Column: D66 - een betrouwbare partner?
Kent u Michiel Verbeek? Nee? Michiel Verbeek is oud wethouder (beter
'web-houder') van de gemeente Haren en heeft zich beschikbaar gesteld voor D66
bij de kamerverkiezingen. Hij staat op plaats 10. En dit verhaal gaat over
Michiel, maar begint met iemand anders.
Bruce Schneier beschrijft in zijn
laatste Cryptogram
hoe je beveiligingsmaatregelen kunt evalueren. Het is een 5-stappenplan. Stel
vijf vragen bij beveiligingsmaatregelen die worden getroffen. En bepaal daarmee
of de maatregel zin heeft. De vragen:
1) Wat voor probleem wordt hiermee opgelost?
2) Wat is het effect van de maatregel?
3) Ontstaan er nieuwe problemen door de maatregel??
4) Wat zijn de economische en sociale kosten?
5) Levert het dus uiteindelijk iets op of niet?
In zijn nieuwsbrief betoogt Bruce dat een groot aantal maatregelen dat ter
bestrijding van het terrorisme is doorgevoerd, het terrorisme niet bestrijdt
maar alleen de vrijheid van burgers beknot. Zijn uitspraak geldt primair voor de
Amerikaanse maatregelen. Ook Nederland heeft de nodige maatregelen aangekondigd
in navolging van 9-11. Eén van de meest in het oog springende maatregel is de
wens key-escrow in te voeren (meer daarover in
dit artikel
van Maurice Wessling en mezelf). Laten we die maatregel eens aan de hand van de
vragenlijst van Bruce doorlopen.
1) Wat voor probleem wordt hiermee opgelost?
Door een centrale instantie (TTP) backups te laten maken van sleutels die
gebruikt worden voor het encrypten van berichten (vertrouwelijkheidssleutels)
zijn de opsporende instanties in staat om via een verzoek aan de
sleuteluitgevende instantie (TTP) privé sleutels te verkrijgen. Zie artikel
125i, 125j en 125k, wetboek van strafvordering (WvS).
2) Wat is het effect van de maatregel?
De maatregel heeft tot gevolg dat van elke sleutel die door een
gecertificeerde TTP wordt uitgegeven een backup moet worden gemaakt. Artikel
125m van het WvS geeft aan dat een verdachte nooit om de sleutel gevraagd kan
worden.
3) Ontstaan er nieuwe problemen door de maatregel?
Legio. Jammer genoeg laat de economische effectrapportage op zich wachten (of
wordt deze niet openbaar gemaakt), maar problemen zijn te verwachten met 1) de
uitvoerbaarheid van deze maatregel (valt het af te dwingen?) en 2) de
effectiviteit (zal een terrorist die deze column leest er ooit toe besluiten om
een sleutel bij een TTP te bestellen?).
4) Wat zijn de economische en sociale kosten?
In de notitie "Grootschalig afluisteren van moderne telecommunicatiesystemen"
(27591-4) wordt door Klaas de Vries gezegd dat "een veilig gedrag door diegenen
die deelnemen aan de communicatie van belang [is]. Dezen dienen zich bewust te
zijn van het risico op afluisteren." De sociale gevolgen laten zich raden. Als
men niet kan vertrouwen op de betrouwbaarheid van de cryptografische
toepassingen waarmee communicatiestromen kunnen worden beveiligd, dan valt de
basis voor betrouwbare communicatie via het internet weg. Aangezien economische
bedrijfsspionage een steeds belangrijker onderwerp wordt en het internet een
steeds belangrijkere plaats inneemt, is het onvermijdelijk dat hierdoor een rem
wordt geplaatst op de economische groei.
5) Levert het dus uiteindelijk iets op of niet?
NEE! Natuurlijk levert het niets op. Het is heel erg simpel. De wet van
Murphy schrijft het al voor: "als iets mis kan gaan, dan zal het ook mis gaan".
Ik zeg: "als iets misbruikt kan worden, dan zal het misbruikt worden". Het is
een maatregel die niet alleen het vertrouwen van de internet gebruiker
ondermijnt, maar tevens onuitvoerbaar is (hoe zat het ook al weer met
proportionaliteit?)
Terug naar het lijdend voorwerp van deze column. Op het Information Security
Management congres werd afgelopen week een politiek debat gehouden. Dankzij de
val van het kabinet mochten we proeven aan de 'jonkies' van drie politieke
partijen. Michiel Verbeek van D66, Diederik Samsom van de PvdA en Jan Maurits
Faber van ons aller VVD. Een van de stellingen waarop door hen gereageerd werd
was "Het is naïef te denken dat met key escrow terrorisme en criminaliteit
worden bestreden. Key escrow staat haaks op het grondrecht van ieder mens tot
bescherming van de persoonlijke levenssfeer en moet dus door de Tweede Kamer
worden verworpen."
Het antwoord van Michiel? "De overheid moet een
hebben." Oftewel,
mening? Als de burger ooit een escape nodig heeft gehad dan is het nu wel. Een
mening die ik deel met alle bezoekers van het ISM congres. Een stemming in de
zaal liet zien dat de informatiebeveiligers die het debat bezochten unaniem voor
verwerping van het voorstel waren.
Dus Michiel. Als je je nou openlijk uitspreekt tegen 'key-escrow', dan stem
ik D66. Echt. Vertrouw me maar. En help ik je voor de rest van de troepen uit te
lopen.
Jammer dat het groentjes zijn, probeer eens een uitspraak van Bert Bakker omtrent Key Escrow te krijgen. (immers dat is al een aantal jaren de ICT vertegenwoordiger van D66)
Van Artikel over Mevrouw Voute heb ik genoten, van deze helaas iets minder.
Jammer dat het groentjes zijn, probeer eens een uitspraak van Bert Bakker omtrent Key Escrow te krijgen.
1) Wat voor probleem wordt hiermee opgelost ?
- met encryptie is het mogelijk om informatie ontoegankelijk voor derden te maken en valt daarom in veel landen onder de wapenwetgeving. Door bepaalde encryptiemethoden alleen onder bepaalde voorwaarden toegankelijk te maken voor bepaalde partijen maak je het strafbaar voor derden om niet-toegestane methoden van encryptie te gebruiken.
2) Wat is het effect van de maatregel ?
- dat het strafbaar wordt voor derden om gebruik te maken van niet geauthoriseerde methoden van encryptie. Let wel: natuurlijk maken 'schurken' hier gebruik van. Dan is dit al direct strafbaar. Je controleert zo wie waar gebruik van kan maken.
de rest lijkt me duidelijk...
charlieMOGUL
(begrijp me overigens niet verkeerd, ik ben tegenstander van dit soort praktijken)
2) Wat is het effect van de maatregel ?
- dat het strafbaar wordt voor derden om gebruik te maken van niet geauthoriseerde methoden van encryptie. Let wel: natuurlijk maken 'schurken' hier gebruik van. Dan is dit al direct strafbaar. Je controleert zo wie waar gebruik van kan maken.
Define <geauthoriseerde methoden van encryptie>
Wanneer is daar sprake van?
Hoe wil je dat handhaven?
Laatstaan hoe wil je dat controleren.
Als je iets laten we zeggen met een common encyption scheme versleuteld en dit met behulp van stenografie ergens in stopt......
Stel je gebruikt een dialect als schrijftaal?
Ik denk dat kwaadwillenden ten alle tijden de wet weten te omzeilen, ook al was het maar dat packets in Europa vaak door Nederland reizen, maar Nederland weleens niet als eindbestemming hoeft te hebben.
Met wetgeving op cryptografie ondermijn je niet alleen je economische en maatschappelijke belangen -tenminste Europa heeft 'uit het niets' het bestaan van Echelon bevestigd- maar criminaliseer je ook iedereen die gebruik maakt van infrastructuur die in Nederland staat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.