image

Juridische vraag: Zijn techleveranciers in Nederland net als in Australie verplicht om backdoors in te bouwen?

woensdag 4 september 2019, 09:56 door Arnoud Engelfriet, 22 reacties
Laatst bijgewerkt: 09-09-2019, 15:43

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?

Antwoord: Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.

Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo'n zelfde wet.

Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het "belang van het onderzoek dit vordert" bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.

Er is echter in Nederland, noch in Europa, noch in de VS, een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (22)
04-09-2019, 10:06 door Anoniem
Hoe zit het dan als je zelf een opensource chatprogramma project forked, die backdoor code er uit haalt en vervolgens compileert om deze met je vrienden te delen zodat je toch zonder overheidsbemoeienis kan communiceren?

ik bedoel maar, dit is dan wel erg makkelijk te omzeilen, ook door de 'echte' crimineel.

lijkt er op dat enige mensen die die weer de dupe worden van zo'n draconische maatregel de brave burger is.
04-09-2019, 11:03 door Anoniem
Precies dat scenario had ik ook verzonnen. Enige is... dat je wel zeker moet weten dat iedereen die software gebruikt. Als je 1 'lek' hebt, dan is daarmee waarschijnlijk wel de key te achterhalen en daarmee de encryptie zinloos.

Kortom: de digibeet is het bokje. Iemand die enige moeite doet om z'n communicatie geheim te houden, die lacht alleen maar.
Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.
Kwestie van tijd. Met een minister als Grapperhaus zou het mij niet verbazen als de plannen al klaar liggen en alleen nog wachten op een aanslag of in de pers breed uitgemeten KP-zaak. Want dan is er (even) draagvlak voor zoiets. Want de overheid is de goedheid zelve tenslotte...
04-09-2019, 11:14 door Anoniem
Door Anoniem: Hoe zit het dan als je zelf een opensource chatprogramma project forked, die backdoor code er uit haalt en vervolgens compileert om deze met je vrienden te delen zodat je toch zonder overheidsbemoeienis kan communiceren?

ik bedoel maar, dit is dan wel erg makkelijk te omzeilen, ook door de 'echte' crimineel.

lijkt er op dat enige mensen die die weer de dupe worden van zo'n draconische maatregel de brave burger is.

Maar brave burgers hebben niets te verbergen??? Encryptie staat binnenkort gelijk aan crimineel als het zo doorgaat.
04-09-2019, 11:15 door Anoniem
Het grote euvel van de Australische oplossing is samengevat in de beroemde uitspraak van Malcolm Turnbull:

“The laws of mathematics are very commendable, but the only law that applies in Australia is the law of Australia,"

Probleem is dat de natuurwetten absoluut zijn. Weliswaar is het zo dat ons begrip van deze wetten beperkt is (natuurwetten maken zaken onmogelijk tot iemand tot de ontdekking komen dat ze al die tijd toch anders werkte). Niettemin moeten we niet een discussie in waarin onvermogen om bepaalde zaken te kunnen op zichzelf strafbaar is.

Dat gezegd zijn er wel misvattingen. De natuurwetten maken het niet onmogelijk om een systeem te maken dat inzage biedt. Ze maken het evenmin onmogelijk om een systeem te maken dat sterk genoeg is om criminele toegang uit te sluiten. Ze maken het evenwel (voor zover we weten) wel onmogelijk om beide te doen. In dit geval moet de discussie dus twee kanten op:

1. De voorstanders van en/en moeten geen wetten maken, ze moeten naar instituten als NSA en Darpa om te vragen met hun technische kennis te kijken of zij een manier weten of het wel kan. Het is goed om in de gaten te houden dat bij de invoering van DES de NSA een versterking tegen differential cryptanalysis doorvoerde, een aanval die de rest van de wereld pas 10 jaar later ontdekte (https://crypto.stackexchange.com/questions/60876/aside-from-des-has-the-nsa-ever-strengthened-algorithms). Zij kunnen dus misschien iets wat de rest van de wereld niet kan.

2. Zo lang niemand het tegendeel heeft bewezen dat het alletwee kan, moeten we het hebben over de voors en tegens van wel of niet kwetsbare encryptie. Deze discusie kan door allerlei factoren interessant worden, onder anderen re:Anoniem 10:06 omdat de ins en outs van de al bestaande algorithmes open is. Wie dat wil, kan dus zelf iets bouwen. Tevens hebben we te maken met vragen over cybercrime en de onwenselijke activiteiten die daarmee gefinancierd worden (o.a. Noord-Koreaanse kernraketten), e-commerce, authenticatie (RSA in o.a. SSL) misbruik, fouten en de aansprakelijkheid daarvoor, etc.
04-09-2019, 12:52 door Anoniem
Door Anoniem: Hoe zit het dan als je zelf een opensource chatprogramma project forked, die backdoor code er uit haalt en vervolgens compileert om deze met je vrienden te delen zodat je toch zonder overheidsbemoeienis kan communiceren?

ik bedoel maar, dit is dan wel erg makkelijk te omzeilen, ook door de 'echte' crimineel.
Die daar eventueel iemand voor inhuurt. Die kennis is ook gewoon te koop.

En als 'criminelen' ergens geen gebrek aan hebben, dan is het wel geld.

lijkt er op dat enige mensen die die weer de dupe worden van zo'n draconische maatregel de brave burger is.
Die is bijna altijd als eerste de dupe, je moet echt van goede huize komen om je wetten zo te maken dat dat niet gebeurt. Er zijn landen waar ze er een sport van maken om de grootste oetlullen op het pluche te krijgen, die vervolgens voltijds bezig zijn er aan te blijven kleven en dan nog net wat wetjes kunnen aannemen, maar beoordelen of die ideetjes ook een beetje goed of zelfs maar goeddoordacht zijn is al teveel gevraagd.
04-09-2019, 13:52 door Anoniem
Ik koop een kluis bij een kluisleverancier. Op die kluis kan ik zelf een toegangscode instellen. Voor het geval ik die code vergeet, krijg ik bij de kluis ook een soort masterkey waarmee ik de kluis handmatig kan ontgrendelen. Deze masterkey is natuurlijk niet uniek want dat zou onhandig zijn bij productie, verkoop en zoekraken.

Dus ik ga van huis in de volstrekte zekerheid dat mijn kostbaarheden veilig opgeborgen zijn, om bij terugkeer te zien dat mijn kluis open (en leeg) is omdat een inbreker zelf net zo'n kluis gekocht heeft en nu de masterkey gebruikt om bij al zijn inbraakadressen de kluizen te openen.

Ik communiceer via een dienst die mij end-to-end encryptie biedt, om er vervolgens achter te komen dat kwaadwillenden mijn communicatie onderschept hebben door de achterdeur te gebruiken die de leverancier in de software gebouwd heeft. Waarmee in feite de hele end-to-end encryptie zinloos geworden is.

I rest my case.
04-09-2019, 14:00 door Bitje-scheef - Bijgewerkt: 04-09-2019, 14:05
Er is echter in Nederland - noch in Europa, noch in de VS - een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Nederland is het land met per inwoner de meeste internet- en telefonietaps, waarvan geschat 40% wettelijk gezien illegaal. Dit wil zeggen is niet getoetst en akkoord bevonden door een (politie)rechter. Journalisten, juristen, hoogstaande/bijzondere burgers en criminelen vallen hier grotendeels onder. Backdoors zitten in bijvoorbeeld Cisco (worden pas gepatcht wanneer ontdekt en wereldkundig gemaakt), vermoedelijk Huawei etc etc.
Wettelijk wordt niets 'afgedwongen', maar worden onder druk gezet door overheidsdiensten wanneer niet 'geïmplementeerd'. Aluhoedjes, kom er maar in................

New “Undocumented Backdoors” Appear
In 2013, revelations made by German paper Der Spiegel showed that the NSA was taking advantage of certain backdoors in Cisco’s routers. Cisco denied accusations that it was working with the NSA to implement these backdoors.

In 2014, a new undocumented backdoor was found in Cisco’s routers for small businesses, which could allow attackers to access user credentials and issue arbitrary commands with escalated privileges.

In 2015, a group of state-sponsored attackers started installing a malicious backdoor in Cisco’s routers by taking advantage of many of the routers that kept the default administrative credentials, instead of changing them to something else.

In 2017, Cisco, with help from a Wikileaks data leak, discovered a vulnerability in its own routers that allowed the CIA to remotely command over 300 of Cisco’s switch models via a hardware vulnerability.

Five New Backdoors In Five Months
This year has brought five undocumented backdoors in Cisco’s routers so far, and it isn't over yet. In March, a hardcoded account with the username “cisco” was revealed. The backdoor would have allowed attackers to access over 8.5 million Cisco routers and switches remotely.

That same month, another hardcoded password was found for Cisco's Prime Collaboration Provisioning (PCP) software, which is used for remote installation of Cisco’s video and voice products.

Later this May, Cisco found another undocumented backdoor account in Cisco’s Digital Network Architecture (DNA) Center, used by enterprises for the provisioning of devices across a network.

In June, yet another backdoor account was found in Cisco’s Cisco’s Wide Area Application Services (WAAS), a software tool for Wide Area Network (WAN) traffic optimization.

The most recent backdoor was found in the Cisco Policy Suite, a software suite for ISPs and large companies that can manage a network’s bandwidth policies. The backdoor gives an attacker root access to the network and there are no mitigations against it, other than patching the software with Cisco’s update.

Whether or not the backdoor accounts were created in error, Cisco will need to put an end to them before this lack of care for security starts to affect its business.
04-09-2019, 15:01 door Anoniem
Door Anoniem: Hoe zit het dan als je zelf een opensource chatprogramma project forked, die backdoor code er uit haalt en vervolgens compileert om deze met je vrienden te delen zodat je toch zonder overheidsbemoeienis kan communiceren?

ik bedoel maar, dit is dan wel erg makkelijk te omzeilen, ook door de 'echte' crimineel.

lijkt er op dat enige mensen die die weer de dupe worden van zo'n draconische maatregel de brave burger is.

Strikt formeel: als er een wet is, die bepaalt dat aanbieders van dit soort software een backdoor inbouwen, dan geldt dat ook voor je eigen fork. Alleen, wanneer je de distributie onder controle houdt en niemand voor surveillance in aanmerking komt, zal het niet gauw opvallen.
04-09-2019, 15:14 door Anoniem
Backdoors zijn niet nodig,


Alle netwerken zijn tapbaar(Dps toepasbaar etc) elke dag gaan er al terabytes aan bulkdata rechtstreeks naar de diensten.

Op het eindpunt van end-to-end zijn er andere oplossingen . .
04-09-2019, 18:48 door Anoniem
Door Anoniem: Hoe zit het dan als je zelf een opensource chatprogramma project forked, die backdoor code er uit haalt en vervolgens compileert om deze met je vrienden te delen zodat je toch zonder overheidsbemoeienis kan communiceren?

ik bedoel maar, dit is dan wel erg makkelijk te omzeilen, ook door de 'echte' crimineel.

lijkt er op dat enige mensen die die weer de dupe worden van zo'n draconische maatregel de brave burger is.

open source programmas hebben geen backdoor (van uit gegaan dat het niet gemaakt/aangepast is door een kwaadwillend persoon), want:

1. dat is niet gemaakt door een leverancier.

2. als het er in zit kan iedereen zien hoe het werkt en ook er uit halen
04-09-2019, 19:44 door [Account Verwijderd]
Door Anoniem:Er zijn landen waar ze er een sport van maken om de grootste oetlullen op het pluche te krijgen, die vervolgens voltijds bezig zijn er aan te blijven kleven en dan nog net wat wetjes kunnen aannemen, maar beoordelen of die ideetjes ook een beetje goed of zelfs maar goeddoordacht zijn is al teveel gevraagd.

Nederland bv.
05-09-2019, 08:45 door Anoniem
Het gaat dus erom leveranciers van producten te verplichten. Ik kan al uit mijn losse pols een 10 tal randvoorwaarden en uitzonderingen bedenken [1], dus dat zal de reden wel zijn denk ik. De reden is wat in de film Snowden naar voren kwam, ze willen alles van jullie en mij weten. Ze zijn helemaal niet geinteresseerd in de "grote jongens" maar wel in politieke macht.

Het goede nieuws is dat Open Source helpt (zolang je geen gebruik maakt van hardware acceleratie). PHP/GPG werkt. Het enige wat je in dient te stellen is het daadwerkelijk doen. En een echte mail client gebruiken ipv gmail of welke andere GAFAM rommel dan ook, want dan hebben ze alsnog jouw gegevens. OTR werkt ook, en goed ook.

GS

[1] Google maar op XKCD crypto
05-09-2019, 10:22 door johanw
Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.
Ze hebben nu natuurlijk wel wat anders aan hun hoofd maar de Britten hoorde je er geregeld over. Ex-premier May was er een uitgesproken voorstander van maar die is gelukkig onschadelijk gemaakt.
05-09-2019, 10:43 door Anoniem
Door Anoniem:
open source programmas hebben geen backdoor (van uit gegaan dat het niet gemaakt/aangepast is door een kwaadwillend persoon), want:

2. als het er in zit kan iedereen zien hoe het werkt en ook er uit halen

Nou nou jij bent wel erg naief!
Een backdoor in een encryptie applicatie ziet er echt niet uit als een IF statement wat even op een speciale waarde
checked en dan de authenticatie overslaat.
05-09-2019, 14:53 door Anoniem
Nederland en Australie kunnen helemaal niks aanpassen aan hardware/software. Laat staan iets inbouwen. Ze kunnen dat alleen 'eisen'. Leveranciers zijn allemaal Amerikaans en die hebben voor het zeggen waarschijnlijk op basis van afspraken die ze hebben gemaakt met inlichtingendiensten. Dus zonder de samenwerking met de FBI/CIA kan je vrij weinig doen. Beide landen zijn dus afhankelijk.
05-09-2019, 15:24 door Anoniem
Hoe zit het dan als je zelf een opensource chatprogramma project forked, die backdoor code er uit haalt en vervolgens compileert om deze met je vrienden te delen zodat je toch zonder overheidsbemoeienis kan communiceren?

Antwoord lijkt me vanzelfsprekend, aangezien het geen telecomdienst betreft. Je vraag wordt beantwoord, in het artikel waarop je reageert.

"Er is echter in Nederland - noch in Europa, noch in de VS - een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten."
05-09-2019, 15:25 door Anoniem
Nederland en Australie kunnen helemaal niks aanpassen aan hardware/software. Laat staan iets inbouwen. Ze kunnen dat alleen 'eisen'. Leveranciers zijn allemaal Amerikaans en die hebben voor het zeggen waarschijnlijk op basis van afspraken die ze hebben gemaakt met inlichtingendiensten.

Leveranciers moeten ook voldoen aan lokale wetgeving, om op lokale markten actief te kunnen zijn.
05-09-2019, 15:27 door Anoniem
open source programmas hebben geen backdoor (van uit gegaan dat het niet gemaakt/aangepast is door een kwaadwillend persoon), want:

... want omdat je miljoenen regels open source kan auditten, gebeurt dit ook, waardoor je overal van op de hoogte bent (NOT).
05-09-2019, 16:26 door SPer
Door Anoniem: Ik koop een kluis bij een kluisleverancier. Op die kluis kan ik zelf een toegangscode instellen. Voor het geval ik die code vergeet, krijg ik bij de kluis ook een soort masterkey waarmee ik de kluis handmatig kan ontgrendelen. Deze masterkey is natuurlijk niet uniek want dat zou onhandig zijn bij productie, verkoop en zoekraken.

Dus ik ga van huis in de volstrekte zekerheid dat mijn kostbaarheden veilig opgeborgen zijn, om bij terugkeer te zien dat mijn kluis open (en leeg) is omdat een inbreker zelf net zo'n kluis gekocht heeft en nu de masterkey gebruikt om bij al zijn inbraakadressen de kluizen te openen.

Ik communiceer via een dienst die mij end-to-end encryptie biedt, om er vervolgens achter te komen dat kwaadwillenden mijn communicatie onderschept hebben door de achterdeur te gebruiken die de leverancier in de software gebouwd heeft. Waarmee in feite de hele end-to-end encryptie zinloos geworden is.

I rest my case.
Dat is dan wel het voordeel van opensource, dan kun je zien dat er een backdoor is ingebouwd.
05-09-2019, 19:03 door Anoniem
Door Anoniem: Nederland en Australie kunnen helemaal niks aanpassen aan hardware/software. Laat staan iets inbouwen. Ze kunnen dat alleen 'eisen'.

Nederland niet, want die mogen alleen iets vragen wat past binnen de regels van de EU (en die zijn al snel "wat er bij
jou op de markt gebracht wordt daar mag je je niet mee bemoeien, want vrije markt"), maar Australie kan dat wel doen.

Je geeft aan wat je wel of niet op de markt wilt hebben en dan maak je het ofwel zelf, ofwel anderen maken spullen die
daaraan voldoen. "dat kan helemaal niet" geeft aan dat je weinig inzicht hebt, als je een product definieert en een
voldoende grote markt hebt dan gaan producenten dat voor je maken.
05-09-2019, 20:37 door Anoniem
Ik heb voor Australië nog wat leuke ideetjes:
Een fluisterverbod
Een geheimtaalverbod
Een Nonverbalecommunicatieverbod
Een zwijgplicht

En tot slot:
Een privacyverbod

Dan vind ik wel dat ze uit Eurovisie moeten trouwens. Want het ligt ook te ver buiten Europa.
07-09-2019, 18:48 door SPer - Bijgewerkt: 07-09-2019, 18:48
Door Anoniem: Ik heb voor Australië nog wat leuke ideetjes:
Een fluisterverbod
Een geheimtaalverbod
Een Nonverbalecommunicatieverbod
Een zwijgplicht

En tot slot:
Een privacyverbod

Dan vind ik wel dat ze uit Eurovisie moeten trouwens. Want het ligt ook te ver buiten Europa.

Eurovisie zongfestival is niet alleen voor Europa (maar voor de rest begrijp ik het sarcasme) :
Aan het songfestival kan ieder actief lid van de EBU meedoen, waardoor ook enkele landen die net buiten Europa liggen mee kunnen doen.[1] Het betreft landen in Noord-Afrika, Het Midden-Oosten en West-Azië Sinds 2015 doet ook Australië mee aan het festival
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.