Waarom kun je een telefoonlijn wel aftappen en encryptie niet? Wie het weet mag het deze ministers uitleggen.

Wie zegt dat die getapte telefoongesprekken geen gebruik maken van geheimtaal? De klassieke bescherming tegen meeluisteren.
Overigens, als onze BIOSsen of NICs [s]management engines [/s] keyloggers bevatten, is afzwakken van encryptie niet zo belangrijk meer, toch?

Politici lijken wel in de rij te staan, ja staan haast te trappelen van ongeduld om het laatste stukje veiligheid van de burger af te pakken: de privacy. In dit geval gaat het dan een onderdeel dat met encryptie te maken heeft. Wie goed leest wat politici werkelijk willen, dan blijkt dat men zelfs de encryptie aan banden wil leggen tussen een computer van een burger en zijn bank omdat men zo graag wil meekijken (woorden van Theresa May in Engeland). Natuurlijk wordt dit gelegitimeerd met het bekende woord “terrorisme”. Maar mag men de burger wel vragen zomaar zijn fundamentele recht op Privacy op te geven? Nee, natuurlijk niet. Dit fundamentele recht is namelijk verankerd in het Europese Recht. Men mag niet zomaar een recht teniet doen, ook niet als er terroristen hier en daar een aanslag plegen. Want als je zo gaat praten dan mag je ook iemand zijn vrijheid van meningsuiting zomaar vernietigen, of hem in de gevangenis werpen zonder enige aanklacht.

Dat je politici niet KUNT vertrouwen, blijkt wel uit het volgende wat beschreven staat op de website van privacybarometer, waar in dit geval mogelijk sprake is van een (opzettelijke?) glijdende schaal die geïntroduceerd werd naar aanleiding van een soort landelijke DNA-databank. De minister wil nu ziekenhuizen daarvoor gebruiken en schuift zomaar het medisch beroepsgeheim aan de kant. (zie link onderaan dit artikel)

Privacybarometer zegt het zo:

Die eerdere ervaring (glijdende schaal) heeft ons land onder andere met de 'DNA-databank voor strafzaken' opgedaan. Deze begon zeer bescheiden, maar dat werd snel anders. Victor Toom promoveerde in 2010 op de ontwikkeling van de DNA-databank. De databank werd in 1997 in gebruik genomen en bevat inmiddels het DNA-profiel van 252.513 personen (stand per 1 januari 2017). Toom laat in zijn proefschrift (pdf) zien hoe de glijdende schaal sinds 1997 is verlopen.
Zo is van vrijwilligheid tot meewerking aan DNA-onderzoek geen sprake meer. Verdachten kunnen worden gedwongen celmateriaal af te staan. Gold dat eerst voor een specifieke groep verdachten van zware misdrijven, inmiddels geldt dat ook voor veroordeelden van minder ernstige feiten. Zelfs bij een vernieling of het stelen van een fiets kan onder bepaalde omstandigheden DNA worden afgenomen. Was de databank ooit alleen voor volwassenen, inmiddels zijn er ook circa 26.000 minderjarigen in de databank opgenomen (cijfer eind 2015, bron jaarverslag NFI, pdf). In eerste instantie was goedkeuring van een rechter-commissaris nodig om DNA af te nemen, maar dat is overgeheveld naar de officier van justitie. Het criterium dat DNA bij verdachten alleen afgenomen mag worden bij "ernstige bezwaren blijkend uit feiten en omstandigheden" is versoepeld naar "ernstige bezwaren". Ook het criterium dat het afnemen van DNA "noodzakelijk" voor de opsporing moet zijn, is inmiddels afgezwakt. Nu geldt dat het "van belang voor het onderzoek" moet zijn. Oorspronkelijk werd in de databank alleen gekeken naar identificatie van individuele personen, maar inmiddels kijkt de politie ook of er familie van de verdachte in de DNA database zit. Zie voor een overzicht van de veranderingen ook deze tabel uit het proefschrift.

Wat ik wil zeggen is dat ook bij encryptie een glijdende schaal zal worden geïntroduceerd. Nu wordt er naar terroristen gezocht (althans dat beweren politici altijd), en korte tijd later wordt een glijdende schaal ingevoerd waardoor iedereen onder het vergrootglas van de veiligheids- en inlichtingendiensten komt te vallen.

Volgens de katholieke leer is men in geweten verplicht een overheid niet te gehoorzamen indien die overheden wetten maken die de fundamentele rechten van de menselijke persoon schenden. En privacy is zo'n fundamenteel recht. Er bestaat immers geen absolute gehoorzaamheid (anders krijg je zoiets als de SS) en dus moet wetgeving die de fundamentele rechten van de burger nodeloos ondermijnen van de hand worden gewezen. Burgers hoeven hun overheden hierin dus niet te gehoorzamen.

https://www.privacybarometer.nl/nieuws/3907/Grote_bezorgdheid_over_toegang_justitie_tot_gegevens_zorg

Als je alleen aan Justitie en Binnenlandse Zaken vraagt wat ze van encryptie vinden, dan weet je de uitkomst al. Terwijl Economische Zaken, Wetenschap en Onderwijs en Volksgezondheid misschien heel anders tegen encryptie aankijken.

Je kunt geëncrypteerde data ook aftappen, maar je kan ze niet decrypteren (terug leesbaar maken). Dus je verwart 2 dingen.
Verder kan je ook encryptie doen via telefoonlijn. Denk maar aan de 'wespen' en de 'gesneden broden' uit het Epo-tijdperk (wielrennen).

Omdat een telefoon lijn een verbinding is ('lijn') en encryptie een manier van communiceren, zoals een protocol is. er is dus geen lijn en niets om af te tappen bij encryptie. De lijn die vaak word gebruikt tegenwoordig (een internet lijn of TCP/IP stack met verbinding) is dus wel in esentie af te tappen.

Wat ik herhaaldelijk mis in de discussie is de noodzaak om een derde partij te laten decrypten (of de ongeencrypte data te laten zien). Gezien de statestieken zover nu bekend is met het verzamelen van meer en meer data (ook gedecrypte data) geen aantoonbare ernstige misdaad of terruerdaad voorkomen. (Er is dus geen preventie werking) Voor vervolging is de inhoudelijke data ook vaak niet nodig. de meta-data is vaak al voldoende om smaen met ander bewijs (verkregen via ouderwets speurwerk) iemand te veroordelen.

Welke meerwaarde voor de smaenleveving heeft het dus om op grote schaal bij de data te kunnen?
Wat we immidels weten is het niet dat:
- Er terruer mee word voorkomen.
- Het nodig is voor vervolging bij strafbare feiten.
- Het de rechtelijke macht of de politie werk bespaard, het verwerken van de informatie kost namelijk zeer veeel mankracht en kennis.

Het is voor politici en de meeste mensen de meest begrijpelijke stap. Ga data verzamelen nog meer dan er al is.
Telkens weer blijken die data al aanwezig en bekend geweest te zijn. Dan is het beter om de aanwezige data te begrijpen (stap 2) en er daadwerkelijk wat mee te doen (stap 3).
Pas met dat hele verhaal komt er effectiviteit.

Bij elke aanslag kunnen de veiligheidsdiensten weer 'aantonen' hoe noodzakelijk het is om toegang te krijgen tot alle data. De politici volgen de waan van de dag. Het gaat niet om de feiten en argumenten maar voor de overheid om de totale controle te krijgen. Democratie is tot een hol begrip verworden.

Keep IT simple


Wat een baan die politiek, interessant ook die lucratieve carrière vol commissariaten die daarna volgen.

Een telefoonlijn is ook een manier van communiceren, een protocol voor het overbrengen van spraak.

Pakken we de post erbij. Encryptie kan je zien als "de envelop" om je electronische bericht. Waarom kunnen we iemand zijn post wel aftappen (open stomen, kopietje maken, dichtplakken, doorsturen), en encryptie niet?

Je haalt hier wat zaken doorelkaar. Een "TCP/IP stack" is een aantal lagen software op een "host". Maar inderdaad, als je bij de bitjes kan, kan je er een kopietje van maken.

Maar dat mist wel de essentie, dus vertel ik maar even waar ik op doelde.

De hele beveiliging van (vaste) telefoonlijnen is dat de wet zegt dat je ze niet mag afluisteren. Dan is het dus triviaal voor een rechter om die beveiliging tijdelijk te doorbreken en toestemming te geven voor afluisteren.

Met encryptie gaat dat niet lukken. Want encryptie met achterdeurtjes erin is kapotte encryptie, en daar volgen twee hele duidelijke permanente negatieve gevolgen uit.

Dit onderscheid begrijpen is redelijk essentieel en dus iets om onze politici uit te leggen. Zeker die politici die met droge ogen precies die vergelijking wisten te trekken, letterlijk zelfs: "Encryptie kunnen doorbreken moet kunnen want telefoons kun je toch ook aftappen". Toch jammer dat ook hier een duidelijk weerwoord schitterde door afwezigheid. Zo krijg je de domme ideetjes nooit uit de hoofden van de politici.

Hoe bedoel je dat? Zo'n "trusted third party" of een "key escrow" constructie? Dat hoeft niet per se, kijk maar naar dat
Dual_EC_DRBG debacle. Maar waar je ze wel nodig hebt blijf je met dezelfde gebakken peren zitten. diginotar en commodo, iemand?

Dit is een hele goede vraag, en iets om de politiek, zeggens alle individuele politici, voor te leggen totdat ze met een behoorlijk antwoord komen. Gewoon blijven vragen. Iedere dag iemand anders aanschrijven, en blijven doorvragen.

Wat wil men dus in essentie?
Ik denk dat men wil "schouder surfen" en dat bij iedere burger.

Ik denk dat ik er zenuwachtig van zou worden, alleen al het idee 24 op 24 door je eigen overheid te worden bespied.

Net als die dropsoort waarvan men zegt: "Het zou verboden moeten worden".

Is de overheid dus voor het beschermen van de privacy van haar burgers?
Wil de overheid meer veiligheid tegen cyberdreigingen en cybercriminelen?
Ik denk dat we die twee vragen gevoegelijk met neen kunnen beantwoorden.

De overheid, net als Nero in het Romeinse Rijk, denkt alleen maar aan zichzelf.

Zij dient dus ingetoomd te worden in haar streven door een raad van technisch slimme mannetjes,
die geen bevoegdheid hebben "gekocht"of "bijeen gelobbyd" maar bewezen echt deskundig zijn,
weten waar de schoen wringt en met wat betere en meer doordachte voorstellen kunnen komen.

In ieder geval niet via nog meer gaten in de infrastructuur gatenkaas te boren,
zoals men nu steeds maar wil. Veiligheid voor iedereen en van onderaf geregeld.

Dit blijkt de machteloosheid van het verhinderen van aanslagen, ze kunnen een aanslag gewoon niet verhinderen.

Wanneer zal die Key Escrow suggestie op tafel worden gegooid? En wie zal de eerste zijn die hiermee komt?

Als politici hiervan lucht krijgen dan pleiten ze voor de middenweg, want wel bescherming tegen criminelen maar niet tegen inlichtingendiensten. Uiteraard is het hele idee taboe voor eenieder die om privacy of security geeft.

Ja , erg vervelend. Of je buren worden betaald om een muur microfoon met 3g toegang achter een kastje van een Cv ketel op zolder te laten inbouwen ;)

Wat je kunt doen tegen surveillance is een arsenaal aan countersurveilance tactieken. Ik kan uit ervaring wel zeggen dat je hier wel heel bewust mee moet omgaan, als je namelijk gevolgd wordt en je gaat opeens een cleanrun doen of je past tradecraft toe want je bent een hacker die privacy wilt... dat merken ze meteen en ze zullen het niet begrijpen. Grote kans dat ze hun efforts verdubbelen.

Privacy is geen argument voor mensen die het niet respecteren. Bovenstaande geldt ook in de digitale wereld. Als je privacy wilt en je gaat "opeens" meer doen om je privacy te houden, dan is de kans groot dat jouw additionele crypto ergens opvalt en juist de aandacht trekt. Zeker in de tijd van dragnets.

Persoonlijk vind ik dit een intellectuele tekortkoming van de zogenaamde inlichtingendiensten. Die zullen mits ze zich niet aanpassen in de toekomst steeds vaker vergissen en achter gewone burgers aanlopen. En ze zullen nooit winnen want de denkwijze is fundamenteel verkeerd. Gevolg is ook dat ze steken laten vallen daar waar het echt nodig is .. en langzaam verschuift de core business van Intelligence naar een gefrustreerde totalitaire heilstaat.

Wat wel gebeurt is dat mensen zich anders gaan gedragen door dit soort shoulder surfen. Je gedraagt je niet meer vrij, past zelfcensuur toe, vermijd bepaalde hobby's enz. In feite is de Anti-Westerse cultuur gerealiseerd door dit soort Big Brother praktijken.

Het is nu wel fijn als de overheden hun intentie duidelijk maken.

En niet wachten op de politiek..

@ anoniem van 11:46

Kennelijk weet je al van de hoed en de rand. Zou men dan niet beter het niveau van de algehele veiligheid van de infrastructuur aanmerkelijk kunnen verhogen en zorgen dat we allemaal wat veiliger ons kunnen bewegen binnen de digitale infrastructuur?

Ik vraag dit, zodat niet alleen black, white and grey hats zich veilig hoeven te wanen?

Begrijp me goed, ik zie de beperkingen voor degenen, die niet weten hoe ze zich enigszins moeten beschermen heel goed.

Ik ga je twee voorbeelden geven, waar ik mijn these van de algemene heersende onveiligheid op stoel. Ik doe vrijwillig website security analyses en ben foutenjager op een groot internationaal forum. Heb dus in 15 jaar heel wat geleerd en ervaring met onveilige code en deze voorbij zien komen. Noem een naam van een klasse of een bepaalde PHP file of een BIND versie en ik kan wel vertellen of er narigheid langs kan komen. Gelukkig heb ik een geheugen als een ijzeren pot en kan me goed afsluiten en verbanden zoeken, daar waar een ander die niet direct zoekt.

Nu de twee voorbeelden van onveilige portfolio sites. De ene site is van een end-point security engineer, afgestudeerd aan het prestigieuze Ben Gurion Negev Instituut . Vond daar Word Press met verouderde versie, plug-in niet geupdate en diverse verouderde en kwetsbare jQuery bibliotheken gebruikt. Sri-hashes niet voldoende gegenereerd (B-status) en een mozilla website developer scan komt niet verder dan een magere F-status met tal van aanbevelingen om het beter te doen via te gebruiken "best policies".

Je verwacht het niet, misschien feeft de deskundige geen weet van de brakke site, waar ie zijn portfolio op presenteert,
maar toch "ready for the hall of shame". Erop geplempt en nooit meer naar omgekeken zoals bij zovele Word Press sites.

Nummer twee bij een hostertje in Nederland draait een portfolio site van een Rus, die web apps ontwikkelt voor grote business klanten. Maakte een flitsende app voor een groot Zwitsers soeparoma merk, dat smaakt naar lavas of lubbestok. Herkenbaar merk beginnend met M? Zelfde ellende op deze Word Press CMS gedreven site, met nog user enumeration niet goed ingesteld en de overige gebreken van de bovenstaande.

Als dit soort ingenieurs en app developers niet eens weten hoe een basale website moet worden beveiligd, hoe ligt het dan met de algemene veiligheid, de professionaliteit, hoe is men op de opleiding opgeleid qua security. Ik weet het wel hooguit wat voorbeelden van SQL kwetsbaarheden in de kapstoktaal en daar kregen ze nog 3 uur de tijd voor, Ik ben bekend met dergelijke Hoge School examens, dus weet uit de eerste hand, waar ik het over heb en wat ik mis!!!!

Als we alleen maar trendy dingen gaan doen en managers hun contract hobbies laten najagen, nou vergeet het dan maar, dan kunnen de drie- of vier-letterige beveiligingsdiensten rotzooien wat ze willen en kijkt niemand hen nog op de vingers.

Hoe draaien we dit om, IT wereld, hoe maken we de I van IT weer groot? Of gaan we onbeschaamd verder op de weg der domheid, waar Erasmus ons al voor waarschuwde.