image

ENISA waarschuwt voor backdoors in encryptie

dinsdag 13 december 2016, 10:26 door Redactie, 7 reacties
Laatst bijgewerkt: 13-12-2016, 10:42

Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) heeft autoriteiten en opsporingsdiensten gewaarschuwd om encryptie niet te verzwakken of backdoors aan toe te voegen. Volgens de organisatie ondermijnt dit het vertrouwen in digitale diensten en schaadt het de implementatie van een digitale interne markt en de EU-industrie. "Backdoors in encryptie zijn geen oplossing, aangezien legitieme gebruikers hierdoor risico lopen", aldus ENISA.

Naar aanleiding van de voorstellen en plannen van overheden en opsporingsdiensten om encryptie te verzwakken heeft de organisatie zeven punten opgesteld die hier tegenwicht aan moeten bieden. Naast het risico dat legitieme gebruikers lopen stelt ENISA dat criminelen hun eigen encryptietools kunnen ontwikkelen en gebruiken. Ook juridisch toezicht op eventuele backdoors biedt geen perfecte oplossing, aangezien er verschillende interpretaties van wetgeving zich kunnen voordoen.

ENISA wijst ook naar de geschiedenis, die laat zien dat technologie sterker is dan wetgeving en criminelen zich in de beste positie bevinden om hier misbruik van te maken. Daarnaast zijn juridische beperkingen niet altijd succesvol en kunnen ze innovatie schaden. "Het is zo goed als zeker dat het ondermijnen van de privacy van commercieel beschikbare encryptietools een nieuwe markt voor private versleutelde producten voor criminelen zal creëren", merkt ENISA op. De organisatie stelt dat de afweging tussen de voor- en nadelen van een backdoor uiteindelijk een politieke beslissing is.

Reacties (7)
13-12-2016, 11:34 door Erik van Straten - Bijgewerkt: 13-12-2016, 11:55
Ik was blij met het statement van ENISA tot ik dit las:
De organisatie stelt dat de afweging tussen de voor- en nadelen van een backdoor uiteindelijk een politieke beslissing is.
Nee, want voor zover het geen grondrecht is dat burgers, bedrijven en andere organisaties (incl. gezondheidszorg) vertrouwelijke gegevens mogen bezitten en uitwisselen met wie zij wensen, zou dat een grondrecht moeten zijn.

En grondrechten zijn er om te waarborgen dat een toevallig gekozen stelletje potentieel naïeve onbenullen of eventueel doorgeschoten machtsmisbruikers, al dan niet met een waas voor ogen door voorspelde/daadwerkelijke terroristische aanslagen (alsof je die zou kunnen voorkomen met dergelijke maatregelen), hele domme dingen doen.

Aanvulling: om dit in een perspectief te stellen: in vergelijking hiermee heb ik nauwelijks moeite met de vandaag in de tweede kamer besproken "terughackwet". Zodra je een exploit inzet wordt deze, vroeger of later, bekend - bij good guys (waardoor er patches voor zullen verschijnen) of bij bad guys (waardoor good guys er het slachtoffer van zullen worden). Zo'n exploit zal heus spaarzaam worden ingezet (bij zeer serieuze verdenkingen dus), want ze zijn ook nog eens duur. En hoe vaker/grootschaliger deze wordt ingezet, hoe groter de kans op ontdekking door de good guys. M.a.w. dit systeem is zelfregulerend, het verzwakken en/of backdooren van encryptie is dat niet.
13-12-2016, 12:58 door Anoniem
Door Erik van Straten: Ik was blij met het statement van ENISA tot ik dit las:
De organisatie stelt dat de afweging tussen de voor- en nadelen van een backdoor uiteindelijk een politieke beslissing is.
Zo'n exploit zal heus spaarzaam worden ingezet (bij zeer serieuze verdenkingen dus), want ze zijn ook nog eens duur. En hoe vaker/grootschaliger deze wordt ingezet, hoe groter de kans op ontdekking door de good guys. M.a.w. dit systeem is zelfregulerend, het verzwakken en/of backdooren van encryptie is dat niet.

Je slaat hier de spijker op zijn kop Erik. Want het is veel goedkoper in de dagelijkse praktijk om met keyloggers en afluisterapparatuur te werken dan een exploit te gebruiken die voor 50K moet worden ingekocht en waarbij de betrouwbaarheid omtrent het slagen van dergelijke acties nog maar af te wachten is. Een beetje (bedrijfs)spion had hen al kunnen uitleggen dat de inzet van een drone die kan rijden en vliegen veel malen goedkoper en doelmatiger is dan high tech hacks.

Los daarvan is het vrij simpel om jezelf als crimineel te beschermen tegen dergelijk aanvallen met een stukje aangepaste hardware waarbij Linux of Windows op Intel /AMD niet het gebruikte platform is. SPY-shops verkopen al dergelijke producten in de vorm van maatwerk mini-appliances. Bovendien laten bepaalde groepen dit ook domweg gewoon ontwikkelen, zowel in NL als daarbuiten. Dus wederom niet gehinderd door inhoudelijke kennis rommelt men maar wat aan...

My two cents...
13-12-2016, 14:16 door Anoniem
Door Erik van Straten: Ik was blij met het statement van ENISA tot ik dit las:
De organisatie stelt dat de afweging tussen de voor- en nadelen van een backdoor uiteindelijk een politieke beslissing is.
Aanvulling: om dit in een perspectief te stellen: in vergelijking hiermee heb ik nauwelijks moeite met de vandaag in de tweede kamer besproken "terughackwet". Zodra je een exploit inzet wordt deze, vroeger of later, bekend - bij good guys (waardoor er patches voor zullen verschijnen) of bij bad guys (waardoor good guys er het slachtoffer van zullen worden). Zo'n exploit zal heus spaarzaam worden ingezet (bij zeer serieuze verdenkingen dus), want ze zijn ook nog eens duur. En hoe vaker/grootschaliger deze wordt ingezet, hoe groter de kans op ontdekking door de good guys. M.a.w. dit systeem is zelfregulerend, het verzwakken en/of backdooren van encryptie is dat niet.

Vanwege het feit dat dergelijke exploits duur zijn, zullen ze juist zo veel mogelijk ingezet worden. Als jij weet dat een exploit over een week onbruikbaar is, gebruik je die nu bij zo veel mogelijk zaken en tegen zoveel mogelijk mensen. Dan maakt het je niet uit of het verdachten of onschuldige getuigen zijn. Je hoopt in ieder geval in die korte tijd zo veel mogelijk data te verzamelen.

Dat is efficient werken.
Over effectiviteit hebben we het niet. Dat is nooit een vraag in dergelijke wetten.

Peter
13-12-2016, 15:39 door Erik van Straten
13-12-2016, 14:16 door Anoniem (Peter): Vanwege het feit dat dergelijke exploits duur zijn, zullen ze juist zo veel mogelijk ingezet worden. Als jij weet dat een exploit over een week onbruikbaar is, gebruik je die nu bij zo veel mogelijk zaken en tegen zoveel mogelijk mensen. Dan maakt het je niet uit of het verdachten of onschuldige getuigen zijn. Je hoopt in ieder geval in die korte tijd zo veel mogelijk data te verzamelen.
Dat verwacht ik niet.

Als ik zie hoe snel na het verschijnen ervan, veel mensen waarschijnlijke malware uploaden naar VirusTotal.com, en hoe snel antivirusboeren vervolgens detecterende definities verspreiden, betekent massale inzet een snelle "zelfmoord" van zo'n exploit. Ik zie echt niet hoe politie en geheime diensten dit even goed of zelfs effectiever zouden kunnen dan "echte cybercriminelen".

Tenzij natuurlijk, zij AV boeren ervan kunnen overtuigen om "hun" exploit te whitelisten - maar in dergelijke conspiracy theories geloof ik niet, zeker niet met de geografische verspreiding van de betrokken grotere bedrijven (wat dus heel prettig is).
13-12-2016, 17:26 door karma4 - Bijgewerkt: 13-12-2016, 17:27
Ik mis de link naar het echte enisa artikel, dit moet hem zijn [ur]https://www.enisa.europa.eu/publications/enisa-position-papers-and-opinions/enisa2019s-opinion-paper-on-encryption[/url] Dit staat er:
"2 Key Messages
> The use of backdoors in cryptography is not a solution. Existing legitimate users are put at risk by the very existence of backdoors. The wrong people are punished.
> Backdoors do not address the challenge of accessing of decrypting material because criminals can already develop and use their own cryptographic tools.
> Judicial oversight may not be a perfect solution as different interpretations of the legislation may occur.
> Law Enforcement solutions need to be identified without the use of backdoors and key escrow. It is very difficult to restrict technical innovation using legislation.
> History has shown that technology beats legislation and criminals are best placed to capitalise on this opportunity.
> The perception that backdoors and key escrow exist can potentially affect and undermine the aspirations for a full embraced Digital Society in Europe.
> History has shown that Legal Controls are not always successful and may harm and inhibit innovation.
> The experience in the US that limiting the strength of encryption tools inhibited innovation and left the competitive advantage in this area with other jurisdictions."

Ik kan dat zinnetje "Ultimately the risk benefit analysis is a political judgement." onderaan pagina 7 terugvinden.
Die constatering klopt want een democratie kan zichzelf democratisch opheffen. Zoiets heeft vaker plaatsgevonden.
13-12-2016, 19:50 door Anoniem
Door Erik van Straten: Ik was blij met het statement van ENISA tot ik dit las:
De organisatie stelt dat de afweging tussen de voor- en nadelen van een backdoor uiteindelijk een politieke beslissing is.
Nee, want voor zover het geen grondrecht is dat burgers, bedrijven en andere organisaties (incl. gezondheidszorg) vertrouwelijke gegevens mogen bezitten en uitwisselen met wie zij wensen, zou dat een grondrecht moeten zijn.


Een grondrecht wordt echter politiek vastgesteld, dat zijn geen van God gegeven regels die iedereen vanzelf trouw respecteert. Er liggen Universele en Europese rechten voor de mens vast, maar die zijn door de (toenmalige) politiek tot stand gebracht. Ze waren er niet altijd al tot ze ontdekt werden. En niet elk land onderschrijft ze, laat staan dat ze door elk land gerespecteerd worden. Het zijn geen natuurwetten, ze behoren niet tot het universum waarin wij leven. Ze zijn door mensen verzonnen. Enisa toont dus vooral veel realiteitszin. Dat die realiteit je niet aanstaat is een ander punt.

Ik ben niet blij met de ontwikkelingen rond de hackerswet, maar de GDPR is wel weer een stap in de goede richting (jammer genoeg vallen opsporingsdiensten buiten de GDPR). Soms zit het mee, soms zit het tegen. Maar het blijft politiek.

In tegenstelling tot een historicus vandaan in de Volkskrant, geloof ik er niet zo in dat het geen kwaad kan als er op "verkeerde" partijen gestemd wordt. Die stem je niet altijd zo makkelijk meer weg. Er zijn momenteel meerdere regimes te noemen waar het nogal tegenvalt hoe je iemand die democratisch is gekozen, ook weer democratisch wegkrijgt; en van een historicus had ik sowieso beter verwacht.

Het is wel goed om nu duidelijk te zien dat het niet alleen de PVV is die de grondrechten in wil perken (je zou zelfs kunnen aanvoeren dat zij tenminste alleen de grondrechten van bepaalde burgers willen inperken. Maar dat vind ik toch altijd nog kwalijker dan van ons allemaal). Zo vlak voor de verkiezingen weten we van wie we het wel of niet moeten verwachten. Liever een LIesbeth van Tongeren trouwens dan een Groen Links dat met rechts meewaait. Maar dat terzijde.
14-12-2016, 01:04 door Anoniem
Kennelijk heeft men niets geleerd van ECHELON en ECHELON II.
Het zijn juist de zogenaamde "vrienden" die je geheimen stelen en je belangen beschadigen voor eigen gewin.
Dus doe maar meer backdoors, meer verzwakte encrypties, meer gedwongen afgifte van wachtwoorden of anders levenslang in een werkkamp op water en brood.
Hoe eerder deze onzin onmiskenbaar en ten volle inbreuk gaat maken op het dagelijks leven van velen, hoe eerder men, hopelijk, wakker wordt.

Hoe eerder mensen meemaken dat hun oma, moeder, kind, neef, vriend, kennis, hier serieus nadeel van ondervinden, en dat instanties hen de spreekwoordelijke middelvinger hebben gegeven, zoek het maar uit, dikke pech, doei, dag. Hoe beter.

Wie zwijgt stemt toe. Geen actie ondernemen is een actie op zichzelf, want je staat een ander geen strobreed in de weg om zijn eigen plannen door te drukken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.