Ik was blij met het statement van ENISA tot ik dit las:
Nee, want voor zover het geen grondrecht is dat burgers, bedrijven en andere organisaties (incl. gezondheidszorg) vertrouwelijke gegevens mogen bezitten en uitwisselen met wie zij wensen, zou dat een grondrecht moeten zijn.

En grondrechten zijn er om te waarborgen dat een toevallig gekozen stelletje potentieel naïeve onbenullen of eventueel doorgeschoten machtsmisbruikers, al dan niet met een waas voor ogen door voorspelde/daadwerkelijke terroristische aanslagen (alsof je die zou kunnen voorkomen met dergelijke maatregelen), hele domme dingen doen.

Aanvulling: om dit in een perspectief te stellen: in vergelijking hiermee heb ik nauwelijks moeite met de vandaag in de tweede kamer besproken "terughackwet". Zodra je een exploit inzet wordt deze, vroeger of later, bekend - bij good guys (waardoor er patches voor zullen verschijnen) of bij bad guys (waardoor good guys er het slachtoffer van zullen worden). Zo'n exploit zal heus spaarzaam worden ingezet (bij zeer serieuze verdenkingen dus), want ze zijn ook nog eens duur. En hoe vaker/grootschaliger deze wordt ingezet, hoe groter de kans op ontdekking door de good guys. M.a.w. dit systeem is zelfregulerend, het verzwakken en/of backdooren van encryptie is dat niet.

Je slaat hier de spijker op zijn kop Erik. Want het is veel goedkoper in de dagelijkse praktijk om met keyloggers en afluisterapparatuur te werken dan een exploit te gebruiken die voor 50K moet worden ingekocht en waarbij de betrouwbaarheid omtrent het slagen van dergelijke acties nog maar af te wachten is. Een beetje (bedrijfs)spion had hen al kunnen uitleggen dat de inzet van een drone die kan rijden en vliegen veel malen goedkoper en doelmatiger is dan high tech hacks.

Los daarvan is het vrij simpel om jezelf als crimineel te beschermen tegen dergelijk aanvallen met een stukje aangepaste hardware waarbij Linux of Windows op Intel /AMD niet het gebruikte platform is. SPY-shops verkopen al dergelijke producten in de vorm van maatwerk mini-appliances. Bovendien laten bepaalde groepen dit ook domweg gewoon ontwikkelen, zowel in NL als daarbuiten. Dus wederom niet gehinderd door inhoudelijke kennis rommelt men maar wat aan...

My two cents...

Vanwege het feit dat dergelijke exploits duur zijn, zullen ze juist zo veel mogelijk ingezet worden. Als jij weet dat een exploit over een week onbruikbaar is, gebruik je die nu bij zo veel mogelijk zaken en tegen zoveel mogelijk mensen. Dan maakt het je niet uit of het verdachten of onschuldige getuigen zijn. Je hoopt in ieder geval in die korte tijd zo veel mogelijk data te verzamelen.

Dat is efficient werken.
Over effectiviteit hebben we het niet. Dat is nooit een vraag in dergelijke wetten.

Peter

Dat verwacht ik niet.

Als ik zie hoe snel na het verschijnen ervan, veel mensen waarschijnlijke malware uploaden naar VirusTotal.com, en hoe snel antivirusboeren vervolgens detecterende definities verspreiden, betekent massale inzet een snelle "zelfmoord" van zo'n exploit. Ik zie echt niet hoe politie en geheime diensten dit even goed of zelfs effectiever zouden kunnen dan "echte cybercriminelen".

Tenzij natuurlijk, zij AV boeren ervan kunnen overtuigen om "hun" exploit te whitelisten - maar in dergelijke conspiracy theories geloof ik niet, zeker niet met de geografische verspreiding van de betrokken grotere bedrijven (wat dus heel prettig is).

Ik mis de link naar het echte enisa artikel, dit moet hem zijn [ur]https://www.enisa.europa.eu/publications/enisa-position-papers-and-opinions/enisa2019s-opinion-paper-on-encryption[/url] Dit staat er:
"2 Key Messages
> The use of backdoors in cryptography is not a solution. Existing legitimate users are put at risk by the very existence of backdoors. The wrong people are punished.
> Backdoors do not address the challenge of accessing of decrypting material because criminals can already develop and use their own cryptographic tools.
> Judicial oversight may not be a perfect solution as different interpretations of the legislation may occur.
> Law Enforcement solutions need to be identified without the use of backdoors and key escrow. It is very difficult to restrict technical innovation using legislation.
> History has shown that technology beats legislation and criminals are best placed to capitalise on this opportunity.
> The perception that backdoors and key escrow exist can potentially affect and undermine the aspirations for a full embraced Digital Society in Europe.
> History has shown that Legal Controls are not always successful and may harm and inhibit innovation.
> The experience in the US that limiting the strength of encryption tools inhibited innovation and left the competitive advantage in this area with other jurisdictions."

Ik kan dat zinnetje "Ultimately the risk benefit analysis is a political judgement." onderaan pagina 7 terugvinden.
Die constatering klopt want een democratie kan zichzelf democratisch opheffen. Zoiets heeft vaker plaatsgevonden.

Een grondrecht wordt echter politiek vastgesteld, dat zijn geen van God gegeven regels die iedereen vanzelf trouw respecteert. Er liggen Universele en Europese rechten voor de mens vast, maar die zijn door de (toenmalige) politiek tot stand gebracht. Ze waren er niet altijd al tot ze ontdekt werden. En niet elk land onderschrijft ze, laat staan dat ze door elk land gerespecteerd worden. Het zijn geen natuurwetten, ze behoren niet tot het universum waarin wij leven. Ze zijn door mensen verzonnen. Enisa toont dus vooral veel realiteitszin. Dat die realiteit je niet aanstaat is een ander punt.

Ik ben niet blij met de ontwikkelingen rond de hackerswet, maar de GDPR is wel weer een stap in de goede richting (jammer genoeg vallen opsporingsdiensten buiten de GDPR). Soms zit het mee, soms zit het tegen. Maar het blijft politiek.

In tegenstelling tot een historicus vandaan in de Volkskrant, geloof ik er niet zo in dat het geen kwaad kan als er op "verkeerde" partijen gestemd wordt. Die stem je niet altijd zo makkelijk meer weg. Er zijn momenteel meerdere regimes te noemen waar het nogal tegenvalt hoe je iemand die democratisch is gekozen, ook weer democratisch wegkrijgt; en van een historicus had ik sowieso beter verwacht.

Het is wel goed om nu duidelijk te zien dat het niet alleen de PVV is die de grondrechten in wil perken (je zou zelfs kunnen aanvoeren dat zij tenminste alleen de grondrechten van bepaalde burgers willen inperken. Maar dat vind ik toch altijd nog kwalijker dan van ons allemaal). Zo vlak voor de verkiezingen weten we van wie we het wel of niet moeten verwachten. Liever een LIesbeth van Tongeren trouwens dan een Groen Links dat met rechts meewaait. Maar dat terzijde.

Kennelijk heeft men niets geleerd van ECHELON en ECHELON II.
Het zijn juist de zogenaamde "vrienden" die je geheimen stelen en je belangen beschadigen voor eigen gewin.
Dus doe maar meer backdoors, meer verzwakte encrypties, meer gedwongen afgifte van wachtwoorden of anders levenslang in een werkkamp op water en brood.
Hoe eerder deze onzin onmiskenbaar en ten volle inbreuk gaat maken op het dagelijks leven van velen, hoe eerder men, hopelijk, wakker wordt.

Hoe eerder mensen meemaken dat hun oma, moeder, kind, neef, vriend, kennis, hier serieus nadeel van ondervinden, en dat instanties hen de spreekwoordelijke middelvinger hebben gegeven, zoek het maar uit, dikke pech, doei, dag. Hoe beter.

Wie zwijgt stemt toe. Geen actie ondernemen is een actie op zichzelf, want je staat een ander geen strobreed in de weg om zijn eigen plannen door te drukken.