image

EU-voorzitter Slowakije wil encryptie met lidstaten bespreken

maandag 4 juli 2016, 17:12 door Redactie, 25 reacties

De nieuwe voorzitter van de Europese Unie Slowakije wil deze week het probleem dat encryptie voor opsporingsdiensten vormt met de lidstaten bespreken. Dat heeft minister Van der Steur van Veiligheid en Justitie in een brief aan de Tweede Kamer laten weten.

Aanstaande donderdag en vrijdag staat er een informele bijeenkomst van de Raad Justitie en Binnenlandse Zaken in Bratislava gepland. De Raad bestaat uit ministers van justitie en binnenlandse zaken van de EU-lidstaten. "Het Slowaakse Voorzitterschap initieert tijdens deze informele Raad een discussie over het gebruik van encryptie door criminelen en de problemen die de opsporing daardoor ondervindt bij het vergaren van gegevens", zo schrijft Van der Steur.

De minister wijst op het gebruik van encryptie voor het beveiligen van online communicatie aan de ene kant en het versleutelen van data op systemen aan de andere kant. "Anderzijds is er software die het mogelijk maakt offline gegevens te versleutelen met behulp van opensourceprogramma’s zoals Truecrypt. Deze versleutelingen maken het vergaren van gegevens door opsporingsdiensten heel moeilijk", aldus de minister (pdf). Hij noemt echter ook het belang van encryptie om gegevens te beschermen. "Vanuit het belang van veiligheid op internet worden veilig ontworpen software en het gebruik van hulpmiddelen om ongewenste kennisneming door derden van gegevens tegen te gaan gestimuleerd."

Slowakije wil deze week discussiëren over de verhouding tussen het opsporingsbelang en het belang van databescherming in relatie tot encryptie. Ministers zullen worden gevraagd om vanuit hun eigen ervaringen en rechtspraktijk te reflecteren op de noodzaak van en de mogelijkheden tot een aanpak die toegang tot data mogelijk maakt zonder in te boeten op de privacybescherming van de eigenaren van die data. Voor de mening van Nederland wijst de minister naar het kabinetsstandpunt over encryptie van begin dit jaar. Daarin liet het kabinet weten dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.

Reacties (25)
04-07-2016, 17:19 door Anoniem
NEXIT
04-07-2016, 17:21 door Reinder
..een aanpak die toegang tot data mogelijk maakt zonder in te boeten op de privacybescherming van de eigenaren van die data.

Het kan aan mij liggen, maar dat is toch per definitie onmogelijk? Het hele doel van encryptie is dat anderen geen toegang kunnen krijgen tot die data, dus een aanpak die toegang mogelijk maakt tot die data gaat in tegen het doel van encryptie.
04-07-2016, 17:23 door Anoniem
Het geeft toch al een beetje het niveau van de discussie aan dat Truecrypt prominent genoemd wordt, terwijl dat toch al een jaar of 2 als niet langer veilig is gekwalificeerd.
04-07-2016, 17:31 door Anoniem
Door Anoniem: Het geeft toch al een beetje het niveau van de discussie aan dat Truecrypt prominent genoemd wordt, terwijl dat toch al een jaar of 2 als niet langer veilig is gekwalificeerd.
Dan neem je VeraCrypt.
04-07-2016, 18:23 door SPlid
Door Anoniem:
Door Anoniem: Het geeft toch al een beetje het niveau van de discussie aan dat Truecrypt prominent genoemd wordt, terwijl dat toch al een jaar of 2 als niet langer veilig is gekwalificeerd.
Dan neem je VeraCrypt.

En u denkt dat deze spawn-off van TC wel veilig is ? Waarom ?
04-07-2016, 18:26 door SPlid
OMG daar gaan we weer ...... Alle overheden zitten graag met hun vingertjes aan mijn privé data. Kan me eigenlijk niet zoveel schelen, als ik de garantie krijg dat dit alleen de overheid is , anders 10 miljard boete als de een of andere crimineel via deze weg toegang krijgt tot mijn data. Ik zie jullie in een week op een tropisch eiland !
04-07-2016, 20:58 door Anoniem
Door Reinder:
..een aanpak die toegang tot data mogelijk maakt zonder in te boeten op de privacybescherming van de eigenaren van die data.

Het kan aan mij liggen, maar dat is toch per definitie onmogelijk? Het hele doel van encryptie is dat anderen geen toegang kunnen krijgen tot die data, dus een aanpak die toegang mogelijk maakt tot die data gaat in tegen het doel van encryptie.

Correct. Maar je hebt met politiek te maken. Het gaat daarbij niet om wat ze zeggen, maar dat hun naam genoemd wordt.
04-07-2016, 21:23 door johanw
Door Anoniem: Het geeft toch al een beetje het niveau van de discussie aan dat Truecrypt prominent genoemd wordt, terwijl dat toch al een jaar of 2 als niet langer veilig is gekwalificeerd.
Hoezo niet veilig? Het wordt niet meer onderhouden maar echte gaten zijn er nog niet in gevonden. Zolang er geen bugs in gevonden worden is het alleen maar goed dat het niet ten onder gaat aan featuritus, een veel voorkomende software ziekte.
04-07-2016, 21:45 door Anoniem
Door SPlid:
Door Anoniem:
Door Anoniem: Het geeft toch al een beetje het niveau van de discussie aan dat Truecrypt prominent genoemd wordt, terwijl dat toch al een jaar of 2 als niet langer veilig is gekwalificeerd.
Dan neem je VeraCrypt.

En u denkt dat deze spawn-off van TC wel veilig is ? Waarom ?
Omdat dezelfde broncode is gebruikt in TrueCrypt en die kreeg een Audit waar alles Okay was. Daarom.
04-07-2016, 22:15 door Anoniem
Waren de inlichtingendiensten niet met hun plannen voor massa-surveillance op de proppen gekomen, dan was er geen Snowden geweest en dan zaten nu niet de politici met hun handen in hun haren wegens het 'probleem' van de encryptie.
05-07-2016, 00:50 door [Account Verwijderd]
Ministers zullen worden gevraagd om vanuit hun eigen ervaringen en rechtspraktijk te reflecteren op de noodzaak van en de mogelijkheden tot een aanpak die toegang tot data mogelijk maakt zonder in te boeten op de privacybescherming van de eigenaren van die data.
Prima dat er gebrainstormd wordt maar neen, NEEN. Niet op Europees niveau gaan regelen.
Voor de mening van Nederland wijst de minister naar het kabinetsstandpunt over encryptie van begin dit jaar. Daarin liet het kabinet weten dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.
Precies...desbetreffend voet bij stuk houden als Nederlandse afvaardiging om te voorkomen dat oud Oost-blok (Tsjecho-slovaakse invloeden misschien een woordje meebabbelen of op zijn minst daar heel waakzaam voor zijn, anders veroorzaakt dat nog meer speelruimte voor reactionaire NEXIT roepers.
05-07-2016, 08:20 door Anoniem
Overheden rond de hele wereld hebben jarenlang mee kunnen kijken omdat de non ict man dacht
dat niemand iets kon zien. Nu men weet dat de overheid meekijkt gaan we de boel encrypten want de staat
hoeft niet alles te weten. Met andere woorden; ze zijn verwend de afgelopen 10 jaar.
Ze moeten nu weer wennen aan het feit dat ze net zoals vroeger niet meer met je mee kunnen kijken.

Verandering is lastig voor elk mens :)

Afz. Slash
05-07-2016, 08:48 door fluffyb53
Door Anoniem:
Door Anoniem: Het geeft toch al een beetje het niveau van de discussie aan dat Truecrypt prominent genoemd wordt, terwijl dat toch al een jaar of 2 als niet langer veilig is gekwalificeerd.
Dan neem je VeraCrypt.

Klopt niet. Verleden jaar werdt er een TC audit uitgevoerd en op een paar details na veilig bevonden.
05-07-2016, 09:24 door Anoniem
Het moet niet gekker worden in Europa. Op het moment dat de doorsnee burger doorheeft dat de overheid overal bij kan en vervolgens de boel op slot zet, gaat Europa overleggen of die sloten nou wel zo'n goed idee zijn. Voor geïnteresseerden in encryptie in combinatie met decentralisatie, google eens Storro.
05-07-2016, 09:30 door Anoniem
Door Reinder: Het kan aan mij liggen, maar dat is toch per definitie onmogelijk? Het hele doel van encryptie is dat anderen geen toegang kunnen krijgen tot die data, dus een aanpak die toegang mogelijk maakt tot die data gaat in tegen het doel van encryptie.

Het kan een optie zijn om het overleggen van je wachtwoorden onder bepaalde omstandigheden uit te sluiten van het verbod op zelfincriminatie en het strafbaar te stellen als je daar niet aan meewerkt. Vergelijkbaar met dat je geen keuze hebt als er een huiszoekingsbevel is.
05-07-2016, 09:53 door Erik van Straten
In TrueCrypt (dat ik zelf overigens nog gebruik op enkele oudere computers) is een privilege escalation lek gevonden waar natuurlijk geen patch meer voor uitkomt. Dat lek is in VeraCrypt wel gedicht.

Een voordeel van de laatste volledig werkende versie van TrueCrypt is dat je (aan de hand van de digitale handtekening) zeker weet dat deze geaudite versie ongewijzigd is. Als je de allerlaatste versie van VeraCrypt downloadt, moet je maar afwachten of daarin geen nieuwe fouten zijn geïntroduceerd (per ongeluk of opzettelijk).
05-07-2016, 10:37 door Anoniem
Heeft Merica! eindelijk iemand gevonden die als strohalm gebruikt kan worden.
De crypto wars is al decennia aan de gang en zal nog decennia voortduren.
05-07-2016, 10:51 door Reinder
Door Anoniem:
Door Reinder: Het kan aan mij liggen, maar dat is toch per definitie onmogelijk? Het hele doel van encryptie is dat anderen geen toegang kunnen krijgen tot die data, dus een aanpak die toegang mogelijk maakt tot die data gaat in tegen het doel van encryptie.

Het kan een optie zijn om het overleggen van je wachtwoorden onder bepaalde omstandigheden uit te sluiten van het verbod op zelfincriminatie en het strafbaar te stellen als je daar niet aan meewerkt. Vergelijkbaar met dat je geen keuze hebt als er een huiszoekingsbevel is.

Volgens mij is het geen verbod op zelfincriminatie (je mag wel bekennen), maar (het niet hoeven doen) een recht. Ik weet dat het in een aantal landen strafbaar is om niet je wachtwoorden over te dragen, ik zelf kan het onmogelijk verenigen met dat (zogenaamde) recht om niet tegen jezelf te hoeven getuigen. Ik weet niet precies hoe goed het daar werkt, ik hoor er weinig over. Wel onlangs van een man in de UK die al enige tijd vast zit omdat hij weigert mee te werken met zijn eigen vervolging, maar dat is het zo'n beetje. Het is wel zo'n beetje het enige wat praktisch nog uitvoerbaar is. Het lijkt me wel een wespennest om uit te moeten voeren en geformaliseerd vast te leggen in wetgeving. Je zal, om te voorkomen dat onschuldigen achter tralies belanden, op een of andere manier moeten vastleggen op welke wijze justitie moet aantonen dat jij inderdaad het wachtwoord weet en niet oprecht vergeten bent (bijv dat encrypte usb sticky van 5 jaar geleden die je kwijt was maar die bij een huiszoeking boven water komt). Dan nog een interessant issue: wat als ik een disk vol random data encrypt en vervolgens braaf meewerk aan het decryptie-bevel. Na decryptie blijkt er geen "echte" (dwz plaatjes teksten video etc) data op de disk te staan. Justitie claimt dat ik een encryptie-techniek heb gebruikt die afhankelijk van het gebruikte wachtwoord de echte danwel random tekst oplevert. Ik beweer dat het echt random data is.
Dan nog het issue dat de straf aanzienlijk moet zijn om effectief te zijn. Als ik op die disk de plannen bewaar voor een aanslag, en ik zou er 20 jaar cel voor krijgen, dan geef ik dus mijn wachtwoord niet af tenzij de straf daarvoor hoger is. Zulke hoge straffen eisen voor niet praten of meewerken, wat in alle andere gevallen een fundamenteel mensenrecht is, zal denk ik moeilijk liggen bij veel parlementen, het botst met beginselen als dat de straf moet passen bij de misdaad.

Iemand enig idee hoe ze dat precies in bijvoorbeeld de UK doen, waar zulke wetgeving van kracht is?
05-07-2016, 12:26 door johanw
Door Erik van Straten: In TrueCrypt [...] is een privilege escalation lek gevonden
Dat soort lekken zijn alleen gevaarlijk als iemand toch al ingelogd is op die machine. Voor het ontcijferen van in beslag genomen computers heb je er niets aan.
05-07-2016, 12:27 door Anoniem
Misschien kan je beter steganografie gebruiken voor sommige data .
05-07-2016, 12:40 door johanw - Bijgewerkt: 05-07-2016, 12:40
Door Reinder:Volgens mij is het geen verbod op zelfincriminatie (je mag wel bekennen), maar (het niet hoeven doen) een recht. Ik weet dat het in een aantal landen strafbaar is om niet je wachtwoorden over te dragen, ik zelf kan het onmogelijk verenigen met dat (zogenaamde) recht om niet tegen jezelf te hoeven getuigen.
[...]
Iemand enig idee hoe ze dat precies in bijvoorbeeld de UK doen, waar zulke wetgeving van kracht is?
Dat zal iemand eens moeten laten voorkomen voor het Europese mensenrechtenhof - en dat is geen onderdeel van de EU, dus daar is het UK niet automatisch ook uitgestapt. Zie voor een analyse bv. https://www.techdirt.com/articles/20140116/09195525902/uk-man-jailed-not-giving-police-thumbstick-password.shtml , de reactie "Self incrimination in the UK"
05-07-2016, 16:24 door Anoniem
Door johanw:
Door Reinder:Volgens mij is het geen verbod op zelfincriminatie (je mag wel bekennen), maar (het niet hoeven doen) een recht. Ik weet dat het in een aantal landen strafbaar is om niet je wachtwoorden over te dragen, ik zelf kan het onmogelijk verenigen met dat (zogenaamde) recht om niet tegen jezelf te hoeven getuigen.
[...]
Iemand enig idee hoe ze dat precies in bijvoorbeeld de UK doen, waar zulke wetgeving van kracht is?
Dat zal iemand eens moeten laten voorkomen voor het Europese mensenrechtenhof - en dat is geen onderdeel van de EU, dus daar is het UK niet automatisch ook uitgestapt. Zie voor een analyse bv. https://www.techdirt.com/articles/20140116/09195525902/uk-man-jailed-not-giving-police-thumbstick-password.shtml , de reactie "Self incrimination in the UK"

De UK heeft al aangegeven dat ze lokale rechters de mogelijkheid willen geven delen van de EHCR buiten werking te stellen. Iets wat trouwens pas mogelijk is na de BREXIT.

Peter
05-07-2016, 18:46 door Anoniem
Door Reinder:
..een aanpak die toegang tot data mogelijk maakt zonder in te boeten op de privacybescherming van de eigenaren van die data.

Het kan aan mij liggen, maar dat is toch per definitie onmogelijk? Het hele doel van encryptie is dat anderen geen toegang kunnen krijgen tot die data, dus een aanpak die toegang mogelijk maakt tot die data gaat in tegen het doel van encryptie.

Deze vraag valt eigenlijk in twee vragen uiteen:

1. Is het mogelijk een eventuele bevoegdheid met voldoende waarborgen te omkleden dat veiligheid en privacy maximaal beschermd worden?

2. Is het mogelijk encryptie te maken die alleen voor opsporingsdiensten toegankelijk is?

Vraag 1 wil ik hier grotendeels in het midden laten, omdat dit een lang verhaal is. Laat ik volstaan met te zeggen dat er in theorie niets onoverkomelijks in de weg staat, maar dat ik ernstig twijfel aan de kwaliteit van beleidsmakers en uitvoerenden om het ook daadwerkelijk te verwezenlijken.

Het antwoord op vraag 2 is onverkort nee. Cryptografie is uiteindelijk doodgewone wiskunde, en wiskundige wetten gelden voor iedereen. Wel zou het in theorie mogelijk kunnen zijn om een bepaalde zgn. work factor aan te houden waardoor je voor cryptografie tijdelijk een minimumbudget en tijd nodig hebt om het te kraken. Maar, door de Wet van Moore (https://nl.wikipedia.org/wiki/Wet_van_Moore) heeft een dergelijke drempel maar een uiterst beperkte houdbaarheid.

Bovendien is het niet mogelijk om cryptografie op die manier uit handen van kwaadwillenden te houden. De wiskunde staat al hoog en breed over het hele internet, en zelfs al zou niet hetzelfde voor de code gelden, dan is het voor een redelijke programmeur niet zo moeilijk die te maken.

Ook een derde, gemeenschappelijke, sleutel is met bepaalde van de huidige vormen wiskundig onmogelijk. Wat overblijft zijn organisatorische gedachten als kopieën van de sleutels, gedwongen afstand. En dat brengt ons deels terug bij vraag 1.
05-07-2016, 22:22 door Erik van Straten
Door johanw:
Door Erik van Straten: In TrueCrypt [...] is een privilege escalation lek gevonden
Dat soort lekken zijn alleen gevaarlijk als iemand toch al ingelogd is op die machine. Voor het ontcijferen van in beslag genomen computers heb je er niets aan.
Inbeslagname (door politie/justitie/douane) valt niet onder mijn zorgen, wel diefstal en malware. Inderdaad is de schijfversleuteling van TrueCrypt -voor zover bekend- niet gekraakt, maar TrueCrypt verzwakt wel op een andere manier je PC (een lek waar veiligheidsdiensten en politie bij "terughacken" gebruik van zouden kunnen maken).

Overigens is er altijd "iemand" (meerdere accounts voor allerlei services) ingelogd als Windows "draait". FDE (Full Disk Encryption) zoals TrueCrypt is op z'n sterkst als er geen OS (Operating System) actief is. Als jij je zorgen maakt over inbeslagname, zou ik m'n computer maar zo veel mogelijk uitlaten.
05-07-2016, 22:50 door Erik van Straten
Door Anoniem: Wel zou het in theorie mogelijk kunnen zijn om een bepaalde zgn. work factor aan te houden waardoor je voor cryptografie tijdelijk een minimumbudget en tijd nodig hebt om het te kraken.
Daarbij ga je ervan uit dat de partij(en) met voldoende tijd en budget allen betrouwbare partijen zullen zijn, waarbij je vermoedelijk aan de overheid denkt. Dit gaat niet werken om twee redenen:
1) Er wordt veel informatie versleuteld waarin de overheid helemaal niet geïnteresseerd is, maar concurrenten en/of cybercriminelen wel, waardoor die partijen waarschijnlijk veel meer geld en tijd aan het kraken van jouw schijf zullen willen uitgeven dan de overheid;
2) Bij onderzoek door de overheid in relatie tot terrorisme, kinderporno en andere zware criminaliteit het meestal essentieel is dat data zo snel als mogelijk worden ontcijferd - en dat moet ook geen bakken geld kosten.
Dit nog even los van het feit dat slimmerikken dit soort vertragingen vaak substantieel weten in te korten.

Het enige dat de overheid kan eisen is dat iedereen een kopie van de sleutel aan de overheid geeft, met twee consequenties:
A) Brave burgers zullen dat doen, anderen niet (en dat was nou net de doelgroep);
B) Er zullen sleutels in verkeerde handen vallen. Van brave burgers wel te verstaan;
C) Brave burgers zullen worde veroordeeld voor misdaden die zij niet hebben gepleegd, omdat op hun computers de sterkste aanwijzingen zijn gevonden. Immers, computers van de werkelijke daders zullen niet kunnen worden onderzocht omdat justitie daar geen reservesleutels van heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.