image

Groot deel Kamer tegen verzwakken WhatsApp-encryptie

zondag 18 september 2016, 08:32 door Redactie, 31 reacties

Een groot deel van de Tweede Kamer is tegen de wens van de AIVD om de encryptie van WhatsApp en andere chatdiensten te verzwakken zodat de inlichtingendienst versleutelde chatberichten toch kan lezen. Gisteren deed AIVD-directeur Rob Bertholee daartoe een oproep in de Volkskrant.

"Geen schijnveiligheid ten koste van onze privacy!", zegt D66-Kamerlid Kees Verhoeven op Facebook. Hij spreekt van een zorgwekkend interview met een zeer geïrriteerde Bertholee. Verhoeven hekelt vooral de angst die de AIVD-directeur probeert te verspreiden, maar waarvoor nergens bewijs wordt geleverd. "Onderbouwing van de angstbeelden is onmogelijk want dat zou potentiële terroristen in de kaart spelen. We moeten hem dus maar gewoon geloven. Deze bangmakerij is merkwaardig en past niet in de eerdere communicatiewijze van de AIVD", gaat Verhoeven verder.

Hoewel Bertholee stelt dat de dreiging nog nooit zo groot is geweest, is het dreigingsniveau dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) hanteert al jaren hetzelfde. "De AIVD-baas jaagt mensen schrik aan zonder concreet te worden en zonder het officiële dreigingsniveau aan te passen. Hij vindt privacy maar gezeur en eist vergaande nieuwe bevoegdheden zonder de noodzaak ervan te onderbouwen. Ik weet niet hoe het met u zit maar na het lezen van dit interview ga ik vanavond niet rustiger slapen", besluit het D66-Kamerlid.

Verhoeven krijgt bijval van Gert-Jan Segers van de ChristenUnie. "Bertholee stelt het veel te algemeen. Je zou de privacy van iedereen aantasten om enkelen aan te pakken. Laat hem eerst maar eens bewijzen dat het telkens meer inleveren van privacy, de veiligheid ten goede komt", laat hij aan de Telegraaf weten. Op Twitter schrijft Segers over de wens van Bertholee. "We hebben al veel privacy ingeleverd, maar hoeveel veiligheid hebben we daar eigenlijk voor teruggekregen?"

Ook de SP en PvdA laten aan de krant weten het niet eens met de AIVD-directeur te zijn en willen encryptie niet verzwakken. "Daarmee zou je de integriteit van heel het internet aantasten", zegt PvdA-Kamerlid Jeroen Recourt. "Via dat soort achterdeurtjes hol je de waarborgen uit die we nu hebben." GroenLinks maakte onlangs het concept-verkiezingsprogramma bekend waarin het stelt dat de overheid juist kennis en gebruik van veilige encryptie zonder achterdeurtjes moet bevorderen. De partijen hebben bij elkaar 72 zetels in de Tweede Kamer.

Ockje Tellegen, VVD-Tweede Kamerlid en woordvoerder openbare orde/veiligheid, terrorisme en veiligheidsdiensten, laat een ander geluid horen. In een reactie op het interview en de wens van de AIVD om de encryptie van chatdiensten te beperken tweet ze. "Eens. Een terrorist heeft geen recht op privacy."

Reacties (31)
18-09-2016, 08:37 door quikfit
"Geen schijnveiligheid ten koste van onze privacy!", zegt D66-Kamerlid Kees Verhoeven op Facebook.

Grappig...
18-09-2016, 08:47 door potshot
Door quikfit: "Geen schijnveiligheid ten koste van onze privacy!", zegt D66-Kamerlid Kees Verhoeven op Facebook.

Grappig...

jammer dat je niet lekker kan flamen heh?
maar toch nog wel even een mekkertje eruit persen..tis namelijk NOOIT goed wat de politiek doet heh?
18-09-2016, 09:06 door Anoniem
Kijk , ze gaan het eindelijk snappen , maar nu wil ik ook boter bij de vis .
Die AIVD-directeur Bertholee meteen op non-actief zetten en tot op de bodem uitzoeken voor wie hij eigenlijk werkt .
De man is zelf terrorist , hij is immers continue bezig met het terroriseren van de privacy en de veiligheid , dat moet een achterliggende reden hebben die ook eens goed uitgezocht moet worden .
18-09-2016, 09:18 door quikfit
Door potshot:
Door quikfit: "Geen schijnveiligheid ten koste van onze privacy!", zegt D66-Kamerlid Kees Verhoeven op Facebook.

Grappig...

jammer dat je niet lekker kan flamen heh?
maar toch nog wel even een mekkertje eruit persen..tis namelijk NOOIT goed wat de politiek doet heh?

Ik ben blij dat ze tegen zijn,maar ik vind het grappig dat ie het over privacy heeft via Facebook.
Voorlopig ben jij degene die mekkert.
18-09-2016, 10:00 door karma4
Door Anoniem: ...Die AIVD-directeur Bertholee meteen op non-actief zetten en tot op de bodem uitzoeken voor wie hij eigenlijk werkt . ...
Beetje rottig verwoord, stel de vraag anders: Is hij wel de juiste persoon op die positie.
https://www.aivd.nl/actueel/nieuws/2011/11/18/rob-bertholee-nieuwe-hoofd-aivd Militaire opvoeding, dat begint al slecht voor het begrip van ICT. Het is wel goed voor geheimhouding en werken in een gesloten wereld buiten de normale maatschappij. Met een leeftijd van 56 in dit jaar is dat reden voor pensioen in die beroepsgroep. Zouden ze hem dat baantje gegeven hebben wegens de veranderende pensioenaanspraken naar 67+?

http://www.npo.nl/denk-groter-debat-rob-bertholee-aivd/28-03-2016/REG_BRAB_TV2255168 Ik vind het nogal klein van geest die poging tot promotie. Wat ontbreekt is slimmer denken, vernieuwende ideeën, gebruik van bekende resultaten.
18-09-2016, 10:02 door Dick99999 - Bijgewerkt: 18-09-2016, 10:03
Een theoretische discussie lijkt mij. Is Nederland echt bij machte encryptie te verzwakken? Ik gok dat zelfs Duitsland en Frankrijk samen dat niet voor elkaar krijgen. Maar als 2-de kamer lid moet je wel denken dat je dit kan beïnvloeden. Het gaat helemaal niet om WhatsApp, het gaat om encryptie.
18-09-2016, 10:07 door Erik van Straten - Bijgewerkt: 18-09-2016, 10:10
De prijs de we betalen door encryptie te verzwakken en/of reservesleutels uit te delen aan allerlei diensten (in Sirië en Turkije willen ze die dan ook, en bewezen is dat niet alle medewerkers van al deze -ook Nederlandse- diensten betrouwbaar zijn) is niet alleen het inleveren van privacy!

Sowieso wordt in toenemende mate vertrouwelijke informatie tussen steeds beter geauthenticeerde endpoints fatsoenlijk versleuteld uitgewisseld; privacygevoelige informatie is daar slechts een onderdeel van.

Belangrijker: nu al, maar zeker naarmate we over betere digitale authenticatiemethodes beschikken (die zijn m.i. essentieel en gaan er komen) zullen (cyber-) criminelen steeds meer gedwongen worden om zich voor te doen als anderen (identiteitsfaude dus). Dit zien we bij spam, dus ook bij (spear) phishing en malware mails: in nagenoeg alle (zo niet alle) gevallen is de afzender vervalst.

Voor degenen die niet begrijpen wat ik bedoel, met WhatsApp als voorbeeld: als je een appje ontvangt vertrouw je erop dat de afzender is die je op je scherm ziet. Versleuteling zorgt ervoor dat als je via public WiFi appjes verstuurt en/of ontvangt, derden niet kunnen meelezen (iets wat zelden boeiend is voor die derde) maar ook dat ze die berichten niet kunnen wijzigen - door jou dingen te laten doen waar de derde rijker en jij armer van wordt. Bijv. door jou te vragen naar een stille plek te komen om jou te beroven, ontvoeren (als jij van "bijzondere waarde" bent), verkrachten, dwingen tot naakfoto's maken en vervolgens afpersen. Nb. ook kinderen en ouderen gebruiken WhatsApp. Maar ook minder naïeve mensen kunnen met social engineering eenvoudig op een verkeerd been worden gezet.

Helaas ligt het ingewikkelder. Versleutelen is zinloos als je niet weet met wie je communiceert. Immers, je wilt weten of het appje dat jij stuurt bij de juiste persoon terecht komt en niet uitsluitend bij een derde. En de ontvanger wil zeker weten dat jij de afzender bent. Om die reden maken diensten zoals WhatsApp in toenemende mate gebruik van unieke persoons- (feitelijk device-) gebonden sleutels om jouw identiteit en die van de persoon "aan de andere kant van de lijn" te waarborgen.

M.a.w. versleuteling kan helpen om meelezen te voorkomen, maar de combinatie van authenticatie en versleuteling is noodzakelijk voor betrouwbare verbindingen. Als je vervolgens de versleuteling verzwakt, of derden kopiën van sleutels geeft die vroeger of later gegarandeerd in verkeerde handen vallen, is die vorm van communicatie niet betrouwbaar meer en zullen criminelen daarvan profiteren.

De problemen bij e-mail laten zien wat er gebeurt als authenticatie en encryptie niet goed geregeld zijn. Met als gevolg discussie over Clinton's mailserver en Kamp's gmail, maar vooral het grote aantal slachtoffers waar nauwelijks iets tegen te doen valt (zie [1]). Encryptie is daarbij niet eens altijd nodig; zeker weten wie de afzender is en dat het bericht niet onderweg is gewijzigd, volstaat in veel gevallen (namelijk als de inhoud niet vertouwelijk is, zoals bij reclame-achtige mails van financiële instellingen).

Ik vind het een slechte zaak dat kamerleden zich niet lijken te realiseren dat het niet alleen om privacy gaat. Volslagen onverantwoordelijk vind ik het dat iemand als Bartholee, die beter zou moeten weten, zo onverantwoordelijk op onderbuikgevoelens inspeelt.

Authenticatie en encryptie zullen steeds belangrijker worden in de strijd tegen criminaliteit. Het gaat echt niet alleen om privacy, iets dat een meerderheid zal willen inleveren na een paar aanslagen in Nederland.


[1] https://isc.sans.edu/forums/diary/Is+2+out+of+3+good+enough+for+AntiMalware/21485/
18-09-2016, 10:41 door [Account Verwijderd] - Bijgewerkt: 18-09-2016, 10:42
[Verwijderd]
18-09-2016, 10:48 door Anoniem
Door karma4:
Door Anoniem: ...Die AIVD-directeur Bertholee meteen op non-actief zetten en tot op de bodem uitzoeken voor wie hij eigenlijk werkt . ...
Beetje rottig verwoord, stel de vraag anders: Is hij wel de juiste persoon op die positie.
https://www.aivd.nl/actueel/nieuws/2011/11/18/rob-bertholee-nieuwe-hoofd-aivd Militaire opvoeding, dat begint al slecht voor het begrip van ICT. Het is wel goed voor geheimhouding en werken in een gesloten wereld buiten de normale maatschappij. Met een leeftijd van 56 in dit jaar is dat reden voor pensioen in die beroepsgroep. Zouden ze hem dat baantje gegeven hebben wegens de veranderende pensioenaanspraken naar 67+?

http://www.npo.nl/denk-groter-debat-rob-bertholee-aivd/28-03-2016/REG_BRAB_TV2255168 Ik vind het nogal klein van geest die poging tot promotie. Wat ontbreekt is slimmer denken, vernieuwende ideeën, gebruik van bekende resultaten.

Wat ik vooral zo schrijnend vind is dat deze persoon (net als veel politici) zo totaal onkundig is met betrekking tot
de achtergronden van terrorisme. Of wellicht deze wel snapt, maar snel even wat maatregelen probeert door te
drukken in de hoop dat anderen het wellicht niet zullen snappen en met zijn domme geklets mee zullen gaan.

Kenmerkend voor terrorisme is dat een kleine groep met beperkte middelen een grote groep kapot weet te maken
door deze er toe te bewegen zichzelf aan te vallen. In dit geval is er de groep terroristen die iets heeft tegen de
vrije westerse samenleving (gemotiveerd door onrecht wat hen eerder is aangedaan of andere denkbeelden over
vrijheid), en deze probeert angst te zaaien door her en der aanslagen te plegen die op zichzelf weinig gevolgen hebben
maar die leiden tot angst onder de bevolking. Wat nu zo frappant is, is dat de politiek en de AIVD deze angst
alleen maar aanwakkeren in plaats van deze te relativeren. En nog frappanter is, dat men om dit probleem op te
lossen maatregelen suggereert die nou precies zijn wat de terroristen graag willen: het afbreken van de vrije
westerse samenleving. Het droevige is dat ze het niet eens in de gaten hebben! Zelfs in de politieke commentaren
op die AIVD man wordt alleen ingegaan op de onwenselijkheid van zwakke encryptie en nergens wordt gemeld
dat dit alleen maar een knieval voor de terroristen is terwijl het probleem (angst) helemaal niet wordt aangepakt,
nee alleen maar wordt versterkt.

Het wordt op die manier wel erg gemakkelijk gemaakt om te denken dat de politiek hardstikke dankbaar is voor
terrorisme, omdat hen dit de mogelijkheid geeft controlemaatregelen te nemen. Terroristen zijn in die zin een
vervanging voor de rol die vroeger "de Russen" hadden.
18-09-2016, 11:25 door Dick99999 - Bijgewerkt: 18-09-2016, 11:28
@ Erik van Straten. Is end-to-end encryptie niet automatisch authentiek als asymetrische encryptie wordt gebruikt? Doen iMessenger, WhatsApp etc dat?
Wijziging: Sorry Asymetrisch met handtekening
18-09-2016, 11:49 door Anoniem
Goh, hebben binnenkort weer eens verkiezingen of zo?
Opeens is een groot deel van de Tweede Kamer voor privacy.
Laat ze dat dan maar eens bewijzen door met een aantal wetsvoorstellen te komen dit dit waarmaken.
Boter bij de vis, graag.
Het stemverleden van deze partijen zegt namelijk iets heel anders.
18-09-2016, 11:52 door Anoniem
Groot deel Kamer tegen verzwakken WhatsApp-encryptie

hypocriete nonsens

Want een groot deel is wèl voor invoering van een wet Computercriminaliteit III) die alle digitale communicatie tappen gaat toestaan!

Een groot deel van de kamer is voor grote langdurige digitale sleepnetten over Nederland.
Bergen aan data die over ons zullen worden opgeslagen en geanalyseerd.
Vele burgers die definitief stiekem digitaal zullen worden geprofileerd!
Digitale zwarte of rode vlag achter je naam terwijl je het niet weet en niemand je ooit zal willen of kunnen uitleggen op basis van welke computer algoritmen jij permanent tot derderangs verdachte burger bent gebombardeerd.

Deze nep-heisa blijkt dus een mooie afleidingsmanoeuvre, verontwaardigd doen voor de bühne en straks NSA toestanden in Nederland invoeren.
Neederland blijkt iedere keer weer stiekem en geleidelijk Ja!derland als het gaat om verlies van privacy.

Er wordt al jaren op tal van gebieden gewoon akkoord gegaan met meer data verzamelen, meer koppelen, verplichte digitalisering, verplicht meer vingerafdrukken, verplichte identificatie en verplichtingen die ten koste gaan van vrijwel elke privacy die je nog kan hebben.
Daarbij is er nog een groter onderscheid tussen de onderklasse en de midden klasse. De onderklasse heeft allang geen enkel recht meer op privacy.
Daar wordt je digitaal en fysiek volkomen doorgelicht en omgekeerd en mag je blanco papiertjes tekenen dat je het allemaal fantastisch vindt.

Nederland buldozert dus al jaren onverminderd door over burgers heen onder het mom van fraude bestrijding, zeden zaken, terrorisme en andere aansprekende uitzonderingen om de ene na de andere anti privacy maatregel er voorgoed door te drukken.
De landelijke politiek trekt haar handen desgewenst af van uitvoering en laat het aan gemeenten over die maar wat doen, waar geen zicht op is en waar qua privacy in vele gevallen geen zak van klopt.

Het recht op privacy wordt steeds kleiner en grote delen van de Nederlandse bevolking hebben allang geen privacy meer wegens bijvoorbeeld verplichte uitruil voor iets waar men volgens de wet gewoon recht op heeft, een bepaalde vergoeding of uitkering omdat het geluk het tijdelijk of langer heeft laten afweten.
De achtergrond daarvan was ooit bedacht vanuit een sociaal idee, dat sociale is er allang vanaf gestript door vele andere lokale eigenbelangenhebbenden (politiek en (interim)management).

Wat dat betreft is het verdwijnen van privacy een prima graadmeter voor de ronduit asociale stand van zaken in dit land.
Dat het in veel landen nog slechter gesteld is doet er niet toe.
Helaas wordt het buitenland toch in omgekeerde zin voortdurend gebruikt om de privacy nog meer af te breken en asociaal beleid te verdedigen!

Dat krijg je ervan van egootjes en carrière politici en diensten die het normaal vinden om op een politieke stoel te gaan zitten om besluitvorming te beïnvloeden.
We hebben zelf niet meer door hoe knettergek dit land geworden is.

En waarom zou je ook?
Als het je eigen portemonneetje en je facebook-comfort maar niet raakt, toch?


En dan nog dit: Patatje sociaal?

Ondertussen hoor je niemand over de massale privacy schendingen die whatsapp en facebook gebruikers zelf plegen door andere mensen ongevraagd te filmen en te fotograferen, te delen, op het internet te zetten en desgewenst ongevraagd te taggen en eventueel erbij gelijk verdacht of zwart te maken.
Wat dat betreft worden social media helemaal niet zo social gebruikt, integendeel.

Zo leuk is social media (niet)
http://nos.nl/artikel/2131500-politie-voorkomt-massale-vechtpartij-tilburg.html
http://nos.nl/artikel/2132423-youtube-verwijdert-miljoenen-video-s-die-ingaan-tegen-richtlijnen.html)

Wat gaan we doen met social media?

- Tappen?
- Afschaffen?
- Censureren?
- Normaal doen? : geen privacy van anderen schenden, anderen niet publiekelijk of stiekem verdacht danwel zwart maken in buurtgroepen (goh waarom doen sommige buren ineens zo afstandelijk?) geen dreigementen uiten etc etc.

Het zit er gewoon niet in (normaal doen)
Laten we dan maar beginnen om social media niet meer social te noemen, en om terug te komen op andere constateringen sociale voorzieningen voortaan gewoon voorzieningen te noemen.
Het sociale is er in beide gevallen allang vanaf.
Noem het dan ook niet zo!


(Als straks een nog groter deel van de Nederlanders asociaal gaat stemmen, omdat het toch niet meer uitmaakt, uit boosheid en protest of men het idee heeft dat er nog wat te redden valt als we anderen daarvan de dupe laten zijn, staan diezelfde zogenaamde betrokken politici met grote schijnheilige ogen en open monden zogenaamd verbouwereerd te kijken en te pruttelen : we wisten het niet!
Jawel, jullie wisten het wel.
Maar jullie dachten dat je ermee weg kwamen.
En dat is ook zo, na de politiek de lucratieve commisariaatjes.
Politiek als carrière opstap.)
18-09-2016, 12:11 door karma4
Door Anoniem:..(knip)... Kenmerkend voor terrorisme is dat een kleine groep met beperkte middelen een grote groep kapot weet te maken door deze er toe te bewegen zichzelf aan te vallen. ..(knip)...
Wat nu zo frappant is, is dat de politiek en de AIVD deze angst alleen maar aanwakkeren in plaats van deze te relativeren. ..(knip)... en nergens wordt gemeld dat dit alleen maar een knieval voor de terroristen is terwijl het probleem (angst) helemaal niet wordt aangepakt, nee alleen maar wordt versterkt.
..(knip)...
Eens. Het is de fud strategie welke als politiek spel heel effectief blijkt niet enkel bij ICT onderwerpen maar ook in real-life.
Het is triest om de reacties "van het volk" te zien. Met dit onderwerp krijgt Bertholee gewoon toejuichingen voor zijn ideeën. (zie reacties Telegraaf). Er zijn mensen die echt in dat sprookje geloven dat als de AIVD alle gegevens heeft dat alle persoonlijke veiligheid vanzelfsprekend is. Angst voor terroristen asielzoekers etc.
18-09-2016, 14:13 door [Account Verwijderd]
[Verwijderd]
18-09-2016, 15:29 door Anoniem
Door Dick99999: @ Erik van Straten. Is end-to-end encryptie niet automatisch authentiek als asymetrische encryptie wordt gebruikt? Doen iMessenger, WhatsApp etc dat?
Wijziging: Sorry Asymetrisch met handtekening
De vraag is of de andere sleutel wel echt van die persoon is. Hiervoor vertrouw je de certificate authorities voor web browser. Voor whatsapp is het maar de vraag hoe whatsapp dit heeft geregeld. Als iemand een valse key doorstuurt en tussen jullie communicatie inzit, hoe weet je dan dat dit gebeurt?
Het is als een akte bij de notaris. We nemen aan dat hij/zij de identiteit van iedereen vaststelt.
18-09-2016, 15:29 door Anoniem
Heren (en Dames) let even op er komen verkiezingen aan, nu zeggen ze dit en na de verkiezingen wordt het vast alsnog door gevoerd.

Alles is opeens pro encryptie, maar dadelijk krijgt de AIVD wel de big data sleepnet rechten en raad eens wat verdacht gedrag is dan?? juist encryptie.
18-09-2016, 16:18 door Anoniem
Dit soort uitspraken lijken mij meer bedoelt om de bevolking een rad voor de ogen te draaien. Het is simpel gezegd niet mogelijk om encryptie onder publieke controle van de broncode te verzwakken, immers dan is het gebruik van dat programma onmiddellijk ten einde. De AIVD is de zoveelste geheime dienst die luidruchtig pleit voor een achterdeur in de encryptie programma's, en dat moet toch aan het denken zetten. Windows 10 is immers al een gigantische keylogger, waarin alle toetsaanslagen worden gemonitord door Cortana, en ongeacht de instellingen voortdurend informatie naar Microsoft servers stuurt. Van het meest bekende encryptie programma PGP is bekend, dat de pseudotoevalsgenerator waarmee de sleutels worden gegenereerd al sinds 2014 als uitermate zwak is beoordeelt, een eufemisme voor een achterdeur, en bekend is dat deze pseudotoevalsgenerator door de NSA bij het encryptie bedrijf RSA met een check van 10 miljoen dollar is geïmplementeerd. Ook GPG4Win is weliswaar een opensource programma, maar gebruikt vermoedelijk dezelfde pseudotoevalsgenerator, want de sleutels zijn uitwisselbaar.

pseudotoevalsgenerator
deterministic random bit generator (DRBG)

De geheime diensten proberen ons wijs te maken dat ze machteloos staan, tenzij de encryptie wordt verzwakt, maar die encryptie is al verzwakt, en die status quo willen ze graag houden, in plaats geconfronteerd te worden met nieuw ontwikkelde encryptie software.

Laat je dus geen zand in de ogen strooien.
18-09-2016, 16:45 door Erik van Straten
Laatst bijgewerkt: 18-09-2016, 11:28, door Dick99999: @ Erik van Straten. Is end-to-end encryptie niet automatisch authentiek als asymetrische encryptie wordt gebruikt?
Nee. Om dat te verklaren leg ik eerst (voor alle lezers) uit hoe asymmetrische cryptografie t.b.v. authenticatie werkt.

Op een geheim gebaseerde authenticatie
Om anderen jouw identiteit vast te kunnen laten stellen, verzin je een gegeven dat niemand kan raden (bijvoorbeeld een heel groot getal, of zo je wilt een lang en complex wachtwoord - dat de computer zal vertalen in een getal) en dat hou je strikt geheim. Het idee is dat je vervolgens, elke keer als iemand eraan twijfelt of jij bent wie je zegt dat je bent, kunt bewijzen dat jij dat geheim kent, zonder dat geheim zelf ooit prijs te geven.

Als dat geheim niet is af te leiden uit de informatie die je wel verstrekt, niemand dat geheim geraden heeft en je dat geheim meeneemt in je graf (d.w.z. het nooit gelekt hebt), is sprake van perfecte authenticatie - doch slechts in de zin van dat jij steeds dezelfde entiteit bent (zoals Dick99999, waarvan wij lezers ook niet precies weten wie of wat daarachter zit; "On the Internet, nobody knows you're a dog" [1]).

Terzijde, wat hier ontbreekt is dat je in een deel van de gevallen zeker moet weten welk individu (absoluut dus) het is dat het geheim kent, bijvoorbeeld door deze face-to-face te ontmoeten en haar of zijn identiteit te laten onderbouwen bijv. door een legitimatiebewijs te laten tonen, de echtheid daarvan vast te stellen en de pasfoto met het gezicht te vergelijken.

Effectief maak je dan gebruik van een TTP (Trusted Third Party), in dit geval de uitgever van zo'n legitimatiebewijs. Bijv. bij WhatsApp is de absolute identiteit gekoppeld aan een telefoonnummer - een niet-persoonsgebonden wereldwijd uniek getal dat, bijv. na beëindiging van een abonnement, kort daarna in andere handen kan vallen.

Op een geheime sleutel gebaseerde authenticatie
Een implementatie van bovenstaand concept (weten dat je steeds opnieuw met dezelfde entiteit van doen hebt, geen absolute authenticatie dus) is mogelijk met asymmetrische cryptografie (zoals het RSA protocol [2]). Daarbij is de private key het geheim, en zijn het RSA protocol en de public key de middelen waarmee jij kunt aantonen dat jij de private key kent - zonder die private key zelf ooit prijs te geven.

Nb. een wijdverbreid misverstand hierbij is dat de public key hier het essentiële onderdeel vormt, maar dat is niet zo. De private key vormt de basis; de public key en protocol zijn slechts middelen die worden gebruikt om aan te tonen dat jij de private key kent.

Werking van private key authenticatie
Private key authenticatie werkt doordat je, alles wat je met een public key versleutelt, uitsluitend kunt ontcijferen met de bijpassende private key. Dus als de andere partij voor elke (chat-) sessie met jou een willekeurig getal verzint en geheimhoudt, dat getal versleutelt met jouw public key en het resultaat naar jou stuurt, kun jij bewijzen dat jij jij bent door dat versleutelde getal met jouw private key te ontcijferen (alleen jij kunt dat) en terug te melden wat het willekeurige getal was.

Risico's
Helaas is private key authenticatie allesbehalve risicoloos. Met een voldoende lange public key is deze implementatie redelijk betrouwbaar omdat het met de momenteel beschikbare computerkracht, extreem lang duurt om, uitgaande van de public key, uit te rekenen wat de private key moet zijn. Essentieel daarbij is dat de sleutels niet zwak zijn doordat, bij het genereren ervan, er van een min of meer voorspelbare random number generator gebruik is gemaakt. Essentieel is het ook dat de private key niet op een ander systeem gegenereerd is (en vervolgens naar het doelsysteem, zoals een smartphone, is gekopieerd). Essentieel is ten slotte ook dat derden (bijv. middels al dan niet bewust geïnstalleerde apps) geen toegang hebben tot de private key, en het (hopelijk enige) device met de private key niet in verkeerde handen valt - op zodanige wijze dat derden toegang krijgen tot die private key.

Private key authenticatie en TTP's
Net zoals jij kunt aantonen dat jij jij bent middels een legitimatiebewijs, kun je ook jouw absolute digitale identiteit laten bevestigen door een TTP. Onder geen voorwaarde hoort die TTP jouw private key in handen te krijgen (net zo min als de overheid jouw handtekening moet kunnen namaken om jou een paspoort te kunnen verstrekken). Het enige dat een TTP moet doen is op betrouwbare (subjectief!) wijze vaststellen dat jij jij bent en dat de public key die jij overlegt daadwerkelijk hoort bij de private key die alleen jij in bezit kunt hebben. Dat doet zo'n TTP door een document te maken waarin ten minste jouw naam (bij voorkeur aanvullende identificerende gegevens omdat namen zelden uniek zijn), jouw public key en een geldigheidsduur zijn opgenomen, waarna zij dat document van een digitale handtekening voorzien - zodat het, net als een paspoort, moeilijk vervalst kan worden en jij kunt aantonen dat jij jij bent. Zo'n document noemen we een digitaal certificaat.

Low budget TTP's, naïeve klanten en een brak rootcertificatensysteem
Helaas zijn er veel klanten die, net als bij de Action, goedkoop=duurkoop willen, TTP's die hun verantwoordelijkheid niet nemen, toch een beetje geld willen verdienen en dus niet of nauwelijks controleren of jij jij bent, waardoor certificaten vaak aanzienlijk minder betrouwbaar zijn dan paspoorten (die overigens ook worden vervalst). Mede doordat applicaties (waaronder webbrowsers) hooguit onderscheid maken tussen 2 betrouwbaarheidsklassen van certificaten, is dit hele systeem een kaartenhuis geworden.

Gelukkig heb je die onbetrouwbare certificatenboeren niet nodig als slechts "relatieve" authenticatie is vereist, bijv. doordat vertrouwen gaandeweg wordt opgebouwd tussen communicerende partijen (na TOFU, Trust On First Use - niet perfect maar beter dan geheel geen authenticatie). Dan volstaat een losse public key of een self-signed certificaat.

Laatst bijgewerkt: 18-09-2016, 11:28, door Dick99999: Doen iMessenger, WhatsApp etc dat?
Ik heb geen idee. Voor zover ik weet zijn beiden closed source. Bovendien is het voor doorsnee gebruikers erg moeilijk vast te stellen of de specifieke update(s) van de app die zij op hun smarphone krijgen, geen achterdeurtje(s) bevatten - al dan niet beschikbaar gesteld aan (1 of meer) geheime diensten. Waarbij het zakelijk ongewenst is als dat algemeen bekend zou worden, dus dat kom jij niet zomaar te weten.

Mochten deze apps gebruik maken van asymmetrische crypto, dan weet ik niet waar de sleutelparen worden gegenereerd, hoe lang ze zijn en wat de betrouwbaarheid is van de gebruikte RNG (Random Number Generator).

Het gaat mij echter niet om WhatsApp of iMessage, maar om het principe. Als ik terrorist was zou ik wellicht gebruik maken van apps waarvan de makers claimen dat zij het beter doen dan WhatsApp, zoals bijv. genoemd in [3] en [4] - met aanvullende encryptie ([5]) en/of steganografie daarbovenop.

P.S. de momenteel laatste (nagekomen) anonieme reactie onder [4], ondertekend door Joost Bruggeman, vind ik interessant. Zou die bijdrage authentiek zijn?

[1] https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you%27re_a_dog
[2] https://en.wikipedia.org/wiki/RSA_(cryptosystem)
[3] https://www.security.nl/posting/484857/KPN+lanceert+beveiligde+messenger-app+voor+artsen
[4] https://www.security.nl/posting/468090/Artsen+starten+proef+met+WhatsApp-alternatief+Siilo
[5] https://www.security.nl/posting/468370/Encryptie+voor+leken+-+en+waarom+verzwakken+onverstandig,+en+verbieden+zinloos+is
18-09-2016, 17:05 door karma4
Door MAC-user: BOF heeft een oplossing voor dhr. Bertholee:
https://twitter.com/bitsoffreedom/status/777438951149821953
Heel fraai Mac User. Denk je dat er te weinig kandidaten voor de bb Award heb je zo een lijstje toppers samengesteld.
18-09-2016, 18:32 door Dick99999 - Bijgewerkt: 18-09-2016, 18:33
Door Erik van Straten:
[....]
P.S. de momenteel laatste (nagekomen) anonieme reactie onder [4], ondertekend door Joost Bruggeman, vind ik interessant. Zou die bijdrage authentiek zijn?
[....]
[4] https://www.security.nl/posting/468090/Artsen+starten+proef+met+WhatsApp-alternatief+Siilo
[....]
Voor mij een voorbeeld dat de inhoud van een bericht ook als authenticatie middel kan dienen. En als je twijfelt aan deze vorm van inhoudelijke authenticatie, kan contact opgenomen worden met de bron.
Overigens beantwoord hij de daar gestelde laatste vraag niet (volledig)
18-09-2016, 20:02 door Erik van Straten
Laatst bijgewerkt: 18-09-2016, 18:33, door Dick99999:
Door Erik van Straten:
[....]
P.S. de momenteel laatste (nagekomen) anonieme reactie onder [4], ondertekend door Joost Bruggeman, vind ik interessant. Zou die bijdrage authentiek zijn?
[....]
[4] https://www.security.nl/posting/468090/Artsen+starten+proef+met+WhatsApp-alternatief+Siilo
[....]
Voor mij een voorbeeld dat de inhoud van een bericht ook als authenticatie middel kan dienen.
Authenticatie van wie, afzender of ontvanger?

Bij targeted spam door vervalste afzenders is nu juist het probleem dat de aanvallers de verzonden informatie heel geloofwaardig kunt laten overkomen, bijv. in een poging een reactie uit te lokken met daarin informatie die de aanvaller wil hebben; denk aan iemand die zich voordoet als huisarts en een specialist om patiëntgegevens vraagt (of andersom).

Ook kan een nepafzender informatie sturen in een poging een arts een patiënt bewust schade te laten berokkennen, waarna de aanvaller de arts kan afpersen (onder bedreiging dat de aanvaller bekend zal maken dat een medische fout is gemaakt op basis van vervalste, onterecht vertrouwde, informatie). Dat klinkt misschien vergezocht, maar als ik zie hoe ransomware-makende cybercriminelen zich op ziekenhuizen richten, dan mag je dit soort gewetenloze trucs ook niet uitsluiten. Maar zoiets kan ook door een ruziënde collega op touw worden gezet.

Voor betrouwbare communicatie tussen 2 partijen is het noodzakelijk dat beide partijen zich authenticeren, waarna fatsoenlijke versleuteling van de verbinding dient plaats te vinden - niet verzwakt op verzoek van de AIVD en consorten.

Laatst bijgewerkt: 18-09-2016, 18:33, door Dick99999: En als je twijfelt aan deze vorm van inhoudelijke authenticatie, kan contact opgenomen worden met de bron.
Met de juiste social engineering gebeurt dat nu juist niet, en daarom is degelijke authenticatie noodzakelijk.
18-09-2016, 23:14 door Anoniem
Door potshot:
Door quikfit: "Geen schijnveiligheid ten koste van onze privacy!", zegt D66-Kamerlid Kees Verhoeven op Facebook.

Grappig...

jammer dat je niet lekker kan flamen heh?
maar toch nog wel even een mekkertje eruit persen..tis namelijk NOOIT goed wat de politiek doet heh?
Ach verkiezingstijd he, dan vliegen de leugens om onze oren. Na de verkiezingen stemt de NSB66 gewoon voor de verslechtering van onze privacy.
19-09-2016, 01:03 door johanw
Door Anoniem:Alles is opeens pro encryptie, maar dadelijk krijgt de AIVD wel de big data sleepnet rechten en raad eens wat verdacht gedrag is dan?? juist encryptie.
Daarom is het ook zo goed dat WhatsApp encryptie standaard aan heeft staan en je het niet eens kunt uitschakelen als gebruiker. Als meer dan driekwart van de bevolking encryptie gebruikt kun je moeilijk volhouden dat die allemaal verdacht zijn, en als je het toch zou doen heb je de resources niet om die allemaal in de gaten te houden.
19-09-2016, 10:26 door superglitched
Wat een onzin, tot voor kort was het gros de privacy in rap tempo aan het decimeren. Nu is het bijna verkiezingen en is de burger ineens weer belangrijk.
19-09-2016, 12:08 door Anoniem
Ik gebruik geen WhatsApp en geen Facebook, ik weet nu ook weer waarom.
19-09-2016, 12:29 door Anoniem
Door potshot:
Door quikfit: "Geen schijnveiligheid ten koste van onze privacy!", zegt D66-Kamerlid Kees Verhoeven op Facebook.

Grappig...

jammer dat je niet lekker kan flamen heh?
maar toch nog wel even een mekkertje eruit persen..tis namelijk NOOIT goed wat de politiek doet heh?

Klopt ze doen het ook nooit goed anders was het niet zo'n puinhoop overal.
20-09-2016, 09:16 door Anoniem
"Eens. Een terrorist heeft geen recht op privacy."

En alle andere burgers ? Is deze VVD-er een terrorist, indien ze haar WhatsApp niet laat aftappen ? Hoe zit het trouwens met contra spionage, is de AIVD niet bezorgd over het feit dat Nederlandse geheimen ook moeilijker beschermd kunnen worden, indien we deze weg zouden inslaan ?
20-09-2016, 09:18 door Anoniem
Grappig...

Vrij inhoudsloze reactie, indien je niet uitlegt wat er zo grappig is. Had je geen argumenten om dat woord verder te onderbouwen, buiten drie puntjes ?
20-09-2016, 09:20 door Anoniem
Ik gebruik geen WhatsApp en geen Facebook, ik weet nu ook weer waarom.

Nou leg uit. Het gaat hier om wensen van politici, niet om maatregelen die daadwerkelijk door WhatsApp worden getroffen. Jij gebruikt per definitie niets dat encryptie biedt, en daarom een ergenis vormt voor politici en AIVD-ers ? ;)
20-09-2016, 15:10 door quikfit - Bijgewerkt: 20-09-2016, 15:10
Door Anoniem:
Grappig...

Vrij inhoudsloze reactie, indien je niet uitlegt wat er zo grappig is. Had je geen argumenten om dat woord verder te onderbouwen, buiten drie puntjes ?

Volgende keer zal ik het speciaal voor jou ''voorkauwen''.
20-09-2016, 17:31 door karma4
Door Anoniem: "Eens. Een terrorist heeft geen recht op privacy."

En alle andere burgers ? Is deze VVD-er een terrorist, indien ze haar WhatsApp niet laat aftappen ? Hoe zit het trouwens met contra spionage, is de AIVD niet bezorgd over het feit dat Nederlandse geheimen ook moeilijker beschermd kunnen worden, indien we deze weg zouden inslaan ?
De bewering indien terrorist dan geen recht op privacy klopt.
Dat is niet hetzelfde geen recht op privacy anders terrorist.

Lesstof boolan algebra met logisch redeneren ooit middelbare school. Ooit is geprobeerd dat naar de basisschool te brengen Jammer dat de basiskennis niet standaard is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.