Europol wil encryptie met privacy-invasieve tools omzeilen
Als het aan Europol en het Europees agentschap voor netwerk- en informatiebeveiliging (Enisa) ligt wordt er meer op privacy-invasieve onderzoekstools ingezet om encryptie te omzeilen. Dat hebben beide partijen in een gemeenschappelijke verklaring over privacy en het 'encryptiedilemma' laten weten.
Volgens Europol en Enisa zitten er grenzen aan de privacy van mensen, waarbij de rechten van het individu zorgvuldig moeten worden afgewogen tegen de individuele rechten van anderen. "In het geval van ernstige misdrijven moeten opsporingsdiensten op rechtmatige wijze de privacy kunnen schenden of op de beveiligingsmechanismen van elektronische communicatie kunnen inbreken." Daar stellen beide partijen wel voorwaarden aan waaronder dit moet kunnen plaatsvinden. "We willen bij het gebruik van ingrijpende onderzoekstools het belang van proportionaliteit benadrukken.
Het is in ieder geval geen oplossing om encryptiestandaarden te verzwakken of met een escrow-systeem te werken om encryptiesleutels uit te wisselen, zo stellen Europol en Enisa. Dit zou namelijk ook kansen voor criminelen bieden. Het gebruik van encryptie vormt echter een belemmering bij uitvoeren van onderzoek, aldus de verklaring (pdf). Daarom is er een aparte paragraaf over het oplossen van het 'encryptiedilemma'.
Omzeilen
Als oplossing voor het dilemma wordt gepleit voor het uitwisselen van kennis om encryptie te omzeilen. In plaats van de encryptie te kraken kan de beoogde communicatie of data ook op de computer of smartphone van een verdachte worden onderschept. "De focus moet liggen op het verkrijgen van toegang tot de communicatie of informatie. Niet op het kraken van de beveiliging. Het goede nieuws is dat de informatie op een gegeven moment ontsleuteld moet worden zodat de criminelen het kunnen gebruiken."
Hierbij kunnen privacy-invasieve onderzoekstools een belangrijke rol spelen. Niet alleen moet er kennis over deze tools worden uitgewisseld, ook zouden onderzoekers profiteren als wetgeving in landen over het gebruik van dergelijke tools meer op elkaar is afgestemd. Ook zouden beleidsmakers kunnen helpen door duidelijk beleid op te stellen wat betreft de proportionaliteit wanneer privacy-invasieve tools kunnen worden ingezet. "Dit biedt mogelijkheden voor alternatieven, zoals undercoveroperaties, het infiltreren van criminele organisaties en het verkrijgen van toegang tot communicatie-apparaten voorbij het punt van encryptie, bijvoorbeeld via live forensics van in beslag genomen toestellen of via rechtmatige interceptie van die apparaten als ze nog door de verdachten worden gebruikt."
Als het omzeilen van de encryptie niet mogelijk is en de versleutelde informatie toch moet worden achterhaald, dan pleiten Europol en Enisa voor andere oplossingen, zowel op het gebied van wetgeving als technische ontwikkelingen. Wel moet hierbij de encryptie zelf niet worden verzwakt. Zo wordt opgeroepen tot een nauwe samenwerking met technologiebedrijven en cryptografische onderzoekers om encryptie te kunnen kraken. "We zijn ervan overtuigd dat een oplossing die een verstandige en werkbare balans biedt tussen individuele rechten en de bescherming van EU-burgers kan worden gevonden", besluiten beide partijen.
Als je communicatie van een crimineel/verdachte wilt volgen dan breek je in op zijn mobiel of PC om toegang tot de communicatie te krijgen in plaats van alle data van iedereen te onderscheppen.
Vertaald van Ambtenaars naar Nederlands:
"Volgens Europol en Enisa moeten we gewoon alles kunnen doen en laten wat we willen, we zijn immers god, en god zijn zonder god-mode rechten is niet handig... Je vertrouwt ONS toch wel? Anyway, the needs of us outway any need of you pleps"
Yup, inbreuk op privacy is alleen toegestaan binnen de regels van de wet. En daarmee is de privacy dus buiten werking gesteld.
Mensen coderen voor hun eigen veiligheid en privacy.
Je kan mensen het recht niet ontnemen hun privacy bloot te leggen.
Codering is juist van belang voor de wereldvrijheid van burgers,waar een dictatoriaal regime is bijvoorbeeld ook.
Als die geheime diensten evasieve tools in handen krijgen van die landen,dan komen de burgers in die landen die vrij met elkaar willen communieseren in gevaar.
Dan lopen die mensen de kans dat ze door de overheid daar worden opgepakt,en hun mensenrechten worden geschonden.
Dan lopen die mensen de kans dat ze door de overheid daar worden opgepakt,en hun mensenrechten worden geschonden.
Wat we nu hebben werkt niet, dus we hebben meer macht, middelen, mogelijkheden, enzovoorts nodig.
Waarom? Omdat we dat vinden.
Onderbouwing? Omdat we dat vinden.
Resultaten tot op heden? Niet voldoende vinden we.
Verwachte resultaten na toekenning eisenpakket nummer zoveel? U hoort nog van ons.
Kan dit misbruikt worden? Vertrouw ons.
Dan lopen die mensen de kans dat ze door de overheid daar worden opgepakt,en hun mensenrechten worden geschonden.
Blub blub blub.
... even het geheugen opfrissen; een klein voorbeeld van onze vrienden en overheden in actie: https://www.youtube.com/watch?v=GGHXjO8wHsA
Tevens de kanttekening dat gedurende mijn dienstjaren ik geleerd heb dat "Het Rode Gevaar", een drogreden was/is.
Have phun!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
