Het CDA laat weer eens zien dat ze niets om proportionaliteit geven, onder het mom van kindermisbruik (of terrorisme) vallen ze keer op de keer de rechtstaat en de privacy aan, ik vraag me altijd af of het gewoon ordinair populisme is of dat er ook echt iets mis is met hun congnitieve vermogens..

end-to-end encryptie behouden is stap achteruit in elke vorm van privacy en veiligheid. Maar als je net zoveel verstand van IT hebt als de ministers kan je natuurlijk alles recht praten. Lukt het niet links om dan maar rechts om.

Wat hebben politici toch steeds met het excuus 'kindermisbruik' mbt e2e? Met hun klassejustitie (viespeuk Demmink), oorlogszucht, spionagedrang, zaaien van verdeeldheid binnen de maatschappij en het veinzen van democratisch bestuur zijn zij slechts onderdeel van het probleem. Blijkbaar doet e2e waarvoor het is ontworpen, blijkt uit het gekras van papegaai Yesilgoz als zijnde canary. Dank hiervoor!

Hiermee kan ik het alleen maar eens zijn...
Echter, ik ben niet betrokken bij enig seksueel misbruik en vind daarom mijn privacy, plus die van eenieder die zich ook niet bezig houdt met dergelijke zaken, dus weer zwaarder wegen.

Het CDA behouden in het kabinet is een achteruitgang van 20+ jaar. En als het CDA dit vindt, dan zouden ze ook alle Whatsapp, signal, threma etc gebruik moeten verbieden voor hun ministers, medewerkers en leden. Eens zien wie er dan nog voor is.

TheYOSH

Het 'mooiste' vind ik dan altijd nog dat die CDA 'sukkels' er dan van uit gaan dat die misbruikers zich wel aan de niet-encryptie wet gaan houden. Hoe naief kun je zijn (oftwel; er is dus een andere reden)

Je bedoelt waarschijnlijk e2e encryptie opheffen/doorbreken is een stap achteruit...

As the Americans learned so painfully in Earth's final century, free flow of information is the only safeguard against tyranny.

The once-chained people whose leaders at last lose their grip on information flow will soon burst with freedom and vitality, but the free nation gradually constricting its grip on public discourse has begun its rapid slide into despotism.

Beware of he who would deny you access to information for in his heart he dreams himself your master.

- Commissioner Pravin Lal, U.N. Declaration of Rights.

Het is in het belang van kinderen, dat ouderen en de overheid goed toezicht kunnen houden op hun communicatie. Dat moet zo'n beetje de gedachtegang van het CDA zijn. Helaas zijn die ouderen en de overheid (of de kerk) soms het probleem.

Kindermisbruik is verschrikkelijk en kennelijk een zeer omvangrijk probleem.
Zelfs geestelijken van de katholieke kerk hebben zich eraan bezondigd.
Maar hoe afschuwelijk en omvangrijk kindermisbruik ook is, voor de bestrijding ervan is niet elk middel geoorloofd.
Bovendien betwijfel ik of het opheffen van end-to-end encryptie echt bijdraagt aan de opsporing van misbruikers.
End-to-end encryptie is ook van belang voor de veiligheid van brave burgers die geen vlieg kwaad doen.
Criminelen lezen namelijk ook graag onze berichten.

Tsja... Het 'christelijk gedachtengoed' in politieke vorm is - net als elke andere religieus georiënteerde partij - per definitie terug gaan in de tijd. We moesten ook water maar verbieden. Het laten voortbestaan van water is een stap achteruit. Er verdrinken mensen in!

CDA stemmen is ook een stap achteruit

Politici als CDA wonen vaak heel mooi... een normale Nederlander kan dat niet betalen.

Je vraagt je af van wie ze dat geld krijgen..

Who cares about privacy van burgers, als ikke ikke maar een villa heb en 3x per jaar op vakantie kan

Ik ben geen betrokkene (bij online seksueel kindermisbruik), maar het gaat wel om mijn privacy.

En als ik wel betrokken zou zijn bij online seksueel kindermisbruik, en mijn smartphone(s) gescand zouden worden op eerder gedetecteerde kinderporno, zou ik daar eenvoudig omheen kunnen werken (bijv. versleutelen en op een ander apparaat decrypten) - of gewoon geen smartphone gebruiken om die rommel uit te wisselen.

Oftewel, dit gaat nauwelijks tot niets doen tegen kindermisbruik (nieuwe beelden worden sowieso niet gedetecteerd totdat iemand ze aanmerkt als kinderporno, maar dat gebeurt zelden snel want gezonde mensen zijn hier niet naar op zoek en als zij ze toch onder ogen krijgen: van wie kreeg je ze en wil je die persoon in problemen brengen?).

Wel gaat dit tot veel vals positieven leiden, met potentieel dramatische gevolgen voor de echte doch onterecht betrokkenen (https://tweakers.net/nieuws/200134/google-weigert-fout-toe-te-geven-tegen-vader-die-fotos-nam-van-infectie-kind.html). En ook gaat dit zeer veel tijd van o.a. rechercheurs, OM en rechters kosten om hooguit kijkers op te sporen. Hoeveel mensen moeten we opsluiten, en voor hoe lang, wil deze symtoombestrijding redelijk zoden aan de dijk zetten, d.w.z. kindermisbruik significant doen afnemen?

Bovendien is deze technologie, zodra uitgerold, voor allerlei andere censuur en/of opsporing te misbruiken - niet alleen in Nederland. Daarnaast is het niet ondenkbaar dat implementaties kwetsbaarheden zullen bevatten die door kwaadwillenden misbruikt kunnen worden. Het internet is al véél te broos, zaag niet verder aan de poten ervan.

Last but not least: deze onzinnige en steeds weer opgerakelde discussie leidt af van wat er werkelijk moet gebeuren: kindermisbruik effectiever aanpakken. Het lijkt bijna of het CDA dat niet wil - in elk geval lezen ze overduidelijk de argumenten van velen, die de disproportionaliteit in niet mis te verstane bewoordingen uit de doeken doen, niet.

Daar gaat EUROPA al over. Zie de NIS2 directive (98)
https://eur-lex.europa.eu/eli/dir/2022/2555/oj

Om de beveiliging van openbare elektronischecommunicatienetwerken en openbare elektronischecommunicatiediensten te waarborgen, moet het gebruik van encryptietechnologieën, met name eind-tot-eindcodering evenals gegevensgerichte beveiligingsconcepten, zoals cartografie, segmentatie, markeringen, toegangsbeleid en -beheer, en geautomatiseerde toegangsbesluiten, worden bevorderd. Waar nodig moet het gebruik van encryptie, met name eind-tot-eindcodering, verplicht worden gesteld voor aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten, overeenkomstig de beginselen van beveiliging en privacy, standaard en door het ontwerp, voor de doeleinden van deze richtlijn. Het gebruik van eind-tot-eindcodering moet aansluiten op de bevoegdheden van de lidstaten om de bescherming van hun wezenlijke veiligheidsbelangen en de openbare veiligheid te waarborgen en om de preventie, het onderzoek, de opsporing en de vervolging van strafbare feiten overeenkomstig het Unierecht mogelijk te maken. Dit mag echter niet leiden tot verzwakking van de eind-tot-eindcodering, een kritieke technologie met het oog op een doeltreffende gegevensbescherming en privacy en beveiliging van de communicatie.

Stel nou hypothetisch dat ze e2e verbieden. Hoe wil je dit aanpakken? Zelfs online bankieren is dan niet meer mogelijk. Televisie streams, Netflix, muziek apps, alles werkt met https. Is allemaal e2e. Snappen die gasten wel wat ze zeggen?

De enige reden dat ze er altijd kindermisbruik of terrorisme bij halen als reden is omdat er dan niemand meer is die daar dan een probleem mee kan hebben.
Je wilt tenslotte niet dat kindermisbruikers de kans krijgen om door te kunnen gaan met hun walgelijke praktijken.
En zo proberen ze te werken met jouw geweten over waar jij voor of tegen kan zijn.
En zo worden oneigenlijke reden er bij gehaald om jou privacy uit te hollen tot er niets meer over is.

Dit is veel te belangrijk om aan de politiek over te laten, eigenlijk met heel veel dingen zo.

Heel veel zaken bevinden zich op een schaal met uitersten en eindeloos veel gradaties ertussen. De uitersten zijn vaak ideaal vanuit een heel beperkt perspectief maar hebben forse nadelen als je wat breder kijkt dan alleen dat perspectief. Omdat er gradaties tussen de uitersten bestaan hebben bestuurders knoppen waar ze aan kunnen draaien.

Ik neem toeslagen als voorbeeld. Als je de knop voor hoe streng je daarop controleert te laag zet krijg je uitwassen als de Bulgarenfraude. Draai je hem vervolgens te enthousiast naar streng dan krijg je uitwassen als de toeslagenaffaire. Er is geen veilige middenstand waar helemaal niets misgaat, er is wel een optimum dat minder schade oplevert dan andere standen. Een optimum dat overigens afhankelijk is van opvattingen over hoe schadelijk verschillende effecten zijn en van wisselende maatschappelijke omstandigheden. Het is dus een knop die voortdurend een beetje bijgesteld zal worden, en zo gaat dat met veel dingen.

IT is bijzonder in dit opzicht. Omdat het gebruikt wordt om grootschalige verwerkingen te doen waarbij alles volautomatisch op precies dezelfde manier wordt afgehandeld gaan dingen die misgaan vaak meteen grootschalig mis. De draaiknop is geen prettige fijnregelaar meer, met andere woorden, het resultaat schiet heel makkelijk verder door dan acceptabel is. Daardoor stellen automatisering en de resulterende informatiesystemen zulke hoge eisen aan mensen en lukt het mensen vaak niet om daaraan te voldoen. Dat geldt voor de ontwerpers en bouwers, voor de testers, de beveiligers en de uiteindelijke gebruikers.

Sterke encryptie is extreem in dit opzicht: er is geen draaiknop maar alleen een aan/uit-schakelaar. Dat is een rechtstreekse consequentie van de terechte constatering dat je niet op security through obscurity kan vertrouwen: een aanvaller kan erdoorheen breken ondanks de obscurity, en als dat eenmaal gebeurd is en verspreid wordt zijn echt de poppen aan het dansen, het risico is levensgroot dat je meteen van alles naar niets schiet. Cryptografen zijn zeer logisch denkende mensen (anders kan je dat vak niet beoefenen) en ze hebben dan ook logische conclusies getrokken zonder eromheen te draaien: je zal het moeten hebben van encryptie die sterk blijft als hij volledig openbaar is, en je ontwikkelt de sterkste algoritmes als je ze ook echt openbaar maakt, omdat dan iedereen met de juiste expertise erop kan schieten, wat de beste garantie op het vinden van eventuele zwaktes oplevert. En zo gaat het ook.

Wat voor die encryptiealgoritmes geldt geldt ook voor dingen die je eraan toevoegt om ze selectief te verzwakken: als ontdekt is hoe dat misbruikt kan worden is de kans levensgroot dat je meteen van alles naar niets schiet. Er is nog geen enkele manier bedacht waarop je kan regelen dat politie en inlichtingendiensten wel toegang tot de versleutelde data kunnen krijgen zonder dat je dat levensgrote risico er meteen bij krijgt, en dat komt omdat het fundamenteel onmogelijk is.

Bestuurders werken niet rechtstreeks met harde techniek en compromisloze wiskunde, die werken met mensen die vaak weer met andere mensen werken en staan op een flinke afstand van de techneuten. Die bestuurders zijn gewend dat je altijd wel een knop kan vinden om aan te draaien, want ze werken met mensen en mensen zijn flexibel. Dat die draaiknop er niet is bij iets van fundamenteel belang is vanuit zo'n perspectief onvoorstelbaar. En omdat dat onvoorstelbaar voor ze is beklijft de uitleg ervan niet en komt het onderwerp steeds na verloop van tijd opnieuw terug op de agenda. Dit moet dus eindeloos opnieuw uitgelegd blijven worden.

Hier gaat het om end-to-end-encryptie. De verzwakking is geen achterdeurtje in een encryptiealgoritme of een overheidssleutel die alles ontsluit, hier wordt gekozen om het bericht onversleuteld bij de provider te plaatsen en alleen de verbindingen van en naar de provider te versleutelen. Dan wordt de vertrouwelijkheid van de berichten afhankelijk van hoe goed die providers hun informatiesystemen hebben gebouwd en weten te onderhouden, maar ook van wat ze er zelf mee doen. Juist de grootste providers, de techreuzen, zullen technisch hun zaken relatief goed op orde hebben hebben, maar die hebben wel als verdienmodel om zo veel mogelijk persoonsgegevens over hun gebruikers te verzamelen en die te exploiteren.

Wrang is trouwens dat de techreuzen voor hun messagingsystemen zwaar op E2E-encryptie zijn gaan inzetten als reactie op de onthullingen van Edward Snowden, die lieten zien dat de NSA zijn boekje zwaar te buiten ging. Een inlichtingendienst heeft het vertrouwen onderuit gehaald waar nu uit naam van het functioneren van opsporings- en inlichtingendiensten een beroep op wordt gedaan. Oeps.

Een normale HTTPS verbinding zou ik niet als E2EE willen bestempelen. Bij E2EE verwacht ik dat de payload die met de HTTPS verbinding wordt verstuurd al encrypted is op het zendende device voordat het wordt verstuurd en alleen door de ontvangende partij kan worden gedecrypt. Hoe je dat organiseert (een asymetrische encryptieoplossing ligt voor de hand ivm key-uitwisseling issues en non-repudiation) is een ander verhaal. Zaak is dat alleen de zendende en ontvangende partij bij de inhoud kunnen en geen proxies in het midden (zoals bij alleen HTTPS wel het geval is).

end to end encryptie verbieden is vergelijkbaar met een hoofddoekje verplichten, of dragen van een bikini verbieden, en dus geen verassing dat een religieuze partij hier om vraagt. Dit zonder een oordeel te vellen over de effectiviteit van de maatregel

Lastige discussie dit. Om dan weer een hele partij of groep in de hoek te drukken lijkt me geen stap in de goede richting. Welke oplossingen zouden we dan kunnen bedenken? Persoonlijk wil ik wel een STUKJE privacy op willen geven als dat er voor zorgt dat een kind gered wordt.

In de peilingen staat coalitiepartner CDA er beroert voor. Wat het CDA daarom voor het toneel en de gunst van de confessionele kiezers opvoert, is het grijsgedraaide familiewaarden-spel, waarbij voor het gemak geheel voorbij wordt gegaan aan het feit dat end-to-end encryptie juist ook jonge kinderen beschermt tegen ongewenste, glurende ogen.

Kabinet voert motie uit over het in stand houden van end-to-end encryptie
zaterdag 24 september 2022, 10:10 door Redactie

https://www.security.nl/posting/769024/Kabinet+voert+motie+uit+over+het+in+stand+houden+van+end-to-end+encryptie

HTTPS is absoluut geen end-to-end data versleutelings mechanisme, maar een transport versleutelings mechanisme. HTTPS is een server-client encryptie protocol. 2 partijen die gebruik maken van de server-dienst kunnen elkaar berichten over een beveiligd transport versturen, maar de tussenliggende server zal toch de tunnel termineren.

Een end to end mechanisme wordt gebouwd op wederzijdse, a-symetrische sleutels waarbij de tussenliggende server de beidde clients helpt om over een beveiligd transport (bijvoorbeeld https/tls) de public keys van een a-symetrische key-set met elkaar uit te wisselen.
Daarna wordt het bericht zelf versleuteld met de public key van de ontvanger, zodat alleen deze de inhoud kan lezen en het transport ervan versleuteld met de private key van de verzender zodat vast staat dat jij ook echt degene bent die het gestuurd heeft.
En die hele verkeersstroom wordt vervolgens nog eens aanvullend getunneld over een encrypted verbinding van de client naar de uitwisselings server om de generieke metadata van de uitwisseling iig buiten het zicht te houden van onbevoegde partijen.


Je moet er alleen nog van uit gaan dat de private kant van deze key-set ook daadwerkelijk op het device gegenereerd wordt en de applicatie (bijvoorbeeld WhatsApp) die niet stiekem onder water alsnog met de Meta-servers uitwisselt. In de kern gaat elke E2E encryptie nogsteeds over vertrouwen dat de eigenaar van het key-pair ook daadwerkelijk is wie hij zegt dat ie is. Maar als je die veronderstelt waar te zijn (of kan controleren door de broncode van whatsapp terug te lezen), dan is de *inhoud* van je berichten-uitwisseling iig veilig. Neemt echter niet weg dat Meta als eigenaar van Whatsapp nogsteeds kan zien wie met wie kletst en wanneer en hoe vaak dat gebeurt. Dat alleen al is goud waard als je het kan combineren met andere Meta producten, maar dat geldt voor elke e2e (berichten)dienst.

Is dit niet gepraat achteraf? Men heeft al een enorm total surveillance grid opgezet
(overheid hand in voet met commercie)/

Of meent u dat als het moet niet al uw social media berichtjes al meegelezen worden?
Men heeft uw digitale profilering, vrijwel van iedereen het DNA.

Men weet kennelijk meer van u dan uzelf weet (of kan weten) en uw naaste omgeving vermoedt.

Aan de andere kant zal het tot wellicht na 2030 moeten duren eer de fouten van bijv. de toeslagenaffaire zijn gerepareerd
en ook dat zal 'het gemeen' wel weer moeten betalen uiteindelijk. De poet is vertrokken.

We worden e2e 'genomen', maar dat beseffen nog niet genoeg burgers in dit land.
Dit zijn dus allemaal slechts praatjes 'pot' voor de Buehne.

Lig er niet wakker van, je doet er alleen slechts weinig aan af.

End-to-end encryptie is geen aan/uit schakelaar, maar een ontsteking. Als bij een handgranaat.

Als de politiek er in slaagt end-to-end encryptie te verbieden, dan is er geen weg terug. Al was het maar omdat Amerika (waar alle software wordt ontworpen) dat niet toe zal laten.

We gaan dan een duistere tijd tegemoet. Een tijd waar toekomstige historici weinig over zullen weten omdat digitale informatie zeer vergankelijk is. (Wie weet nog hoe je software van een floppy of een cassettebandje moet lezen? Dat was minder als een halve eeuw geleden).

Encryptie hoort in de handen van de burger thuis. Niet exclusief in de handen van de overheid en defensie.

Het meeste kindermisbruik vindt plaats binnen het (christelijk) gezin, maar daar maken ze zich kennelijk geen zorgen om.

Hoorde op het nieuws vandaag dat ze nieuwe plannen hebben en willen richten op het bouwen van nieuwe huizen in minder bevolkte gebieden, ik denk dat ze zich vooral daar mee bezig moeten gaan houden :) Het internet / cybersecurity is niet echt hun sterkste gebied als ze van plan zijn om een comeback te maken.