image

Europol wil omvang 'encryptieprobleem' in kaart brengen

woensdag 30 september 2015, 17:13 door Redactie, 20 reacties
Laatst bijgewerkt: 30-09-2015, 18:46

Mocht er een debat komen over de wenselijkheid van encryptie dan is het belangrijk dat er cijfers zijn over het aantal gevallen waarbij versleuteling de opsporing en vervolging van criminelen in de weg stond, zo heeft Europol in het Internet Organised Crime Threat Assessment (IOCTA) 2015 (pdf) laten weten.

Het IOCTA is een jaarlijks terugkerend rapport waarin Europol nieuwe dreigingen en ontwikkelingen op het gebied van cybercrime bespreekt. Er is een apart aanhangsel in het rapport dat over de encryptiediscussie gaat. De afgelopen maanden hebben politici en opsporingsdiensten zoals de FBI regelmatig het gebruik van encryptie gehekeld. Dit zou namelijk de opsporing en vervolging van criminelen hinderen. Cijfers ontbreken echter en daarom gaat de Europese politieorganisatie lidstaten vragen of ze data willen delen, om zo de omvang van het probleem vast te stellen.

Verplicht afstaan encryptiesleutels

In het rapport worden verschillende scenario's besproken hoe er met encryptie kan worden omgegaan. Een optie die Europol voorstaat is het verplicht afstaan van encryptiesleutels. "Dit lijkt de enige praktische manier om met encryptie om te gaan waarbij de sleutels in het bezit van individuele gebruikers zijn. Net als het strafbaar is om een ademtest te weigeren om te zien of je teveel gedronken hebt, is het mogelijk om het niet beschikbaar stellen van een encryptiesleutel, zodat opsporingsdiensten de versleutelde inhoud kunnen onderzoeken, strafbaar te maken", aldus Europol.

Volgens de politiedienst heeft dit als voordeel dat een crimineel in beide gevallen kan worden veroordeeld, namelijk als hij zijn encryptiesleutel niet overhandigt, of als hij dat wel doet en de vervolgens ontsleutelde data bewijs bevat. Internationaal zijn er volgens Europol wel rechtbanken geweest die zijn gevraagd om te bepalen of verdachten in dit geval niet worden gedwongen om tegen zichzelf te getuigen. "Maar over het geheel genomen wordt het door de rechter als een gerechtvaardigd onderdeel van strafrechtelijke onderzoeken gezien", zo staat in het rapport.

De politiedienst stelt dat deze maatregel alleen effectief is als de data op de computer van de verdachte staan. In het geval van online communicatie waarbij de encryptiesleutels automatisch worden gegenereerd is het zo goed als onmogelijk om die te achterhalen. Daarnaast bieden steeds meer communicatie- en e-maildiensten end-to-end-encryptie aan. In dit geval zou er met de aanbieders moeten worden gekeken of ze end-to-end-encryptie niet meer willen aanbieden, zo laat Europol weten. Vanwege zorgen over privacy en massasurveillance zien veel providers dit echter niet zitten.

Data

Een belangrijk onderdeel in het debat over encryptie mist volgens Europol, namelijk de omvang van het probleem. "Mocht er een openbaar debat komen en beleidsmakers moeten kunnen worden vertrouwd met wat ze willen doorvoeren, en als beslissingen over het inleveren van veiligheid en privacy op bewijs gebaseerd zijn, is het belangrijk dat het probleem op zo'n manier in kaart wordt gebracht dat zo goed als alle burgers het vertrouwen", zo stelt Europol. De politiedienst gaat daarom lidstaten vragen om data over de omvang van het probleem te delen.

Reacties (20)
30-09-2015, 18:03 door Anoniem
Wat een ongegrond WC Eend verhaal van Europol weer; ten eerste hebben de Snowden documenten aangetoond dat opsporingsdiensten die cijfers minstens met een factor 3, maar frequenter eerder met een factor 10 of meer overdrijven, net zoals dat de aftap-statistieken al tientallen jaren stelselmatig onder-gerapporteerd/gebagataliseerd worden.

Ten tweede is het helemaal niet waar dat rechtbanken hier in principe positief tegenover staan; dat is pure ongegrond stemmingmakerij (cherry-picking).

Ten derde zou het hele voorstel ongrondwet-matig zijn omdat het de uitgangsprincipes van de Universele Verklaring van de Mens van Geneve overtreedt en die bindend verklaard is. Het is niet voor niets dat Engeland al jaren gelededn voor het Europese Hof gedaagd is hiervoor (maar zoiets wordt uiteraard makkelijk jaren en jaren gerekt).

Ten vierde (voorvloeiend uit 3): verdachten zijn dus defacto schuldig tenzij de onschuld bewezen kan worden; dat is juridisch helemaal niet houdbaar; ik stel ook voor direct een ZIP bestand met onmogelijk wachtwoord op de PC van de premier te zetten, genaamd: kinderporno.zip. Aangezien de premier het wachtwoord niet kan (volgens Europol: WIL) overleggen, is hij dus schuldig ! Dat ondermijnt elke peiler van de democratie ... en is de natte droom van elke dictator en veiligheidsdienst (makkelijk tegenstanders uit de weg ruimen !)

WAKKER WORDEN MENSEN !
30-09-2015, 18:04 door Anoniem
Er is geen probleem met encryptie !

Maar de marketingwinst is er al voor deze europolitieke lobby organisatie die bewijzen wil gaan zoeken bij het allang vastgestelde politieke wensenlijstje.
Mensen onthouden immers de oneliners en de koppen, niet het verhaal erachter, laat staan nuancerende weerwoorden.

Wanneer politie politiek gaat bedrijven gaat de democratie op de helling.
Een veel groter gevaar dan wat dan ook.
30-09-2015, 18:23 door Anoniem
Waarbij de brave burger kwetsbaar zal zijn en de criminelen met behulp van steganografie gewoon kunnen ontkennen dat men versleutelde berichten heeft uitgewisseld. Lachwekkend hoe naïef men is.... Bovendien is het al zover dat criminelen met behulp van allerlei diensten zelfs verkeerd analyse feitelijk onmogelijk maken. Dus de toerekening van een bericht aan een specifieke persoon of apparaat is al niet meer mogelijk. De technologie wordt al jaren verkocht in spy shops en andere verkooppunten. Dat weet men duidelijk wel dus ......

Men kan domweg deze ondermijning van de privacy van de gewone burger en het functioneren van de democratie niet toestaan. Als er personen zijn zoals terroristen, criminelen en pedofielen kun je die gewoon met wat afluisterapparatuur of malware vangen. Versleuteling verbieden is geen oplossing.
30-09-2015, 18:23 door Anoniem
En zo masseer je naar de gewenste situatie toe: er bestaat geen encryptieprobleem!

Encryptie geeft alleen de mogelijkheid om je eigen data veilig te stellen en dat is een grondrecht. Als opsporingsdiensten dan niet bij de data kunnen zullen ze dat via een andere weg moeten doen maar daarmee is de encryptie nog steeds niet het probleem!
30-09-2015, 18:55 door Anoniem
Prima zaak, zowel het onderzoek (het is wel handig om te weten of, hoe groot en wat nu eigenlijk het probleem is) als de voorgestelde oplossing.

Je mag er toch vanuit gaan dat net als bij een blaastest (wat ik nogal een schending van mijn privacy vind, maar ja, we vinden nu eenmaal dat wanneer je eenmaal onder invloed bent, je niet meer mag rijden) het geen probleem zou moeten zijn om aan het bevoegd gezag, en indien er een redelijk vermoeden is, je de encryptiesleutels overhandigd.

Het zal mij in ieder geval dwingen om eens een keer mijn administratie op orde te brengen :)
30-09-2015, 19:50 door Anoniem
Volgens mij is encryptie niet het probleem. Het probleem is het ongebreideld data graaien door diverse roverheden. Encryptie is het gevolg daarvan.
30-09-2015, 20:24 door Anoniem
Grote denkfout is:
Volgens de politiedienst heeft dit als voordeel dat een crimineel in beide gevallen kan worden veroordeeld, namelijk als hij zijn encryptiesleutel niet overhandigt, of als hij dat wel doet en de vervolgens ontsleutelde data bewijs bevat.

Iemand is pas criimineel als hij is veroordeeld. Daarvoor is hij hoogstens verdacht. Niets meer en niets minder. De Nederlandse rechters hebben al aangegeven dat ze het niet eens zijn met de stelling dat het verplicht kan worden om sleutels af te staan, het is in Nederland in strijd met het beginsel dat een verdachte niet aan zijn eigen veroordeling hoeft mee te werken.

Laat eerst de politie diensten maar eens aantonen dat ze met ouderwets rechercheren hun werk niet kunnen doen. Mijn gok: dat krijgen ze niet aangetoond tenzij er incompetentie in het spel is. In dat geval helpt ook het verplicht ontsleutelen niet.

Burgers horen dit soort geneuzel niet te vertrouwen! Dus ook de omvang van het probleem aantonen gaat niet helpen.
Hoe hoog was het oplospercentage van misdrijven ook al weer? En van misdrijven waar geen encryptie aan de orde is?
30-09-2015, 20:31 door Anoniem
Op zich een goed voorstel: ik wil ook wel weten
- in hoeveel gevallen encryptie als enige de opsporing heeft geblokkeerd (zijn er geen andere middelen?)
- in hoeveel gevallen de afwezigheid van (goede) encryptie werkelijk heeft geleid tot opsporing (is beschikbare data echt relevant?)
- in hoeveel gevallen de afwezigheid van goede encryptie heeft geleid tot extra criminaliteit (hoeveel identiteits fraudes, hoeveel gekraakte bankrekeningen, hoeveel gehackte facebook accounts, etc.)
- in hoeveel gevallen prive informatie die totaal niet relevant is voor een onderzoek toch is meegenomen (wordt er wel gericht gerechergeerd?)

Is er niet sprake van een zorgplicht? Als mijn auto gestolen wordt en hij stond niet op slot, dan wordt mij nalatigheid en uitlokking verweten in plaats van dat ik geld krijg van de verzekering. En verschuilen achter "dat is zo handig voor de politie als ze ineens achter een boef aan moeten" gaat me daarin niet helpen.
Op diezelfde manier heeft ieder mens een zorgplicht voor zijn/haar prive gegevens: als ik onzorgvuldig met het wachtwoord van mijn internetrekeing omga krijg ik schade niet vergoed. Ook daar kan ik niet zeggen: "ja maar de politie wil dat ik het niet al te goed bescherm want dan kunnen ze makkelijker criminaliteit opsporen"

Bruce Schneier heeft een 5-stappen plan voor analyse van beschermingsmaatregelen die ik hieronder iets heb aangepast:

Step 1: Wat wil je bereiken ? ==> verzwakte encryptie om toegang tot gegevens te krijgen
Step 2: Waarom is dat nodig? ==> om criminaliteit op te kunnen sporen
Step 3: Hoe goed werkt dit voor dit doel? ==> dat is onduidelijk
Step 4: Komen er hierdoor andere nadelen? ==> als de politie het kan kraken kan iedereen het, dus meer criminaliteit en diefstal in plaats van minder
Step 5: Wat zijn de kosten en keerzijde hiervan? ==> miljoenen mensen, nee, miljarden kunnen niet meer vertrouwen op hun computers, tablets telefoons dus gaat extra maatregelen nemen, zetten geen gegevens meer op hun devices, kunnen risico's niet meer verzekeren (bv. identiteitsfraude of electronisch bankieren) dus uiteindelijk betalen miljarden mensen met hun privacy terwijl de effectiviteit niet bewezen is.

En als laatste de afsluitende vraag: wegen de nadelen op tegen de voordelen? Wel kosten maar geen bewezen opbrengst. Vreemde business case denk je? Nee hoor, want de kosten worden door anderen betaald dan degenen die misschien hier voordeel aan hebben. Dus voor de burger kosten, voor opsporingsinstanties misschien opbrengsten.

Hier moeten toch betere alternatieven voor zijn...

Q
30-09-2015, 20:33 door linuxpro
Amerikaanse toestanden in Europa. Als het afstaan van encryptiesleutels verplicht wordt zal een andere manier gevonden worden om data te beveiligen tegen ongewenst meekijken...
30-09-2015, 20:49 door Anoniem
Is het geen idee om het diensten toe te staan, mits in het bezit van een gerechtelijk bevel, een computer te hacken? Vergelijkbaar met het openbreken van een deur bij huiszoeking en bijv. met garantie dat de eigenaar van het apparaat waarop ingebroken word binnen 24u wordt ingelicht?
01-10-2015, 07:00 door beaukey
Londen is de stad met de meeste beveiligingscamera's ter wereld. Toch is er geen aantoonbare verbetering in het preventief of correctief voorkomen of oplossen van misdaad. Dit houdt in dat boefjes zich hebben aangepast (capuchon en zonnenbril) en/of dat meer camera's gewoon niet effectief zijn.

"verplicht afstaan van encryptiesleutels" => zorgen dat je zelf niet bij de encryptiesleutels kan komen (plausable deniability). Voorbeeld: gebruik van een Self Encrypting Drive of Veracrypt (data-at-rest) en TPM (beveiligde private keys) helpt al enorm.
01-10-2015, 08:33 door sjonniev
Dit is geen "encryptieprobleem". Dit is een politieprobleem. Namelijk dat ze zonder enige onderbouwing zomaar wat roepen. Wat opsporing en vervolging van criminelen het meest hindert is gebrekkige ondersteuning van en blind vertrouwen in politie.
01-10-2015, 09:12 door Anoniem
Bedenking...

Al de personen die gereageerd hebben met "schending van de privacy" en "politieprobleem" ... Al eens nagedacht over rechten van het slachtoffer! ?
Iedereen klaagt over privacy maar ze hebben wel Facebook,Gmail, Twitter, WhatsApp..... Maar als de overheid hun gegevens onderschept zijn ze op hun tenen getrapt...

Al eens foto's en films gezien van een kind van 2 jaar dat verkracht wordt en die middels encryptie worden verspreid via Tor... Hopelijk is het niet jullie kind.... dus laat de dader maar rustig verder doen...

....
01-10-2015, 09:56 door Anoniem
Door beaukey: Londen is de stad met de meeste beveiligingscamera's ter wereld. Toch is er geen aantoonbare verbetering in het preventief of correctief voorkomen of oplossen van misdaad. Dit houdt in dat boefjes zich hebben aangepast (capuchon en zonnenbril) en/of dat meer camera's gewoon niet effectief zijn.

Nou...draagt iemand de combinatie capuchon en zonnebril dan is dit per definitie een crimineel toch? Ze zijn daarmee wat herkenbaarder of is dit te generaliserend?
01-10-2015, 10:05 door Anoniem
De Universele Verklaring v/d Rechten van de Mens heeft zijn wettelijke vorm gekregen in het Europese Verdrag van de Rechten van de Mens. Aan dit verdrag moet men zich wel houden. Bij schending van het EVRM kan men ook een klacht indienen bij het het Europese Hof voor de Rechten van de Mens.

Dan nog enkele opmerkingen:

1) Een rechtbank kan het misschien gerechtvaardigd vinden dat iemand tegen zichzelf getuigt, maar dit mag niet in strijd zijn met de Arresten van het Europese Hof. Wie in een rechtszaak zit, moet daar zeker naar laten kijken door de advocaat.

2) Het nemo tenetur se ipsum accusare is helaas geen strafuitsluitingsgrond. Dat betekent: je mag inderdaad niet meewerken aan je eigen veroordeling (weigeren afstaan van encryptiesleutels bijv.), maar de rechter kan de verdachte wel degelijk een straf opleggen. Pas als er sprake is van een strafuitsluitingsgrond, wordt er geen straf opgelegd. Denk maar aan bijvoorbeeld Ontoerekenbaarheid, Overmacht, Noodweer en Noodweer-execes in het stafrecht.

3) Te vaak hebben we gezien dat een 'openbaar debat' richting politiek werd getrokken, die vervolgens een genomen besluit als nadeel voor de bevolking ging uitvoeren. We hoeven maar aan het Referendum te denken van de Europese Grondwet. De bevolking schoot dit massaal af, maar die Grondwet kwam wel in een iets gewijzigde vorm alsnog terug (zonder Referendum). Daarom moeten er ook digitale rechten komen voor verdachten en er moeten zeker geen discussies komen die aangezwengeld zijn door opsporings- en inlichtingendiensten (die al nooit aan de kant van de verdachten zullen gaan staan en om meer rechten voor verdachten gaan pleiten)
01-10-2015, 10:25 door Anoniem
Ik heb een vermoeden dat de uitkomst van het onderzoek al is vastgesteld. Met andere woorden: er wordt naar de uitkomst toegewerkt. Beter zou het zijn als een onafhankelijk wetenschappelijk onderzoek zou plaatsvinden.
01-10-2015, 11:00 door Anoniem
Makkelijke oplossing, totaal niets zeggen. Altijd beroepen op je zwijgrecht bij ALLE vragen.

https://nl.wikipedia.org/wiki/Zwijgrecht

Juten: Wat is uw naam?
Ik: .........

Juten: Is dit uw laptop?
Ik: ..........

Juten: Wat is het wachtwoord?
Ik: ........

Etc.
01-10-2015, 12:05 door Reinder
Door linuxpro: Amerikaanse toestanden in Europa. Als het afstaan van encryptiesleutels verplicht wordt zal een andere manier gevonden worden om data te beveiligen tegen ongewenst meekijken...


Volgens mij is er in de US geen wetgeving van kracht die het afstaan van sleutels verplicht ( https://en.wikipedia.org/wiki/Key_disclosure_law#United_States ). In de UK en Frankrijk is die wetgeving er wel. Het zijn dus geen "Amerikaanse toestanden" maar eerder "Europese toestanden". Helaas..
01-10-2015, 12:41 door SecOff
De decryptieplicht doortrekken naar de analoge wereld:

1. Je wordt verdacht van moord maar de politie kan het lijk niet vinden en heeft geen bewijs.
2. De politie denkt dat je het het lijk in je vuilcontainer hebt gestopt en de vuilcontainer hebt verborgen.
3. De rechter draagt je op te vertellen waar je je vuilcontainer gelaten hebt.
4. Je verklaart dat je niet weet waar je vuilcontainer is.
5. Je gaat x jaar de gevangenis in omdat je niet aan kan (volgens de rechter "wil") geven waar je vuilcontainer is.
01-10-2015, 15:36 door Anoniem
Door Anoniem: Wat een ongegrond WC Eend verhaal van Europol weer; ten eerste hebben de Snowden documenten aangetoond dat opsporingsdiensten die cijfers minstens met een factor 3, maar frequenter eerder met een factor 10 of meer overdrijven, net zoals dat de aftap-statistieken al tientallen jaren stelselmatig onder-gerapporteerd/gebagataliseerd worden.

Ten tweede is het helemaal niet waar dat rechtbanken hier in principe positief tegenover staan; dat is pure ongegrond stemmingmakerij (cherry-picking).

Ten derde zou het hele voorstel ongrondwet-matig zijn omdat het de uitgangsprincipes van de Universele Verklaring van de Mens van Geneve overtreedt en die bindend verklaard is. Het is niet voor niets dat Engeland al jaren gelededn voor het Europese Hof gedaagd is hiervoor (maar zoiets wordt uiteraard makkelijk jaren en jaren gerekt).

Ten vierde (voorvloeiend uit 3): verdachten zijn dus defacto schuldig tenzij de onschuld bewezen kan worden; dat is juridisch helemaal niet houdbaar; ik stel ook voor direct een ZIP bestand met onmogelijk wachtwoord op de PC van de premier te zetten, genaamd: kinderporno.zip. Aangezien de premier het wachtwoord niet kan (volgens Europol: WIL) overleggen, is hij dus schuldig ! Dat ondermijnt elke peiler van de democratie ... en is de natte droom van elke dictator en veiligheidsdienst (makkelijk tegenstanders uit de weg ruimen !)

WAKKER WORDEN MENSEN !

Wat een mooie en duidelijke samenvatting, van de none-sense van het euro(3rd reigh)-propaganda apparaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.