Europol wil omvang 'encryptieprobleem' in kaart brengen
Mocht er een debat komen over de wenselijkheid van encryptie dan is het belangrijk dat er cijfers zijn over het aantal gevallen waarbij versleuteling de opsporing en vervolging van criminelen in de weg stond, zo heeft Europol in het Internet Organised Crime Threat Assessment (IOCTA) 2015 (pdf) laten weten.
Het IOCTA is een jaarlijks terugkerend rapport waarin Europol nieuwe dreigingen en ontwikkelingen op het gebied van cybercrime bespreekt. Er is een apart aanhangsel in het rapport dat over de encryptiediscussie gaat. De afgelopen maanden hebben politici en opsporingsdiensten zoals de FBI regelmatig het gebruik van encryptie gehekeld. Dit zou namelijk de opsporing en vervolging van criminelen hinderen. Cijfers ontbreken echter en daarom gaat de Europese politieorganisatie lidstaten vragen of ze data willen delen, om zo de omvang van het probleem vast te stellen.
Verplicht afstaan encryptiesleutels
In het rapport worden verschillende scenario's besproken hoe er met encryptie kan worden omgegaan. Een optie die Europol voorstaat is het verplicht afstaan van encryptiesleutels. "Dit lijkt de enige praktische manier om met encryptie om te gaan waarbij de sleutels in het bezit van individuele gebruikers zijn. Net als het strafbaar is om een ademtest te weigeren om te zien of je teveel gedronken hebt, is het mogelijk om het niet beschikbaar stellen van een encryptiesleutel, zodat opsporingsdiensten de versleutelde inhoud kunnen onderzoeken, strafbaar te maken", aldus Europol.
Volgens de politiedienst heeft dit als voordeel dat een crimineel in beide gevallen kan worden veroordeeld, namelijk als hij zijn encryptiesleutel niet overhandigt, of als hij dat wel doet en de vervolgens ontsleutelde data bewijs bevat. Internationaal zijn er volgens Europol wel rechtbanken geweest die zijn gevraagd om te bepalen of verdachten in dit geval niet worden gedwongen om tegen zichzelf te getuigen. "Maar over het geheel genomen wordt het door de rechter als een gerechtvaardigd onderdeel van strafrechtelijke onderzoeken gezien", zo staat in het rapport.
De politiedienst stelt dat deze maatregel alleen effectief is als de data op de computer van de verdachte staan. In het geval van online communicatie waarbij de encryptiesleutels automatisch worden gegenereerd is het zo goed als onmogelijk om die te achterhalen. Daarnaast bieden steeds meer communicatie- en e-maildiensten end-to-end-encryptie aan. In dit geval zou er met de aanbieders moeten worden gekeken of ze end-to-end-encryptie niet meer willen aanbieden, zo laat Europol weten. Vanwege zorgen over privacy en massasurveillance zien veel providers dit echter niet zitten.
Data
Een belangrijk onderdeel in het debat over encryptie mist volgens Europol, namelijk de omvang van het probleem. "Mocht er een openbaar debat komen en beleidsmakers moeten kunnen worden vertrouwd met wat ze willen doorvoeren, en als beslissingen over het inleveren van veiligheid en privacy op bewijs gebaseerd zijn, is het belangrijk dat het probleem op zo'n manier in kaart wordt gebracht dat zo goed als alle burgers het vertrouwen", zo stelt Europol. De politiedienst gaat daarom lidstaten vragen om data over de omvang van het probleem te delen.
Ten tweede is het helemaal niet waar dat rechtbanken hier in principe positief tegenover staan; dat is pure ongegrond stemmingmakerij (cherry-picking).
Ten derde zou het hele voorstel ongrondwet-matig zijn omdat het de uitgangsprincipes van de Universele Verklaring van de Mens van Geneve overtreedt en die bindend verklaard is. Het is niet voor niets dat Engeland al jaren gelededn voor het Europese Hof gedaagd is hiervoor (maar zoiets wordt uiteraard makkelijk jaren en jaren gerekt).
Ten vierde (voorvloeiend uit 3): verdachten zijn dus defacto schuldig tenzij de onschuld bewezen kan worden; dat is juridisch helemaal niet houdbaar; ik stel ook voor direct een ZIP bestand met onmogelijk wachtwoord op de PC van de premier te zetten, genaamd: kinderporno.zip. Aangezien de premier het wachtwoord niet kan (volgens Europol: WIL) overleggen, is hij dus schuldig ! Dat ondermijnt elke peiler van de democratie ... en is de natte droom van elke dictator en veiligheidsdienst (makkelijk tegenstanders uit de weg ruimen !)
WAKKER WORDEN MENSEN !
Maar de marketingwinst is er al voor deze europolitieke lobby organisatie die bewijzen wil gaan zoeken bij het allang vastgestelde politieke wensenlijstje.
Mensen onthouden immers de oneliners en de koppen, niet het verhaal erachter, laat staan nuancerende weerwoorden.
Wanneer politie politiek gaat bedrijven gaat de democratie op de helling.
Een veel groter gevaar dan wat dan ook.
Men kan domweg deze ondermijning van de privacy van de gewone burger en het functioneren van de democratie niet toestaan. Als er personen zijn zoals terroristen, criminelen en pedofielen kun je die gewoon met wat afluisterapparatuur of malware vangen. Versleuteling verbieden is geen oplossing.
Encryptie geeft alleen de mogelijkheid om je eigen data veilig te stellen en dat is een grondrecht. Als opsporingsdiensten dan niet bij de data kunnen zullen ze dat via een andere weg moeten doen maar daarmee is de encryptie nog steeds niet het probleem!
Je mag er toch vanuit gaan dat net als bij een blaastest (wat ik nogal een schending van mijn privacy vind, maar ja, we vinden nu eenmaal dat wanneer je eenmaal onder invloed bent, je niet meer mag rijden) het geen probleem zou moeten zijn om aan het bevoegd gezag, en indien er een redelijk vermoeden is, je de encryptiesleutels overhandigd.
Het zal mij in ieder geval dwingen om eens een keer mijn administratie op orde te brengen :)
Iemand is pas criimineel als hij is veroordeeld. Daarvoor is hij hoogstens verdacht. Niets meer en niets minder. De Nederlandse rechters hebben al aangegeven dat ze het niet eens zijn met de stelling dat het verplicht kan worden om sleutels af te staan, het is in Nederland in strijd met het beginsel dat een verdachte niet aan zijn eigen veroordeling hoeft mee te werken.
Laat eerst de politie diensten maar eens aantonen dat ze met ouderwets rechercheren hun werk niet kunnen doen. Mijn gok: dat krijgen ze niet aangetoond tenzij er incompetentie in het spel is. In dat geval helpt ook het verplicht ontsleutelen niet.
Burgers horen dit soort geneuzel niet te vertrouwen! Dus ook de omvang van het probleem aantonen gaat niet helpen.
Hoe hoog was het oplospercentage van misdrijven ook al weer? En van misdrijven waar geen encryptie aan de orde is?
- in hoeveel gevallen encryptie als enige de opsporing heeft geblokkeerd (zijn er geen andere middelen?)
- in hoeveel gevallen de afwezigheid van (goede) encryptie werkelijk heeft geleid tot opsporing (is beschikbare data echt relevant?)
- in hoeveel gevallen de afwezigheid van goede encryptie heeft geleid tot extra criminaliteit (hoeveel identiteits fraudes, hoeveel gekraakte bankrekeningen, hoeveel gehackte facebook accounts, etc.)
- in hoeveel gevallen prive informatie die totaal niet relevant is voor een onderzoek toch is meegenomen (wordt er wel gericht gerechergeerd?)
Is er niet sprake van een zorgplicht? Als mijn auto gestolen wordt en hij stond niet op slot, dan wordt mij nalatigheid en uitlokking verweten in plaats van dat ik geld krijg van de verzekering. En verschuilen achter "dat is zo handig voor de politie als ze ineens achter een boef aan moeten" gaat me daarin niet helpen.
Op diezelfde manier heeft ieder mens een zorgplicht voor zijn/haar prive gegevens: als ik onzorgvuldig met het wachtwoord van mijn internetrekeing omga krijg ik schade niet vergoed. Ook daar kan ik niet zeggen: "ja maar de politie wil dat ik het niet al te goed bescherm want dan kunnen ze makkelijker criminaliteit opsporen"
Bruce Schneier heeft een 5-stappen plan voor analyse van beschermingsmaatregelen die ik hieronder iets heb aangepast:
Step 1: Wat wil je bereiken ? ==> verzwakte encryptie om toegang tot gegevens te krijgen
Step 2: Waarom is dat nodig? ==> om criminaliteit op te kunnen sporen
Step 3: Hoe goed werkt dit voor dit doel? ==> dat is onduidelijk
Step 4: Komen er hierdoor andere nadelen? ==> als de politie het kan kraken kan iedereen het, dus meer criminaliteit en diefstal in plaats van minder
Step 5: Wat zijn de kosten en keerzijde hiervan? ==> miljoenen mensen, nee, miljarden kunnen niet meer vertrouwen op hun computers, tablets telefoons dus gaat extra maatregelen nemen, zetten geen gegevens meer op hun devices, kunnen risico's niet meer verzekeren (bv. identiteitsfraude of electronisch bankieren) dus uiteindelijk betalen miljarden mensen met hun privacy terwijl de effectiviteit niet bewezen is.
En als laatste de afsluitende vraag: wegen de nadelen op tegen de voordelen? Wel kosten maar geen bewezen opbrengst. Vreemde business case denk je? Nee hoor, want de kosten worden door anderen betaald dan degenen die misschien hier voordeel aan hebben. Dus voor de burger kosten, voor opsporingsinstanties misschien opbrengsten.
Hier moeten toch betere alternatieven voor zijn...
Q
"verplicht afstaan van encryptiesleutels" => zorgen dat je zelf niet bij de encryptiesleutels kan komen (plausable deniability). Voorbeeld: gebruik van een Self Encrypting Drive of Veracrypt (data-at-rest) en TPM (beveiligde private keys) helpt al enorm.
Al de personen die gereageerd hebben met "schending van de privacy" en "politieprobleem" ... Al eens nagedacht over rechten van het slachtoffer! ?
Iedereen klaagt over privacy maar ze hebben wel Facebook,Gmail, Twitter, WhatsApp..... Maar als de overheid hun gegevens onderschept zijn ze op hun tenen getrapt...
Al eens foto's en films gezien van een kind van 2 jaar dat verkracht wordt en die middels encryptie worden verspreid via Tor... Hopelijk is het niet jullie kind.... dus laat de dader maar rustig verder doen...
....
Nou...draagt iemand de combinatie capuchon en zonnebril dan is dit per definitie een crimineel toch? Ze zijn daarmee wat herkenbaarder of is dit te generaliserend?
Dan nog enkele opmerkingen:
1) Een rechtbank kan het misschien gerechtvaardigd vinden dat iemand tegen zichzelf getuigt, maar dit mag niet in strijd zijn met de Arresten van het Europese Hof. Wie in een rechtszaak zit, moet daar zeker naar laten kijken door de advocaat.
2) Het nemo tenetur se ipsum accusare is helaas geen strafuitsluitingsgrond. Dat betekent: je mag inderdaad niet meewerken aan je eigen veroordeling (weigeren afstaan van encryptiesleutels bijv.), maar de rechter kan de verdachte wel degelijk een straf opleggen. Pas als er sprake is van een strafuitsluitingsgrond, wordt er geen straf opgelegd. Denk maar aan bijvoorbeeld Ontoerekenbaarheid, Overmacht, Noodweer en Noodweer-execes in het stafrecht.
3) Te vaak hebben we gezien dat een 'openbaar debat' richting politiek werd getrokken, die vervolgens een genomen besluit als nadeel voor de bevolking ging uitvoeren. We hoeven maar aan het Referendum te denken van de Europese Grondwet. De bevolking schoot dit massaal af, maar die Grondwet kwam wel in een iets gewijzigde vorm alsnog terug (zonder Referendum). Daarom moeten er ook digitale rechten komen voor verdachten en er moeten zeker geen discussies komen die aangezwengeld zijn door opsporings- en inlichtingendiensten (die al nooit aan de kant van de verdachten zullen gaan staan en om meer rechten voor verdachten gaan pleiten)
https://nl.wikipedia.org/wiki/Zwijgrecht
Juten: Wat is uw naam?
Ik: .........
Juten: Is dit uw laptop?
Ik: ..........
Juten: Wat is het wachtwoord?
Ik: ........
Etc.
Volgens mij is er in de US geen wetgeving van kracht die het afstaan van sleutels verplicht ( https://en.wikipedia.org/wiki/Key_disclosure_law#United_States ). In de UK en Frankrijk is die wetgeving er wel. Het zijn dus geen "Amerikaanse toestanden" maar eerder "Europese toestanden". Helaas..
1. Je wordt verdacht van moord maar de politie kan het lijk niet vinden en heeft geen bewijs.
2. De politie denkt dat je het het lijk in je vuilcontainer hebt gestopt en de vuilcontainer hebt verborgen.
3. De rechter draagt je op te vertellen waar je je vuilcontainer gelaten hebt.
4. Je verklaart dat je niet weet waar je vuilcontainer is.
5. Je gaat x jaar de gevangenis in omdat je niet aan kan (volgens de rechter "wil") geven waar je vuilcontainer is.
Ten tweede is het helemaal niet waar dat rechtbanken hier in principe positief tegenover staan; dat is pure ongegrond stemmingmakerij (cherry-picking).
Ten derde zou het hele voorstel ongrondwet-matig zijn omdat het de uitgangsprincipes van de Universele Verklaring van de Mens van Geneve overtreedt en die bindend verklaard is. Het is niet voor niets dat Engeland al jaren gelededn voor het Europese Hof gedaagd is hiervoor (maar zoiets wordt uiteraard makkelijk jaren en jaren gerekt).
Ten vierde (voorvloeiend uit 3): verdachten zijn dus defacto schuldig tenzij de onschuld bewezen kan worden; dat is juridisch helemaal niet houdbaar; ik stel ook voor direct een ZIP bestand met onmogelijk wachtwoord op de PC van de premier te zetten, genaamd: kinderporno.zip. Aangezien de premier het wachtwoord niet kan (volgens Europol: WIL) overleggen, is hij dus schuldig ! Dat ondermijnt elke peiler van de democratie ... en is de natte droom van elke dictator en veiligheidsdienst (makkelijk tegenstanders uit de weg ruimen !)
WAKKER WORDEN MENSEN !
Wat een mooie en duidelijke samenvatting, van de none-sense van het euro(3rd reigh)-propaganda apparaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
