Europese Commissie wil 'decryptievermogen' Europol uitbreiden
Gisteren presenteerde de Europese Commissie nieuwe anti-terreurmaatregelen en één van de onderwerpen die aan bod kwam is encryptie. De Commissie wil opsporingsdiensten die bij strafrechtelijke onderzoeken encryptie tegenkomen op verschillende manieren ondersteunen.
Volgens de Europese Commissie vormt het gebruik van encryptie door criminelen in de context van strafrechtelijke onderzoeken een steeds grotere uitdaging voor opsporingsdiensten. "De uitdagingen zijn niet alleen te wijten aan pogingen door criminele gebruikers die hun elektronische communicatie en privé opgeslagen data verhullen, maar ook door de standaardinstelling van veel communicatiediensten om encryptie toe te passen", aldus de Europese Commissie. Die stelt verder dat het gebruik van encryptie door criminelen de komende jaren zal toenemen en daardoor ook de impact op strafrechtelijke onderzoeken.
Om lidstaten op het gebied van encryptie bij te staan heeft de Europese Commissie verschillende voorstellen gedaan. Zo wil het het 'decryptievermogen' van Europol uitbreiden, moeten er kenniscentra over encryptie komen en moet er een 'toolbox' voor juridische en technische instrumenten worden gecreëerd. Wat er precies met 'decryptievermogen' wordt bedoeld laat de Commissie niet weten. Vorig jaar maakten EU-lidstaten nog bekend dat bij onderzoek naar versleuteld bewijsmateriaal er vaak onvoldoende technische capaciteit is wat betreft technische oplossingen en materiaal om data te ontsleutelen.
Europol kondigde vorig jaar zelf nog aan dat het vanwege de "uitdagingen" van versleuteld materiaal bij politie-onderzoeken begonnen is met het onderzoeken van nieuwe forensische technieken. In dat kader organiseerde de opsporingsdienst een workshop over encryptie. Zo werden best practices en technieken van succesvolle onderzoeken gedeeld. Het gaat dan met name om het gebruik van geavanceerde wiskundige modellen ondersteund door machine leren om zo meer succes te hebben bij het ontsleutelen van versleuteld materiaal.
De Commissie pleit tevens voor het trainen van opsporingsdiensten en het oprichten van een observatorium dat juridische en technische ontwikkelingen bijhoudt. Verder wil de Commissie een "gestructureerde dialoog" met techbedrijven en burgerorganisaties. De Commissie laat daarnaast weten dat het volgend jaar voorstellen voor een juridisch raamwerk zal doen dat moet helpen bij het verkrijgen van toegang tot elektronisch bewijsmateriaal. Vorige maand liet Europol nog weten dat encryptie een groeiend probleem is bij de aanpak van criminaliteit. De opsporingsdienst riep toen op om bestaande juridische raamwerken verder te harmoniseren en stroomlijnen om met digitaal bewijs om te gaan dat zich in meerdere landen bevindt.
Leuk hoor, om te laten zien dat je o zo geweldig bezig bent door allerlei fundamentele veiligheidsmaatregelen die burgers zelf nodig hebben publiekelijk af te breken, maar als de vlag consequent de lading niet dekt wordt het wel erg doorzichtig.
Jazeker! Alleen hebben ze er een mooiere term voor bedacht. De bedoeling van encryptie is juist dat deze zo sterk mogelijk is en geen backdoors bevat (controleerbaar zoals b.v. bij Signal).
Een toolbox met technische en juridische middelen, daarvan weet je nu al wat de mogelijkheden zijn:
Juridisch: Enige struikelblok daar is dat een verdachte niet kan worden verplicht om zichzelf te beschuldigen/beschadigen ergo niet kan worden verplicht om een encryptiesleutel vrij te geven. Iets grootorde, bij zeer sterke vermoedens van zware criminaliteit, terrorisme, kinderporno, ... de klassiekers. Daar komen ze nog mee weg zonder al te veel protest.
Technisch: Waarschijnlijk gaat het om zeer veel rekenkracht om te proberen bruteforcen en een verbod op 'te sterke' encryptie voor particulieren (zoals nu met vuurwapens, mits vergunning blah blah blah)
Niet dat het een oplossing zal zijn voor de zware criminaliteit e.d., zoals gewoonlijk zal het laaghangend fruit worden geplukt.
(meer en sneller, en ook meer encryptiesoorten kunnen decrypten)
(meer en sneller, en ook meer encryptiesoorten kunnen decrypten)
De Eurocommissaris laat hier weten géén voorstander te zijn van backdoors en stelselmatige kwetsbaarheden!
Dus gaat u allemaal maar rustig slapen vannacht.
Zou Europol opgericht zijn om samenwerken te bevorderen en falen ze daar zo in dat zelfs de Europese Commissie officieel moet verklaren dat opsporingsdiensten beter moeten samenwerken?
Dit gaat niet alleen om strafrechtelijk onderzoek maar ook om politiek, macht en geld. De kenniscentra zijn groepjes mensen die samenwerken. Dat kost geld dus is er meer budget nodig, daar moeten mensen in plaats nemen dus heb je meer fte nodig. Meer budget en meer fte, dan is je organisatie en je functie belangrijker.
Er zijn niet veel cryptografen, die werken al samen en hopelijk ook bij opsporingsdiensten als Europol. Zonder die samenwerking geen goede wetenschappelijke basis voor cryptografie. Het is niet waarschijnlijk dat die cryptografen deel gaan nemen in die kenniscentra. Dan hou je politieambtenaren en bedrijfsleven over om dat geld aan te besteden om nog meer samen te werken. Iets wat via Europol al gedaan moest worden.
(meer en sneller, en ook meer encryptiesoorten kunnen decrypten)
Meer concreet: ik denk dat ze een nieuwe mooie grote bunker vol nieuwe digitale abacussen willen hebben. Misschien een nieuwe snelle quantumcomputer om net te doen alsof ze mee kunnen doen met de Verenigde Staten en Rusland. Nog concreter: een hele grote zak geld zonder gezeur achteraf over verantwoording afleggen en zo aan de burgers waarvan het geld onder dreiging van dwang wordt afgenomen om diezelfde burgers te controleren.
De oplossing is nochtans simpel, waarschijnlijk veel te simpel voor onze ingewikkelde professoren: vroeger was een telefoongesprek ook privé tussen zender en ontvanger. Niemand anders kon meeluisteren. Alleen de politie kon meeluisteren op politiebevel (en zodoende met de nodige garanties wat betreft privacy). WAAROM zou hetzelfde nu niet mogelijk zijn in het digitale tijdperk ?? De huidige encryptie verzekert privacy tussen zender en ontvanger en dit is inderdaad noodzakelijk op het internet. De oplossing is niet om "backdoors" in te bouwen in de software, of om alles ongecodeerd te versturen. Alle genieën op de wereld moeten gewoon een uitbreiding zoeken op de huidige encryptiestandaarden zodat een derde partij (met een eigen unieke encryptiesleutel) als enige partij zich mag en kan nestelen in een gecodeerde verzending tussen zender en ontvanger, op een zodanige manier dat de verzending nog steeds is gecodeerd, maar toch kan gecopieerd worden. Natuurlijk mag niet iedereen meeluisteren zodat politie en andere overheidsinstanties een unieke sleutel moeten hebben die zij alleen hebben. Geen backdoors die toestaan om alles te decoderen door elke partij die de backdoor kent, geen verzwakking van veiligheid, en net dezelfde moeglijkheden of privacy als voorheen. Wie gaat dat nu eens uitvinden ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
