Het Japanse ministerie van Economie, Handel en Industrie heeft allerlei regelgeving aangepast die het gebruik van diskettes en cd-roms verplicht. Dat las ik bij Security.nl. De aangepaste verordeningen gebruiken nu techniekneutrale benamingen.
Waarom is mij niet duidelijk, maar Japan bleek bijna 2000 wetten en regels te hebben waarin expliciet naar floppydisks werd verwezen. De BBC legt uit:
This is not the first time Japan has hit the headlines for its old-fashioned habits – which remain a paradox given the country’s proficiency at developing exciting new products. Various explanations have been offered, including poor digital literacy and a bureaucratic culture with conservative attitudes.Mijn gok zou zijn dat dit als stoffig detail in een wet staat en niemand zin had om daar een punt van te maken. Het gaat toch goed? Ik zie niemand op straat demonstreren. Nou dan.
Veel mensen linktipten me dit bericht vanuit een motivatie van “haha gekke juristen zijn zo ouderwets”. Dat zal zeker ook mee hebben gespeeld – maar de reden om zo ouderwets te doen is vaak simpel: (a) het werkt, (b) we weten dat het rechtsgeldig is. Dat moeten we met jouw flitsende app nog maar zien, en die floppy disk heeft géén ellenlange uitsluiting van aansprakelijkheid.
In Nederland hebben we nooit expliciete regels over floppy’s als verplicht medium gehad. Ja, er was de Aangiftediskette die in 2008 ‘abrupt’ werd afgeschaft, maar dat was een optie en geen plicht. De beste analogie is volgens mij de fax, die in 2021 bij de Rechtspraak als laatste werd afgeschaft. Ik schreef toen:
De overstap van post naar fax was destijds al een grote stap. Ik kon niet precies achterhalen wat de eerste uitspraak was waarin faxverkeer als rechtsgeldig werd erkend, de strafzaak HR 13 september 1988, NJ1989,12 lijkt de eerste uitspraak te zijn geweest. Hierin stond ter discussie of een gefaxte pleitnota wel rechtsgeldig ondertekend was door de advocaat. Immers, hoe controleer je de echtheid van een korrelig plaatje? Gelukkig was de advocaat-generaal van de HR behulpzaam:Japan lijkt vergelijkbaar te hebben geoordeeld, waarbij informatiebeveiliging een argument was. Een floppy per koerier is immers lastiger te hacken dan een internetverbinding.Nodig is dat de advocaat telefonisch of schriftelijk aan de griffie van de HR laat weten dat de gefotocopieerde handtekening zijn handtekening is. Waar zo een nadere mededeling ontbreekt zal slechts een toevallige omstandigheid, zoals de aanwezigheid in het dossier van een brief van de indienende advocaat met diens originele handtekening en de mogelijkheid om de overeenkomst van die handtekeningen zonder moeite vast te stellen, de schriftuur met de gefotocopieerde of ‘gefaxte’ handtekening kunnen redden.In andere zaken werd vergelijkbaar geoordeeld, waarbij ook wel als argument werd geaccepteerd dat je het origineel naleverde en dat men achteraf kon zien dat dit identiek was aan de fax. Dan heb je je origineel maar kan het allemaal net wat sneller. Daar kon niemand op tegen zijn, maar zeker woog ook mee dat professionele procespartijen zoals advocaten of rechters er geen belang bij zouden hebben om vervalste faxen te sturen. De kans op vervalsingen zou dus klein genoeg zijn.
Arnoud
De paar voordelen van een diskette heb je ook met modernere, meer robuuste, meer data bevattende hardware.
En ik ben het niet per se eens met dat die floppy lastiger is te hacken. Een kopietje van een simpele diskette is zo gemaakt, en ik vermoed dat men niet erg heeft nagedacht over moderne encryptie (i.c.m. de paar bytes die op een floppy passen). En er komt bij veiligheid meer kijken dan hacken. De betrouwbaarheid van schijfjes zal er niet beter van worden als er al lang geen nieuwe disks meer worden gemaakt. Volgens https://thehustle.co/03092023-floppy-disks/ zijn de 3.5″ disks niet meer gemaakt sinds 2011. Als het al past op 360KB (5,25″ floppy of een whopping 1,4 megabyte (3,5″ diskette). Aan de andere kant, een bekende uitspraak van Andy Tanenbaum: “Never underestimate the bandwidth of a station wagon full of tapes hurtling down the highway”.
Een goed beveiligde encrypted internet verbinding is moeilijker te hacken dan een koerier met floppy.
Beide claims zijn aannames, en lastig te ondersteunen zonder verdere details. De capaciteit van een floppy is nou ook weer niet zo krap dat je diezelfde versleuteling niet kunt toepassen op de data op een floppy. De meeste protocollen werken ook met wat getruuk via de uitwisseling van floppies, of SD kaartjes en postduiven. Als je onder “hacken” ook een denial-of-service attack begrijpt, dan is een letterlijke spaak in het wiel van de koerier steken ook een optie…
Iedere deskundige op het gebied van versleuteling zal je kunnen uitleggen dat goede versleuteling nooit tot meer data leidt. Dus per definitie is iedere versleuteling die op een internet-verbinding kan ook bruikbaar op een floppy.
Dit is niet correct. RSA is bijvoorbeeld niet veilig voor korte berichten zonder random padding. Het gecodeerde bericht zal dus sowieso groeien door de random padding die wordt toegevoegd.
Voor lange berichten en internet verbindingen is RSA te langzaam en zal RSA gebruikt worden om een symmetrische sleutel te coderen en verzenden. Dan neemt de data ook toe met de grootte van de symetrische sleutel die je versleuteld verzend. Ook dan zal de data dus – in beperte mate – toenemen.
Precies wat ik bedoelde. Een SMS-je is meestal te kort voor dit soort poespas, maar een floppy zeker niet.
Dat is een kwestie van interpretatie van “moeilijk”. Een koerier met een floppy in een auto op de snelweg kan je niet via het Internet hacken vanaf de andere kant van de wereld. Hollywood-scenario’s om die koerier van z’n floppy te ontdoen zijn niet de dagelijkse realiteit.
Dat is zeker een van de redenen, maar er is ook een culturele reden. Als de meest seniore, lees oudste, medewerker op een afdeling met de wet in de hand zegt “zo staat het in de regels dus zo doen we het hier”, dan is dat hoe het zonder morren of tegenspraak gedaan wordt. Er is daar niet, of veel minder, een cultuur waarin jongere medewerkers kritiek kunnen hebben op de wijze waarop dingen gedaan worden. Als het dan niet noodzakelijk is om te veranderen dan gebeurt dat ook niet, zeker niet als in de wet staat hoe het moet.
In de jaren 90 moesten we gegevens over vervoer aanleveren op diskette aan het CBS Later kon dat ook via email 😀
“1. CBS-IRIS: 7,000 diskettes and 2,000 electronic messages a month The CBS-IRIS tool was put ’launched’ at the start of the Single European Market on 1st January 1993. The package aimed to facilitate the new direct reporting obligation for intra EU traders. In its original versions CBS-IRIS did not offer the function of electronic transmission by modem. The introduction of the software was to such an extent successful that the statistical office was inundated with diskettes, so many in fact that it was hardly possible to process them all. After some initial panicky reactions we adapted our procedures and processing systems and the diskette handling system now operates smoothly. On basis of our experiences we recommend the following principles: – it is cost effective to provide respondents with formatted empty diskettes and envelopes to send in their monthly returns. This is the only way to guarantee a consistent quality (and thus readability) of the returned diskettes; furthermore the ’receiving’ statistical process can easily be recognised. And last but not least, the costs of statistical reporting for companies will be reduced because some are borne by the statistical office; ” https://www.cbs.nl/-/media/imported/documents/1997/46/nos97-3.pdf?la=nl-nl
Ik heb in die tijd ook wel floppy kopieer automaten gezien waar je een stapel (blanco) 3.5″ floppies in een magazijn stopte en een bron floppy in een normale 3.5″ drive. Helaas nooit in werking gezien.
Bestonden er ook bulk-lees apparaten die automatisch floppies konden wisselen?
Waar zijn de tijden dat we nog 10,5 inch magnetische tapes met een koerier naar de bank en de giro stuurden om de maandelijkse betalingen te doen.