image

EU lanceert adviesgroep voor toegang tot data door opsporingsdiensten

vrijdag 9 juni 2023, 09:43 door Redactie, 35 reacties
Laatst bijgewerkt: 14-06-2023, 13:06

De Europese Unie gaat een adviesgroep lanceren die advies zal uitbrengen over hoe opsporingsdiensten toegang tot digitale gegevens kunnen krijgen en hoe er met zaken als end-to-end encryptie moet worden omgegaan. Het advies van deze 'High-Level Expert Group' kan leiden tot Europees beleid en wetgeving. Gisteren hadden de Europese ministers van Justitie overleg over de adviesgroep.

"Technologische ontwikkelingen kunnen een zegen en een vloek voor opsporingsdiensten zijn. Ze helpen de autoriteiten om hun werk te doen om misdaad tegen te gaan, maar bieden ook nieuwe mogelijkheden voor criminelen. Ik ben blij dat de ministers akkoord zijn gegaan met onze aanpak voor dit probleem", aldus Gunnar Strömmer, de Zweedse minister van Justitie.

"In alle landen, inclusief Nederland, maakt men zich grote zorgen over een fenomeen dat we 'going dark' noemen. Namelijk dat allerlei technologie die wij ook allemaal gebruiken, en die heel belangrijk is, encryptie, versleutelde berichten, om onze eigen privacy te beschermen, dat die niet alleen voor goede redenen gebruikt worden, maar er ook steeds meer criminelen gebruik van maken om zich achter te verschuilen en het steeds moeilijker voor politie- en inlichtingendiensten wordt om toegang tot dat soort data te krijgen om criminelen aan te pakken", aldus CDA-Europarlementariër Jeroen Lenaers tegenover BNR.

Geregeld stellen experts dat deze voorstelling van zaken niet klopt, omdat inlichtingendiensten in een "gouden eeuw van surveillance" leven. Het aftappen van versleutelde berichten is lastiger geworden, maar zoveel andere vormen van surveillance zijn tegenwoordig veel eenvoudiger. Daarnaast kan de metadata die wel beschikbaar is vaak zeer veel informatie over het privéleven van iemand prijsgeven en met wie, wanneer en op welk moment er is gecommuniceerd.

Onlangs bleek uit onderzoek dat minister Yesilgöz van Justitie en Veiligheid had laten uitvoeren dat niet vast te stellen is wat voor soort impact encryptie op politieonderzoeken heeft. Versleuteling maakt de opsporing eigenlijk niet anders dan bijvoorbeeld een verdachte die niets wil zeggen. In beide gevallen moet de politie manieren bedenken om de cruciale informatie toch te krijgen, aldus de onderzoekers.

"Het dilemma is dat je voor ons goede burgers die bescherming intact wilt houden, maar dat je voor criminelen een manier wil zoeken om daardoor heen te kunnen breken en dat is heel lastig", stelt Lenaers. "Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn. We moeten ophouden dat privacy en veiligheid altijd met elkaar in conflict kunnen zijn. Het is de uiteindelijke bedoeling om met een aanbeveling te komen die juist beide versterkt." De adviesgroep die onder andere uit privacy- en beveiligingsexperts en politie bestaat komt over een jaar met aanbevelingen.

Reacties (35)
09-06-2023, 11:11 door Anoniem
"High-level" brrrrr, geen goede aan de vorige groep van de EU die dat ook in hun naam droeg. Het was een soort ministerie van waarheid maar bleek zelf daar ook niet zo goed in.

Opsporingsdienten kunnen pas weer zich met dit bezig gaan houden als de kwantum computers daar breed voor ingezet kunnen worden. En natuurlijk is er dan ook kwantum encryptie beschikbaar voor de criminelen.

Beter is om al dat geld voor iets anders te gebruiken waar wij ook wat aan hebben.
09-06-2023, 11:16 door Anoniem
"Going dark" is iets dat criminelen al jaren doen...
Zij het niet encryptie, dan is het wel stenografie, of zelfs gewoon codetaal.

"Mama gaat morgen de was doen" betekent dan dat de baas morgen het geld wit gaat wassen.
"Ruim je kamer op voordat ik langskom" betekent dan dat je alle losse eindjes zo snel mogelijk opgeruimd moet hebben.

Bang zijn voor "going dark" heeft dus geen nut, want je houd het toch niet tegen zonder de maatschappij fundamenteel stuk te maken.

Onlangs bleek uit onderzoek dat minister Yesilgöz van Justitie en Veiligheid had laten uitvoeren dat niet vast te stellen is wat voor soort impact encryptie op politieonderzoeken heeft.
Ze hebben dus niet kunnen vaststellen dat encryptie een probleem vormt. Wil je er dan nog meer moeite in stoppen?

"Het dilemma is dat je voor ons goede burgers die bescherming intact wilt houden, maar dat je voor criminelen een manier wil zoeken om daardoor heen te kunnen breken en dat is heel lastig", stelt Leenaerts.
Probleem is dat criminelen een subset zijn van burgers.
Hier ga je niet uit komen zonder backdoor of encryptieverbod.
Beide zijn niet populair en slecht voor de privacy en veiligheid.

Misschien is het verstandiger om tijd te steken in methoden en procedures om sneller en efficiënter te kunnen werken.
Dan kan je andere zaken nog onderzoeken terwijl het spoor nog warm is.
Of zet in op het beter gebruiken van informatie die je al hebt.
09-06-2023, 11:30 door Anoniem
Zolang deze groep maar bestaat uit daadwerkelijke ICT'ers en niet uit politici...
(Dan wel liefst de ICT'ers die privacy bewust zijn, natuurlijk.)
09-06-2023, 11:47 door majortom - Bijgewerkt: 09-06-2023, 11:48
Namelijk dat allerlei technologie die wij ook allemaal gebruiken, en die heel belangrijk is, encryptie, versleutelde berichten, om onze eigen privacy te beschermen, dat die niet alleen voor goede redenen gebruikt worden, maar er ook steeds meer criminelen gebruik van maken om zich achter te verschuilen en het steeds moeilijker voor politie- en inlichtingendiensten wordt om toegang tot dat soort data te krijgen om criminelen aan te pakken", aldus CDA-Europarlementariër Jeroen Leenaerts tegenover BNR.
Een keukenmes kan gebruikt worden in de keuken maar ook gebruikt worden om iemand te vermoorden. We verbieden dit gereedschap toch ook niet? Dit geldt voor alle zaken: het kan ten goede maar ook ten kwade worden gebruikt.
09-06-2023, 12:17 door Anoniem

Een keukenmes kan gebruikt worden in de keuken maar ook gebruikt worden om iemand te vermoorden. We verbieden dit gereedschap toch ook niet? Dit geldt voor alle zaken: het kan ten goede maar ook ten kwade worden gebruikt.

Al eens die bordjes gezien van messen 18+ in de winkel. Totale bs want je kan er ook 1 uit de keukenla thuis of een rommelmarkt halen. Veiligheids theater is nog altijd makkelijker dan iets aan de onderliggende problemen te doen
09-06-2023, 12:18 door Anoniem
Tja tussen de goede burgers zou je altijd kwade houden,dat is al denk ik zins het leven bestaat,er is al goed en kwaad. Vroeger sloegen mensen ook al als ze het niet met elkaar eens waren in sommige gevallen de hersens al in.
Dat is nu ook al zo helaas met oorlogen,dat ze elkaar afslachten. Het grootste wereld probleem is niet het klimaat,maar dat er geen wereldvrede heerst,daardoor krijg je ook een groot vluchtelingen probleem oa,waar we allemaal ook niet op zitten te wachten. Je ziet hier ook met de encryptie nu ook dat ze er meer zicht op willen hebben,dat de goede mensen misschien de dupe worden op internet met hun gedrag en alle data wordt nagegeken net als een bigbrother.
De bedoeling moet zijn dat alleen de de kwade eruit gefilterd kunnen worden,maar ja opsporingsdiensten zouden als ze succes willen bereiken er wel wat voor moeten doen om het kwaad aan te pakken. Het moet niet zo zijn dat 123 ze hun werk bereikt hebben. Werken moet wel een uitdaging blijven anders kan je net zo goed heel Nederland aan een uitkering zetten bij wijze van spreken,dat werken eigenlijk helemaal geen nut heeft in het leven voor iedereen.
De beste methode om iedereen tevreden te houden en dat misschien in sommige gevallen de criminaliteit daalt onder een aantal mensen,door het levensonderhoudt gewoon stukke goedkoper te maken,de dure prijzen zijn gewoon aanzet dat sommige mensen steeds meer centen willen hebben,om wat beter te kunnen leven. Door aan extra centen te komen gaan ze bijvoorbeeld in de criminaliteit.
Beste overheid,zorg in eerste instantie dat het levensonderhoudt gewoon goedkoper kan,voor iedereen ga wat beter om met de belastingcenten in de staatskas die we met zijn allen betalen,strooi ze niet over de balk voor onzinnige projecten,geef er alleen echt wat van uit aan de strikt noodzakelijke dingen binnen de Nederlandse Democratie en infrastructuur,zodat het voor iedereen goed blijft gaan om hier te kunnen leven, bijvoorbeeld,gooi o.a niet de duurste accijns van Europa bijvoorbeeld weer bij de brandstof na een bepaalde tijd om zo de staatskas weer extra te vullen,geld komt zat binnen aan een aantal belastingen zodat de staatskas op pijl blijft.
Tot slot hoop ik dat iemand van de regering deze tekst leest,dat ze in feite hier wel wat mee kunnen doen.
09-06-2023, 12:27 door Anoniem
Door Anoniem: "Going dark" is iets dat criminelen al jaren doen...

Probleem is dat criminelen een subset zijn van burgers.
Hier ga je niet uit komen zonder backdoor of encryptieverbod.
Beide zijn niet populair en slecht voor de privacy en veiligheid.

.

O jawel hoor.
Daar kan je best wel uitkomen zonder backdoor en/of encryptieverbod.
Je kan echt opsporing bevorderen met behoud van informatieveiligheid en privacy.

Ik weet wel hoe dat kan.
Het werkt alleen niet voor alle situaties.
Dan nog kan opsporing beter focus aanbrengen. En dus menskracht en doorlooptijd besparen. En dus effectiviteit worden vergroot.
09-06-2023, 13:07 door Anoniem
Door majortom:
Namelijk dat allerlei technologie die wij ook allemaal gebruiken, en die heel belangrijk is, encryptie, versleutelde berichten, om onze eigen privacy te beschermen, dat die niet alleen voor goede redenen gebruikt worden, maar er ook steeds meer criminelen gebruik van maken om zich achter te verschuilen en het steeds moeilijker voor politie- en inlichtingendiensten wordt om toegang tot dat soort data te krijgen om criminelen aan te pakken", aldus CDA-Europarlementariër Jeroen Leenaerts tegenover BNR.
Een keukenmes kan gebruikt worden in de keuken maar ook gebruikt worden om iemand te vermoorden. We verbieden dit gereedschap toch ook niet? Dit geldt voor alle zaken: het kan ten goede maar ook ten kwade worden gebruikt.

Ik begrijp dat u zich niet bewust bent over de discussie die momenteel loopt rond het messendragen (en -gebruik) door jeugd, het verbod op wapenbezit, enz. Regulering rond allerlei medictijnen die alleen via artsen voorgeschreven en gebruikt mogen worden, enz. Regulering van allerlei zaken die goed en slecht gebruikt kunnen worden is aan de orde van de dag, dus waarom zou dit gebied een uitzondering moeten zijn?
09-06-2023, 14:05 door majortom - Bijgewerkt: 09-06-2023, 14:06
Door Anoniem:
Door majortom:
Namelijk dat allerlei technologie die wij ook allemaal gebruiken, en die heel belangrijk is, encryptie, versleutelde berichten, om onze eigen privacy te beschermen, dat die niet alleen voor goede redenen gebruikt worden, maar er ook steeds meer criminelen gebruik van maken om zich achter te verschuilen en het steeds moeilijker voor politie- en inlichtingendiensten wordt om toegang tot dat soort data te krijgen om criminelen aan te pakken", aldus CDA-Europarlementariër Jeroen Leenaerts tegenover BNR.
Een keukenmes kan gebruikt worden in de keuken maar ook gebruikt worden om iemand te vermoorden. We verbieden dit gereedschap toch ook niet? Dit geldt voor alle zaken: het kan ten goede maar ook ten kwade worden gebruikt.

Ik begrijp dat u zich niet bewust bent over de discussie die momenteel loopt rond het messendragen (en -gebruik) door jeugd, het verbod op wapenbezit, enz. Regulering rond allerlei medictijnen die alleen via artsen voorgeschreven en gebruikt mogen worden, enz. Regulering van allerlei zaken die goed en slecht gebruikt kunnen worden is aan de orde van de dag, dus waarom zou dit gebied een uitzondering moeten zijn?
Ik hoef niet jonger te zijn dan 18 om rottigheid met zoiets uit te halen. Er wordt helemaal niets verboden, hooguit dat iemand onder de 18 iets niet in een reguliere winkel kan kopen. O ja, daar hebben we het probleem mee verholpen. not. Maar nog steeds zijn messen niet verboden, wat men wel met E2E encryptie wil doen.
09-06-2023, 15:09 door Anoniem
"Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn.
Welke mensen zouden in die expertgroep deel willen nemen?

Want daadwerkelijke experts weten dat het "en en" volstrekt onmogelijk is. Maar de politiek accepteert vast geen expertgroep die na 1 dag met de conclusie komt: Wat jullie willen is niet mogelijk. Leg je er bij neer dat opsporingsdiensten weer op de ouderwetse manier boeven moeten vangen.
09-06-2023, 17:06 door Anoniem
Door Anoniem:
"Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn.
Welke mensen zouden in die expertgroep deel willen nemen?

Want daadwerkelijke experts weten dat het "en en" volstrekt onmogelijk is. Maar de politiek accepteert vast geen expertgroep die na 1 dag met de conclusie komt: Wat jullie willen is niet mogelijk. Leg je er bij neer dat opsporingsdiensten weer op de ouderwetse manier boeven moeten vangen.

Zie mijn post 12:27.
Het kan echt wel.
Je hoeft niet de cryptologie verzwakken om opsporingsdiensten toegang te geven.
Er zijn omwegen die wel de overheidsdiensten toegang geven, maar de bescherming tegen alle andere actoren onveranderd laten.

De fundamentalist zal dit niet willen
de pragmaticus wel.

Ook mijn oplossing is niet waterdicht in de zin dat opsporingsdiensten alle encrypted verkeer zouden kunnen zien.
Iemand kan toch aan de opsporing van opsporingsdiensten ontkomen.

Er is inderdaad geen silver bullit
maar veel kan wél
09-06-2023, 17:59 door Anoniem
Tuig iets op als een soort van digitale VOG. (verklaring omtrent het gedrag).

Maak vervolgens duidelijk dat Nederland een schat aan informatie bevat,
die het waard is om verdedigd te worden door integere burgers,
die hun privacy en anonimiteit bewezen hebben waard te zijn.

Kun je de individuele misbruikers niet aanpakken,
pak dan hun gelegenheidsbieders aan. (dief en heler)
Veel misbruik op een bepaalde range, hup 3 strikes out.
Uiteindelijk dus neerhalen die hap ellende qua cybercriminaliteit.

Hier kan men het toch ook vaststellen: https://www.abuseipdb.com/
en hier: https://urlhaus.abuse.ch/verify-ua/

Waarom kunnen autoriteiten dit dan niet?
Ik sta nergens op een blacklist.
Mijn persoonlijke data lopen immers toch ook steeds gevaar.

Weer een hengelmailtje weg moeten gooien over mijn Digid
(scammers, die uit zijn op mijn burgerservicenummer en inlog?).

Wij waken,.opdat u vrij en onverveerd op Internet kan vertoeven.
Zo zou het moeten zijn.
Zoiets wil toch iedereen, en voor diegenen,
die dat niet willen moet er online geen plaats meer zijn.

luntrus
09-06-2023, 18:04 door karma4
https://www.security.nl/posting/799012/VS+looft+5+miljoen+dollar+uit+voor+vermeende+leverancier+cryptotelefoons+FBI

End to end is enkel beperkt door de provider wie de provider ook mag zijn. Duidelijker als dit is het niet.
09-06-2023, 19:36 door Anoniem
Door Anoniem:
Door Anoniem:
"Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn.
Welke mensen zouden in die expertgroep deel willen nemen?

Want daadwerkelijke experts weten dat het "en en" volstrekt onmogelijk is. Maar de politiek accepteert vast geen expertgroep die na 1 dag met de conclusie komt: Wat jullie willen is niet mogelijk. Leg je er bij neer dat opsporingsdiensten weer op de ouderwetse manier boeven moeten vangen.

Zie mijn post 12:27.
Het kan echt wel.
Je hoeft niet de cryptologie verzwakken om opsporingsdiensten toegang te geven.
Er zijn omwegen die wel de overheidsdiensten toegang geven, maar de bescherming tegen alle andere actoren onveranderd laten.

De fundamentalist zal dit niet willen
de pragmaticus wel.

Ook mijn oplossing is niet waterdicht in de zin dat opsporingsdiensten alle encrypted verkeer zouden kunnen zien.
Iemand kan toch aan de opsporing van opsporingsdiensten ontkomen.

Er is inderdaad geen silver bullit
maar veel kan wél

Als eigen diensten erbij kunnen, dan kunnen andere (vijandige) diensten, bedrijfs-spionnen en criminelen dat (potentieel) ook.
09-06-2023, 21:42 door Anoniem
Welke mensen zouden in die expertgroep deel willen nemen?
De vraag is eerder wie de EU er in wil hebben. "Experts", wij van WC-Eend zullen ze bedoelen. Nee, wat dat aangaat hoeven we geen serieuze samenstelling te verwachten die neutraal gaat kijken naar de vraag waar al talloze keren naar gekeken is, en waar telkens geconcludeerd werd dat dit niet kan - tenminste, niet zonder grote gaten te slaan in de beveiliging en privacy, en ongebalanceerde macht toe te kennen aan de buitengewoon schimmige opsporingsdiensten.
10-06-2023, 09:18 door Anoniem
Door Anoniem: "Going dark" is iets dat criminelen al jaren doen...
Zij het niet encryptie, dan is het wel stenografie, of zelfs gewoon codetaal.

"Mama gaat morgen de was doen" betekent dan dat de baas morgen het geld wit gaat wassen.
"Ruim je kamer op voordat ik langskom" betekent dan dat je alle losse eindjes zo snel mogelijk opgeruimd moet hebben.

Bang zijn voor "going dark" heeft dus geen nut, want je houd het toch niet tegen zonder de maatschappij fundamenteel stuk te maken.

De misdaad is al druk bezig de maatschappij fundamenteel stuk te maken dus een beetje stuk maken bij de bestrijding
daarvan mag best!
Die "gemakkelijke codetaal" die was door de recherche natuurlijk allang gekraakt en dat is met encryptie wat lastiger.

Wel heeft het recente verleden uitgewezen dat het aanbieden van "veilige communicatie" aan criminelen, die dan in
werkelijkheid niet zo veilig is, heel goed kan werken. Dus ik neem aan dat men daar ook meer op inzet.
10-06-2023, 10:35 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
"Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn.
Welke mensen zouden in die expertgroep deel willen nemen?

Want daadwerkelijke experts weten dat het "en en" volstrekt onmogelijk is. Maar de politiek accepteert vast geen expertgroep die na 1 dag met de conclusie komt: Wat jullie willen is niet mogelijk. Leg je er bij neer dat opsporingsdiensten weer op de ouderwetse manier boeven moeten vangen.

Zie mijn post 12:27.
Het kan echt wel.
Je hoeft niet de cryptologie verzwakken om opsporingsdiensten toegang te geven.
Er zijn omwegen die wel de overheidsdiensten toegang geven, maar de bescherming tegen alle andere actoren onveranderd laten.

De fundamentalist zal dit niet willen
de pragmaticus wel.

Ook mijn oplossing is niet waterdicht in de zin dat opsporingsdiensten alle encrypted verkeer zouden kunnen zien.
Iemand kan toch aan de opsporing van opsporingsdiensten ontkomen.

Er is inderdaad geen silver bullit
maar veel kan wél

Als eigen diensten erbij kunnen, dan kunnen andere (vijandige) diensten, bedrijfs-spionnen en criminelen dat (potentieel) ook.

Dat is echt niet waar.

Ik zeg toch.
eigen diensten kunnen erbij zonder dat de cryptologie wordt verzwakt.
10-06-2023, 11:31 door Anoniem
Door Anoniem: De misdaad is al druk bezig de maatschappij fundamenteel stuk te maken dus een beetje stuk maken bij de bestrijding daarvan mag best!

Welk onderscheid is er dan nog tussen de misdaad en de bestrijders, als ze beiden schadelijk zijn voor het functioneren van de maatschappij?
Zo verworden de bestrijders tot wat ze bestrijden.

Iets van: Of je nu door de kat of de hond gebeten wordt, gebeten wordt je toch.
Normaal gesproken worden bijtende honden en katten afgemaakt door de maatschappij.

Tel uit je winst.
10-06-2023, 13:45 door Anoniem
Laat die adviesgroep maar zitten!
Omdat ik mij heel goed kan verplaatsen in de denkwijze van de EU en de formele problemen waarmee zij te kampen heeft, luidt mijn tip voor de EU: maak van de Nederlandse "Check je Hack" van de politie een Europese versie en noem die: "Check je EU-hack".
Zorg ervoor dat elke Europese burger daar kan zien wat de 24/7 hack van zijn data heeft opgeleverd ("wij monitoren 24/7 voor Uw veiligheid"):
Categorie 1: groen vinkje: alles O.K., geen reden tot nader onderzoek.
Categorie 2: oranje vinkje: er zijn redenen voor nader onderzoek, maar nog onduidelijk welke reden precies (kan een fout in onze algoritmen zijn).
Categorie 3: rood uitroepteken: wij hebben wat gevonden en u ontvangt z.s.m. bericht van ons.
Op deze wijze wordt het (duivelse) dilemma tussen privacy van de burgers en de verantwoordelijkheid van de EU voor de veiligheid van de Europese bevolking op een manier opgelost die elke redelijk denkende burger - dit is de meerderheid - tevreden zal stemmen. Hij/zij wordt dan immers beschermd (veiligheid) met respect voor zijn/haar privacy. In alle transparantie - een groot goed in een liberale democratie - zal de burger kunnen controleren inhoeverre het 24/7 hacken van zijn data terecht of onterecht was.
Ik voorspel een successtory voor de EU. Geen enkele burger, alleen een piepklein minderderheidje, dat altijd al merkwaardige, om niet te zeggen "extreme" ideeën heeft, zal het gevoel krijgen dat hij/zij opgelicht wordt.

Geen dank!
10-06-2023, 15:07 door Anoniem
Door Anoniem:
Door Anoniem: De misdaad is al druk bezig de maatschappij fundamenteel stuk te maken dus een beetje stuk maken bij de bestrijding daarvan mag best!

Welk onderscheid is er dan nog tussen de misdaad en de bestrijders, als ze beiden schadelijk zijn voor het functioneren van de maatschappij?
Zo verworden de bestrijders tot wat ze bestrijden.

Iets van: Of je nu door de kat of de hond gebeten wordt, gebeten wordt je toch.
Normaal gesproken worden bijtende honden en katten afgemaakt door de maatschappij.

Tel uit je winst.

er is toch wel een fundamenteel verschil hoor.

- De misdaad hoeft/zal zich niet te verantwoorden
- De bestrijder moet/zal zich wel verantwoorden

Dat wil niet zeggen dat de bestrijder alles moet kunnen. Maar wel meer dan de misdaad.
Wijs kiezen dus.
10-06-2023, 19:23 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
"Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn.
Welke mensen zouden in die expertgroep deel willen nemen?

Want daadwerkelijke experts weten dat het "en en" volstrekt onmogelijk is. Maar de politiek accepteert vast geen expertgroep die na 1 dag met de conclusie komt: Wat jullie willen is niet mogelijk. Leg je er bij neer dat opsporingsdiensten weer op de ouderwetse manier boeven moeten vangen.

Zie mijn post 12:27.
Het kan echt wel.
Je hoeft niet de cryptologie verzwakken om opsporingsdiensten toegang te geven.
Er zijn omwegen die wel de overheidsdiensten toegang geven, maar de bescherming tegen alle andere actoren onveranderd laten.

De fundamentalist zal dit niet willen
de pragmaticus wel.

Ook mijn oplossing is niet waterdicht in de zin dat opsporingsdiensten alle encrypted verkeer zouden kunnen zien.
Iemand kan toch aan de opsporing van opsporingsdiensten ontkomen.

Er is inderdaad geen silver bullit
maar veel kan wél

Als eigen diensten erbij kunnen, dan kunnen andere (vijandige) diensten, bedrijfs-spionnen en criminelen dat (potentieel) ook.

Dat is echt niet waar.

Ik zeg toch.
eigen diensten kunnen erbij zonder dat de cryptologie wordt verzwakt.

Als de een via welke achterdeur dan ook erbij kan, kunnen anderen dat ook.
Hoe zijn andere (buitenlandse) diensten anders dan onze eigen diensten. Mensen zijn omkoopbaar. Sleutels kunnen gekopieerd/nagemaakt worden. Infiltratie is ook mogelijk.

Leg anders maar in meer detail uit wat hoe je allen eigen diensten toegang denkt te verlenen en anderen buiten te sluiten.
10-06-2023, 19:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: De misdaad is al druk bezig de maatschappij fundamenteel stuk te maken dus een beetje stuk maken bij de bestrijding daarvan mag best!

Welk onderscheid is er dan nog tussen de misdaad en de bestrijders, als ze beiden schadelijk zijn voor het functioneren van de maatschappij?
Zo verworden de bestrijders tot wat ze bestrijden.

Iets van: Of je nu door de kat of de hond gebeten wordt, gebeten wordt je toch.
Normaal gesproken worden bijtende honden en katten afgemaakt door de maatschappij.

Tel uit je winst.

er is toch wel een fundamenteel verschil hoor.

- De misdaad hoeft/zal zich niet te verantwoorden
- De bestrijder moet/zal zich wel verantwoorden

Dat wil niet zeggen dat de bestrijder alles moet kunnen. Maar wel meer dan de misdaad.
Wijs kiezen dus.

- De bestrijder moet/zal zich wel verantwoorden

En we zien hoe goed dat nu gebeurt in het nationale parlement en door de EC.
Waar ze kunnen ontwijken ze enige verantwoording naar de burger toe. Zelfs getallen willen ze niet noemen, omdat dat hun ondeerzoeksmethoden zou kunnen verraden. !!!!!!

Als de overheid en politiek "crimineel" gedrag vertoont tov haar burgers of de maatschappij, dan gaan burgers ze ook behandelen als criminelen.
11-06-2023, 13:15 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
"Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn.
Welke mensen zouden in die expertgroep deel willen nemen?

Want daadwerkelijke experts weten dat het "en en" volstrekt onmogelijk is. Maar de politiek accepteert vast geen expertgroep die na 1 dag met de conclusie komt: Wat jullie willen is niet mogelijk. Leg je er bij neer dat opsporingsdiensten weer op de ouderwetse manier boeven moeten vangen.

Zie mijn post 12:27.
Het kan echt wel.
Je hoeft niet de cryptologie verzwakken om opsporingsdiensten toegang te geven.
Er zijn omwegen die wel de overheidsdiensten toegang geven, maar de bescherming tegen alle andere actoren onveranderd laten.

De fundamentalist zal dit niet willen
de pragmaticus wel.

Ook mijn oplossing is niet waterdicht in de zin dat opsporingsdiensten alle encrypted verkeer zouden kunnen zien.
Iemand kan toch aan de opsporing van opsporingsdiensten ontkomen.

Er is inderdaad geen silver bullit
maar veel kan wél

Als eigen diensten erbij kunnen, dan kunnen andere (vijandige) diensten, bedrijfs-spionnen en criminelen dat (potentieel) ook.

Dat is echt niet waar.

Ik zeg toch.
eigen diensten kunnen erbij zonder dat de cryptologie wordt verzwakt.

Als de een via welke achterdeur dan ook erbij kan, kunnen anderen dat ook.
Hoe zijn andere (buitenlandse) diensten anders dan onze eigen diensten. Mensen zijn omkoopbaar. Sleutels kunnen gekopieerd/nagemaakt worden. Infiltratie is ook mogelijk.

Leg anders maar in meer detail uit wat hoe je allen eigen diensten toegang denkt te verlenen en anderen buiten te sluiten.

Natuurlijk leg ik dat graag uit.
Dan nog. Niet iedereen zal hier blij mee zijn.
Ik kan in ieder geval wel aantonen dat de cryptologie niet hoeft te worden verzwakt.

Als de overheid de private sleutels heeft, dan kan de overheid mails die naar een persoon zijn gestuurd lezen.

De cryptologie is dan niet verzwakt.
Er zijn wel andere nadelen. De belangrijkste vraag die men zich zou kunnen stellen:
Vertrouwen we de overheid goed genoeg om die overheid in staat te stellen om strafbare feiten op te sporen.
En waar ligt dan de grens.
En hoe controleer je dat dan.

Is dit de silver bullit?
Nou nee.

Er komen nieuwe vragen
- Hoe krijgt de overheid uberhaubt de private sleutels?
dat zou kunnen als de overheid zelf certificaten levert op alle plastiekjes die zij aan burgers levert.
Binnen wet en regelgeving mag uitsluitend de encryptiesleutels in escrow worden genomen.

- werkt het door de hele maatschappij heen?
nou nee.
Als iemand niet de door de overheid uitgegeven certificaten gebruikt, dan kan de opsporing helemaal niets.
Als de ontvanger een buitenlands certificaat gebruikt, dan kan onze binnenlandse opsporing ook helemaal niets.
Dus de bewust bekwame slechterik kan altijd een ander encryptiemiddel kiezen
En de burger die de overheid niet vertrouwd kan dat ook

Wat is dan het voordeel
1. De cryptologie blijft sterk
2. De opsporing kan direct een heleboel uitsluiten en/of doorwerken (diegenen die nu zo gemakkelijk alles op Facebook droppen, die zullen hier geen probleem mee hebben). De opsporing kan dus efficiënter (en dus effectiever) worden.
3. De EDI Wallet hoeft niet meer het enige middel te zijn waarmee met de overheid kan worden gecommuniceerd. (alles wat je met de overheid communiceer hoef je niet te verbergen voor die overheid).

Als ik even doordenk zijn er nog wel meer voordelen. Zeker als dit construct over de gehele EU wordt uitgerold.

Zijn er ook nadelen?
Jazeker.
1. Waarom zou een overheid private sleutels moeten hebben. Dit is een principiële. Sommigen zullen in absolute zin tegen zijn (daar heb ik respect voor hoor).
Het is in ieder geval een ander vraagstuk dan het verzwakken van cryptologie (en de daaraan verbonden consequenties).
Als op deze manier opsporing mogelijk wordt, dan kan de eigen opsporingsdienst dat wel en elke andere organisatie kan dat niet.
2. de bewust bekwame slechterik kan er onderuit. Dat klopt. Dan nog is het onderzoeksveld dat opsporingsdiensten moeten afwerken veel kleiner.

en als ik doordenk, dan zullen er vast nog meer nadelen bestaan.

Voor mij.
- verzwakken cryptologie vind ik de slechtste keuze. Ook die heeft dezelfde dezelfde uitdagingen al private sleutels in escrow.
- maar zeggen dat er verder niets bestaat waardoor opsporing geholpen kan worden, dat is niet waar.

Ik zal vast nog wel vragen krijgen ;-)
11-06-2023, 13:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: De misdaad is al druk bezig de maatschappij fundamenteel stuk te maken dus een beetje stuk maken bij de bestrijding daarvan mag best!

Welk onderscheid is er dan nog tussen de misdaad en de bestrijders, als ze beiden schadelijk zijn voor het functioneren van de maatschappij?
Zo verworden de bestrijders tot wat ze bestrijden.

Iets van: Of je nu door de kat of de hond gebeten wordt, gebeten wordt je toch.
Normaal gesproken worden bijtende honden en katten afgemaakt door de maatschappij.

Tel uit je winst.

er is toch wel een fundamenteel verschil hoor.

- De misdaad hoeft/zal zich niet te verantwoorden
- De bestrijder moet/zal zich wel verantwoorden

Dat wil niet zeggen dat de bestrijder alles moet kunnen. Maar wel meer dan de misdaad.
Wijs kiezen dus.

- De bestrijder moet/zal zich wel verantwoorden

En we zien hoe goed dat nu gebeurt in het nationale parlement en door de EC.
Waar ze kunnen ontwijken ze enige verantwoording naar de burger toe. Zelfs getallen willen ze niet noemen, omdat dat hun ondeerzoeksmethoden zou kunnen verraden. !!!!!!

Als de overheid en politiek "crimineel" gedrag vertoont tov haar burgers of de maatschappij, dan gaan burgers ze ook behandelen als criminelen.

Ik begrijp dat je geen (onvoldoende) vertrouwen in de overheid hebt?
Nou, dat begrijp ik wel hoor.
Ik zie ook niet allemaal goede dingen. Ik zie grote fouten, miskleunen, onoprechtheid, etc. Ik zie ook gewoon menselijk gedrag (indekken, ontkennen, buitensluiten, etc). Dat zou allemaal niet moeten kunnen (mogen). Maar het is er wel.
Ik zou dat niet willen duiden als 'crimineel' gedrag.
De parlementaire democratie (en alle gevolgen daarvan) zie ik nog steeds als het minst slechte systeem. Het minst slechte systeem houdt niet in dat menselijke motieven er niet zijn. Zelfs rekening houden met de minderheid zie ik onvoldoende terug (ik denk vandaar digidrammen).

Dan nog.
Als ik moet kiezen tussen vertrouwen in de overheid of vertrouwen in de misdaad
dan kies ik dat ik mijn vertrouwen liever aan de overheid geef dan aan de misdaad.
Ik snap dat dit een persoonlijke keuze is.
Het staat ieder vrij om anders te kiezen (onderdeel van de democratische rechtsstaat).
;-)
11-06-2023, 19:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
"Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn.
Welke mensen zouden in die expertgroep deel willen nemen?

Want daadwerkelijke experts weten dat het "en en" volstrekt onmogelijk is. Maar de politiek accepteert vast geen expertgroep die na 1 dag met de conclusie komt: Wat jullie willen is niet mogelijk. Leg je er bij neer dat opsporingsdiensten weer op de ouderwetse manier boeven moeten vangen.

Zie mijn post 12:27.
Het kan echt wel.
Je hoeft niet de cryptologie verzwakken om opsporingsdiensten toegang te geven.
Er zijn omwegen die wel de overheidsdiensten toegang geven, maar de bescherming tegen alle andere actoren onveranderd laten.

De fundamentalist zal dit niet willen
de pragmaticus wel.

Ook mijn oplossing is niet waterdicht in de zin dat opsporingsdiensten alle encrypted verkeer zouden kunnen zien.
Iemand kan toch aan de opsporing van opsporingsdiensten ontkomen.

Er is inderdaad geen silver bullit
maar veel kan wél

Als eigen diensten erbij kunnen, dan kunnen andere (vijandige) diensten, bedrijfs-spionnen en criminelen dat (potentieel) ook.

Dat is echt niet waar.

Ik zeg toch.
eigen diensten kunnen erbij zonder dat de cryptologie wordt verzwakt.

Als de een via welke achterdeur dan ook erbij kan, kunnen anderen dat ook.
Hoe zijn andere (buitenlandse) diensten anders dan onze eigen diensten. Mensen zijn omkoopbaar. Sleutels kunnen gekopieerd/nagemaakt worden. Infiltratie is ook mogelijk.

Leg anders maar in meer detail uit wat hoe je allen eigen diensten toegang denkt te verlenen en anderen buiten te sluiten.

Natuurlijk leg ik dat graag uit.
Dan nog. Niet iedereen zal hier blij mee zijn.
Ik kan in ieder geval wel aantonen dat de cryptologie niet hoeft te worden verzwakt.

Als de overheid de private sleutels heeft, dan kan de overheid mails die naar een persoon zijn gestuurd lezen.

De cryptologie is dan niet verzwakt.
Er zijn wel andere nadelen. De belangrijkste vraag die men zich zou kunnen stellen:
Vertrouwen we de overheid goed genoeg om die overheid in staat te stellen om strafbare feiten op te sporen.
En waar ligt dan de grens.
En hoe controleer je dat dan.

Is dit de silver bullit?
Nou nee.

Er komen nieuwe vragen
- Hoe krijgt de overheid uberhaubt de private sleutels?
dat zou kunnen als de overheid zelf certificaten levert op alle plastiekjes die zij aan burgers levert.
Binnen wet en regelgeving mag uitsluitend de encryptiesleutels in escrow worden genomen.

- werkt het door de hele maatschappij heen?
nou nee.
Als iemand niet de door de overheid uitgegeven certificaten gebruikt, dan kan de opsporing helemaal niets.
Als de ontvanger een buitenlands certificaat gebruikt, dan kan onze binnenlandse opsporing ook helemaal niets.
Dus de bewust bekwame slechterik kan altijd een ander encryptiemiddel kiezen
En de burger die de overheid niet vertrouwd kan dat ook

Wat is dan het voordeel
1. De cryptologie blijft sterk
2. De opsporing kan direct een heleboel uitsluiten en/of doorwerken (diegenen die nu zo gemakkelijk alles op Facebook droppen, die zullen hier geen probleem mee hebben). De opsporing kan dus efficiënter (en dus effectiever) worden.
3. De EDI Wallet hoeft niet meer het enige middel te zijn waarmee met de overheid kan worden gecommuniceerd. (alles wat je met de overheid communiceer hoef je niet te verbergen voor die overheid).

Als ik even doordenk zijn er nog wel meer voordelen. Zeker als dit construct over de gehele EU wordt uitgerold.

Zijn er ook nadelen?
Jazeker.
1. Waarom zou een overheid private sleutels moeten hebben. Dit is een principiële. Sommigen zullen in absolute zin tegen zijn (daar heb ik respect voor hoor).
Het is in ieder geval een ander vraagstuk dan het verzwakken van cryptologie (en de daaraan verbonden consequenties).
Als op deze manier opsporing mogelijk wordt, dan kan de eigen opsporingsdienst dat wel en elke andere organisatie kan dat niet.
2. de bewust bekwame slechterik kan er onderuit. Dat klopt. Dan nog is het onderzoeksveld dat opsporingsdiensten moeten afwerken veel kleiner.

en als ik doordenk, dan zullen er vast nog meer nadelen bestaan.

Voor mij.
- verzwakken cryptologie vind ik de slechtste keuze. Ook die heeft dezelfde dezelfde uitdagingen al private sleutels in escrow.
- maar zeggen dat er verder niets bestaat waardoor opsporing geholpen kan worden, dat is niet waar.

Ik zal vast nog wel vragen krijgen ;-)

Ik snap nog steeds niet hoe je denkt dat alleen de eigen overheid bij die private sleutels zou kunnen. Of draai je om de hete brei heen?
Als de overheid die sleutels eenmaal heeft (of een tussenpersoon agv escrow), dan kunnen anderen er ook bij komen.
(Een analogie zou zijn: Dat van fysieke sleutels die je in bewaring bij een ander geeft, kopieen getrokken kunnen worden. Ook door een crimineel).
Dus wordt encryptie nog steeds verzwakt, want ongewenste anderen kunnen bij de ontcijferde berichten komen.
Het gebeurt alleen op een andere manier.
12-06-2023, 11:21 door Anoniem
Er zijn ook wel oplossingen denkbaar (met behulp van asymmetrische cryptografie) waarbij de overheid wel berichten
kan decrypten die naar een veilige omgeving gestuurd zijn, maar anderen dat niet kunnen.
12-06-2023, 11:39 door Anoniem
Door Anoniem:"Het uitgangspunt van deze expertgroep die nu wordt opgericht is dat het en en moet zijn.
Welke mensen zouden in die expertgroep deel willen nemen?

Want daadwerkelijke experts weten dat het "en en" volstrekt onmogelijk is. Maar de politiek accepteert vast geen expertgroep die na 1 dag met de conclusie komt: Wat jullie willen is niet mogelijk. Leg je er bij neer dat opsporingsdiensten weer op de ouderwetse manier boeven moeten vangen.
---------------------

Zie mijn post 12:27.
Het kan echt wel.
Je hoeft niet de cryptologie verzwakken om opsporingsdiensten toegang te geven.
Er zijn omwegen die wel de overheidsdiensten toegang geven, maar de bescherming tegen alle andere actoren onveranderd laten.

De fundamentalist zal dit niet willen
de pragmaticus wel.

Ook mijn oplossing is niet waterdicht in de zin dat opsporingsdiensten alle encrypted verkeer zouden kunnen zien.
Iemand kan toch aan de opsporing van opsporingsdiensten ontkomen.

Er is inderdaad geen silver bullit
maar veel kan wél
-----------

Als eigen diensten erbij kunnen, dan kunnen andere (vijandige) diensten, bedrijfs-spionnen en criminelen dat (potentieel) ook.
------------

Dat is echt niet waar.

Ik zeg toch.
eigen diensten kunnen erbij zonder dat de cryptologie wordt verzwakt.
----------------

Als de een via welke achterdeur dan ook erbij kan, kunnen anderen dat ook.
Hoe zijn andere (buitenlandse) diensten anders dan onze eigen diensten. Mensen zijn omkoopbaar. Sleutels kunnen gekopieerd/nagemaakt worden. Infiltratie is ook mogelijk.

Leg anders maar in meer detail uit wat hoe je allen eigen diensten toegang denkt te verlenen en anderen buiten te sluiten.---------------

Natuurlijk leg ik dat graag uit.
Dan nog. Niet iedereen zal hier blij mee zijn.
Ik kan in ieder geval wel aantonen dat de cryptologie niet hoeft te worden verzwakt.

Als de overheid de private sleutels heeft, dan kan de overheid mails die naar een persoon zijn gestuurd lezen.

De cryptologie is dan niet verzwakt.
Er zijn wel andere nadelen. De belangrijkste vraag die men zich zou kunnen stellen:
Vertrouwen we de overheid goed genoeg om die overheid in staat te stellen om strafbare feiten op te sporen.
En waar ligt dan de grens.
En hoe controleer je dat dan.

Is dit de silver bullit?
Nou nee.

Er komen nieuwe vragen
- Hoe krijgt de overheid uberhaubt de private sleutels?
dat zou kunnen als de overheid zelf certificaten levert op alle plastiekjes die zij aan burgers levert.
Binnen wet en regelgeving mag uitsluitend de encryptiesleutels in escrow worden genomen.

- werkt het door de hele maatschappij heen?
nou nee.
Als iemand niet de door de overheid uitgegeven certificaten gebruikt, dan kan de opsporing helemaal niets.
Als de ontvanger een buitenlands certificaat gebruikt, dan kan onze binnenlandse opsporing ook helemaal niets.
Dus de bewust bekwame slechterik kan altijd een ander encryptiemiddel kiezen
En de burger die de overheid niet vertrouwd kan dat ook

Wat is dan het voordeel
1. De cryptologie blijft sterk
2. De opsporing kan direct een heleboel uitsluiten en/of doorwerken (diegenen die nu zo gemakkelijk alles op Facebook droppen, die zullen hier geen probleem mee hebben). De opsporing kan dus efficiënter (en dus effectiever) worden.
3. De EDI Wallet hoeft niet meer het enige middel te zijn waarmee met de overheid kan worden gecommuniceerd. (alles wat je met de overheid communiceer hoef je niet te verbergen voor die overheid).

Voor mij.
- verzwakken cryptologie vind ik de slechtste keuze. Ook die heeft dezelfde dezelfde uitdagingen al private sleutels in escrow.
- maar zeggen dat er verder niets bestaat waardoor opsporing geholpen kan worden, dat is niet waar.

Ik zal vast nog wel vragen krijgen ;-)
-----------------

Ik snap nog steeds niet hoe je denkt dat alleen de eigen overheid bij die private sleutels zou kunnen. Of draai je om de hete brei heen?
Als de overheid die sleutels eenmaal heeft (of een tussenpersoon agv escrow), dan kunnen anderen er ook bij komen.
(Een analogie zou zijn: Dat van fysieke sleutels die je in bewaring bij een ander geeft, kopieen getrokken kunnen worden. Ook door een crimineel).
Dus wordt encryptie nog steeds verzwakt, want ongewenste anderen kunnen bij de ontcijferde berichten komen.
Het gebeurt alleen op een andere manier.

Nee hoor. Ik draai niet om de brei heen.
Het kan wel zijn dat ik niet duidelijk genoeg ben. Dat gebeurt mij wel vaker (proud to be human)

Hoe krijgt alleen de eigen overheid de private sleutels.
- als de overheid op alle plastiekjes die de overheid aan de burgers verstrekt een PKI certificaten plaatst (paspoort, rijbewijs, kentekenbewijs, ID-kaart, verblijfsvergunning, etc).
- dan genereert de eigen overheid ook de bijbehorende sleutels (publiek in het certificaat; private sleutel in de chip op het plastiekje).
- Vanuit de huidige wet en regelgeving mag een Trust Service Provider de private encryptie sleutels in escrow houden (oorspronkelijk ten dienste van de gebruiker). Die in escrow zijnde private encryptiesleutels zouden gebruikt kunnen worden door de opsporingsdiensten om versleutelde berichten te ontcijferen.
- Omdat die private encryptiesleutels wettelijk goed beveiligd moeten zijn opgeslagen (aantoonbaar en jaarlijks geaudit) komen de private encryptie sleutels niet bij andere organisaties (dus ook niet bij buitenlandse dienste of bij misdaadorganisaties).

Als gevolg
- blijft de cryptologie even sterk als voorheen
- worden de private sleutels door de overheid overhandigd aan de gebruiker (op zo'n plastiekje)
- blijven de private sleutels ook in escrow bij de uitgever (de overheid) met als nieuw gebruik "ondersteuning opsporing".

Wat mij betreft zijn er nog extra voordelen.
- alternatief voor EDI Wallet en/of DigID en eHerkenning
- digidrammen wordt kleiner
- alternatief voor mensen die de smartphone en EDI Wallet niet vertrouwen vanwege
* onvolwassen/onvolkomen technologie
* vrees voor tracking
* vrees voor scopecreep
* vrees voor sociale of financiële dwang door machthebbers

tot zover
12-06-2023, 13:28 door Anoniem
Door Anoniem: Er zijn ook wel oplossingen denkbaar (met behulp van asymmetrische cryptografie) waarbij de overheid wel berichten kan decrypten die naar een veilige omgeving gestuurd zijn, maar anderen dat niet kunnen.

Zucht.
Als de overheid het kan decrypten, hoe ga je dan voorkomen dat anderen die (decryptie-)sleutel stelen/kopieren/lenen en ook gebruiken. Met of zonder medeweten van die overheid.
Of meeliften op de "veilige" omgeving. Als die aan het WWW hangt, is die nooit 100% veilig.
12-06-2023, 16:04 door Anoniem
Door Anoniem:
Door Anoniem: Er zijn ook wel oplossingen denkbaar (met behulp van asymmetrische cryptografie) waarbij de overheid wel berichten kan decrypten die naar een veilige omgeving gestuurd zijn, maar anderen dat niet kunnen.

Zucht.
Als de overheid het kan decrypten, hoe ga je dan voorkomen dat anderen die (decryptie-)sleutel stelen/kopieren/lenen en ook gebruiken. Met of zonder medeweten van die overheid.
Of meeliften op de "veilige" omgeving. Als die aan het WWW hangt, is die nooit 100% veilig.

Zucht. Als de overheid het geheime deel van de sleutel in bezit heeft en die goed geheim houdt dan kunnen andere partijen wel data aanleveren (encrypted) maar niet ontcijferen. Als die sleutel ergens veilig opgeslagen is kunnen anderen die niet lenen of stelen.
12-06-2023, 19:45 door Anoniem
Door Anoniem: Hoe krijgt alleen de eigen overheid de private sleutels.
- als de overheid op alle plastiekjes die de overheid aan de burgers verstrekt een PKI certificaten plaatst (paspoort, rijbewijs, kentekenbewijs, ID-kaart, verblijfsvergunning, etc).
- dan genereert de eigen overheid ook de bijbehorende sleutels (publiek in het certificaat; private sleutel in de chip op het plastiekje).
- Vanuit de huidige wet en regelgeving mag een Trust Service Provider de private encryptie sleutels in escrow houden (oorspronkelijk ten dienste van de gebruiker). Die in escrow zijnde private encryptiesleutels zouden gebruikt kunnen worden door de opsporingsdiensten om versleutelde berichten te ontcijferen.
- Omdat die private encryptiesleutels wettelijk goed beveiligd moeten zijn opgeslagen (aantoonbaar en jaarlijks geaudit) komen de private encryptie sleutels niet bij andere organisaties (dus ook niet bij buitenlandse dienste of bij misdaadorganisaties).

Kan iemand zich Diginotar nog herinneren?
Die had ook "alles op orde". Had alle audits gehaald. En was toch zo lek als een zeef.

En criminelen of vijandige diensten houden zich aan gecertificeerde veiligheidsmaatregelen.
Die gaan echt niet proberen die te omzeilen. Het is niet alsof die sleutels niet heel gewild zullen zijn.
Alle pki-certificaten van Nederland, in 1 "kluis" opgeslagen. een barst in de beveiliging, en alles ligt "op straat".
Dan mogen al die plastiekjes vervangen gaan worden. Of is dat dan een risico dat op de burger afgewenteld gaat worden?


Verder:
Als die pki-certificaten op plasiek staan, dan moet er dus een of andere kaart-/nfc-lezer gekoppeld worden aan de hardware, die weer gebruikt wordt door het communicatie-middel?
Wie gaat die leveren en ondersteunen?
i.e. ik heb geen kaartlezer of nfc-lezer in huis of op mijn hardware. Ook niet in mijn mobiel.

Dus mag ik dan niet communiceren, of kom ik dan op een lijst met verdachte communicatie omdat de overheid niet mee kan lezen?

Wat als ik bv een VPN gebruik, en via de VS, Japan, oid communiceer.
Wie dwingt mij dan om dat PKI-certificaat te gebruiken?
Of gaan VPNs dan verboten worden?

etc, etc, etc, ad nauseum.
Het klinkt leuk, maar volgens mij rammelt het idee van alle kanten.
12-06-2023, 22:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Er zijn ook wel oplossingen denkbaar (met behulp van asymmetrische cryptografie) waarbij de overheid wel berichten kan decrypten die naar een veilige omgeving gestuurd zijn, maar anderen dat niet kunnen.

Zucht.
Als de overheid het kan decrypten, hoe ga je dan voorkomen dat anderen die (decryptie-)sleutel stelen/kopieren/lenen en ook gebruiken. Met of zonder medeweten van die overheid.
Of meeliften op de "veilige" omgeving. Als die aan het WWW hangt, is die nooit 100% veilig.

Zucht. Als de overheid het geheime deel van de sleutel in bezit heeft en die goed geheim houdt dan kunnen andere partijen wel data aanleveren (encrypted) maar niet ontcijferen. Als die sleutel ergens veilig opgeslagen is kunnen anderen die niet lenen of stelen.

Ik lees veel aannames: Als dit, als dat.

Want al die sleutels op 1 plek, dat is niet een uitdaging of uitnodiging om daar bij te kunnen komen? Door omkoping, hacken, inbreken, etc.
Want veilig opslaan betekent 100% onkraakbaar? Of misschien toch maar 90%? Of misschien toch maar 80%?
Wat als het fout gaat. Wie draait dan voor de gevolgen (bv identiteitsfraude, bedrijfsspionage) op.
Of zijn de lusten voor de overheid, en de lasten voor de burger en het bedrijfsleven?

En hoeveel (onkreukbare?) overheidspersoneel zullen daar straks bij kunnen? Net zoveel als het aantal uitzonderingen bij de Belastingdienst vwb het gebruik van USB sticks. Of alleen de minister.
13-06-2023, 00:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Er zijn ook wel oplossingen denkbaar (met behulp van asymmetrische cryptografie) waarbij de overheid wel berichten kan decrypten die naar een veilige omgeving gestuurd zijn, maar anderen dat niet kunnen.

Zucht.
Als de overheid het kan decrypten, hoe ga je dan voorkomen dat anderen die (decryptie-)sleutel stelen/kopieren/lenen en ook gebruiken. Met of zonder medeweten van die overheid.
Of meeliften op de "veilige" omgeving. Als die aan het WWW hangt, is die nooit 100% veilig.

Zucht. Als de overheid het geheime deel van de sleutel in bezit heeft en die goed geheim houdt dan kunnen andere partijen wel data aanleveren (encrypted) maar niet ontcijferen. Als die sleutel ergens veilig opgeslagen is kunnen anderen die niet lenen of stelen.

Ik lees veel aannames: Als dit, als dat.

Want al die sleutels op 1 plek, dat is niet een uitdaging of uitnodiging om daar bij te kunnen komen? Door omkoping, hacken, inbreken, etc.
Want veilig opslaan betekent 100% onkraakbaar? Of misschien toch maar 90%? Of misschien toch maar 80%?
Wat als het fout gaat. Wie draait dan voor de gevolgen (bv identiteitsfraude, bedrijfsspionage) op.
Of zijn de lusten voor de overheid, en de lasten voor de burger en het bedrijfsleven?

En hoeveel (onkreukbare?) overheidspersoneel zullen daar straks bij kunnen? Net zoveel als het aantal uitzonderingen bij de Belastingdienst vwb het gebruik van USB sticks. Of alleen de minister.

Nu doe je het zelf ook ;-))

Even kans-impact inschatten.

Omkopen?
Kans: minimaal. Dan ook minimaal 2 mensen omkopen. Dit is iets dat altijd 4 ogen nodig heeft. Maat goed. Het is denkbaar. Heel onwaarschijnlijk, maar toch.
Impact: als sleutels verdwijnen kopiëren en daarna gebruiken. van één plastiekje. Nou. Dan is de impact niet zo groot. Van alle plastiekjes. Dat komt snel uit. Dan stoppen mensen met het gebruik. Krijgen op enig moment een nieuw plastiekje (dat niet is gekopieerd). Dan kan die persoon weer werken.
Als dit gebeurt, dan is de impact echt wel groter dan Diginotar Crisis. Dit is precies de reden waarom de assurance eisen zo zwaar zijn.

Hacken?
kans: minimaal (ik zeg onmogelijk). Kan alleen bij insider thread. En dan zit je op het scenario 'Omkopen'.
Dit soort sleutels is per definitie niet via WWW benaderbaar. Niet met slecht één maatregen; juist met verschillende maatregelen.

Inbreken?
kans: minimaal (ik zeg wederom onmogelijk). Nou, niet het inbreken, maar wel onmogelijk daarmee bij de sleutels te komen.

Er zullen heel weinig mensen bij kunnen. |
En ja. De wet vereist ook veiligheidsonderzoeken op die mensen.
Onkreukbaar? Dat vind ik van mezelf. Maar dat betekent niet dat ook ik nooit een fout zou kunnen maken. Daarom zijn de procedures (wettelijk voorgeschreven) dat nooit één persoon bij die sleutels mag kunnen komen.
Bovendien wordt elke beheerstap gelogged en geaudit. Ook dit is een wettelijk vereiste.
De Trust Service Provider moet aantonen dat aan alle wettelijke (en normtechnische) eisen is voldaan.
- in opzet
- in bestaan en
- in werking

Wil je meer weten?
Lees eIDAS
Lees ETSI EN 319 401; ETSI EN 319 411-1; ETSI EN 319 411-2
Lees CAB Forum Network security Eisen.
Lees Programm of Requirements van PKI-Overheid
Lees het audit stramien ETSI EN 319 403
of neem een cursus bij ByDentity (ik heb daar geen belangen ;-).

Dit soort dingen zijn de zwaarst beveiligde infrastructuren die het meest frequent een volledige (product) audit moeten ondergaan. En waar handhaving heel direct is.

De aansprakelijkheid (wie is wanneer aansprakelijk voor wat) is in de eIDAS verordening uitgewerkt.
14-06-2023, 14:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Er zijn ook wel oplossingen denkbaar (met behulp van asymmetrische cryptografie) waarbij de overheid wel berichten kan decrypten die naar een veilige omgeving gestuurd zijn, maar anderen dat niet kunnen.

Zucht.
Als de overheid het kan decrypten, hoe ga je dan voorkomen dat anderen die (decryptie-)sleutel stelen/kopieren/lenen en ook gebruiken. Met of zonder medeweten van die overheid.
Of meeliften op de "veilige" omgeving. Als die aan het WWW hangt, is die nooit 100% veilig.

Zucht. Als de overheid het geheime deel van de sleutel in bezit heeft en die goed geheim houdt dan kunnen andere partijen wel data aanleveren (encrypted) maar niet ontcijferen. Als die sleutel ergens veilig opgeslagen is kunnen anderen die niet lenen of stelen.

Ik lees veel aannames: Als dit, als dat.

Want al die sleutels op 1 plek, dat is niet een uitdaging of uitnodiging om daar bij te kunnen komen? Door omkoping, hacken, inbreken, etc.
Want veilig opslaan betekent 100% onkraakbaar? Of misschien toch maar 90%? Of misschien toch maar 80%?
Wat als het fout gaat. Wie draait dan voor de gevolgen (bv identiteitsfraude, bedrijfsspionage) op.
Of zijn de lusten voor de overheid, en de lasten voor de burger en het bedrijfsleven?

En hoeveel (onkreukbare?) overheidspersoneel zullen daar straks bij kunnen? Net zoveel als het aantal uitzonderingen bij de Belastingdienst vwb het gebruik van USB sticks. Of alleen de minister.

Nu doe je het zelf ook ;-))

Even kans-impact inschatten.

Omkopen?
Kans: minimaal. Dan ook minimaal 2 mensen omkopen. Dit is iets dat altijd 4 ogen nodig heeft. Maat goed. Het is denkbaar. Heel onwaarschijnlijk, maar toch.
Impact: als sleutels verdwijnen kopiëren en daarna gebruiken. van één plastiekje. Nou. Dan is de impact niet zo groot. Van alle plastiekjes. Dat komt snel uit. Dan stoppen mensen met het gebruik. Krijgen op enig moment een nieuw plastiekje (dat niet is gekopieerd). Dan kan die persoon weer werken.
Als dit gebeurt, dan is de impact echt wel groter dan Diginotar Crisis. Dit is precies de reden waarom de assurance eisen zo zwaar zijn.

Hacken?
kans: minimaal (ik zeg onmogelijk). Kan alleen bij insider thread. En dan zit je op het scenario 'Omkopen'.
Dit soort sleutels is per definitie niet via WWW benaderbaar. Niet met slecht één maatregen; juist met verschillende maatregelen.

Inbreken?
kans: minimaal (ik zeg wederom onmogelijk). Nou, niet het inbreken, maar wel onmogelijk daarmee bij de sleutels te komen.

Er zullen heel weinig mensen bij kunnen. |
En ja. De wet vereist ook veiligheidsonderzoeken op die mensen.
Onkreukbaar? Dat vind ik van mezelf. Maar dat betekent niet dat ook ik nooit een fout zou kunnen maken. Daarom zijn de procedures (wettelijk voorgeschreven) dat nooit één persoon bij die sleutels mag kunnen komen.
Bovendien wordt elke beheerstap gelogged en geaudit. Ook dit is een wettelijk vereiste.
De Trust Service Provider moet aantonen dat aan alle wettelijke (en normtechnische) eisen is voldaan.
- in opzet
- in bestaan en
- in werking

Wil je meer weten?
Lees eIDAS
Lees ETSI EN 319 401; ETSI EN 319 411-1; ETSI EN 319 411-2
Lees CAB Forum Network security Eisen.
Lees Programm of Requirements van PKI-Overheid
Lees het audit stramien ETSI EN 319 403
of neem een cursus bij ByDentity (ik heb daar geen belangen ;-).

Dit soort dingen zijn de zwaarst beveiligde infrastructuren die het meest frequent een volledige (product) audit moeten ondergaan. En waar handhaving heel direct is.

De aansprakelijkheid (wie is wanneer aansprakelijk voor wat) is in de eIDAS verordening uitgewerkt.

Ik wijs je toch even op dit artikeltje;

https://www.security.nl/posting/799578/Ambtenaar+vervalste+meerdere+rapporten+over+beveiliging+DigiD-aansluiting

Hoeveel andere audits en certificeringen hebben dit soort oepsjes in de praktijk? In Nederland of daar buiten.
Zijn daar betrouwbare cijfers van?
En wat is "acceptabel" voor sleutels tot alle communicatie van 450 miljoen Europeanen.
100% kan namelijk nooit gegarandeerd worden.
14-06-2023, 22:03 door Anoniem
Goed gezien.

Normaal worden ook auditrapporten voorzien van digitale ondertekening.
Dat maakt het onmogelijk in dat rapport de ongewenst zaken weg te filteren.
En ook dan kan zo'n ambtenaar het rapport achterover drukken en een eigen tekstje maken.
Idee: Misschien ook de (formele) rapportagelijn verplichten 4 ogen te gebruiken.

Nee. 100% kan nooit worden gegarandeerd. Dat ben ik met je eens.
Maar ook als er een fout wordt gemaakt (bewust of onbewust) kan je ervoor zorgen dat dit niet meteen tot een ongeluk leidt.

Als professional ben ik niet zo blij met DigID. Het is te centralistisch opgezet. Het is ook te dwingend opgezet. DigID houdt ook geen rekening met eerder bestaande goede middelen en ook niet met nieuwe middelen. In mijn beleving bestaat DigID uit een groep belanghebbenden die het DigID stelsel koste wat kost in stand wil houden. Die ambtenaar lijkt te hebben bevestigd wat ik denk.

Ik geloof meer in eIDAS gecertificeerde PKI waarbij een gebruiker zelf kan kiezen en waarbij een bewust bekwame slechterik niet via internet bij kan. Dus een PKI op een smartcard.
100% veilig? Nee. Als iemand een pistool tegen mijn hoofd houdt, dan geef ik én mijn smartcard én de pincode die erbij hoort.
17-06-2023, 09:28 door Anoniem
Ik heb zo een donkerbruin vermoeden, dat de onverkozen 'leiders' van de EU, een soort van digitale "Abwehr' nastreven.
Alles onder aanvoering van de grote broer van de 14 eyes - de Anglo-Amerikaanse Hegemon van onze dagen.
Een kwijnend imperium weliswaar, dat wel. Veel ontgaat de gewone burger, want alles wordt' in the clouds' gehangen.

Intel doet nu al een giga-investering met een zetel in Polen.
"Crooks In Action" opereert nu al vanuit Bulgarije.
Nederland is reeds bijna een 'cybercriminele vrijstaat".

Hoe nu verder?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.