image

Amerikaanse senatoren willen eind aan end-to-end encryptie maken

donderdag 25 juni 2020, 12:00 door Redactie, 42 reacties

Drie republikeinse senatoren in de Verenigde Staten hebben een wetsvoorstel geïntroduceerd dat een eind moet maken aan het gebruik van end-to-end encryptie in apparaten, platformen en systemen. De Lawful Access to Encrypted Data Act van senatoren Graham, Blackburn en Cotton moet ervoor zorgen dat opsporingsdiensten met een gerechtelijk bevel toegang tot alle versleutelde data en communicatie kunnen krijgen (pdf).

Volgens de senatoren ontwikkelen techbedrijven hun producten opzettelijk op zo'n manier dat alleen gebruikers er toegang toe hebben en opsporingsdiensten worden buitengesloten. "Dergelijk "warrant-proof" encryptie voegt weinig toe aan de beveiliging van de communicatie van normale gebruikers, maar is een groot voordeel voor diegenen die het internet voor illegale doeleinden gebruiken", aldus de senatoren.

Die stellen verder dat het debat over encryptie en toegang door opsporingsdiensten al jaren gaande is en nog altijd niet tot een oplossing heeft geleid. Hierdoor moeten opsporingsdiensten de versleuteling van in beslag genomen apparaten kraken, wat lange tijd en miljoenen dollars kan kosten, zo stellen de senatoren. "Als gevolg loopt onze nationale veiligheid gevaar, en worden talloze misdrijven gepleegd in de Verenigde Staten niet opgelost."

Met het wetsvoorstel willen de senatoren een einde maken aan warrant-proof encryptie in apparaten, platformen en systemen. Mocht het voorstel worden aangenomen dan zijn techbedrijven straks verplicht om opsporingsdiensten die over een gerechtelijk bevel beschikken te helpen bij het verkrijgen van toegang tot versleutelde data.

Het is aan techbedrijven om uit te zoeken hoe ze aan eventuele decryptiebevelen moeten voldoen. Bedrijven kunnen tegen dergelijke bevelen in beroep gaan, bijvoorbeeld als het ontsleutelen technisch niet mogelijk is. "De overheid kan echter een herontwerp van het systeem verplichten", zegt Andrew Crocker van de Amerikaanse burgerrechtenbeweging EFF.

Verder laat het wetsvoorstel de minister van Justitie een wedstrijd organiseren die deelnemers beloont voor het ontwikkelen van een "rechtmatige toegangsoplossing in een versleutelde omgeving". Crocker noemt het een prijs voor "veilige backdoors". Volgens de EFF-medewerker staat het wetsvoorstel los van de realiteit en brengt het de veiligheid van honderden miljoenen mensen in gevaar.

Reacties (42)
25-06-2020, 12:14 door Anoniem
Het lijstje voorstanders is bekend. Nu even hun medische gegevens, namen van geheime vriendinnen of vrienden en hun niet aangegeven neveninkomsten openbaar maken ... Ieder week één persoon.
Hoelang zijn ze dan nog voor?

Zo komen we natuurlijk wel de belastingaangiften van Donald te weet !
25-06-2020, 12:18 door Anoniem
Mooie ontwikkeling, als het doorgaat een flinke steun in de rug voor de Europese techindustrie.

Tot wij hier over een paar jaar dezelfde onzin invoeren natuurlijk, maar hopelijk is intussen in de VS al aangetoond dat een backdoor ook gebruikt gaat worden door onbevoegden.
25-06-2020, 12:24 door Anoniem
"Dergelijk "warrant-proof" encryptie voegt weinig toe aan de beveiliging van de communicatie van normale gebruikers, maar is een groot voordeel voor diegenen die het internet voor illegale doeleinden gebruiken", aldus de senatoren.
Oftewel "iedereen wiens communicatie we niet kunnen lezen moet wel crimineel zijn".

Die stellen verder dat het debat over encryptie en toegang door opsporingsdiensten al jaren gaande is en nog altijd niet tot een oplossing heeft geleid.
Ook al zo'n mooie drogreden. Het debat is al in de 90er jaren beslecht aan de hand van de "clipper chip", en nu proberen ze hetzelfde nog een keer. De redenen waarom achterdeurtjes een slecht idee zijn, zijn nog steeds niet veranderd.
25-06-2020, 12:43 door Anoniem
Ach dan heeft encryptie geen zin meer,als ze zo denken Encryptie is ieder zijn recht te gebruiken.
25-06-2020, 12:45 door Anoniem
Tsja... je wordt natuurlijk geen senator omdat je zo goed kon leren.
Er bestaat niet zoiets als een 'veilige backdoor'.

Als veesboek, crapple, choochel of wie dan ook bij mijn data kan, is het daarmee onveilig. Ingewikkelder dan dat wordt het niet...
25-06-2020, 12:45 door Anoniem
Deze lieden hebben dus het basis-principe van encryptie niet begrepen of ze willen het volgens hun opvattingen niet begrijpen. Of iedereen heeft encryptie of niemand heeft deugdelijke encryptie. Zijn dit de plannen voor het "nieuwe normaal"?

Voorwaardelijke encryptie als je "aan de goede kant" staat, wat die kant dan ook volgens de waan van de dag mag zijn. E2E-encryptie alleen voorbehouden aan de staat en statelijke acteurs. Afwijkende meningen worden niet meer gedoogd.

#sockpuppet
25-06-2020, 12:54 door Anoniem
Het probleem in dit verhaal is eigenlijk juist het argument crimineel. Want wat in het ene land legaal is, of gedoogd, hoeft dat in het andere land niet te zijn. Zo is het beledigen van de koning in Thailand een halsmisdrijf, terwijl eer hier nauwelijks iets tegen wordt gedaan. Dat geldt ook voor het uiten van je mening, die is redelijk afhankelijk van het land waarin je dat doet en de manier waarop.
25-06-2020, 13:08 door Anoniem
In het verleden hebben deze krachten in het zwembad zitten sch**ten en dat is door whistleblowers uitgekomen en nu proberen ze ons allemaal hierin te laten zwemmen. De enkeling, die eruit kan komen, is al weg vanwege de stank. Een onzinnig debat, waar niet te veel woorden aan moeten worden verspild. Rekenkunde op z'n kop zetten lukt dus niet.

J.O.
25-06-2020, 13:08 door karma4
Een brandkast wordt met medewerking van de leverancier ook gericht destructief geopend als dat nodig is, End tot end is de verkoop aanduiding voor wat de leverancier onder controle heeft. Ik zie met die leveranciersbeperking een een destructieve methode bij het forceren weinig verschil.
25-06-2020, 13:09 door Anoniem
"veilige backdoors", erg grappig.
25-06-2020, 13:17 door Anoniem
Door Anoniem: Zo komen we natuurlijk wel de belastingaangiften van Donald te weet !
Vraag dan ook meteen de documenten van samenzwering op van de Democraten om de zittende president zijn poten uit te draaien. Meteen gelijk oversteken zou ik zeggen.
25-06-2020, 13:50 door [Account Verwijderd]
Drie republikeinse senatoren in de Verenigde Staten hebben een wetsvoorstel geïntroduceerd dat een eind moet maken aan het gebruik van end-to-end encryptie in apparaten, platformen en systemen.

Dit voorstel is niet alleen gevaarlijk, maar is ook op eenvoudige manier te omzeilen.

Als E2E-encryptie sneuvelt (op wat voor een manier dan ook), dan voorzie ik dat er encryptie software wordt gemaakt waar Apple bijvoorbeeld geen controle meer over heeft en die men gewoon op een Apple product kan installeren. Dan kunnen ze altijd bij Apple zeggen dat men de wet gehoorzaamt, maar de ontwikkelaars van third party software uit land X, zullen dan zeggen dat ze daar niet aan hoeven te houden. Er zijn in deze wereld namelijk heel veel mensen in de ICT actief die vinden dat privacy te belangrijk is om te sneuvelen. Dus als deze wet wordt aangenomen, volgt de volgende fase van de encryptie-oorlog waar deze senatoren niet zo makkelijk bij kunnen komen.
25-06-2020, 13:55 door Anoniem
Door Anoniem: "veilige backdoors", erg grappig.

Veilige backdoors zijn backdoor waarvan alleen de Amerikaanse 3-letterdiensten gebruik van kunnen maken.

Een 2FA backdoor zou best veilig kunnen zijn immers we vertrouwen ons hele hebben en houwen aan een 2FA op.
25-06-2020, 13:57 door Anoniem
Door karma4: Een brandkast wordt met medewerking van de leverancier ook gericht destructief geopend als dat nodig is, End tot end is de verkoop aanduiding voor wat de leverancier onder controle heeft. Ik zie met die leveranciersbeperking een een destructieve methode bij het forceren weinig verschil.

Er is voor encryptie ook een destructieve manier van openen, alleen kost dat teveel rekenkracht en teveel tijd. Waar dat bij een kluis waarschijnlijk minuten werk (en voldoende C4) is, werkt dit niet zo bij encryptie. Even los van wat zo'n destructieve manier met de inhoud van de kluis doet.

Als de overheid bij encrypted data kan, kan iemand anders dat ook.
25-06-2020, 13:57 door Anoniem
Door karma4: Een brandkast wordt met medewerking van de leverancier ook gericht destructief geopend als dat nodig is, End tot end is de verkoop aanduiding voor wat de leverancier onder controle heeft. Ik zie met die leveranciersbeperking een een destructieve methode bij het forceren weinig verschil.

Lulkoek van de bovenste plank, voor een "destructieve opening" hebben ze de leverancier helemaal niet nodig.
25-06-2020, 13:59 door Anoniem
Door karma4: Een brandkast wordt met medewerking van de leverancier ook gericht destructief geopend als dat nodig is,
De brandkastleverancier bouwt niet een extra sleutelgat of een bekende zwakheid in specifiek voor overheid. Ze weten wel precies hoe het ding gemaakt is. Nou, van encryptie is dat over het algemeen ook bekend. Dit is crypto 101, karma4. Je vergelijkt appels en peren en je had beter moeten weten.

End tot end is de verkoop aanduiding voor wat de leverancier onder controle heeft. Ik zie met die leveranciersbeperking een een destructieve methode bij het forceren weinig verschil.
Dat moet je jezelf aanrekenen want het is totaal wat anders.

Een welbewust ingebouwde achterdeur betekent een ingebouwde zwakheid die iedereen schaadt. Kijk naar de "TSA-goedgekeurde" baggagesloten, die met een hoofdsleutel te openen zijn dus met een handvol hoofdsleutels kun je alle bestaande sloten openen. Die hoofdsleutels werden perongeluk gelekt, dus iedereen die wil kan zelf een setje sleuteltjes maken en daarmee zonder sporen na te laten elk "TSA-goedgekeurd" baggageslot openen.
25-06-2020, 14:44 door Anoniem
Door karma4: Een brandkast wordt met medewerking van de leverancier ook gericht destructief geopend als dat nodig is, End tot end is de verkoop aanduiding voor wat de leverancier onder controle heeft. Ik zie met die leveranciersbeperking een een destructieve methode bij het forceren weinig verschil.

Een beter voorbeeld is de zgn. TSA Approved Locks, waar een extra slot op zit waarvan o.a. TSA medewerkers de sleutels bezitten.

Ik zeg: o.a., want: https://www.engadget.com/2016-07-28-tsa-master-key-3d-models.html, https://www.neogaf.com/threads/washington-post-accidentally-leaks-tsa-master-luggage-keys.1109462/, https://lock-picking.wonderhowto.com/how-to/is-why-your-tsa-approved-luggage-locks-are-useless-0164446/

Warrant-friendly encryption: Useless in 5, 4, 3, 2, 1
25-06-2020, 14:45 door Anoniem
Jammer dat vrijwel niemand hier serieus reageert op een serieus onderwerp.

In het vrije westen is het normaal dat een rechter kan besluiten dat je afgeluisterd word. Privacy is belangrijk, maar er kunnen situaties zijn waarin we besloten hebben dat er de mogelijkheid moet zijn om die in te perken. Misbruik daarvan borgen we via een rechter.

Met de komst van E2E encryptie is dat om zeep geholpen.
Het is niet zo'n vreemde gedachte om te proberen dat recht te zetten. En het is ook geen raar idee om een soort wedstrijd te organiseren om daar een goede oplossing voor te verzinnen.

Het probleem is natuurlijk dat we wellicht de Nederlandse rechters vertrouwen, maar niet die in andere landen. En ook voor de VS zal gelden dat ze wel hun rechters vertrouwen maar niet die van anderen.
Zelfs al zou je een goede technische oplossing kunnen bedenken, dan zal die maar voor één land acceptabel zijn en dat is dus niet werkbaar.

En je kunt uiteraard ook niet voorkomen dan mensen eigen encryptie tools installeren. Het is immers simpel genoeg te maken.

Dus ik snap de gedachte van de senatoren, en er is best wat voor te zeggen, maar het is met de beste wil van de wereld niet te regelen.
Dat feit uitleggen is een stuk nuttiger dan doen of ze gestoord zijn.
25-06-2020, 14:53 door Anoniem
Door karma4: Een brandkast wordt met medewerking van de leverancier ook gericht destructief geopend als dat nodig is, End tot end is de verkoop aanduiding voor wat de leverancier onder controle heeft. Ik zie met die leveranciersbeperking een een destructieve methode bij het forceren weinig verschil.
Het verschil tussen een brandkast en een versleuteld bericht, is dat het ene fysiek is, en het andere digitaal. Bij een fysiek element kan je altijd aanwijzen wat de zwakste plek is, om vervolgens te proberen die plek open te breken. Digitaal gaat dat niet werken. Encryptiealgoritmen zijn al publiek, en er wordt dan ook op grote schaal gekeken of ze zwakten hebben.

Bij (op het moment) veilige algoritmen is het echter zo dat de zwakste schakel, de sleutel is en zelfs die is bij enige complexiteit dusdanig sterk dat het kraken ervan (onacceptabel) lang duurt. Het is dan niet mogelijk om te zeggen "laat mij een kwetsbare plek zien." Die is namelijk op het moment al bekend.
25-06-2020, 14:59 door Anoniem
Door Anoniem: "veilige backdoors", erg grappig.

Dat is nog niets. Ken je die mop van de terugroepactie van 'TSA approved locks' toen de lopers op straat kwamen te liggen...? Dat is pas een giller.
25-06-2020, 16:10 door Anoniem
End to end-to-end-encryption?
Daarmee is het einde zoek van wat voor vrijheidsbeperkende gevolgen dit gaat hebben.
25-06-2020, 16:20 door Anoniem
Beste en zeer gewaardeerde lezers van deze draad,

Je moet het ook eens op de volgende manier bekijken.
Bij elke jacht is er een mogelijkheid dat de prooi aan de jager of jachthonden ontkomt.
Maar je moet ook juist jagen, dus de valkenier gebruikt geen dweil van een buizerd, maar een goed afgerichte valk.
Roofvogels zijn nu eenmaal gerekend tot de meest intelligente dieren ter wereld.
Maar ook bij hen is elke actie is niet bij voorbaat een geslaagde.
Niet elke grote en niet elke kleine (cyber)crimineel wordt gevat.

Er zijn nog andere manieren om zoiets te bereiken zonder het doorbreken van of afzwakken van encryptie-standaarden.
Met kennis van bestaande legitieme detectiemethoden. Gebruik deskundigen en geef ze de waardering, die ze verdienen.
Hoe iedereen zo veilig mogelijk met goede e2e encryptie.

Ik denk dat het infilteren van bijvoorbeeld ransomware cybercriminele organisaties van binnen uit veel meer opbrengt.

Het idee is dan ook een big surveillance behoefte, men wil met alle whatsappjes kunnen meelezen 'onder het mom van".
Zeg dat dan ook, wees eerlijk in je agenda en doe het niet zogenaamd vanwege het "p en t" probleem.

Als e2e encryptie doorbroken wordt is dat ook slecht voor al onze bedrijven en instituties, die op info zitten, die ze niet met concurrenten willen delen. Alles kan niet van ene kant komen, dat moeten die Yanken eens leren begrijpen.
Een vertrouwen reeds verloren, blijft ook voor de toekomst verloren.

luntrus
25-06-2020, 16:25 door Anoniem
Door Anoniem:
Door Anoniem: "veilige backdoors", erg grappig.

Veilige backdoors zijn backdoor waarvan alleen de Amerikaanse 3-letterdiensten gebruik van kunnen maken.

Een 2FA backdoor zou best veilig kunnen zijn immers we vertrouwen ons hele hebben en houwen aan een 2FA op.

Zal wel, wat ik meer bedoelde : hoezo denken ze dat hun PC waar de code op staat niet word gehackt ?
25-06-2020, 16:38 door Anoniem
Door Anoniem: Jammer dat vrijwel niemand hier serieus reageert op een serieus onderwerp.
Dit is de zoveelste herhaling van een gevecht dat al jaren terug beslecht is en de laatste paar jaar ieder halfjaar weer opgevoerd wordt door allerlei huilclubjes. De positie van de versleutelaars is al jaren precies hetzelfde, die baseert zich op de logica van het domein, en geen enkele afwiltapper komt met een beter argument dan "maar ik wil het toch!"

Zie ook het argument dat "het debat niets opgelevert heeft" van de encryptiewegwensers. Het probleem is doodeenvoudig dat er met de wiskunde niet te onderhandelen valt. Net zoiets als een stopbord voor een gletcher plaatsen. Leuk, maar het zal die gletcher worst wezen.

In het vrije westen is het normaal dat een rechter kan besluiten dat je afgeluisterd word. Privacy is belangrijk, maar er kunnen situaties zijn waarin we besloten hebben dat er de mogelijkheid moet zijn om die in te perken. Misbruik daarvan borgen we via een rechter.
Afluisteren kan alleen maar omdat de bescherming van je telefoonlijn bestaat uit een wet die zegt dat het niet mag.

Met de komst van E2E encryptie is dat om zeep geholpen.
Dat is een reactie op het om zeep helpen (of liever compleet afwezig zijn) van de bescherming van je data in een wereldwijd netwerk. Het internet is altijd al "end-to-end" geweest, d.w.z. dat het netwerk pakketjes heen-en-weer schuift maar niets met de inhoud doet, alle verdere logica zit in de eindpunten. Contrasteer met een telefoonnetwerk, waar dat andersom is.

Het is niet zo'n vreemde gedachte om te proberen dat recht te zetten.
Alleen werkt dat niet zo. De informatieveiligheidslogica en de wiskunde waaruit encryptie is opgebouwd staan dat niet toe.

Als je even nadenkt dan zie je dat vanzelf, en verder is het in vergelijkbare onderwerpen op deze site al minstens een dozijn keer uitgelegd.

En het is ook geen raar idee om een soort wedstrijd te organiseren om daar een goede oplossing voor te verzinnen.
Dit is de "wij weten het ook niet"-"oplossing", zo van vraag het dan in godsnaam maar het brede publiek. Maar ook die kunnen de wiskundige realiteit niet zomaar even aanpassen.

Nu ik erover nadenk, dit stinkt naar een politieke "pretext" om later de boel gewoon door te drukken. "Ja we hebben jullie de kans gegeven het probleem op te lossen, maarja hebben jullie niet gedaan dus nu maar braaf op de blaren zitten." Wat vreselijk vals is in het licht van "proberen te onderhandelen met wiskunde". Want het komt neer op anderen de schuld te geven van je eigen wensdenken.

Het probleem is natuurlijk dat we wellicht de Nederlandse rechters vertrouwen, maar niet die in andere landen. En ook voor de VS zal gelden dat ze wel hun rechters vertrouwen maar niet die van anderen.
Ook de eigen rechters en de eigen politie kun je niet vertrouwen, zie allerlei akkefietjes als "de wisknop niet kunnen vinden", perongeluk(expres) anonieme bronnen toch de naam van lekken, politiemensen die uitgebreid voor criminele vrindjes in politiegegevens gingen snuffelen, en weet ik het wat allemaal meer.

Maar zelfs dat is eigenlijk het punt niet. Stel je maakt zo'n achterdeur. Dan weet iedereen dat'ie bestaat. Dus gaan er mensen naar op zoek. En er zullen mensen zijn die 'm ook zullen vinden. Mischien publiceren ze 'm. Mischien niet. Ik weet niet wat erger is, maar bottom line is altijd weer: Je kan je eigen encryptie nu niet meer vertrouwen.

Zelfs al zou je een goede technische oplossing kunnen bedenken, dan zal die maar voor één land acceptabel zijn en dat is dus niet werkbaar.
Dat loopt wel los. Stel zo'n ding is mogelijk, dan kun je dat specificeren en onderling afspreken dit ene ding te gebruiken, alleen heeft ieder land zijn eigen "lawful intercept"-sleutels. Het wordt pas een probleem als je met een niet-zo-goede technische oplossing in zee gaat, want dan kan iedereen meekijken en niet alleen jij. Het probleem is dus botweg dat een goede technische oplossing onmogelijk is. Het kan gewoon echt niet.

Daarnaast is het onwenselijk, ook binnen één land, zie discussie rond de "clipper chip". Precies hetzelfde verhaal. Kijk ook even wanneer dat speelde.

En je kunt uiteraard ook niet voorkomen dan mensen eigen encryptie tools installeren.
Inderdaad.

Het is immers simpel genoeg te maken.
Dat is niet helemaal waar. Het is niet heel moeilijk om een bestaand algorithme te implementeren. Het correct doen en verdedigen tegen bijvoorbeeld zijkanaal-aanvallen is nog even iets anders. Maar er is ondertussen genoeg aan documentatie en implementaties te vinden dat encryptie-zonder-achterdeur uitroeien zelfs in China niet echt doenlijk is. En een nieuw algorithme bedenken en implementeren moet je ervaren encryptiebrekers laten doen, die hun werk om te beginnen door een andere ploeg ervaren encryptiebrekers laten nakijken. Één klein foutje kan je al heel je veiligheid kosten.

Dus ik snap de gedachte van de senatoren, en er is best wat voor te zeggen, maar het is met de beste wil van de wereld niet te regelen.
Dat feit uitleggen is een stuk nuttiger dan doen of ze gestoord zijn.
Ze zouden onderhand beter moeten weten. Deze discussie is helemaal niet nieuw. Ze hebben dus de propaganda van de FBI en andere TLAgencies geloofd en proberen een compromis te sluiten... denken ze. Het correcte antwoord dat ze de lobbyisten hadden moeten geven is "wat je wil kan niet, dus hoepel op". Maarja, daar hebben ze dan weer noch de ruggegraat noch de kennis voor. Terwijl zeker die kennis ondertussen breed bekend hoort te zijn en helemaal bij senatoren die in commissietjes zitten die precies daar over gaan.

Maargoed, je wilt een constructieve houding. Dit heb ik naar de drie senatoren gestuurd, gisteren en nog voor dit bericht op deze site stond (met extraveilige drievoudige rot13 versleuteld tegen zoekacties):


Qrne Frangbe,

V jnag lbh gb xabj gung "ynjshy npprff gb rapelcgvba" vf ABG gur pbzchgre-l rdhvinyrag bs gnccvat cubarf. Gb jvg: Gur bayl cebgrpgvba cubar yvarf unir vf ynjf fnlvat "qba'g gnc guvf". Naq vg vf rnfl naq unezyrff gb fnl "rkprcg jvgu n jneenag". Abg fb jvgu rapelcgvba.

"Ynjshy npprff gb rapelcgvba" erdhverf rvgure jrnxravat gur zngurzngvpf bhg bs juvpu gur rapelcgvba vf ohvyg, be hfvat rkgen xrlf xrcg nebhaq whfg va pnfr ynj rasbeprzrag jnagf n ybbx-frr. Rvgure jnl, lbh unir n onpxqbbe gung vf abj xabja gb rkvfg. Rvgure gur zngu vf jrnx, be gur gnccvat xrlf trg birehfrq naq orpbzr oernxnoyr. Rvgure jnl, crbcyr jub fubhyq abg jvyy nyfb tnva guvf "ynjshy npprff". Orpnhfr vg rkvfgf naq vf xabja gb rkvfg, rirelobql jvyy ybbx sbe vg. Fbzr jvyy svaq vg.

Naq gung vf orsber jr pbafvqre gung fbzrgvzrf gur ynjshy crbcyr ner abg fb ynjshy. Gung vf, znlor gur xrlf jvyy yrnx, whfg yvxr gur GFN-nccebirq yhttntr ybpxf znfgre xrlf qvq. Naq vs gung unccraf nyy pheerag, cnfg, naq shgher pbzzhavpngvbaf znqr "ynjshyyl npprffvoyr" hfvat gubfr xrlf jvyy or vafgnagyl ihyarenoyr gb nalbar jub tbg gur xrlf. Gung vf na rabezbhf ibyhzr bs pbzzhavpngvbaf. Vg fcryyf "whvpl gnetrg" va zvyr uvtu synzvat yrggref.

Naq vg trgf jbefr. Va erfcbafr gubfr jubfr pbzzhavpngvbaf lbh jnag zbfg gb ynjshyyl npprff jvyy oevat gurve bja rapelcgvba, jvgubhg onpxqbbe, naq gubfr jub qrfreir rapelcgvba'f shyy cebgrpgvba jvyy erznva orersg.

Lbh pnaabg cbffvoyl sbepr guvf vffhr jvgubhg yrnivat lbhe ynj-novqvat pvgvmraf bhg va gur pbyq unefu jbeyq bs vafrpher rapelcgvba.

Rvgure gur onq thlf trg rapelcgvba naq gur tbbq thlf qba'g, be rirelbar trgf rapelcgvba. Bar be gur bgure, ab bgure cbffvovyvgvrf rkvfg. Fb nalobql jub qbrfa'g ungr ynj-novqvat pvgvmraf cvpxf... jung ntnva?

Lrf, V xabj jung gur SOV jnag. V xabj jung gur erfg bs gur guerr yrggre ntrapl fbhc jnagf. Ab, abar bs jung gurl jnag be cebzvfr vf eryrinag. Gur dhrfgvba vf nf fgngrq. Jung qb lbh cvpx?
25-06-2020, 17:04 door Anoniem
Nu al niet slim om 100% op Amerikaanse tools te vertrouwen. Zoiets als het recente Mozilla VPN is ook erg af te raden met dit in gedachten. Beter rechtstreeks naar Mullvad.
De US is nu écht aan het degraderen. Slechts het land of the free martial law en foodstamps. Europa is nu al samen met China koploper in technische ontwikkeling. Amerika rest slechts de hoogmoed en hoogwaardig technisch wapentuig: Een land in verval.
25-06-2020, 17:09 door Anoniem
Door karma4: End tot end is de verkoop aanduiding voor wat de leverancier onder controle heeft.
Dat wetsvoorstel heeft het niet over verkooppraatjes maar over versleuteling die alleen de twee communicerende partijen, de eindpunten van de communicatie dus, kunnen ontcijferen. Wat men wil is de leverancier verplicht stellen het ook te kunnen ontcijferen als de leverancier zelf niet een van de eindpunten is. Men wil niet een einde aan een marketingterm maar een einde aan feitelijke end-to-end encryption. Als het alleen om de marketingterm ging dan had men geen reden gehad om dit wetsvoorstel in te dienen.
25-06-2020, 19:02 door Anoniem
Linsey Graham wil weten wie hem pest met zijn meisjesnaam.

Eerder deed Putin al Protonmail in de ban. Die Zwitser met zijn bergbunker is aardig anti-Amerikaans ook dus daar zit je goed qua privacy.

Maar je zult zien dat onder Caesar en de Reps er een steeds totalitairder beleid gaat waaien. Das op zich niet eens een ramp als het beneficial was maar het is de ene ramp na de andere. De democratie wordt uitgehold en de ingeleverde rechten krijgen onze Amerikaanse vrienden nooit meer terug.

Voor PGP is er al sinds het begin debat over key escrow. Als ze in de VS hier op doordrammen zijn wij het haasje want dan zitten we tussen 2 grootmachten in die allebei dirty games spelen met provocaties en zelfs terreur om maar van dat slotje af te komen. 8chan een voorbeeld en de infiltratie met antisemite bots op GAB is een ander voorbeeld. Als je een vrij platform opzet hier geniet je geen enkele bescherming. Ze flooden je platform en een Manchurian gek schiet dan wat mensen dood... en voila een smet op het platform en Twitter is weer gered.
25-06-2020, 20:42 door Anoniem
Oftewel er moet overal een achterdeur in ingebouwd worden. Dat is de enige manier waarop dit geregeld kan worden.

De kwaaien gebruiken vervolgens een extra laagje encryptie om onder de radar te blijven, en de goeien blijven over met een product waarvan de overheid verplicht heeft dat er een achterdeur in moet waar we dan maar van moeten vertrouwen dat de overheid de sleutel echt heel goed onder de mat verstopt heeft, hoor.
25-06-2020, 23:54 door Anoniem
De spoeling wordt idd erg dun met vrije landen. Met dit in het achterhoofd is de groep ict-ers en privacy-respectabelen klein tov het totaal aantal eindgebruikers. Voormalig vrije platforms, en zeker de allergrootsten, kun je definitief als gemuilkorfd beschouwen. Dus het aantal gebruikers dat zich laat muilkorven en zich digitaal veilig waant bij Google, de isp, de overheid, hun corona-app, etc. is het grootst. Ruim 85% denk ik. Dat aantal daalt (nog) erg langzaam. Maar ik denk dat overheden en grote advertentiebedrijven het allang best vinden als het aantal schapen boven de 60% blijft. Dus dit blijft nog wel even voortkabbelen. Overigens: Privacy krijg je nooit en heb je nooit gehad. Privacy moet je pákken.
26-06-2020, 06:53 door Anoniem
Door Anoniem: Tsja... je wordt natuurlijk geen senator omdat je zo goed kon leren.
Er bestaat niet zoiets als een 'veilige backdoor'.

Als veesboek, crapple, choochel of wie dan ook bij mijn data kan, is het daarmee onveilig. Ingewikkelder dan dat wordt het niet...

Dus iedereen met gezond verstand, zal dan opnieuw de afweging moeten maken of je je gevoelige data wel wilt opslaan bij een oplossing of bedrijf waar een achetrdeur in zit.

Opties:
- Alsnog zelf encrypten met een tool waar geen achterdeur in zit, en niet USA based is. Lang leve de wereld economie en het "vrije" internet.
- De data offline opslaan (bv op een air-gapped computer).
- Andere (analoge) versleutel manieren gebruiken. (ie een variant van pig latin, woorden of letters in een specifiek boek, etc)
26-06-2020, 06:58 door Anoniem
Door Advanced Encryption Standard: Dus als deze wet wordt aangenomen, volgt de volgende fase van de encryptie-oorlog waar deze senatoren niet zo makkelijk bij kunnen komen.

Jawel, dan dienen ze een wet in die het verbied om niet-maerikaanse encryptie methoden te gebruiken.

Een wet indienen (en aannemen) is makkelijk. De wet afdwingen (buiten je eigen landsgrenzen) is moeilijker.
Maar daar maken politici zich meestal minder druk op.

"Land of the Free and the Brave", etc, etc
26-06-2020, 09:02 door Anoniem
Door Anoniem: Het lijstje voorstanders is bekend. Nu even hun medische gegevens, namen van geheime vriendinnen of vrienden en hun niet aangegeven neveninkomsten openbaar maken ... Ieder week één persoon.
Hoelang zijn ze dan nog voor?

Zo komen we natuurlijk wel de belastingaangiften van Donald te weet !

Exact, wat zal men zich snel bedenken.

Verder maak je je op die manier ook enorm kwetsbaar voor statelijke actoren en bedrijfsspionage. Begrijpt men nu écht niet dat als de Amerikaanse inlichtingendienst dit kan, alle inlichtingendiensten dit kunnen? Security through obscurity is een al tientallen jaren achterhaald concept.

Naast statelijke spionage zet dit ook de deur voor bedrijfsspionage wagenwijd open. Als we dit in Nederland toepassen, dan hebben over één of twee jaar later de Chinezen, Russen en Amerikanen alle commercieel vertrouwelijke gegevens van Philips, ASML, TNO, Shell, Galapagos en ga zo maar door in handen.

Zo zie je maar weer dat er op politiek niveau veel wordt geroepen zonder écht inhoudelijke kennis. Politiek en IT, wat een drama......
26-06-2020, 10:00 door Anoniem
Door Anoniem: Beste en zeer gewaardeerde lezers van deze draad,

Je moet het ook eens op de volgende manier bekijken.
[...]

Als e2e encryptie doorbroken wordt is dat ook slecht voor al onze bedrijven en instituties, die op info zitten, die ze niet met concurrenten willen delen. Alles kan niet van ene kant komen, dat moeten die Yanken eens leren begrijpen.
Een vertrouwen reeds verloren, blijft ook voor de toekomst verloren.

luntrus

Tja, ik hoop dat men snel begrijpt dat dit de grootste knieval richting noord Korea en andere schurkenstaten (en terroristische organisaties) is: die hebben na invoering nog nooit zo ongestoord toegang gehad tot alle data in de US. Immers, de encryptie is breekbaar.

En niet alleen vertrouwelijkheid down-the-drain, ook bv. HMAC als methode om integriteit/onweerlegbaarheid aan te tonen wordt dan natuurlijk verboden (want bevat niet-kraakbare encryptie). En Bitcoin, en...

Kortom, de schijnbare beperkte voordelen worden overschaduwd door gigantische nadelen
26-06-2020, 11:11 door karma4 - Bijgewerkt: 26-06-2020, 11:18
Door Anoniem: ... Als het alleen om de marketingterm ging dan had men geen reden gehad om dit wetsvoorstel in te dienen.
De vraag die je moet stellen:
- Wie heeft de sleutels en codes?
- Hoe lang moet een bericht veilig zijn?
Met dat laatste kom je aan het enigma verhaal. De codering encryptie is nooit gekraakt, het waren het gebruik van herhaalde indicatoren (een weerbericht) en code boeken welke voldoende ware om veel op tijd mee te lezen.
Met een groter tijdsvertraging was de ontsleuteling van berichten niet meer nuttig geweest.

Door Anoniem: Het verschil tussen een brandkast en een versleuteld bericht, is dat het ene fysiek is, en het andere digitaal. Bij een fysiek element kan je altijd aanwijzen wat de zwakste plek is, om vervolgens te proberen die plek open te breken. Digitaal gaat dat niet werken. Encryptiealgoritmen zijn al publiek, en er wordt dan ook op grote schaal gekeken of ze zwakten hebben.

Bij (op het moment) veilige algoritmen is het echter zo dat de zwakste schakel, de sleutel is en zelfs die is bij enige complexiteit dusdanig sterk dat het kraken ervan (onacceptabel) lang duurt. Het is dan niet mogelijk om te zeggen "laat mij een kwetsbare plek zien." Die is namelijk op het moment al bekend.

Volgens mij is dit het echte verschil:
- Bij een brandkast heeft de eigenaar van de brandkast de sleutel en code en niemand anders.
De leverancier niet, degene die er wat in laat bewaren niet, de vervoerder niet.
- Bij een versleuteld berecht heeft de eigenaar van het bericht geen sleutel of code.
Hij gaat uit de leverancier vervoerder en degenen die ergens wat opslaan dat vertrouwd zonder controles doen.

Die zwakke plek is eenvoudig aan te wijzen.
Het gaat niet om het staal of de bepantsering, de wijze van het gebruik wat de zwakste plek is. Geef je de sleutels codes af, voor high privileged accounts geld het zelfde, dan moet je niet gek staan te kijken dat er creatief gebruik van wordt gemaakt.
De hele vraag voor breken van encryptie zal wegebben als het enkel destructief fysiek geleverd wordt.
26-06-2020, 13:12 door Anoniem
Door karma4:
De vraag die je moet stellen:
- Wie heeft de sleutels en codes?
- Hoe lang moet een bericht veilig zijn?
Met dat laatste kom je aan het enigma verhaal. De codering encryptie is nooit gekraakt, het waren het gebruik van herhaalde indicatoren (een weerbericht) en code boeken welke voldoende ware om veel op tijd mee te lezen.
Met een groter tijdsvertraging was de ontsleuteling van berichten niet meer nuttig geweest.

De enigma codering was wel degelijk brute force gebroken. Met deze machine:
https://nl.wikipedia.org/wiki/Colossus_(computer)
26-06-2020, 13:12 door Anoniem
"Dergelijk "warrant-proof" encryptie voegt weinig toe aan de beveiliging van de communicatie van normale gebruikers

Dat is dus al niet waar. Het voegt heel veel toe. Het haalt 1 van de 3 mogelijk punten van compromittering weg (en van een partij die functioneel gezien geen toegang hoeft te hebben). Dat gewone mensen geen behoefte hebben aan beveiliging is niet waar.

Verder zet het de deur open naar bedrijfsspionage vanuit de VS. Wagenwijd.

Ook is het nog steeds mogelijk om endpoints (de zender of ontvanger) "te hacken" en de berichten af te tappen.
26-06-2020, 15:35 door Anoniem
In laatste instantie helpt dan alleen terughoudendheid.
Deel niet met het Internet wat voor informatie dan ook, die je niet gedeeld wil zien.

Simpel als 1 + 1 = 2 en soms betekent dat 3 en soms geeneens geen 2.
Elke gedeelde informatie moet beschouwd worden als "ontsnapte" informatie.

Ga er in eerste instantie vanuit dat alles wat je aan het internet toevertrouwt,
voor vrijwel iedereen op deze planeet toegankelijk is of kan zijn, en je hebt de juiste grondhouding te pakken.
Kwestie van requests & replies. Zie uw snifferlogs.

luntrus
27-06-2020, 09:09 door Anoniem
Door karma4: - Bij een versleuteld bericht heeft de eigenaar van het bericht geen sleutel of code.
Dan is het dus geen "end-to-end" encryptie. Dan is het "vertrouw ons nou maar."

Dat laatste hebben we het niet over, het gaat om dat eerste. Dan hebben verzender en ontvanger dus wèl een encryptiesleutel in handen, en de tussenliggende infrastructuur níet.

Dat is je al eerder uitgelegd dus waarom je vast blijft zitten in deze onzin ontgaat me een beetje.
27-06-2020, 17:00 door Anoniem
Het wordt hoogtijd dat de waanzin vanuit de VS met Trump en de GOP stopt. Het loopt met quasi alles mis - kortzichtigheid is troef. En nu met de pandemie - misbruikt men dat om in de achtergrond misdadige plannen uit te voeren.
28-06-2020, 11:55 door karma4
Door Anoniem: .....Dat is je al eerder uitgelegd dus waarom je vast blijft zitten in deze onzin ontgaat me een beetje.
Wlek gebruikers hebben de sleutels dan ik ken er geen een? De gebruikers wijzen allemaal naar de dienstverlener Apple facebook singal Ennetcom die het wel voor ze regelt.
Ik begrijp dat niet, dat willen vasthouden als de dienstverlener de sleutel heeft dat dan jij beschermd bent.
Ja het is makkelijk, je hoeft zelf niet na te denken. Ja je kan er lekker mee verdienen door bepaalde klanten op te zoeken, nu een goed argument dat ook ethisch is aub.
28-06-2020, 12:11 door karma4
Door Anoniem: De enigma codering was wel degelijk brute force gebroken. Met deze machine:
https://en.wikipedia.org/wiki/Colossus_computer
lees het verhaal, Turing gebruikte de Bomb niet de colossus. Ze waren daarbij afhankelijk van een dagelijks herkenbaar bericht. De colossus was niet gericht op de enigma maar op de tunning .
29-06-2020, 10:26 door Anoniem
Door karma4:
Door Anoniem: De enigma codering was wel degelijk brute force gebroken. Met deze machine:
https://en.wikipedia.org/wiki/Colossus_computer
lees het verhaal, Turing gebruikte de Bomb niet de colossus. Ze waren daarbij afhankelijk van een dagelijks herkenbaar bericht. De colossus was niet gericht op de enigma maar op de tunning .

Wie heeft het hier over Alan Turing? Jij bent de eerste die hem noemt in deze draad.
En je hebt mijn link vernacheld. Mijn link ging naar een andere pagina op wikipedia.org.

Het ging mij vooral om het plaatje en het feit dat de machine hoog parallel was. Waar denk je dat die voor gebruikt werd? Om de parkeerplaats te verwarmen?

Door Alan Turing spreken we in Nederland nog steeds Nederlands en niet Duits. Het is een schande dat deze man zo onder druk is gezet door zijn overheid dat hij zelfmoord moest plegen.

Anoniem 13:12
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.