"het doorbreken van encryptie"
En hoe willen ze dit doen? Snappen ze uberhaupt hoe encryptie werkt?

Blijkbaar niet, duidelijk de mening van een ICT "buitenstaander", maar goed in politiek ......

Wel ben ik er een voorstander van, dat een verdachte onder bepaalde voorwaarden, na een gerechtelijke uitspraak, verplicht kan worden, om de decryptie sleutel af te geven.
Dit dient m.i. altijd een uitzondering te zijn.

hier ben ik het niet mee eens
als je "verdachte" zou vervangen voor "veroordeelde" zou in mijn ogen beter zijn.

Als verdachte heb je het recht om te zwijgen en hoef je niet mee te werken aan je eigen veroordeling.

Ook daar zijn afdoende technische maatregelen tegen te nemen zoals steganografie en features als hidden partitions in veracrypt. Dan kun je data verstoppen op een manier waarvan niet te bewijzen is dat er ueberhaupt data bestaat.

De techniek is er. De implementaties ook. Dan kun je als politiek allerlei beleid bedenken, maar je spant het paard achter de wagen. een heel eind achter de wagen

Natuurlijk niet; het is een grondbeginsel in de Universele Verklaring van de Rechten van de Mens dat je niet verplicht kan worden mee te werken aan je eigen veroordeling EN het recht op privacy hebt en niet GEDWONGEN kan worden deze informatie af te geven. Waar haal je ook het gore lef vandaan om te denken dat je als maatschappij het recht het op het weten andermans geheimen ? Kraak de kluis gewoon, niets mis mee. Lukt dat digitaal niet; jammer dan ... maar verplichte decryptie is moreel verwerkelijk en juridisch niet haalbaar (De Engelse wetgeving is al aangevochten bij het Europese Hof; maar dat kan nog X jaar duren) ...

En het NUT is nog nooit aangetoond; dus laten we gewoon eens fatsoenlijk een EERLIJK onderzoek doen naar nut, noodzaak, wenselijkheid en dan pas eventueel naar de haalbaarheid....

Ik weet wel wat men eigenlijk graag zou wilen. Gelimiteerd veilige verbindingen tot op zekere hoogte, dus veilig tot het moment dat men besluit mee te willen gluren. Iedereen mag gebruik maken van encryptie, maar die encryptie moet te doorbreken zijn door "toezichthouders". Vraag me af hoe ze dat willen realiseren? Encryptie verbieden? e2e encryptie verbieden? Bepaalde partijen verplichten mee te werken onder geheimhouding?

Kijk eens waar SRI hashes zijn geimplementeerd en waar niet. Kijk waar publieke sleutels mee worden gedeeld.

Waar gaan we heen? Ze weten alles al van ons of kunnen dat nagenoeg raden. Wat wil men dan nog meer?
Constant schoudersurfen?

Vandaar ook mijn woordkeuze:
Onder bepaalde voorwaarden >>> moeten dus vooraf wettelijk bepaald worden
Na een gerechtelijke uitspraak >>> het belang voor de maatschappij moet onomstotelijk bewezen zijn
verplicht kan worden >>> dus niet zwart/wit, maar het moet kunnen in specifieke gevallen.

Stel je deze voorwaarden niet, dan krijg je (ook / weer) een sleepnet, iets dat we niet moeten willen.

VVD minister vindt dat de boel nog niet voldoende verkloot is...

Endpoint(s) 'hacken' omzeilt encryptie.

Wat voor een bewindsman dus wenselijk kan zijn, is voor betrokkenen zelf vaak zeer ongewenst.

Zaken gaan dus steeds meer haaks op elkaar staan. Vraag is derhalve waar en wanneer komt de breuklijn en zeggen we met z'n allen: "Dit is een brug te ver, remote overheidsschoudersurfen, dat willen we zeker niet ongericht laten plaatsvinden.".

Waar komt voor u de grens te liggen of is die eindeloos oprekbaar?

Men stelt iets voor en er komt een respons van algemeen of grotendeels afwijzen. Men weet dus dat dit niet direct haalbaar is. Men zwakt het voorstel zodanig af, dat men verkrijgt wat men oorspronkelijk van plan was en het beoogde is "handig" doorgeduwd en dus binnengehaald. Zo werkt dit meestal. Eerst een beetje leunen tegen een deur, die nog dicht zit. Gaat ie iets open, voetje ertussen.

Technisch gezien kan end-to-end encryptie vervangen worden door een SSL offload mechanisme (man-in-the-middle; encrypt => decrypt => encrypt). Precies wat een aantal AV producten nu ook al lokaal doen.

De vraag is natuurlijk, is dit net zo veilig voor een doorsnee eind gebruiker (ik denk van wel)? Maar het zet de deur open voor commercieel gebruik van decrypted informatie door diegene die de SSL offloading in handen heeft en misbruik door overheden (gag letters etc).

End-to-end encryptie heeft dit nadeel niet, maar zou in principe niets afdoen aan de veiligheid mits een aantal zaken wettelijk gewaarborgd zouden worden. En dat laatste is natuurlijk voor een gemiddeld alu-hoedje niet zo :-)

het gaat er meer om dat je aangeeft bij "een verdachte" je bent dan nog niet veroordeeld
als verdachte heb je gewoon recht om te zwijgen en hoef je niet mee te werken aan je eigen veroordeling.

Helemaal mee eens! We hebben meer praktische oplossingen nodig, zodat bijv. ook mijn moeder zonder problemen versleutelde e-mails kan sturen.

... Ow, is dat niet het soort praktische oplossingen dat hij bedoelde?!

Even serieus:
Dat is wat mij betreft de juiste aanpak. Informatie delen over hoe bestaande encryptie gebroken (of waarschijnlijker: omzeild) kan worden, zonder het inbouwen van voor- zij- of achterdeurtjes in de crypto zelf.

Daar heb je een goed punt.
Om één uitzondering te noemen: verdacht van een misdrijf, waarop een straf staat van meer dan 5 jaar gevangenisstraf.
Voor de goede orde, ik ben geen jurist, en het moeten uitzonderingen blijven.

Bij perfect forward secrecy zoals Signal en WhatsApp gebruiken is dat ook niet meer haalbaar. Als ik het bericht al van mijn telefoon verwijderd heb kan ik het zelf ook niet meer ontcijferen omdat de, per bericht wisselende decryptiesleutel, dan ook al weg is.

5 jaar? Tegenwoordig kun je voor diefstal al 6 jaar krijgen, dus dat is bij vrijwel alles al. Dat haast niemand die 6 jaar ook krijgt maakt voor dat soort wetten niet uit.

Leest als : Endlosung voor het encryptievraagstuk

Gewoon praktische oplossingen keizen voor een zelfgesteld probleem met de rechtsstaat.
Stef en zijn partijcollega's zetten met liefde de rechtstaat en burgerrechten voor het definitieve blok.

Als de wet of rechten in de weg zitten pas je even de wet aan tot de overheid het wel mag en burgers bepaalde prive rechten niet meer hebben.

Ik zie voorstanders van waterboarding en heksenverbranding.
Als een verdachte niets wil zeggen ... het zij zo. Dat is zijn recht. Fysieke dwang hoort niet in een rechtstaat.
Het enige wat je er tegenover kan zetten Is een hoger vermoeden van het strafbare feit. Het is dan de keus aan de verdediging om een onderzoek als ontlasten bewijs in te laten gaan. Zou bij een gecontroleerd onafhankelijke onderzoeksinstantie kunnen gebeuren.

En als veroordeelde maakt het voor jou niet meer uit of je wel of niet meewerkt aan decryptie. Je kunt hooguit anderen impliceren. Die zullen niet blij zijn als zij uiteindelijk bij jou in de gevangenis terechtkomen. Of je kunt, bij KP, meehelpen om slachtoffers te beschermen. Maar ook dat heeft voor jou als veroordeelde geen positieve gevolgen.

Een persoon wordt veroordeeld op basis van het beschikbare bewijs. Als hij als straf ook nog zijn gegevens moet ontsleutelen, komt er nieuw materiaal beschikbaar. Materiaal op basis waarvan er een nieuwe zaak geopend kan worden waarin hij weer verdachte is.

Peter

Dat laatste wat je hier zegt is in strijd met het Europese rechtsbeginsel Nemo tenetur se ipsum accusare. En het is daarom dat de ontsleutelingsplicht voorgesteld in de nieuwe wetgeving (bekend als de terughack-wet) eruit gehaald is. Bovendien is een verdachte na een strafrechtuitspraak geen verdachte meer als hij schuldig is bevonden aan het strafbare feit, maar dan is hij aangewezen als dader.

Wat voor een bewindsman gewenst is dat is (als het goed is) wat er gewenst is voor het algemeen belang.
Met "de betrokkenen" bedoel jij wellicht degene wiens communicatie het daglicht niet kan verdragen, maar er zijn
nog meer betrokkenen en dat is de samenleving, het algemeen belang.

Wat het zo lastig maakt is dat iedereen wel veiligheid wil voor normale prive of zakelijke communicatie waarvan
het voor het algemeen belang niet nodig is dat die routinematig wordt meegeluisterd door buitenstaanders, maar
dat het niet gewenst is dat personen die de samenleving schade toebrengen niet kunnen worden opgespoord en
vervolgd omdat al hun communicatie vercijferd is.

Dat is de spagaat waar een minister ook in zit. Hij wil echt niet met alles en iedereen meeluisteren, maar hij is
er wel voor het dienen van het algemeen belang, en dat kan wel eens voor het persoonlijk belang gaan.

Dat ben ik met je eens, dat is een stukken betere oplossing is dan de security totaal openbreken om ons totaal te beschermen. Er is een probleem : Een verdachte kan niet gedwongen worden om mee te werken aan zijn eigen veroordeling, het afgeven van een sleutel kan hier mi. onder gerekend worden.

Ik denk dat er geen oplossing voor dit nogal gezochte probleem. Mind you, als ik een mail verstuur via TNT-post is de afzender anoniem ....

Doorbreken van encryptie? Waarom dan wel? Omdat de meerderheid van de bevolking opeens zijn veiligheid moet inleveren omdat er hier en daar een verdwaalde terrorist rondspookt? Totaal onacceptabel dit..

@Ron625 e.a.:

Maatregelen die te vatten zijn onder de noemer "ontsleutelplicht", m.a.w het onder voorwaarden verplichten van een verdachte dat deze meewerkt aan het ontsleutelen van data is een juridisch en moreel wespennest. Er zitten zoveel haken en ogen aan dat het praktisch onuitvoerbaar wordt en in elk geval leidt tot het ongedaan moeten maken van hele fundamentele zekerheden en principes van een rechtsstaat.

1) Het recht om te zwijgen c.q. niet mee te werken aan de eigen veroordeling. Dit zal dan toch echt van tafel moeten. In alle rechtssystemen waar een verdachte onschuldig is totdat het tegendeel bewezen is, zijn verdachten tot het moment van veroordeling nog steeds onschuldig. Willen we als maatschappij onschuldige mensen dwingen bewijs tegen zichzelf aan te leveren? Dit is een straf op geen schuld willen bekennen, een moderne variant van de drijftest voor heksen.

2) Wat als iemand beweert de passphrase niet meer te weten? Hoe gaan we bewijzen dat dit niet zo is? Het moet mogelijk zijn om iemand te straffen voor niet meewerken met een decryptiebevel zelfs wanneer iemand zegt er niet toe in staat te zijn mee te werken, anders wordt dit het standaard excuus en is de wet zinloos. Willen we straffen zetten op vergeetachtigheid? Noot dat dit scenario niet zo vergezocht is als sommigen wellicht denken, er zijn legio zaken waarbij verdachten vele weken tot maanden in voorarrest zitten, het kan lang duren voordat de encrypte disk is gevonden of onderzocht (het NFI heeft al veel te weinig capaciteit), de zaak behandeld wordt, het onderzoek op een bepaald punt is aangekomen, het NFI aangeeft het niet te kunnen decrypten zonder medewerking van de verdachte e.d. Ik ben zelf na een vakantie van een week meestal al mijn wachtwoord kwijt, een goed password niet meer kunnen herinneren na drie maanden vol stress, ondervragingen en intimidatie in een huis van bewaring is een heel redelijk argument.

3) Wat voor straf komt er te staan op het toch niet meewerken? Gaan we over tot folteren om de verdachte te dwingen (zie ook punt twee), gaan we onschuldige vergeetachtigen folteren? Indien nee, hoe zwaar moet de straf dan zijn? Als die veel minder zwaar is dan wat staat op de oorspronkelijke verdenking (bijv 1 jaar voor niet meewerken, maar 8 bij veroordeling) dan moet je er van uit gaan dat mensen hun mond alsnog houden. Als dat betekent dat het oorspronkelijke feit niet kan worden bewezen, gaan we dus mensen gevangenisstraf geven enkel en alleen omdat ze weigeren mee te werken aan hun eigen veroordeling of daadwerkelijik vergeetachtig zijn. Wederom moet dat fundamentele bouwblok van elke rechtstaat, de onschuldspresumptie, dus wijken, en als het oorspronkelijke feit ook bewezen kan worden zonder medewerking van de verdachte was het decryptiebevel dus onnodig.

4) Het is technisch mogelijk en praktisch uitvoerbaar om een disk dusdanig te encrypten dat met een password een andere set data leesbaar wordt dan met een ander password. Het is ook mogelijk in bepaalde hardware-devices dat met het ingeven van een speciaal "ander" password de data onherstelbaar vernietigd wordt. Hoe is dit aantoonbaar, en komt er ook straf te staan op het hebben van zo'n stuk hardware?

5) Het maskeringsprobleem. Scenario: er is een decryptieplicht. Ik neem een harddisks, en ik zet er mijn geheime data, zeg het bewijs voor btw-fraude, op. De disk encrypt ik op een dusdanige wijze dat het onmogelijk is het verschil te zien tussen random data en de encrypte data (deze techniek bestaat al). Vervolgens versleutel ik de disk nogmaals met een sterke encryptie. Nu wordt ik gepakt, en krijg een decryptiebevel. Ik decrypt de disk, deze blijkt vol te staan met random data, er is geen touw aan vast te knopen en er is geen bewijs gevonden. Vraag: Heb ik meegewerkt aan het decryptiebevel? Indien niet, waarom niet, ik heb immers de versleuteling ongedaan gemaakt. En indien ja, heeft het de veroordeling geholpen? Wat was de data die ik bevolen werd te decrypten, de "echte" data of de "random" data? Hoe kan het OM aantonen dat mijn disk wel degelijk echte data bevat? Komt er een verbod op het encrypten van random data? Komt er een verbod op het gebruik van encryptie die data versleuteld zodanig dat het random lijkt, en hoe is dat te controleren? Komt er een verbod op het als onschuldig persoon wissen van je legale data door het te overschrijven met random data omdat je misschien ooit eens verdachte zou kunnen worden in een of andere zaak? Komt er een wet die zegt "je moet net zo lang decrypten totdat er iets op staat dat bewijst dat je het gedaan hebt?" Komt er straf te staan op dat niet kunnen? Wat als er niets op de disk staat? Noot dat het mogelijk is schuldig te zijn aan iets zonder dat er bewijs van op je harddisk staat.

Het OM heeft daar al een standaardtruc voor: bij veel zaken waar belangrijke en minder belangrijke verdachten zijn wordt de minder belangrijke verdachten gemeld dat ze niet langer verdacht zijn en niet vervolgd zullen worden. Maar nu zijn ze opeens getuige, en die zijn wel verplicht om te antwoorden (en als ze onwillig zijn kunnen ze worden vastgezet tot ze spreken).

Leuk dat je de key wellicht af moet staan maar hoe bewijs je dat je dit niet kan? Vergeten, gewist, verloren. Er zijn FDE oplossingen waarbij een bepaald wachtwoord de key wiped, ik weet vaak niet eens wat ik vorige week allemaal heb gedaan, papiertjes raken wel eens kwijt. Dit alles valt moeilijk te bewijzen dus dan ga je alsnog extra lang de bak in ook al staat er niks strafbaars op de encrypted disk?

Ik zou mijn schijf encrypten en een Uefi writer erachter zetten met als wachtwoord "ikzouhetnietdoen". Als je het dan toch doet en mijn disk infecteert het gehele justitiesysteem. tja. Als je niet capabel genoeg bent om met gewoon je werk te doen mensen op te sporen dan helpt een encrypted schijf je ook niet. Mijn voorstel zou zijn: Veel, heel veel minder managers bij de justitie en veel meer mensen die werken zeg maar ;). dan is de pakkans vele malen groter en dus het probleem vele malen kleiner. <einde>

Er is een tussen oplossing:
Code afgeven en "we" gaan uit van de gemiddelde straf, plus of min andere misdrijven en/of geschiedenis.
Niet afgeven en "we" gaan uit van de maximale straf, plus of min andere misdrijven en/of geschiedenis.
Dit kan m.i. alleen, bij bewezen schuld.
Gelukkig ben ik geen jurist :-)

en toch gebeurt het
https://www.security.nl/posting/493582

Ter bescherming van het individu, om te voorkomen dat we Amerikaanse toestanden krijgen.

We houden de conversatie binnen NL en EU. Daar is de overhead nog relatief eerlijk en doorzichtig. Welke rechten hebben mensen buiten Europa? Als daar de berichten leesbaar worden veroordelen we direct de daar aanwezige journalisten, vrijheidstrijders en andere klokkenluiders.
Ook bijvoorbeeld in Turkije kan kritiek op de overhead veel problemen geven. Als de overheid overal bij kan wordt de samenleving daar al snel monddood gemaakt. Ik durf mijn kinderen niet te garanderen dat dit hier nooit zal gebeuren.
En net als u hoop ik dat bovenstaande onzin en paranoïde is.