Minister maakt documenten over aftappen versleutelde chatdiensten openbaar
Minister Yesilgöz van Justitie en Veiligheid heeft documenten die gaan over het aftappen van versleutelde chatdiensten openbaar gemaakt. Bij het ministerie was er via een Wob-verzoek om de documenten gevraagd. In maart meldde Security.NL dat de overheid een onderzoek uitvoert naar de voor- en nadelen van het aftappen van OTT-communicatiediensten, zoals WhatsApp en Signal. Berichten die via deze diensten worden uitgewisseld zijn end-to-end versleuteld, waardoor alleen de afzender en ontvanger de inhoud kunnen lezen.
Volgens Yesilgöz is het verkrijgen van rechtmatige toegang tot versleuteld bewijs een bijzonder complex vraagstuk met veel betrokken vakgebieden en belangen. De minister merkt op dat het kabinet de privacy van burgers wil verbeteren en veilige digitale communicatie wil versterken. Daarnaast wil het criminaliteit aanpakken. "Rechtmatige toegang tot versleutelde communicatie kan ook de veiligheid van de maatschappij en burgers verbeteren doordat illegale inhoud kan worden erkend, onderschept, verwijderd en slachtofferschap wordt voorkomen of geminimaliseerd. Deze eventuele interceptiebevoegdheid kan worden gebruikt voor de bestrijding van vele soorten criminaliteit."
In totaal heeft de minister besloten om zeven stukken openbaar te maken. Het gaat onder andere om communicatie tussen werkgroepen van het ministerie van Economische Zaken en het ministerie van Justitie en Veiligheid. De werkgroepen binnen de ministeries overlegden over het plan om chatdiensten te kunnen afstappen. In één van de stukken pleit Justitie voor het kunnen aftappen van versleutelde chatdiensten, waarbij aanbieders hier zelf met een oplossing voor moeten komen.
"Er worden geen beperkingen op het toepassen van encryptie opgelegd enkel de functionele eis gesteld dat communicatie aftapbaar moet worden gemaakt. Hoe aanbieders dat realiseren is aan hen zelf. Daarbij zijn zij gehouden aan de wettelijke vereisten voor bescherming van privacy, kwaliteit etc. NB: dezelfde decryptie (en encryptie) vereisten stellen we nu ook van onze telecomaanbieders en plaatst OTT's daarmee op eenzelfde eisen en beschermingsniveau. Er worden maw geen beperkingen opgelegd voor de toepassing van encryptie, alleen wordt geëist dat die ontsleuteld kan worden bij rechtmatige interceptie."
Kabinetsstandpunt
Het ministerie van Economische Zaken zegt de doelstelling te steunen dat opsporingsdiensten toegang moeten krijgen tot de inhoud van versleutelde chatberichten, maar de beveiliging van de communicatie daardoor niet verzwakt mag worden. "De ontsleutelingsverplichting opleggen aan OTT-diensten betekent echter wel dat end-to-end encryptie moet ophouden te bestaan. Encryptie zal dan dus verzwakken en dat is in tegenspraak met het Kabinetsstandpunt encryptie." Het kabinet had in 2016 het standpunt ingenomen dat encryptie op dat moment niet mocht worden verzwakt.
In de notulen van een werkgroepoverleg wordt vanuit Justitie gesteld dat het ministerie van Economische Zaken heeft aangegeven dat de aftapverplichting voor chatdiensten, zoals de Ministeriële Commissie Economie en Veiligheid (MCEV) heeft besloten, op een fundamenteel vraagstuk stuit, namelijk op het encryptiestandpunt van het kabinet, waardoor volgens Economische Zaken de aftapverplichting voor elektronische communicatiediensten niet meer in de wet kan worden opgenomen. Justitie en Veiligheid is het hier niet mee eens. "Dit moet op bewindslieden niveau besproken worden", zo staat in de notulen.
Yesilgöz stelt dat het onderzoek naar het aftappen van chatdiensten nog gaande is. "Tijdens deze inventarisatie wordt de mogelijkheid opengehouden dat een proportionele oplossing zich aandient", zo laat ze in een brief aan de Tweede Kamer weten.
Tijd dat men eens gaat morren over de steeds openlijker getoonde totalitaire trekjes van overheden en EU.
Wat een misleidend jeuk statement..
Met andere woorden: We stellen geen eisen aan je beveiliging, maar er moet wel een achterdeurtje voor ons zijn.
Eerlijker zou zijn:
We stellen eisen aan de versleuteling, het moet namelijk voor opsporingsdoeleinden te ontsleutelen zijn.
Wat een misleidend jeuk statement..
Met andere woorden: We stellen geen eisen aan je beveiliging, maar er moet wel een achterdeurtje voor ons zijn.
Eerlijker zou zijn:
We stellen eisen aan de versleuteling, het moet namelijk voor opsporingsdoeleinden te ontsleutelen zijn.
Oftewel voor hackers ook mogelijk, maarja dat maakt allemaal niks uit als de roverheid maar kan spioneren.
Wat een misleidend jeuk statement..
Met andere woorden: We stellen geen eisen aan je beveiliging, maar er moet wel een achterdeurtje voor ons zijn.
Eerlijker zou zijn:
We stellen eisen aan de versleuteling, het moet namelijk voor opsporingsdoeleinden te ontsleutelen zijn.
En aangezien alles onder druk vloeibaar wordt, is alles uiteindelijk rechtmatig. Er hoeft maar een aanslag plaats te vinden in Nederland en de politici buitelen over elkaar heen om zaken "tijdelijk" rechtmatig te maken om het gevaar te pareren. Want ja, u bent toch niet vóór terrorisme, meneer?
En dan mag jij tegen een overheid gaan procederen en een rechter overtuigen dat het niet rechtmatig was en dat je die sleutel niet afgeeft. Succes daarmee! Met wat pech verdwijn je achter slot en grendel als je voet bij stuk houdt en word je als dissident of terrorisme-facilitator gebrandmerkt.
Dit is een vrijbrief om in uitzonderlijke gevallen (of met wat pech minder uitzonderlijke) al het verkeer te ontsleutelen. Het is een extreem delicate scheidslijn, en de overheid heeft in het recente verleden aangegeven daar slecht mee om te kunnen gaan.
Wat een misleidend jeuk statement..
Met andere woorden: We stellen geen eisen aan je beveiliging, maar er moet wel een achterdeurtje voor ons zijn.
Eerlijker zou zijn:
We stellen eisen aan de versleuteling, het moet namelijk voor opsporingsdoeleinden te ontsleutelen zijn.
Oftewel voor hackers ook mogelijk, maarja dat maakt allemaal niks uit als de roverheid maar kan spioneren.
De encryptie hoeft niet verzwakt te worden, er moet alleen een mogelijkheid zijn dat de gebruikte keys naar de
opsporingsinstantie gestuurd worden. Hackers die daar niet bij kunnen, die kunnen dus nog steeds niets.
Als je bedoelt "ja maar als de opsporingsinstanties gehacked worden dan wel", tja, dan wel. Maar de kans dat
een van de communicerende partijen gehacked wordt lijkt me dan groter.
De Tsjechen bewaken hun kroonjuwelen in de Praagse burcht, met militairen, achter een kluisdeur met zeven sloten:
https://en.wikipedia.org/wiki/Bohemian_crown_jewels
Men zou een soort key escrow systeem kunnen invoeren, waarbij de secret key van de overheid in drieën of meer delen is gesplitst. Een deel bij de minister van Justitie, een deel bij de voorzitter van het College van procureur-generaals van het OM, een deel bij de Hoge Raad, bijvoorbeeld, en een onafhankelijke instantie die toeziet op de air gapped hardware.
De chatapps dienen dan de gepubliceerde public key te gebruiken, voor een toegestaan gebruik van end-to-end encryptie.
Secret sharing by Adi Shamir and George Blakley
https://en.wikipedia.org/wiki/Secret_sharing
Dus dat je keyboard-app de sleutels beheerd en de input versleuteld voordat het in het textveld belandt in de betreffende app.
Voor het ontcijferen is dan weer een schermlezer nodig die hetzelfde doet in andere richting.
Erg omslachtig allemaal en degene die gemotiveerd zijn hebben het ervoor over. Dus wie val je hier mee lastig? Normale burgers en de eventuele gevaren erbij.
Dat soort apps kunnen door wetgeving worden gecriminaliseerd en daarmee uit de Apple en Google stores worden geweerd, op straffe van megaboetes. Mochten alternatieve app stores die apps via andere kanalen aanbieden, dan worden de domeinen van die stores uit de lucht gehaald en worden de beheerders strafrechtellijk vervolgd..
Wat een misleidend jeuk statement..
Met andere woorden: We stellen geen eisen aan je beveiliging, maar er moet wel een achterdeurtje voor ons zijn.
Eerlijker zou zijn:
We stellen eisen aan de versleuteling, het moet namelijk voor opsporingsdoeleinden te ontsleutelen zijn.
Oftewel voor hackers ook mogelijk, maarja dat maakt allemaal niks uit als de roverheid maar kan spioneren.
De encryptie hoeft niet verzwakt te worden, er moet alleen een mogelijkheid zijn dat de gebruikte keys naar de
opsporingsinstantie gestuurd worden. Hackers die daar niet bij kunnen, die kunnen dus nog steeds niets.
Als je bedoelt "ja maar als de opsporingsinstanties gehacked worden dan wel", tja, dan wel. Maar de kans dat
een van de communicerende partijen gehacked wordt lijkt me dan groter.
In het Nederlands: "De versleuteling hoeft niet verzwakt te worden, er moet alleen een mogelijkheid zijn dat de gebruikte sleutels naar de opsporingsinstantie gestuurd worden."
Dit is semantisch geneuzel. De versleuteling wordt overbodig gemaakt als je iemand anders de sleutels geeft.
Of wil je beweren dat hierdoor de beveiliging niet wordt afgezwakt?
Heeft de Nederlandse samenleving er belang bij dat opsporingsinstanties bij versleutelde data moeten kunnen?
In sommige gevallen wel degelijk.
Maar het op bovenstaande manier formuleren is erg misleidend en geeft mij weinig vertrouwen dat er ook goed met deze sleutels wordt omgegaan.
Een gevolg van het delen van sleutels is dat criminelen naar platforms gaan waar geen sleutels worden gedeeld, terwijl het gewone publiek op platforms zit waar die sleutels wel worden gedeeld. Dit gebeurt nu al, zie bijvoorbeeld SKY ECC en Encrochat.
Wat ook kan gebeuren is dat berichten op het apparaat nog een keer versleuteld worden, waardoor opsporingsinstanties niet zoveel hebben aan die platform sleutels alleen.
Ik vrees dat dit dan ook de veiligheid van het grote publiek wel degelijk verzwakt, terwijl criminelen met een beetje verstand hier weinig last van zullen hebben.
Maar als je macht verkeerd wenst te gebruiken, krijg je zeker wel zoiets.
Beste beveiliging is terughoudender worden met delen van informatie. Niet delen met Big Data-slurper.
Wat de overheid op internet niet van je weet, zal de burger niet deren.
Ga liever eens een totale inventarisatie maken van last bad events, blokkeer en haal desnoods neer.
Beter dan iedereen in een digi-panopticum te stoppen, behalve de bewakers en ontwerpers.
Oh, de bewakers en ontwerpers (ja ook bij de overheid) kunnen ook (cyber-)crimineel zijn.
Dus het is allemaal niet zo simpel als het voorgesteld wordt.
Als een bewindvoerder het totaalplaatje niet geheel ziet, of het totaalplaatje niet geheel naar wens is, dan word er al snel gebruik gemaakt te zeggen dat het geheel nogal ingewikkeld is en/of complex.
stelling 1:
en hoe wordt met de 2de stelling de privacy gewaarborgd van stelling 1?
Lijkt meer op het opgeven van privacy voor een nep-veiligheid, aangezien de gezochte crimelen van een wel-betrouwbare enryptiemethode gebruik zal gaan maken; mocht encryptie verboden worden, dan kunnen dé criminelen alsnog gebruik maken van Steganografie https://nl.wikipedia.org/wiki/Steganografie.
Werd er al niet gediscuseerd om het briefgeheim uit te breiden...
[2017]https://www.security.nl/posting/511470/Tweede+Kamer+akkoord+met+briefgeheim+voor+e-mail+en+sms
[2017]https://www.security.nl/posting/523667/Eerste+Kamer+akkoord+met+briefgeheim+voor+e-mail+en+sms
[2022]https://www.security.nl/posting/748608/Kabinet+wil+briefgeheim+in+Grondwet+aanpassen+en+techniekneutraal+maken
Maaaaaar, nog steeds de wens om met een sleepnet door alle communicatie te dreggen en woorden als alla, achbar, terrorisme, bom, etc. eruit te filteren, zoals echelon https://nl.wikipedia.org/wiki/ECHELON dat al doet sinds 2000 op alle telecommunicatie.
In dit geval is het totaalplaatje niet ingewikkeld of bijzonder complex, maar is hetgeen wat het totaalplaatje toont niet naar wens van de bewindvoerder. Dus, dan maar moeilijk,moeilijk met woorden door bochten wringen, zeggen dat het bijzonder complex is om de burger af te leiden om maar niet te hoeven zeggen dat 'ze' hun privacy moeten opgeven voor een nep-veiligheid.
De encryptie hoeft niet verzwakt te worden, er moet alleen een mogelijkheid zijn dat de gebruikte keys naar de
opsporingsinstantie gestuurd worden. Hackers die daar niet bij kunnen, die kunnen dus nog steeds niets.
Als je bedoelt "ja maar als de opsporingsinstanties gehacked worden dan wel", tja, dan wel. Maar de kans dat
een van de communicerende partijen gehacked wordt lijkt me dan groter.
In het Nederlands: "De versleuteling hoeft niet verzwakt te worden, er moet alleen een mogelijkheid zijn dat de gebruikte sleutels naar de opsporingsinstantie gestuurd worden."
Dit is semantisch geneuzel. De versleuteling wordt overbodig gemaakt als je iemand anders de sleutels geeft.
Of wil je beweren dat hierdoor de beveiliging niet wordt afgezwakt?
In "normale gevallen" (gebruikers die niets fout doen) niet, nee.
Doe het bijvoorbeeld als volgt:
De opsporingsinstantie maakt secret keys aan en stuurt bijbehorende public keys (en key ID) naar de chatdienst,
gesigned met een certificaat waarin deze kan zien dat het inderdaad de opsporingsinstantie is die deze keys levert.
De chatdienst stuurt deze public keys door naar de app en die encrypt de bij de communicatie gebruikte keys onder
zo'n public key en stuurt dit terug naar de chatdienst, die het voor een bepaalde tijd opslaat (de bewaartermijn).
Komt er nu binnen deze bewaartermijn een reden om deze communicatie in te zien (een gerechtelijk bevel) dan
vraagt de opsporingsinstantie deze encrypted keys op en beschikt over de secret key waarmee deze decrypted
kunnen worden.
Echter een hacker beschikt niet over die secret key en kan dus niets met de bij de chatdienst opgeslagen key info,
ook niet als ie daar inbreekt. Dan zal ie ook moeten inbreken bij de opsporingsinstantie om aan die keys te komen.
Wil men online cybercrimineel misbruik monitoren, daar kan een discussie over zijn of dat nodig is.
Wil men weten waar en bij welke burgers er weerstand bestaat tegen bepaalde drang- en dwang politiek,
dan zou dat niet moeten kunnnen als zich dat slechts beperkt tot een afwijkende mening verkondigen.
Gaat men mensen monitoren om bepaalde economische interessen te laten prevaleren, is er ook weer sprake van machtspolitiek. Gaat om klokkenluiders en alternatieven te dwarsbomen, om zelfde redenen af te wijzen.
Dus alles wat een totalitaire staat zo verder naderbij brengt, daar moet men tegen zijn.
Voor wie gasgeven vrijheid is.
Maar uw mening een hinderpaal.
Denk na wat u stemt.
Of schrijft, tzt.
waarom heb je het nodig?
NLNU2022
Bijna iedereen gebruikt zo'n beetje whatsapp`en vind het allemaal prima.
Binnen afzienbare tijd maakt het voor ingezetenen van de EU helemaal niet meer uit welke chatapp ze gebruiken.
https://www.security.nl/posting/747814/Europese+DMA+verplicht+dat+chatapps+voortaan+interoperabel+zijn
De VVD staat al jaren voor Veel Domme Dienders. Iemand zei het al; de vrijheid om te mogen gasgeven.
Of ze versturen de key naar de politie(k).
Als je 1 loper-key hebt, kun je elk pakketje op 2 manieren openen, je eigen key, of de loper-key
Als ze de key versturen per pakketje zoals hierboven genoemd, word onwerkbaar, heeft het effect van een DDOS aanval.
Iets is versleuteld en veilig, of als er een loper is niet veilig.
Het chineze systeem is de NL politiek een groot voorbeeld :
3 soorten encryptie : voor de partij daar kan niemand bij.
Natuurlijk kunnen je buren niet je pakketje openen,
alleen als er 1 loper is voor elk pakketje, en die raakt bekend ( want niets is veilig met alle "computer-storingen" overal )
dan zit opeens op geen pakketje meer encryptie, omdat die loper bekend is,
daarom willen ze het strafbaar maken zodat hun alleen dat mogen.
De bekende hamer : oppakken, boetes geven.
Problemen los je zo niet fundamenteel op.
Zonder die wet zijn hun niet speciaal.
Ze drukken hun zin hiermee door.
Tog maar even china vragen hoe ze dat doen ?, o nee, dat is samen met rusland de vijand.
Of ze versturen de key naar de politie(k).
Als je 1 loper-key hebt, kun je elk pakketje op 2 manieren openen, je eigen key, of de loper-key
Als ze de key versturen per pakketje zoals hierboven genoemd, word onwerkbaar, heeft het effect van een DDOS aanval
Als je je niet kunt voorstellen hoe iets kan werken dan betekent dat nog niet dat het onwerkbaar is!
https://www.standaard.be/cnt/dmf20220429_94515802
Die wet slaat op alle telecom-aanbieders, dus ook opWhatsapp, Signal, Telegram of privéberichten van andere kanalen.
https://www.bitsoffreedom.nl/2022/05/05/belgie-wil-signal-verbieden-en-dat-is-een-voorzet-voor-de-rest-van-europa/
https://www.security.nl/posting/755890/%22WhatsApp+dreigde+Nederland+te+verlaten+om+encryptie-backdoor%22
Het achterdeurtje levert te veel problemen op, zoals spionage. Wat als er wel een goede oplossing zou zijn? In een achtergrondstuk over tapbare digitale communicatie, van juni 2021, werpt de Cyber Security Raad (CSR) principiële vragen op. De CSR stuurt zijn uiteindelijke advies aanstaande 16 juni naar het ministerie van Justitie. Op de inhoud wil Bart Jacobs, hoogleraar informatiebeveiliging (Radboud Universiteit), CSR-lid en auteur, nog niet vooruitlopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
