image

FBI vraagt techbedrijven opnieuw om oplossing voor encryptie

donderdag 8 maart 2018, 12:57 door Redactie, 24 reacties

FBI-directeur Christopher Wray heeft tijdens een speech op het Boston College techbedrijven opnieuw opgeroepen om snel met een oplossing voor encryptie te komen. Wray wees naar de gevolgen die encryptie voor het onderzoeken van communicatie en apparaten heeft.

Zo kan de FBI door encryptie bijna 7800 apparaten niet onderzoeken. "En dat is alleen de FBI", merkte Wray op. Het aantal apparaten dat andere opsporings- en politiediensten niet kunnen onderzoeken is hierin niet meegenomen. Volgens Wray is de FBI voorstander van sterke encryptie. "Maar beveiligingsprogramma's moeten goed doordacht worden ontworpen, zodat ze niet de rechtmatige tools ondermijnen die we nodig hebben om het Amerikaanse volk te beschermen."

Wray stelde dat er een verstandige en weloverwogen aanpak nodig is, die per businessmodel en technologie kan verschillen. "Maar ik kan dit niet genoeg benadrukken. We moeten snel werken", merkte de FBI-directeur op. "Daarbij willen en hebben we de hulp van de private sector nodig. Ze moeten op wettig uitgegeven gerechtelijke bevelen reageren, op een manier die consistent is met wetgeving en sterke cybersecurity. We hebben beide nodig en kunnen beide hebben."

Wray stelde dat er binnen de industrie geïnnoveerd moet worden om rechtmatige toegang mogelijk te maken. "Maar de claim dat het onmogelijk is geloof ik gewoon niet." Critici en cryptografen hebben herhaaldelijk gezegd dat sterke encryptie geen mechanisme kan bevatten om door een derde partij te worden ontsleuteld. De FBI-directeur liet het publiek weten dat hij geen "backdoor" wil, maar wel de mogelijkheid om toegang tot een apparaat te krijgen als de rechter daarvoor een bevel heeft gegeven.

Om zijn betoog te onderbouwen noemde Wray het chatplatform Symphony, dat door een groep grote Amerikaanse banken werd gebruikt. De autoriteiten waren bang dat het systeem gebruikt zou kunnen worden om onderzoeken door toezichthouders te belemmeren. De banken kwamen tot een akkoord dat ze een kopie van alle communicatie die via Symphony werd verstuurd voor een periode van zeven jaar zouden bewaren. De banken besloten ook om kopieën van hun encryptiesleutels bij een onafhankelijke partij op te slaan.

Volgens Wray laat dit zien dat versleutelde communicatie die door de autoriteiten kan worden ingezien mogelijk is. "Ik weet zeker dat door samen te werken we soortgelijke overeenkomsten kunnen vinden en met oplossingen voor het Going Dark-probleem kunnen komen", merkte de FBI-directeur op. "Ik sta open voor allerlei soorten ideeën, maar ik weiger de opvatting dat er een plek is die, ongeacht de rechtmatige autoriteit die je hebt, je niet kunt bereiken om onschuldige burgers te beschermen." Onlangs stelde de Amerikaanse senator Ron Wyden nog dat de FBI moet stoppen met het misleiden van Amerikanen over encryptie en de mogelijkheid van een "golden key" om apparaten na een gerechtelijk bevel te kunnen ontsleutelen.

Reacties (24)
08-03-2018, 13:02 door Anoniem
Hij is voorstander van sterke encryptie, echt heus waar, maar hij wil toch wel erg graag wat achterdeurtjes, en snel een beetje.

Je kan het draaien zoals je wil, maar achterdeurtjes betekent kapotte encryptie en dus niet sterke encryptie, dus staat'ie te liegen. Niet dat we iets anders van hem of zijn concullegae verwacht hadden. Maar het blijft een gezagsdrager in vertrouwenspositie die glashard staat te liegen.
08-03-2018, 13:09 door Anoniem
Klinkt leuk, maar feitelijk is hij dus gewoon weer aan het bedelen voor een backdoor.
Encryptie met een backdoor is hoe dan ook iet sterk. Moeilijker is het niet.
08-03-2018, 13:12 door buttonius
We hebben beide nodig en kunnen beide hebben.
Heerlijk zo'n idioot die maar blijft denken dat dit kan omdat hij het zo graag wil. Hij geeft zelfs toe dat hij claims dat het niet kan gewoon niet gelooft.
Opsporingsinstanties hebben nog nooit uit zoveel informatiebronnen kunnen putten als vandaag de dag. Als er dan eentje wegvalt moeten ze niet meteen beginnen te huilen als een klein kind.
08-03-2018, 13:13 door Anoniem
Zo kan de FBI door encryptie bijna 7800 apparaten niet onderzoeken. "En dat is alleen de FBI", merkte Wray op. Het aantal apparaten dat andere opsporings- en politiediensten niet kunnen onderzoeken is hierin niet meegenomen. Volgens Wray is de FBI voorstander van sterke encryptie. "Maar beveiligingsprogramma's moeten goed doordacht worden ontworpen, zodat ze niet de rechtmatige tools ondermijnen die we nodig hebben om het Amerikaanse volk te beschermen."
Ik zou zeggen, ga naar Cellebrite. En stop met die kul-opmerkingen, FBI.
08-03-2018, 16:55 door Anoniem
Het is heel simpel, meneertje de FBI-snuffelaar:
FBI (en vrinden) hebben laten blijken, niet met de -grote- macht om te kunnen gaan, die hun is toebedeeld. Alle regels zijn met voeten getreden. Julian Assange, Edward Snowden e.a. hebben dat keihard aangetoond.
Dan hoef je niet van weldenkende mensen te verwachten, dat die je dan nóg meer macht geven. Je bent dat gewoon niet waard.
Senator Ron Wyden heeft dat in ieder geval wel goed begrepen.
Maar wel goed, dat het toontje al een beetje is gematigd, al zal dit niets uithalen.
Kwestie van voortschrijdend inzicht.
08-03-2018, 18:35 door Anoniem
encryptie met een backdoor gaat niet samen,wat is er dan nog het nut van encryptie.
Encryptie is er juist voor dat niemand het zomaar kan kraken en iedereen buiten de deur van je data houdt.
Zelfs overheden niet zomaar toegang tot je data geeft.
Dat ene Israelische bedijf,wat samenwerkt met de mossaad en de FBI,die doet toch al wel werk om bijvoorbeeld iphones te ontgrendelen waar de FBI een verzoek voor heeft ingediend,zo was ook de iphone van een schutter eens doorzocht door de FBI toen apple niks wilde prijs geven hoe een Iphone ontgrendeld moest worden.
Dus alles is mogelijk te kraken alleen er moet werk voor worden gedaan indien kraken noodzakelijk is,in het geval van een misdrijf.
Als je wat wil bereiken moet je er wat voor doen immers,niks komt aanwaaien.
Dus data moet ook niet zomaar op een presenteerblaadje komen te liggen.
Ik zal ook namelijk tegen het sleepnet stemmen in het referendum,omdat het buiten proportioneel is.
Helaas zijn er teveel mensen die geen kennis hebben van vpn,die alles maar prima vinden als al hun data op straat komt te liggen.
Of er geen weet van hebben wat er dan met hun data wordt gedaan.
Ik vertrouw geen overheid meer hoor,dat ze zeggen van we doen niks met de data,want achter de rug van de burger wordt er wel wat mee gedaan.
Kijk eens met andere zaken hoeveel de overheid gewoon in de doofpot heeft gestopt.
IK ben daarom blij dat ik wel ervaring met vpn heb,en het overal bij toe pas wanneer ik internet gebruik,of een ander onderdeel ervan ik noem maar wi-fi.
08-03-2018, 18:54 door Anoniem
Stuur de meneer eens op een basis cursus wiskunde. Blijkbaar is onder de regering T wetenschap niet meer geldig. Denken ze.

Ik heb hetzelfde soort betoog als deze meneer gaf ooit eens van Engelse zijde gehoord tijdens een security conferentie: telefonie kon ook helemaal geheim worden gehouden met een veilige MITM. Hoongelach was zijn deel.
08-03-2018, 19:04 door Anoniem
Die oplossing bestaat al sinds de jaren 90 en is erg simpel.

Asymmetrische versleuteling met meerdere publieke simultane sleutels. Emigreer je van het ene land naar het andere dan gooi je 1 key weg en voeg je een nieuwe toe. Zo kan alleen de dienst van jouw land jouw communicatie inzien. Heb je geen sleutels dan ben je vanzelf een kerstboom. Wil een dienst uit een buitenland zien wat je uitspookt, dan zullen ze dat aan jouw land moeten vragen.

Simpeler kan het bijna niet.
08-03-2018, 19:59 door ph-cofi
Eigenlijk vraagt deze meneer om het recht de private sleutel te kunnen laten vorderen door Justitie. Dan is verzwakken van encryptie niet nodig. Klein puntje: private sleutel van iPhone van overleden verdachte staat ... waar?
08-03-2018, 20:13 door Anoniem
Om zijn betoog te onderbouwen noemde Wray het chatplatform Symphony, dat door een groep grote Amerikaanse banken werd gebruikt. De autoriteiten waren bang dat het systeem gebruikt zou kunnen worden om onderzoeken door toezichthouders te belemmeren. De banken kwamen tot een akkoord dat ze een kopie van alle communicatie die via Symphony werd verstuurd voor een periode van zeven jaar zouden bewaren. De banken besloten ook om kopieën van hun encryptiesleutels bij een onafhankelijke partij op te slaan.

Je moet toegeven, zijn voorbeelden worden beter gekozen. In de eerste pogingen had het niet eens iets met computerij te maken. In zijn tweede poging, een paar maanden geleden, had het wel met computerij maar niets met encryptie te maken. Nu is het in ieder geval een soortement versleutelde chatdienst.

Maar het is allerminst een veilige chatdienst. Met alle chatberichten onversleuteld in databases en alle sleutels eveneens, vraagt de dienst er naar om binnen nu en een paar jaar in een grootschalige data breach betrokken te raken. De kans daarop is zeer groot en niet kleiner geworden nu de heer Wray de ontwerpfouten ook nog eens viral heeft laten gaan.
08-03-2018, 21:54 door Anoniem
De ideale situatie voor deze diensten is sterke encryptie voor iedere wereldburger, maar een op alles passende encryptie-loper zuiver en alleen te gebruiken door de Anglo-Amerikaanse diensten.

Als men zoiets wil gaan doen heeft de man met de diepste zakken en de cybercrimineel alleen bescherming, alle anderen zijn bij voorbaat gecompromitteerd.

Ik denk ook dat het verhaaltje tevens bedoeld is om de indruk te geven, dat dat nog niet de situatie is, die wel al hebben, namelijk dat alle encryptie al gebroken is of alles gehackt kan worden. In dat laatste geval, hebben alleen zij die zich niet aan de wet houden een voorsprong.

Oorsprong een compleet psychopatisch wereldbeeld, zonder zelfrestrictie en zelfreflectie. Alles is OK, behalve als iemand tegen de gewenste visie ingaat, dan worden deze diensten pas goed link. Deep state diensten hebben bewezen zich niet eens aan de eigen wetten en de constitutie te houden, ze vormen een staat binnen de staat en nog een gevaarlijke ook.

Duidelijk maken aan iedereen, waar het hen in eerste instantie om gaat (macht over alles en iedereen), waar ze voor staan en wat ze in de wereld al voor narigheid hebben veroorzaakt en hoe ze de algemene cyberveiligheid keer op keer wensen te ondergraven t.b.v. hun eigen nepotisme.
09-03-2018, 00:12 door Anoniem
Diezelfde FBI meneer gaat dan aan een paar puntjes voorbij:
- Stel dat het er komt, wie gaat er dan toezicht houden op de toezichthouders?
- Gaat die meneer er dan ook vanuit dat criminelen en terroristen zich ineens aan de wet gaan houden inzake encryptie?
- Of zullen ze 'gewoon' encryptie blijven gebruiken?
- En wat is de definitie van een onafhankelijke partij?!? De NSA? Misschien zelfs wel de KGB?

Feitelijk gaat het er dan dus op neerkomen dat encryptie verboden wordt.
09-03-2018, 03:56 door Anoniem
“Going dark” is een leugen. De instanties hebben toegang tot en inzicht in meer gegevens dan ooit. Zoveel dat men door de bomen het bos niet meer site.
09-03-2018, 10:46 door Anoniem
"Maar de claim dat het onmogelijk is geloof ik gewoon niet." Critici en cryptografen hebben herhaaldelijk gezegd dat sterke encryptie geen mechanisme kan bevatten om door een derde partij te worden ontsleuteld.

Dus de encryptie die door politici en het Pentagon gebruikt wordt, zou dan ook door een derde partij ontsleuteld kunnen worden? (volgens het idee van de FBI-directeur)
Want hij is met die geheimen te vertrouwen?
Ik ben benieuwd hoeveel meer geheimen er dan op straat komen te liggen.
09-03-2018, 11:18 door Anoniem
Wat is die man ontzettend bezig zich in een hoek te verven, het is haast aandoenlijk.
09-03-2018, 12:03 door Anoniem
Door ph-cofi: Eigenlijk vraagt deze meneer om het recht de private sleutel te kunnen laten vorderen door Justitie. Dan is verzwakken van encryptie niet nodig.

Hij vergeet ook dat de Russen de private key van meneer Wray kan opvragen.

Peter
09-03-2018, 22:29 door Anoniem
Door Anoniem:
Door ph-cofi: Eigenlijk vraagt deze meneer om het recht de private sleutel te kunnen laten vorderen door Justitie. Dan is verzwakken van encryptie niet nodig.

Hij vergeet ook dat de Russen de private key van meneer Wray kan opvragen.

Peter

Daarom kun je beter iedereen vragen je public key te gebruiken in hun communicatie aan derden, met een public key kun je alleen versleutelen dus maakt het niet uit wie hem steelt of opvraagt.
09-03-2018, 23:23 door Anoniem
Waarom zijn er zo veel van dit soort figuren als deze heer Wray volledig "van het padje af"?

Wat moeten hun uitingen bij de digitaal bezig zijnde massa bewerkstelligen?
Of is daar zelfs nog helemaal niet over nagedacht.

Google, facebook en youtube (mark monitor) zijn al aardig aan het "zuiveren" geslagen op content,
denk aan het EU versus fake news buro o.a.v. mevrouw Kahane (met DDR ervaring).

Alles wat Big Brother krachten minder goed uitkomt aan meningen
of verdwijnt uit het zicht of wordt heel laag in de ranking gezet.

We gaan m.i. nog hele rare tijden beleven, zeker als we niet opletten met z'n allen hier.

Dat ik dit met mijn zeventig jaren nog mee moet maken.

Het beste bewijs dat de wereld in die tijd niets wijzer geworden is helaas.
Met nog dank voor de mooie jaren en mogen er nog een paar komen.

Goede week, allemaal.
10-03-2018, 10:50 door Anoniem
Door Anoniem: Die oplossing bestaat al sinds de jaren 90 en is erg simpel.

Asymmetrische versleuteling met meerdere publieke simultane sleutels. Emigreer je van het ene land naar het andere dan gooi je 1 key weg en voeg je een nieuwe toe. Zo kan alleen de dienst van jouw land jouw communicatie inzien. Heb je geen sleutels dan ben je vanzelf een kerstboom. Wil een dienst uit een buitenland zien wat je uitspookt, dan zullen ze dat aan jouw land moeten vragen.

Simpeler kan het bijna niet.
Twee problemen. Ten eerste houdt iedereen zich daar natuurlijk netjes aan behalve degenen om wie het gaat. Ten tweede heeft elk land dan een privésleutel die door een heel opsporingsapparaat ingezet moet kunnen worden. Dat vergroot de kans op ongelukken met die sleutel en als het misgaat ligt meteen alles wat met de bijbehorende publieke sleutel versleuteld is op straat. Dit is beheersmatig helemaal niet zo simpel.

Bedoel je met "ben je vanzelf een kerstboom" dat je opvalt door de overheidssleutel niet te gebruiken? Alleen als de overheid op zijn minst het eerste blok van elk versleuteld bericht ontsleutelt om te verifiëren dat hun sleutel ook echt is gebruikt. Daar is de privésleutel voor nodig. Die moet dus heel breed worden ingezet en dat maakt hem kwetsbaar. En het vergt ook een substantiële verwerkingskracht die ook nog eens de snelle groei van het internetverkeer moet bijbenen. Zie jij dat goed gaan? Als de overheid zich, om de benodigde verwerkingskracht niet uit de hand te laten lopen, inderdaad beperkt tot het ontsleutelen van het eerste blok van elk bericht dan kan je erop wachten dat inhoud die ze niet kunnen ontsleutelen pas vanaf blok 2 in het bericht komt te staan.

Simpeler kan het bijna niet ;-).
10-03-2018, 20:35 door Anoniem
Door Anoniem:
Door Anoniem: Die oplossing bestaat al sinds de jaren 90 en is erg simpel.

Asymmetrische versleuteling met meerdere publieke simultane sleutels. Emigreer je van het ene land naar het andere dan gooi je 1 key weg en voeg je een nieuwe toe. Zo kan alleen de dienst van jouw land jouw communicatie inzien. Heb je geen sleutels dan ben je vanzelf een kerstboom. Wil een dienst uit een buitenland zien wat je uitspookt, dan zullen ze dat aan jouw land moeten vragen.

Simpeler kan het bijna niet.
Twee problemen. Ten eerste houdt iedereen zich daar natuurlijk netjes aan behalve degenen om wie het gaat. Ten tweede heeft elk land dan een privésleutel die door een heel opsporingsapparaat ingezet moet kunnen worden. Dat vergroot de kans op ongelukken met die sleutel en als het misgaat ligt meteen alles wat met de bijbehorende publieke sleutel versleuteld is op straat. Dit is beheersmatig helemaal niet zo simpel.

Bedoel je met "ben je vanzelf een kerstboom" dat je opvalt door de overheidssleutel niet te gebruiken? Alleen als de overheid op zijn minst het eerste blok van elk versleuteld bericht ontsleutelt om te verifiëren dat hun sleutel ook echt is gebruikt. Daar is de privésleutel voor nodig. Die moet dus heel breed worden ingezet en dat maakt hem kwetsbaar. En het vergt ook een substantiële verwerkingskracht die ook nog eens de snelle groei van het internetverkeer moet bijbenen. Zie jij dat goed gaan? Als de overheid zich, om de benodigde verwerkingskracht niet uit de hand te laten lopen, inderdaad beperkt tot het ontsleutelen van het eerste blok van elk bericht dan kan je erop wachten dat inhoud die ze niet kunnen ontsleutelen pas vanaf blok 2 in het bericht komt te staan.

Simpeler kan het bijna niet ;-).

Ja inderdaad bij jouw overheid is dan maar 1 privesleutel nodig voor de communicatie van alle burgers te ontsleutelen. Daarom is het ook erg simpel ;) Maar als dat beheersmatig te riskant is voor een zwaargewicht overheidsdienst of niet schaalbaar dan kun je het toch ook opdelen in regio's of groepen burgers?

En natuurlijk zijn er figuren die hun versleutelde communicatie niet delen met big brother, maar die trekken dan wel direct alle aandacht. Dat is nu ingewikkelder omdat het ook legitieme communicatie kan zijn. Dan hoef je maar een veel kleinere groep te gaan hacken en is de kans op het aanvallen van onschuldigen ook nihil. Je loopt dan ook minder risico dat jouw zeroday exploits ontdekt worden omdat je ze veel minder vaak hoeft in te zetten.

En als deze manier van vrijwillig aftappen meer resources kost is dan nog een voordeel: alles en iedereen aftappen kost te veel waardoor met een kosten-baten analyse moet maken in de massasurveilance. Maar: men kan wel de communicatie van iedereen ontsleutelen en men ziet duidelijk wie iets voor de diensten wil verbergen en de informatie is alleen te ontsleutelen door de eigen overheid en de communicatie van (alle) burgers is goed beschermd tegen alle andere spiekgrage oogjes.

Per saldo gaan we er dan allemaal op vooruit (in theorie). Nu nog een slimmerik binnen de overheid die op dit idee komt.
11-03-2018, 12:27 door Anoniem
het probleem (ook met die multiple public key assym encryptie suggestie hierboven) is dat je mensen van nu en vandaag wel kunt vertrouwen misschien, maar je absoluut geen idee hebt van mensen later en in de toekomst. het is fundamenteel niet mogelijk om nu al een vertrouwens relatie te hebben met iets of iemand (verder) in de toekomst nog voordat je elkaar hebt leren kennen. dat is ook een van de grootste problemen met de WiV en er zijn genoeg voorbeelden uit het verleden die precies dit probleem bloot legt. mij wordt wel eens verteld dat iemand die niet van zijn fouten leert, het niet waard meer is om uberhaupt nog serieus genomen te worden. dat geld dus voor de FBI maar zeker ook voor NL met die WiV. stem dus ook tegen de WiV volgende week.
11-03-2018, 16:58 door Anoniem
Het is zeker een probleem dat je niet weet wat de overheid in de toekomst gaat uitvreten. Maar het public key princiepe betekent wel dat iedereen de public key van de overheid kan verwijderen als deze ineens kwaadaardige trekjes begint te vertonen. Als de massa dat doet, dan heeft de overheid een probleem. Echter de massa zal dit alleen doen als de overheid dingen doet die echt niet door de beugel kunnen. Dit kan dus voor een gezonde belans zorgen.

Maar inderdaad dit is theorie want public key versleuteling is kwetsbaar voor quantumaanvallen.

Men zou het bovenstaande concept wel eens kunnen overwegen voor quantumbestendige public key versleuteling.
12-03-2018, 10:22 door Anoniem
Door Anoniem: Het is zeker een probleem dat je niet weet wat de overheid in de toekomst gaat uitvreten. Maar het public key princiepe betekent wel dat iedereen de public key van de overheid kan verwijderen als deze ineens kwaadaardige trekjes begint te vertonen.

maar elk verkeer (opgeslagen bijv) tot dan toe is gewoon leesbaar. je loopt dus WEER achter de feiten aan per definitie. je voorkomt niets, je doet alleen een beetje aan further damage control.
12-03-2018, 20:51 door Anoniem
Door Anoniem:
Door Anoniem: Het is zeker een probleem dat je niet weet wat de overheid in de toekomst gaat uitvreten. Maar het public key princiepe betekent wel dat iedereen de public key van de overheid kan verwijderen als deze ineens kwaadaardige trekjes begint te vertonen.

maar elk verkeer (opgeslagen bijv) tot dan toe is gewoon leesbaar. je loopt dus WEER achter de feiten aan per definitie. je voorkomt niets, je doet alleen een beetje aan further damage control.

Daar heb je wel gelijk in, ideaal is het zeker niet. Het is een compromis. Maar de huidige situatie is nog minder ideaal: overheden zullen er alles aan doen om toegang tot de communicatie van alle burgers te forceren. Daarbij stoppen ze idiote bedragen aan door burgers betaalde belasting in zerodays en methoden om de versleuteling te kraken. Als die trend doorzet (omdat men nu eenmaal niet zal opgeven) dan kan men nu opgeslagen communicatie ook later kraken en inzien. Het is inderdaad damagecontrol in de zin dat er maar enkele partijen zijn die toegang hebben ipv van heel veel, bij de huidige prutsoplossingen die uit te wisselen gegevens vaak helemaal niet beveiligen of auhtenticeren. Als versleuteling de overheid niet beperkt in haar eigen taak (alles onder controle hebben) dan zou deze overheid ook zelf een actievere rol kunnen spelen in het versterken en promoten hiervan, zodat haar burgers beter beschermd zijn tegen de rest van de wereld. Dat is de theorie althans.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.