Door Anoniem: Jammer dat vrijwel niemand hier serieus reageert op een serieus onderwerp.
Dit is de zoveelste herhaling van een gevecht dat al jaren terug beslecht is en de laatste paar jaar ieder halfjaar weer opgevoerd wordt door allerlei huilclubjes. De positie van de versleutelaars is al jaren precies hetzelfde, die baseert zich op de logica van het domein, en geen enkele afwiltapper komt met een beter argument dan "maar ik wil het toch!"
Zie ook het argument dat "het debat niets opgelevert heeft" van de encryptiewegwensers. Het probleem is doodeenvoudig dat er met de wiskunde niet te onderhandelen valt. Net zoiets als een stopbord voor een gletcher plaatsen. Leuk, maar het zal die gletcher worst wezen.
In het vrije westen is het normaal dat een rechter kan besluiten dat je afgeluisterd word. Privacy is belangrijk, maar er kunnen situaties zijn waarin we besloten hebben dat er de mogelijkheid moet zijn om die in te perken. Misbruik daarvan borgen we via een rechter.
Afluisteren kan alleen maar omdat de bescherming van je telefoonlijn bestaat uit een wet die zegt dat het niet mag.
Met de komst van E2E encryptie is dat om zeep geholpen.
Dat is een reactie op het om zeep helpen (of liever compleet afwezig zijn) van de bescherming van je data in een wereldwijd netwerk. Het internet is altijd al "end-to-end" geweest, d.w.z. dat het netwerk pakketjes heen-en-weer schuift maar niets met de inhoud doet, alle verdere logica zit in de eindpunten. Contrasteer met een telefoonnetwerk, waar dat andersom is.
Het is niet zo'n vreemde gedachte om te proberen dat recht te zetten.
Alleen werkt dat niet zo. De informatieveiligheidslogica en de wiskunde waaruit encryptie is opgebouwd staan dat niet toe.
Als je even nadenkt dan zie je dat vanzelf, en verder is het in vergelijkbare onderwerpen op deze site al minstens een dozijn keer uitgelegd.
En het is ook geen raar idee om een soort wedstrijd te organiseren om daar een goede oplossing voor te verzinnen.
Dit is de "wij weten het ook niet"-"oplossing", zo van vraag het dan in godsnaam maar het brede publiek. Maar ook die kunnen de wiskundige realiteit niet zomaar even aanpassen.
Nu ik erover nadenk, dit stinkt naar een politieke "pretext" om later de boel gewoon door te drukken. "Ja we hebben jullie de kans gegeven het probleem op te lossen, maarja hebben jullie niet gedaan dus nu maar braaf op de blaren zitten." Wat vreselijk vals is in het licht van "proberen te onderhandelen met wiskunde". Want het komt neer op anderen de schuld te geven van je eigen wensdenken.
Het probleem is natuurlijk dat we wellicht de Nederlandse rechters vertrouwen, maar niet die in andere landen. En ook voor de VS zal gelden dat ze wel hun rechters vertrouwen maar niet die van anderen.
Ook de eigen rechters en de eigen politie kun je niet vertrouwen, zie allerlei akkefietjes als "de wisknop niet kunnen vinden", perongeluk(expres) anonieme bronnen toch de naam van lekken, politiemensen die uitgebreid voor criminele vrindjes in politiegegevens gingen snuffelen, en weet ik het wat allemaal meer.
Maar zelfs dat is eigenlijk het punt niet. Stel je maakt zo'n achterdeur. Dan weet iedereen dat'ie bestaat. Dus gaan er mensen naar op zoek. En er zullen mensen zijn die 'm ook zullen vinden. Mischien publiceren ze 'm. Mischien niet. Ik weet niet wat erger is, maar bottom line is altijd weer: Je kan je eigen encryptie nu niet meer vertrouwen.
Zelfs al zou je een goede technische oplossing kunnen bedenken, dan zal die maar voor één land acceptabel zijn en dat is dus niet werkbaar.
Dat loopt wel los. Stel zo'n ding is mogelijk, dan kun je dat specificeren en onderling afspreken dit ene ding te gebruiken, alleen heeft ieder land zijn eigen "lawful intercept"-sleutels. Het wordt pas een probleem als je met een niet-zo-goede technische oplossing in zee gaat, want dan kan iedereen meekijken en niet alleen jij. Het probleem is dus botweg dat een goede technische oplossing onmogelijk is. Het kan gewoon echt niet.
Daarnaast is het onwenselijk, ook binnen één land, zie discussie rond de "clipper chip". Precies hetzelfde verhaal. Kijk ook even wanneer dat speelde.
En je kunt uiteraard ook niet voorkomen dan mensen eigen encryptie tools installeren.
Inderdaad.
Het is immers simpel genoeg te maken.
Dat is niet helemaal waar. Het is niet heel moeilijk om een bestaand algorithme te implementeren. Het correct doen en verdedigen tegen bijvoorbeeld zijkanaal-aanvallen is nog even iets anders. Maar er is ondertussen genoeg aan documentatie en implementaties te vinden dat encryptie-zonder-achterdeur uitroeien zelfs in China niet echt doenlijk is. En een nieuw algorithme bedenken en implementeren moet je ervaren encryptiebrekers laten doen, die hun werk om te beginnen door een andere ploeg ervaren encryptiebrekers laten nakijken. Één klein foutje kan je al heel je veiligheid kosten.
Dus ik snap de gedachte van de senatoren, en er is best wat voor te zeggen, maar het is met de beste wil van de wereld niet te regelen.
Dat feit uitleggen is een stuk nuttiger dan doen of ze gestoord zijn.
Ze zouden onderhand beter moeten weten. Deze discussie is helemaal niet nieuw. Ze hebben dus de propaganda van de FBI en andere TLAgencies geloofd en proberen een compromis te sluiten... denken ze. Het correcte antwoord dat ze de lobbyisten hadden moeten geven is "wat je wil kan niet, dus hoepel op". Maarja, daar hebben ze dan weer noch de ruggegraat noch de kennis voor. Terwijl zeker die kennis ondertussen breed bekend hoort te zijn en helemaal bij senatoren die in commissietjes zitten die precies daar over gaan.
Maargoed, je wilt een constructieve houding. Dit heb ik naar de drie senatoren gestuurd, gisteren en nog voor dit bericht op deze site stond (met extraveilige drievoudige rot13 versleuteld tegen zoekacties):
Qrne Frangbe,
V jnag lbh gb xabj gung "ynjshy npprff gb rapelcgvba" vf ABG gur pbzchgre-l rdhvinyrag bs gnccvat cubarf. Gb jvg: Gur bayl cebgrpgvba cubar yvarf unir vf ynjf fnlvat "qba'g gnc guvf". Naq vg vf rnfl naq unezyrff gb fnl "rkprcg jvgu n jneenag". Abg fb jvgu rapelcgvba.
"Ynjshy npprff gb rapelcgvba" erdhverf rvgure jrnxravat gur zngurzngvpf bhg bs juvpu gur rapelcgvba vf ohvyg, be hfvat rkgen xrlf xrcg nebhaq whfg va pnfr ynj rasbeprzrag jnagf n ybbx-frr. Rvgure jnl, lbh unir n onpxqbbe gung vf abj xabja gb rkvfg. Rvgure gur zngu vf jrnx, be gur gnccvat xrlf trg birehfrq naq orpbzr oernxnoyr. Rvgure jnl, crbcyr jub fubhyq abg jvyy nyfb tnva guvf "ynjshy npprff". Orpnhfr vg rkvfgf naq vf xabja gb rkvfg, rirelobql jvyy ybbx sbe vg. Fbzr jvyy svaq vg.
Naq gung vf orsber jr pbafvqre gung fbzrgvzrf gur ynjshy crbcyr ner abg fb ynjshy. Gung vf, znlor gur xrlf jvyy yrnx, whfg yvxr gur GFN-nccebirq yhttntr ybpxf znfgre xrlf qvq. Naq vs gung unccraf nyy pheerag, cnfg, naq shgher pbzzhavpngvbaf znqr "ynjshyyl npprffvoyr" hfvat gubfr xrlf jvyy or vafgnagyl ihyarenoyr gb nalbar jub tbg gur xrlf. Gung vf na rabezbhf ibyhzr bs pbzzhavpngvbaf. Vg fcryyf "whvpl gnetrg" va zvyr uvtu synzvat yrggref.
Naq vg trgf jbefr. Va erfcbafr gubfr jubfr pbzzhavpngvbaf lbh jnag zbfg gb ynjshyyl npprff jvyy oevat gurve bja rapelcgvba, jvgubhg onpxqbbe, naq gubfr jub qrfreir rapelcgvba'f shyy cebgrpgvba jvyy erznva orersg.
Lbh pnaabg cbffvoyl sbepr guvf vffhr jvgubhg yrnivat lbhe ynj-novqvat pvgvmraf bhg va gur pbyq unefu jbeyq bs vafrpher rapelcgvba.
Rvgure gur onq thlf trg rapelcgvba naq gur tbbq thlf qba'g, be rirelbar trgf rapelcgvba. Bar be gur bgure, ab bgure cbffvovyvgvrf rkvfg. Fb nalobql jub qbrfa'g ungr ynj-novqvat pvgvmraf cvpxf... jung ntnva?
Lrf, V xabj jung gur SOV jnag. V xabj jung gur erfg bs gur guerr yrggre ntrapl fbhc jnagf. Ab, abar bs jung gurl jnag be cebzvfr vf eryrinag. Gur dhrfgvba vf nf fgngrq. Jung qb lbh cvpx?