image

Kabinet neemt geen maatregelen tegen encryptie

maandag 4 januari 2016, 12:13 door Redactie, 14 reacties

Het kabinet neemt geen maatregelen tegen encryptie, zo blijkt uit het kabinetsstandpunt over encryptie (doc). Vorig jaar liet het kabinet weten dat het met een standpunt over encryptie zou komen. Daarin wordt nu gesteld dat encryptie belangrijk is voor het beschermen van gegevens, maar ook een probleem voor opsporingsdiensten vormt.

Het kraken van encryptie is tegenwoordig in steeds minder gevallen mogelijk. Daarnaast is de mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een provider, minder vaak beschikbaar. "In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt. Gelet op het belang van de opsporing en vervolging van strafbare feiten en de belangen die zijn gemoeid met de nationale veiligheid, nopen deze ontwikkelingen tot het zoeken naar nieuwe oplossingen", aldus het kabinet.

Volgens het kabinet zijn erop dit moment geen mogelijkheden om in algemene zin, bijvoorbeeld via standaarden, encryptieprogramma's te verzwakken zonder daarmee de veiligheid van digitale systemen die van encryptie gebruik maken in gevaar te brengen. "Door bijvoorbeeld een technische ingang in een encryptieproduct te introduceren die het voor opsporingsinstanties mogelijk zou maken versleutelde bestanden in te zien, kunnen digitale systemen kwetsbaar worden voor bijvoorbeeld criminelen, terroristen en buitenlandse inlichtingendiensten", zo schrijft het kabinet.

Conclusie

In de conclusie stelt het kabinet dat het de taak heeft om de veiligheid van Nederland te waarborgen en strafbare feiten op te sporen. Hiervoor is het nodig om rechtmatige toegang tot gegevens en communicatie te krijgen. Overheden, bedrijven en burgers zijn daarnaast gebaat bij maximale veiligheid van de digitale systemen. "Het kabinet onderschrijft het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven, en voor de Nederlandse economie."

Het kabinet is daarom van mening dat het op dit moment niet wenselijk is om 'beperkende wettelijke maatregelen' te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen. Wat betreft het stimuleren van sterke encryptie zal hier 500.000 euro voor worden uitgetrokken, zoals eerder al in de begroting van het ministerie van Economische Zaken is opgenomen.

Reacties (14)
04-01-2016, 12:39 door Anoniem
Bij de eerste blik kwam ik deze uitglijder al tegen:
De recente aanslagen in Parijs, waarbij mogelijk gebruik is gemaakt van versleuteling van de communicatie door de terroristen, leiden tot de gerechtvaardigde vraag wat er nodig is om opsporings-, inlichtingen- en veiligheidsdiensten goed zicht te bieden en laten houden op aanslagplanning.

Het antwoord is: Nee beste politici, ze hebben geen encryptie gebruikt. De mobile telefoons om de aanval uit te voeren waren niet eens versleuteld, en ook het dataverkeer onderling was gewoon in plain-text!
04-01-2016, 14:43 door PietdeVries
Door Anoniem: Bij de eerste blik kwam ik deze uitglijder al tegen <snip> Het antwoord is: Nee beste politici, ze hebben geen encryptie gebruikt. De mobile telefoons om de aanval uit te voeren waren niet eens versleuteld, en ook het dataverkeer onderling was gewoon in plain-text!

Wacht even - het Kabinet kondigt aan geen maatregelen te nemen tegen encryptie, iets waar iedereen het hier op security.nl mee eens is, en jij weet er wel weer een bocht in te bakken waardoor zou blijken dat de 'beste politici' een uitglijder hebben gemaakt?

Verklaar je nader...
04-01-2016, 15:08 door Reinder
Je verwacht het niet, zomaar ineens een goed besluit van het kabinet. Wat een onverwacht genoegen
04-01-2016, 15:40 door Anoniem
We zijn weer een jaartje veilig.
04-01-2016, 15:54 door Anoniem
Een mooi voorbeeld van hoe een (officiele overheids?) backdoor door derden misbruikt kan worden:
http://blog.cryptographyengineering.com/2015/12/on-juniper-backdoor.html

Als het stuk zelf te lang is, hier is het relevante deel:
To sum up, some hacker or group of hackers noticed an existing backdoor in the Juniper software, (...) They then piggybacked on top of it to build a backdoor of their own, something they were able to do because all of the hard work had already been done for them. The end result was a period in which someone (...) was able to decrypt Juniper traffic in the U.S. and around the world.

Peter
04-01-2016, 16:39 door Anoniem
Verklaar je nader...
Nou ja, het staat er toch wat ik bedoel?
04-01-2016, 16:44 door User2048
In de richtsnoeren bij de Meldplicht Datalekken geeft de overheid zelf het belang aan van goede encryptie. Als gelekte persoonsgegevens versleuteld zijn, dan is er geen sprake van een datalek in de zin van de wet, anders wel. Maatregelen tegen encryptie zouden hier haaks op staan.
04-01-2016, 17:52 door Anoniem
"Het kabinet is daarom van mening dat het op dit moment niet wenselijk is om 'beperkende wettelijke maatregelen' ....."

We zijn natuurlijk blij met dit stukje vrijheid. Maar vrijheid komt nooit alleen. Bits voor freedom zegt:
- Vrijheid komt met encryptie en anonimiteit.

Maar er zijn ook nog andere zaken waar vrijheid mee gepaard gaat, zoals:
- vrijheid komt met gebreken
- vrijheid komt met beperkingen
- vrijheid komt met verplichtingen
- vrijheid komt met verantwoordelijkheid
Als teveel mensen hier geen rekening mee houden, dan zouden we deze vrijheid weer kunnen verliezen doordat het kabinet zijn huidige standpunt weer gaat wijzigen.
04-01-2016, 18:08 door Anoniem
Officieel en onofficieel beleid

AIVD en encryptie

Het artikel van de Volkskrant gaat ook in op de nieuwe bevoegdheden van de AIVD, zoals beschreven in het wetsvoorstel van de Wet op de inlichtingen- en veiligheidsdiensten. Daarin stelt de krant dat de AIVD achter de schermen bepleit, met een beroep op het uitvoeren van zijn wettelijke taak, dat bedrijven de sleutels voor het terugdraaien van encryptie aan de dienst zullen geven om zo rechtmatige toegang tot versleutelde data te krijgen. Encryptie zou voor de geheime dienst namelijk een groot probleem zijn.

https://www.security.nl/posting/456247/Politie%3A+ict-bezuinigingen+belemmeren+online+opsporing
http://www.volkskrant.nl/media/politie-krijgt-hackbevoegheden-maar-kan-ze-niet-gebruiken~a4217239/

Maar weer geen kamerlid die er naar kraait.
En als er al iemand naar kraait komt er geen echt antwoord.

Op de achtergrond worden dus bedrijven benaderd met het dringende verzoek toch vooral mee te werken met de aivd.
Wie durft er nee tegen de aivd te zeggen?
Je hebt immers geen idee wat je dan te wachten staat.

Deze situatie levert een staat op met grondrechten en wetten tenzij ....
Niemand die het interesseert?
04-01-2016, 18:52 door Anoniem
Door Anoniem: Bij de eerste blik kwam ik deze uitglijder al tegen:
De recente aanslagen in Parijs, waarbij mogelijk gebruik is gemaakt van versleuteling van de communicatie door de terroristen, leiden tot de gerechtvaardigde vraag wat er nodig is om opsporings-, inlichtingen- en veiligheidsdiensten goed zicht te bieden en laten houden op aanslagplanning.

Het antwoord is: Nee beste politici, ze hebben geen encryptie gebruikt. De mobile telefoons om de aanval uit te voeren waren niet eens versleuteld, en ook het dataverkeer onderling was gewoon in plain-text!

Het is (inmiddels) duidelijk dat veel communicatie niet versleuteld is geweest. Maar dat betekend niet dat er überhaupt geen encryptie is gebruikt, bijvoorbeeld één Whats App berichtje en er is al versleuteld gecommuniceerd. Dergelijke software is gevonden om hun telefoons, dus het is goed mogelijk dat encryptie is gebruikt. Jij beweerd feitelijk dat er géén enkel bericht met Whats App of Telegram e.d. is verstuurd, wat een vrij straffe bewering is.
Wat nuance is overigens op zijn plek, want op het moment dat encryptie zou zijn toegepast, dan is dat vermoedelijk geen bewuste keuze geweest.

Persoonlijk vind ik het een goed onderbouwde standpunt. Voor een goede rechtstaat is het van belang dat (bijvoorbeeld) de politie opsporingsmogelijkheden hebben. En encryptie kan hierin een belemmering vormen, dus is het valide om daar een keer goed naar te kijken. En dat heeft het kabinet gedaan en hun conclusie is dat ondanks dat encryptie een belemmering kan zijn, elk alternatief erger is.

(wanneer welke opsporingsmethode mag worden toegepast is in mijn opinie een andere discussie welke ik hier niet wil aangaan)
05-01-2016, 08:47 door Anoniem
Door Anoniem: Bij de eerste blik kwam ik deze uitglijder al tegen:
De recente aanslagen in Parijs, waarbij mogelijk gebruik is gemaakt van versleuteling van de communicatie door de terroristen, leiden tot de gerechtvaardigde vraag wat er nodig is om opsporings-, inlichtingen- en veiligheidsdiensten goed zicht te bieden en laten houden op aanslagplanning.

Het antwoord is: Nee beste politici, ze hebben geen encryptie gebruikt. De mobile telefoons om de aanval uit te voeren waren niet eens versleuteld, en ook het dataverkeer onderling was gewoon in plain-text!

Je schijnt nogal wat inside informatie te hebben of je hebt de klok horen luiden maar weet niet waar de klepel hangt.

JdH
05-01-2016, 11:17 door Anoniem
Ach, de NSA/CIA of whatever anti-terreur (kuch) organisatie pleegt weer een aanslag of laat deze gebeuren terwijl ze de informatie (al dan niet in plain text) hebben gekregen en roepen dan over een poosje weer "zie je wel, we moeten jullie domme mensen onderdrukken voor jullie eigen veiligheid"...

2016.. geen terroristen meer nodig, de overheden doen dat beter.
05-01-2016, 16:36 door Profeet
Nou dat geeft de burger weer moed :).
Wat betreft dat "op dit moment". Als ze aan de huidige redenering vast houden zal dat dus ook "nooit" gebeuren. Je kan geen zwakte in beveiliging aanbrengen zonder hem te verzwakken (duh). Dus achterdeuren zijn (met deze redenatie) gewoon van de baan.
08-01-2016, 10:07 door Dirk Geeraerts
Vertrouwen vormt de basis van de digitale economie waar we vandaag de dag in leven. Encryptie is een fundamenteel onderdeel geworden in deze digitale economie. Hiermee wordt de meeste data, digitale identiteiten en financiële transacties wereldwijd beveiligd. Alleen de sterkste encryptie is goed genoeg wat mij betreft. Een compromis doet niet alleen afbreuk aan het systeem, maar kan ook afbreuk doen aan het vertrouwen van individuele burgers in de producten en diensten die zij dagelijks gebruiken. Van mobiele apparaten en internet bankieren tot ID-documentatie en winkelen. Ondertussen worden cybercriminelen steeds slimmer. Ze vinden keer op keer nieuwe manieren om succesvol perimeter security te omzeilen. Daarom is encryptie zo belangrijk. Het is de meest effectieve beveiligingsmaatregel om data te beschermen wanneer een datalek zich voordoet. Ook als de data in handen is van hackers, kunnen zij er dankzij encryptie niets mee beginnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.