image

Hoogleraar: betaal Apple en Google voor kraken encryptie

zaterdag 19 december 2015, 06:44 door Redactie, 22 reacties

Opsporingsdiensten zouden techbedrijven als Apple en Google moeten betalen voor het kraken van versleutelde berichten, zo stelt Darren Hayes, hoogleraar en directeur cybersecurity aan de Pace University. "Als er een financiële prikkel voor Google en Apple is om opsporingsdiensten te helpen, dan zouden ze meer bereid zijn om hun encryptietechnologie aan te passen om opsporingsdiensten met een gerechtelijk bevel te faciliteren."

Internetproviders worden nu in de Verenigde Staten vergoed voor bijvoorbeeld het aftappen van internetverbindingen. Volgens Hayes hebben Apple en anderen als doel om geld te verdienen. Het moet dan ook een businesscase voor ze worden om met opsporingsdiensten samen te werken. Daarnaast vindt de hoogleraar dat de CALEA-wetgeving moet worden aangepast. De CALEA-wetgeving verplicht Amerikaanse telecombedrijven om communicatieverkeer te kunnen aftappen. De wetgeving zou ook voor versleutelde data moeten gelden, of er moet een andere standaard komen, vindt Hayes.

Daarnaast zal ook een financiële prikken de bedrijven overtuigen, zo laat hij tegenover CSO Online weten. "Er moet iets gebeuren, als er een bevel is om versleutelde communicatie te onderscheppen", stelt Hayes. "Een jaar geleden had Apple [bij oudere iOS-versies] de decryptiesleutels. Het is dus geen probleem om weer naar die situatie terug te gaan." De hoogleraar erkent dat Amerikaanse wetgeving niet voor andere landen geldt, maar stelt dat het wel als beginpunt voor het oplossen van een lastig probleem kan dienen.

Reacties (22)
19-12-2015, 07:52 door Anoniem
Zou de beste man er wel eens over nagedacht kunnen hebben dat wanneer de Roverheid bij die sleutels kan, andere bad guys dat ook kunnen?
19-12-2015, 08:02 door Anoniem
Ik zit in een land met weinig wetgeving of cyber gebied. Binnenkort maar eens een leuke encryptiedienst in elkaar draaien om de fbi te sarren. Dan kan ik maar beter een auto aanschaffen met weinig electronica anders rijd ik opeens tegen de rivier in :P
19-12-2015, 08:08 door Anoniem

De hoogleraar erkent dat Amerikaanse wetgeving niet voor andere landen geldt, maar stelt dat het wel als beginpunt voor het oplossen van een lastig probleem kan dienen

Welk probleem wordt huer bedoeld? Dat de overheid alles moet kunnen weten omdat weals we 'goed' zijn niets te vrrbergen hebben?
Waarom verbergen ze zelf dan zoveel voor ons, je hebt dan geen geheime diensten nodig die zaken doen die het daglicht niet kunnen velen.

Vertrouwen komt meestal van twee kanten, en wantrouwen ook : zoals de waard is vertrouwd hij zijn gasten.
Wanneer we stellen dat de overheid de waard is, dan....
19-12-2015, 09:24 door [Account Verwijderd]
[Verwijderd]
19-12-2015, 10:21 door Anoniem
Door Anoniem: ... Dan kan ik maar beter een auto aanschaffen met weinig electronica anders rijd ik opeens tegen de rivier in :P
Dat gaat niet helpen als die tegenmoet komende auto ineens van baan verwisseld.
19-12-2015, 10:38 door [Account Verwijderd]
Verbazingwekkend dat nagenoeg altijd slechts mensen reageren die zich meteen op hun staart getrapt voelen als ten behoeve van opsporingsdiensten, modernere mogelijkheden of digitale varianten aanvullend op het oude huiszoekingsbevel worden voorgesteld. Voelen zij zich benadeeld, direct of indirect? Zo ga je wel denken. Als Nederland model staat voor 7 van de 10 mensen die op Security.nl reageren op deze en vergelijkbare berichten, dan is ons lage landje nog meer vergiftigd met criminaliteit dan Honduras, (Zuid-Amerika) http://list25.com/25-countries-with-the-highest-murder-rates-in-the-world/5/
Wijze raad: vergeet straks voor het boodschappen doen niet WiFi/Airport uit te schakelen, uw computer in de kluis te zetten, voor- en achterdeur en alle ramen drie-punts te vergrendelen, de inbraakmeldinstallatie te activeren en door te geven aan de alarmopvolgingsdienst dat u slechts 0,75 uur van huis bent.
Fijne dag verder.
19-12-2015, 10:50 door Anoniem
Wanneer je in bezit bent van de iPhone als opsporingsdienst dan kan die iPhone opgemaakt worden en aan andere apparatuur gekoppeld worden. Middels die apparatuur kan de pin-code gok-vertraging en het wis-mechanisme worden omzeild en kan er brute-force op de pincode losgegaan worden.
Zet dat af tegen de hoeveelheid mensen/criminelen die pincodes/wachtwoorden van meer dan 8 karakters hebben (en als ze het hebben zal daar weinig tot geen leestekens inzitten vanwege de relatief lastige invoer).

Dus in een groot deel van de gevallen zijn ze relatief snel bij de inhoud van de telefoon.
19-12-2015, 10:59 door Anoniem
Door Aha: Verbazingwekkend dat nagenoeg altijd slechts mensen reageren die zich meteen op hun staart getrapt voelen als ten behoeve van opsporingsdiensten, modernere mogelijkheden of digitale varianten aanvullend op het oude huiszoekingsbevel worden voorgesteld.

Dat opsporingsdiensten de mogelijkheid hebben om communicatie af te tappen zie ik niet als het probleem, maar de manier waarop ze dat willen bewerkstelligen wel. Het afdwingen van backdoors of andere decryptiemogelijkheden is niet effectief, want goede encryptie en gecodeerde communicatieprotocollen zijn ruimschoots ook in open source en buiten de jurisdictie van de VS beschikbaar. De mensen die belang hebben bij encryptie voor criminele of terroristische doeleinden gebruiken deze 3rd party encryptie en communicatieprotocollen en kun je hiermee dus ook niet aftappen. Tegelijkertijd creeer je een beveiligingsrisico bij legitieme encryptie, omdat vroeg of laat de backdoor op straat zal komen te liggen.

Als je enigzins het debat over encryptie volgt weet je ook dat op basis van de fouten die mensen maken opsporingsdiensten veel informatie toch al kunnen vergaren. Bovendien blijkt ook keer op keer dat het probleem niet het vergaren van informatie is, maar de communicatie tussen de verschillende diensten en het opvolgen van de leads.
19-12-2015, 11:53 door Anoniem
@Aha. Ik snap je redenatie, maar vind het te gemakkelijk gezegd. Voor mij voelt het niet veilig als Jan en Alleman mijn prive binnen kunnen dringen, hetzij direct, hetzij indirect en ik denk velen met mij. Een huis kun je fysiek beveiligen tegen indringers dan wel pottekijkers. Omdat er tegenwoordig meer en meer digitaal wordt opgeslagen en gecommuniceerd wil je hier ook geen pottekijkers, althans ik niet. Ik heb weliswaar een zeker vertrouwen in dat een Overheid zoals in NL niet gaat strooien met mijn gegevens, maar ik heb een erg matig vertrouwen in dat Overheidsgegevens veilig worden opgeslagen.
Ik heb hier genoeg aannames voor, gezien ik bij diverse Overheidsinstellingen binnenkom (als Security Engineer) en regelmatig droefmakende beveiliging aantref.
Ook geloof ik dat de betere beveiligingsexperts niet bij de overheid werken, maar in het bedrijfsleven, gewoonweg omdat in het bedrijfsleven (veel) meer te verdienen is, zeker als je erg goed bent in je vak.
Ik dwaalf af. Fijn weekend mensen.
19-12-2015, 12:10 door [Account Verwijderd]
[Verwijderd]
19-12-2015, 12:25 door Anoniem
Door Aha: Verbazingwekkend dat nagenoeg altijd slechts mensen reageren die zich meteen op hun staart getrapt voelen als ten behoeve van opsporingsdiensten, modernere mogelijkheden of digitale varianten aanvullend op het oude huiszoekingsbevel worden voorgesteld. Voelen zij zich benadeeld, direct of indirect? Zo ga je wel denken. Als Nederland model staat voor 7 van de 10 mensen die op Security.nl reageren op deze en vergelijkbare berichten, dan is ons lage landje nog meer vergiftigd met criminaliteit dan Honduras, (Zuid-Amerika) http://list25.com/25-countries-with-the-highest-murder-rates-in-the-world/5/
Wijze raad: vergeet straks voor het boodschappen doen niet WiFi/Airport uit te schakelen, uw computer in de kluis te zetten, voor- en achterdeur en alle ramen drie-punts te vergrendelen, de inbraakmeldinstallatie te activeren en door te geven aan de alarmopvolgingsdienst dat u slechts 0,75 uur van huis bent.
Fijne dag verder.
Het woord dictatuur zal je wel goed in de oren klinken, maar er zijn ook nog mensen die hier anders over denken.
Geen enkele overheid heeft het recht om mensen te monitoren, als ze geen verdachten zijn.
Elk mens heeft recht op privacy.
Van een hoogleer mag je denk ik toch wel een andere kijk op privacy verwachten.
19-12-2015, 13:29 door karma4
Door Aha: Verbazingwekkend dat nagenoeg altijd slechts mensen reageren die zich meteen op hun staart getrapt voelen als ten behoeve van opsporingsdiensten, modernere mogelijkheden of digitale varianten aanvullend op het oude huiszoekingsbevel worden voorgesteld. Voelen zij zich benadeeld, direct of indirect?
Goeie vraag en je raakt zo te zien meteen iemand.
19-12-2015, 14:48 door [Account Verwijderd]
Door karma4:
Door Aha: Verbazingwekkend dat nagenoeg altijd slechts mensen reageren die zich meteen op hun staart getrapt voelen als ten behoeve van opsporingsdiensten, modernere mogelijkheden of digitale varianten aanvullend op het oude huiszoekingsbevel worden voorgesteld. Voelen zij zich benadeeld, direct of indirect?
Goeie vraag en je raakt zo te zien meteen iemand.

Ik zoek niemand te kwetsen maar slechts te prikkelen om historisch bewustzijn tot een leidraad te nemen als het hete hangijzer privacy weer eens als een rode lap op een stier dreigt te gaan werken.
In dit nog steeds oh zo calvinistische landje moet je wel heel èrg sluw, ja doortrapt zijn het als beleidsmakend politicus zover te krijgen dat een - kinderachtig stempel - 'roverheid' het voor het zeggen krijgt. Ons land heeft het oudste democratische rechtsbestel en parlement met de meeste bevoegdheden. Vol ongeloof over dit feit? Lees je geschiedenis! Dat het ondanks dit feit daardoor in dit land op het gebied van privacy niet helemaal voor de wind gaat heeft niets te maken met nationale zaken maar alles met het feit dat Nederland zich op aarde bevindt, ofwel: als naam (Nederland) géén solitaire planeet is in een sterrenstelsel in een verre uithoek van het heelal. Met andere woorden: Wat hier gebeurt heeft gevolgen voor internationale betrekkingen en vice versa. Wees blij dát we een overheid hebben die zo functioneert. Er zijn landen waar dat niet het geval is; waar de hier vaak gebruikte term 'roverheid' nog een extreem zwak geformuleerde werkelijkheid is.
Waar ik telkens van moet schuddebuiken van het lachen is het bijna panische getoeter dat het door de media tot een immense luchtbel doorgedraaide geblaat over privacy zoveel Nederlandse mensen onnodig wind in de broek jaagt. En dat laatste vind ik nu juist weer zo triest.
Ik heb het elders, ik weet al niet meer waar, anders geformuleerd hier al eens geschreven: Als je werkelijk wil weten wat privacy inhoudt moet je een half jaar gaan wonen in een van de landen die ik in mijn eerste reactie hier aangeef. Dan zou je als het niet anders kon wel terug willen zwemmen - als het aan de andere kant van de oceaan ligt - om weer in Nederland terecht te komen!
19-12-2015, 14:48 door Anoniem
Dit hoeven ze niet bij Cryptoboss O.S te doen. Beter een zelfstandig bedrijf gebruiken die gespecialiseerd is in encryptie i.p.v. Google(Android-rommel) en een Appel bende
19-12-2015, 15:25 door [Account Verwijderd]
Door Anoniem: @Aha. Ik snap je redenatie, maar vind het te gemakkelijk gezegd. Voor mij voelt het niet veilig als Jan en Alleman mijn prive binnen kunnen dringen, hetzij direct, hetzij indirect en ik denk velen met mij. Een huis kun je fysiek beveiligen tegen indringers dan wel pottekijkers. Omdat er tegenwoordig meer en meer digitaal wordt opgeslagen en gecommuniceerd wil je hier ook geen pottekijkers, althans ik niet. Ik heb weliswaar een zeker vertrouwen in dat een Overheid zoals in NL niet gaat strooien met mijn gegevens, maar ik heb een erg matig vertrouwen in dat Overheidsgegevens veilig worden opgeslagen.
Ik heb hier genoeg aannames voor, gezien ik bij diverse Overheidsinstellingen binnenkom (als Security Engineer) en regelmatig droefmakende beveiliging aantref.
Ook geloof ik dat de betere beveiligingsexperts niet bij de overheid werken, maar in het bedrijfsleven, gewoonweg omdat in het bedrijfsleven (veel) meer te verdienen is, zeker als je erg goed bent in je vak.
Ik dwaalf af. Fijn weekend mensen.

Met betrekking tot afbakening voor onbevoegden van databases die al of niet ondersteund worden door specifiek voor het doeleind ontworpen programmatuur en de toegankelijkheid hiertoe gekoppeld aan het veilig opslaan zoals je omschrijft, ja dat het daaraan kan schorten daar kan ik héél goed inkomen en ben het daarmee ook hartgrondig met je eens.
Zelfs simpele besturingsprogrammatuur bijvoorbeeld voor gebouwbeheerssystemen is al bedroevend qua veiligheid en daar wordt geen voor- of achternaam in genoemd (doet ook niet ter zake)

Het zou moeten vallen binnen de context van zo'n voorstel zoals in het redactioneel artikel aangehaald dat justitieel bevoegd inbreken en opslaan van privé-gegevens uitsluitend zou mogen gebeuren met volledig up to date hard- en software, en ja dat is zeker een ongeneeslijke achilleshiel, of wel: up-to-date om 13:22:19 uur is 'vulnerable' om 13:22:20 uur (héél cru gesteld)

Ik weet ook niet wat de beste middenweg is. Ik zie alleen dat er naar mijn smaak naar Nederlandse maatstaven veel te hard wordt ingezet op het woord privacy en dat dit woord tot een veel te beladen kwestie wordt opgepompt.
19-12-2015, 15:29 door Anoniem
Voor een hoogleraar heeft die weinig voeling met de realiteit, wat blijkbaar een ziekte aan het worden is onder academici die meestal preken voor de eigen kerk.

Als een maatschappij enkel kan samenleven of extremisme kan weren door een totale controle op alle vormen van communicatie, dan heeft dat maatschappelijk model geen bestaansrecht. Een overheid gaat er dan vanuit dat in ieder van ons een potentiële extremist zit.

Het recept om dit te bewerkstelligen is oud en gekend: angst en verdeeldheid.

In tijden van decentralisatie alluderen dat je alles kan reduceren tot een handvol bedrijven is ridicuul.
19-12-2015, 15:42 door [Account Verwijderd]
Ethiek en moraal zijn af te kopen, dat zien we overal om ons heen. Iedereen heeft zijn prijs.
19-12-2015, 20:34 door Anoniem
Het is niet helemaal duidelijk wat deze man nu wil: terug naar een verouderde situatie waar ook buitenlandse diensten misbruik van kunnen maken of tech bedrijven betalen voor met brute force hun eigen encryptie te kraken?

Waarom komt iemand die nota bene voor hoogleraar door moet gaan, eigenlijk niet op het simpele idee om asymmetrische encryptie met 2 publieke sleutels te gebruiken? Een van de ontvanger er een van een overheidsinstantie. Verhuis je naar een ander land: weg sleutel van dienst A en toevoegen sleutel van dienst B.

Elk misbruik is zo uitgesloten, achterdeurtjes zijn overbodig en er is een bevoegde dienst welke de berichten van zijn eigen burgers kan lezen. Tussen landen kan er op basis van een overeenkomst gegevens van buitenlanders opgevraagd worden. Bij landen waar overeenkomsten niet mogelijk zijn of sleutels niet toegevoegd worden kun je techbedrijven vragen om automatisch te downgraden naar een zwakke encryptie welke 'gemakkelijk' te brute forceren is. Dan is ook nog eens gemakkelijker te bepalen welke versleutelde communicatie werkelijk verdacht is. En burgers hebben ook nog eens een keuze.

Alle problemen opgelost en per direct realiseerbaar omdat dan (bijna) iedereen tevreden is.
19-12-2015, 21:06 door Anoniem
Door MAC-user: Waarom wordt elke keer encryptie tot een probleem gemaakt?

Velen met mij willen niet hebben dat er zo maar ingebroken kan worden. Je moet je eens voorstellen dat je betaalgegevens, je PIN-codes en je autorisatiecodes worden gejat tijdens het internetbankieren, alleen maar omdat een of andere Prof vindt dat opsporingsdiensten de zaak mogen kraken?

Daar heb ik ook hekel aan. Moet wij in de toekomst zonder gordijnen in de woonkamer zitten en kleren zonder zakken lopen dat je niks in je jas- en broekzakken kan verbergen?
19-12-2015, 22:17 door karma4
Door Aha: Ik zoek niemand te kwetsen maar slechts te prikkelen om historisch bewustzijn tot een leidraad te nemen als het hete hangijzer privacy weer eens als een rode lap op een stier dreigt te gaan werken.
///
Waar ik telkens van moet schuddebuiken van het lachen is het bijna panische getoeter dat het door de media tot een immense luchtbel doorgedraaide geblaat over privacy zoveel Nederlandse mensen onnodig wind in de broek jaagt. En dat laatste vind ik nu juist weer zo triest.
Ik ben het met je eens hoor. Kijk eens naar het artikel. De hoogleraar geeft enkel aan dat het zelfde proces/werkwijze gevolgd zou moeten worden als bij de normale rechtsgang. Lijkt me niet verkeerd. Trias politica met vele controles op misbruik fout gedrag bij handhavers. En dan .....

Komen de reacties uit de technische insteek of de uiting van de politieke onvrede (alles gaat fout) of ...

Privacy zoals wij daar nu over denken is pas van zeer recente tijd (Zeg maar laatste 50 jaar). In de eerdere tijden waren er heel andere prioriteiten. Die heetten overleven.http://www.nazatendevries.nl/Artikelen%20en%20Colums/Het%20leven%20in%20Groningerland/Het%20leven%20van%20de%20'gewone%20man'%20in%20Groningerland.html
https://nl.wikipedia.org/wiki/Privacy

Dat de commercie en lust naar nacht van grote invloed zijn is helaas ook iets van alle tijden. Liberaal met monopolisme is geen vrijheid/privacy ook willen dat wel zo graag op die manier verkopen.
21-12-2015, 16:38 door SPlid
Door Aha: Verbazingwekkend dat nagenoeg altijd slechts mensen reageren die zich meteen op hun staart getrapt voelen als ten behoeve van opsporingsdiensten, modernere mogelijkheden of digitale varianten aanvullend op het oude huiszoekingsbevel worden voorgesteld. Voelen zij zich benadeeld, direct of indirect? Zo ga je wel denken. Als Nederland model staat voor 7 van de 10 mensen die op Security.nl reageren op deze en vergelijkbare berichten, dan is ons lage landje nog meer vergiftigd met criminaliteit dan Honduras, (Zuid-Amerika) http://list25.com/25-countries-with-the-highest-murder-rates-in-the-world/5/
Wijze raad: vergeet straks voor het boodschappen doen niet WiFi/Airport uit te schakelen, uw computer in de kluis te zetten, voor- en achterdeur en alle ramen drie-punts te vergrendelen, de inbraakmeldinstallatie te activeren en door te geven aan de alarmopvolgingsdienst dat u slechts 0,75 uur van huis bent.
Fijne dag verder.
Rare redenatie, ik vind dat de overheid niets met mijn privé spullen te maken heeft.
En btw. Uw redenatie is precies de redenatie waarom de overheid van wel vind: iedereen is een crimineel totdat het tegendeel bewezen is. Een beetje facistische gedachte.
21-12-2015, 20:24 door karma4
Door SPlid:
Rare redenatie, ik vind dat de overheid niets met mijn privé spullen te maken heeft.
En btw. Uw redenatie is precies de redenatie waarom de overheid van wel vind: iedereen is een crimineel totdat het tegendeel bewezen is. Een beetje facistische gedachte.
SPlid er staat bij AHA niet dat iedereen crimineel is totdat het tegendeel bewezen is , er staat "modernere mogelijkheden of digitale varianten aanvullend op het oude huiszoekingsbevel worden voorgesteld"
Daarmee krijgt jouw reactie een heel rare insteek. Jij promoot dat privacy van criminelen belangrijker is dan dat ze bij gegronde redenen nader aan de tand gevoeld mogen worden.

De verwijzing naar facisme (italiaans) is ook een vreemde je bedoelt denk ik nazisme https://nl.wikipedia.org/wiki/Fascisme. In beide gevallen gaat het wel om een ideaal met "de grote leider". Dat met de grote leider ontbreekt bij al die pogingen van onze overheid. Het is wel gevaarlijk als zo'n partij aan de macht zou komen.

Met het afzetten tegen de overheid als de grote boosdoener toon je overeenkomst met hoe de Sociaal Democratische Arbeiders Partij (Zeer nationalistisch) aan de macht kwam in de Weimarrepubliek van de vorige eeuw. https://nl.wikipedia.org/wiki/Weimarrepubliek. Het zou je sieren de geschiedenis met feiten ter harte te nemen.
Een beetje googlen (liefst meerdere bronnen/talen) moet een neder toch kunnen. Dan ook nog logisch nadenken en de opties / draadjes wat waar is en wat niet kunnen afhandelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.