Heeft Truecrypt een anti-NSA warrant canary losgelaten?

truecrypt-duress-canaryEindelijk weten we het: het was de NSA die Truecrypt heeft gesaboteerd. Dat meldt althans Slashdot. Het project kondigde onlangs nogal cryptisch (haha) aan dat de gratis diskencryptiesoftware niet veilig meer zou zijn en of we allemaal op Microsoft Bitlocker over zouden willen stappen. En de tekst “Using TrueCrypt is not secure as it may …” is natuurlijk helemáál een weggever. Maar kan het?

Een warrant canary is een juridische truc waarbij je elke dag een boodschap produceert à la “Vandaag ontvingen wij geen tapbevelen”. De dag dat je wél zo’n bevel krijgt, produceer je die boodschap niet. Daarmee weet de goede verstaander hoe het zit, zonder dat je expliciet hebt gezegd “wij kregen een bevel” – dat laatste is verboden want dergelijke bevelen komen met een “u mag niemand vertellen dat u dit bevel gehad heeft”-gag order. De analogie is met de kanarie in de kolenmijn: als die dood neervalt, dan is er koolmonoxide in de buurt en moet je wegwezen. Daar heb je nog net tijd voor, want een kanarie gaat eerder dood daaraan dan een mens.

Ik blijf erbij dat een warrant canary niet kan, niet in de VS en niet in Europa (bij ons: art. 126bb strafvordering). Als je een bevel krijgt met een verbod om anderen te vertellen dat je het gehad hebt, dan mag je óók niet ophouden met zeggen “Ik heb vandaag géén bevel gehad”. Dat komt immers informatietechnisch op hetzelfde neer. Je moet dan liegen om het bevel op te volgen.

In het Amerikaanse rechtssysteem is iemand dwingen wat te zeggen (compelled speech) juridisch heikeler dan iemand dwingen niets te zeggen (gag order). En daar is dit idee op gebaseerd. Maar ik zie in dit specifieke geval het verschil niet. Als het spreekverbod toegestaan is, dan moet dat ook kunnen worden gehandhaafd tegen iemand die daardoor óphoudt met spreken.

Een dodemansknop zie ik nog wel: maak een script dat als je een week niet inlogt, een vooraf bepaalde tekst plaatst en het project sluit. Dat is dan niet te voorkomen met een gag order, zeker niet als je een week lang koppig om je advocaat blijft vragen en niet vertelt over de dodemansknop. Het lijkt me wel technisch lastig te automatiseren (een kennis instrueren en die het handmatig laten doen is wellicht slimmer) en het is riskant, wat als je een week internetstoring hebt of de server met het script maakt een datumfout en leeft ineens een week in de toekomst.

De verklaring dat de overgebleven developer(s) tegen een burnout aan liepen na tien jaar ondankbaar werk, lijkt me waarschijnlijker. Wat jullie?

Arnoud

44 reacties

  1. Zijn er niet nog steeds wetgevingen in de USA die het exporteren van cryptografische toepassingen verbied? Het zou mij niets verbazen als 1 of meerdere Amerikaans staatsburgers als ontwikkelaar zijn geidentificeerd en daarom gedwongen zijn de ontwikkeling te staken.

  2. Ik vind het zoeken naar de afkorting NSA in een normale Engelse zin wel heel ver gaan. De tekst zoals deze hier staat is volledig en compleet normaal Engels. net zoals:

    Driving without wearing a seatbelt is not secure as you may smash your head to the windshield in case of an accident
    Natuurlijk is het voor de conspiracy denkers erg leuk om dit soort dingen bij elkaar te zoeken (net als die duivelskop in de rook van de Twin Towers, of de ‘raket’ die het Pentagon in is geschoten op diezelfde dag), maar laten we voorlopig nog even bij de feiten blijven. Die zijn tot nu toe nog onvolledig genoeg om een juiste conclusie te trekken. Niemand weet wie de ontwikkellaars van TrueCrypt zijn, er wordt op dit moment (via crowdfunding) een audit gedaan op de broncode om te controleren of er geen backdoors in de software zitten. De ontwikkellaars hebben zonder opgaaf van reden de stekker er uit getrokken. Ja, natuurlijk kan dat zijn omdat ze een verzoek van de NSA hebben gekregen om een backdoor in te bouwen (hoe kan dat als niemand weet wie de ontwikkellaars zijn??), maar er kunnen nog tig andere redenen voor zijn. Een van de hoofdontwikkellaars (die nog steeds anoniem wil blijven) is omgekomen in een auto ongeluk. Wie weet zit er al een backdoor in de software en beseffen de ontwikkellaars dat hun claims zeer binnenkort onderuit getrokken worden door de audit.

    Al met al veel te veel mogelijkheden tot speculatie, dus laten we stoppen met speculeren en vooral even afwachten wat de audit (en eventuele reacties vanuit de ontwikkellaars hierop) gaat opleveren.

  3. Er doen een heleboel wilde en minder wilde theorien de ronde. Mijn eigen conclusie is dat je met TrueCrypt (primair gericht op de Windows omgeving), niet veiliger kunt zijn dan het OS je toestaat. Je moet de makers van je platform kunnen vertrouwen, want het OS kan willekeurig welk versleutelingsprogramma je toepast eenvoudig omzeilen. Gezien de manier waarop de laatste versies van windows integratie met de “cloud” promoten, en de manier waarop de NSA te werk gaat lijkt het me niet mogelijk Microsoft te vertrouwen als je je gegevens veilig wilt stellen tegen zulke partijen, en in die zin is het advies “gebruik bitlocker” zo gek nog niet; vooral omdat deze feature alleen op de duurdere versies van Windows beschikbaar is, waarin Microsoft, onder druk van grote klanten, meer opties heeft ingebakken de cloud-integratie uit te zetten. Tegen de meeste andere “tegenstanders” is bitlocker waarschijnlijk goed genoeg. Mogelijk zijn de ontwikkelaars achter een backdoor in Windows gekomen, die hun inspanningen vooralsnog futiel maken, maar mogen ze er niet over spreken.

    1. Dat Microsoft en andere bedrijven zoals Google en Apple moeten meewerken aan het leveren van data die op hun servers staat is iets heel anders dan een backdoor inbouwen in Windows of OS X of Android.

      Het is binnen wettelijke kaders in vrijwel elk land, ook nederland, altijd wel mogelijk om een partij te dwingen om gegevens in hun bezit af te staan.

      Het is heel wat anders als je een private partij zou willen dwingen hn product aan te passen voor arbitraire spionage doeleinden. Daar is in Westerse landen eingelijk geen wetsbasis voor. Die bedrijven hoeven dat dus niet en kunnen ook niet wettelijk gedwongen worden. Het is bovendien een enorm risico omdat dergelijke bedrijven door de jaren heen heel veel werknemers bevatten die de code in kunnen zien waaronder ook werknemers uit andere landen. Bijvoorbeeld ontevreden of ontslagen werknemers of werknemers die zijn teruggekeerd naar hun thuisland zouden makkelijk het bestaan van backdoors bekend kunnen maken.

      Het is dus niet erg waarschijnlijk dat software producten van bekende grote internationale bedrijven geheime backdoors bevatten.

      Het is bovendien ook economisch niet verantwoord. De producten van bijvoorbeeld Apple en Microsoft leveren tientallen miljarden op voor de amerikaanse economie.

  4. Met betrekking tot de warrant canary; als je als organisatie transparant wilt zijn, zul je het dusdanig moeten organiseren dat je noodzakelijke wijzigingen die je moet doorvoeren om aan een eventueel schadelijk gerechtelijk bevel te voldoen over verschillende jurisdicties verspreidt, zodat je het bevel wel moet doorgeven aan een partij buiten bereik van de rechter die de “gag order” uitgeeft.

    Een voorbeeld, stel je ontwikkeld een vervanger voor TrueCrypt. Met de kennis van nu zou ik een open source repository neerzetten in drie landen met een redelijke steun voor democratische waarden, en daarna in elk van die drie landen een of meer vertrouwde personen de wijzigingen in de code moeten goedkeuren. Vereist is dan wel dat deze partijen inhoudelijke kennis van het project hebben, en kunnen vaststellen of eventuele source-code wijzigingen overeenkomen met de uitleg die je daarbij geeft. Zeg dat je dit doet in bv. Canada, Zwitserland en Chili, dan wordt het knap lastig iets stiekem door te voeren.

    Het is natuurlijk van de zotte dat dergelijke constructies in een rechtsstaat noodzakelijk zijn. Toont maar weer eens aan op wat een glad pad we ons tegenwoordig bevinden, met ook in Nederland een minister van Justitie die allerlei oude rechtsprincipes overboord gooit alsof het niets is, en een staatssecretaris die daar nog een schepje bovenop doet (afschaffen huiszoekingsbevel, illegaliteit vreemdelingen strafbaar, enz…).

    1. Backdoors zijn niet altijd als zodanig kenbaar. Lees hier maar eens voorbeelden van hoe je een backdoor inbouwt, zonder dat een ander dat makkelijk kan zien. Je gaat er dan ook vanuit dat de compiler geen backdoor in je programma kan stoppen.

      In sommige delen van de VS heeft men wapens om zich tegen de overheid te beschermen. Wie is er nou gek?

  5. Het is apart dat een onbekende developer of heel klein groepje developers anoniem zo’n complex software project in de lucht zou kunnen brengen. Het is niet ondenkbaar dat de Truecrypt software werd verspreid door een inlichtingendienst zoals GHCQ of de Mossad of de SVR of natuurlijk de NSA.

    1. Truecrypt had eigenlijk maar 1 kerntaak: een disk encrypten, en ervoor zorgen dat guest operating systems van zo’n encrypted disk kunnen opstarten. Daar komen nog wat extra features bij, zoals verborgen volumes met “plausible deniability” en dergelijke, maar dat is het wel zo’n beetje.

      De encryptie-algoritmes zelf (zoals AES) zijn vrij standaard en al behoorlijk uitgekauwd; die kunnen de ontwikkelaars gewoon copy-paste overnemen. Ik vind het, qua complexiteit, goed denkbaar dat Truecrypt door een klein team ontwikkeld kan zijn.

      Ter vergelijking: Bitcoin zit conceptueel veel ingewikkelder in elkaar. Ik heb de broncode van Bitcoin bestudeerd, en de eerste versies zien er echt uit als code die door 1 enkel persoon is geschreven. Dit kan je zien doordat in een team van meerdere mensen de code niet alleen communicatie is tussen programmeur en computer, maar ook tussen programmeurs onderling. De oorspronkelijke Bitcoin-code zat aardig archaïsch in elkaar; dit zou nooit zo zijn ontstaan bij ontwikkeling in een team. Zelfs ontwikkeling in een team met daaropvolgende obfuscatie zou niet voor zulke code hebben gezorgd.

      Het grote probleem bij projecten zoals TrueCrypt zit in de details, die je allemaal goed moet doen om de software veilig te maken. In het geval van Truecrypt denk ik bijv. aan het gebruik van een goede random generator, en het goed afschermen van keys in het RAM. Het zijn de details waarin je makkelijk fouten maakt, en waarin je, zelfs bij open source software, redelijk goed verborgen “backdoors” kunt plaatsen, zelfs met “plausible deniability” voor de ontwikkelaar.

      Het is wellicht relevant dat juist op dit moment een groep van onafhankelijke experts bezig was met een security review van de broncode van Truecrypt. Die review zou wat meer licht moeten werpen op hoe veilig Truecrypt nou echt is. Deze review zou zomaar wat te maken kunnen hebben met de recente actie van Truecrypt, maar op wat voor manier is nog niet echt duidelijk.

      1. Deze review zou zomaar wat te maken kunnen hebben met de recente actie van Truecrypt, maar op wat voor manier is nog niet echt duidelijk.

        Het kan zijn dat de personen achter Truecrypt geen zin/intentie hadden om adhv eventuele bevindingen uit een audit hun software aan te passen

  6. Ik vind het helemaal niet kunnen, die dwingende manier waarop de overheid mensen voor zich laat werken. Dit werkt echt ondermijnend voor het onderling vertrouwen in de maatschappij: iedere vriend of collega kan in het geheim gedwongen zijn om voor de geheime dienst te werken. Echt Oost-Duitse toestanden dus.

    Mensen zouden NOOIT gedwongen mogen worden om medewerking te verlenen aan de overheid!!! Als de overheid in dienst van de samenleving opereert, dan zal ze voldoende vrijwilligers kunnen vinden. Zo niet, dan zoekt ze het zelf maar uit, zonder hulp uit de maatschappij. Wordt het niet eens tijd om dit wettelijk zo te regelen?

    Als dit NIET goed geregeld wordt, dan zullen we met enige regelmaat de volgende zaken blijven zien: * gewetensbezwaarden die weigeren mee te werken, en daardoor in de gevangenis belanden. * mensen die, zoals Edward Snowden, naar het buitenland vluchten. Ook Nederland kan in de toekomst een bron van asielzoekers worden. * mensen die het wel voordoen alsof ze meewerken, maar intussen het onderzoek saboteren. Verwacht “collateral damage” als gevolg van vervalst bewijs, zoals onschuldigen die veroordeeld worden.

    1. Als niemand gedwongen kan worden om medewerking te verlenen aan de overheid dan wordt het erg lastig en waarschijnlijk zelfs onmogelijk voor de overheid om belasting te heffen. En zonder belasting is er geen overheid.

      1. Ik doelde op het verrichten van handelingen of het doen van uitspraken. Ik denk dat het afstaan van eigendom iets anders is.

        “Geen overheid” zou zo erg nog niet zijn, maar het probleem is dat je dat in de praktijk niet bereikt. Stel dat een overheid geen belasting zou heffen en zichzelf daarmee zou opheffen, dan zal het machtsvacuüm worden opgevuld door een organisatie die er geen probleem mee heeft om belasting te heffen; die organisatie zou dan de nieuwe overheid worden. Zolang dit mechanisme actief is, kan je niet redelijkerwijs eisen dat de overheid geen belasting heft.

        Ik kan me wel voorstellen dat, als we in de toekomst nog welvarender worden en nog efficiënter werken, we de overheid kunnen financieren zonder belasting. De overheid kan dan gefinancierd worden uit inkomsten die ze verkrijgt door exploitatie van zaken die een natuurlijk monopolie hebben.

          1. Kan wel zijn, maar ik krijg van de bank wel keurig een overzicht met de mededeling dat deze gegevens zijn doorgegeven. Waar het om gaat is dat je moet liegen en zeggen dat je dat niet hebt gedaan.

            1. Bij belastingen is dat te begrijpen: iedereen weet dat iedereen belasting moet betalen. Weten dat de bank je gegevens doorgeeft, is dus niet érg. Bij een strafrechtelijk onderzoek is dat wél erg. Weten dat Justitie je in het oog heeft en je mailbox tapt, kan voor een verdachte reden zijn snel zijn gedrag aan te passen. En dat is niet handig. Dus dan maar de mailboxbeheerder dwingen te liegen wanneer die verdachte belt “hee zit er een tap op mijn mailbox”.

          2. Er zijn ook wel belastingstelsels denkbaar waarbij dat niet nodig is. Je zou bijvoorbeeld van de bank kunnen eisen dat zij zelf alle vermogensbelasting betaalt als ze de vermogensgegevens van klanten niet overhandigt. Bij een flat tax zou dit geen verschil moeten maken, en bij een progressieve tax zou er een stimulans zijn voor overhandiging van de gegevens. Maar nog beter is het om belasting te heffen op moeilijk te verstoppen fysieke bezittingen, in plaats van virtuele bezittingen zoals banktegoeden.

            Het feit dat het huidige belastingstelsel is gebaseerd op iets dat fundamenteel verkeerd is, betekent niet dat dat fundamenteel verkeerde moet accepteren; het betekent dat je het huidige belastingstelsel moet aanpassen.

  7. Waar ik benieuwder naar ben is hoe grensoverschrijdend gaat. Niet eens zo ver gezocht: Een amerikaan krijgt een NSL met een tap bevel van een server die fysiek in Nederland staat, maar door hem wordt gehuurd. Het beheer is uitbesteed aan een Nederlands bedrijf.

    Als die Amerikaan niet zelf de tap kan instellen, dan zal hij iemand in Nederland moeten instrueren wat er moet gebeuren. Maar ik kan mij niet voorstellen dat een NSL zonder enig toezicht van een rechter in Nederland te handhaven is, die Nederlander kan dus vrijuit de tap wereldkundig maken.

    Als die Amerikaan wel zelf die instellingen kan doen is het niet ondenkbaar dat de Nederlandse beheerder dit ontdekt. Die weet van geen NSL en meld dit aan de amerikaanse klant. Die zit dan met een onmogelijke opgave om een veiligheidslek te verklaren, terwijl dat hem verboden is.

    Kortom als je ongemerkt tappen op basis van NSL wil voorkomen, kan je dat dan niet het eenvoudigst bewerkstelligen door de server te laten beheren in een ander land en/of externe partijen uit verschillende landen aanstellen voor periodieke security audits?

    Overigens heb ik zelf jaren met persoonsgegevens gewerkt en daarbij heb ik (jaren terug alweer) meegemaakt dat uit Amerika de opdracht kwam om alle correspondentie (e-mail zowel als hardcopies) te bewaren ivm met een gerechtelijk onderzoek. Omdat wij niet mochten weten om welk bedrijf het ging moesten we alle correspondentie met alle klanten bewaren! Aangezien de stap om die correspondentie te overhandigen nooit is gekomen heb ik in de praktijk nooit de afweging moeten maken of ik dit wel mocht zonder een gerechtelijk bevel te hebben gezien. Maar op zich is dat wel een interessante, mag je dan blind op een verklaring van het hoofdkantoor in de US afgaan dat er een gerechtelijk bevel ligt, of moet je je daar persoonlijk van op de hoogte stellen?

    1. In het Amerikaanse juridische systeem heb je het concept van “discovery”. Een partij die je aanklaagt kan allerlei documenten opeisen, en de aangeklachte heeft maar te leveren.

      In diverse Europese landen (met name Frankrijk) zijn daarvoor specifieke anti-discovery wetten in werking, en ook de EU regels kunnen dit aardig blokkeren, wat tot leuke juridische dilemmas kan leiden. Een hele rapport hierover is bijvoorbeeld hier te vinden.

      1. Ik heb vaker met discovery en/of retention requests te maken gehad, maar die hadden eigenlijk altijd de vorm: Bewaar alle documenten die voldoen aan: * specifieke klant * specifieke periode * betreffende een specifiek onderwerp Het bijzondere van deze request was dat geen van bovenstaande gegevens bekend was en dus alle e-mail van elke klant (inclusief alle interne mail) bewaard moest worden. M.a.w. we mochten >geen enkele e-mail< meer verwijderen. Als we een hardcopy maakten of hadden gemaakt van een electronisch document mochten we die alleen weggooien als er geen aantekeningen op waren gemaakt.

  8. Poeh, komt een zodaniginterpretatie van 126bb niet in strijd met art 10 evrm? Er volgt immers volgens het hof een (beperkt) recht op zwijgen uit dit artikel. Iemand bij wet dwingen om een onwaarheid te verspreiden is dan mogelijk wel problematisch….

    Is 126bb Voldoende voorzienbaar en is zon gag order altijd Noodzakelijk?

    1. Het is niet in het algemeen dat je gedwongen wordt te spreken. Het gaat hier specifiek om de situatie dat jij jezelf in een positie hebt gemanoevreerd dat je nu moet liegen om het strafrechtelijk onderzoek niet te hinderen. Ik vind dat wel een belangrijke nuance.

      Het is wel een algemeen lastig punt. Als je ‘gewoon’ een bevel krijgt inclusief zwijgplicht, dan moet je dus ook zwijgen als mensen er naar vragen. “Hee Arnoud, was dat nou een rechercheur die jou een stuk papier gaf? Wat wilde hij van je?” Dan moet ik liegen over dat ze jouw IP-adres vroegen wegens een verdenking van samenspanning tot terrorisme. Of een klant die jou belt “Is er vandaag nog politie voor me langsgeweest, en hebben ze in mijn mailbox gekeken?” Dan zul je moeten liegen tegen die klant als er inderdaad net een officier van Justitie langsgeweest is met een inzagebevel.

      1. Dan moet ik liegen

        Dat kan soms noodzakelijk zijn maar je kunt als bedrijf vragen ook afwimpelen met een standaard antwoord. “Dat soort informatie is vertrouwelijk” “Dergelijke informatie verstrekken wij niet”

      2. Dan zul je moeten liegen tegen die klant als er inderdaad net een officier van Justitie langsgeweest is met een inzagebevel.
        Maar wat nu indien dat gewetensbezwaren oplevert? Sommige mensen weigeren te liegen omdat dit tegen hun principes is. (Of tegen hun religie.)

        1. Dan heb je in het algemeen een probleem. Ik denk dat je dan allereerst de vraag krijgt waarom je dan een beroep gaat bedrijven waarbij geheimhouding/zwijgen soms wettelijk vereist is. En daarna de discussie of je religie je werkelijk bij élke leugen al keihard de hel in dondert. Dat aantonen kan nog wel eens lastig zijn.

          1. Geheimhouding zou nog steeds mogelijk zijn, net als zwijgen. Het gaat om liegen, ofwel de situatie waarin je juist wel wat gaat vertellen. Overigens is het Christendom er overduidelijk in met het gebod “Gij zult geen valse getuigenis spreken tegen uw naaste.” Judaisme en de Islam hebben vergelijkbare geboden, dus al deze godsdiensten maken liegen dus net zo erg als je buurman vermoorden, diefstal en echtscheiding… Veel geluk om iemand te overtuigen dat ze toch mogen liegen als ze standvastig vasthouden aan dit gebod…

          2. Dan heb je in het algemeen een probleem. Ik denk dat je dan allereerst de vraag krijgt waarom je dan een beroep gaat bedrijven waarbij geheimhouding/zwijgen soms wettelijk vereist is.

            Dat kan juist een heleboel met elkaar te maken hebben. Als mensen met bepaalde principes bepaalde beroepen gaan boycotten, dan zullen die beroepen uitgeoefend gaan worden door mensen zonder die principes. Als je gelooft dat jouw principes goed zijn, dan geloof je ook dat de maatschappij slechter af is als die beroepen worden uitgeoefend zonder respect voor jouw principes.

            Het gaat er weer om welke rechten een minderheid (of een individu) heeft om principes te handhaven, zelfs als die principes niet worden gedeeld door de meerderheid. Soms is de wil van mensen om hun principes te handhaven zo groot, dat ze zich niet laten afschrikken door wat voor straf dan ook. Dan kan je schrijnende situaties krijgen, waarbij iemand iets wel of niet doet op basis van puur idealisme en de beste bedoelingen, en dat keer op keer doet, en er keer op keer voor wordt gestraft. Dit doet erg denken aan godsdienstvervolgingen.

            Godsdienstvrijheid moet niet alleen gezien worden als de vrijheid om te geloven wat je wilt, maar ook om je geweten te volgen in je handelen.

            1. Eens met het principe, maar zoals elk principe moet het ook rekening houden met de wensen en belangen van anderen. Zeg maar heel plat dat jij niet gaat oproepen tot het gebed met luidsprekers à 140 decibel naast mijn huis (of kerkklokken die de hele nacht bimbammen). Die dingen horen dan wellicht bij jouw godsdienstvrijheid, maar ze raken mij als persoon.

              Specifiek bij een beroepskeuze vind ik het wél een relevante vraag. Net als bij een strenggelovige jood of moslim die in een slagerij gaat werken en dan geen ham wil aanraken. Ik snap dat vanuit het geloof maar het doet wel gek aan, dat kon je van tevoren weten lijkt me. En wie een hostingbedrijf gaat beginnen, moet weten dat Justitie hem kan bevelen data af te geven of te tappen én daarover te zwijgen (of te liegen). Ik vind het niet te veel gevraagd dat je dan standaard zegt “op deze vraag kan ik nooit antwoord geven”.

              We hebben hier soms oplossingen voor. Zo kun je als strenggelovige weigeren premie te betalen voor verplichte verzekeringen, als je verzekeringen in strijd met je geloof vindt. Je moet dan wel álle verzekeringen weigeren. Ook kon je als pacifist weigeren in het leger te gaan, wel moet je dan een vervangende dienstplicht vervullen.

              Door dat alternatief wordt het redelijk. Ik weet alleen geen alternatief. Het is soms nódig dat Justitie data opvraagt en dat dit geheim blijft. Ook bij jouw eenmanszaak waarbij je principieel wil zijn en nooit wil liegen en alles transparant wil vertellen. Daar is volgens mij geen compromis te verzinnen.

              1. Een nuancering die in de discussie (steeds) verloren gaat is dat in amerika met NSL een gag-order wordt gegeven zonder dat deze door een rechter getoetst is en waarbij je nauwelijks mogelijkheden hebt om hier tegenin te gaan.

                In Nederland zit er voor zover mij bekend een controle van de rechter achter. Wat ik mij wel afvraag kan je de gevraagde data bewaren en hangede een beroep achterhouden? Als ik bijvoorbeeld naar Lavabit kijk, daar eiste men de sleutels op waarmee iedereen afgeluisterd kon worden om een enkel persoon af te luisteren. Ik kan me voorstellen dat je dan in beroep wil omdat de maatregel buiten proporties is voor het doel. En als je de data eenmaal hebt afgegeven is zoeits niet meer terug te draaien.

                Ik heb opzich geen probleem met gag-order als er maar goede onafhankelijke controle op is en beroep mogelijk is. En als justitie zich maar aan de wet houdt en de tap meldt na sluiting van het onderzoek. (En uiteraard geen eeuwigdurende onderzoeken toestaan dan)

                1. Een nuancering die in de discussie (steeds) verloren gaat is dat in amerika met NSL een gag-order wordt gegeven zonder dat deze door een rechter getoetst is en waarbij je nauwelijks mogelijkheden hebt om hier tegenin te gaan.

                  Een nuancering daarop is dat dat voorheen wel zo (na de introductie van de patriot act) was maar inmiddels niet meer. Een rechter heeft die praktijk al jaren geleden afgeschoten als ongrondwettig. Partijen die dus op basis van een NSL die niet is uitgevaardigd door een rechter een gag-order krijgen kunnen dat bevel wel degelijk aanvechten voor een rechter. Recentelijk heeft bijvoorbeeld Microsoft nog zoiets gedaan bij een NSL van de FBI waarop de FBI hun bevel schielijk introk en vervolgens toch nog verloor bij de rechter.

                  1. Een rechter heeft die praktijk afgeschoten als ongrondwettig. Partijen die dus op basis van een NSL die niet is uitgevaardigd door een rechter een gag-order krijgen kunnen dat bevel wel degelijk aanvechten voor een rechter.

                    Eén rechtbank maakt nog geen Supreme Court, zeker niet als ie vonnist dat de uitspraak opgeschort wordt totdat het hoger beroep klaar is. De gag order staat nog steeds in de wet, en alleen de SC kan zeggen dat die wet écht ongeldig is. Je neemt dus een risico als je een gag order overtreedt. Plus, je moet maar net de resources hebben om naar de rechter te gaan. Microsoft heeft die, een eenmans-hostingbedrijfje niet.

              2. Door dat alternatief wordt het redelijk. Ik weet alleen geen alternatief. Het is soms nódig dat Justitie data opvraagt en dat dit geheim blijft. Ook bij jouw eenmanszaak waarbij je principieel wil zijn en nooit wil liegen en alles transparant wil vertellen. Daar is volgens mij geen compromis te verzinnen.

                Het alternatief zou kunnen zijn dat je accepteert dat bepaalde zaken niet worden opgelost doordat justitie bepaalde data niet kan verkrijgen. Misschien zijn er nog wel slimmere alternatieven, maar dit is een voor de hand liggende.

                Eigenlijk zou iedereen elke keuze moeten kunnen maken die zijn geweten hem ingeeft, zolang die keuze niet op directe wijze de mensenrechten van anderen schendt. Je moet daarbij natuurlijk wel alle consequenties van je keuze accepteren. Sommige keuzes (zoals deze) kunnen helaas niet op individueel niveau worden genomen. Mensen die een andere keuze maken dan de rest van de maatschappij zouden dan de mogelijkheid moeten krijgen om zich, al dan niet samen met geestverwanten, af te scheiden van de rest van de maatschappij, om een kolonie te stichten waarin ze volgens hun eigen principes kunnen (samen)leven.

                Nu al het bruikbare land van de aarde is opgeëist door staten, en de planeten nog steeds onbereikbaar zijn, is er een gebrek aan ruimte voor zulke initiatieven. Ik denk dat secessie een mensenrecht zou moeten zijn.

              3. Juist vanwege die noodzaak is het dan ook zo dom van de (in dit geval Amerikaanse) overheid om zich niet aan redelijke (en wettelijke) beperkingen te houden en van alles en bij iedereen te willen graaien. Dit vergroot namelijk de vraag naar systemen waarmee men zich tegen dit graai-gedrag kan beveiligen (met een van de constructies al eerder besproken, of nog andere creatieve manieren), waarmee zij ook in noodzakelijke gevallen wat mogelijkheden verliest goed recherche-werk te doen. Je ziet nu al dat men zoekt naar methoden om afluisteren lastig te maken, zie bv. reset the net.

                Om dezelfde reden is het al een tijdje mijn stokpaardje dat men bewust sites als de Piratebay niet al te hard aanpakt (moet relatief eenvoudig zijn, omdat het bijvoorbeeld nog steeds afhankelijk is van een van de maar enkele tientallen registrars wereldwijd die zich hier voor lenen). Men weet dat een significante groep bestanden zal blijven delen, en dat als je het ene medium omzeep helpt, het vervangen wordt door een ander, dat moeilijker omzeep te helpen is; zo’n systeem is dan natuurlijk ook makkelijk te gebruiken door types die meer willen dan het relatief onschuldige delen van een paar bestandjes.

            2. Dan kan je schrijnende situaties krijgen, waarbij iemand iets wel of niet doet op basis van puur idealisme en de beste bedoelingen, en dat keer op keer doet, en er keer op keer voor wordt gestraft.

              Je kan wel iets doen op basis van idealisme en de beste bedoelingen maar dat is jouw idealisme en bedoelingen waarvan jij vindt dat het de beste zijn. Ik zeg niet dat de overheid het allemaal zo goed weet (verre van zelfs!) maar alleen iemands goede bedoelingen zijn op zich niet zo veel waard.

              Zeker bij religieuze zaken zie je dat de idealen van gelovigen mijlen ver verwijderd zijn van de idealen van de niet- of anders gelovigen.

              1. Het is natuurlijk een koud kunstje om iemand in het geniep alsnog in te lichten over de tap wanneer je gewetensbezwaren hebt en niet de gevolgen wil dragen. En aangezien je weet dat die persoon wordt getapt doe je dat natuurlijk niet via een medium dat te tappen is. Bijvoorbeeld een medewerker die niets van de gag-order weet de tap laten ontdekken en wereldkundig maken. Jij kan niet voorkomen dat iemand het ontdekt en de persoon in kwestie weet van geen gag-order. En zo zijn er nog vele opties. Overigens als jij echt gewetensbezwaard bent over een zaak en je hebt een gag-order heb je wat mij betreft een morele plicht om het bekend te maken. Zoniet dan zullen misstanden nooit aan het licht komen en geaddresseerd kunnen worden. Wat dat betreft kunnen mensen een voorbeeld nemen aan Ellsberg en Snowden.

  9. Ander idee:

    Stel dat je, in plaats van een “canary”-constructie, een constructie maakt waarbij alle externe communicatie verloopt via een openbaar kanaal, dat door iedereen kan worden gelezen? Dan zou de overheid jou geen geheime bevelen kunnen geven, want elk bevel dat ze je geven wordt automatisch openbaar.

    Ik zie wel wat praktische problemen met dit idee, maar stel dat het mogelijk is, dat je echt alleen openbare communicatie mogelijk maakt, zou dat zijn toegestaan?

    1. Ik ben geneigd te zeggen van niet. Je kunt niet afdwingen langs welk kanaal Justitie jou benadert. Waarschijnlijk belt men gewoon aan en krijg je dan het bevel onder de neus. Vanaf dat moment moet je erover zwijgen, dus het dan zelf even livetweeten gaat niet meer.

      Je kunt natuurlijk je Google Glass via een 4G verbinding koppelen aan een LiveLeak-videoaccount. Daar voorziet de wet nog niet in volgens mij.

  10. Een dodemansknop zie ik nog wel: […] Het lijkt me wel technisch lastig te automatiseren

    Met crontab van Linux en andere Unixen geen enkel probleem. https://linux.die.net/man/5/crontab https://linux.die.net/man/1/crontab Je kan dingen laten gebeuren per minuut, uur, dag, week, maand, wat je maar wilt.

    Ik ga het idee gebruiken om te zorgen dat na mijn dood (over decennia pas, hoop ik) mijn mailserver na een week vanzelf alle mail gaat omleiden naar Gmail, op een account dat ik nu zelden of nooit gebruik. Kan er op de server niks vollopen. Hoewel dat bij de huidige mailvolumes sowieso niet snel gebeurt. Maar toch. Of misschien zet ik in plaats daarvan een autoresponder aan. Of beide.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.