Een lezer vroeg me:
Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen?
Van tijd tot tijd krijgen overheden het inderdaad in hun hoofd dat het een goed idee zou zijn om sterke en dus niet-aftapbare encryptie te verbieden of aan banden te leggen. Het niet kunnen meelezen met digitale communicatie is voor inlichtingen- en opsporingsdiensten nogal vervelend.
Dat zo’n wet een sterke negatieve invloed heeft op de beveiliging, staat buiten kijf. De technische feature van een achterdeur is neutraal: iedereen met de juiste toegang kan deze gebruiken, of hij daar nu toe gerechtigd is of niet.
Tegen ongeautoriseerde toegang hebben we sinds 1 januari een Wet meldplicht datalekken. Deze is breder dan enkel melden: ook op het niet goed op orde hebben van je beveiliging staan nu boetes. Moedwillig een achterdeur inbouwen kan daarmee in strijd zijn. Je verzwakt dan de beveiliging en maakt misbruik mogelijk.
Echter, hier zou het dan gaan om een wettelijk voorgeschreven achterdeur. Enkel het hebben van die achterdeur zal dan geen strijd met deze beveiligingseis opleveren. Wetten kunnen niet met elkaar in strijd zijn, is de gedachte daarachter: als er toch strijd lijkt te zijn, moet je gaan puzzelen hoe je de wetten met elkaar in overeenstemming kunt lezen.
Ik zie daar wel ruimte voor: die achterdeur moet er dan komen en dat is dan niet strijdig met je beveiligingsplicht of datalekmeldplicht. Gebruik daarvan door bevoegde opsporingsambtenaren is dan geen datalek, dat is dan immers wettelijk toegestaan en dus geen misbruik of ongeautoriseerd gebruik.
Natuurlijk moet je dan ook die achterdeur goed beveiligen (organisatorisch en technisch) tegen wél ongeautoriseerd gebruik. Dat is lastig en duur, maar dat is dan een onvermijdelijk uitvloeisel van een wettelijke plicht.
Ik zie het juist anders; je moet alles beveiligen en je moet een achterdeur inbouwen.
Om te voldoen aan beide wetten doe je dan het volgende;
Daarna mogen ze zelf bepalen in hoeverre ze stappen op de melding willen ondernemen.
Reactie: dit is geen datalek want wettelijke plicht. Graag vernemen wij nog hoe u de achterdeur beveiligt tegen misbruik door anderen dan bevoegde ambtenaren.
Dat eerste deel van het antwoord begrijp ik. Maar hoezo moet ik proactief melden hoe ik misbruik door derden van een door de overheid verplicht lek tegen ga? Ik hoef toch pas te melden als er een lek is? Je stelt net zelf dat de achterdeur geen lek is.
De volgende zijn lijkt mij logischer (als vervanging van jouw tweede zin): “Wanneer u echter vermoed dat onbevoegden toegang hebben gehad tot deze achterdeur, dient u dit te melden om te voldoen aan de geldende wetgeving”.
De toezichthouder heeft het recht inlichtingen van je te verlangen over de wijze van beveiliging van persoonsgegevens (art. 13 Wbp). Dat staat los van je meldplicht datalekken. Dus het is niet raar dat ze die vragen.
Dan vind ik het nog steeds raar dat die toezichthouder daar pas om gaat vragen wanneer jij aangeeft aan de wet te voldoen. Dan kunnen ze beter aan iedereen vragen hoe ze de wet volgen en toch beveiliging waarborgen. Enkel een uitleg verlangen van diegenen die de achterdeur als een datalek bestempelen komt op mij nogal treiterig over.
Eens, maar een wettelijk verplichte achterdeur als datalek aanmerken komt op mij óók nogal treiterig over.
Dergelijke vragen worden normaal alleen gesteld bij een concreet vermoeden van misstanden, al dan niet in een branche waar jij in zit.
En dat laatste kan je dus niet. De sleutel licht immers bij die ambtenaren en we weten inmiddels allemaal hoe goed die zijn in het beveiligen van data.
Alleen al om die reden zou een achterdeur verboden moeten zijn. En dan natuurlijk nog het feit dat die achterdeur niets helpt. Denken ze nu echt dat een crimineel zich aan de wet gaat houden en alleen producten met een achterdeur gaat gebruiken? Dit terwijl er vrij op het internet verkrijgbare producten zijn (en blijven) zonder achterdeur?
En wat gaat justitie dan doen als ze blijken dit niet te kunnen lezen? Je dwingen de sleutel af te geven op straffe van? Iedere crimineel zal dan de afweging maken tussen straf voor afgeven en straf voor niet afgeven. Dan maar onbeperkt gijzelen tot de sleutel wordt afgegeven? Dan is het tijd voor een revolutie tegen een totalitaire regime. Immers kan de overheid je dan dingen vragen die je echt niet weet en je dan onbeperkt opsluiten.
En gaat de overheid dan ook de schade vergoeden veroorzaakt door gecompromitteerde beveiliging? Dat gelooft toch niemand, politici verzinnen ongehinderd door gebrek aan kennis wetten en regels en de gevolgen zal ze een worst wezen, die zijn voor de volgende regering/kamer. Verantwoordelijkheid nemen is een politicus vreemd, daartoe moeten ze gedwongen worden.
Conclusie: zo’n achterdeurplicht is een enorm slecht idee.
Persoonlijk vind ik het bij de verkiezingen veel belangrijker of partijen wel of niet met dit soort ideeën onze samenleving kapot maken, dan of ze een paar procent meer of minder economische groei beloven. Ik stem liever op partijen die voor politieke welvaart gaan dan op partijen die voor economische welvaart gaan.
Op dit blog ben ik vast niet de enige. We moeten dit idee alleen wel verder verspreiden om de wereld te verbeteren. Er is nog veel werk te doen: om te beginnen moeten de meeste mensen afkicken van hun consumptieverslaving, zodat ze weer ook krijgen voor wat echt waardevol is. Ik ben alleen bang dat dat pas lukt als de gemiddelde burger echt last gaat krijgen, en zelfs dan is de vraag of er niet een enorm slechte, luie work-around wordt geprobeerd, en of mensen überhaupt door hebben dat het beter kan.
Die sleutel hoeft helemaal niet bij de overheid te liggen. Het hangt er helemaal van af hoe men de infrastructuur opzet.
Client A stuur een bericht naar Service Provider X met de public key van X. X decrypt het bericht en ziet dat het bericht voor Client B. X encrypt het bericht met de public key van B en stuur het bericht door naar B.
Als er een bevel van de overheid komt treed er een extra proces in werking na de decryption. Decrypt een kopie van het bericht met de public key van de overheid en stuur het naar ze toe.
We hebben het hier over een achterdeur in de encryptie, ook voor end-to-end. Niet over een dienst die communicatie encrypt, maar niet de berichten. De encryptie wordt dus bewust verzwakt.
Ook gaat het om de geheime diensten die toegang willen, die gaan echt internet providers niet zeggen waar ze naar moeten zoeken, die tappen zelf het verkeer ongezien af. Dus de overheid moet dan zelf toegang tot de achterdeur hebben.
De situetie die jij beschrijft is geen nieuwe wetgeving voor nodig, de politie kan onder voorwaarden die informatie nu al opvragen.
Die sleutel hoeft helemaal niet bij ambtenaren te liggen. Zo’n sleutel kan een bedrijf gewoon zelf veilig bewaren en pas gebruiken als er een gerechtelijk bevel ligt. (en dan eventueel ook meteen daarna weer een nieuwe sleutel maken en die weer veilig zelf bewaren.)
Verder is je opmerking over ambtenaren nogal zwakjes. waarschijnlijk bezit de overheid meer dan 50 van de 100 meest privacygevoelige databases van heel Nederland (denk aan gegevens van belastingen, strafrecht, subsidies, azielzoekers, toeslagen, PGB’s enz enz en nog nooit is er 1 van gehackt). Er zijn wel incidenten geweest met laptops en USB sticks met gevoelige data en met websites van gemeentes maar feitelijk zijn de centrale overheidsdatacentra en databases daarin als je rekening houdt met hoe populair die gegevens zouden kunnen zijn tot nu toe juist veel veilig gebleken dan de gegevens in de particuliere sector waar om de haverklap de gegevens van (tientallen) miljoenen mensen op straat liggen na de één of andere hack
Daar ben ik het niet mee eens Arnoud. Een datalek treedt op wanneer derden toegang hebben tot mijn persoonsgegevens wanneer dat niet de bedoeling is -van de organisatie-. Als jij dus vindt dat het niet de bedoeling is dat de overheid mijn persoonsgegevens heeft, maar ze verkrijgen dat via de achterdeur die jij voor de overheid in blog.iusmentis.com inbouwt is het daadwerkelijk een datalek, en moet dat gemeld worden aan het CPB.
De autoriteit persoonsgegevens noemt verder als voorbeeld van een datalek op haar website: “een inbraak in een databestand door een hacker”. Hier doet het er niet toe of de hacker in dienst is van een overheid of niet. Datalek is datalek. (Dit heeft verder niets te maken met backdoors.)
Laat er nou net in het nieuws zijn geweest dat er de laatste tijd veel meer corruptie bij de politie schijnt te zijn, doordat de nieuwe nationale politie op een enorme goudmijn aan aan-elkaar-gekoppelde data zit, die erg interessant is voor criminelen en andere belanghebbenden (gek genoeg kan ik het niet terugvinden, maar volgens mij was het gisteren in het NOS 8-uur journaal). De gegevens die opsporingsinstanties verkrijgen zijn daar dus niet veilig. Dat viel ook te verwachten: beveiligingsexperts waarschuwen daar al decennia lang voor.
Je kunt natuurlijk zeggen dat datalekken (en data-misbruik) bij opsporingsdiensten de verantwoordelijkheid van de overheid zijn, en niet van degene die verplicht werd om de gegevens aan opsporingsdiensten te geven. Dat lijkt mij allemaal een nogal juridisch-theoretisch verhaal, wat nog erger wordt doordat opsporingsdiensten, rechtstaat of niet, lastig juridisch zijn te vervolgen. Wat mij betreft is de werkelijke beveiliging veel belangrijker dan de juridisch-theoretische beveiliging.
Als je verplicht bent een achterdeurtje in te bouwen, dan krijg je een conflict tussen verschillende plichten die je hebt: je hebt de juridische plicht om het achterdeurtje in te bouwen, maar je hebt de morele plicht om data effectief te beschermen.
Laten we hopen dat zo’n achterdeurplicht er nooit komt.
Dat is niet “lastig en duur”, dat is gewoonweg onmogelijk. Een backdoor is een backdoor.
Hoezo? Je kunt het toch ook goed beveiligen op de begin- en endpoints die normaal de communicatie voeren?
We noemen het wel ‘backdoor’ maar het is in feite gewoon een derde partij die meedoet aan de conversatie (alleen niets zegt). Als we het nou modelleren als een groepschat waarbij die laatste deelnemer onzichtbaar is?
Jij wordt dan dus verantwoordelijk gehouden voor het beveiligen van iets dat in handen van derden is. Dat kan dus je dus niet. Die derden zullen dat moeten beveiligen en die zullen dan ook naar bnuiten moeten als de data lek door hun komt. Maar zie jij de de politie, AIVD of MIVD dat al doen?
Dat hoeft dan ook niet. Maar je kunt wél beveiligen tegen malafide collega’s of hackers van buitenaf. Dat heb je nu ook al als probleem dus die extra sleutel voegt niets significants toe. Dat een agent een vordering vervalst om het vriendje van zijn dochter te checken, is niet jouw probleem.
Dat is niet helemaal waar, ik beveilig een omgeving zodat ik alles kan verzenden een extra sleutel waar ik niet van weet wat ermee gaat gebeuren en ook niet door wie. Het vriendje van die agent gebruik die sleutel en onderschept gegevens die toegang geven tot andere computer systemen waar informatie opstaat denk aan CC, NAW etc etc. Doordat er gebruik gemaakt wordt van normal gegevens heb ik pas na maanden ergin dat er iets is. Nu zit ik met een datalek waar ik niet weet waar het vandaan komt maar wel verantwoordelijk voor ben, terwijl de schuldige een backdoor was en een agent die niet te vertrouwen was.
Microsoft heeft trouwens al een probleem een gouden sleutel is uitgelekt door een fout ze kunnen de sleutel niet in trekken en moeten een programma herschrijven om het weer goed te krijgen. Politiek denk gemakkelijk we kunnen overal bij met backdoors maar vergeten dat heel veel zaken op Internet en telefonie in de problemen komen inclusief hun eigen spionage diensten die niet beschermd kunnen communiceren.
Hier krijg ik toch even braakneigingen van. Als je verplicht je beveiliging moet verzwakken om de overheidsdiensten mee te kunnen laten kijken, dan wordt het automatisch voor anderen eenvoudiger om bij jouw data te komen. Dit lijkt me gewoonweg onbestaanbaar en zeker niet de weg op die we zouden moeten willen. Als aanbieders van (commerciële) software hiertoe worden verplicht, dan is het moment gekomen om massaal over te stappen op opensource software. Die kan niet door locale wetgeving geboden worden om een backdoor in te bouwen omdat die niet onder locale wetgeving valt. Mocht er ooit wetgeving komen die backdoors verplicht, dan gaat er een hele dikke vinger richting overheid en zal ik dat maar onder burgerlijke ongehoorzaamheid scharen. Ik weiger aan dat soort praktijken mee te werken.
Dat is nu al zo. De meeste (commerciële) software wordt nu in de VS gemaakt, waar bedrijven massaal (gedwongen?) meewerken aan spionageprogramma’s (bron: Edward Snowden). Voor een beetje veiligheid moet je dus open source software gebruiken, waarin lekken niet makkelijk verborgen kunnen worden.
“There is no way to build a digital lock that only angels can open and demons cannot. Anyone saying otherwise is either ignorant of the mathematics or less of an angel than they appear.” (self.crypto)
Daar ben ik het mee eens. Wie bepaalt de parameters of iemand wel of niet te vertrouwen is? Want hoe ga je als computercode het verschil herkennen tussen iemand die wel te vertrouwen is en iemand die niet te vertrouwen is? Dat vraagstuk is voor mensen al te moeilijk, dus hoe gaat een machine het ooit leren? Bovendien vind ik het een verkeerde insteek van opsporingsdiensten; door hun Big Data honger kunnen ze het werk nu al niet meer aan. De situatie gaat er niet beter op worden zolang de overheid niet veel meer mensen in dienst neemt om de veiligheidsdiensten te versterken. Dat zie ik ze niet doen. Bovendien, wie controleert onze veiligheidsdiensten en onze eigen overheid?
Big Data is in dat opzicht net als een vlek pastasaus op je witte shirt: wat je ook probeert, het gaat er niet meer uit. Wie kan ik vandaag aanschrijven om te ontdekken wat mijn overheid over mij weet? Ik denk dat elke poging daartoe in bureaucratisch drijfzand terecht komt; iedereen wijst naar een ander of zegt ‘mag niet, want wet/geheim’. Terwijl elk detail over mijn leven, elk contact met vrienden, elk belletje die ik pleeg tot in de eeuwigheid op te zoeken blijft. Voor een grote groep mensen die ik niet zelf gekozen heb, of sterker nog, ooit van gehoord heb. Van die gedachte krijg ik koude rillingen over mijn rug. Ik heb liever minder veiligheid dan bij elke getypte zin in whatsapp/telegram/signal te moeten denken: ‘kan iemand hier ooit iets crimineels in lezen?’.
Ik vind dat een non-argument. Het geldt ook voor analoge sloten, toch heeft iedereen er een in zn deur en vertrouwen we de slotenmaker. Waarom niet bij digitale?
Juist omdat een digitale slot niet fysiek is! Je hebt er geen zicht op, geen controle over. Je kan wel alarmsystemen (firewalls, toegangsprivileges) installeren, maar ook die zijn zonder uitzondering te omzeilen. Eén foutje in een lange beveiligingsketen en de hele keten is onveilig. Kijk maar naar een bug zo simpel als de FlipBit. Of iemand die een sleutel heeft leent ‘m tegen beter weten uit. Op die manier kon Snowden bij de NSA, toch niet de minste veiligheidsdienst, ongehinderd zijn gang gaan. Bij recente berichten over datalekken lees je dat ‘inbrekers hadden zus en zo lang toegang’ en dan denk ik steeds: ‘Als ze bij mij inbreken dan zie ik bij thuiskomst meteen als mijn slot geforceerd is of er een gat in een raam zit. Of als mijn huis is helemaal overhoop gehaald.’.
Persoonlijk heb ik liever een slot in mijn voordeur die zelfs een slotenmaker niet kan forceren. Want als een slotenmaker het kan, dan kan een inbreker het ook. De kennis hoe dat moet is door iedereen te leren. Dus niet alleen maar voor de mensen die ik zou moeten kunnen vertrouwen. Laat dat nu net mijn punt zijn.
Als je de AIVD of soortgelijk in staat wil stellen de inhoud te lezen van versleutelde berichten dan zal je de sleutel moeten kunnen reproduceren omdat je anders nog niks hebt. Brutefore is hier geen optie. Die sleutel kan je op de server bewaren, maar een dergelijke machine kan alleen maar zijn werk doen zolang het aangesloten staat op het internet, dus dan kunnen hackers er ook bij. Of je kan de app zo maken dat de beheerder een opdracht kan sturen naar de individuele client om die sleutel op te sturen. Een dergelijk opdracht kan echter ook vervalst worden. En zo kan ook een crimineel misbruik maken van een achterdeur bedoelt voor onzer aller veiligheid. Met een beetje social engineering kom je al heel ver.
Maar maar maar. Jij bent toch niet verantwoordelijk voor misbruik van de sleutel door de AIVD of politie? Die zijn zelfstandig verantwoordelijke onder de Wbp (en WPolG) met dus een eigen beveiligings- en datalekmeldplicht.
Het probleem is, zoals hierboven ook al door ‘We Are Borg’ aangekaart dat je niet meer de controle hebt over de sleutels. Als de AIVD sleutel in verkeerde handen geraakt zal jij niet detecteren dat er iets mis is.
Als vervolgens een paar jaar later jouw volledige database online gezet wordt weet je niet wat er aan de hand is. Het is echter wel verifieerbaar jouw data, dus er is een lek geweest. Wie gaat daar voor opdraaien? Kans is dat de AIVD niet eens weet dat hun backdoor sleutel gelekt is, dus als die al geneigd waren om openheid te geven (ahem!) dan zullen ze dat niet nog niet doen.
Het is zelfs niet ondenkbaar dat de achterdeur gebruikt wordt om een lek in de voordeur te vinden, zodat men er niet achterkomt dat de sleutel van de achterdeur in omloop is. Het is heel simpel: Als je een bedrijf verplicht om een backdoor in te bouwen en de sleutel daarvan aan een derde te overhandigen, dan kan je deze partij nooit meer aansprakelijk stellen voor een datalek.
Totaal ongewenst en iedere politicus die hiervoor pleit kan bij mij bij het grof vuil wegens onkunde.
“Als je de AIVD of soortgelijk in staat wil stellen de inhoud te lezen van versleutelde berichten dan zal je de sleutel moeten kunnen reproduceren omdat je anders nog niks hebt.“
Dat is denk ik niet helemaal waar (als ik het goed lees). De gebruiker, ofwel degene die een bericht gaat versleutelen, hoeft geen kennis te hebben van een ‘backdoor’ geheime sleutel die om die reden daarom zelf moeilijk te beveiligen is.
Encryptiealgoritmen maken veelvuldig gebruik van pseudo random number generators (PRNG) om hun sleutels aan te maken. Doordat de output van die PRNGs onvoorspelbaar is (random…) is het encryptie algoritme veilig. Het is een ander verhaal als de output van een PRNG wél voorspelbaar is, dan is het encryptie algoritme niet meer veilig. Dit speelde omstreeks 2007, toen het Amerikaanse NIST (de hele wereld volgt hun adviezen…) in een publicatie 4 PRNGs definieerde waarvan eentje gebaseerd was op elliptic curves. Uiteindelijk bleek dat die ene PRNG er op aandringen van de NSA bij was gekomen, en dat er zelfs een geheime deal met RSA was opgezet om die generator toe te passen. De specifieke keuze van de elliptic curves zorgde namelijk voor een bias in de output van de PRNG, op basis waarvan de NSA snel de toekomstige PRNG output kon voorspellen en zo makkelijk berichten kon decrypten. Het gebruik van deze PRNG was dus al voldoende voor de backdoor. Op basis van dit mechanisme is het mogelijk om een voorgeschreven PRNG te gebruiken bij encryptie, op basis van parameters die alleen de geheime diensten kennen. Als die parameters one-way kunnen worden omgezet naar een soort ‘initial state’ voor zo’n PRNG, dan ben je klaar. Elke dag zouden bijvoorbeeld nieuwe parameters gekozen kunnen worden, die worden one-way omgezet naar een initial-state die vervolgens door iedereen is te downloaden. Iedereen ziet een bias in de output van de PRNG verschijnen, maar niemand weet hoe die is te benutten omdat de oorspronkelijke parameters onbekend zijn.
’t Is maar een idee…
De NSA vertrouwen is al een opgave op zich omdat ze ook aan bedrijfseconomische spionage doen ten faveure van hun ‘eigen’ industrie. Maar! Wie garandeert mij dat Chinese staatshackers niet al acht jaar geleden in het bezit zijn gekomen van deze parameters? Of een of andere Russische tiener? Precies! Die garantie kan niemand mij geven. Als ze eenmaal deze info hebben, is alles wat deze methode heeft gebruikt, gebruikt of gaat gebruiken voorgoed onveilig. En reken maar dat ze niet hardop gaan lopen roepen dat ze deze info hebben!
Een backdoor laat iedereen met de juiste sleutel toe. Dat is precies de reden dat je tegen achterdeurtjes moet zijn. En waarom ik alle software die backdoors zoals DualECDRBG bevatten de deur uit zet zodra het bekend wordt. Niet omdat ik wat voor de engeltjes van de AIVD te verbergen heb, maar wel voor de demonen in deze wereld.
Ik vertrouw ook niemand, dus liever geen backdoors 🙂 Maar als het zover mocht komen, dan is het zaak om na te denken over een strategie die zo ‘veilig’ mogelijk is. Perfect gaat nooit lukken, maar, om maar wat te noemen, de nucleaire mogendheden weten tot nu toe toch ook hun lanceercodes prima te verbergen (al worden die wel heel vaak ververst…). Feit blijft wel dat bij het lekken van oorspronkelijke sleutels/parameters alle daarmee gebruikte data is te ontsluiten.
Non-argument? Het is exact de vinger op de zere plek!
Het is een non-argument omdat het niet uniek is voor de ICT. Fysieke sloten zijn vrijwel allemaal te openen door de fabrikant of een goede slotenmaker. Voor veel sloten bestaan ook lopers. Idem bij kluizen. Toch zeggen we dan niet, oh jee huizen/kantoren zijn onbeveiligd en/of er is een grote kans op misbruik. We weten dat de leveranciers toegang tot die sleutel of kennis hebben beperkt en gecontroleerd. Stukje vertrouwen en stukje verificatie. Het hoeft niet perfect, niets hoeft perfect.
Dat stukje verificatie lijkt me nou net het probleem. Als de AIVD aan de digitale achterdeur staat te morrelen dan zal zij zich daarbij niet bekend maken. En je kan dan wel even de diverse diensten gaan proberen te bellen met ‘joh, zijn jullie dat ?’ maar dan wordt je gegarandeerd vierkant uitgelachen. Je weet dus niet of er sprake is van (poging) hacken of legitiem gebruik. En dus moet je melden. En dan de AP, gaat die wel de AIVD (& co) bellen en dan inderdaad eerlijk antwoord krijgen denk je ? Stukje vergelijk : stel jij komt thuis en je ziet aan die verschoven stoel dat er iemand binnen is geweest. Denk je dan ‘oh, dat moet een sleutelmaker zijn geweest want die zijn de beperkte en gecontroleerde houders van lopers’ of bel je toch maar de politie ?
Ik heb nergens gelezen dat je een achterdeur moet inbouwen waarvan je de sleutel op voorhand inlevert bij de AIVD. Zoals ik de achterdeuren begrijp, gaat het om Justitie: die komen langs met een bevel, graag de chats tussen Arnoud en Eric even decrypten en aan ons geven omdat we verdenken dat hier een misdrijf is gepleegd. Dan is de achterdeur binnen jouw controle maar moet ie wel open als Justitie dat vraagt.
Ik snap je formulering niet helemaal Arnoud. Als de AIVD niet uit zichzelf kan decrypten (wat dus betekent dat ik de achterdeur zelf onder controle heb zoals je schrijft, en niet de AIVD), dan houdt het op. Ze kunnen het dan wel aan mijzelf vragen, maar ik zeg dan “toedeledokie, ik hoef niet mee te werken aan mijn eigen veroordeling, succes met brute-forcen”.
EDIT: Overigens ook een leuke: als je toch veilige encryptie gebruikt dan zouden ze je hoogstens kunnen veroordelen voor dat feit op zich. Decrypten hoef je dan niet te doen, net zoals je je password niet hoeft af te geven, want je hoeft niet mee te werken aan je eigen veroordeling.
Mijn aanname is dat bedrijven gehoor gevel aan wettige bevelen, inderdaad. Natuurlijk kun je nee zeggen, net zoals je kunt weigeren een administratie te voeren of btw af te dragen. Maar in de praktijk is dat wel einde bedrijf.
(Het is geen meewerken aan je eigen veroordeling want je bent geen verdachte, je klant is verdacht. )
Zo werkt een achterdeur dus niet! Een achterdeur is een bewuste breuk in de beveiliging zodat diegenen die het geheim van deze achterdeur in bezit hebben eenvoudig bij je naar binnen kunnen. Dan kan je een juridisch verhaal oprakelen over dat het niet jouw verantwoording is hoe overheidsinstanties met die kennis van de backdoor omgaan (en deze door onzorgvuldigheid op straat laten komen), maar dan zit je wel met de problemen dat niet alleen de overheidsinstanties bij je binnen kunnen komen, maar ook een willekeurig ander, zonder dat je weet wie het is. Dit mag dan een juridisch blog zijn, maar je koopt niets aan juridisch geblaat als je daardoor een berg rotzooi over je heen krijgt vanwege een absurde eis om je beveiliging (voor een deel) af te breken.
Een verschil met fysieke sloten is dat elektronische data over het internet geautomatiseerd en ongezien verwerkt kan worden. Om een fysiek slot te kraken moet er om te beginnen iemand langs komen, die moet het slot kraken, en over het algemeen kan dat niet ongemerkt.
Beveiliging is meestal niet absoluut; het gaat om de kosten die de aanvaller moet doen om de beveiliging te breken, in verhouding tot de “buit”. Bij afluisteren (zonder encryptie) is het heel goedkoop om iedereen af te luisteren; bij het kraken van fysieke sloten is het heel duur om bij iedereen in te breken. De politie gaat dan in de fysieke wereld een kosten-afweging maken, en gaat alleen achter de echte boeven aan, maar in de digitale wereld trekken ze een allesverzamelend visnet door de data van iedereen, zonder echte kosten-baten-afweging, en zonder rem op de politie.
Daar komt het ongeziene bij: een fysieke inbraak gebeurt (meestal) niet ongemerkt, en autoriteiten die zoiets doen moeten zich verantwoorden tegenover hun slachtoffer. Doen ze dat niet, dan moet zo’n fysieke inbraak gewoon gezien worden als een criminele inbraak die gestraft dient te worden. Je kunt dan, voor digitale inbraak, wel regels maken dat ze eerst toegang bij een rechter moeten vragen en zo, maar als er bij zo’n rechter geen hoor/wederhoor plaats vindt, dan stelt zo’n rechter waarschijnlijk niet veel meer voor dan een ja-knikker.
De enige manier om digitale inbraak door de politie een beetje te laten lijken op fysieke inbraak is als ze, binnen 24 uur na de inbraak, bij hun slachtoffer moeten melden dat de inbraak heeft plaats gevonden. Daar hoor ik alleen niemand voor pleiten: de voorstanders van afluisterpraktijken willen dat opsporingsdiensten over langere tijd ongemerkt kunnen spioneren. Daarnaast is het, voor zover ik weet, in de fysieke wereld niet verboden om barricades te maken waar de politie niet doorheen komt; het equivalent van onkraakbare encryptie zou dus ook niet verboden moeten zijn.
Precies! En op het moment dat dat wel verboden zou worden dan zouden velen in opstand komen. Maar omdat voor veel mensen ‘digitaal’ toch wat moeilijker te begrijpen is, gebeurt dat hier niet.
Omdat een slotenmaker in voordeur open dient te maken waar die voordeur is meestal in het openbaar. Een digitaal slot kan op de gehele wereld open gemaakt worden, zonder dat hij te traceren is en uit het zicht is
Het is misschien een domme vraag tussendoor, maar volgt het recht op end-to-end-encryptie niet gewoon uit het mensenrecht op privacy? Heb je niet ook het recht, of misschien zelfs de plicht, om de mensenrechten van anderen te beschermen?
Geen domme vraag, maar op dit blog is al vaker aangegeven dat ook grondrechten niet absoluut (kunnen) zijn. Het is een afweging zodra meerdere rechten of plichten bij elkaar komen.
Het kan eenvoudigweg niet zo zijn dat de handhaving en bestraffing achterwege moeten blijven omdat er een verdienmodelletje is dat per definitie de ondermijning van de rechtstaat ondersteunt.
Verdienmodelletje!? Pfft.
In mijn ogen is het recht op vertrouwelijke communicatie juist een bouwsteen van een goed functionerende rechtstaat. Het is juist een kenmerk van de rechtstaat dat de macht van overheid (inclusief handhaving en bestraffing) in toom wordt gehouden, om misbruik van die macht te voorkomen.
Het is dus veel meer dan een “verdienmodelletje”: het voldoet aan een legitieme maatschappelijke behoefte. Het probleem is eerder dat er nog steeds veel te weinig mensen zijn die die behoefte voelen: mensen denken dat ze niets te verbergen hebben, en/of dat ze de overheid deze redelijk absolute macht over hun gegevens kunnen toevertrouwen. Ik zie liever dat iedereen en-to-end encryptie (zonder achterdeurtje) en andere privacy-technieken gebruikt om zichzelf op het internet te beschermen. Vroeg of laat komt het er denk ik wel van, maar veel mensen reageren pas nadat het ergens een keer flink is misgegaan.
En, specifieker, is er geen respect meer voor het briefgeheim? Encryptie is toch zoiets als een gesloten envelop. Daar dien je van af te blijven, ook als je opsporingsdoeleinden hebt.
Ik begrijp niet hoe je een achterdeur kunt verplichten aan ISP’s en andere partijen, zonder gelijk een totalitaire staat te worden, want als ik met een kennis afspreek een bepaald (goed) encryptie-algoritme te gebruiken, no way dat de ISP daar (zonder idioot veel inspanning), zomaar een gat in kan slaan. Stel ik ontwikkel een eigen taaltje, of gebruik een taal waarvan misschien nog een heel beperkt aantal sprekers over zijn, en stuur een berichtje als “Obâ ângni âgùifùr khô dîhonnânai hù.” (hint, waarschijnlijk is dit wel te googlen) Effectief is een eigen taal ook een zeer lastig te kraken vorm van encryptie, moet je dat dan ook verbieden? En dan Arabisch straattaal, ook daar kunnen zelfs getrainde arabisten soms geen touw aan vastknopen, ook maar verbieden? Dan iets anders: hoe kun je bewijzen dat er encryptie is gebruikt? Tijdens WW2 hebben de Engelsen wel eens een lijst van nummerplaten uitgestuurd, om het kanaal maar vol te houden, en die Duitsers maar proberen dat te ontsleutelen. Versleutelde spraak laat zich soms herkenbaar maken door de snelheid van het signaal, dus dan is het zinvol de gaten te vullen met digitale ruis. Het lijkt mij dat mensen die dit voorstellen geen flauw benul hebben waar ze het over hebben.
What’s App zegt wel end2end encryptie te gebruiken. Is bekend hoe men de diensten toegang geeft? Bijvoorbeeld: 1. De encryptie is zo zwak dat deze voldoende kraakbaar is 2. Bericht wordt 2 x ge-encrypt (en verstuurd) (1x voor sleutel van overheid) 3. Het is geen end2end encryptie in strikte zin: de berichten zijn (in principe) ook leesbaar door medewerkers die voor What’s App werken. 4. De sleutels worden met de diensten gedeeld 5. Anders….
PS 1x encrypten en dat met verschillende sleutels kunnen decrypten (e2e) is bij mijn weten niet op degelijke wijze mogelijk. Als dat wel mogelijk is hoor ik graag een referentie.
Voor zover ik weet heeft whatsapp geen achterdeur…
Een truc die pgp/gpg toepast bij het versleutelen van een email is dat de email zelf versleuteld wordt met symmetrische encryptie met een willekeurig gekozen sleutel. Deze sleutel wordt versleuteld met de publieke sleutel van alle ontvangers (ook die van de verzender, zodat hij zijn bericht kan teruglezen).
Bij een chatapp met e2e encryptie zouden de clients de sessiesleutel (versleuteld) naar een server van de appmaker kunnen sturen, waarmee de appmaker aan de ontsleutelingsplicht kan voldoen. (Laat justitie en/of geheime diensten de versleutelde communicatie maar verzamelen.)
Helder. Genoeg mogelijkheden voor achterdeuren zo, ook bij end2end encryptie.
Als Whatsapp een achterdeur heeft mogen ze je dat niet laten weten.
Ik snap de behoefte aan achterdeuren, maar probleem van wettelijke achterdeuren is dat het erg onduidelijk kan worden wie verantwoordelijk is voor een data-lek: de dienstverlener of een andere (nationale) dienst. Bovendien krijgt de overheid hiermee alleen makkelijker inzicht in het gedrag van een beperkte groep; mensen die iets echt willen verbergen zullen hun beveiliging zelf regelen.
Inderdaad, zelf regelen kost veel meer tijd maar is wezenlijk effectief. En verder wachten we gewoon het moment af waarop een nitwit voostelt [Open]SSH, OpenVPN, IPSec e.d. wettelijk te verbieden zodat we alle voor- en nadelen van het Internet meteen met het badwater kunen weggooien.
Het is kinderlijk eenvoudig om op basis van xmpp een client te bouwen die data end 2 end encrypted verstuurt (wat velen dan ook al gedaan hebben!). Als je dan gebruik maakt van public key encryptie kan je de public key open over hetzelfde netwerk uitwisselen om een sessie te starten.
Wat willen ze daar tegen doen? Alle xmpp servers verbieden? Die client verbieden? Wat doen ze als je toch die client gebruikt? Wat is de straf op gebruik van verboden software? En zijn we dan zo langzamerhand niet een totalitaire staat aan het worden met het criminaliseren van de doodnormale wens op wat privacy?
En iedereen kan een xmpp server opzetten, dus criminelen laten gewoon een stroman in een datacenter een publieke server plaatsten en ze begeven zich onder de massa.
Absoluut. Dit is een proces dat al zeker 20 jaar aan de gang is; ik heb dan ook helemaal geen vertrouwen in de grote partijen (inclusief PVV) op dit gebied. Het zijn allemaal een veel te autoritair denkende clubjes.
Bevrijdingsdag is een frustrerende dag. Je hoort dan allemaal mensen praten over hoe mooi het is dat we in een vrij land leven, maar we leven helemaal niet meer in een vrij land! Natuurlijk, er zijn landen waar het erger is gesteld, maar vaak bieden die landen wel op andere manieren vrijheid, al is het maar doordat de overheid in veel landen niet de macht heeft om hun autoritaire ideeën te handhaven. Wanneer worden mensen wakker, en beseffen ze in wat voor wereld ze leven?
In Oost-Europa hadden ze tenminste nog de vergelijking met West-Europa, die hun liet zien dat een wereld met meer vrijheid mogelijk is. Welk voorbeeld kunnen wij aan de mensen in Nederland tonen? Alleen mensen met een grote verbeeldingskracht kunnen nu zien dat een wereld met een grotere vrijheid tot de mogelijkheden hoort. Misschien ben ik te pessimistisch, maar ik ben bang dat dat niet voldoende mensen zijn om een verandering tot stand te brengen.