image

Australisch parlement stemt in met "anti-encryptie" wetgeving

donderdag 6 december 2018, 15:43 door Redactie, 23 reacties

Facebook en andere techbedrijven kunnen voortaan in Australië gedwongen worden om mee te helpen om de versleutelde berichten van verdachten leesbaar te maken. Dat is de strekking van een wetsvoorstel dat in het Australische parlement is aangenomen.

De wet is van toepassing op Facebook (WhatsApp), maar ook op soortgelijke berichtendiensten zoals Signal en Telegram, schrijft persbureau Bloomberg. Bedrijven kunnen niet alleen gedwongen worden om de versleutelde berichten te ontcijferen, ook kunnen zij verplicht worden om code te injecteren om data van verdachten af te tappen.

De wet is volgens de Australische premier Scott Morrison nodig omdat 95 procent van de mensen die worden gemonitord, communiceert via versleutelde berichten. Het niet invoeren van zo'n wet zou de opsporings- en inlichtingendiensten 'doof' en 'blind' maken in hun onderzoek.

Verschillende organisaties, waaronder Digital Rights Watch, het Massachusetts Institute of Technology (MIT), BSA, Human Rights Watch, Australian Lawyers for Human Rights (ALHR) en de Australian Human Rights Commission hebben flinke kritiek geuit op het wetsvoorstel.

Reacties (23)
06-12-2018, 16:15 door Bladie - Bijgewerkt: 06-12-2018, 16:16
Grotendeels praktisch onuitvoerbaar.
06-12-2018, 16:22 door Anoniem
Ja en dan, criminelen vinden dan wel weer iets anders, als dat al niet bestaat.
Ben in die wereld een vreemde.
Nette burgers zijn weer de dupe, is het niet met vrijheid, dan wel met het bekostigen van dit alles.
Aan allen, gele hesjes zaterdag in Rotterdam. Wees welkom.
06-12-2018, 16:27 door Anoniem
Ik vraag me ook af hoe hun een bedrijf die niet gevestigd is in Australie maar wel daar opereerd door bijvoorbeeld een app te hebben in de appstore/playstore willen dwingen. Lijkt me hoogstens dat hun dan kunnen dwingen dat die app uit de store gaat. Hopelijk wordt dit niet een voorbeeld voor andere landen hier.
06-12-2018, 16:32 door Remmilou - Bijgewerkt: 06-12-2018, 16:34
Het niet invoeren van zo'n wet zou de opsporings- en inlichtingendiensten 'doof' en 'blind' maken in hun onderzoek.
Logisch vervolg op het verbod op fluisteren. Australiers moeten al lang hardop praten, zodat de diensten ze kunnen monitoren. Ook het burka verbod sluit daarbij aan. De diensten willen op afstand ook nog kunnen liplezen.
Ook andere talen dan Engels kunnen al langere tijd niet meer.
Alleen het verbod op alcohol (vanwege onverstaanbaar gelal) gaat het daar niet halen...;-)
06-12-2018, 17:17 door Anoniem
Door Anoniem: Ik vraag me ook af hoe hun een bedrijf die niet gevestigd is in Australie maar wel daar opereerd door bijvoorbeeld een app te hebben in de appstore/playstore willen dwingen. Lijkt me hoogstens dat hun dan kunnen dwingen dat die app uit de store gaat. Hopelijk wordt dit niet een voorbeeld voor andere landen hier.

Great Wall of Australia

Mooi voorbeeld en test case voor de rest van de wereld waar angst heerst en gecultiveerd wordt.
06-12-2018, 17:30 door Anoniem
Alleen voor hunzelf natuurlijk wel goede encryptie.
06-12-2018, 20:25 door Anoniem
Door Anoniem: Ik vraag me ook af hoe hun een bedrijf die niet gevestigd is in Australie maar wel daar opereerd door bijvoorbeeld een app te hebben in de appstore/playstore willen dwingen. Lijkt me hoogstens dat hun dan kunnen dwingen dat die app uit de store gaat. Hopelijk wordt dit niet een voorbeeld voor andere landen hier.

Een fragment uit de nieuwe Australische 'Assistance and Access' telecom wetgeving:

43A Extraterritorial operation of computer access warrants

[...]

(7) As soon as practicable after the commencement of access to data
held in a computer under the authority of a computer access warrant
in circumstances where consent to that access is required:

(a) in a foreign country; or
(b) on a vessel or aircraft that is registered under the law of a
foreign country;

Het beoogde effect van die wetgeving strekt zich uit tot buiten de grenzen van Australië, i.i.g. in het Gemenebest, omdat de autoriteiten daar via Interpol tot een doorzoeking van een huis/computer in het buitenland kunnen verzoeken.

Ik ben benieuwd wat voor invloed die wetgeving heeft op het gebruik van Tor in Australië. Het opzetten van een Tor server is daar vooral een zaak van het bedrijfsleven geweest. Weinig activisme of academische bemoeienis.

Die firma's zullen niet hun winkelnering willen opgeven, maar zich eerder voegen naar de wet, verwacht ik. Anders lopen ze het risico van een doorzoeking en/of hoge belasting boetes. Australië is een van de Five Eyes landen.

https://www.privacytools.io/#ukusa

De metrieken van het Tor Project wijzen uit dat vanaf begin 2018 tot nu in Australië gemiddeld zo'n 20.000 mensen dagelijks van het Tor netwerk gebruik maken (het aantal varieerde tussen de 15K tot 25K per dag).

Slechts zo'n 500 tal in Australië tal maakt dagelijks verbinding met een Tor bridge. Er staan daar nu 58 relays, waaronder 1 guard en slechts 4 exits met totale bandbreedte van 47,2 MiB/s. We zullen binnenkort zien hoe die getallen wijzigen.

https://metrics.torproject.org/rs.html#aggregate/all/country:au

Ter vergelijking: in Nederland, met gemiddeld 42.000 dagelijkse Tor gebruikers, staan momenteel 458 Tor relays, waarvan 203 guards en 82 exit routers met een totale brandbreedte van 3102 MiB/s.
06-12-2018, 20:58 door Anoniem
Tja zo is weer eens de gewone Australische burger weer het slachtoffer,zo krijg je net zo een sleepwet zoals hier.
Die sleepwet van hier is ook rampmzalig.
Ik roep iedereen op gewoon een goede vpn te gebruiken.
06-12-2018, 22:42 door Anoniem
Daar is natuurlijk wel een reactie op mogelijk.

Het verkeer kan dan ontsleuteld worden,
maar wat als de berichten zelf óók versleuteld zijn?

Knappe jongen die daar doorheen breekt. Vooral als het AES-256 is.
07-12-2018, 01:28 door Anoniem
Ja leuk. Daar gaat mijn vakantie naar de Blue Mountains.

Want ik heb op mijn site een peer to peer encrypted video chat. Natuurlijk heb ik wel een idee wat daarop gebeurt. Maar ik heb dat ook zodat ik zelf niet de hele tijd hoef mee te kijken. Een keertje of zo is leuk, weet je? Afhankelijk dan nog van wie er op die videochat zitten en wat voor model en zo.

De laatste keer naar Syndey vliegen zat ik naast een oud Engels vrouwtje dat haar kleinkinderen ging bezoeken. En die niet op hield met lullen tegen me. De hele vlucht niet. En het is 24 uur vliegen! Toen was, echt, het landen op het vliegveld daar zo een heerlijk bevrijdend gevoel. Maar als ik nu, na zoiets, eerst even mee moet in een hokje om mijn eigen peer to peer ge-encrypte videochat open te gooien, dat ga ik niet overleven. Want goed kans dat dat oude vrouwtje er ook weer op zit! Dan gaan er een paar kangaroes en koalas de kerst niet meer halen, dat kan ik je verzekeren!
07-12-2018, 09:03 door Anoniem
Door Anoniem: Tja zo is weer eens de gewone Australische burger weer het slachtoffer,zo krijg je net zo een sleepwet zoals hier.
Die sleepwet van hier is ook rampmzalig.
Ik roep iedereen op gewoon een goede vpn te gebruiken.

Hoe dan? De nieuwe wet dwingt bedrijven om mee te werken. De VPN die jij wilt gebruiken in Australië moet dus een mogelijkheid bevatten voor de overheid om mee te kunnen kijken. Anders handelt de VPN aanbieder in strijd met de wet. Of en hoe de Australische overheid hier iets tegen kan doen is natuurlijk de vraag. Als ik NordVPN gebruik heeft Australië weinig te zeggen over dat bedrijf en hoe ze opereren. Wel lijkt het me aannemelijk dat de overheid het gebruik van NordVPN kan verbieden.

Gebruik je het wel en je wordt aangehouden, ben je natuurlijk bij voorbaat al verdacht.
07-12-2018, 09:28 door Anoniem
Door Anoniem: Ik vraag me ook af hoe hun een bedrijf die niet gevestigd is in Australie maar wel daar opereerd door bijvoorbeeld een app te hebben in de appstore/playstore willen dwingen. Lijkt me hoogstens dat hun dan kunnen dwingen dat die app uit de store gaat. Hopelijk wordt dit niet een voorbeeld voor andere landen hier.

De wet biedt de Australische overheid de mogelijkheid om personeelsleden (in Australie of Australiers in het buitenland) van die bedrijven te verplichten om een backdoor te implementeren zonder hun baas hiervan in kennis te stellen. Ik weet niet hoe het ontwikkelproces bij de meeste van die bedrijven werkt, maar van sommigen weet ik dat er geen code in de software komt zonder dat het door minstens twee anderen is gecontroleerd. En dat zijn bijna nooit Australiers of mensen die in Australie wonen.

https://www.zdnet.com/article/internet-architecture-board-warns-australian-encryption-busting-laws-could-fragment-the-internet/
https://www.privateinternetaccess.com/blog/2018/12/split-key-cryptography-is-back-again-why-government-back-doors-dont-work/

Peter
07-12-2018, 09:59 door Anoniem
Stop gewoon met alle vormen van encryptie waarbij de sleutels niet exclusief in je eigen bezit zijn. Al die hocus pocus die we vandaag de dag hierover lezen heeft te maken met luiheid en stommiteit om niet het gevaar te willen inzien van extern opgeslagen private sleutels. Gewoon met PGP of PGP4win thuis op de computer versleutelen, net als vroeger, veiliger kan het niet.
07-12-2018, 10:06 door SPer - Bijgewerkt: 07-12-2018, 10:06
Door Anoniem: Daar is natuurlijk wel een reactie op mogelijk.

Het verkeer kan dan ontsleuteld worden,
maar wat als de berichten zelf óók versleuteld zijn?

Knappe jongen die daar doorheen breekt. Vooral als het AES-256 is.

Ik stel mij zo voor, beste verdachte u wordt in staat van beschuldiging gesteld voor terrorisme. Daar staat een levenslange gevangenis straf op. Als u niet meewerkt aan het ontsleutelen van uw mail zien we dat als bewijs van schuld.

Wat doe je dan ? Het is natuurlijk heel stoer om te roepen dat je niet meewerkt, maar dat krijg je een levenslange gevangenisstraf .
07-12-2018, 11:29 door Anoniem
Door SPer:

Ik stel mij zo voor, beste verdachte u wordt in staat van beschuldiging gesteld voor terrorisme. Daar staat een levenslange gevangenis straf op. Als u niet meewerkt aan het ontsleutelen van uw mail zien we dat als bewijs van schuld.

Wat doe je dan ? Het is natuurlijk heel stoer om te roepen dat je niet meewerkt, maar dat krijg je een levenslange gevangenisstraf .

"Innocent until proven guilty" geldt gewoon in Australië.

Het is niet de taak van de beschuldigde om zijn onschuld te bewijzen. Het niet ontsleutelen van de mail kan voor mijn part als zwijgrecht gezien worden.

Verder lijkt mij deze wet niet uitvoerbaar voor organisaties, persoonlijk zou ik de keuze als organisatie maken om services te weigeren aan inwoners van Australië. De overheid wil nog wel eens het een en ander lekken en daar gaan dan al je sleutels..

Apple heeft volgens mij al eens eerder een versleutelingsrechtzaak gewonnen als ik het me goed herinner?
07-12-2018, 12:01 door Anoniem
Door Anoniem: "Innocent until proven guilty" geldt gewoon in Australië.

Het is niet de taak van de beschuldigde om zijn onschuld te bewijzen. Het niet ontsleutelen van de mail kan voor mijn part als zwijgrecht gezien worden.

Verder lijkt mij deze wet niet uitvoerbaar voor organisaties, persoonlijk zou ik de keuze als organisatie maken om services te weigeren aan inwoners van Australië. De overheid wil nog wel eens het een en ander lekken en daar gaan dan al je sleutels..

Apple heeft volgens mij al eens eerder een versleutelingsrechtzaak gewonnen als ik het me goed herinner?

Dat is allemaal zo, maar als wettelijk vastgelegd is dat de informatie ontsleuteld moet kunnen worden begin je niet zoveel met je zwijgrecht. Je bent daar dan zelf niet voor nodig.

Ook kan Apple wel een rechtzaak beginnen, maar de rechter moet zich aan de wet houden. En als daar instaat dat Apple de informatie moet kunnen ontsleutelen dan is dat zo.
07-12-2018, 12:42 door Anoniem
Door Anoniem:
Door Anoniem: "Innocent until proven guilty" geldt gewoon in Australië.

Het is niet de taak van de beschuldigde om zijn onschuld te bewijzen. Het niet ontsleutelen van de mail kan voor mijn part als zwijgrecht gezien worden.

Verder lijkt mij deze wet niet uitvoerbaar voor organisaties, persoonlijk zou ik de keuze als organisatie maken om services te weigeren aan inwoners van Australië. De overheid wil nog wel eens het een en ander lekken en daar gaan dan al je sleutels..

Apple heeft volgens mij al eens eerder een versleutelingsrechtzaak gewonnen als ik het me goed herinner?

Dat is allemaal zo, maar als wettelijk vastgelegd is dat de informatie ontsleuteld moet kunnen worden begin je niet zoveel met je zwijgrecht. Je bent daar dan zelf niet voor nodig.

Ook kan Apple wel een rechtzaak beginnen, maar de rechter moet zich aan de wet houden. En als daar instaat dat Apple de informatie moet kunnen ontsleutelen dan is dat zo.

Zoals ik dit nieuwsbericht opvat zijn alleen organisaties verplicht berichten te decrypten. Een eigen encryptie van de berichten die je verstuurd is dus wettelijk gezien prima. En dan ben je, mits je de juiste encryptie gebruikt, wel degelijk nodig voor het decrypten van je berichten.
07-12-2018, 13:24 door Anoniem
Probleem is voor mij dat deze wet bij mij bekend staat als de Pippi Langkous wet ("Twee maal drie is vier Wiedewiedewiet en twee is negen ‘k Richt de wereld in Wiedewiede naar mijn eigen zin": https://www.kinderliedjes.info/hai-pippi-langkous/). Het hele gebeuren van zwijgrecht en dergelijke is ook een belangrijke discussie, maar sowieso is de vraag naar en sterke encryptie en uitzonderingen voor wie dan ook op die sterke encryptie wiskundig onmogelijk. Schiet me meteen maar af, het is onmogelijk aan beide te voldoen...

Dit geeft overigens wel zo zijn voordelen. Gezien in Australië hun wet boven de natuurwetten gaan (Malcolm Turnbull) stel ik de volgende Australische burgerinitiatieven voor:
- We trekken de Tweede Hoofdwet van Thermodynamica in om een einde aan Global Warming te maken.
- Ten behoeve van de luchtvaart trekken we alleen voor verkeersvliegtuigen de Wet van de Zwaartekracht in.
- Ten behoeve van demonstratie van de mogelijkheden maken we een wet dat Australische Parlementsleden dwars door de muur van hun parlementsgebouw kunnen lopen.

Nog andere voorstellen?

@SP-er: Die strijd voer je op een ander vlak. Sowieso is en frontale verdediging hooguit een Pyrhussoverwinning, maar het argument: "Niet meewerken is bewijs van schuld" komt uit het handboek De Heksenhamer. Tegen een organisatie die een dergelijke cultuur heeft is iedere binnen de wet toegestane maatregel noodzakelijk. Wees creatief en zoek medestanders waar je maar kan. Maar laat ze zich voelen als de Chinese Schildwacht: "Ik heb een gevangene" "Breng maar hier" "Dat kan niet, hij laat me niet meer gaan!"...
07-12-2018, 14:14 door Anoniem
Die firma's zullen niet hun winkelnering willen opgeven, maar zich eerder voegen naar de wet, verwacht ik. Anders lopen ze het risico van een doorzoeking en/of hoge belasting boetes. Australië is een van de Five Eyes landen.
Het is voor veel bedrijven veel goedkoper om Australië uit te sluiten van hun diensten en producten. Apple, Google enz. kunnen gewoon stoppen met het leveren van diensten. Er wonen daar maar 17 miljoen mensen, dat raakt ze amper. Het is veel duurder om er in mee te gaan én je ondermijnd daarnaast ook je klanten in andere landen. Ze snappen daar blijkbaar niet dat als iets niet veilig werkt, het gewoon *niet* werkt.
07-12-2018, 15:37 door Anoniem
Door Anoniem:Gewoon met PGP of PGP4win thuis op de computer versleutelen, net als vroeger, veiliger kan het niet.
Zeker wel; pgp maakt geen gebruik van forward secrecy zoals Signal maar gebruikt steeds dezelfde encryptiekey voor elk bericht. Als die key eenmaal gecompromiteerd is is elk bericht te ontcijferen. Bij het Signal protocol wordt een encryptiekey maar een keer gebruikt, met een onderschepte key kun je dus maar een bericht ontcijferen.
07-12-2018, 16:02 door Anoniem
Door Anoniem: Stop gewoon met alle vormen van encryptie waarbij de sleutels niet exclusief in je eigen bezit zijn. Al die hocus pocus die we vandaag de dag hierover lezen heeft te maken met luiheid en stommiteit om niet het gevaar te willen inzien van extern opgeslagen private sleutels. Gewoon met PGP of PGP4win thuis op de computer versleutelen, net als vroeger, veiliger kan het niet.

En schrijf en compileer je dan gelijk ook je eigen software? Niet veel mensen kunnen overweg met PGP en mijn ervaring is dat bijna bij iedere update van windows PGP4win ook een update moet krijgen (en dat niet altijd krijgt).

Bij deze wet gaat het er om dat de Autralische politie (enz) het bedrijf de opdracht kan geven een backdoor in te bouwen in de software die jij gebruikt. Dan heb jij wel je eigen sleutels, maar de politie heeft een hoofdsleutel.

Natuurlijk zullen criminele overstappen op PGP. Dat zie je nu al bij die versleutelde telefoons. Daar zitten PGP-varianten in.

Peter
07-12-2018, 18:46 door Anoniem
Door Anoniem:Het is voor veel bedrijven veel goedkoper om Australië uit te sluiten van hun diensten en producten. Apple, Google enz. kunnen gewoon stoppen met het leveren van diensten.

Dat gaat niet gebeuren, omdat Australië vol ligt met fossiele en minerale delfstoffen, waaronder veel zeldzame aarden, benodigd voor het maken van legeringen en high-tech elektronica. Dat is van groot belang voor de NATO.

https://en.wikipedia.org/wiki/Mining_in_Australia

Er wonen daar maar 17 miljoen mensen, dat raakt ze amper. Het is veel duurder om er in mee te gaan én je ondermijnd daarnaast ook je klanten in andere landen.

Anno 2018 heeft Australië een inwonertal van rond de 25,1 miljoen, dus aanzienlijk meer dan in Nederland. Australië staat als 13de op de GDP-lijst van economische grootmachten. Nederland komt pas op de 18de plaats, nog net onder Turkije.

https://en.wikipedia.org/wiki/List_of_countries_by_GDP_(nominal)

Ze snappen daar blijkbaar niet dat als iets niet veilig werkt, het gewoon *niet* werkt.

Het is maar hoe je het bekijkt.

Australië is zich gaan realiseren dat ze ingeklemd zitten tussen religieus fundamentalisme (in Indonesie, met 261+ miljoen inwoners) en het telecom monopoly spel van de Amerikaanse high-tech industrie, dat een eigen agenda heeft.
11-12-2018, 08:59 door spatieman
tja, wat wil je van een land dat dicht bij china ligt, ze kijken gewoon netjes af hoe het daar gebeurd.
of zouden ze weer terug gaan naar de oude straf kolonie roots ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.