image

EU-raad wil toegang tot versleutelde data met techbedrijven onderzoeken

dinsdag 1 december 2020, 10:54 door Redactie, 49 reacties
Laatst bijgewerkt: 02-12-2020, 09:12

Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen. Daarover heeft de Europese Raad een resolutie opgesteld die over twee weken wordt besproken. De Raadsresolutie Encryptie vormt volgens minister Grapperhaus van Justitie en Veiligheid het startpunt om samen met techbedrijven en andere partijen een onderzoek te doen naar de technische mogelijkheden om toegang tot versleutelde data te krijgen.

De Raadsresolutie Encryptie wordt op 14 december besproken door de Raad Justitie en Binnenlandse Zaken (JBZ). De JBZ-raad bestaat uit de ministers van Justitie en Binnenlandse Zaken van de EU-lidstaten die een aantal keren per jaar vergaderen. De raadsresolutie staat onder andere stil bij de "belemmerende, beperkende werking van versleuteling op de mogelijkheden van bevoegde autoriteiten om de maatschappij en haar burgers veilig te houden", zo stelt Grapperhaus, die toevoegt dat encryptie ook misbruik wordt door criminelen.

Volgens de minister zijn opsporingsdiensten steeds meer afhankelijk van toegang tot digitale gegevens, terwijl versleuteling de toegang tot digitale gegevens uitdagend of praktisch onmogelijk maakt. "Dit raakt de effectiviteit van onder meer de aanpak van terrorisme, georganiseerde misdaad, kindermisbruik en cybercrime", merkt Grapperhaus op.

De raadsresolutie heeft als uitgangspunt dat de bevoegde autoriteiten hun wettelijke taak moeten kunnen uitvoeren, zowel online als offline. Om dit mogelijk te maken wordt er in de EU samen met techbedrijven en andere relevante partijen onderzocht welke technische oplossingen er zijn om effectief inzicht te kunnen verkrijgen in versleutelde data. "Het gaat om een oplossing voor bevoegde autoriteiten waarbij op een gerichte manier toegang moet kunnen worden verkregen, met respect voor fundamentele rechten en data-protectie wetgeving en behoud van cybersecurity", legt de minister uit.

Kabinetsstandpunt

Grapperhaus stelt dat de resolutie past binnen het kabinetsstandpunt over encryptie. In 2016 kwam het kabinet met een standpunt over encryptie, dat het op dit moment geen 'beperkende wettelijke maatregelen' wil nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.

"Het kabinetsstandpunt op encryptie van 2016 stelt dat met dienstverleners op zoek kan worden gegaan naar nieuwe oplossingen voor effectieve gegevensverstrekking. Bij de inventarisatie van de Unie wordt gestreefd om binnen de kaders van het kabinetsstandpunt te blijven", maakt de minister duidelijk. "Ik constateer dat met de resolutie geen onomkeerbare stappen worden gezet en de proportionaliteit, noodzakelijkheid, legaliteit en niveau van transparantie van oplossingen wordt later beoordeeld."

Vragen

Binnen de vaste commissie voor Justitie en Veiligheid van de Tweede Kamer zijn er de nodige vragen over de raadsresolutie. Zo vindt de VVD-fractie dat het sleutelen aan end-to-end encryptie niet zonder gevaren is en serieuze veiligheidsrisico’s met zich meebrengt. De D66-fractie maakt zich zorgen over het verzwakken van encryptie en wil meer informatie over de "technische oplossingen" waarover wordt gesproken.

"Deelt u de mening dat, zodra er een achterdeur bestaat in encryptie, dit niet alleen berichten toegankelijk maakt voor opsporingsdiensten maar ook voor criminelen en inlichtingendiensten van kwaadwillende landen? Deelt u de mening dat encryptie dan zijn nut verliest?", vraagt de D66-fractie aan Grapperhaus.

Reacties (49)
01-12-2020, 11:09 door Anoniem
Hey, grapperwaus... Jullie bij de overheid lopen toch zelf zo te drammen dat alles digitaal moet.
IK hoef niet zo nodig. Niks mis met een brief.

Dan nu niet gaan piepen dat het tegen je werkt. Het werkt ook tegen mij!
01-12-2020, 11:24 door Anoniem
Ondertussen hebben de Amerikanen vijf quantum-centra opgericht en borduren ze nog even verder met Pegasus.

J&V loopt 3 stappen achter, of misschien wel meer.
01-12-2020, 11:50 door Anoniem
Het probleem is en blijft, dat als wij, de VS of andere landen dit voor elkaar krijgen, dit ook in handen komt van ons minder welgevallige regimes. Dat is werkelijk niet goed op te lossen - VS heeft wapendeal van 100 miljard met Saudi-Arabië, denken wij nu werkelijk dat daar eventuele cyber wapens en decryptie tech niet ook onderhands beschikbaar gesteld wordt??
01-12-2020, 12:10 door Anoniem
Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen.

Het enige antwoord is nee. Encryptie met een achterdeur is geen encryptie. Het fundamentele principe is de zekerheid dat alleen jij en een ander bij gegevens kunnen en als dat principe doorbroken wordt, moet je ervan uitgaan dat de hele wereld erbij kan.

Het is overigens weer een voorbeeld van Grapperhaus die resoluut tegen het kabinetsstandpunt ingaat en zijn eigen agenda uitwerkt. Hij probeert dat nog te verbloemen met een halfbakken verhaal dat zijn handelen er strikt genomen niet permanent tegenin gaat, maar een minister die zich niet door het kabinet laat vertellen wat hij moet doen is niet geschikt voor zijn taak. Grapperhaus plaatst zich buiten de rechtsstaat en vormt er tegelijk een enorm risico voor vanwege zijn drive deze te ondergraven.

Inmiddels moet je je toch gaan afvragen of hij daadwerkelijk intrinsiek gemotiveerd is of dat er een partij is die hem in zijn zak heeft. Een dergelijke stelselmatige kruistocht komt niet uit de lucht vallen.
01-12-2020, 12:15 door [Account Verwijderd] - Bijgewerkt: 01-12-2020, 12:18
Volgens de minister zijn opsporingsdiensten steeds meer afhankelijk van toegang tot digitale gegevens, terwijl versleuteling de toegang tot digitale gegevens uitdagend of praktisch onmogelijk maakt. "Dit raakt de effectiviteit van onder meer de aanpak van terrorisme, georganiseerde misdaad, kindermisbruik en cybercrime", merkt Grapperhaus op.
Dit is dus onzin. De opsporingsdiensten hebben onlangs een compleet crimineel netwerk opengebroken en de versleutelde berichten ontsleuteld. Dus waar zinnen deze politici hier op? Moet ik uit de woorden proeven dat straks iedereen een bezoek van dhr. Grapperhaus cum suis krijgt, ook als er niets aan de hand is?
01-12-2020, 12:20 door Anoniem
Tja ze schijten toch op de grote hoop,encryptie verzakken werkt niemand aan mee. Dit omdat encryptie niet voor niks is uitgevonden. Dus mensen die VPN gebruiken,en de bedrijven die die service bieden, zullen alleen hun producten gaan verbeteren. Daarmee wordt Encryptie nu nog juist veiliger tegen pottenkijkers uit landen bijvoorbeeld met een dictatoriaal regime.
01-12-2020, 12:27 door Anoniem
Door Security is Security:Dit is dus onzin. De opsporingsdiensten hebben onlangs een compleet crimineel netwerk opengebroken en de versleutelde berichten ontsleuteld. Dus waar zinnen deze politici hier op?
En vergeet niet dat dat criminele communicatie netwerk zich sowieso niet gaat houden aan eventuele wetgeving. Uiteindelijk zijn het onschuldige burgers die het slachtoffer gaat worden van onnodige overheidssurveillance en criminelen die makkelijker toegang krijgen tot persoonlijke data/foto's/documenten/etc. De opsporing van zware criminaliteit gaat er niet bij geholpen worden.

Laten we tegelijkertijd ook niet vergeten dat het overgrote deel van het kindermisbruik materiaal gewoon in leesbare vorm op Nederlandse servers staat opgeslagen. Wat de connectie is met encryptie ontgaat mij volledig, buiten dat het goed staat in de anti-encryptie propaganda. https://www.security.nl/posting/673577/Minister+start+met+naming+en+shaming+van+hostingbedrijven
01-12-2020, 12:36 door Anoniem
Kom kom, niet zo negatief. Een middel dat:

"Het gaat om een oplossing voor bevoegde autoriteiten waarbij op een gerichte manier toegang moet kunnen worden verkregen, met respect voor fundamentele rechten en data-protectie wetgeving en behoud van cybersecurity"

1. Volledig en onverkort behoud van het cybersecurity niveau zoals gegarandeerd door de huidige encryptie tegenover alle andere onbevoegde partijen garandeert.
2. Controleerbaar voldoet aan de voorwaarden van respect voor de fundamentele rechten en data protectie.

Zou niet verkeerd zijn.

Er even van uitgaand dat hun deskundigheid goed is, zullen ze ongetwijfeld met iets kunnen komen dat de community over het hoofd heeft gezien en volledig aan bovengenoemde eisen voldoet...
01-12-2020, 12:39 door Erik van Straten
Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen.
Ik kan minstens drie categoriën technische oplossingen opnoemen waar verdachten niet onderuit kunnen:

1) Met een geschikte sleutel, zie https://xkcd.com/538/;
2) Een backdoor op minstens een (of meer) van de betrokken apparaten installeren;
3) Op basis van wat je van iemand weet, diens wachtwoord(en) proberen te raden.

Maar dat vinden de betrokken bewindslieden kennelijk onvoldoende. Van waar zij wel aan denken kan ik echter hooguit drie categoriën technische oplossingen bedenken:

4) Brute force attacks, al dan niet versneld middels cryptanalysis en/of quantum computers;
5) Uitsluitend bewust zwakke/verzwakte encryptie "toestaan";
6) Master keys (lopers) in handen van overheden en/of bedrijven.

Als categorie 4) lukt, en dat lekt uit, dan zou dat een reden moeten zijn om het gebruikte type cryptografie te verzwaren of te vervangen; immers, niet alleen betrouwbare overheden (voor zover die bestaan) kunnen dat dan. Daarmee is 5) natuurlijk ook onzinnig. Maar sowieso pak je met 4) t/m 6) geen verstandige criminelen, want zij zullen geen crypto (meer) gebruiken waarvan bekend is dat het om een open boek voor de overheid en/of concullega's gaat (Nb. om minder op te vallen, kunnen zij "verboden" crypto verstoppen in "toegestane" crypto). Veel erger dan dat je er hooguit enkele stomme kruimelcriminelen mee pakt, is dat de kans zeer groot is dat deze "oplossingen" tegen niet verdachte/onschuldige burgers worden ingezet - door criminelen en/of "onaardige" regimes.

Onbegrijpelijk dat de betrokken bewindslieden weigeren om één stap verder te denken, nl. wat de gegarandeerde gevolgen zullen zijn van de door hen voorgestelde maatregelen. Nb. als onze bewindslieden niet één stap verder kunnen denken over het door hen voorgestelde/gemaakte beleid, hebben wij de verkeerde personen gekozen.
01-12-2020, 12:42 door Anoniem
De raadsresolutie heeft als uitgangspunt dat de bevoegde autoriteiten hun wettelijke taak moeten kunnen uitvoeren, zowel online als offline. Om dit mogelijk te maken wordt er in de EU samen met techbedrijven en andere relevante partijen onderzocht welke technische oplossingen er zijn om effectief inzicht te kunnen verkrijgen in versleutelde data.
Inzicht in versleutelde data? Dat hebben ze toch?
Alle versleutelde data ligt voor het grijpen.
01-12-2020, 12:50 door Anoniem
Door Erik van Straten:
Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen.
Ik kan minstens drie categoriën technische oplossingen opnoemen waar verdachten niet onderuit kunnen:

1) Met een geschikte sleutel, zie https://xkcd.com/538/;
2) Een backdoor op minstens een (of meer) van de betrokken apparaten installeren;
3) Op basis van wat je van iemand weet, diens wachtwoord(en) proberen te raden.

...

Onze minister van Defensie deed (1), namelijk de sleutel (wachtwoord) gewoon zelf twitteren.
Zie https://twitter.com/danielverlaan/status/1329790472206888964

Dat is het niveau in Nederland.
01-12-2020, 13:02 door Anoniem
Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen.

Ja, ik kan er wel eentje bedenken. Namelijk het volgende. ls jij je email leest in de browser, is de tekst ge-decrypt. En dan zou je via een ajax post/websocket het ge-decrypte tekst terug kunnen sturen naar de server. Hierdoor wordt ge-encrypte mail dus inzichtelijk. Echter, alleen als jij het leest. Je bent er geen sleutel voor nodig. Alleen maar een sniffer op de site. En dus kan je ook alleen die mail meelezen die de gebruiker opent.

Ik vermoed dat Google dit ook doet met PGP mail. Want die kunnen ze op disk niet lezen, maar zodra jij hem opent, kunnen ze de ge-decrypte tekst alsnog terug sturen voor analyze.... my 2 cents

TheYOSH
01-12-2020, 13:20 door Anoniem
We herkennen dit uit de tijd van de zogenaamde democratische landen voor de val van de muur tijdes de uitzonderingstoestand in Polen (Stan wojenny - oorlogsuitzonderingstoestand) waar je onder elk gesprek hoorde
"Gesprek wordt gecontroleerd". Alles was staatspropaganda en de mensen wisten dat.

Het lijkt of de situatie terug gekanteld wordt, waar men daar eens onder te lijden had,
wil men nu vanuit het westen weer invoeren.

Een derde groepslid op last van onverkozen EU-comissieleden, zonder dat u dat weet, leest mee met al uw Whatsappjes.
Dat streeft men tenminste na.

Waar de ene wereldburger zo snel mogelijk uit ontsnappen wilde, dat willen anderen nu weer gaan beleven.
Rare soort, die mensensoort.

Joris Goedbloed
01-12-2020, 13:28 door Anoniem
Als de minister toegang krijgt, krijgt de cybercrimineel dat op termijn ook.
Slachtoffers - de gezamenlijke wetsgetrouwe burgerij, jij en ik dus.

Laat maar, tegen deze arrogantie is niet meer te discussieren.

Alles onder het niveau groot commercieel Internationaal bedrijf en ernaast opererende overheidsdiensten is ieder dus observatie-object en horige van het nieuwe feodale globale systeem. Je hebt niets te zeggen en je krijgt het ook nooit.

Alleen jammer dat het bovenveld top-down volledig is gecriminaliseerd en gecorrumpeerd.
Wie kun je nog tot zover achter de komma vertrouwen tegenwoordig?

Joris Goedbloed
01-12-2020, 14:10 door Anoniem
Door Anoniem: Als de minister toegang krijgt, krijgt de cybercrimineel dat op termijn ook.
Slachtoffers - de gezamenlijke wetsgetrouwe burgerij, jij en ik dus.

Laat maar, tegen deze arrogantie is niet meer te discussieren.

Alles onder het niveau groot commercieel Internationaal bedrijf en ernaast opererende overheidsdiensten is ieder dus observatie-object en horige van het nieuwe feodale globale systeem. Je hebt niets te zeggen en je krijgt het ook nooit.

Alleen jammer dat het bovenveld top-down volledig is gecriminaliseerd en gecorrumpeerd.
Wie kun je nog tot zover achter de komma vertrouwen tegenwoordig?

Joris Goedbloed

Ach, zo'n vaart zal het niet lopen. Als ze anno 2020 nog steeds lopen te vergaderen over toegang tot versleutelde data, dan heeft het een hoog Brazil (film) gehalte; veel gescheer en weinig wol. Een papieren wolk met veel vergaderingen waar niets uit komt.

Zelf in die omgeving gestaan en diverse voorstellen gedaan, waar men amper enig inzicht vertoonde en context totaal niet zag. Het traject eindigde met een furieus "Stop dat ding maar in je reet". Dikke PUNT.
01-12-2020, 14:32 door Anoniem
Door Erik van Straten: 1) Met een geschikte sleutel, zie https://xkcd.com/538/

Die methode is een variant op "rubber-hose cryptanalysis", oftewel: iemand martelen. Dat mag niet in een rechtsstaat.
01-12-2020, 14:47 door Anoniem
Door Anoniem: Kom kom, niet zo negatief. Een middel dat:

"Het gaat om een oplossing voor bevoegde autoriteiten waarbij op een gerichte manier toegang moet kunnen worden verkregen, met respect voor fundamentele rechten en data-protectie wetgeving en behoud van cybersecurity"

1. Volledig en onverkort behoud van het cybersecurity niveau zoals gegarandeerd door de huidige encryptie tegenover alle andere onbevoegde partijen garandeert.
2. Controleerbaar voldoet aan de voorwaarden van respect voor de fundamentele rechten en data protectie.

Zou niet verkeerd zijn.

Er even van uitgaand dat hun deskundigheid goed is, zullen ze ongetwijfeld met iets kunnen komen dat de community over het hoofd heeft gezien en volledig aan bovengenoemde eisen voldoet...

Als "de overheid" zich toegang weet te verschaffen, op welke manier dan ook, tot encrypted data dan zullen criminelen, mega-corporaties, en andere (vijandige?) overheden/geheime diensten dat ook kunnen.
En dan is al je data dus niet meer veilig.

Wat de de EU-raad (en de minister) aan het facilteren zijn is doorgewone (bedrijfs)spionage en criminaliteit.
En de bedrijven en gehoorzame burgers zijn hier de dupe van.

Op naar de volgende encryptie-golf.
01-12-2020, 15:09 door Anoniem
Die backdoor zal 'hooguit' op techbedrijven van lager allooy toepasselijk zijn. De welbekende met compleet lak aan de privacy van hun eindgebruikers: zoals Google, Facebook, Microsoft, etc.
Niet voor niets hebben deze bedrijven hun Europese vestiging in Ierland met -op zijn zachtst gezegd- een nogal rubberen rechtsysteem. Makkelijk te ringeloren door aan de ene kant de nsa en Europese 'veiligheidsdiensten' en aan de andere kant de schatrijke techbedrijven. (Het belastingparadijs dat het is buiten beschouwing latend).

Dus in de praktijk zal er niet veel veranderen. Je zal alleen alerter moeten zijn op affiliates en verschillende jurisdicties bij je keuze van bijv. encrypted vpn-providers en mailserver met pgp.
01-12-2020, 15:19 door Anoniem
Menselijke gedachtes werken als een magnetisch veld (energie)
en gedachtes zijn uit te lezen met het toekomstig wifi.

Mensen die metalen delen in hun gezicht of lichaam hebben
vanwege operaties,hebben al last van de straling
als ze in de buurt van wifi zendmasten lopen.

Toekomstig sociaal credit systeem zoals in china komt ook
in europa,maar in een andere vorm

Het wordt allemaal minder leuk in de toekomst.

Burgers mogen alleen nog uit de hand eten van de overheid
en de tech-bedrijven en een brave zwijgzame burger zijn.

Jaap
01-12-2020, 15:42 door MathFox
Ik kan wel een algoritme bedenken:
1) je knipt de "legal access" key in twee stukken die je ieder bij een notaris in bewaring geeft.
2) De notarissen krijgen de opdracht om een toegangsverzoek te publiceren en daarna te controleren.
3) De notarissen krijgen ook de opdracht om de sleutel pas te produceren als de andere notaris het toegangsverzoek ook gepubliceerd heeft.
Voila, legal access met controle.
01-12-2020, 16:40 door Anoniem
Die methode is een variant op "rubber-hose cryptanalysis", oftewel: iemand martelen. Dat mag niet in een rechtsstaat.
In een rechtsstaat niet nee.
01-12-2020, 17:01 door Anoniem
Vroeger verdeelde men de sleutel over twaalf persoonlijke dragers. Ving de vijand er 1 dan had je nog maar 1/12.van de encryptie. Oude truuk uit Asterix en de Romeinen.
01-12-2020, 17:23 door Erik van Straten - Bijgewerkt: 01-12-2020, 17:35
Door MathFox: Ik kan wel een algoritme bedenken:
1) je knipt de "legal access" key in twee stukken die je ieder bij een notaris in bewaring geeft.
2) De notarissen krijgen de opdracht om een toegangsverzoek te publiceren en daarna te controleren.
3) De notarissen krijgen ook de opdracht om de sleutel pas te produceren als de andere notaris het toegangsverzoek ook gepubliceerd heeft.
Voila, legal access met controle.
A) Is die "legal access" key per persoon of voor een groep gebruikers, en in dat laatste geval: hoeveel gebruikers?
B) Waarom denk je dat de notarissen niet, omwille van "privacy" en/of "nationale veiligheid" verboden zal worden te publiceren over het verstrekken van "legal access" keys?
C) Van welke andere overheden dan de Nederlandse moeten die notarissen verzoeken inwilligen, en hoe weten zij dat zo'n verzoek legitiem is (vooral indien geheimhouding vereist wordt, zie B)?
D) Gegeven dat niet alleen "beschaafde" overheden (maar ook het "onbeschaafde" type en/of elkaar beconcurrerende criminelen) toegang tot "legal access" keys zullen willen hebben (immers, ook onze bondgenoten bespioneren "ons" - in elk geval tot en met bobo's waaronder minister Grapperhaus zelf): vanaf welk bedrag is het acceptabel dat beide notarissen omkoopbaar zijn? Idem vanaf welk bedreigings- en/of concreet geweldsniveau tegen hen, hun medewerkers of hun familie? Of ordinaire social engineering?
E) Waar bewaren die notarissen elk hun halve "legal access" keys, en dat vooral als het om heel veel keys gaat (in IZIMI of een S3 bucket/Azure blob)?
F) Hoe en waar worden de keys gebackupped?
G) Notarissen zijn sterfelijk, kunnen een TIA krijgen of kunnen om andere redenen geen keys meer benaderen; wie kunnen en "mogen" in hun plaats keys verstrekken?
H) Waarom denk je dat criminelen, terroristen en kinderpornokijkers/makers/verspreiders nog van dit soort backdoored encryptie gebruik zullen blijven maken?
I) Wie is er straks de Sjaak?

Aanvulling: ik heb nog meer vragen bedacht maar laat het hier maar even bij.
01-12-2020, 17:40 door MathFox
@Erik van Straaten: Goede vragen die ik niet allemaal ga beantwoorden.

Maar over B), ik denk dat we publicatie en sleutel moeten loskoppelen. Degene die het moet publiceren weet niet wie de sleutels beheren; publicatie van het verzoek is de manier om het bericht van de organisatie die de data beheert naar de sleutelbeheerders te brengen. Ad A) Als je een key per gebruiker (plus een paar duizend extra) gebruikt; data door de databeheerder op computer X laat zetten en N1 en N2 de sleutel van betreffende gebruiker anoniem naar die computer laat sturen heb je een interessant systeem.

C) en D) die doen maar een rechtshulpverzoek bij de Nederlandse overheid.
E), F) Op een DVD in een kluis. De backup in een andere kluis.
G) Het notariaat heeft een vervangings- en opvolgingssysteem.
H), I) De dommen worden zoals altijd gepakt, de slimmen glippen door het net.
01-12-2020, 17:44 door Anoniem
"...de proportionaliteit, noodzakelijkheid, legaliteit en niveau van transparantie van oplossingen wordt later beoordeeld."

Lijkt mij dat daar juist mee begonnen moet worden.
01-12-2020, 19:29 door Anoniem
Beste Minister Grapperhaus,

Auto's worden gebruikt om mensen dood te rijden.
Messen worden gebruikt om mensen dood te steken,
Geld wordt gebruikt om mensen om te kopen.
Olie wordt gebruikt om oorlog mee te voeren.

Maar weet u wat pas echt een gevaar is, mensen zoals u.

Ik ga vrolijk verder met mijn Panameese VPN.
01-12-2020, 20:29 door Erik van Straten
@MathFox: dank voor jouw antwoorden, maar daarmee heb je mij niet overtuigd. Goede encryptiealgoritmes zijn per definitie openbaar en kunnen dus ook voor criminele activiteiten worden ingezet - en dan natuurlijk zonder dat daarbij reservesleutels aan notarissen of wie dan ook worden verstrekt. Daarbij is in het verleden vaak genoeg aangetoond dat je met backdoors ook in je eigen voet kunt schieten. Wie een kuil graaft...

Vanzelfsprekend moeten criminelen, terroristen etc. worden opgespoord en kunnen worden berecht aan de hand van bewijsmateriaal, maar het hier voorgestelde middel is niet alleen erger dan de kwaal, maar verhelpt de kwaal nauwelijks of niet terwijl de kans op ernstige bijwerkingen voor fatsoenlijke burgers enorm is - nog even los van de precendentwerking voor burgers van minder democratische regimes (regimes die wij dan zeker niet meer tot de orde kunnen roepen).
01-12-2020, 20:53 door MathFox
Door Erik van Straten: @MathFox: dank voor jouw antwoorden, maar daarmee heb je mij niet overtuigd. Goede encryptiealgoritmes zijn per definitie openbaar en kunnen dus ook voor criminele activiteiten worden ingezet - en dan natuurlijk zonder dat daarbij reservesleutels aan notarissen of wie dan ook worden verstrekt. Daarbij is in het verleden vaak genoeg aangetoond dat je met backdoors ook in je eigen voet kunt schieten. Wie een kuil graaft...
Ik ben het met je eens. Daarom moet het voor de overheid ook zo onaantrekkelijk mogelijk gemaakt worden om de privacy van onschuldige burgers te schaden. En de overheid verplichten achteraf openheid te betrachten werkt niet, de achterstand bij het melden van telefoontaps is jaren en niemand bij het OM voelt zich geroepen om iets te doen aan het stilzwijgen.
Cryptografische algoritmen zijn openbaar; een criminele organisatie kan een programmeur inhuren om een app te schrijven waar de overheid niet makkelijk bij de sleutels kan. Of ze wenden zich tot mailproviders buiten de EU die niet aan deze EU regels hoeven te voldoen.

"Nerd Harder": Doorbraken als DH en RSA heb je niet elke decade; en dan wil je nog een paar jaar cryptoanalyse voordat je een goed gevoel over de veiligheid hebt.
01-12-2020, 21:40 door Anoniem
Door Erik van Straten: Goede encryptiealgoritmes zijn per definitie openbaar [...]

Les 1 van cryptografie voor beginners :)

Kerckhoffs's principle (also called Kerckhoffs's desideratum, assumption, axiom, doctrine or law) of cryptography was stated by Netherlands born cryptographer Auguste Kerckhoffs in the 19th century: A cryptosystem should be secure even if everything about the system, except the key, is public knowledge.

https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle
01-12-2020, 22:06 door Anoniem
Door Anoniem:
Door Erik van Straten: 1) Met een geschikte sleutel, zie https://xkcd.com/538/

Die methode is een variant op "rubber-hose cryptanalysis", oftewel: iemand martelen. Dat mag niet in een rechtsstaat.

Toch zijn er akelig veel recente voorbeelden waarbij dat toch gebeurd is. Denk aan de VS of Turkije. Of dat dan wel rechtsstaten waren of dat dat verbod toch niet zo hard was laat ik me verder niet uit.
01-12-2020, 22:08 door Anoniem
Door MathFox: @Erik van Straaten: Goede vragen die ik niet allemaal ga beantwoorden.

Maar over B), ik denk dat we publicatie en sleutel moeten loskoppelen. Degene die het moet publiceren weet niet wie de sleutels beheren; publicatie van het verzoek is de manier om het bericht van de organisatie die de data beheert naar de sleutelbeheerders te brengen. Ad A) Als je een key per gebruiker (plus een paar duizend extra) gebruikt; data door de databeheerder op computer X laat zetten en N1 en N2 de sleutel van betreffende gebruiker anoniem naar die computer laat sturen heb je een interessant systeem.

C) en D) die doen maar een rechtshulpverzoek bij de Nederlandse overheid.
E), F) Op een DVD in een kluis. De backup in een andere kluis.
G) Het notariaat heeft een vervangings- en opvolgingssysteem.
H), I) De dommen worden zoals altijd gepakt, de slimmen glippen door het net.

Alsof dat goed zou gaan. Dan heb je binnen de kortste keren effectief geen encryptie meer, met alle gevolgen van dien.
01-12-2020, 22:13 door Anoniem
Er wordt vaak gedaan of encryptie iets nieuws is dat bestreden dient te worden omdat sommigen lieden er misbruik van maken, maar dat is natuurlijk onzinnig. Encryptie is het enige dat nog een beetje tegenwicht biedt tegen vergaande verzameling, opslag en verwerking van data.

Vroeger waren brieven en telefoons ook niet sluitend beschermd, behalve dat het effectief ondoenlijk was om alle brieven te openen en alle telefoons af te luisteren. Daardoor had al brave burger weinig te vrezen, want er was gewoon geen beginnen aan. In de digitale wereld is iets soortgelijks veel beter mogelijk en encryptie zorgt ervoor dat je toch nog een beetje beschermd blijft. Dit keer niet door rauwe aantallen, maar slimme wiskunde.
01-12-2020, 23:43 door MathFox
Door Anoniem:
Door MathFox: @Erik van Straaten: Goede vragen die ik niet allemaal ga beantwoorden.
...
Alsof dat goed zou gaan. Dan heb je binnen de kortste keren effectief geen encryptie meer, met alle gevolgen van dien.
Mag ik de argumentatie achter deze "kan niet" opmerking.Een alternatief systeem waarbij de overheid drie keer nadenkt voordat ze decryptie vordert is ook welkom.
02-12-2020, 00:54 door Anoniem
Door Anoniem: Vroeger verdeelde men de sleutel over twaalf persoonlijke dragers.
Zoek maar eens naar 'Shamir's Secret Sharing'. Je hoeft niet alle partjes te hebben, je mag er ook enkele missen.
Maar goed, als de crimineel (of overheid, of company) genoeg partjes verzameld heeft, kan 'ie erbij, game over.
02-12-2020, 02:09 door Anoniem
Stem in maart alsjeblieft allemaal Partij voor de Dieren, tevens dé privacy-partij van Nederland.

“ Ook is geen enkele vorm van het verzwakken van de mogelijkheden tot versleuteling van informatie acceptabel.”

https://www.partijvoordedieren.nl/standpunten/privacy-en-vrijheid-op-internet
02-12-2020, 07:45 door Anoniem
Door Erik van Straten:
Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen.
Ik kan minstens drie categoriën technische oplossingen opnoemen waar verdachten niet onderuit kunnen:

1) Met een geschikte sleutel, zie https://xkcd.com/538/;
2) Een backdoor op minstens een (of meer) van de betrokken apparaten installeren;
3) Op basis van wat je van iemand weet, diens wachtwoord(en) proberen te raden.

Maar dat vinden de betrokken bewindslieden kennelijk onvoldoende. Van waar zij wel aan denken kan ik echter hooguit drie categoriën technische oplossingen bedenken:

4) Brute force attacks, al dan niet versneld middels cryptanalysis en/of quantum computers;
5) Uitsluitend bewust zwakke/verzwakte encryptie "toestaan";
6) Master keys (lopers) in handen van overheden en/of bedrijven.

Als categorie 4) lukt, en dat lekt uit, dan zou dat een reden moeten zijn om het gebruikte type cryptografie te verzwaren of te vervangen; immers, niet alleen betrouwbare overheden (voor zover die bestaan) kunnen dat dan. Daarmee is 5) natuurlijk ook onzinnig. Maar sowieso pak je met 4) t/m 6) geen verstandige criminelen, want zij zullen geen crypto (meer) gebruiken waarvan bekend is dat het om een open boek voor de overheid en/of concullega's gaat (Nb. om minder op te vallen, kunnen zij "verboden" crypto verstoppen in "toegestane" crypto). Veel erger dan dat je er hooguit enkele stomme kruimelcriminelen mee pakt, is dat de kans zeer groot is dat deze "oplossingen" tegen niet verdachte/onschuldige burgers worden ingezet - door criminelen en/of "onaardige" regimes.

Onbegrijpelijk dat de betrokken bewindslieden weigeren om één stap verder te denken, nl. wat de gegarandeerde gevolgen zullen zijn van de door hen voorgestelde maatregelen. Nb. als onze bewindslieden niet één stap verder kunnen denken over het door hen voorgestelde/gemaakte beleid, hebben wij de verkeerde personen gekozen.

Kort samengevat: Het middel is erger dan de kwaal.

Sterker, het middel werkt niet eens. De grote jongens en terroristen gaan gebruik maken van technologieën die buiten deze regeling ligt en houden vrij spel.
02-12-2020, 08:56 door Anoniem
Door Anoniem: Er wordt vaak gedaan of encryptie iets nieuws is dat bestreden dient te worden omdat sommigen lieden er misbruik van maken.

Encryptie is al zijn vormen bestaat minstens al 4000 jaar.

https://en.wikipedia.org/wiki/Encryption#Ancient

In al die tijd hebben diverse personen, organisaties en staten hier gebruik van gemaakt om informatie geheim te houden. Dit tot frustratie van anderen, die dan weer proberen die encryptie te breken. Wat weer tot nieuwe encryptie vormen leidt, etc.

Een simpele vraag aan dhr. Grappenhaus, en de EU-Raad:
Heeft u of uw regering iets te verbergen, en wilt u daar encryptie voor kunnen gebruiken?
Ga deze dan niet verzwakken.
Daarmee maakt u het alleen maar makkelijker voor de personen en organisaties waarvoor u geheimen hebt.
Denk aan uw eigen belang bij het bestaan van encryptie die niet verzwakt is.
02-12-2020, 11:12 door Anoniem
Door Anoniem:
Door Anoniem: Vroeger verdeelde men de sleutel over twaalf persoonlijke dragers.
Zoek maar eens naar 'Shamir's Secret Sharing'. Je hoeft niet alle partjes te hebben, je mag er ook enkele missen.
Maar goed, als de crimineel (of overheid, of company) genoeg partjes verzameld heeft, kan 'ie erbij, game over.

In de vrijwel oninneembare Praagse Burcht, omringt door stijle kliffen, enorm dikke muren en temidden van een kazerne van de zwaarbewapende Tsjechische commando's en hun waakhonden, bevindt zich in de St. Vitus’ Kathedraal de kluis waarin sinds oudsher de originele kroonjuwelen van de vroegere koningen van Bohemen worden bewaard.

Om tot die kluis met de kunstschatten toe te kunnen treden, heeft men, naar verluid, zeven verschillende sleutels nodig, die elk op een andere plaats door verschillende Tsjechische hoogwaardigheidsbekleders op strikt geheim gehouden locaties worden bewaard. Mist een van de benodigde sleutels, dan kunnen de kluisdeuren niet open.

Dit heeft de nazi's in de Tweede Wereldoorlog niet belet om geheel Tsjechië te bezetten en daar een terreurbewind uit te oefenen, waarna de communisten het in de Koude Oorlog het nog even dunnetjes over deden. Het alleen opsplitsen en trachten te verbergen van geheime sleutels, om je kroonjuwelen te beschermen, heeft dus zo z'n beperkingen.
02-12-2020, 11:24 door Erik van Straten
Door MathFox: Ik ben het met je eens. Daarom moet het voor de overheid ook zo onaantrekkelijk mogelijk gemaakt worden om de privacy van onschuldige burgers te schaden.
Fijn dat we het met elkaar eens zijn!

Overigens heeft de overheid tegenwoordig de beschikking over bakken aan metadata en camerabeelden, "going dark" is onzin - enkele sluwerikken daargelaten (maar die zullen backdoored encryptie zeker vermijden); gisteravond zag ik op WNL een mooi stukje rechergewerk waarbij een inbreker (met uiteindelijk 200 inbraken op z'n naam) z'n smartphone ruim voor de inbraken uitzette en zorgvuldig andere sporen wiste - maar uiteindelijk toch tegen de lamp liep.

Veel toeslaande terroristen werden al in de gaten gehouden (onvoldoende) of waren bekend en hadden in de gaten gehouden (of opgesloten) moeten worden, en van veel cybercriminelen weten we om wie het gaat (https://www.zdnet.com/pictures/the-fbis-most-wanted-cyber-criminals/) maar zijn ongrijpbaar. Dat je een verdachte van kinderpornobezit niet kunt veroordelen omdat deze weigert het wachtwoord van z'n versleutelde schijf te verstrekken is een slechte zaak, maar in elk geval is dat iemand die daarna bovengemiddeld op de radar zou moeten blijven en bij de eerste de beste fout alsnog veroordeeld kan en moet worden. Dat, om die laatste reden, ik-weet-niet-wie de versleuteling van mijn smartphones en PC's zouden moeten kunnen doorbreken, vind ik uiterst disproportioneel.

Last but not least begeef je je met encryptie-backdoors t.b.v. opsporing en/of vervolging op een hellend vlak: voor je het weet kan dit als sleepnet worden ingezet - met alle risico's van dien. De Nederlandse overheid mag grotendeels betrouwbaar zijn, maar regelmatig blijkt deze zeer rotte appels in dienst te hebben. De vraag is dan niet of, maar wanneer, er misbruik wordt gemaakt van decrypted gegevens van onschuldigen.
02-12-2020, 11:30 door Anoniem
Door Anoniem:
Die methode is een variant op "rubber-hose cryptanalysis", oftewel: iemand martelen. Dat mag niet in een rechtsstaat.
In een rechtsstaat niet nee.

Behalve als de rechtsstaat de mogelijkheid in de wet opneemt ;-))
02-12-2020, 12:07 door Anoniem
Interessante discussies.
De wereld is niet perfect. Dus voor elke oplossing is er een (nieuw?) probleem te vinden.

Beginselen
- Mensen behoren volledig vrij te zijn
- Daarom is informatie uitwisseling tussen mensen ook vrij en behoort vertrouwelijk te blijven (aders geen vrijheid)
- Er bestaan bewust bekwame slechteriken. Die plegen misdrijven (waar u en ik slachtoffer van kunnen worden)
- de verzameling bewust bekwame slechteriken halen mijn (en uw) vrijheid weg (uw vrije bezit, uw vrije informatie, uw vrije meningsuiting, uw vrije gedrag, uw vrije verdienvermogen, etc).
- Om het individu (of groep) te beschermen zijn twee zaken van groot belang
1. Rechtszekerheid (dus wetten en handhaving)
2. Een onpartijdig instituut die dit kan regelen (en dat is dus onze overheid, wetgeving, opsporing, berechting, inlichtingendiensten, etc)

Probleem
Handhaving, opsporing, berechting heeft informatie nodig.
Is die informatievergaring een bedreiging voor uw vrijheid of is dit een bescherming van uw vrijheid.
Inderdaad: dat ligt eraan (Nederland of China of Rusland of.....)
Maar goed: In Nederland?

De discussie of encryptie gesloten mag zijn of (deels) open moet zijn is een afgeleide van bovenstaand evenwichtsspel. Die bovendien technisch inhoudelijk wordt besproken, maar niet technisch inhoudelijk kan worden beslecht. Technische inrichtingen kunnen namelijk altijd ten goede én ten kwade worden gebruikt.

Nu even een snelle sprong in oplossing en tegelijkertijd het nieuwe probleem
1. Een oplossing zou kunnen zijn dat iedereen van staatswege een encryptiemiddel krijgt waarmee de onderlinge communicatie kan worden versleuteld. De overheid heeft de sleutel in escrow en kan die gebruiken als er opsporing nodig is. Hiermee bereik je dat de algoritmes niet worden verzwakt en de overheid (alleen als nodig) wel bij de info kan komen. (natuurlijk zullen bewust bekwame slechteriken nog steeds hun eigen encryptie gebruiken, maar de discussie over verzakken algoritmes is dan weg).
2. Het (nieuwe) probleem dat hiermee opdoemt: De overheid kan zichzelf maar moeilijk beperken. Er is altijd iemand binnen de overheid die aandringt om aanpassing wetgeving om het eigen gemak (effectiviteit, efficientie, macht) te dienen. En dan kom je vanzelf weer bij de panoptische samenleving. Het enige dat hier tegen helpt is eengoede controlerende macht. Inderdaad: de Tweede Kamer. En ik ken de beperkingen daarvan.

Tegen kwade regimes (buitenland of binnenland; overheid of (grote tech)bedrijven) kan je je maar beperkt beschermen. Dus hier fundamentalistisch in zijn helpt ook niet echt. Je kan altijd wel je eigen praktische maatregelen treffen. De vraag is of die jouw vrijheid helpen of beperken. Dat ligt aan ieders eigen beleving.

Graag uw reacties ;-)
02-12-2020, 13:35 door MathFox - Bijgewerkt: 02-12-2020, 13:36
Door Anoniem:
Beginselen
- Mensen behoren volledig vrij te zijn
- Daarom is informatie uitwisseling tussen mensen ook vrij en behoort vertrouwelijk te blijven (aders geen vrijheid)
Een bekende Amerikaanse filosoof zei over vrijheid:
The freedom to swing your fist ends where my nose starts.
Je wilt niet hebben dat een persoon (or groep) zijn vrijheid misbruikt om de vrijheid van anderen in te perken, (volks-)gezondheid te beschadigen, etc. Om dat te voorkomen moet je als samenleving vrijheden beperken. (Ja dat klinkt en is innerlijk tegenstrijdig.)

De informatie-uitwisseling tussen mensen moet in een democratie vrij zijn, want je moet de acties van de overheid kunnen bekritiseren en nieuwe spelregels (wetten) kunnen voorstellen. Daarbij hoort dat er geen taboes zijn in wat er besproken mag worden, het verbieden van "Das Kapital", "Mein Kampf", het rode boekje of (kinder)porno is antidemocratisch.

2. Het (nieuwe) probleem dat hiermee opdoemt: De overheid kan zichzelf maar moeilijk beperken. Er is altijd iemand binnen de overheid die aandringt om aanpassing wetgeving om het eigen gemak (effectiviteit, efficientie, macht) te dienen. En dan kom je vanzelf weer bij de panoptische samenleving. Het enige dat hier tegen helpt is eengoede controlerende macht. Inderdaad: de Tweede Kamer. En ik ken de beperkingen daarvan.
Ik ben niet tegen een efficiënte overheid, maar ik vind controleerbaarheid en betrouwbaarheid van mijn overheid belangrijker dan efficiëntie. Ik weet dat misdaadbestrijding niet 100% effectief kan zijn, maar laten we ervoor zorgen dat de straten en huizen voldoende veilig blijven. Ik ben blij dat we in Nederland nog politici hebben die proberen te luisteren naar wat er op de straat gezegd wordt; we krijgen in maart weer de kans om ons zegje te doen over onze vertegenwoordigers in Den Haag. Kies verstandig, daarmee houden we Nederland leefbaar.
02-12-2020, 14:24 door Anoniem
Door Anoniem:
Door Anoniem:
Die methode is een variant op "rubber-hose cryptanalysis", oftewel: iemand martelen. Dat mag niet in een rechtsstaat.
In een rechtsstaat niet nee.

Behalve als de rechtsstaat de mogelijkheid in de wet opneemt ;-))

Dan is het dus geen rechtsstaat meer, in de zin van de UDHR, artikelen 3 t/m 5, en de ECHR, artikel 3.
02-12-2020, 15:51 door Anoniem
Door Anoniem: Een oplossing zou kunnen zijn dat iedereen van staatswege een encryptiemiddel krijgt waarmee de onderlinge communicatie kan worden versleuteld. De overheid heeft de sleutel in escrow en kan die gebruiken als er opsporing nodig is.

Dat lost niets op, want dan gaan de echt foute lieden van datzelfde van staatswege versleutelde kanaal misbruik maken, om daarin hun eigen gecodeerde en verborgen berichten te verzenden. Dat een mogelijk interessant persoon dan een (tweede) laag van encryptie toepast, valt dan niet meer op, want de overheid levert dan de beschutting in de massa.

Dan ontstaat de paradoxale situatie dat de politie, justitie en inlichtingendiensten nog minder zicht krijgen op wat er online eigenlijk gaande is, dan nu het geval is. Zelfs zo'n geavanceerde techniek als deep packet inspection (DPI) bij providers valt te ondermijnen en te omzeilen, door de toepassing van ruis en steganografie. Dan zijn we nog verder van huis.

https://en.wikipedia.org/wiki/Steganography
02-12-2020, 20:38 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Die methode is een variant op "rubber-hose cryptanalysis", oftewel: iemand martelen. Dat mag niet in een rechtsstaat.
In een rechtsstaat niet nee.

Behalve als de rechtsstaat de mogelijkheid in de wet opneemt ;-))

Dan is het dus geen rechtsstaat meer, in de zin van de UDHR, artikelen 3 t/m 5, en de ECHR, artikel 3.

Je hebt een punt. Hier ging de discussie over gebruik geweld. En dan past het binnen die verdragen.
Ik bedoelde een stap vredelievender, maar nog steeds dwingend naar de persoon. Bijv gijzelen om wachtwoorden of bronnen beschikbaar te krijgen. In moreel opzicht zie ik dit ook als iets tegen de rechtszekerheid. Toch is het wettelijk ingeregeld en dus in bepaalde situaties een legitiem middel. Dit zou de wetgever ook kunnen inrichten voor sleutels. Daar zou ik het niet mee eens zijn, maar toch.
03-12-2020, 00:32 door Anoniem
Als ze je vinger tegen je schermpje duwen. Wat dan?

Je ziet al wel de overgang naar een steeds strikter surveillance maatschappij,
waar steeds moeilijker uit te ontsnappen valt.

Ontwikkelingen in tegengestelde richting helaas maar mondjesmaat.
Steeds meer drang en dwang naar de burger toe.

Wie is er eigenlijk banger voor elkaar?
De overheid voor de eindgebruiker of omgekeerd?

Erger vind ik data die ik ongemerkt verlies,
terwijl ik dit niet weet of niet de technische kunde bezit om het te kunnen weten.
En diegenen, die dit uitvoeren het vervolgens doorverkopen aan een overheidsdienst.

Dat is stiekem en geniepig en niet recht door zee. Achterbaks eigenlijk.
En dat kan in een ongunstig geval allemaal tegen mij gebruikt worden.
Wie komt er nog voor ons op?

luntrus
03-12-2020, 15:38 door Anoniem
Door Anoniem: Als ze je vinger tegen je schermpje duwen. Wat dan?

Je ziet al wel de overgang naar een steeds strikter surveillance maatschappij,
waar steeds moeilijker uit te ontsnappen valt.

Ontwikkelingen in tegengestelde richting helaas maar mondjesmaat.
Steeds meer drang en dwang naar de burger toe.

Wie is er eigenlijk banger voor elkaar?
De overheid voor de eindgebruiker of omgekeerd?

Erger vind ik data die ik ongemerkt verlies,
terwijl ik dit niet weet of niet de technische kunde bezit om het te kunnen weten.
En diegenen, die dit uitvoeren het vervolgens doorverkopen aan een overheidsdienst.

Dat is stiekem en geniepig en niet recht door zee. Achterbaks eigenlijk.
En dat kan in een ongunstig geval allemaal tegen mij gebruikt worden.
Wie komt er nog voor ons op?

luntrus

Precies Luntrus

niet alleen verkopen aan overheden, juist ook aan commercielen en/of criminelen.
Beide gaan je namelijk op vervelender manier lastig vallen.
04-12-2020, 20:00 door Anoniem
Het vervolg op deze inhoudelijk zeer interessante draad en de lopende discussie:

Minister: nog geen overleg over technische oplossing voor encryptie
vrijdag 4 december 2020, 14:59 door Redactie

https://www.security.nl/posting/680540/Minister%3A+nog+geen+overleg+over+technische+oplossing+voor+encryptie
08-12-2020, 01:00 door Anoniem
Door Anoniem: Een alternatief systeem waarbij de overheid drie keer nadenkt voordat ze decryptie vordert is ook welkom.
je noemt 'overheid' en 'nadenken' in 1 zin...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.