Waarom woon ik nog in dit klote land...

Gaan ze dan ook alle briefen open stomen?

Zo is het,
Het zal wel moeten.
Onder het mom van privacy gebeuren er te veel "ongure" zaken.
Het Internet is een ziek systeem aan het worden.

Sja... Het is een geheime dienst, dus dit is wat ze doen. Met kraken heb ik niet zo veel problemen. Met verbieden, verzwakken, backdooren en FUD verspreiden des te meer. Dit lijkt me in deze catch-22-situatie de betere oplossing.

Jouw grammatica is toch al te cryptisch voor ze ben ik bang.

De AIVD heeft de bevoegheid om encryptie te breken al jaren.

Wat er bij ze ontbreekt is het geduld om alle combinaties uit te proberen.

"Daarmee wordt soms de indruk gewekt dat de diensten ons niet zouden beschermen maar bedreigen."
Tja denk dat het er deels ook vanaf hangt wie je hier met "ons" bedoeld. Waarschijnlijk is het zo dat de meeste mensen in die functies "ons" inderdaad willen beschermen. Maar dat maakt die mensen niet perfect. Zij kunnen fouten maken, zich blind staren op hun eigen goede intenties en dergelijks. En dan heb je helaas vaak ook nog paar figuren er tussen zitten die werkelijk bedenkelijke intenties hebben, vanuit "ons" perspectief gezien dan.

Hoeveel doden per jaar door gesjoemelde uitstoot van (o.a. VAG) diesels en hoeveel doden door terrosisme ook al weer?

Ach laat maar, ik laat het in maart wel weten als we kunnen gaan stemmen.

Sterker, ik juich het toe als iedereen probeert om gestandaardiseerde (en nog niet gestandaardiseerde) encryptie te kraken, zodra dat lukt is iedereen erbij gebaat dat we dat weten. Het lukt de NSA ook niet om geheimen geheim te houden, dus als het een Nederlandse inlichtingendienst lukt om een encryptieprotocol te kraken, vernemen we dat vroeger of later toch wel.

Eens, daarmee breng je ook al het legitieme gebruik van encryptie ernstig in gevaar.

Voor alle duidelijkheid: daarbij gaat het niet alleen om inbreuken op privacy van communicatie, want privacygevoelige gegegvens zijn niet de informatie waar de inlichtingendiensten primair naar op zoek zijn bij onderzoek naar terroristme en (cyber-) criminaliteit.

Zodra je encryptie gaat verzakken, reservesleutels eist+uitdeelt of backdoors aanbrengt, vallen o.a. geheime zakelijke, financiële en medische gegevens (die veel meer geld waard zijn dan persoonsgegevens en bla-bla-chats) vroeger of later gegarandeerd in verkeerde handen (en dan bedoel ik niet betrouwbare medewerkers van inlichtingendiensten, maar criminelen).

Wanneer probeert iemand die stelling (niet alleen van mij) nou eens onderuit te halen met steekhoudende argumenten?

Op kraken kan niemand iets tegen hebben , maar ik wil ze niet meer horen over verzwakken , verbieden of backdoors .
En nu maar hopen dat ze niet hun eigen spelregels toch weer willen aanpassen als het even tegen zit .

Dat hele whatsapp is te groot geworden, nu ze in de schijnwerper staan kan de politiek er wat over zeggen.
Een nieuwe applicatie die wel veilig is is zo gemaakt, door een ander bedrijf in een ander land,
tot ze weer te groot worden en op gaan vallen, dan begint het weer van voren af aan.
Met andere woorden : encryptie is niet te stoppen.

Ja ga de kat maar lekker op het spek binden
en steek vooral voor elke IT deskundige uw handen in het vuur,
ze lekken toch "nooit"!.

Alle beveiliging is beveiliging door middel van onduidelijkheid.
Is er fysieke duidelijkheid is de boel al niet veilig meer te krijgen.
Heeft iemand daar toegang toe, bijvoorbeeld een beveiligingssleutel,
ben ik al niet meer veilig en moet ik vrezen voor iemand met een duplicaat.
Wie dat dan ook moge zijn.

En de expertise om het slimmer aan tepakken. Men is wel met quantum computers bezig, maar als die er eindelijk zijn liggen de quantum-resistente encryptie algorithmen al op de plank.

Kraken? Weet je wel wat je zegt hier? Er bestaat encryptie die helmaal niet te kraken valt. Waar heb jij het over??

Ja, bedoelt natuurlijk de encryptie door ons gebruikt die gekraakt moet worden he? Het woordje terrorisme valt namelijk niet in deze discussie, dus...

Positief bericht.
maar encryptie kraken, of toch gewoon een achterdeurtje opleggen?

Ik niet, omdat ik het met die stellingen eens ben.
Van onze politici en de beleidsmakers er achter verwacht ik niets steekhoudends. Ze hebben met hun fud eigen andere doelen. Nog benul van ICT nog begrip van big data.

Veilig voor geheime diensten ben je nooit,ze hebben altijd wel mogelijkheden om dingen te achterhalen die je niet verwacht.
Alleen gebruiken ze het niet per ongeluk iets te vaak om codes en netwerken te kraken.
Onze privacy bestaat al lang niet meer zoals het vroeger was.
Maar privacy wat er nog is moet wel goed beschermd blijven.
Ze moeten daar maar eens naar kijken,want het gebeurd nu veel te vaak dat er gegevens worden gestolen,of op straat komen te liggen.
Nog meer in willen perken op de privacy schiet mij in het verkeerde keelgat,dat moet en mag niet gebeuren.

Hier een punt. Inlichtingendiensten zijn al lang niet meer in dienst van de belangen van de burgers en nationale veiligheid, maar in dienst van die belanghebbenden die de macht hebben hun persoonlijk gewin te maximaliseren.

Dergelijke belanghebbenden wens je niet de macht toe die de veiligheidsdiensten nog meer in staat stellen die belangen verder te behartigen.

Misschien kunnen ze eerst eens DuPont gaan bewaken? Of de chloortreinen die dwars door binnensteden denderen? Er valt nog heel wat te beveiligen zonder achter encryptie aan te jagen. Sterker nog, sommige zaken (SCADA, dus sluisjes, bruggen etc) kunnen beter heel wat meer encryptie krijgen om het leven voor "ons" veiliger te maken.

Ik begrijp dat veiligheidsdiensten zodra ze een keertje tegen iets klem lopen, gelijk vinden dat dat niet zou motten maggen, maar misschien kunnen ze eerst eens alle energie steken in betere interpretatie van alle data die er al zijn. Volgt elke would-be terrorist wel netjes het trajecct zoals in de boekjes beschreven, of zitten de boekjes er weer eens naast? Hoe pik je bijtijds de explsieve gastjes er tussenuit? Hoe wissel je data zo uit met andere diensten dat ieder er wijzer van wordt en zonder wederzijds wantrouwen?
En vooral: hoe wissel je al die data veilig uit, zodat de bad guys niet veel eerder op de hoogte zijn dan de veiligheidsdiensten zelf?

Er is nog zat werk aan de winkel. Wat moeten jullie met nog meer data? Er is al veel te veel beschikbaar.

Prima toch? Waarom zouden ze dat niet mogen en doen ze dat al niet? Zolang het maar niet ongericht gebeurd juich ik dit alleen maar toe.

Dit kraken van encryptie met ongericht kabeltje tappen is gewoon in strijd met het Europees recht op privacy. Dit gaat evenzo door de Europese rechter afgestraft worden als de beruchte bewaarplicht. Iets met proportionaliteit.

veel plezier met breken! levert alleen maar betere encryptie op :)

Die vraag moet je aan jezelf stellen,

Maar je kunt ook je smartphone of dumpen, en een veiligere smarthone kopen, of andere secure Appz erop
zetten. Maar je privacy is ook je smartTV, je EPD, je pintransactie, je Ebay, je reisgedrag, enz enz.

Ik weet dat het onderwerp privacy op dit forum in de regel bovengemiddeld vertegenwoordigd is, maar dit boekje gelezen hebbende, ben ik van mening dat iedereen er baat bij heeft het te lezen: https://decorrespondent.nl/nietsteverbergen

Hopelijk mag het van de mods, met respect en begrip voor het eventueel afwijzen gaan we het zien :-)

Ik verwacht (en hoop) dat hier sprake is van een misverstand: volgens mij verwijzen de woorden van Rutte niet naar een nog onbekende bevoegdheid, maar naar de bevoegdheid om ihkv de toegang tot communicatie bij aanbieders van communicatiediensten ('toegang tot kabelnetwerken'), versleuteling ongedaan te mogen (laten) maken, en de bijhorende verplichting aan (aangewezen) aanbieders van communicatiediensten om aan die ontsleuteling mee te werken - bijvoorbeeld door sleutels af te staan of door een onversleutelde stroom gegevens aan de IVD(-en) beschikbaar te stellen. Dat is reeds zo in het concept-wetsvoorstel van juli 2015, en er is dan geen inconsistentie met het kabinetsstandpunt van januari 2016; er is daarbij gewoon sprake bij sterke crypto, maar wel met ontsleutelplicht voor aanbieders. Of een aanbieder (zoals Facebook ihkv WhatsApp) daarbij kan worden gedwongen diens systemen aan te passen om aan de ontsleutelplicht te voldoen (zoals E2E-crypto onmogelijk maken of backdooren), weet ik niet.


In de woorden van Rutte Zolang er geen nieuw wetsvoorstel

Weet jij wel waar je het over hebt? Er is maar één onkraakbare vorm van encryptie en dat is een perfect geïmplementeerde one-time pad. En dat mechanisme heeft zo zijn nadelen op gebied van key management, het genereren van random keying materiaal etc. en wordt derhalve nauwelijks gebruikt. Dus wat is precies je punt? Reageren is prima, maar ga er niet als een blind paard met gestrekt been in zonder dat daar een reden voor is.

On-topic: op kraken heb ik op zich ook niets tegen. De AIVD houdt zich neem ik aan bezig met cryptoanalyse en het achterhalen van zwakheden in algoritmen (analytisch, statistisch, implementatie-technisch, via side-channels, noem maar op). Ik zou dat als een eis zien om uit te voeren als inlichtingendienst. Wat dat betreft ben ik ook niet tegen op kraken van algoritmen. Rutte heeft het echter niet over "kraken", maar over "doorbreken van encryptie". De vraag waar ik geen antwoord op heb is: wat verstaat Rutte onder "doorbreken"? Niets zegt mij dat dat te maken heeft met een algemeen geaccepteerde uitvoering van cryptoanalyse. Een backdoor in een algoritme zorgt ook voor het doorbreken van versleuteling. Het inbreken in een computer voor het achterhalen van een private key ook. Het is weer typisch zo'n woord waarbij achteraf gezegd kan worden: "zo moest u mijn woorden niet interpreteren". Maak alles zo vaag mogelijk en er is altijd wel een uitvlucht als verantwoording moet worden afgelegd over wat is gezegd of gedaan.

[sarcasm]Jij hebt er verstand van![/sarcasm]

Wanneer encryptie te kraken is moet er een nieuwe vorm komen, zelfde als m5d het als snel af liet weten.
Wat wel wenselijk is dat er in applicatie een mogelijkheid is voor de ontwikkelaar/eigenaar bij alle gegevens te komen en deze op bevel van een rechter aan te leveren.

Zoals ik van dit hersenloze politieke stelsel ook niet anders had verwacht gooien ze het op "encryptie is het probleem" in plaats van "we moeten voor applicaties een backdoor hebben".

Nou, goed dat het Kabinet dit zegt: de crypto-oorlog is nu compleet, met als gevolg een wapenwedloop in de cryptologie en een steeds sterkere encryptie waar de overheid niet in kan binnenkomen.

Wijsheid is echt ver te zoeken in 's lands bestuur.

Je bedoelt:
Ik vind dat namelijk niet.

Want dan moet je de ontwikkelaar(s) en wellicht elke medewerker van de uitgever van de software vertrouwen dat zij of hij niet met jouw gegevens aan de haal gaat. En je moet erop vertrouwen dat die backdoor zodanig is gemaakt dat kwaadwillenden, zonder hulp van medewerkers van die ontwikkelaar/eigenaar, erachter komen hoe zij die backdoor kunnen misbruiken (iets dat in veel devices aan de orde van de dag is, dus kennelijk niet zo simpel is).

Helaas is het wel zo dat een betrouwbare applicatie met elke update, bedoeld of onbedoeld ([1]) van een backdoor kan worden voorzien (waarbij jouw device wel eens een andere update aangeboden zou kunnen krijgen dan andere gebruikers - bijv. in opdracht van een inlichtingendienst, maar ook van een goed betalend, concurrerend bedrijf of ordinaire crimineel).

Dat geldt ook voor open source applicaties, want hoe weet jij dat de applicatie die jij gebruikt voor 100% van de in jouw bezit zijnde source is afgeleid als jij niet zelf die source (1) gecontroleerd en (2) gecompileerd hebt? Waarbij (2) wellicht voor een deel van de open source toepassingen nog wel te doen valt, maar (1) voor verreweg de meeste mensen ondoenlijk is.

[1] https://www.security.nl/posting/486757/Noodpatch+voor+ernstig+beveiligingslek+in+OpenSSL

Dat klopt en ik deel die mening maar ik heb liever dat de ontwikkelaar dit uitvoert dan dat één of andere partij waar ik geen controle over heb met het verkeer gaat en mag zitten rommelen. Je moet het net als een huiszoekingsbevel zien, ook daar kunnen ze gewoon alles doorzoeken.

Het heeft namelijk toch geen zin om encryptie aan te vallen gezien criminelen op ten duur zelf applicaties met zeer sterke encryptie gaan ontwikkelen/toepassen. Een backdoor voor het bestrijden van kleine criminaliteit heeft daarom mijn voorkeur. In mijn ogen is een backdoor niets anders dan d.m.v. een zwaar beveiligde deur gegevens van bepaalde personen te exporteren en aan instanties te overhandigen (na bevel rechter ofc.)

Waarbij je in het geval van (2) ook zeker moet zijn dat je compiler en overige tools niet gewijzigd zijn. Zie bijvorbeeld https://en.wikipedia.org/wiki/XcodeGhost.

Peter

Zelfs de politie heeft het recht om in beslag genomen goederen te analyseren en indien nodig de beveiliging te doorbreken. Dat is dan natuurlijk wel onder leiding van een RC.

Kansloos, deze vorm van versleuteling is in theorie* zo goed als onmogelijk te kraken. Het ruikt hier naar function creep; permissie om versleuteling chatapplicaties te kraken wat zo goed als onmogelijk is. Deze bevoegdheid kan natuurlijk weer wel op andere versleutelde protocollen worden gebruikt. Om de AIVD voor te zijn, allemaal overstappen naar de gratis, opensource chatapplicatie Signal. Snowden-approved. En natuurlijk alleen nog gebruik maken van websites die HTTPS ondersteunen. Power to the people!

* = Closed-source implementatie van een supersolide opensource oplossing, dus je weet het niet zeker

Volgens mij hebben ze deze bevoegdheid al lang. Wat er denk ik bedoeld wordt in dit geval is "kabinet wil dat encryptie op een of andere wijze dusdanig zwakker wordt gemaakt dat de AIVD deze op een praktische manier en binnen redelijke tijd kan kraken.".

En dat is natuurlijk in de praktijk onmogelijk, ook al zou het wettelijk zo geregeld zijn. Naast de hierboven al uitgebreid besproken problemen m.b.t keymanagement e.d, is er een aanzienlijk veel eenvoudiger oplossing als er een of andere wet zou komen die je mogelijkheden om sterke encryptie te gebruiken zou beperken: Je encrypt een sterk encrypte boodschap met die zwakkere encryptie. Een envelop in een envelop als het ware. De buitenste voldoet keurig aan de regels, dus bij een of andere eenvoudige vorm van inspectie (bijv door een sleepnet methode) is er niets aan de hand, op het oog lijkt die de "toegestane" encryptie te gebruiken. Pas bij gericht zoeken zal blijken dat er een sterker versleutelde boodschap in zit.
Dit opent de deur voor "plausible denial", je zou (bij sommige algoritmen) kunnen beweren dat je random data verstuurd, wat alhoewel ongebruikelijk waarschijnlijk niet verboden is. Je zou ook op dat moment als verdachte de afweging pas hoeven maken tussen de straf accepteren voor het gebruik van verboden encryptie, of meewerken aan het ontsleutelen, afhankelijk van je principes en de daadwerkelijke inhoud van de boodschap.

Ik voorzie dan ook als eerste effect van een dergelijke wet dat nerds, burgerrechtenactivisteren e.d. op grote schaal elkaar volkomen legale documenten gaan versturen met verboden versleuteling om "het systeem" te triggeren. Er staat mij bij dat vroegah sommige mensen in witte tekst op witte achtergrond bepaalde "trigger words" zoals president, bomb, nuclear en zo onderaan hun e-mails zetten, en er zijn ook mensen die op terreur-watchlists staan die telkens wanneer ze in de VS de grens over willen ontdaan worden van hun USB-sticks, waarvan ze er telkens een aantal bij zich hebben met daarop enkel en alleen een kopie van de Amerikaanse grondwet en de Bill of Rights.

De onzin van het proberen wettelijk te reguleren van wiskunde laat ik even buiten beschouwing, de onbehepten die denken dat het een goed, haalbaar en controleerbaar idee is om het mensen te verbieden bepaalde wiskundige formules toe te passen snappen die argumenten toch niet.

Ze kraken maar een eind raak. Het kat en muis spel kan beginnen en dat zal op den duur alleen maar leiden tot een nog betere encryptie.

Omdat het in 9 van de 10 andere landen nog een stuk slechter is..

De ruk naar rechts van de laatste tijd lijkt verkiezingsstrategie

Begrijpelijk maar kwalijk.
Eigenlijk zou er in een dergelijke periode al geen belangrijk nieuw beleid meer moeten mogen worden uitgezet en ingevoerd.
De motivatie erachter is immers een andere wat leidt tot profileren en aanscherpen in plaats van gebalanceerd beleid proberen neer te zetten.

Verkiezingsstrategie dus om in de aanloop van de verkiezingen kiezers bij de pvv weg te trekken.

Zeer kwalijke verkiezingsstrategie ten koste van die andere helft van Nederland.

Kortom, zwaar hufterig en egoïstisch partijpolitiek oogkleppenbeleid
van een ministerresident die er helemaal niet voor alle Nederlanders pretendeert te zijn.

Encryptie doorbreken? Waar moet ik dan aan denken?
De enige manier die ik ken is encryptie verzwakken. Maar zo durven ze het zeker niet meer te zeggen?
En dan kan niet alleen de AIVD, maar ook vrijwel elke cybercrimineel de encryptie al snel doorbreken.

Volgens mij bewijst dit wederom dat de regering nog steeds geen benul heeft waar ze feitelijk over praten.

Fout, fout, fout, helemaal fout!...ook AES-256 is onkraakbaar en dat is wiskundig gewoon aan te tonen.
Dus jij weet niet waar je het over hebt man.

De ratio achter die aanpak is dat een speld in een hooiberg niet altijd een speld hoeft te zijn. Het is de achilleshiel van big data. Aangezien er in veel opgeleverde modellen geen ratio zit enkel een waarneming gedagen die zich meestal als iets van tijdelijke aard. Voor een code klopper is dat een geheel andere onbegrijpelijke wereld, je zult je er in moeten verdiepen iets als: http://blog.earnix.com/predictive-model-maintenance/

Het menselijke blinde geloof van de waarheid uit de computer met het vastliggen van de toekomst is het gevaarlijkste wat er nu speelt.

Nee, AES-256 is te breken in maximaal 2^256 berekeningen (inmiddels iets minder) en dus niet onkraakbaar. We hebben er de computerkracht niet voor, maar dat maakt het algoritme niet onkraakbaar. Ik heb het over de onmogelijkheid de juiste plaintext te achterhalen, ongeacht hoeveel computerkracht je tot je beschikking hebt. Dat is voor een one-time pad wiskundig aan te tonen en per definitie niet voor AES-256, dus je stelling klopt niet. En daarmee houdt de discussie voor mij op, man.

Nee, jij zit helemaal fout: https://www.schneier.com/blog/archives/2009/07/new_attack_on_a.html
De aanval is theoretisch in de zin dat de rekenkracht ontbreekt om hem praktisch uit te voeren. Maar het punt is dat wiskundig is aangetoond dat AES-256 te verzwakken is, er bestaat een betere aanval dan brute kracht. Een wiskundig bewijs dat het niet te kraken is zou betekenen dat dit resultaat niet mogelijk was geweest. Verwar wiskundig bewijs niet met wat praktisch haalbaar is met de huidige mogelijkheden, dat zijn wezenlijk verschillende dingen.

Zoals Overcome al meldde bestaat er maar één vorm van versleuteling waarvan wiskundig is aangetoond dat hij écht onkraakbaar is, en dat is de one-time pad. Daarmee wordt bedoeld dat het soort verzwakking dat bij AES-256 is aangetoond nooit zal kunnen. Zoals Overcome ook al meldde is het alleen zo lastig om het goed toe te passen dat het voor de meeste toepassingen niet geschikt is.

Muria je vervalt in het spijkers bij laag water zoeken. Geen teken van (geestelijke) rijkdom.

Neem nu de reactie van Overcome met otp vernan. Dat is iets met een echt inhoudelijk iets waar je weer iets van leert. Moet je wel voor open staan om te willen leren.
Aes heet nu onkraakbaar te zijn wegens de tijd voor brute force methoden. Quantum computers zouden dat moeten gaan oplossen. De tijdsfactor is voor de dagelijkse praktijk goed genoeg. Dat is waar engineering en wetenschap anders zijn.

Nee muria je bent trots op het code kloppen. Zit in een afgesloten hokje. Je mist de nodige diepgang.
Zodra het wat gecompliceerder wordt haak je gewoon af.

Jammer, want daarmee vorm je een gevaar voor ...

License to crack? ;-)