image

Schneier: VS zaait angst om encryptie-backdoors door te drukken

donderdag 12 december 2019, 15:34 door Redactie, 28 reacties

De Amerikaanse autoriteiten zaaien opzettelijk angst om de bevolking zover te krijgen dat ze encryptie-backdoors gaan steunen, zo stelt beveiligingsexpert Bruce Schneier. Volgens Schneier gebruikt de Amerikaanse overheid vier onderwerpen om de bevolking zo bang te maken dat ze alles toestaan.

Het gaat om terrorisme, drugsdealers, kinderpornografie en kidnappers. Na de aanslagen van 11 september was het terrorisme, nu is men overgestapt op kinderpornografie en kindermisbruik, aldus de beveiligingsexpert. Ook in Nederland worden deze onderwerp geregeld genoemd. Zo stelde minister Grapperhaus van Justitie en Veiligheid dat privacy nooit het schild mag worden van criminelen, zoals mensen die kinderporno verspreiden.

"Ik ben bezorgd over de toekomstige effectiviteit van opsporing naar bijvoorbeeld het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme, omdat encryptie het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten bemoeilijkt, vertraagt of zelfs onmogelijk maakt", zo stelde de minister eerder deze maand.

Ook de Amerikaanse minister van Justitie heeft de afgelopen maanden herhaaldelijk gezegd dat het gebruik van end-to-endencryptie burgers en samenlevingen in gevaar brengt doordat bedrijven niet meer op zaken als kindermisbruik, terrorisme en buitenlandse dreigingen kunnen reageren. Deze week vond er een hoorzitting in een commissie van de Amerikaans Senaat plaats over encryptie en "rechtmatige toegang".

Eén senator stelde dat Apple en Facebook met het implementeren van een encryptie-backdoor moesten opschieten, omdat die anders zou worden afgedwongen. De hoorzitting was een herhaling van eerder gehoorde retoriek, merkt Schneier op. Hij benadrukt dat voorstanders van sterke encryptie het probleem van kindermisbruik, terrorisme, drugshandel en kidnapping niet bagatelliseren.

"We zeggen wel drie dingen: Eén, dat sterke encryptie noodzakelijk is voor persoonlijke en nationale veiligheid. Twee, dat het verzwakken van encryptie meer kwaad dan goed doet. En drie, dat politie andere middelen voor onderzoek heeft dan het afluisteren van communicatie. Dus laten we een gefundeerd debat over encryptie hebben en stoppen met de paniekverhalen", aldus Schneier. Hij krijgt bijval van de Amerikaanse burgerrechtenbeweging EFF, die stelt dat end-to-endencryptie niet zal verdwijnen.

Image

Reacties (28)
12-12-2019, 15:45 door Anoniem
Als we zien hoe vaak websites gehackt worden -- ook de sterk beveiligde sites van de Amerikaanse overheid -- waarom geloven autoriteiten als minister Grapperhaus en senator Graham dan dat backdoors niet gehackt kunnen worden?
12-12-2019, 15:59 door Anoniem
Eindelijk heeft de encryptie god ook een keer gesproken en precies dat gezegd wat een feit is. Dank je wel bruce.
12-12-2019, 16:13 door Reinder
Ik hoop wel dat als het ooit zover komt dat Facebook een backdoor gaat inbouwen in zijn messenger app, dat al die kinderpornoverspreiders dan wel netjes die messenger app gaan blijven gebruiken en niet stiekem over zullen gaan op het gebruik van een app die ontwikkeld is in een land buiten de jurisdictie van de VS, of eentje zonder backdoor.
12-12-2019, 16:22 door Anoniem
Wat is de agenda hierachter? Waarom willen overheden (overheidsdiensten) overal en bij iedereen mee schoudersurfen?
Niemand heeft me echt het waarom uitgelegd? Is het uit angst voor het gepeupel, de burger? Is het uit controle-dwang-neurose?

Er wordt geprutteld over "k" en "t's" als rechtvaardiging, maar de actieve cybercrimineel die vanuit Rusland via een Seychellen firmaatje met Bulgaarse connectie op een Apache linux Centos https webservertje in Amsterdam een Mirai malscript injectie pleegt, kunnen ze niet eens in de kladden grijpen. Daar is helemaal geen sprake van https noch van enige encryptie. Ga dus dan eerst hier eens iets aan doen eer te schreeuwen dat encryptie je in de weg zit.

Vertel me dan eens duidelijk waar gaat het over? Gaat het over Chinese bedrijfsinfo, 5G uitrol? Wil men de omvang van een zekere 5e kolonne peilen? Wat staat er voor giga-groots op de rol voor ons allemaal? Kan iemand hier een tipje van de sluier oplichten? Zie ik het even niet, wat er te gebeuren staat? Doorbreek encryptie en alleen staten en schurken hebben veiligheid/ De gewone burgers worden gemangeld tussen de verwikkelingen van de woedende cyberwar?

#sockpuppet
12-12-2019, 16:35 door Erik van Straten
Aangezien van meerdere producten eerder al is uitgelekt dat deze backdoors aan boord hadden (zoals zwakke of voorspelbare niet-voor-iedereen cryprographically secure random number generators), zou het mel niet verbazen als ook hedendaagse producten backdoors bevatten. En dus wat we zien één groot toneelstuk is - waarbij het zeer denkbaar is dat de spelers in deze show (o.a. US senatoren) zelf niet weten dat die backdoors al bestaan, en voor het karretje van hun geheime diensten worden gespannen om het spel mee te spelen.

De vraag is dan natuurlijk welke (al dan niet "geheime") diensten in welke landen toegang hebben tot die backdoor(s) en onder welke omstandigheden deze mogen worden gebruikt. Want als dat te vaak gebeurt, wordt -vroeger of later- wereldkundig (waar we wellicht weer een Snowden voor nodig hebben) dat we, voor de zoveelste keer, voor de gek zijn gehouden.
12-12-2019, 16:38 door Anoniem
Ondanks de ellende die "terrorisme, drugsdealers, kinderpornografie en kidnappers" (en de ontwikkeling van een politiestaat) met zich mee brengen, kan men gerust stellen dat de leidende principes van de "The Shock Doctrine" (Naomi Klein, 2007) nog steeds effectief werkzaam zijn op het wereldtoneel.

https://nl.wikipedia.org/wiki/De_shockdoctrine,_de_opkomst_van_rampenkapitalisme
12-12-2019, 16:45 door Anoniem
Ja dan zetten ze die key op een : computer die met internet verbonden is.
Nutteloze encryptie is het, de key word gelekt vroeger of later.
Hoe garanderen hun dat de key niet lekt of snowden gaat ?

Ze dichten gaten met grof geweld, net zoals wikileaks,
dat geeft amerikanen een veilig gevoel : geweld gebruiken.
12-12-2019, 17:13 door Anoniem
Ik verspreid al jaren afbeeldingen met mijn email adres erin en beloning van 4000 dollar als iemand er ooit achter komt. Tot nu toe zero reacties.Met mijn eigen encryptie ja.

Succes :)
12-12-2019, 17:20 door [Account Verwijderd]
Yep, the four horsemen, zoals gebruikelijk. https://en.wikipedia.org/wiki/Four_Horsemen_of_the_Infocalypse
12-12-2019, 17:27 door Remmilou
Door Anoniem: Ondanks de ellende die "terrorisme, drugsdealers, kinderpornografie en kidnappers" (en de ontwikkeling van een politiestaat) met zich mee brengen, kan men gerust stellen dat de leidende principes van de "The Shock Doctrine" (Naomi Klein, 2007) nog steeds effectief werkzaam zijn op het wereldtoneel.

https://nl.wikipedia.org/wiki/De_shockdoctrine,_de_opkomst_van_rampenkapitalisme
Ja. Ooit gelezen. Ik ben bang dat je inderdaad de spijker op z' n kop mept.
12-12-2019, 17:59 door Anoniem
Het rampenkapitalisme is al geïmplementeerd op hopen plaatsen ....
Naomoi Klein haar boekje gaat ik zeker bestellen .......
Moet indrukwekkende lectuur zijn Bedankt voor de link
12-12-2019, 18:39 door karma4
Er bestaat helemaal geen backdoor verzoek.
End to end encryptie is het geloof van de volgzame makke schapen die aan de hand van big tech lopen.
De sleutels zijn in bezit van big tech ze hebben de voordeur gewoon tot hun beschikking.
12-12-2019, 19:03 door Anoniem
Door karma4: Er bestaat helemaal geen backdoor verzoek.
End to end encryptie is het geloof van de volgzame makke schapen die aan de hand van big tech lopen.
De sleutels zijn in bezit van big tech ze hebben de voordeur gewoon tot hun beschikking.

Bron, of ook maar enige onderbouwing?
12-12-2019, 19:04 door Anoniem
Opvallend hoe de retoriek bij verschillende personen zo gelijksoortig is. Als je van wantrouwende aard bent zou je bijna gaan denken dat daar een gedeelde en gecoördineerde agenda achter steekt.
12-12-2019, 19:24 door Anoniem
Er bestaat geen uitzondering voor encryptie.

Wie deze uitzondering toch doorvoert, voert ook deze ook door voor iedereen die niets met criminaliteit te maken heeft.

Daardoor staat de beveiliging van IEDEREEN op het spel.
EN DAT MAG EN KAN NIET GEBEUREN!
12-12-2019, 21:33 door Anoniem
Door Anoniem: Wat is de agenda hierachter? Waarom willen overheden (overheidsdiensten) overal en bij iedereen mee schoudersurfen?
Niemand heeft me echt het waarom uitgelegd? Is het uit angst voor het gepeupel, de burger? Is het uit controle-dwang-neurose?

Het gaat om angst voor de burger. Je ziet dat er nog maar nauwelijks enig vertrouwen is in de overheden en juist deze overheden zijn als de dood dat burgers massaal gaan muiten. Daarom wordt de pers ook ingezet om leugens te verspreiden om de burger angst aan te jagen zodat ze in het gareel gehouden kunnen worden.
Maar ondertussen heten we wel het ' vrije westen' en wordt flink afgegeven op Rusland en China omdat met daar niet zo van homeau' s en slamisten houden. Daar houden ze hier in het zogenaamde ' vrije westen' iets teveel van, zelfs meer dan degenen die betalen voor de hobby's van de overheid.
In het Oosten weet je tenminste dat je ruk in te brengen hebt terwijl hier de illusie nog wordt opgehouden dat er nog sprake is van een democratie terwijl iedereen wel weet dat dit en gepasseerd station is en dat de overheid er alleen voor bedrijven is en niet meer voor de belastingbetalende burger.
Om te voorkomen dat deze weleens kunnen gaan stoppen met betalen moet je ze dus onderdrukken en monitoren. Bij het plebs stoppen de hersencellen met werken op het moment dat het woordje kinderporno valt. Dat weten de ratten en maken daar gretig gebruik van.
13-12-2019, 06:42 door Jean Vohur - Bijgewerkt: 13-12-2019, 07:11
Door Erik van Straten: Aangezien van meerdere producten eerder al is uitgelekt dat deze backdoors aan boord hadden (zoals zwakke of voorspelbare niet-voor-iedereen cryprographically secure random number generators), zou het mel niet verbazen als ook hedendaagse producten backdoors bevatten.

Dat zou ik geen backdoors willen noemen maar (implementatie) fouten. Dat dat soort zaken uiteindelijk net als backdoors gebruikt worden om encryptie te doorbreken is best mogelijk. Dat geldt immers ook voor zero days die gebruikt worden om toegang te krijgen tot beveiligde systemen. Cryptografie is een notoir gecompliceerd veld waarin gemakkelijk kleine fouten met grote gevolgen voor de effectiviteit v.d. versleuteling gemaakt worden. Vooral door degenen die denken dat ze wel eventjes zelf hun algoritmen kunnen maken.

Onder een backdoor versta ik een bewust ingebouwde en 100% effectieve voorziening, niet een bug of zwakte met onvoorspelbare effectiviteit.
13-12-2019, 08:59 door Anoniem
In ander nieuws, TSA roept alle in 2014 toen een van hun medewerkers de lopers in de Washington Post publiceerde gecompromitteerde sloten terug, stelt gratis nieuwe ter beschikking, en roept alle mensen die op welke wijze ook schade hebben geleden door de gecompromitteerde sloten op zich te melden voor vergoeding van de schade. O wacht...

https://techcrunch.com/2016/07/27/security-experts-have-cloned-all-seven-tsa-master-keys/
13-12-2019, 09:42 door Anoniem
Door Anoniem: Ik verspreid al jaren afbeeldingen met mijn email adres erin en beloning van 4000 dollar als iemand er ooit achter komt. Tot nu toe zero reacties.Met mijn eigen encryptie ja.

Succes :)
Dat klinkt erg als security by obscurity. Gooi eens een plaatje met een geheime code op een forum met capabele mensen met die challenge in plain text erbij? Al is van dit soort persoonlijke challenges wel bekend dat men steevast terugkrabbelt als puntje bij paaltje komt. Daar valt weinig eer aan te behalen. Mensen verzinnen één of andere smoes en betalen niet uit.
13-12-2019, 09:44 door Anoniem
Door Jean Vohur:
Door Erik van Straten: Aangezien van meerdere producten eerder al is uitgelekt dat deze backdoors aan boord hadden (zoals zwakke of voorspelbare niet-voor-iedereen cryprographically secure random number generators), zou het mel niet verbazen als ook hedendaagse producten backdoors bevatten.

Dat zou ik geen backdoors willen noemen maar (implementatie) fouten. Dat dat soort zaken uiteindelijk net als backdoors gebruikt worden om encryptie te doorbreken is best mogelijk. Dat geldt immers ook voor zero days die gebruikt worden om toegang te krijgen tot beveiligde systemen. Cryptografie is een notoir gecompliceerd veld waarin gemakkelijk kleine fouten met grote gevolgen voor de effectiviteit v.d. versleuteling gemaakt worden. Vooral door degenen die denken dat ze wel eventjes zelf hun algoritmen kunnen maken.

Onder een backdoor versta ik een bewust ingebouwde en 100% effectieve voorziening, niet een bug of zwakte met onvoorspelbare effectiviteit.

Het is bekend dat de NSA met opzicht zwaktes in standaarden heeft verwerkt of geprobeerd te krijgen met het doel zichzelf makkelijk toegang te verschaffen. Dat is geen fout, maar een met opzet geïmplementeerde ingang. Dat die met een veel lichter slot op slot zit maakt daarbij niet uit.
13-12-2019, 10:33 door Erik van Straten - Bijgewerkt: 13-12-2019, 10:34
Door Jean Vohur:
Door Erik van Straten: Aangezien van meerdere producten eerder al is uitgelekt dat deze backdoors aan boord hadden (zoals zwakke of voorspelbare niet-voor-iedereen cryprographically secure random number generators), zou het mel niet verbazen als ook hedendaagse producten backdoors bevatten.

Dat zou ik geen backdoors willen noemen maar (implementatie) fouten. Dat dat soort zaken uiteindelijk net als backdoors gebruikt worden om encryptie te doorbreken is best mogelijk.
Bekend voorbeeld: de "Dual_EC_DRBG" is een, voor sommigen, voorspelbare CSPRNG die o.a. door Juniper werd gebruikt.

Notabene is het een onbekende aanvaller op een gegeven moment gelukt om een of meer parameters van die "CSPRNG" in de Juniper sourcecode te wijzigen, waardoor niet de NSA maar die andere partij VPN-verbindingen met -na de hack verkochte- Juniper apparatuur kon openbreken. Zie ook https://en.wikipedia.org/wiki/Dual_EC_DRBG.

Of de Debian OpenSSL CSPRNG-blunder opzet was of niet, weet je niet zeker (tot de betreffende ontwikkelaar bekent).

En het aantal security-patches dat concullega Cisco heeft uitgebracht voor privileged accounts met hardcoded credentials is zó groot, dat je mij niet wijsmaakt dat het daarbij elke keer om test-accounts gaat die Cisco per ongeluk is vergeten te verwijderen voordat de betreffende code in productie werd genomen. Gezien het grote aantal noem ik dit geen (implementatie-) fouten.
13-12-2019, 11:30 door Jean Vohur
Door Erik van Straten:
Door Jean Vohur: ...
... Gezien het grote aantal noem ik dit geen (implementatie-) fouten.

Opzettelijke (implementatie-) fouten, dat wordt wel een grijs gebied inderdaad.
13-12-2019, 11:47 door karma4
Door Anoniem:
Door karma4: Er bestaat helemaal geen backdoor verzoek.
End to end encryptie is het geloof van de volgzame makke schapen die aan de hand van big tech lopen.
De sleutels zijn in bezit van big tech ze hebben de voordeur gewoon tot hun beschikking.

Bron, of ook maar enige onderbouwing?
De simpele onderbouwing: ze vragen de big tech om de gegevens en de sleutels
Met andere woorden de sleutels zijn niet in handen van de gebruiker van de gegevens maar bij big tech.

Je wilt een link? Voorbeelden zijn: https://nos.nl/artikel/2162140-om-3-6-miljoen-versleutelde-berichten-van-criminelen-gekraakt.html dan wel https://www.trouw.nl/nieuws/opnieuw-kraakt-de-politie-de-beveiligde-telefoons-van-criminelen~baa410b1. Ook daar waren de sleutels niet bij de gebruikers maar bij de dienstverlener.

Voor de makke schapen die achter big tech aan lopen: De communicatie van T.Cook over de backdoor, genoeg andere bedrijven die wel de gewenste hack konden doen. Alleen de fabrikant zelf niet. De meest logische verklaring is dat alles open en bloot beschikbaar is met hun kennis en dan niet meer weten hoe een beperkte hack gedaan moet worden.
13-12-2019, 14:43 door Anoniem
Ondertussen steunt Lindsey Graham wel vrolijk Donald Trump en heeft hij er geen moeite mee dat Trump bewijs van z'n criminele activiteiten op een server op slaat waar (bijna) niemand toegang tot heeft (https://www.washingtonpost.com/politics/white-house-lawyer-moved-transcript-of-trump-call-to-classified-server-after-ukraine-adviser-raised-alarms/2019/10/30/ba0fbdb6-fb4e-11e9-8190-6be4deb56e01_story.html) en de gegevens vervolgens ook niet wil delen als er een rechtmatig onderzoek naar wordt gedaan. Rules for thee, but not for me.
En dan heb je nog Bill Barr, die ook tegen encryptie voor het gepeupel is maar ondertussen vrolijk als fixer voor Trump aan het werk is.
Ik hecht dus totaal geen waarde aan wat zij zeggen en beweren, en hoop ook dat niemand in hun leugens trapt.
13-12-2019, 17:57 door DLans
Door karma4:
Door Anoniem:
Door karma4: Er bestaat helemaal geen backdoor verzoek.
End to end encryptie is het geloof van de volgzame makke schapen die aan de hand van big tech lopen.
De sleutels zijn in bezit van big tech ze hebben de voordeur gewoon tot hun beschikking.

Bron, of ook maar enige onderbouwing?
De simpele onderbouwing: ze vragen de big tech om de gegevens en de sleutels
Met andere woorden de sleutels zijn niet in handen van de gebruiker van de gegevens maar bij big tech.

Je wilt een link? Voorbeelden zijn: https://nos.nl/artikel/2162140-om-3-6-miljoen-versleutelde-berichten-van-criminelen-gekraakt.html dan wel https://www.trouw.nl/nieuws/opnieuw-kraakt-de-politie-de-beveiligde-telefoons-van-criminelen~baa410b1. Ook daar waren de sleutels niet bij de gebruikers maar bij de dienstverlener.


Ehm Karma, er staat hier helemaal niets in over uitgelekte keys of iets dergelijks.
14-12-2019, 14:58 door Jean Vohur
Door DLans:
Door karma4:
Door Anoniem:
Door karma4: Er bestaat helemaal geen backdoor verzoek.
End to end encryptie is het geloof van de volgzame makke schapen die aan de hand van big tech lopen.
De sleutels zijn in bezit van big tech ze hebben de voordeur gewoon tot hun beschikking.

Bron, of ook maar enige onderbouwing?
De simpele onderbouwing: ze vragen de big tech om de gegevens en de sleutels
Met andere woorden de sleutels zijn niet in handen van de gebruiker van de gegevens maar bij big tech.

Je wilt een link? Voorbeelden zijn: https://nos.nl/artikel/2162140-om-3-6-miljoen-versleutelde-berichten-van-criminelen-gekraakt.html dan wel https://www.trouw.nl/nieuws/opnieuw-kraakt-de-politie-de-beveiligde-telefoons-van-criminelen~baa410b1. Ook daar waren de sleutels niet bij de gebruikers maar bij de dienstverlener.

Ehm Karma, er staat hier helemaal niets in over uitgelekte keys of iets dergelijks.

Maar het zijn wel voorbeelden van links ;-)
14-12-2019, 15:45 door Anoniem
Door karma4:
Door Anoniem:
Door karma4: Er bestaat helemaal geen backdoor verzoek.
End to end encryptie is het geloof van de volgzame makke schapen die aan de hand van big tech lopen.
De sleutels zijn in bezit van big tech ze hebben de voordeur gewoon tot hun beschikking.

Bron, of ook maar enige onderbouwing?
De simpele onderbouwing: ze vragen de big tech om de gegevens en de sleutels
Met andere woorden de sleutels zijn niet in handen van de gebruiker van de gegevens maar bij big tech.

Je wilt een link? Voorbeelden zijn: https://nos.nl/artikel/2162140-om-3-6-miljoen-versleutelde-berichten-van-criminelen-gekraakt.html dan wel https://www.trouw.nl/nieuws/opnieuw-kraakt-de-politie-de-beveiligde-telefoons-van-criminelen~baa410b1. Ook daar waren de sleutels niet bij de gebruikers maar bij de dienstverlener.

Voor de makke schapen die achter big tech aan lopen: De communicatie van T.Cook over de backdoor, genoeg andere bedrijven die wel de gewenste hack konden doen. Alleen de fabrikant zelf niet. De meest logische verklaring is dat alles open en bloot beschikbaar is met hun kennis en dan niet meer weten hoe een beperkte hack gedaan moet worden.

"Met andere woorden de sleutels zijn niet in handen van de gebruiker van de gegevens maar bij big tech."
Dit is een ongefundeerde bewering, een beetje niveau Grappenhuis.
Jouw bewering zou misschien waar kunnen zijn als het gaat over proprietaire black boxes (zoals Facebook, WhatsApp).

Maar Karma, wijs mij eens aan waar in de open-source code van bijvoorbeeld Signal staat dat de private-key niet uitsluitend en alleen op het apparaat van de eindgebruiker wordt opgeslagen ?

Totdat jij (of iemand anders) een dergelijk "lek" in de end-to-end encryptie gevonden heeft, ga ik ervan uit dat Signal volledig end-to-end encrypted is.
15-12-2019, 08:40 door Anoniem
Het is en blijft een menselijk dilemna
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.