Geen enkele wet staat boven wiskundig / technisch onkraakbare encryptie.

dan kom ik graag bij die dianne thuis op bezoek en ga ik overal in haar spullen kijken en alles wat ik interresant vind mag gebruiken zoals ik het wil, ook al is het in haar nadeel. wat zei je nu? je had toch niks te verbergen??

Als het technisch niet mogelijk is, is het dan nog steeds 'weigeren'?

Dit klinkt weer als een echte politicus die totaal niet weet waar het over gaat. Bedrijven kunnen door de architectuur geen toegang geven tot versleutelde data omdat ze simpelweg niet over de gebruikte sleutels beschikken. Dit zou betekenen dat bijvoorbeeld perfect forward secrecy op de schop moet omdat er geen sleutels bewaard worden. End point to end point versleuteling op basis van vergelikbare technieken zou niet meer kunnen omdat er geen sleutels bewaard worden. E nee je hebt niks aan de certificaten want zelfs daarmee heb je nog geen toegang tot de sessie sleutels waarmee de feitelijke encryptie gebeurd. Het enige effect wat je krijgt is dat er additionele applicaties en plugins komen die met stego het gebruik van crypto gaan verstoppen in bullshit datastromen van onzin video's of streaming van allerlei geluiden waarbij door het toepassen van een redelijk niveau van omgevingsgeluid er vrij veel ruimte (wiskundig gezien) beschikbaar komt om data in te verstoppen.

Wanneer leert men nou dat het bestaan van encryptie alleen bestreden kan worden met technieken die niet toepasbaar zijn in de uitvoering van massa surveillance... Of was het daar nou juist om te doen... Zodat we controversiële politici, kritische journalisten en andere democratische krachten kunnen "managen"...

Met de komst van software defined radio zenders in het landschap van the internet of things kun je straks bij elk huishouden vermoedelijk gebruik maken van anonieme internet access... De security van die producten staat al geruime tijd aanzienlijk ter discussie. En de ervaring leert ons dat het straks alleen maar erger gaat worden. Straks kun je door een gehackte lamp of bloempot met sensoren data versturen... Nutteloze wetten die bovendien totaal niet enforceable zijn omdat de technologische ontwikkelingen ongeveer 10 keer sneller gaan dan schrijvers van wet teksten kunnen absorberen. Los nog van de technologische kennis gap die al helemaal niet te overbruggen is voor dergelijke politici!

Wil je daadwerkelijk boeven en terroristen vangen stel dan wetgeving op die het mogelijk maakt om elke mogelijke techniek te pareren waarbij middels verkeersanalyse, observatie en afluisteren vast is komen te staan dat deze gebruikt worden door criminelen. En dan geen massa surveilance maar gericht op groepen waarbij er sprake is van redelijke verdenking en getoest door een rechter op basis van redelijke criteria. Niemand zit te wachten op zware criminaliteit! Maar geef de opsporingsdiensten dan een echte wetgeving waar ze ook echt effectief mee kunnen zijn omkleed met keiharde waarborgen dat er geen massa surveilance mee bedreven kan worden. En laat spioneren op Wilders en journalisten achterwege zodat de boevenvangers achter de echte boeven aan kunnen. Als buitenlandse belangen geschaad kunnen worden door ongenuanceerde uitlatingen van personen is dat de prijs die we ervoor moeten betalen. Dat los op je op door op Europees en VN niveau afspraken te maken en die dan ook hard te borgen. Wij zijn het "vrije" westen. In voor en tegenspoed!

My two cents...

In aanvulling op mijn eerdere tekst eindigend op My two cents... de volgende link:

https://www.security.nl/posting/463942/Tor+Messenger+beveiligt+priv%C3%A9berichten+op+Twitter+met+OTR

LOL

IDD, je wordt dan als IT bedrijf gedwongen de applicatiesoftware of het sleutelbeheer zo te verzwakken dat mensen gedwongen worden naar open source te gaan, of wil men nu dat bedrijven de priemfactor van de versleutelde berichten gaan overhandigen? Leuk dat laatste - dat levert meteen een Nobelprijs op. Wat opvalt is dat staats- en opsporingsapparaten zich moreel en kundig grenzeloos overschatten. Zelf bij de NL politie blijkt toch een slordige 1% corrupt, lek of onbetrouwbaar - dat mag een mooi getal zijn voor de menselijke maat, in de cryptografie is dat een recept voor een drama.

Je punt is duidelijk, maar hoe kan je zo'n reactie verantwoorden in een democratische rechtsstaat? Een onderbouwing waarom de personen voor de wet zijn en waarom dat wel of niet verstandig is lijkt mij meer op zijn plaats. Artikel 10 ligt pas sinds 1983 vast in de Nederlandse grondwet. In de USA hoef je het niet te zoeken. De vraag die voor iedereen buiten de USA meer van toepassing lijkt is hoe je je eigen grondrechten kan behouden we ons maatschappelijk afhankelijk stellen van landen waar men privacy niet heel belangrijk acht. Aan de ene kant heel hard roepen dat je voor privacy bent door het in grondwetten vast te leggen terwijl je aan de andere kant massaal producten en diensten afneemt die niet met privacy by design als principe worden gemaakt lijkt nogal tegenstrijdig.

De oude Romeinen zeiden al: Als je de wet (het recht) tot in het extreme interpreteert en toepast wordt het wordt het onrecht.

Overheden van al mij bekende landen zijn onbekwaam en niet bereid om het recht op privacy verregaand te waarborgen..Steeds weer worden er verzinsels geconstrueerd om de privacy te ondergraven. En daarmee ontaardt een "recht" in een "onrecht".

Als je dit verder extrapoleert dan wordt het nadenken over denken al strafbaar.

Als ik het goed begrijp betekent het voorstel dus dat bedrijven niet langer niet-technische argumenten mogen gebruiken om een verzoek tot het opleveren van data c.q. het (meewerken aan het) ontsleutelen van versleutelde data te weigeren.
M.a.w ze mogen niet meer zeggen "We kunnen wel, maar we willen niet". Als ze "niet kunnen", dat is de data is verleuteld en niet voor hen toegankelijk, dan is er verder niets aan de hand.

Ik vrees dus voor de voorstanders hiervan dat het effect juist tegengesteld zal zijn; meer dan ooit zal het dus voor bedrijven financieel en PR-technisch voordelig zijn om hun encryptie voor hen zelf onkraakbaar te maken.

Alles is technisch mogelijk.
Het is toch ook steeds een race tussen hackers en beveiliger?
Daarom moet een overheid sterk staan in het geheel.
Vul zelf maar in wat ik hier bedoel.
Het Internet en alle technische middelen moeten niet misbruikt worden voor allerlei misdaad.
Dus overheid: Laat je tanden zien.

Nee dit is technisch niet mogelijk. En als jij daar anders over denkt stel ik voor dat je jezelf eens verdiept in cryptografie.

Aan de andere kant : Het is natuurlijk wel mogelijk om het aantal maatregelen buiten encryptie te reduceren, waardoor bijvoorbeeld een brute force aanval vele malen efficiënter is.. op een telefoon gebruikt toch niemand een wachtwoord van 32 karakters.

Audi's maar afschaffen, want die worden misbruikt voor de misdaad.

Peter

Dit is feitelijk onjuist, het is domweg onwaar. Sterker nog, het getuigt van een gebrek aan kennis over de meest eenvoudige concepten in cryptografie. Op zich is het niet erg dat iemand daar niets van weet, het is alleen erg jammer wanneer die mensen wetgeving produceren, erover moeten stemmen, of het publiek debat een bepaalde richting op duwen.
Niet alles is technisch mogelijk (op dit moment). Dat wil zeggen, het is mogelijk data dusdanig te verleutelen dat het zonder de bijbehorende sleutel niet mogelijk is het te ontsleutelen (of dat te doen binnen een tijdsbestek van op zijn hoogst enkele jaren). Afhankelijk van het type versleuteling kan het kraken met de nu beschikbare rekenkracht bijvoorbeeld duizenden tot miljarden jaren duren. Met het toenemen van beschikbare rekenkracht is het telkenmale veel eenvoudiger gebleken om de lengte van de gebruikte key en/of het gebruikte algoritme te vervangen dan om de noodzakelijke rekenkracht om de nieuwe, langere keys te kraken bijeen te brengen. Er is ook versleuteling waarbij je, afhankelijk van de gekozen sleutel, een versleuteld bericht kan "ontsleutelen" tot zo'n beetje elk bericht van die lengte. Welke daarvan dan het oorspronkelijke daadwerkelijke bericht was is dan niet meer te achterhalen. Neem eens tien tot vijftien minuten de tijd om wat te lezen over de "one-time pad" of "vernam cipher", als een basis voor verder lezen.

Over niet-encryptie zou je een punt hebben. In software zit fouten, omdat het nu eenmaal door mensen gemaakt wordt. De race die je bedoelt is wie het eerste de fouten ontdekt: De beveiliger en degenen die ze steunen door fouten te melden, of de cybercrimineel die ze gebruikt om bijvoorbeeld identiteitsfraude te plegen.

Met cryptografie gaat dit niet helemaal op. De technologie is zodanig complex dat zelfs de besten vaak jaren nodig hebben om eventuele fouten op te sporen. Een frontale aanval op de cryptografie is daardoor een oefening in zinloosheid.

Wat men hier wil is een doelbewuste en door Apple geadverteerde verzwakking in de beveiliging, de technische term is een backdoor. Echter, hier loop je in conflict met een natuurwet. Het is technisch mogelijk een verzwakking in de beveiliging te maken, maar het is technisch NIET mogelijk er voor te zorgen dat deze verzwakking onderscheid maakt tussen rechtmatige en onrechtmatige toegang, omdat een computer de bedoelingen niet kan lezen en bovendien geen twee mensen het 100% eens zijn over welke toegangen wel of niet rechtmatig zijn. In het enkelvoud (een zaak) kom je een heel eind, maar het schaalt niet op naar wereldniveau. Natuurlijk, degenen die kennis hebben, hebben een voorsprong, een paar maanden, misschien een of twee jaar. Het zal dus geen onderscheid maken of de inbreker de FBI is om de San Bernardino shootout te onderzoeken (of misschien met veel lawaai te maskeren dat ze de zeer publieke Facebook pagina van de schutter over het hoofd gezien hebben - geen betere manier eigen fouten te verdoezelen dan iemand anders te beschuldigen), of toegang door IS om identiteitsfraude te plegen, je te Ron Kowsolea-en en met het binnengeharkte geld de volgende aanslag te financieren! En als we de reactie van de TSA dat hun lopers voor sloten op het internet, klaar voor 3D printing door iedereen die dat wil (geeft niets, we kunnen er nog steeds in - daar sta je dan als je je zorgen maakt over diefstal of andere perikelen), hoef je van Amerikaanse organisaties alvast niet te verwachten dat ze er ook maar een lor om geven als je door derden via dezelfde kwetsbaarheid in de problemen komt. Als Europeaan kan je de Amerikaanse overheid zelfs niet aanklagen. Omgekeerd overigens wel - over rechtsongelijkheid gesproken - zijn we gekke Henkie?

De situatie wordt nog ingewikkelder doordat intussen ACLU een doorwrocht artikel heeft geschreven waaruit onomstotelijk blijkt dat in de San Bernardino situatie de FBI (en overigens dus iedereen die over een gestolen iPhone en voldoende geld beschikt) helemaal niet nodig heeft! (https://www.aclu.org/blog/free-future/does-fbi-really-even-need-apples-help), Eerder heeft de FBI luidkeels aangekondigd dat het maar om dit ene geval zou gaan, dat blijkt niet waar te zijn. Ze hebben luidkeels aangekondigd dat ze niet zonder Apple konden, dat blijkt niet waar te zijn. Welke uitspraak uit die hoek kunnen we nog wel vertrouwen?

Laat de overheid dan maar de hacker zijn, dat hoeft toch niet te betekenen dat encryptie software alleen nog maar zwakke encryptie standaarden behoeft te kennen ?

Dadelijk gaan we weer terug naar zwakke encryptie zoals DES om alleen maar de overheid het makkelijk te maken.

+++++++

Prima ontwikkeling, kom op met die voorstanders. Eindelijk iets waar het doel kwaliteit vanaf het begin geborgd is.
We hebben niets aan onbekende backdoors en de fabrikant opties om "in geval van" data te kunnen benaderen.
(Rijndaal)

Daar sta ik achter. Maar wat ik dan niet begrijp is het blindelings volgen van de Apple uitspraken dat bij hun alles veilig en op orde zou zijn. Ooit deTOS van Apple doorgewerkt? Ik wantrouw elk commercieel bedrijf.
http://www.apple.com/legal/internet-services/itunes/us/terms.html