image

Australië wil techbedrijven verplichten om berichten te ontsleutelen

vrijdag 14 juli 2017, 10:15 door Redactie, 17 reacties
Laatst bijgewerkt: 14-07-2017, 16:55

De Australische overheid heeft een wetsvoorstel gepresenteerd dat techbedrijven verplicht om versleutelde berichten te ontsleutelen. Het wetsvoorstel zorgt ervoor dat bij het helpen van opsporingsdiensten voor internetbedrijven dezelfde verplichtingen gelden als voor telefoonbedrijven.

De techbedrijven kunnen zo door een rechtbank worden verplicht om berichten tussen gebruikers te ontsleutelen. "Het is een echt probleem dat opsporingsdiensten steeds vaker niet kunnen zien wat terroristen, drugshandelaren en pedofiele netwerken doen vanwege sterke encryptie", aldus de Australische premier Malcolm Turnbull tijdens de presentatie, zo laat persbureau AP weten. "Waar we kunnen, zullen we het afdwingen, maar we hebben de samenwerking van de techbedrijven nodig."

"We kunnen niet toestaan dat het internet wordt gebruikt als een plek voor terroristen, kindermisbruikers, mensen die kinderpornografie aanbieden en drugshandelaren om zich in het donker te verbergen. Deze plekken moeten door de wet worden verlicht", aldus Turnbull tegenover Seven Network. Hij merkte daarbij op dat er niet met "backdoors" zal worden gewerkt. Volgens het plaatsvervangend hoofd van de Australische politie wordt encryptie bij meer dan de helft van de onderzoeken die het naar ernstige misdrijven uitvoert aangetroffen.

De Australische minister van Justitie George Brandis kreeg tijdens een interview met ABC de vraag hoe het wetsvoorstel gaat werken in het geval van end-to-end-encryptie, waarbij alleen de afzender en ontvanger de inhoud van een bericht kunnen lezen. "Vorige week woensdag heb ik met de hoofdcryptograaf van de Britse geheime dienst GCHQ gesproken en hij verzekerde me dat dit haalbaar is. Experts hebben verschillende dingen beweerd, maar wat de overheid voorstelt is om bedrijven een verplichting op te leggen, bepaald door redelijkheid en proportionaliteit."

Facebook liet vorige maand nog weten dat het vanwege de manier waarop end-to-end-encryptie werkt de inhoud niet kan lezen, maar in het geval van rechtsgeldige verzoeken informatie die het kan verstrekken zal verstrekken.

Update

De speech van Turnbull tijdens de aankondiging is online verschenen. De Australische premier maakt duidelijk dat hij wil dat opsporingsdiensten toegang tot de inhoud van versleutelde berichten krijgen. "We willen met andere leidende economieën in de wereld samenwerken, om ervoor te zorgen dat de briljante techbedrijven in Silicon Valley en hun navolgers, hun genialiteit inzetten om de wet te ondersteunen. Zodat we, niet via backdoors of andere ongewenste middelen, maar legaal, gepast, via het recht, op de normale manieren die in de offline wereld van toepassing zijn, zorgen dat opsporingsdiensten toegang tot deze communicatie hebben zodat ze ons kunnen beschermen."

Reacties (17)
14-07-2017, 10:31 door Anoniem
De vraag is natuurlijk hoe je dat denkt te gaan doen.

Een voorbeeldje?
Partij A stelt vooraf een versleuteld bericht op met AES-256, en verstuurt dit vervolgens via end-to-end encrypted kanaal naar partij B. De overheid "O" wil meeluisteren en ziet na decryptie jammer genoeg een versleuteld bericht en kan alsnog niet meelezen.

Overheid "O" faalt opnieuw.
14-07-2017, 10:48 door Anoniem
Terroristen, pedofielen, etc. zullen simpelweg switchen naar eigen/andere chat programma's zodra de mainstream apps niet meer 100% veilig zijn.

Uiteindelijk is alleen de brave consument (99%) de dupe.
14-07-2017, 10:50 door Anoniem
Door Anoniem: De vraag is natuurlijk hoe je dat denkt te gaan doen.

Een voorbeeldje?
Partij A stelt vooraf een versleuteld bericht op met AES-256, en verstuurt dit vervolgens via end-to-end encrypted kanaal naar partij B. De overheid "O" wil meeluisteren en ziet na decryptie jammer genoeg een versleuteld bericht en kan alsnog niet meelezen.

Overheid "O" faalt opnieuw.

Nee hoor, in dat geval zul je (onder dat soort wetgeving) als "techbedrijf" dus moeten zorgen dat de je decryptiekey
te pakken kunt krijgen op het moment dat deze Overheid vraagt om de inhoud van die berichten. Als dat in de software
die je gemaakt hebt niet mogelijk is, zul je die software wellicht moeten aanpassen waardoor dat wel mogelijk wordt.

Zo werkt dat met wetten. Als er in de wet staat "je moet dit of dat doen of nalaten" dan kun je wel komen met "maar
we hebben iets gemaakt dat dat helemaal niet mogelijk maakt" maar daarmee kom je niet onder een wettelijke
verplichting uit. Je zult dan je product moeten aanpassen of buiten gebruik stellen.
14-07-2017, 11:08 door Anoniem
Door Anoniem:
Door Anoniem: De vraag is natuurlijk hoe je dat denkt te gaan doen.

Een voorbeeldje?
Partij A stelt vooraf een versleuteld bericht op met AES-256, en verstuurt dit vervolgens via end-to-end encrypted kanaal naar partij B. De overheid "O" wil meeluisteren en ziet na decryptie jammer genoeg een versleuteld bericht en kan alsnog niet meelezen.

Overheid "O" faalt opnieuw.

Nee hoor, in dat geval zul je (onder dat soort wetgeving) als "techbedrijf" dus moeten zorgen dat de je decryptiekey
te pakken kunt krijgen op het moment dat deze Overheid vraagt om de inhoud van die berichten. Als dat in de software
die je gemaakt hebt niet mogelijk is, zul je die software wellicht moeten aanpassen waardoor dat wel mogelijk wordt.

Zo werkt dat met wetten. Als er in de wet staat "je moet dit of dat doen of nalaten" dan kun je wel komen met "maar
we hebben iets gemaakt dat dat helemaal niet mogelijk maakt" maar daarmee kom je niet onder een wettelijke
verplichting uit. Je zult dan je product moeten aanpassen of buiten gebruik stellen.
Nee hoor, de decyptiekey wordt namelijk helemaal niet over het internet verzonden. Daar zit nu juist de TRUC.
14-07-2017, 11:08 door Anoniem
"Vorige week woensdag heb ik met de hoofdcryptograaf van de Britse geheime dienst GCHQ gesproken en hij verzekerde me dat dit haalbaar is."
Ik lees dat transcript en aan de ene kant zegt'ie dat'ie geen achterdeurtjes wil ("maar wat zijn achterdeurtjes?", de wezel), en aan de andere kant blijft'ie vol houden dat "dit mogelijk is". Wat dan? Willen ze zeggen dat GCHQ algoritmes als AES "in real time" weet te kraken? Of verwachten ze dat ISPs dat maar even zullen doen? Hmm....

Hij heeft kennelijk nog net door dat "achterdeurtjes" het volk in beroering brengt maar is te stom om te snappen wat het woord inhoudt en hoe dat zijn ideetje van "lijn aftappen voor de nieuwe technologiën zoals bij de telefoon" nogal gauw het hele brave volk onveilig uitgekleed en de terroristen hoog en droog ongemoeid achterlaat. Of, zoals gezegd, GCHQ weet de gangbare encryptie wel heel makkelijk te kraken.

Hoe dan ook, we hebben een probleem. De vraag is alleen, hoe groot? Naast het gebruikelijke probleem van alweer een technobete wezel op een belangrijke post.
14-07-2017, 11:17 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: De vraag is natuurlijk hoe je dat denkt te gaan doen.

Een voorbeeldje?
Partij A stelt vooraf een versleuteld bericht op met AES-256, en verstuurt dit vervolgens via end-to-end encrypted kanaal naar partij B. De overheid "O" wil meeluisteren en ziet na decryptie jammer genoeg een versleuteld bericht en kan alsnog niet meelezen.

Overheid "O" faalt opnieuw.

Nee hoor, in dat geval zul je (onder dat soort wetgeving) als "techbedrijf" dus moeten zorgen dat de je decryptiekey
te pakken kunt krijgen op het moment dat deze Overheid vraagt om de inhoud van die berichten. Als dat in de software
die je gemaakt hebt niet mogelijk is, zul je die software wellicht moeten aanpassen waardoor dat wel mogelijk wordt.

Zo werkt dat met wetten. Als er in de wet staat "je moet dit of dat doen of nalaten" dan kun je wel komen met "maar
we hebben iets gemaakt dat dat helemaal niet mogelijk maakt" maar daarmee kom je niet onder een wettelijke
verplichting uit. Je zult dan je product moeten aanpassen of buiten gebruik stellen.

Je snapt hem niet helemaal, als iemand zelf een bericht encrypt, en deze daarna over een of andere encrypted service (waardoor het bericht dus 2x encrypted is) stuurt, kan die service op geen mogelijjkheid zijn key van het originele bericht achterhalen.
14-07-2017, 11:41 door Anoniem
"Het is een echt probleem dat opsporingsdiensten steeds vaker niet kunnen zien wat terroristen, drugshandelaren en pedofiele netwerken doen vanwege sterke encryptie", aldus de Australische premier Malcolm

Gezien alle (vocale) energie die er door vele westerse overheden/politici gestopt wordt in het optreden tegen KP, drugs, en terreur, is het resultaat nogal teleurstellend. Deze dreigingen hadden allang van de aardbodem weggevaagd kunnen zijn.

Het is dan ook niet langer geloofwaardig om met de dreiging van KP, drugs en terreur aan te komen zetten als politicus, omdat na het inleveren van weer een stukje vrijheid en privacy de dreigingen nog steeds bestaan.

Kom maar met nieuwe argumenten aanzetten.
14-07-2017, 11:46 door Anoniem
Toch typisch dat je als burger rechten hebt via de Grondwet, recht hebt op een eerlijk proces, waar een rechter of rechtbank over iets oordeelt, waar je niet zelf hoeft mee te werken aan je eigen veroordeling.............maar diezelfde democratische gekozen regeringen laten je Grondrechten en mensenrechten wel vertrappen via hun eigen inlichtingendiensten die zich niets van die rechten hoeven aan te trekken.
14-07-2017, 11:58 door Anoniem
Turnbull moet wel een volslagen idioot zijn, als je deze quoot van hem ziet: "Well, the laws of Australia prevail in Australia, I can assure you of that. The laws of mathematics are very commendable but the only laws that applies in Australia is the law of Australia."

Tuurlijk, knul. Wiskundige wetten zullen heus wel wijken voor jouw waandenkbeelden.
14-07-2017, 12:26 door Anoniem
Door Anoniem:Zo werkt dat met wetten. Als er in de wet staat "je moet dit of dat doen of nalaten" dan kun je wel komen met "maar we hebben iets gemaakt dat dat helemaal niet mogelijk maakt" maar daarmee kom je niet onder een wettelijke verplichting uit. Je zult dan je product moeten aanpassen of buiten gebruik stellen.
Of natuurlijk roepen met "ik ben niet in Australie, ben geen Australier en wil er ook niet heen dus je kunt me verder wat".
14-07-2017, 12:50 door Anoniem
Die nieuwe argumenten hebben ze niet,. Ze kunnen immers niet zeggen: "Wij willen de totale surveillance staat open voor ons alleen en niet voor ieder ander". Dat is wel wezenlijk waar het bij deze regeringen om draait. En heeft een van de vijf ogen het, dan zullen de anderen het niet gebruiken/er misbruik van maken?

Don't fence me in, als oppassende burger, maar ik sta al digitaal met de rug tegen de muur. Wat staat ons te doen.
14-07-2017, 14:23 door Anoniem
Door Anoniem:
Partij A stelt vooraf een versleuteld bericht op met AES-256, en verstuurt dit vervolgens via end-to-end encrypted kanaal naar partij B. De overheid "O" wil meeluisteren en ziet na decryptie jammer genoeg een versleuteld bericht en kan alsnog niet meelezen.

In de praktijk zal het er waarschijnlijk op neerkomen dat overheden leveranciers van beveiligingsproductten zullen dwingen om hun producten al bij voorbaat te degraderen. Versleuteling is zeer afhankelijk van de beschikbaarheid van goede random (=onvoorspelbare,willekeurige) data. Maar als die unieke 256 bits AES sleutel van jouw end-to-end encryptie systeem gewoon een hash is van een 32 bits timestamp en het IMEI/MAC-adres van je apparaat, dan kan de NSA die sleutel zeer gemakkelijk raden. En de AIVD ook. En China ook.
14-07-2017, 14:38 door Anoniem
Als techbedrijven van een willekeurig iemand communicatiedata moeten en kunnen leveren, dan moeten ze dus in staat zijn om van iedereen de communicatie te lezen. En dat is nu al zo. Hajeniegedagthe?
14-07-2017, 16:14 door Planeten Paultje
"We've got a real problem in that...." we can no longer see what our population is up to, due to this encryption thingy and that scares us shitless. So we flash the crime-, pedo- and terrorist cards as leverage to get it mitigated.
14-07-2017, 16:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: De vraag is natuurlijk hoe je dat denkt te gaan doen.

Een voorbeeldje?
Partij A stelt vooraf een versleuteld bericht op met AES-256, en verstuurt dit vervolgens via end-to-end encrypted kanaal naar partij B. De overheid "O" wil meeluisteren en ziet na decryptie jammer genoeg een versleuteld bericht en kan alsnog niet meelezen.

Overheid "O" faalt opnieuw.

Nee hoor, in dat geval zul je (onder dat soort wetgeving) als "techbedrijf" dus moeten zorgen dat de je decryptiekey
te pakken kunt krijgen op het moment dat deze Overheid vraagt om de inhoud van die berichten. Als dat in de software
die je gemaakt hebt niet mogelijk is, zul je die software wellicht moeten aanpassen waardoor dat wel mogelijk wordt.

Zo werkt dat met wetten. Als er in de wet staat "je moet dit of dat doen of nalaten" dan kun je wel komen met "maar
we hebben iets gemaakt dat dat helemaal niet mogelijk maakt" maar daarmee kom je niet onder een wettelijke
verplichting uit. Je zult dan je product moeten aanpassen of buiten gebruik stellen.
Nee hoor, de decyptiekey wordt namelijk helemaal niet over het internet verzonden. Daar zit nu juist de TRUC.
Nee de TRUC is dat je een overtreder of zelfs een crimineel bent als je iets doet wat niet mag volgens de wet.
Dat betekent dat je opgepakt kunt worden of gedwongen je bedrijfsactiviteiten te staken of whatever.
Dat je iets kunt maken wat niet mag betekent niet dat het niet mogelijk is om te bepalen wat er allemaal niet mag.
14-07-2017, 18:02 door Anoniem
Door Anoniem: Als techbedrijven van een willekeurig iemand communicatiedata moeten en kunnen leveren, dan moeten ze dus in staat zijn om van iedereen de communicatie te lezen. En dat is nu al zo. Hajeniegedagthe?
Ja, de TRUC is dat bedrijven die versleutelde communicatie diensten leveren dat zó doen dat ze toch nog bij de onversleutelde data kunnen als ze dat zouden willen. Die hele zgn "end-to-end versleuteling" bij social media is een HOAX. En bijna iedereen trapt erin.
Dat is iets psychologisch: je vertrouwt graag waar je veel plezier van hebt.
Snoepjes zijn lekker, maar als je een paar keer hebt gesnoept en ervan genoten, dan is het moeilijk te onderkennen
dat het op den duur slecht is voor je gebit en voor je gezondheid.
Pas al je heel duidelijk de nadelen gaat voelen, dan wil men nog wel eens tot inkeer komen, maar het blijft moeilijk.
"De geest is wel gewillig, maar het vlees is zwak", wordt dan het verhaal. Het is in wezen een verslaving.
Zo werkt dat.
14-07-2017, 23:25 door Anoniem
Als ik de conversatie hier goed volg, is dus" Security through Obscurity" de sleutel waarmee de Overheid het probleem reeds heeft opgelost en wat het data-verwerkings- en capaciteitsprobleem betreft, werkt de "panopticon" filosofie voldoende uit om de nette burger keurig binnen de lijntjes te laten kleuren.

Als je het vermoeden hebt dat je ongezien 24 op 24 onder digitale surveillance (kan) worden gehouden, zul je je gedrag aanpassen, omdat je geen weet hebt van wanneer en hoe of dat gebeurt. Dat is "the method to herd the masses".

De rest van het verhaal is afleiding en ophouden van de schijn. Ik zeg dus dat vanaf het begin van het Interweb alles "geholed" is "by design". Dat is de rol van Silicon Valley in (soms ook afgedwongen) samenwerking met de drie- en vierletterdiensten. Maakt van ons security researchers dus 'dweilers met de kraan open'.

Heb ik het in principe juist begrepen of heb ik iets gemist of iets verkeerd opgepakt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.