomaanbieders
verkeersgegevens alleen bewaren zolang als nodig is voor het opstellen
van de facturen. Alleen voor verkeersgegevens van pre-paid mobiele
telefoons geldt een bewaartermijn van drie maanden. In de Europese Unie
is al geruime tijd een politiek gevecht gaande om de bewaartermijn voor
verkeersgegevens drastisch uit te breiden.
Verder zal uitbreiding plaatsvinden van de mogelijkheden tot interceptie
van de internationale satellietcommunicatie. Deze zogenaamde ongerichte
interceptie, waarbij het satelliet communicatieverkeer wordt afgetapt en
gescand op mogelijk interessante informatie, vindt plaats in het
Strategisch Verbindingsinlichtingen Centrum (SVIC) van de Militaire
Inlichtingendienst, met stations in onder meer Zoutkamp en het
marinecomplex kattenburg in Amsterdam.
Met de regulatie van cryptografie zal de overheid niet het gewenste effect verkrijgen. Particulieren
en bedrijven zijn de dupe, terwijl de "echte terrorist" of crimineel het zich niet laat afweren. Verder lijkt het zo goed als onmogelijk dit ten uitvoer te brengen. De laatste decennia heeft er veel onderzoek plaatsgevonden en dit is veel al gepubliceerd in openbare bronnen. De gegevens van veel cryptografisch algorithmes zijn in 'the public domain' en van vele andere die wel gepatenteerd zijn, is alle informatie beschikbaar.
Het zal onmogelijk zijn het gebruik hiervan te verbieden of reguleren en ik denk dat dit eerder een averechts effect zal hebben. Het is niet of nauwelijks controleerbaar en de controle instanties zullen alleen maar achter de ontwikkelingen aan rennen. Kijk maar naar het falend export beleid met betrekking tot sterke cryptografie in vele landen. Het is gewoon naief van de regering om te denken dat dit enige verbetering zal brengen in de situatie. Een regulering zal alleen maar heftige reacties oproepen van veel mensen (waaronder ik).
En ik maar denken -na van de week dat gelezen te hebben- dat de BVD mails kon decrypten. :-)
Als dat zo is, en ze zijn daar zo goed in, dan is regulering toch helemaal niet nodig?
Ik dacht dat men na het verdrag van Wassenaar toch beter zouden weten........
Straks moeten we computergebruik reguleren, omdat er potentieel gebruik door gemaakt kan worden door terroristen.
zie ook verdrag van Wassenaar:
http://www.webtec.nl/thema's/juridisch/jurencryp.htm
mvg,
De Bezorgde Burger
Denken ze nou echt dat dat gaat helpen tegen terrorisme? Of dat terroristen zich er iets van aan gaan trekken dat ze alleen nog maar crypto mogen gebruiken als de regering 't ook kan lezen?
De aanslagen in de VS worden overal in de zogenaamde westerse wereld gebruikt als smoes om onze vrijheid nog verder in te perken, en de bevolking slikt 't allemaal want 'ik heb toch niks te verbergen', politie, bvd, en weet ik veel welke andere organisaties zien hun kans schoon om ervoor te zorgen dat ze 't makkelijker krijgen met telefoontaps e.d., en iedereen is 't ermee eens want hun zijn geen terroristen. Niemand die erover nadenkt dat hun uiteindelijk ook de lul kunnen zijn dankzij deze massahysterie.
Om terug te komen op de regulering van cryptografie, als er backdoors komen (waar ik het tot ik wat anders hoor op houd), hoe lang denken ze dan dat 't duurt voordat er voor veel geld op de zwarte markt cryptografie pakketten opduiken zonder deze backdoors? Of hoe lang het gaat duren voordat iemand anders ook gebruik kan maken van die backdoors?
Of zouden ze gewoon een algeheel verbod op sterke cryptografie erin gooien, zou ook leuk zijn, maar ik denk niet dat criminelen or terroristen zich daar iets van aan zullen trekken.
Hoe dan ook, uiteindelijk is de burger de lul, maarja, die heeft toch niks te verbergen...
AlphaVersion
Zoveel gecodeerde berichten de wereld insturen
dat het veel tijd kost om ze te ontcijferen
en nog meer tijd om uit te zoeken welke de
juiste is ?
Dan maar een verplichte keyboard logger
installeren en de logfile iedere
dag automatisch uploaden naar de BVD ??
En waarom zou een terrorist via internet
moeten communiceren ?
Geef zo'n kerel (pardon, lafaard) een bom
en laat hem gewoon z'n gang gaan, lekker
in z'n uppie zonder verdere communicatie.
Er zijn meer manieren om te commniceren
zonder internet dan met.
Ik word nu toch ongeruster over onze
doodsbange overheden die idiote maatregelen
gaan nemen dan over terroristen.
Stel dat het terrorisme wordt uitgeroeid,
worden dan ook de nu voorgestelde, privacy
aantastende, maatregelen teruggedraait ?
Hmmm, dacht het niet, zie bv het kwartje van Kok,
was toch bedoeld als tijdelijke maatregel ?
Ik word nu toch ongeruster over onze
doodsbange overheden die idiote maatregelen
gaan nemen dan over terroristen.
Stel dat het terrorisme wordt uitgeroeid,
worden dan ook de nu voorgestelde, privacy
aantastende, maatregelen teruggedraait ?
Hmmm, dacht het niet, zie bv het kwartje van Kok,
was toch bedoeld als tijdelijke maatregel ?
Overeenkomsten overheid en terrorist:
1) lak aan de wet
2) lak aan privacy
3) lak aan beveiliging
4) lak aan infrastructuur
5) zeggen beiden een groep mensen te vertegenwoordigen
6) zeggen beiden een groep mensen te verdedigen
Wat onderscheid hun?
Erg weinig.
Kijk dat je niets te verbergen hebt vind ik de grootste onzin smoes om de overheid haar gang te laten gaan. Ik ben ook geen crimineel, maar dat wil niet zeggen dat ik maar dood leuk mijn berichtenverkeer voor dat soort instanties op tafel leg.
Trouwens zodra TTP's verplichte key-escrow of key-recovery gaan toepassen, dan wordt zo'n certificaat al niet meer interessant voor mij. Je kan dan net zo goed je eigen CA gaan opzetten en zelf certificaten gaan uitgeven.
Het ziet er dus somber uit aan de horizon voor de nederlandse TTP's.
Een voorbeeld:
Zo probeerde de CIA achter de berichtgeving te komen van Ayatolla Chomeini gedurende de periode vóór de Iraanse revolutie in 1978. Tot hun frustratie lukte dat in het geheel niet. Er werd niet gefaxt, gebeld of met telegrammen gewerkt. Chomeini had namelijk aan één van zijn vertrouwelingen een stukje papier meegegeven met richtlijnen voor het Iraanse thuisfront. Deze papiertjes konden niet door de CIA worden onderschept, waardoor men in het geheel niet wist wat ertussen Chomeini en Iran precies werd uitgespookt. Ondanks alle technologische kennis en knowhow en ondanks alle miljarden kostende technologische hoogstandjes (spionagesatellieten e.d.) was men niet in staat te infiltreren in het Chomeini-netwerk.
Ik denk dus dat de kritiek juist is, dat de gewone en niet-criminele burger hier het meest door getroffen gaan worden. Wil men achter elke berichtgeving komen (dus inclusief de Chomeini-papiertjes methode), dan is er beslist meer nodig dan alleen maar toegang tot versleutelde berichten en e-mails.
Pierpanda.
Er werd niet gefaxt, gebeld of met telegrammen gewerkt. Chomeini had namelijk aan één van zijn vertrouwelingen een stukje papier meegegeven met richtlijnen voor het Iraanse thuisfront.
Uit onderzoek is nu al gebleken dat men niet eens met papiertjes werkte, maar met mondelinge informatie uitwisseling.
Zolang je niet in de zelfde ruimte, of in de buurt zit met een richtmicrofoon, zal geen enkele anti-crypto wet iets weten te voorkomen.
Ik snap niet hoe het komt dat men zo naief kan zijn, immers zelfs met de gevreesde ECHELON heeft, en had men dit niet kunnen voorkomen.
Dus why border, en je infrastructuur als geheel op het spel zetten?
Elke beveiliger weet dat je het best risico's kan verspreiden, dus als er 20 organisaties zijn, en alle 20 gebruiken ze hun eigen methode mbt encryptie, zal het erg moeilijk worden om ze alle 20 te hacken.
Maar als regulering er toe lijdt, dat men soort gelijke methodieken en crypto vormen moet toepassen, die bovendien -staat vooraf vast- backdoor/Key Escrow mogelijkheden in zich heeft wordt juist onveiligheid in de kaart gespeeld.
Immers, wat ga je straks als hacker/cracker/terrorist/cyberterrorist doen, je concentreren op de encryptie, of gewoon een medewerker gijzelen die toegang heeft tot de key escrow?
Het antwoord ligt voor de hand lijkt me.
Elke kwaadwillende gaat voor de zwakste schakel.
Is dit hele 'errorisme' (geen typfout) niet een beetje boel overkill ?
(Laat staan de discussie waard ?)
Is dit hele 'errorisme' (geen typfout) niet een beetje boel overkill?
overpeinzing
Terwijl we, in onszelf gekeerd,
de codes doorbreken
Blijken zij, omgekeerd,
zich keer op keer te wreken.
Het probleem is dat de geheime diensten veel te veel data hebben om door te worstelen (evalueren).
Dus als dit allemaal doorgaat, wordt dat probleem alleen maar
erger...
[URL=http://www.privatecrypto.com]Private Crypto!!![/URL]
Dit is triest!
Hoe zou de overheid uberhaupt herkennen dat er sprake van encrypte gegevens. Door het feit dat ze niet snappen wat er over de lijn gaat? Ongebruikelijke formaten muziek en platen e.d. alsmede onbekende compressies zullen allemaal als een onbekend soort encryptie worden beschouwd?
Hoe zit het met ons briefgeheim?
En als je nu gebruiker bent van bijvoorbeeld ZisCrypt (zie http://www.zisisit.nl) met 10 E 5093 variaties, verlangen ze dan dat al die sleutels worden gedeponeerd? Een gigabyte zit op 10 E 9, een terabyte op 10 E 12 maar 10 E 5093 is dus nergens te plaatsen. Alleen al de capaciteit die je nodig hebt om de data uberhaupt over te dragen.... ha ha ha!
En je kan toch achteraf niet regels gaan opstellen die kosteninducerend zijn als overheid zonder daarvoor een financiële vergoeding te geven? Lijkt me leuk voor de bouwers van ZisCrypt: Fl 1,- voor iedere gedeponeerde sleutel.... Ha ha ha!
Goedendag,
Hoe zou de overheid uberhaupt herkennen dat er sprake van encrypte gegevens. Door het feit dat ze niet snappen wat er over de lijn gaat? Ongebruikelijke formaten muziek en platen e.d. alsmede onbekende compressies zullen allemaal als een onbekend soort encryptie worden beschouwd?
Dit is wel een intressante uitgangspunt.
Een programmeur maakt voor zijn toepassing gebruik van een door hemzelf bedachte efficiente bestandsformaat.
Overheid kan het onbedoelt niet lezen, moet er bij komen.
Kan programmeur verplicht worden om sourcecode te overleggen aan overheid, omdat hij toevallig zijn toepassing, en bestandformaat van enige beveiliging heeft voorzien?
De antwoord is ja, want anders kan hij als medeplichtige worden gezien -tenminste daar zullen ze hem bang mee maken.-
Crypto - scrambling - versluiering - etc veel woorden voor
zeer weinig daadkracht . . . . toch ! ! ! !
Geen crypto die NIET te decoderen is (denk maar aan DES . . . . )
Het is de hardware- software-(intelligentie) en financiele sterkte van de "potentiele" tegenstander welke de tijds-eenheid die ligt tussen de encrypte ( lees versluierde) en gedecrypte ( lees ontsluierde ) informatie bepalen., echter . . . . eerst als de inhoud voor de geinteresseerden bekend is blijkt "de waarde" van de informatie en vaak is "deze waarde" van "momentele "aard . . . .
Wat beoogt steller dezes :
er bestaat slechts GEHEIM als "het"in de eigen geheugenbank van "het individu" blijft dwz geen gegevens op welke manier dan ook worden opgeslagen, gepresenteerd etc.
Wat heb je er dan aan . . . .
dat is juist het ongrijpbare want dan is er geen enkele mogelijkheid tot onderscheppen en gaat "dat individu"zijn gang
öklahoma, eerste aanslag WTC (kelder) . . . . .
Praktisch onuitvoerbaar voor de overheid qua volume aan werk, qua volume aan over te dragen info, etc.
Ook voor de integere ontwikkelaars die nieuwe informatie moeten gaan overdragen aan ondeskundige ambtenaren. Dat bestaat in feite al helemaal niet. De overheid heeft onvoldoende mensen in dienst die het niveau hebben om bepaalde zaken te snappen.
Ik voel er absoluut niet voor dat mensen door de overheid gedwongen kunnen worden een flinke hoeveelheid werk te verrichten. De dienstplicht is juist afgeschaft....
Dit hele issue is ingegeven door een chronisch gebrek aan deskundigheid aan de zijde van de initiatiefnemers m.b.t. dit onderwerp. Men moet e.e.a. op een geheel andere manier oplossen en niet het bedrijfsleven opzadelen met kletskoek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
