Ik ben benieuwd wat Telegram gaat doen.

Vroeger of later gaat dit ook in Nederland gebeuren.

Ik dacht dat Telegram end-to-end encryption had?

Alleen als je eerste de democratie opheft dat is de gangbare volgorde en die is niet andersom.

Klinkt leuk, verder volstrekt zonder inhoud. Natuurlijk kan de overheid hier, zonder de democratie op te heffen, ook dergelijke eisen gaan stellen.

... en daarom is er dus end-to-end encryption.

Met de WIV/Sleepnet wordt daar al een belangrijke stap in gezet. Begin van het einde, als je het mij vraagt.

Men is anders hard op weg met de huidige gang van zaken

Eerder andersom als je je eigen democratie wil beschermen zul je de vijanden moeten kennen.
Als je er voor bent om die niet hun werk te laten doen geeft je nieuwe krachten alle ruimte.
Genoeg voorbeelden in geschiedenisboeken het is altijd die volgorde ... macht grijpen met onvrede in het volk via het volk dan restrictief bewind. Daar is het volk dan veel slechter mee af, maar die doorzien dat niet.

Ook in Rulsand is het eerst Putin die alle inspraak wegwerkt en pas nu hier mee komt. Let op die volgorde.
Hadden eerde machtshebbers voldoende waarborgen voor spreiding van macht ingebracht dan was de voormalige staatsveiligheidsofficier nu niet zo alleen heersend.

Als je denkt dat onze "democratie" dit gaat voorkomen, beantwoord dan eerst maar eens zelf de vragen die je aan mij stelde in https://www.security.nl/posting/554129/AIVD-directeur%3A+Kijk+wat+Facebook+en+Google+over+je+weten#posting554213:

Vraag 1: Zijn handhavers nodig ja/nee
Ofwel geloof jij dat er geen criminelen misdadigers zijn.

Vraag 2: Kun je onderscheid maken in Politie en veiligheidsdiensten ja/nee
Ofwel welke taken met handhaving zijn er en wille we die gescheiden houden in verantwoordelijkheden

Vraag 3: Welke technologie zet je op welke manier in
Ofwel geef handvatten hoe de handhavers hun werk moeten doen. Zonder werk je naar een politiestaat

Het is sowieso verstandiger om berichtendiensten te gebruiken waar dit helemaal niet bij kan omdat het bedrijf die sleutels niet heeft. WhatsApp en Signal bijvoorbeeld. Maar dan zeuren veel ITers weer dat de webclient onhandig werkt omdat de telefoon steeds aan moet staan.

UItdaging aangenomen.

]https://www.amnesty.nl/encyclopedie/universele-verklaring-van-de-rechten-van-de-mens-uvrm-volledige-tekst
Het staat bol van allerlei "rechten op" bescherming hulp etc. Dat je zoiets opstelt geeft aan dat er
a/ criminelen en misdadigers zijn
b/ je handhavers en rechtsspraak met wetgeving nodig hebt (trias politicas)
Enig mogelijke antwoord: handhavers zijn nodig = ja

Het is heel leuk en aardig dat Whatsapp mijn sleutels niet heeft, maar is de source code van Whatsapp openbaar? Hoe weet ik zeker dat ze niet alle data opslaan voordat deze uberhaupt word versleuteld?

Signal is de enige mogelijkheid voor wat je hier beschrijft. End to End + open Source.

Dat maakt niks uit want als men de sleutels echt niet zou hebben dan wordt de hele dienst verboden en geblokkeerd.
Dat staat er ook: of de sleutels overhandigen, of je wordt geblokkeerd. Als je dan de sleutels niet KUNT overhandigen
dan is het einde verhaal met je bedrijf.
Wat dat betreft is het dus maar zeer de vraag of het slim is je protocol zo in elkaar te zetten dat je zelf de sleutels niet
hebt.

Vergeleken met Rusland valt het hier nog reuze mee hoor al is het niet ideaal.

WhatsApp is closed source dus je weet nooit of een achterdeurtje in zit. Signal is 100% transparant en te auditen. En Facebook vrij als bijkomend voordeel.

Dat hebben ze ook, alleen niet als default en niet voor de groeps apps. (dat was tenminste tot een paar maanden geleden zo, ben inmiddels geen Telegram gebruiker meer).

Bij Signal hoef de telefoon niet aan te staan of in de buurt te zijn, wel éénmalig om het account te koppelen.

Daar zijn D66 en trawanten al mee begonnen.

Ik dacht meer aan de reeks: PVV FVD VVD

Aanvulling, dit geeft een aardig idee. https://www.linkedin.com/pulse/advanced-national-security-intelligence-systems-newone-luis-martín/ Typisch dat het 9 vlaks Model R Maes ook hier weer te zien is in de organisatieboom.

Dat begin is allang gemaakt met de sleepwet... En zonder privacy geen democratie, vergeet dat niet!

D66 wou graag meedoen aan de coalitie.
Dat mocht van rutte, op voorwaarde dat het d66 zou zijn die de mogelijkheid tot referendum zou innemen.
Dit alles om te voorkomen dat de vvd in een slecht daglicht zou komen te staan.

Bedenk wel dat we tegenwoordig heel erg gehaaide politici hebben,
welke hun best doen om pak 'em beet 15 jaar vooruit te kijken.

En ik hoop oprecht dat ik het het bovenstaande fout heb, alhoewel ik dat ten zeerste betwijfel.
Let op mijn woorden, we gaan het wel merken in de komende 20 jaar.

Ook al zouden de huidige versies van Telegram, Signal, WhatsApp en andere "end-to-end encrypted" chat-apps jouw private key op jouw smartphone laten (en niet naar de ontwikkelaar sturen), wie kan controleren dat dit bij de eerstvolgende update nog zo is?

Hoe weet je of de versies die in verschillende landen en/of met verschillende talen worden aangeboden op dit punt niet verschillen?

Hoe weet je zeker dat de versie op jouw smartphone niet afwijkt van wat gangbaar is bijv. omdat jij een verdachte (of een om andere redenen een interessant target) bent?

Hoe weet je zeker dat de private key op jouw smartphone volstrekt random is gegenereerd, of mogelijk toch niet?

Met nieuwe WIV moet je ook sleutels afstaan. Niet meewerken is gevangenisstraf of boete.

Niet meewerken met verstrekken informatie (klikken) is ook strafbaar nu. Nu is het nog vrijwillig.

Dat is aan de rechter, en die heeft al aangegeven dat dat niet gaat gebeuren. Niet bang maken waar het onnodig is. Geen stemmingmakerij aub.

Je de meeste politici die regeringsmacht hebben die kijken vooruit na het eind van hun carriere, en zorgen ervoor
dat ze dan weer commisariaatjes en/of een baantje bij de EU kunnen krijgen.
Door nu bepaalde dingen door te drukken kunnen ze later makkelijker binnenkomen bij een bedrijf of de EU.

Zolang politici en hoge ambtenaren bij een parlementair onderzoek onder ede kunnen verklaren dat ze zich iets niet kunnen herinneren kan ik het er wel op wagen om een wachtwoord te "vergeten". Een vingerafdruk kan je niet vergeten dus voor mij liever wachtwoorden en langere pincodes dan een vingerafdruk die onder druk/geweld afgestaan moet worden.

Maar is de gang de verkeerde kant op niet al ingezet in USA met recentelijk het loslaten van de netneutraliteit?
Providers en telco's mogen ook met de big data "sjacher macher" gaan maken.

EU doet ook mee om data delen vrijer te maken, uw verzekering bij voorbeeld mag meekijken met uw betalingsverkeer.

"Sjacher macher" op grote schaal noemen we monopoliseren en monoplolisten worden niet opgesplitst of opengebroken of geremd als ze maar 100% in het geheim meewerken met de surveillancestaat (voor wat voor uiteindelijke agenda dan ook).

Dat staat bij de burgers van deze staat en geaffilieerde staten niet voldoende op het netvlies en daarom gaan we op termijn met zijn allen daarmee "de bietenbrug op". Commercie en Deep State gaan steeds hand in hand en Big Data is voor beide entiteiten iets waar ze op draaien als een Tyrannosaurus Rex. Stop de Snake Oil Sellers.

We kunnen maar beter met zijn allen wat voorzichtiger zijn met het opbouwen van een psychotronisch te analyseren profiel, of zorgen dat die opbouw wat stokt gelijk op met onze verkokerde visie te doorbreken. Maak je niet afhankelijk van deze hufters en gooi wat zand tussen de tandraderen van dit digi-monster van rupsje nooit genoegs.

Jodocus Oyevaer

Ik kan dat in de wettekst niet terug viinden, zou je een linkje willen plaatsen waar dat staat?
https://www.aivd.nl/binaries/aivd_nl/documenten/kamerstukken/2017/08/17/publicatie-in-staatsblad-van-wiv-2017/20170817+Publicatie+Wiv+2017+in+Staatsblad.pdf

Encryptie is principieel lek als een derde partij de sleutel beheert. End-to-end encryptie lost dit niet op (tenzij je zelf je sleutels beheert natuurlijk).

Encryptie is principieel lek als je software gebruikt waarvan je niet weet of de makers daarvan 100% betrouwbaar zijn en/of door een overheid gedwongen kunnen worden om onbetrouwbaar te zijn (en daarover te zwijgen).

E2E lost dit wél op aangezien de sleutel niet bekend is bij de dienst.

Alweer iemand die denkt het te weten, Karma5 of zo?
https://en.wikipedia.org/wiki/End-to-end_encryption

Goed lezen en het dan nog snappen ook.

Ik kan mij voorstellen dat het in veel gevallen wenselijk is dat encryptie gewaarborgd is, maar in heel veel meer gevallen bestaan de berichten uit niet meer dan : Wat eten we vanavond en Yo man :-)

Ik lees de commits en bouw Signal altijd zelf vanuit de sourcecode. Dus daar ben ik vrij zeker van.

De definitie van end to end encryptie is nu juist dat de sleutels alleen bekend zijn bij de ontvanger en verzender en niet bij een tussenliggende partij.

Voel me vereerd dat je geloofd dat ik alles zou weten. Ik zoek juist informatie voor een aantal vragen.
Helaas schijnt bashen en af...n een populairdere bezigheid te zijn dan sociaal elkaar te willen helpen.

Bitwiper heeft gewoon gelijk, lees je link en dan snappen: "In an E2EE system, encryption keys must only be known to the communicating parties".
En met de communicating parties wordt niet Telegram Apple een VPN dienst of wat dan ook bedoeld.
Zou telegram niet de sleutels hebben maar de gebruikers dan konden ze eisen wat ze wilden. Je kunt niet overhandigen wat je niet hebt. De andere zwakte is de software als jij prachtig verzonnen sleutels gebruikt maar in de software zit een achterdeur dan wel onbedoelde zwakte, dan heb je nog geen zekerheid. Je moet de hele keten overzien en doorgronden.
Ooit van Prism gehoord?

Je hoeft je niet vereerd te voelen, je denkt alles te weten en als het tegendeel bewezen wordt reageer je niet meer op een posting. Of je knipt selectief (zoals nu ook weer) in een tekst. Het is niet een kwestie van bashen maar kotsen van iemand die er een levenswerk (bijna 6000 reacties) van maakt om hier de zaak te verstieren.

Daarnaast, ooit van controleerbare sourcecode gehoord? Nee, opensource is een vies woord bij je maar b.v. Signal is opensource, controleerbaar en te auditten dat geeft meer zekerheden dan elke andere software dan ook. De zwakte van Telegram is al lang bekend maar we hebben het nu over software die standaard E2EE toepast.

Ja, het klopt dat er in opensource software fouten zitten, maar deze zijn in principe zichtbaar voor iedereen.
Natuurlijk moet er geen backdoor in de gebruikte software zitten maar ook dat is controleerbaar. 100% zekerheid krijg je niet, je OS zit er nog tussen net zo goed als wat hardware die niet opensource is. Ja er bestaan ook nog idealisten die de mensheid een dienst willen bewijzen en dit soort software gratis ter beschikking stellen, zonder dat je met je privacy betaald.

Hoe weet je of de binaire code van Signal op jouw mobiel overeenkomt met de sourcecode? En heb jij de sourcecode ook ga-audit?

Al je gegevens , bulk etc, zullen/zal vanaf (nu al ...) de zomer (legaal) aan partners ! Dat is bijvoorbeeld de : Fiod ! doorgegeven worden !
Advertentie plaatsen op Marktplaats ... kinderfietsje verkopen ?
Keiharde boete ! Betalen betalen betalen betalen.
Winst maken ?
De Fiod, diensten kijken mee !
Alles . Elke data . Alles . Wat je doet . Opgeslagen tot minima 7 jaar !!! (Belastingeisen)
U zult boeten !
Boeten voor leven , vrijheid ! ! !
Wij zijn de overheid en je zal boeten voor vrijheden op internet.
Cryptocurrency winst ?
Wij kijken mee !
Betalen.
Privacy.
Facetime met vriendin ?
Fiod kijkt mee !
Alles !
Alles !
Metadata slaan ze al jaren op !
Alles !

Ik vermoed dat maar weinigen dit doen, maar chapeau voor jou!

Neemt niet weg dat het knap lastig kan zijn om een backdoor in een CSPRNG (Cryptographically Secure Pseudo Random Number Generator) te herkennen [*], gebruikt voor het genereren van jouw initiële asymmetrische sleutelpaar en -indien van toepassing- Diffie-Hellman parameters.

En hoe weet je zeker dat de door jou gebruikte compiler, linker en evt. andere build tools niet gebackdoored zijn (ook dat is niet theoretisch, Microsoft deed (doet?) dat gewoon [3]). Zie ook "Reflections on Trusting Trust" door Ken Thompson uit 1984, o.a. in [4].

Daarnaast, ook als jouw app niet "gebackdoored" is, kan jouw informatie alsnog in onbedoelde handen vallen als dat niet geldt voor degene(n) met wie jij communiceert.

[*] Denk bijv. aan de "dubbelspion" CSPRNG [1] waar de Juniper ontwikkelaars overheen keken en de buggy Debian CSPRNG die anderhalf jaar onontdekt bleef [2].
[1] https://www.schneier.com/blog/archives/2016/04/details_about_j.html
[2] https://www.schneier.com/blog/archives/2008/05/random_number_b.html
[3] https://www.infoq.com/news/2016/06/visual-cpp-telemetry
[4] https://www.win.tue.nl/~aeb/linux/hh/thompson/trust.html

Eens met Bitwiper, de malafide update is de "royal way in" van de veiligheidsdiensten naar je device om deze te compromitteren. Onverdachte code injectie - altijd al geweest.

In Turkije worden bij voorbeeld reguliere avast free downloads van staatstrojanen voorzien.

Als we thans al weten wat de leuke app van Cambridge Analytica uitrichtte. Wat kun je dan eigenlijk in de grond van de zaak nog vertrouwen? Alles is een kwestie van "trust". WOT viel door de mand toen alle user data werden versjacherd door een tijdelijk zaakwaarnemer en durfkapitalist uit Helsinki. Vertrouwen is nooit meer teruggekeerd, want wie een keer liegt en daarna honderd keer de waarheid spreekt, vertrouwt men niet meer, zegt het Duitse gezegde.

Kijk van de cybercrimineel die een domeintje draait via ProtectGuard in Panama om te phishen weet je waar ie mee bezig is en dat is ook gemakkelijk via AI technologie uit te vinden. Ik hoop dat AI ons ook nog eens voor de escapade's van drie- en vierletterdiensten kan gaan waarschuwen. Zou wel zo eerlijk zijn en de infrastructuur voor iedereen op deze planeet heel wat veiliger maken. Ze zullen zich er wel zo lang mogelijk tegen willen verzetten, neem ik aan, stelletje luizenstruiken!

Het zal wel nog lang een illusie blijven dus, dat we dat met zijn allen eens gaan flikken. Alhoewel ik aan de goede kant van het spectrum blijf staan, jullie toch ook?

Jodocus Oyevaer

NSA en consorten kunnen naar het schijnt op afstand de microfoon aan te kunnen zetten dus ook al heb je end to end encrytpie wat maakt het dan nog allemaal uit?

Je gesprek kan dan nog worden af(mee)geluisterd.

Tja.... ik zie het nut dan niet van End to End.

Bij Telegram hebben ze een Masterkey die de FSB willen hebben dus ook ik ben benieud wat ze bij Telegram gaan doen.

100% veiligheid krijg je nooit, wie zegt dat er geen keylogger in mijn toetsenbord zit.

Als NL met RU gaat vergelijken ben je echt niet goed snik...

Vreemde collectie. Ben je in de war?
(als in: in de war zijn, niet als zonder motief buiten-spel wegzetten).

Voor: VVD, D66, CDA, CU, SGP (waarbij de laatste twee niet helemaal blij waren met de illegale omzeiling van de wet)
Tegen: SP, GL, FvD, PVV, PvdA, PvdD, 50plus, DENK
Dus eigenlijk zou elke fractie 1 stem moeten hebben...

Je hebt meegekregen dat niet verstuurde formulier meegelezen worden - inclusief alle muteringen?
Da's dus eigenlijk al hetzelfde.

Klopt, in de RU heb je tenminste privacy.

Dat sluit ik niet uit als jij een ernstige verdachte bent, of een interessant doelwit voor criminelen of paparazzi, maar anders verwacht ik dat niet. Wie komt die data uit jouw keyboard ophalen?

Waar ik me zorgen over maak zijn clubs zoals Cambridge Analytica die veel geld over hebben voor grote hoeveelheden gebruikersgegevens met misbruik als doel (niet van een enkel keyboardloggertje).

In elk geval bedrijven met een onduidelijk inkomstenmodel zijn bij uitstek potentiële "handelspartners" voor dat soort clubs: waar verdienen WhatsApp, Microsoft's Outlook, Yahoo, GMail etc. hun geld aan (o.a. voor infrastructuur en personeel) als zij geen gebruikersgegevens met derden (zouden) mogen delen?

Voor die bedrijven wordt het risico (boetes) en de pakkans steeds groter als zij zich niet aan de wet houden (denk aan GDPR), maar of foute beheerders en/of criminele hackers zich daar veel van aantrekken betwijfel ik. Als zij bijv. sources voor Apps zo weten te wijzigen dat zij (of direct derde partijen) die grote hoeveelheden gebruikersgegevens in handen kunnen krijgen, gaat dat -vroeger of later- gewoon gebeuren.

En: zodra geheime diensten achterdeursleutels in handen krijgen, kun je erop wachten tot iemand met toegang tot die sleutels zwicht onder de druk van clubs zoals Cambridge Analytica.

En dat is meteen ook een van de redenen dat ik tegen de "sleepwet" heb gestemd. Want die gaat ervoor zorgen dat mensen die strafbare feiten te verbergen hebben, meer en sterker gaan versleutelen. En dat zal er, ook in Nederland, toe leiden dat er verboden komen op bepaalde soorten encryptie. Niet dat dit helpt, want foute mensen gaan dan gewoon over op andere soorten encryptie (maar politici zullen blijven weigeren om dat in te zien).

Het gevolg van dit alles is dat foute clubs (zoals Cambridge Analytica) in de toekomst nog makkelijker aan grote hoeveelheden gegevens van mensen zullen kunnen komen. Van mensen die denken dat ze niets te verbergen hebben, maar ook van hen die wel beter weten (zonder dat zij strafbare feiten plegen).

Als je je wilt "wapenen" tegen instanties zoals overheden, veiligheidsdiensten en multinationals, haalt end-to-end encryptie en/of encryptie in het algemeen geen fu&%,.. snars uit wanneer "ze" al in het "device" zitten (side-channel-attacks eg: shouldersurfing, windows-update,etc. in simpele vorm)wat bij non-opensource hardware/software nagenoeg niet is te verifiëren en je er daarom vanuit moet gaan dat dit al het geval is. Maar je maakt het wel lastiger voor ze,.... mischien!

Het open source zijn is voir mij geen vies woord. Het zijn de oss fanaten die het vies maken. In hun geloofsbelijdenis van het enige ware gaan ze aan alle basis zaken van informatiicts voorbij. Ooit van Edsger Dijkstra gehoord?

Daar heb je haar ook weer met zijn Edsger Dijkstra.
Jij verwart opensource software met het door jou gehate Linux.

Maar we mochten wel eerlijk voor of tegen stemmen.

Maar de Patriot Act van 2001 is toch al actief in alle landen die verbonden zijn en vallen onder de noemer 'Het Westen'. Ook Nederland hoort daarbij. Eigenlijk is de sleepwet meer een soort Nederlandse vertaling dan feitelijk de werkwijze veranderen. Het gebeurde toch al, maar dan onder de Patriot Act 2001/9/11. Net zoals vroeger mensen in de jaren 80 met opzet woorden zeiden over de telefoon, zullen nu vast ook er mensen zijn die bewust ruis en overvloed van informatie proberen te geven.

Het voordeel is dat ik iemand die bang was voor 'een operator' op de zolder van de Bijlmer flats, makkelijk kon uitleggen, dat nu het eerlijk is dat iedereen onder de tap zit, en dat hij niet meer bang hoeft te zijn de 'enige' te zijn. Hij komt uit een land waar je alleen mag communiceren op door overheid goedgekeurde computers. In dat land wordt het merendeel van onze electronica gemaakt omdat het zo goedkoop is daar in arbeidsloon. Ze hebben daar 1 partij. Ik denk dat hij bang is omdat hij heeft gezien dat anderen in zijn voormalig land bang zijn. Wel was hij ook bang dat hij misschien in zijn nakie op internet komt, daarbij is het advies geweest een slider te bestellen die op alle laptops bijna past, maar hem verteld wel de slider dicht doen als je 'vul maar in .... ' omdat ie geen vriendin heeft en hij zichzelf moet helpen laat maar zeggen, zoals zo veel eenzame mensen. ( Ook vrouwen hoor ! )