Geheel gelijk.

Het liefst zie ik initiatieven opkomen om elke vorm van CSS compleet te breken of waardeloos/niet rendabel te maken.

Die zullen wel van uit de regering moeten komen. Mijn inziens is dit een grote inbreuk op onze privacy en als
het verplicht wordt dan is E2EE niet meer van belang om het monitoren van burgers.

https://www.agconnect.nl/artikel/tweede-kamer-en-minister-de-clinch-over-client-side-scanning-voor-bestrijding-kinderporno

Beste Erik van Straten,

Wederom bedankt voor deze 'heads-up'.

Dit soort bedreiging van onze privacy werd al langer voorzien half 2022, in digitale termen wel weer even geleden, maar goed als bedreiging voorzien, lees hier:
https://techmonitor.ai/policy/privacy-and-data-protection/client-side-scanning-content-moderation.

Het gaat er ook om met welke intentie en doelstellingen CSS gebeurt. Bezwaren worden veel minder gevoeld als een av-vendor dit doet en ook accepteren we dit van Microsoft Defender of door een gelijkaardige scanning door Google etc. Bij tracking en i.g.v. adware beginnen velen zich al minder genegen daartoe op te stellen. Begrijpelijk.

Maar als een overheid of iets overkoepelends als de EU komt met veel drogredenen om elke onderdaan te onderwerpen aan totaal monitoren en totale surveillance, zonder daar vooraf of achteraf verantwoording naar haar burgers over af te leggen, dan roept dat vragen op en ook bij een heleboel zelfstandig denkende een grote hoeveelheid regelrechte aversie. Ook begrijpelijk.

Staat die overheid dan nog wel aan de kant van de burger of ontvangst ze inmiddels al haar marsorders van elders?

Wanneer dit laatste niet uitgesloten kan worden, dan onder geen enkel beding aan beginnen. My 2 eurocents.

m.vr.gr.
luntrus

Als css verplicht is, wat wil men dan doen tegen apparatuur diet aan voldoet? Verbieden?

Je bouwt een 8 bit computer met netwerkinterface van draadbordjes en transistors. Daar kun je illegaal mee communiceren. Helpt niets.

Dat er opsporing moet plaatsvinden is op zich denk ik iets waar de meesten het wel mee eens zullen zijn, we wijze waarop is een geheel andere vraag.
Beide opties (verbieden van E2EE en CSS) lijken het zelfde uitgangspunt te hebben: Iedereen is verdacht, en bewijs maar (doordat we je communicatie mogen inzien) dat het niet zo is. In die zin zijn ze even goed of slecht.

Maar om het iets constructiever te maken: Wat is het alternatief? Anders dan niet opsporen/handhaven kan ik ook niets bedenken en dat is denk ik ook geen optie.

Maar ga dan eens beginnen met het aantonen van de goede wil
om echt iets te doen; bijvoorbeeld aan cybercrime om die wereld uit te helpen.

Monitoren en surveillance om het monitoren en de surveillance
alleen brengt weinig of het verkeerde resultaat.

Of gaat het erom te sleepnetten om andersdenkenden in de vangnetfuiken (pleonasme wellicht) te krijgen en oppositie weg te kunnen demoniseren.

Er wordt veel gedaan in het kader van verdeel en heers - divide et impera.

Veel verraadt zich door overeenstemming - Tartaria simulation theorie als voorloper van de (Thunder)dome plasma simulatie theorie. Van gnostiek tot flying spaghetti monster en weer kan er een bepaalde groep als koekoe/matjeklap weggezet worden.

Dit besef, over de impact ervan, moet breder worden.

Plus het feit dat je geen voorschot kunt nemen op de betrouwbaarheid van een overheidsregime in de toekomst.

De overheid mag jou zwartgelakte "dossiers" sturen, maar jouw telefoon moet gescanned worden...

Als je als overheid je burgers bij voorbaat wantrouwd, moet je andersom geen vertrouwen verlangen
(dus laat dat consultance bureau maar zitten).

Het gebruik van apparatuur zonder CSS zou dan verboden moeten zijn, anders werkt zo'n maatregel niet. Het zou nog kunnen om Apps te verplichten de CSS functie in te bouwen, waarbij criminelen deze natuurlijk niet meer gebruiken. Ook de open-source community zal hier natuurlijk niet zo snel in meegaan. Een nare gang van zaken die niet zomaar een oplossing heeft.

Dank voor de reacties, maar behalve de eerste zie ik niet klip-en-klaar:

CSS is veel erger/enger dan een verbod op E2EE-chat-apps

of

Een verbod op E2EE-chat-apps is veel erger/enger dan CSS

Ik ben benieuwd!

Beiden laten je in een politiestaat belanden. De ene is leven en wonen in de DDR, de ander leven en wonen in Noord Korea. Wat erger is een keuze. Ik ga liever ergens anders naar toe.

Test hier https://www.mike-gualtieri.com/css-exfil-vulnerability-tester

De Minister suggereert dat "E2EE" een doel is, en dat daarom CSS "beter" zou zijn, want dan kan "E2EE" gewoon blijven bestaan en zou aan de motie van van Raan van juni 2022 worden voldaan.

Dat is m.i. allemaal onzin: om te beginnen is "E2EE" geen doel maar een middel. Het doel is te kunnen communiceren zonder te worden afgeluisterd ("privacy').

Bovendien verwacht ik veel minder tegenstand van Apple en makers van Android smartphones om CSS te implementeren, dan van chat-app-makers om "E2EE" uit te zetten. Burgers hun chat-apps afpakken door ze te verbieden zolang de app-makers "E2EE" niet uitzetten, is politieke zelfmoord. CSS wordt stilletjes ingevoerd, geen haan die ernaar kraait of de risico's ervan inziet.

Daarbij: uitgebreid afgeluisterd werd en wordt je sowieso al op internet. Mochten somnige chat-app makers zich laten overhalen om "E2EE" uit te zetten, dan zijn we terug bij de situatie van een paar jaar geleden: je weet dan dat je wordt afgeluisterd. Daar kun je dan rekening mee houden door geen vertrouwlijke info te "chatten". Of door info zelf (handmatig) te versleutelen, of door andere -wel "E2EE"- protocollen te gebruiken (bijv. e-mail met PGP).

Ook ik wil geen van beide (CSS of "E2EE"-verbod), maar als ik moet kiezen heb ik liever dat E2EE voor sommige chat-apps verboden wordt. Dan weten we in elk geval waar we aan toe zijn, met CSS hebben we geen idee.

Mee eens. En van daaruit gezien vind ik het moeilijk om de ene vorm van afzwakking erger te vinden dan de andere. Het haalt allemaal het briefgeheim onderuit.

Ik vind het niet zoveel uitmaken, in beide gevallen is het briefgeheim aangetast.

Je hebt dacht ik zelf wel eens aangekaart wat we eigenlijk onder E2EE moeten verstaan, zijn de eindpunten de mensen of hun apparaten? Het gaat natuurlijk om de mensen, het gaat erom dat hun communicatie vertrouwelijk blijft, om het briefgeheim dus. Alleen kan dat feitelijk niet, de eindpunten kunnen alleen maar de apparaten zijn omdat mensen nou eenmaal niet in staat zijn om in hun brein de gebruikte encryptiealgoritmes uit te voeren. Voor E2EE is daarom nodig dat de apparaten die de eindpunten vormen niet gecompromitteerd zijn. Met CSS zijn ze per definitie wel gecompromitteerd en wordt niet aan de voorwaarden voor E2EE voldaan.

Bij encryptie gaat het nooit alleen om de algoritmes, het gaat altijd ook om hoe ze worden toepast en om de hele werkwijze eromheen. Een van de manieren om encryptie aan te tasten bijvoorbeeld is als altijd een overheidssleutel verplicht wordt om mee te nemen zodat de overheid alle verkeer kan ontsleutelen. Daar zie je ook dat de gebruikte algoritmes zelf niet worden aangetast, iets voor meerdere ontvangers versleutelen is op zich prima, maar dat de zwakheid erin zit dat veel te veel partijen die ene overheidssleutel moeten gebruiken, dat scope creep op de loer ligt, en dat die sleutel steeds makkelijker kan uitlekken naarmate die binnen de overheid breder gebruikt mag worden. Dat wordt als aantasting van sterke encryptie gezien omdat niet de encryptie op zich maar het systeem eromheen wordt verzwakt. Het inbouwen van een aftappunt, en dat nog altijd gebruiken ook, zie ik als een vergelijkbare aantasting van de sterke encryptie zonder het encryptie-algoritme zelf aan te tasten. Het verschil dat jij maakt, tussen CSS en E2EE-verbod, gaat alleen maar over waar dat aftappunt zit, op je eigen apparaat of ergens onderweg.

Voor allebei zijn argumenten aan te voeren waarom ze erger of minder erg zijn. CSS zou je als minder erg kunnen beschouwen omdat de software op je eigen apparaat draait en dus geanalyseerd kan worden op wat het werkelijk doet en zo nog enige controle mogelijk is. Je kan het ook als erger beschouwen omdat het equivalent is aan een verplichte camera in je slaapkamer die alarm slaat als daar blote kinderen in beeld komen, of zoiets, en dat maakt het wel heel big brother-achtig.

Dat zijn weer andere argumenten dan die waarmee jij je afweging maakt dat je CSS enger vindt. Ik weet de afweging niet goed te maken, en ik vraag me af of het wel zinvol is om het een als erger dan het ander te bestempelen. Ik weet wel dat ik beide zie als aantasting van het briefgeheim, én allebei als aantasting van E2EE omdat je bij het beoordelen van encryptie ook de de totale werkwijze waarin die is ingebed mee moet nemen.

Stel, ik word opgescheept met CSS, waarbij aangetoond is dat mijn versleuteling weliswaar niet direct gebroken wordt, maar wel de bedoeling, verwoord in de tekst/foto, achterhaald kan worden.

Dat is alleen bedreigend als ik dat bestand via internet verstuur.
(Maar juist die aanname is nogal twijfelachtig; Want een overheid kan ook besluiten deze scanning altijd uit te voeren, verzonden of niet)
Juist die onzekerheid maakt dat CSS toepassen, enger maakt.

Echter, wat ook onzeker maakt is, dat ik niet kan controleren of in staat ben, dat er een CSS in mijn apparaat is toegepast!
Nog veel engerder dus.

Noob

Exact!

Dank voor de uitgebreide reactie, maar dat vind ik een enorm verschil. Iedereen die denkt dat netwerkverkeer nergens onderweg wordt afgetapt (niet alleen door overheden) is enorm naïef.

Zoals ik eerder schreef m.b.t. on-device-spionage: we hebben enige keuzevrijheid en een "deal met elke duivel" (makers van hardware en besturingssystemen), maar dat is een andere dan met overheden - die alleen maar willen bespioneren (onbekend in welke mate).

Ik heb enige ervaring met reverse engineering: dat is lastig, kost enorm veel tijd en je zou het na elke update moeten herhalen. CSS zal sluipenderwijs onze privacy verder inperken, en van onterecht verdachten zal geroepen worden "waar rook is, is vuur".

Je negeert mijn argument dat het politieke zelfmoord is indien chat-apps, zoals WhatsApp en Signal, verboden worden in de EU omdat de makers ervan weigeren E2EE op te heffen (kijk maar hoe moeilijk het is om TikTok te verbieden). Dat vormt een een enorm machtsblok tegen een E2EE-verbod.

Het grote risico bij CSS is dat de makers van chat-apps, hardware en besturingssystemen hun schouders ophalen bij iets "wat ze in de EU willen", en waar burgers nauwelijks of geen bezwaar tegen maken - "want kinderporno".

Ik ben niet vóór een E2EE-verbod, maar dat is het punt niet: CSS is -politiek gezien- veel kansrijker dan een chat-app-E2EE-verbod. En mocht zo'n chat-app-E2EE-verbod er komen, dan verwacht ik dat dit niet lang stand zal houden.

En mocht dat onverhoopt toch standhouden, dan blijven er, voor privacy-bewuste mensen, voldoende mogelijkheden over om onbespied te kunnen communiceren (het is simpelweg onmogelijk om alle encryptie te verbieden). Bij CSS zal het, voor privacybewuste mensen, steeds lastiger worden om privé te kunnen communiceren, terwijl "perverts", door wat extra moeite te doen, zat mogelijkheden zullen houden om "onder de radar" te blijven.

Is dat wel zo? Opsporing moet ten koste van alles plaatsvinden - blijkbaar. Daarnaast is 'opsporing' hier niet mee geholpen. Immers, de 'daders' weten dat het gebeurt en daarmee gebruiken ze andere communicatie. Per saldo is de winst nagenoeg 0 - in de zin van 'boeven vangen'.Het is een dekmantel (terrorisme en kinderporno zijn dat elke keer weer!) van de overheid om zoveel mogelijk mee te kunnen kijken. Dat zie je in de bankwereld. Dat zie je met alles wat maar geregistreerd moet worden. En dat zie je nu bij communicatie.

Daarnaast: er moet opgetreden worden tegen 'desinformatie'. Wat desinformatie is, dat bepaalt de overheid. Net zoals in China, Rusland en Noord-Korea.

Iedereen ziet het gebeuren. En niemand doet wat.Dat is de enige optie - ofwel: laat de politie gewoon weer aan het werk gaan in plaats van het achter hun bureau te proberen. Maar, daar gaat het helemaal niet om. Het doel is elke keer weer om gewoon mee te kunnen kijken. De DDR deed dat ook al - met de bekende gevolgen. Meer zit er niet achter.

Dan zou ik graag uitgelegd krijgen, waarom men dit doet.

Je vermindert er de criminaliteit en corruptie van hoog tot laag er niet mee.
Die neemt vervolgens eerder toe dan af. Het is alles kunst voor de kunst.

Summa summarum oftewel insgesamt, het versnelt alleen afbraak via chaos veroorzaken en de verdeel en heers.
Er is recentelijk nog geen van de grote zogenaamde problemen opgelost.
Grunne, toeslagaffaire, dreigend pensioen-debakel, groene CO2 gedreven reset, etc. etc.

Maar als je dit stelt, moet je bestreden worden.
Want dan ben je immers een conspiracy theorist of erger.

Dat is iemand, die een gevaar vormt voor het vertrouwen,
dat de sheople in hun overheid moeten hebben en houden.

Is men nu blind voor de feiten?

Men doet dit om mensen te onderwerpen aan wetgeving, die weinig legitiem is.
Een invasieve technologie maakt het allemaal mogelijk.

Lees bijvoorbeeld:
https://hackernoon.com/why-do-governments-indulge-in-the-mass-surveillance-of-citizens-5ecne3xxb

In Nederland is er thans een grote meerderheid te vinden of schijnt er al te zijn
om geen anonieme berichtgeving , zoals o.a. hier, meer toe te laten.

Ergo zou ik dit bericht alleen kunnen versturen na te zijn ingelogd met mijn unieke EU ID of QR-code.

Of als ik slechts kan inloggen op het digitale grid via mijn unieke ID, met naam en toenaam voor ieder te zien.

Men kneedt de onnadenkende massa via de algemene media voor om hiermee akkoord te gaan
of presenteert het zo, dat dit zo al lijkt te zijn. (19% is slechts tegen dit plan).

Of het is zeer profijtelijk voor een bepaalde groep - five eyes, nine eyes, etc.
Hier zien we als bij Mussolini het concept van van grote corporaties
die hand in voet opereren met de staat.
(een vorm van multinationaal fascisme, dat nooit echt weggeweest is, dus)

#bllijvend-voorstander-van-zekere-anonimiteit-en-privacy-tot-het-tegendeel-hiervoor-is-bewezen

CSS is kwalijker dan verbieden van E2EE:
- bij CSS kan je hele device gescanned worden op van alles en nog wat. Zeg maar "een camera in je hele huis"
- bij afluisterbare E2EE of verbieden van E2EE worden alleen verzonden berichten leesbaar. Zeg maar openen en doorlezen van je post.

Bij beide is overigens de vraag of
a) het scannen van iedereen (!) wel proportioneel is (>99% van de mensen is niet crimineel)
b) of het wat gaat oplossen want criminelen vinden wel wat anders ("If guns are outlawed, then only outlaws will have guns!")

Q

Ik weet niet of een meerderheid van de bevolking voorstander is van een verbod. Wel gaan er met enige regelmaat in de pers en de politiek stemmen op om anonieme uitingen op sociale media uit te bannen. Wat begrijpelijk is, omdat politici, wetenschappers, schrijvers en journalisten, en vaak ook gewone burgers, bij de vleet en dermate erg door lafhartige extremisten en dronkenlappen worden bedreigd, dat het fenomeen gezien wordt als een ondermijning van de democratie en het vrije woord. We tolereren toch ook geen bivakmutsen op straat, waarom dan wel bedreiging in anonimiteit op internet? Er zullen vast veel goede anoniemen op de wereld zijn, die het beste voor hebben met de mensheid, maar ik vrees dat de goeden zullen lijden onder het wangedrag van een grote minderheid.

Wat dacht je ervan dat de rechercheurs eens van hun luie kont afkomen en de middelen waar ze nu al gemachtigd voor zijn inzetten. Je kunt niet alle criminaliteit via het internet oplossen. De [MA]IVD lappen sowieso alle wetten aan hun laars.

Met CSS Exfill Protection ben ik tegen 2 van de 4 tests beschermd.

Met Netcraft erbij (alle opties aktief, maar met Credential Leaks krijg je wel problemen met de weergave van foto's en plaatjes in artikelen) ben ik tegen 4 van de 4 bechermd.

Groeten

En welke werkwijze had je hierbij dan in gedachte? Er vanuit gaande dat het om iets gaat wat online heeft plaatsgevonden heeft (en je dus wel offline kan zoeken maar niets zal vinden), de encryptie in transport niet te breken is (dus aan taps heb je ook niets) en devices dusdanig dichtgetimmerd zijn dat je daar ook niets mee kan.

Het cybercriminele kader maakt zich daarom absoluut geen zorgen om dit alles.

De wetsgetrouwe hardwerkende brave burger dus wel en dat tegen alle criminele trends in,
daarbij volledig geobserveerd en gemonitord door de eigen overheden.

Waarom probeert de overheid punten te scoren met het onderdrukken van de massa,
terwijl ze Corrupt en Co veelal ongemoeid laten?

Zie ik dat nu alleen maar zo?

Bovenstaand is in Firefox.
Bij Chrome en Edge heb je alleen CSS Exfil Protection nodig (bij bovengenoemde test), dus geen Netcraft nodig.

Checked, bedankt voor de heads up.
Maar mike-gualtieri dot com beschermt je hierbij niet tegen zijn Google Analytics' Tracking.

Om ons burgers te beschermen tegen de totale surveillance en monitoring door EU
zal er nog wel iets meer nodig blijken.

Zal daar nog ruimte voor gelaten worden, zal men alle communicatie kunnen controleren
en men onderdanen kunnen aansturen als een AI-aan te sturen soort device op de lange duur?

Hebben deze krachten het recht zoiets te doen of verlenen we hen dit zonder verder nadenken?

Ze hopen erop dat we straks evenveel mogelijkheid hebben om ons hiertegen te verzetten
als een schaap tegenover de herder en het vee tegenover de boer.
Dan hebben we deze strijd dus definitief verloren?

Want de WEF-filosoof Yuval Noah Harari stelt dat de mens thans een 'hackbaar' dier is geworden,
en ze ons dus zullen gaan hacken, tenminste diegenen, waarvan ze vinden dat ze over kunnen blijven.

De diensten bestempelen bovenstaande visie nu als verwerpelijk en gevaarlijk conspiratie-denken.
Dit alles bestaat helemaal niet, stellen zij, en het wordt ook niet aangekaart door de grote massa media.

Slaapt u dus rustig verder, terwijl het rondom u heen opgetuigd en ingericht wordt.

Het is weer grappig/verbazend hoe bij een vraag over CSS (=Client Side Scanning) er allerlei opmerkingen komen over CSS (=Cascading Style Sheets). Afgezien van dezelfde afkorting is ongeveer het enige wat ze gemeen hebben dat er een security aspect bij beide zit. Zou dit nu een onbewuste "ik weet ook iets van CSS" reactie zijn, of een bewuste "laten we het topic overnemen" reactie?

Q

Vijf zaken die men moet weten:

https://www.aclu.org/news/national-security/five-things-to-know-about-nsa-mass-surveillance-and-the-coming-fight-in-congress

Als u gevlagd wordt in de USA wordt ook uw hele digitale doopceel gelicht volgens sectie 702.

Trouwens zoals de plannen er nu liggen gaan de EU autoriteiten dit nog eens dunnetjes overdoen.
Alles is vervolgens staatsgeheim en protesteren ertegen vindt men staatsondermijnend.

U bent in feite al rechteloos hierin. Hou dit goed op uw netvlies, brave burger.

#webproxy

Kan iemand mij het verschil tussen CSS en bijvoorbeeld een drone die bij jou thuis komt om door ff al je documenten/fotoboeken zoekt naar <vul maar in>? Anders dan dat je dan een fysiek object door je huis hebt vliegen zie ik dat namelijk niet.

Het is gewoon Big Brother met weer een verdergaande afluisterbevoegdheid.

Iedereen verdacht tot CSS het tegendeel bewijst dat u wel opvolgzaam genoeg bent.

U weet net als bij het panopticum dat u, hen die u observeren niet kunt zien, maar wel bewust moet zijn constant door hun agenten in de gaten gehouden te worden.

Waar is je overheid zo bang voor? Aan misdaad, corruptie en cybercrime kunnen ze geen eind maken, maar ze moeten wel laten zien dat ze zo goed hun best doen. Door de mand gevallen!

Ik denk dat we een aantal initiatieven vanuit de EU naast elkaar moeten zetten: verbieden van E2E, CSS en het thema aangaande desinformatie.

Verbieden E2E encryptie
Ten eerste zou ik de definitie van E2E encryptie willen weten die de EU hanteert. Wat is E2E in dit geval: betreft het de connectie (dus TLS), betreft het een applicatieve E2E toevoeging of beide? Vooralsnog ga ik van de tweede (applicatief) uit, aangezien verbieden van TLS de deur helemaal open zet voor kwaadwillenden.

Overigens ben ik ervan overtuigd dat een kwaadwillende gewoon zelf gaat encrypten als de applicatie die niet meer ondersteund. Dan wordt gewoon encrypted materiaal uitgewisseld.

CSS/CSAR
Ten eerste beperkt dit zich niet tot chatverkeer. Het omvat alle vormen van communicatie (chat, email. SMS, telefonie, gaming, dating), applicatie stores en hosting platforms (cloud services, cloud opslag, etc).

Ten tweede is CSS een van de vormen waarin dit zich zou kunnen gaan plaatsvinden, een andere manier is om bijvoorbeeld altijd een afschrift van ieder bericht niet naar alleen de ontvanger te sturen, maar ook naar een CSAR-engine. CSS wordt nu gepromoot als een privacyvriendelijke manier, wat het natuurlijk totaal niet is.

Vervolgens vindt puur CSS plaats op het device onder controle van een eventuele kwaadwillende. Deze kan door een paar technische maatregelen er gewoon voor zorgen dat CSS niet gaat werken, of niet uitgevoerd wordt (aangepaste client applicatie, eigen DNS (als pihole die de domeinnaam van de CSAM service die bijvoorbeeld de hashes van images bevat niet resolved of resolved naar een "eigen" CSAM-service die fake info voedt), een FW die de URL blokt etc.

Doel?
Het is mij niet geheel duidelijk wat het (officiele) doel hiervan is. Is het de bedoeling om de ontvangers van deze berichten te beschermen, is het de bedoeling om de uitwisseling van KP tussen pedofielen onderling te verhinderen of is het de bedoeling om het vervaardigen te verhinderen? In het eerste geval lijkt me het het beste om de ontvanger van een ongewenst bericht een gemakkelijke manier van rapporteren geven (bijvoorbeeld met een knop in de applicatie, analoog aan rapportage van spam email): dit voorkomt het tappen (en dus als verdacht beschouwen) van iedereen. Het tweede geval ga je niet bereiken: een kwaadwillende zal gewoon of een eigen encryptie eroverheen zetten of een andere manier van uitwisselen gebruiken, waarschijnlijk beide. Het biedt helemaal geen soelaas voor het eigenlijke probleem: het vervaardigen van dit materiaal.

False postives/false negatives
Het automatisch bepalen of een tekstbericht, afbeelding, video of audiobericht een KP bericht is is niet in alle gevallen even gemakkelijk.

Mbt chat/SMS berichten heeft de Zwiterse politie al een proef gedraaid. Hier kwam een 87% false positive rate uit https://piratenpartij.nl/chatcontrole/, wat niet verwondelijk is aangezien een chatbericht een kort berichtje is waar je in het algemeen niet veel mee kunt. Je zult de hele context dan moeten meenemen, wat betekent dat dit eigenlijk alleen kans van slagen heeft als je de volledige geschiedenis van bericht en antwoord meeneemt inclusief een profiel van zender en ontvanger en voedt aan een of andere AI engine. Dit compromiteert dan natuurlijk wel volledig de privacy van iedereen.

Mbt plaatjes (en video's) is eea ook niet eenvoudig. Hoe maak je bijvoorbeeld het onderscheid tussen een foto die een ouder heeft gemaakt van zijn/haar kind tov een pedofiel die daarop geilt? Ik vermoed dat de false positive rate behoorlijk hoog zal zijn (aangezien men als de dood is om iets te missen, en dus eerder gaat voor meer false positives dan false negatives).

Wordt in geval van een match de data doorgestuurd naar een of andere instantie die daar dan naar moet kijken? Welke instantie? In geval van internationaal verkeer, de instantie van de zender of van de ontvanger (of beide)? Waar gaat zo'n instantie de capaciteit vandaan halen om alles te beoordelen (wordt dit uitbesteed?). ? Hoe voorkomen we onterechte verdachtmakingen (zeker in de cancelcultuur die nu heerst)? Hoe voorkomen we dataleakage van dit soort (zeer gevoelige) gegevens?

Kortom, dit gaat op dit vlak meer problemen veroorzaken dan oplossen (maar daar verzint men dan ongetwijfeld wel weer een technische oplossing voor, en daar weer voor, en daar weer voor, etc totdat de privacy volledig weg is).

Ministery of truth
Een groot probleem is wie in dit geval gaat optreden als instantie die bepaalt of iets KP, desinformatie, of andersoortige ongewenste content is. Welke normen worden gehanteerd? Die zijn per land bijna verschillend. Wanneer wordt een afbeelding/video als ongepast aangemerkt? In de US denkt men daar volledig anders over dan in Nederland. Zelfs binnen een enkel land als Nederland is er niet een eenduidige norm (vgl de woke community, verschil tussen stad en platteland etc).

Wanneer is iets desinformatie? Is iets al desinformatie als het tegen de gangbare (van overheidswege gehanteerde) mening ingaat (zoals in Rusland/Turkije etc)? Zelfs op basis van "feiten" wordt eea al lastig: wat is de bron van een feit, wie bepaalt de betrouwbaarheid van zo'n bron? Maar al te vaak worden zaken (zelfs cijfermatig materiaal) zodanig gepresenteerd zodat dit de brenger van de boodschap ondersteund. Echter hetzelfde cijfermateriaal zou ook een volstrekt andere boodschap kunnen ondersteunen: het is maar hoe je dit presenteert. Ter vergelijk: een accountant kan (in gevallen) met dezelfde cijfers een heel rooskleurig beeld van een bedrijf schetsen, maar met dezelfde cijfers ook een zwartgallig beeld. Het is maar wat het doel van het rapport is.

Zelfs wetenschappelijke zaken zijn niet zonder meer aan te merken als betrouwbare informatie. Niet alle wetenschappers zijn het altijd met elkaar eens. Het komt ook regelmatig voor dat een op dat moment gehanteerde wetenschappelijk onderbouwde stelling, later onderuit wordt gehaald.

Al met al een heel gevaarlijke ontwikkeling. Dit riekt al snel naar censuur (en hoe ga je dit uiteindelijk voorkomen)?

Scope creep
Op dit moment wordt KP aangevoerd als argument. Echter, de geschiedenis leert dat instrumenten die eenmaal zijn ingevoerd (en worden "geaccepteerd") beetje bij beetje worden opgerekt (salami taktiek) om onder het mom van andere redenen de scope steeds verder uit te breiden. En omdat het steeds maar kleine stapjes zijn heeft het gros van de mensen dit niet in de gaten (vaak wordt de taktiek gehanteerd om een forse uitbreiding te beargumenteren, die dan vervolgens veel tegenreacties oproepen, waarbij de oorspronkelijke uitbreiding iets in te perken, die vervolgens wel wordt aangenomen, maar waarbij de scope uiteindelijk wel weer iets opgerekt, etc, etc). Vergelijk hierbij bijboorbeeld de ANPR camera's: oorspronkelijk bedoeld voor rijkswaterstaat om bijvoorbeeld de extra rijstroken mee te monitoren (op bijvoorbeeld ongevallen), vervolgens door justitie aangegrepen en vervolgens de belastingdienst hier toegang toe te geven. Vergelijk de vingerafdrukken in identiteitsbewijzen: oorspronkelijk alleen in paspoort met alleen opslag hiervan in de chip, vervolgens ook in het ID bewijs, vervolgens wil men nu naar centrale opslag van zowel vingerafdrukken als gezicht, nu enkel voor uitgite doeleinden (wat nergens op slaat); we kunnen erop wachten dat justitie toegang tot deze database zal krijgen, dat deze met additionele biometrische gegevens zal worden uitgebreid (ik hou mijn hart vast voor een datalek vanuit deze database).

Conclusie
Bovenstaande bezwaren bestaan wat mij betreft zowel voor het verbieden van E2E encryptie als het invoeren van iets als CSS. Voor beide oplossing geldt dat het een zeer disproportionele maatregel is (een minimaal percentage van het totaal aantal berichten of personen is kwaadaardig, waarbij wel iedereen continu onder de tap wordt gezet (waar normaal gesproken een rechterlijk bevel voor nodig is).

Beide implementaties hebben als probleem dat het waarschijnlijk meer problemen gaat veroorzaken dan oplossen.

Beide implementaties schenden het briefgeheim. Het argument dat CSS op basis van hashes werkt en daardoor de privacyvriendelijker zou zijn houdt geen stand. Het blijft "magische" software die met de informatie kan doen wat deze wil: of dit nu centraal plaatsvindt of decentraal is om het even. Uiteindelijk zullen veel false positives worden gedetecteerd, die door mensen zullen worden beoordeeld, gekoppeld aan de profielen van de zender/ontvanger. Verder zul je bij CSS (als het niet om simpele plaatjes gaat), vaak van een AI-achtige service en de context gebruik moeten maken om resultaat te kunnen hebben: dit zal nooit decentraal kunnen, waardoor eea toch weer centraal plaatsvindt.

Als ik naar de doelbinding kijk, die mij niet geheel duidelijk is (gaat het om verspreiding of om bescherming van een ontvanger), dan is of een veel privacyvriendelijker alternatief beschikbaar of gaat het niet werken. In beide gevallen betreft het symptoombestrijding: het eigenlijke probleem, namelijk het vervaardigen van KP waarmee de kinderen die het betreft beschermt, wordt niet opgelost en zal dus blijven plaatsvinden. De verantwoordelijken zouden dit toch ook moeten begrijpen of is er toch een verborgen agenda?

Uiteindelijk is het zo dat je aan CSS zelf wat kunt doen: geen gebruik van closed source applicaties, hosten van een eigen server, eigen DNS, firewall etc. Dit zou dus een voordeel van deze implementatie tov E2E verbieden kunnen zijn. Echter, wel moet je hier erg veel tijd insteken, zeker om up-to-date te blijven. Het gros van de mensen zal hier niet toe in staat zijn, waardoor het eventuele voordeel in 99% van de gevallen niet opgaat.

Overigens vertrouw ik op dit moment een groot deel van de applicaties niet dat deze goed omgaan met E2E encryptie. Dit is nogal afhankelijk van waar en hoe de keys worden gegenereerd en wie er toegang tot heeft. En wie zegt me nu al niet dat er toch stiekem een afslag wordt gemaakt? Dit is eigenlijk alleen te voorkomen als je enkel open source oplossingen gebruikt en er veel tijd insteekt om deze te beoordelen.

Voor cloud opslag, email e.d. wordt er nu al openlijk door bepaalde aanbieders gemeld dat deze nu wordt gescand voor commerciele toepassingen: dus wanneer daar niet encrypted data naar toe gaat (wat in veel gevallen zal gebeuren) is de privacy sowieso gecompromitteerd (daarom wordt er in mijn geval enkel client-side encrypted data naar toe gezet, of maak ik gebruik van een on-prem NAS). Laat staan het "recht' om de data te delen met sub-aanbieders, zonder enige garantie wat die daar mee doen.

Ik ga er nu al vanuit dat wanneer ik gebruik zou maken van closed source chat apps (wat ik niet doe) dat eea al niet meer prive is. E2E wordt vrees ik vaak enkel als marketing argument gebruikt, waarbij de implementatie mogelijk zodanig is dat je het niet echt als E2E kunt beschouwen (als een key centraal wordt gegenereerd is het sowieso einde oefening).

Een nadeel van CSS is verder dat hiervoor gebruik wordt gemaakt van resources van een gebruiker (CPU, opslag, RAM). Voordeel voor de aanbieders, maar de gebruikers moeten dan investeringen doen (dit gaat gewoon capaciteit kosten) om zijn privacyschending zelf te financieren. In het kader daarvan uiteindelijk een negatief punt voor CSS, maar eea is wat mij betreft een close call.

Uiteindelijk zijn beide scenario's zeer onwenselijk, gezien de marginale opbrengst (als die er al is) tov de enorme impact.

Het is geen kwestie van erger, maar van word je liever door de kat dan door de hond gebeten. Beide zijn gewoon niet goed en uitermate onwenselijk.

Het zou wel eens goed zijn, als we hier een verklaring horen, waarom autoriteiten dit toch willen overal?

Waarom wil men alle data van iedere burger ter wereld onder de loep leggen?

Is het machtshonger over de individuele onderdaan uitoefenen?
Van mensen AI aanstuurbare robotjes maken?

Wie legt het eens duidelijk uit wat er speelt, want het wordt eng zo onderhand.

QR, Cbdc, digi-ID, CSS op sociale media,
ergo ant-informatie acties en censuur gepresenteerd als gevolg van anti-desinfo fact-checking.

Lees hier een aantal argumenten tegen Biometrische Massa Surveillance:

https://edri.org/wp-content/uploads/2020/05/Paper-Ban-Biometric-Mass-Surveillance.pdf

Hoeveel mesnen hier zijn er voor het handhaven van onze Europese Digitale Rechten
en welke kan uitholling van de nog overgebleven digitale rechten niets schelen?

Aan hen zullen we onze digitale slavenstatus vervolgens te wijten hebben,
want we hebben aan hen niets te danken - aan de EDRi voorvechters wel.

luntrus

Toch schijnt een flink deel der zogenaamde generatie-Z en soms wel tot een vijfde van mensen uit het politieke midden
voorstander te zijn van een Orwelliaans overheidstoezicht binnen elk huis/gezin (via cameratoezicht etc.).

Lees de cijfers: https://uncutnews.ch/wie-im-orwellschen-zeitalter-fast-ein-drittel-der-generation-z-befuerwortet-ueberwachungskameras-der-regierung-in-jedem-haushalt/

Voor velen van de oudere generatie een DDR-achtige Alptraum-gedachte.

Hoe ligt de situatie in Nederland van nu? Hoe denken onze "Zoomers" hierover?

In mijn geval vind ik het ook niet acceptabel van AV vendors. Het is de reden dat ik mij ben gaan verdiepen in whitelisting om bepaalde verzoeken van standaardprogramma's te kunnen mitigeren waar ze geen toestemming voor gevraagd hebben en dus waarbij ze daarvoor geen verkeet mogen versturen naar het internet vanuit mijn systemen. Maakt het ook gelijk wat rustiger voor je pc want ze haken af en dan heb je minder rotzooi om mee om te hoeven gaan

Kijk, ik kan het wel billijken als ik dat zelf doe of zou doen.
Of met een zelf geinitialiseerd scannertje of zelf-ontworpen scan-code.

Als ik een analyse wil doen van bijvoorbeeld een GULoader proces.

Bij mij gaat het erom, wie scant dan vervolgens via CSS onze zogeheten custodians
(overheid, EU, Big Tech etc.).

Quis custodiet ipsos custodes, verzuchtte Juvenal in zijn Satires.
Dat was in de klassieke oudheid dus reeds al het probleem.

Gelijke regels voor iedereen.
Wilt u geen deel van de oplossing uitmaken, vormt u onderdeel van het probleem.

Hoe veel duidelijker wil je dit maken tegenover een steeds hiervoor wegduikende overheid en gemanipuleerde
of collaborerende massa, bedrijfsleven, media. die dat ook steeds meer opgelegd krijgt via een externe agenda?

luntrus

Ik las vandaag over misschien wel een hele leuke oplossing voor dat client side scanning.
Namelijk een op basis van Lorawan netwerk versleuteld tekst berichten uitwisselen.
Zo'n low power Lorawan node kan wel een bereik van 200km hebben zo word gezegd.

Ik wil me hier eens wat meer in verdiepen mij lijkt het wel mogelijk een mooie oplossing.
Geen provider nodig, decentraal en toch een dekkend netwerk. Sommige noemen het zelfs jungle proof.

Met deze links ga ik eens beginnen,
Misschien koop ik wel zo'n lorawan node als meer mensen dat doen dan is dat misschien een leuke oplossing als CSS realiteit mocht worden.

https://www.youtube.com/watch?v=2v-oRkI7o08
https://meshtastic.org/

L.S.

Argumenten tegen : https://www.internetsociety.org/resources/doc/2020/fact-sheet-client-side-scanning/

Kabinet heeft al aangegeven alle bezwaren naast zich neer te leggen (en waarschijnlijk al getekend bij het EU-kruisje).

Ik zou maar oppassen:
CSS is niet te vermijden, het zit werkelijk overal ;-)

Een alternatief zou kunnen zijn, voor iedereen verplicht een XBlock smut-blokkeer extensie verplicht stellen.
(Statelijk geimplementeerd volgens regels der overheid).

Maar dat zal wel niet de bedoeling zijn men wil ook o.a. op afwijkende meningen kunnen scannen via algoritmen en hashes.

Daarom vraagt men nu al bij het afsluiten van een accountje of bankovereenkomst een copie-ID (geanonimiseerd paspoort e.d.).

Het zal zo ver gaan, dat men er bijna niet meer onderuit zal komen om elke persoon te gaan chippen.

Iemand?

Zal men technologie zoals de JARM Tool gaan inzetten om bepaalde ongewenst gedrag/uitingen op te sporen?

U zult schuldig blijven tot u zelf het tegendeel heeft weten te bewijzen. U kunt geblacklist worden of erger.

Geen leuke vooruitzichten.

Het wordt nog veel erger, IS nog veel erger dan je denkt:
https://www.ninefornews.nl/advocate-legt-uit-mogen-banken-je-financiele-transacties-controleren-en-vragen-stellen/