image

Minister Blok: Encryptie is geen onwenselijk verschijnsel

dinsdag 30 mei 2017, 13:53 door Redactie, 7 reacties

Encryptie is geen onwenselijk verschijnsel en moet niet altijd kunnen worden doorbroken, zo heeft demissionair minister Blok van Veiligheid en Justitie laten weten. Blok reageerde op vragen van D66-Kamerlid Kees Verhoeven over eerdere uitspraken tijdens de afgelopen Europese Raad Justitie en Binnenlandse Zaken (JBZ).

Tijdens het overleg werd er door verschillende lidstaten gepleit voor een wetgevend voorstel op het gebied van encryptie. Volgens deze lidstaten moet informatie altijd voor rechtshandhavingsautoriteiten toegankelijk zijn."Het is onverantwoordelijk om technologie te maken die terroristen en criminelen de mogelijkheid biedt online veilig te communiceren. Hoewel complex, moet hiervoor een oplossing worden gevonden", aldus deze lidstaten.

Verhoeven wilde een reactie van Blok op het standpunt van deze landen. "In de Raad heb ik aangegeven dat ik vind dat de mogelijkheid van encryptie wezenlijk is. Veel belangrijke diensten waar burgers en bedrijven gebruik van maken, kunnen niet zonder encryptie", zo liet de minister tijdens een algemeen overleg van de vaste commissie voor Veiligheid en Justitie en de vaste commissie voor Europese Zaken weten. Volgens de minister kunnen er echter ook dringende opsporingsredenen zijn waarom een justitie- of veiligheidsdienst toch een noodzaak ziet om te kijken wat er gezegd of uitgewisseld is.

"Dan kan er een situatie ontstaan waarin aan een leverancier in het belang van de opsporing gevraagd wordt om bepaalde gegevens, dus de sleutel, toch te leveren. Daar zal over het algemeen ook een rechter aan te pas komen. Sommige bedrijven kunnen dat niet eens, omdat ze zelf niet over die sleutel beschikken. Andere bedrijven kunnen dat wel. De dienst kan zelf natuurlijk ook proberen te kraken, mits dat binnen de dienstopdracht valt", ging Blok verder.

Middenweg

Volgens de minister is er sprake van een zorgvuldige middenweg tussen enerzijds encryptie mogelijk te maken voor de goede toepassingen en anderzijds, waar het echt nodig is in het kader van het bestrijden van criminaliteit of in het kader van de staatsveiligheid, de mogelijkheid voor diensten, zoals die er ook is voor niet-versleutelde berichtenuitwisseling, om onder strikte voorwaarden inzage te krijgen in bepaalde informatie.

Verhoeven reageerde weer door te stellen dat dit standpunt afwijkt van het kabinetsstandpunt over encryptie, waarin werd uitgesproken om encryptie voorlopig niet te beperken. "Er is een duidelijke brief van het kabinet met een standpunt over encryptie. Daarin staat vrij onomwonden dat het doorbreken van encryptie niet de weg is die het kabinet wil inslaan", aldus Verhoeven.

Blok reageerde weer door te zeggen dat hij het belang van encryptie inziet (pdf). "Anders dan een aantal landen waarnaar de heer Verhoeven verwees, ben ik niet van mening dat het verschijnsel encryptie als zodanig onwenselijk is en altijd moet kunnen worden doorbroken. Dat heb ik ook met zo veel woorden gezegd. Als ik dan toch naar Brussel ga, zeg ik ook maar eens wat. Ik heb daar tegelijkertijd aan toegevoegd dat dit geen nieuw standpunt is van het kabinet."

Reacties (7)
30-05-2017, 15:39 door Anoniem
Maar wie bewaakt de bewakers dan? Ik ben sinds de vele verdwenen fotorolletjes van Srebrenica wat voorzichtiger geworden om de overheid alleen op de blauwe kleur van de ogen te vertrouwen...
30-05-2017, 17:14 door Anoniem
geen onwenselijk != wenselijk
niet altijd != nooit

hoezo nietszeggende politieke draaikont antwoorden...
31-05-2017, 06:57 door Anoniem
Door Anoniem: geen onwenselijk != wenselijk
niet altijd != nooit

hoezo nietszeggende politieke draaikont antwoorden...
Ach, deze man heeft ook nooit van integriteit gehoord dus politiek draaikonten is ook hem niet vreemd.
31-05-2017, 08:08 door Anoniem
Het afstaan van een sleutel wordt lastig als er gebruik gemaakt wordt van Let's Encrypt certificaten. Het genereren van het nieuwe key-pair gebeurt over het algemeen automatisch via scripting. Hierbij kan het oude certificaat + private key worden opgeschoond. En aangezien een justitieel onderzoek al snel langer loopt dan de geldigheid van een LE certificaat kunnen ze tegen het probleem aanlopen dat de sleutel er niet eens meer is.

Uiteraard heb je dit probleem ook bij 1, 2, 3-jarige certificaten, maar daar is gezien de looptijd de kans kleiner en daar wil men vaak nog wel eens een pkcs12 als backup hebben.
31-05-2017, 09:17 door sjonniev
Vertel dat aan die politieagent die vanochtend op BNR te horen was.
31-05-2017, 10:08 door Anoniem
Door Anoniem: Het afstaan van een sleutel wordt lastig als er gebruik gemaakt wordt van Let's Encrypt certificaten. Het genereren van het nieuwe key-pair gebeurt over het algemeen automatisch via scripting. Hierbij kan het oude certificaat + private key worden opgeschoond. En aangezien een justitieel onderzoek al snel langer loopt dan de geldigheid van een LE certificaat kunnen ze tegen het probleem aanlopen dat de sleutel er niet eens meer is.

Uiteraard heb je dit probleem ook bij 1, 2, 3-jarige certificaten, maar daar is gezien de looptijd de kans kleiner en daar wil men vaak nog wel eens een pkcs12 als backup hebben.
Het "probleem" is nog veel groter, want gebruikelijk is de inzet van een DH (Diffie-Hellman) key agreement voor elke TLS sessie (bekend als (perfect) forward secrecy). Daarmee wordt, via een insecure (plain text) kanaal, een symmetrische sleutel (meestal AES) overeengekomen tussen browser en server

Nb. dit wordt ook wel DH key exchange genoemd, maar feitelijk wordt de sleutel zelf helemaal niet uitgewisseld, slechts parameters waarmee beide partijen dezelfde sleutel kunnen genereren, zonder dat een meekijkende derde partij dat kan - vandaar dat ik "key agreement" beter vind passen.

Het certificaat en bewijs van eigenaarschap van de bijbehorende private key dient, bij een DH key agreement, uitsluitend nog ter authenticatie van de server; met de versleuteling van de verbinding hebben de private key en bijbehorende public key in het certificaat niets meer te maken (bij een RSA key exchange worden zij, naast voor authenticatie, ook gebruikt om de symmetrische sleutel veilig uit te kunnen wisselen).

Kortom, als een DH key agreement wordt gebruikt, heb je helemaal niets aan de private key op de server om de datastroom te kunnen decrypten.
31-05-2017, 10:48 door Anoniem
Door Anoniem:
Door Anoniem: geen onwenselijk != wenselijk
niet altijd != nooit

hoezo nietszeggende politieke draaikont antwoorden...
Ach, deze man heeft ook nooit van integriteit gehoord dus politiek draaikonten is ook hem niet vreemd.

Typisch politieke praat, waarbij je alle kanten uitkan:
geen onwenselijk = kan alles zijn behalve onwenselijk (ook bijvoorbeeld onaanvaardbaar)
niet altijd = kan alles zijn behalve altijd (dus ook in de regel wel, uitzonderingen daar gelaten)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.