image

Grapperhaus: ik heb niet gepleit voor verzwakken van encryptiesoftware

dinsdag 17 december 2019, 11:02 door Redactie, 36 reacties

Minister Grapperhaus van Veiligheid en Justitie heeft niet gepleit voor het verzwakken van encryptiesoftware, zo heeft de bewindsman op vragen van D66-Kamerlid Kees Verhoeven laten weten. "Wat is de reden dat u, in strijd met het kabinetsstandpunt en antwoorden op eerder schriftelijke vragen, internationaal een pleidooi houdt voor het verzwakken van encryptie, wat evident niet binnen de kaders van het kabinetsstandpunt past?", vroeg Verhoeven begin december naar aanleiding van een artikel in Politico.

In het artikel stelde de minister dat het gebruik van encryptie om kinderpornografie uit te wisselen onmogelijk moet worden gemaakt. Eerder stelde Grapperhaus dat justitie toegang tot versleutelde chatberichten moet krijgen. Toch is dit geen pleidooi voor het verzwakken van encryptie. "Ik heb niet gepleit voor het verzwakken van encryptiesoftware", aldus de minister.

Ook herhaalt de minister dat zijn uitspraken en zorgen over encryptie niet in strijd zijn met het kabinetsstandpunt over encryptie. Het kabinet stelde in 2016 dat het op dit moment geen 'beperkende wettelijke maatregelen' wil nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. Grapperhaus merkt op dat het kabinetsstandpunt ook wijst op het belang van het (tijdig) verkrijgen van inzicht in de communicatie om zo de nationale veiligheid te beschermen en strafbare feiten op te sporen.

"De diverse betrokken belangen staan in bepaalde gevallen met elkaar op gespannen voet. Voor dergelijke gevallen is het nodig oplossingen te vinden die recht doen aan deze belangen en/of waarbij deze belangen zorgvuldig zijn gewogen. Daarvoor heb ik aandacht gevraagd. Zoals gemeld streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt uit 2016", zo laat de minister weten.

Reacties (36)
17-12-2019, 11:21 door Anoniem
Encryptie is goed zolang wij het maar controleren.
De beste man is rijp voor pensioen.
17-12-2019, 11:28 door [Account Verwijderd]
Zolang een motie van wantrouwen het zelfde is als een klop op de schouder, komt het nooit meer goed.

En die gasten worden nergens voor bestraft. Wat ze ook doen of publiek denken.

Dit gedachtegoed zou strafbaar moeten zijn. Het mollen van een infra structuur. Met als doel NOG MEER DATA!

Proefballonnetjes. WIJ LEVEN IN DIT LAND! LAAT HET NOU EENS EEN KEER MET RUST! HET IS GEEN SPEELTUIN!
17-12-2019, 11:41 door Anoniem
De beste man wil gewoon een additional decryption key voor de overheid, want die kan daar best wel veilig mee omgaan. Dream on.
17-12-2019, 11:41 door [Account Verwijderd]
En sodemieter op met je kiddiepr0n! Wil je ze hebben? Moet je "hackerstools" of hoe je dat ook noemt niet verbieden. Zo ontzeg je toegang tot kennis. En die kinderneukers hebben daar totaal geen boodschap aan. Doen dat toch wel. Net zoals overstappen van Telegram naar de volgende tool.

Maar jullie laten daarmee wel een spoor van vernieling achter. Iets dat, als jij je zin krijgt, niet meer te repareren is.

Probeer eens te denken, regering. Gewoon proberen. Alleen bij de poging al, zal veel veranderen. En dan doorzetten. Blijven denken! Ik weet dat het moeilijk is als je zo lang in een ivoren toren zit. Toch blijven proberen!
17-12-2019, 11:43 door Anoniem
Grapperhaus zou er goed aan doen eens een paar minuten te besteden aan het begrijpen van de techniek.
M.a.w. wat hij wil is onmogelijk. Met meer andere woorden, hij zet zichzelf voor gek.
Deze man is een manipulator met zijn stokpaardjes kinderporno en terrorisme.
17-12-2019, 11:46 door Anoniem
Door Rexodus: En sodemieter op met je kiddiepr0n! Wil je ze hebben? Moet je "hackerstools" of hoe je dat ook noemt niet verbieden. Zo ontzeg je toegang tot kennis. En die kinderneukers hebben daar totaal geen boodschap aan. Doen dat toch wel. Net zoals overstappen van Telegram naar de volgende tool.

Maar jullie laten daarmee wel een spoor van vernieling achter. Iets dat, als jij je zin krijgt, niet meer te repareren is.

Probeer eens te denken, regering. Gewoon proberen. Alleen bij de poging al, zal veel veranderen. En dan doorzetten. Blijven denken! Ik weet dat het moeilijk is als je zo lang in een ivoren toren zit. Toch blijven proberen!
Erger nog wat hij wil bestaat niet, deze man is een enorme manipulator met zijn stokpaardjes terrorisme en kinderporno.
17-12-2019, 11:47 door [Account Verwijderd]
En ik weet dat jullie dit lezen. Anders adverteerde je niet hier.
17-12-2019, 11:50 door [Account Verwijderd]
Door Anoniem: Grapperhaus zou er goed aan doen eens een paar minuten te besteden aan het begrijpen van de techniek.
M.a.w. wat hij wil is onmogelijk. Met meer andere woorden, hij zet zichzelf voor gek.
Deze man is een manipulator met zijn stokpaardjes kinderporno en terrorisme.

Dat is iedereen zodra ze een voet over de drempel van de 2e kamer zetten. Als je iemand wil zien die van gerespecteerd politicus tot verwarde man is geworden, moet je het profiel van Ivo Opstelten eens bekijken.

Dat gaat alles zeggen. Bonnetjes, raporten. Ivo is nergens vies van. Als burgervader van Rotterdam herinner ik 'm heel anders.
17-12-2019, 11:53 door Anoniem
De man bezigt pure double-think
17-12-2019, 11:55 door Anoniem
Meneer Grap begrijpt, of wil maar niet begrijpen, dat als bij EEN partij de encryptie wordt verzwakt, dit tot gevolg heeft dat ALLE partijen met een verzwakte encryptie komen te zitten. Dus ook diegenen die hun normale privé-zaken willen afschermen zodat hackers en ander loslopend tuig niet bij hun data kunnen komen. Verzwakte encryptie maakt het vervolgens ook mogelijk voor de Russen, de Iraniërs en de Noord-Koreanen of andere statelijke actoren om bij je data te komen (spionage).

DAAROM MENEER GRAP, DENK NA VOORDAT JE EEN PLANNETJE LANCEERT OF MET JE BONDGENOTEN BESPREEKT!
17-12-2019, 12:00 door Anoniem
Het kabinetsstandpunt past niet bij de persoonlijke agenda van Grapperhaus en het lijkt erop dat zijn oplossing 'fake news' is. Je roept gewoon dat wat je geroepen hebt onwaar is als dat je uitkomt en zo kan je ondertussen blijven werken aan je plannetjes. Wanneer roept het kabinet deze man tot de orde?
17-12-2019, 12:10 door [Account Verwijderd]
Dat is zo'n berg corrupte shit bij elkaar, dat ik zelfs niet kan garanderen dat ik daar het hoofd boven water kan houden. Dus ik blijf uit de politiek. Just to be safe!
17-12-2019, 12:18 door Anoniem
Door Rexodus: En ik weet dat jullie dit lezen. Anders adverteerde je niet hier.
Sterker nog, er worden medewerkers van de overheid ingezet om de boel te bagatelliseren.
17-12-2019, 12:34 door Anoniem
In het artikel stelde de minister dat het gebruik van encryptie om kinderpornografie uit te wisselen onmogelijk moet worden gemaakt. Eerder stelde Grapperhaus dat justitie toegang tot versleutelde chatberichten moet krijgen. Toch is dit geen pleidooi voor het verzwakken van encryptie. "Ik heb niet gepleit voor het verzwakken van encryptiesoftware", aldus de minister.
Mooi staaltje newspeak, gabberhausse. Nog steeds [x] ongeschikt, nu ook [x] ongeloofwaardig.
17-12-2019, 12:40 door [Account Verwijderd]
Door Anoniem:
Door Rexodus: En ik weet dat jullie dit lezen. Anders adverteerde je niet hier.
Sterker nog, er worden medewerkers van de overheid ingezet om de boel te bagatelliseren.

Karma4, aan jou de microfoon! :)
17-12-2019, 13:37 door Anoniem
Klopt. Graphuis wil geen verzwakking van encryptie maar een onderdeurtje bij social media.
17-12-2019, 14:33 door karma4 - Bijgewerkt: 17-12-2019, 14:34
Door Rexodus: Karma4, aan jou de microfoon! :)
Nee Rexodus ik zit niet bij ze. Je zit fout.
Wat ik wel weet is dat gebruikers noch de sleutels noch de code hebben. Alles is in beheer bij big tech.
Alleen goedgelovige gebruikers denken dat als de dienstverlener zegt dat hij alles veilig encrypt dat het ook zo is.

Die R Taghi is nu opgepakt. Men kon eerder gesprekken meeluisteren. Ennetcom Black iron pgp telefoons.
De sleutels zaten bij de dienstverleners.. Niet de encryptie pgp is de zwakste schakel, maar het sleutelbedrijf.
Dat heb je ook met de sleutelkastjes verplicht bij de deur voor de zorg. Die toegang is binnen de keten het gevoeligst.

Denk eens in risico's en kwetsbaarheden.
17-12-2019, 15:32 door Anoniem
Het denken gaat beetje in de richting dat men bijvoorbeeld vanuit de distibutie van software updates en OS distros spyware wil kunnen meesturen. Dan blijft de end-2-end encryptie overeind maar is het device tapbaar. Nu is daarmee het zelfde probleem dat we ons moeten afvragen welke overheid dat dan kan gaan gebruiken, odner welk recht we vallen en hoe vaak het fout zal gaan. Laatste maand alleen al meerdere uitglijders waarbij namen van getuigen en meer van dat soort fraais gelekt werden.
17-12-2019, 16:19 door Anoniem
Grappenhuis, tjonge jonge jonge.. een backdoor is encryptie verzwakken.
17-12-2019, 16:51 door Anoniem
Door karma4: Wat ik wel weet is dat gebruikers noch de sleutels noch de code hebben. Alles is in beheer bij big tech.
Alleen goedgelovige gebruikers denken dat als de dienstverlener zegt dat hij alles veilig encrypt dat het ook zo is.

karma4, als je ons niet gelooft, geloof dan de EFF

https://ssd.eff.org/en/glossary/end-end-encryption

End-to-end encryption ensures that a message is turned into a secret message by its original sender, and decoded only by its final recipient. Other forms of encryption may depend on encryption performed by third-parties. That means that those parties have to be trusted with the original text. End-to-end encryption is generally regarded as safer, because it reduces the number of parties who might be able to interfere or break the encryption.

Waar jij mee in de war bent is symmetrische encryptie versus asymmetrische encryptie, maar daar ben je hier al eerder op gewezen.

PGP gebruikt symmetrische encryptie voor de snelheid (AES), maar asymmetrische encryptie van de AES sleutel door middel van public key encryptie (RSA). TLS met https doet dit ook.

PGP gebruikt de Web of Trust tegen man in the middle attacks. En https gebruikt Certificate Authorities. Allebei de methodes hebben hun eigen nadelen maar in het leger kun je een koerier gebruiken om de fingerprint van de RSA sleutels te controleren (papieren telefoonboek). Criminele organisaties hebben ook de infrastructuur om fingerprints veilig over te brengen (USB stick). Gewone burgers kunnen bijvoorbeeld keysigning parties gebruiken bij PGP.

Een andere keer vertel ik je over Perfect Forward Secrecy, wat Whatsapp wel heeft maar PGP niet.
17-12-2019, 17:33 door Anoniem
Door karma4:
Door Rexodus: Karma4, aan jou de microfoon! :)
Nee Rexodus ik zit niet bij ze. Je zit fout.
Wat ik wel weet is dat gebruikers noch de sleutels noch de code hebben. Alles is in beheer bij big tech.
Alleen goedgelovige gebruikers denken dat als de dienstverlener zegt dat hij alles veilig encrypt dat het ook zo is.

Die R Taghi is nu opgepakt. Men kon eerder gesprekken meeluisteren. Ennetcom Black iron pgp telefoons.
De sleutels zaten bij de dienstverleners.. Niet de encryptie pgp is de zwakste schakel, maar het sleutelbedrijf.
Dat heb je ook met de sleutelkastjes verplicht bij de deur voor de zorg. Die toegang is binnen de keten het gevoeligst.

Denk eens in risico's en kwetsbaarheden.

"Alles is in beheer bij big tech"
Dat is nu de derde keer in korte tijd dat Karma4 deze onzin opschrijft:
https://www.security.nl/posting/635210/CDA+vraagt+Grapperhaus+naar+mogelijkheden+WhatsApp-backdoor
16-12-2019 13:48

..."Jouw bewering zou misschien waar kunnen zijn als het gaat over proprietaire black boxes (zoals Facebook, WhatsApp).
Maar Karma, wijs mij eens aan waar in de open-source code van bijvoorbeeld Signal staat dat de private-key niet uitsluitend en alleen op het apparaat van de eindgebruiker wordt opgeslagen ?
Totdat jij (of iemand anders) een dergelijk "lek" in de end-to-end encryptie gevonden heeft, ga ik ervan uit dat Signal volledig end-to-end encrypted is.
Het lijkt er op dat je ook het wezenlijke verschil tussen closed-source en open-source software niet begrijpt."

Reageer eens op de nu meermalen gestelde vraag Karma4 ??
17-12-2019, 20:40 door karma4
Door Anoniem: Grappenhuis, tjonge jonge jonge.. een backdoor is encryptie verzwakken.
De sleutels overhandigen die ze al hebben, jouw gevalideerde contactgegevens is echt geen backdoor.
17-12-2019, 23:19 door Anoniem
Door karma4:
Door Anoniem: Grappenhuis, tjonge jonge jonge.. een backdoor is encryptie verzwakken.
De sleutels overhandigen die ze al hebben, jouw gevalideerde contactgegevens is echt geen backdoor.

Al in 2010 is door directeuren van de NSA in verhoren bij de Senaat het tegenovergesteld hiervan verklaard.
Ze verklaarden toen namelijk dat ze al binnen een paar jaar NA 2001 genoeg hadden aan ongevalideerde gegevens.
Gevalideerde contactgegevens verkortten de deceptie tijd slechts, maar dat was naar hun eigen zeggen een bijzaak.
Decryptie acties vanuit hun hoofd-rekencentra kostte hen toen naar verluid ongeveer 30 minuten.

Theoretisch kan je je stelling voor de Nederlandse situatie anno 2019 wel poneren.
Maar dan speculeer je wel ernstig op de aanwezige kennis van actualiteiten en kennis van binnen bij Nederlandse organisaties.
Dat lijkt me bij voorbaat voorbarig.
Maar je ontkent door het poneren van de stelling - al dan niet bedoeld - de praktijk.
Zo staat er bijvoorbeeld aan de rand van Den Haag centrum bij een techniek bedrijf een computer rekencentrum met de kracht die minimaal de kracht van de VS van 2010 bij kan houden.
Anno 2019 zijn er echter in de praktijk ook meerdere invalshoeken die overheden worden toegepast om in te breken bij privé personen.
Elk op zichzelf zijn contact gegevens, usb-sticks, sd-kaarten, docking devices, Lan boot mogelijkheden, software updates (firmware updates nog erger) even functioneel als backdoors te benutten danwel wanneer ze gekieteld worden langs die paden een backdoor mee te leveren!

En die mogelijkheden zijn uit en te na door insiders bevestigd.
Als er eenmaal gegevens / credentials zijn verzameld, al was het maar van een paar omstanders, dan is het inbreken bij privé personen technisch gezien kinderspel!
Sinds 2010 is de data-transport en verwerking snelheid van verbindingen en op apparaten nog behoorlijk toegenomen.
De landelijke consumenten contact-steunpunten van KPN, Apple, Microsoft, Vodafone en dergelijk zijn zich echt bar weinig bewust van wat dat ook met zich meebrengt.
Namelijk dat een inbraak poging al met een paar scripts van rond de 30 Kb geplaatst kan worden.
Als die vervolgens wordt geactiveerd dan merk je er met de huidige data verwerkingsnelheden van apparaten sowieso nog maar bar weinig van.
Ter vergelijking, in de tijden van snelheden 10-300 Kb/seconden was het qua UX voor een oplettende gebruiker nog merkbaar.
Dat nu de snelheid giga omhoog is gegaan betekent dat de drempels en signalering mogelijkheden voor die digitaie inbraak bijgaand enorm zijn gekelderd.

Aansluitend reageer ik ook even als meelezer op Anoniem, 17:33 uur;
Ik denk dat die inhoudelijk een zeer terecht punt maakt.
Een statement als "jouw gevalideerde contactgegevens is echt geen backdoor" is qua scope echt een heel ander verhaal dan de andere reacties hier.
Sowieso onderbouwd Karma4 de stelling niet.
Daarbij komen juist diverse reacties in dit topic met voorbeelden waarin ik een breder gedeeld verhaal terug zie.
Breder in ieder geval dan het enkele issue met de vraag of er in werkelijkheid wel/geen sprake van backdoor mogelijkheden kan zijn.
17-12-2019, 23:36 door Anoniem
Door Anoniem: Grappenhuis, tjonge jonge jonge.. een backdoor is encryptie verzwakken.
Nee hoor, de encryptie blijft precies hetzelfde. Maar nadat het gedecodeerd is komt het beschikbaar via de backdoor.
(de backdoor kan overigens voorzien zijn van zijn eigen authenticatie en encryptiemiddelen)
Lache man. Goeie grap. Omdat het echt zo is.
18-12-2019, 01:38 door Anoniem
Als ik het gemiddeld niveau van ministers zo beschouw, dan vind ik niet dat Grap het zo slecht doet. Niet dat je dan gelijk applaus moet geven, want dan worden ze lui, terwijl ze net lekker bezig waren. Terwijl ze, laten we eerlijk blijven, een betere wachtgeldregeling hebben dan jij en ik samen. En daarna nog altijd wel ergens in een Melkert directie functie bij ziekenhuizen of iets dergelijks landen.

Toch, met Grap, denk ik regelmatig, het lijkt precies of hij toch af en toe wat door heeft, en er dan ook nog wat mee probeert te doen. Vooral dat laatste blijft hoopgevend.

Ik denk wel dat het ook eens tijd wordt voor kamerleden, om het kleuterniveau te ontstijgen dat bijvoorbeeld zo kenmerkend is voor het Britse parlement. Een uurtje vroeger opstaan en de krant weer eens lezen zou geen slecht begin zijn.
18-12-2019, 06:37 door Jean Vohur - Bijgewerkt: 18-12-2019, 06:47
Door Anoniem: Reageer eens op de nu meermalen gestelde vraag Karma4 ??

Doe geen moeite, je vraagt het aan een papieren tijger.

Door Redactie: Grapperhaus: ik heb niet gepleit voor verzwakken van encryptiesoftware

Het heeft geen zin om de encryptiesoftware aan te pakken. Men kan beter inzetten op een ontmoedigingsbeleid en verplichte ontsleuteling. Indien iemand het nodig vindt om versleutelde berichten te versturen en er is gerede twijfel dan moet verplicht ontsleutelen gemakkelijk op te leggen zijn.
18-12-2019, 08:09 door Anoniem
Door Anoniem:
Door karma4: Wat ik wel weet is dat gebruikers noch de sleutels noch de code hebben. Alles is in beheer bij big tech.
Alleen goedgelovige gebruikers denken dat als de dienstverlener zegt dat hij alles veilig encrypt dat het ook zo is.

karma4, als je ons niet gelooft, geloof dan de EFF

https://ssd.eff.org/en/glossary/end-end-encryption

End-to-end encryption ensures that a message is turned into a secret message by its original sender, and decoded only by its final recipient. Other forms of encryption may depend on encryption performed by third-parties. That means that those parties have to be trusted with the original text. End-to-end encryption is generally regarded as safer, because it reduces the number of parties who might be able to interfere or break the encryption.

Waar jij mee in de war bent is symmetrische encryptie versus asymmetrische encryptie, maar daar ben je hier al eerder op gewezen.

PGP gebruikt symmetrische encryptie voor de snelheid (AES), maar asymmetrische encryptie van de AES sleutel door middel van public key encryptie (RSA). TLS met https doet dit ook.

PGP gebruikt de Web of Trust tegen man in the middle attacks. En https gebruikt Certificate Authorities. Allebei de methodes hebben hun eigen nadelen maar in het leger kun je een koerier gebruiken om de fingerprint van de RSA sleutels te controleren (papieren telefoonboek). Criminele organisaties hebben ook de infrastructuur om fingerprints veilig over te brengen (USB stick). Gewone burgers kunnen bijvoorbeeld keysigning parties gebruiken bij PGP.

Een andere keer vertel ik je over Perfect Forward Secrecy, wat Whatsapp wel heeft maar PGP niet.

Precies, is inderdaad per definitie zo - end to end betekent dat uitsluitend de beide endpoints/gebruikers de sleutel hebben. In het geval van de PGP implementatie door Ennetcom, was er (dus) geen sprake van end-to-end encryptie.
18-12-2019, 09:41 door Anoniem
Door Jean Vohur:
Door Anoniem: Reageer eens op de nu meermalen gestelde vraag Karma4 ??

Doe geen moeite, je vraagt het aan een papieren tijger.
Tjee, hadden we niet genoeg aan één Papieren tijger?
Kvind het btw merkwaardig/opmerkelijk dat ik in deze post zijn comments kan lezen zonder dyslexie-fratsen of niet-lopende-zinnen! Rarara? (spellcheck?, assistent?, dragon natural speaking?)

Door Redactie: Grapperhaus: ik heb niet gepleit voor verzwakken van encryptiesoftware

Het heeft geen zin om de encryptiesoftware aan te pakken. Men kan beter inzetten op een ontmoedigingsbeleid en verplichte ontsleuteling. Indien iemand het nodig vindt om versleutelde berichten te versturen en er is gerede twijfel dan moet verplicht ontsleutelen gemakkelijk op te leggen zijn.
Als zelfs onze mp rutten aan oost-indisch geheugenverlies mag lijden op momenten dat verantwoordelijk gedrag wordt verwacht (het goede voorbeeld), neem mij dan niet kwalijk dat mijn geheugen het ook ff af laat weten wanneer de rechter mij zo'n verplichting oplegt. + dat regeltje dat je niet tegen je zelf hoeft te getuigen.

Dan nog wel als (niet-k4-steunend-bedoelde) mening, dat mocht ik encryptie belangrijk vinden, ik de sleutels niet laat genereren door een derde partij.
18-12-2019, 10:34 door Anoniem
Door Anoniem:
Door Anoniem: Grappenhuis, tjonge jonge jonge.. een backdoor is encryptie verzwakken.
Nee hoor, de encryptie blijft precies hetzelfde. Maar nadat het gedecodeerd is komt het beschikbaar via de backdoor.
(de backdoor kan overigens voorzien zijn van zijn eigen authenticatie en encryptiemiddelen)
Lache man. Goeie grap. Omdat het echt zo is.

Toch wel. Het punt van encryptie is juist dat het absoluut is. De verzender en ontvanger hebben allebei toegang en de rest van de wereld niet. Zodra je een derde partij toegang gaat verschaffen heb je geen enkele garantie of zekerheid dat een vierde, vijfde of de rest van de wereld geen toegang hebben. Daarmee is de toegevoegde waarde nihil geworden.
18-12-2019, 11:09 door Anoniem
Probleem is dat de heer Grapperhaus op zijn minst de schijn heeft gewekt om te hebben gepleit van en verzwakking van encryptie. Zuiver technisch gesproken, de huidige encryptie architectuur streeft er naar dat de bedoelde ontvanger(s) de sleutels bezitten en niemand anders dan de bezitters van de sleutels de encryptie kunnen openen. Politico claimt:

Ferd Grapperhaus backed US calls to break encryption for investigatory purposes.

Dit raakt aan een voortdurend probleem. Een extra toegang inbouwen betekent zuiver technisch een verzwakking, linksom of rechtsom. Je kan er over discussiëren of het een gerechtvaardigde verzwakking is, maar niet argumenteren dat het helemaal geen verzwakking is behalve door het woordenboek te herschrijven en bovendien impliciet te beweren dat de specialisten niet weten waar ze het over hebben.

En daar zit een knel. Men mag eisen stellen aan de aard van de organisaties aan wie je persoonsgegevens die kritisch zijn voor de kwaliteit van leven toevertrouwt. Vandaag hangt een staatssecretaris een mogelijke motie van wantrouwen boven het hoofd omdat een overheidsorganisatie op allerlei manieren niet de cultuur heeft die er van verwacht mag worden. Men mag als voorwaarde stellen dat overheidsdiensten in alle opzichten voorbeeldig uit de bus komen. Als je het debat al begint met eindeloze semantische discussies en vernederingen aan het adres van je adviseurs die een onwelgevallig maar niettemin technisch oordeel hebben, wat blijft er dan over van het vertrouwen?
18-12-2019, 13:19 door Anoniem
Het hele probleem is een probleem van "security through obscurity".

Als alle momentane feitelijkheden rond surveillance duidelijk op tafel lagen, net zoals eerder via Snowden,
wisten we wat we als burgers wel of niet zouden wensen.

Nu kan men ons elk sprookje op de mouw spelden, het weerspiegelt toch niet wat er werkelijk gebeurt.

De boel techniek inzichtelijk maken, maar dan kan de rest van de gemeenschap niet mee oordelen.

#sockpuppet
18-12-2019, 18:06 door Anoniem
Door Anoniem:Dit raakt aan een voortdurend probleem. Een extra toegang inbouwen betekent zuiver technisch een verzwakking, linksom of rechtsom. Je kan er over discussiëren of het een gerechtvaardigde verzwakking is, maar niet argumenteren dat het helemaal geen verzwakking is behalve door het woordenboek te herschrijven en bovendien impliciet te beweren dat de specialisten niet weten waar ze het over hebben.
Je kan zelfs niet over discussiëren of het een gerechtvaardigde verzwakking is, omdat dat neerkomt op een vertrouwensvraag: Kun je degenen die de extra toegang hebben en dus een permanent risico vormen voor de gesprekspartners wel vertrouwen dat ze die extra toegang alleen redelijkerwijs, in het algemeen belang, et cetera, zullen gebruiken?

Probleem is dat dat in het geval encryptie slechts een bijkomend probleem is. De echte pijn zit 'm erin dat alleen al de aanwezigheid van die extra toegang zal betekenen dat andere partijen zich die ook zullen verschaffen. Ze weten dat'ie bestaat, ze weten dat'ie werkt, dus is het een kwestie van tijd voor ze 'm gaan vinden, linksom of rechtsom.

Dus een verzwakking is een direct gevaar voor alle brave burgers die er gebruik van (moeten) maken, maar niet afgeluisterd hoeven worden. Tenminste, niet door de aangewezen vertrouwenspersoon voor wie die extra toegang ingebouwd geworden is. En precies degenen die je het liefst wil afluisteren, waar het algemene belang het zwaarste weegt en de verdigbare nood tot meelezen het hoogst is, precies die mensen laten zich nou net niet in met jouw verzwakte encryptie. Dus er is hier niets om te rechtvaardigen. Dat wat er geweest had kunnen zijn vervliegt vanzelf met het invoeren van de extra toegang. Ongeacht de vorm van die extra toegang.

Het is wel goed je te bedenken dat telefoontappen alleen maar kan omdat de bescherming van de telefoon was, naast practische zaken als bij de draadjes kunnen, dat de bescherming bestond uit een wetje "je mag niet tappen". Daar kun je doodeenvoudig een uitzondering aan vastplakken. De bescherming waar encryptie op bouwt is wiskundig van aard, en je ziet, zelfs met de "rechtvaardiging" van extra toegang bijinbouwen is die onverbiddelijk.
19-12-2019, 08:42 door Anoniem
Grapperhaus het is geen 2 april, terug aan het werk dus & drink niet teveel op de kerstborrel ;)
19-12-2019, 10:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Grappenhuis, tjonge jonge jonge.. een backdoor is encryptie verzwakken.
Nee hoor, de encryptie blijft precies hetzelfde. Maar nadat het gedecodeerd is komt het beschikbaar via de backdoor.
(de backdoor kan overigens voorzien zijn van zijn eigen authenticatie en encryptiemiddelen)
Lache man. Goeie grap. Omdat het echt zo is.

Toch wel. Het punt van encryptie is juist dat het absoluut is. De verzender en ontvanger hebben allebei toegang en de rest van de wereld niet. Zodra je een derde partij toegang gaat verschaffen heb je geen enkele garantie of zekerheid dat een vierde, vijfde of de rest van de wereld geen toegang hebben. Daarmee is de toegevoegde waarde nihil geworden.

Nee hoor.
Onder encryptie verstaat men slechts het coderen (versleutelen) van informatie die via een verbinding van A naar B wordt verzonden. Er verandert bij het type backdoor die (waarschijnlijk) o.a. Jokerhouse wil niets aan deze encryptie.
Maar als het bericht eenmaal bij B is aangekomen en daar weer is gedecodeerd dan is daar dus de ongecodeerde ("plain") data weer beschikbaar.
Door middel van een backdoor kan deze vrijgekomen "plain" informatie via een tweede verbinding (die zijn eigen encryptie en authenticatie kan hebben) ter beschikking staan voor bijv. een overheid. Dit kan 2-factor authenticatie zijn met sterke encryptie, dus wat dat betreft hoeft de veiligheid niet in het geding te zijn, of anders is https ook onveilig.

Voor end-to-end encryptie kan dit bijv. worden bewerkstelligt m.b.v. een zogenaamde security-update (ahum...) van je social media apps waarin zo'n backdoor is toegevoegd. In wezen dus een toegevoegde "hack" voor een overheid om mee te kunnen kijken wat je met die apps allemaal uitspookt in je onfortuinlijke smartelijke-foon waarvoor je in een dolledwaze bui duur hebt betaald om door wie-weet-wie-allemaal bespioneerd te kunnen worden.
19-12-2019, 12:40 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Grappenhuis, tjonge jonge jonge.. een backdoor is encryptie verzwakken.
Nee hoor, de encryptie blijft precies hetzelfde. Maar nadat het gedecodeerd is komt het beschikbaar via de backdoor.
(de backdoor kan overigens voorzien zijn van zijn eigen authenticatie en encryptiemiddelen)
Lache man. Goeie grap. Omdat het echt zo is.

Toch wel. Het punt van encryptie is juist dat het absoluut is. De verzender en ontvanger hebben allebei toegang en de rest van de wereld niet. Zodra je een derde partij toegang gaat verschaffen heb je geen enkele garantie of zekerheid dat een vierde, vijfde of de rest van de wereld geen toegang hebben. Daarmee is de toegevoegde waarde nihil geworden.

Nee hoor.
Onder encryptie verstaat men slechts het coderen (versleutelen) van informatie die via een verbinding van A naar B wordt verzonden. Er verandert bij het type backdoor die (waarschijnlijk) o.a. Jokerhouse wil niets aan deze encryptie.
Maar als het bericht eenmaal bij B is aangekomen en daar weer is gedecodeerd dan is daar dus de ongecodeerde ("plain") data weer beschikbaar.
Door middel van een backdoor kan deze vrijgekomen "plain" informatie via een tweede verbinding (die zijn eigen encryptie en authenticatie kan hebben) ter beschikking staan voor bijv. een overheid. Dit kan 2-factor authenticatie zijn met sterke encryptie, dus wat dat betreft hoeft de veiligheid niet in het geding te zijn, of anders is https ook onveilig.

Voor end-to-end encryptie kan dit bijv. worden bewerkstelligt m.b.v. een zogenaamde security-update (ahum...) van je social media apps waarin zo'n backdoor is toegevoegd. In wezen dus een toegevoegde "hack" voor een overheid om mee te kunnen kijken wat je met die apps allemaal uitspookt in je onfortuinlijke smartelijke-foon waarvoor je in een dolledwaze bui duur hebt betaald om door wie-weet-wie-allemaal bespioneerd te kunnen worden.

"Voor end-to-end encryptie kan dit bijv. worden bewerkstelligt m.b.v. een zogenaamde security-update (ahum...) van je social media apps waarin zo'n backdoor is toegevoegd."

Dat toevoegen van een backdoor, al dan niet verpakt in een security-update (ahum...), is alleen mogelijk door een "gag-order" of dwangbevel gericht aan een closed-source softwaremaker (WhatsApp, Facebook). In een dergelijke black-box kan een backdoor zich prima verschuilen.

Bij open-source software (Signal) zal een dergelijke backdoor direct opvallen en worden geweigerd.
19-12-2019, 22:02 door Anoniem
Dat toevoegen van een backdoor, al dan niet verpakt in een security-update (ahum...), is alleen mogelijk door een "gag-order" of dwangbevel gericht aan een closed-source softwaremaker (WhatsApp, Facebook). In een dergelijke black-box kan een backdoor zich prima verschuilen.

Bij open-source software (Signal) zal een dergelijke backdoor direct opvallen en worden geweigerd.
Ik gaf slechts aan wat de jokerman waarschijnlijk wil en hoe die vork technisch in de steel zou kunnen zitten waarbij er technisch gezien geen sprake is van verzwakking van encryptie.
Of het werkelijk gerealiseerd zal worden, in welke apps, waar en wanneer ga ik niet over,
maar het zou me niet verbazen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.