image

Experts vragen België te stoppen met wet die end-to-end encryptie ondermijnt

donderdag 30 september 2021, 16:05 door Redactie, 22 reacties

Een coalitie van vijftig organisaties en beveiligingsexperts heeft de Belgische overheid in een open brief gevraagd om te stoppen met een wetsvoorstel dat de end-to-end encryptie van communicatiediensten zoals WhatsApp zou ondermijnen. In het wetsvoorstel worden aanbieders gedwongen om autoriteiten toegang tot de communicatie van gebruikers te geven.

De aanbieders zouden in dit geval de encryptie voor specifieke gebruikers moeten uitschakelen. "Er is geen manier om encryptie gewoonweg "uit te schakelen"; aanbieders zouden een apart systeem moeten ontwikkelen en de gebruikers in kwestie naar dat systeem moeten sturen. Dit brengt niet alleen grote technische uitdagingen met zich mee, maar breekt ook de belofte van vertrouwelijkheid en privacy van end-to-end versleutelde communicatiediensten", aldus de organisaties en experts.

Dit zou Belgische burgers allesbehalve veilig maken, maar de eisen zouden ook het gebruik van end-to-end encryptie in België ondermijnen, gaan de experts en organisaties verder. Eerder stelde de Belgische privacytoezichthouder dat het wetsvoorstel bedrijven zou dwingen om een "de factor backdoor" aan hun diensten toe te voegen.

Volgens de experts is het niet mogelijk om een derde partij toegang tot end-to-end versleutelde communicatie te geven zonder backdoors of kwetsbaarheden te introduceren waar iedereen die ze vindt misbruik van kan maken. "In andere woorden, er is geen manier voor opsporingsdiensten om toegang tot backdoors te hebben, zonder het risico dat ook kwaadwillenden er toegang toe krijgen", laat de open brief weten. Daarin staat ook dat het toevoegen van encryptiebackdoors de veiligheid van het gehele systeem verzwakt en alle gebruikers risico laat lopen.

De Belgische overheid wordt dan ook opgeroepen om van het wetsvoorstel af te zien. De brief is onder andere ondertekend door de Liga voor Mensenrechten, European Digital Rights (EDRi), Internet Society en versleutelde e-maildienst Tutanota. Directeur van WhatsApp, Will Cathcart, laat via Twitter weten dat sterke encryptie essentieel is om privacy en gebruikers te beschermen en dat het Belgische wetsvoorstel de veiligheid van iedereen gevaar laat lopen.

Image

Reacties (22)
30-09-2021, 16:30 door Anoniem
Het scenario dat deze deskundigen naar voren brengen is inderdaad waar.

Ik heb eens een politieambtenaar moeten uitleggen dat het internet een open netwerk is en waarbij de backdoors die door de overheid worden gebruikt, ook in criminele handen kunnen vallen. Dit laatste is geloof ik al gebeurd met FinFisher. Hierdoor zitten we met een extra probleem.

Wat de encryptie betreft: ook statelijke actoren kunnen nu via een goed geplaatste hack achter deze kwetsbaarheden c.q. backdoors komen. Hierdoor stort automatisch het encryptiegebouw volledig in elkaar. En dit met dank aan de overheid die van beveiliging niets afweet en denkt zijn slag te kunnen slaan m.b.t. het bestrijden van de criminaliteit.
30-09-2021, 17:25 door Anoniem
Volgens de experts is het niet mogelijk om een derde partij toegang tot end-to-end versleutelde communicatie te geven zonder backdoors of kwetsbaarheden te introduceren waar iedereen die ze vindt misbruik van kan maken. "In andere woorden, er is geen manier voor opsporingsdiensten om toegang tot backdoors te hebben, zonder het risico dat ook kwaadwillenden er toegang toe krijgen", laat de open brief weten.

Dat lijkt me niet correct. De clients hebben een beveiligde verbinding met een centrale server, en die is vertrouwd met
behulp van een vertrouwd certificaat. Over die beveligde verbinding kan de centrale server een vlaggetje sturen "jij
mag geen end-to-end encryptie doen want we willen jou in de gaten houden". Of "jij moet van alle berichtjes die je
end-to-end encrypted verstuurt en ontvangt ons ook een copietje sturen (met een key die wij samen afspreken".
De app die dat ondersteunt volgt die aanwijzingen van dat vlaggetje.

Daar is niet "door iedereen misbruik van te maken", want "iedereen" kan zich niet voordoen als de vertrouwde centrale
server.
30-09-2021, 18:45 door karma4
End to end is van gebruiker naar gebruiker niet van toestel naar toestel welke onder volledige controle van een supplier staan.
Dat de vraag gestd wordt en het is als duidelijke mogelijkheid gezien wordt weet je dat het geen end to end is.
30-09-2021, 19:00 door Anoniem
Zo'n wetje is zinloos en treft evt alleen totale leken.
TOR, Signal, verschillende VPN-diensten en Whatsapp zijn géén Belgische communicatiemiddelen. Met bijv. Google en Facebook (Whatsapp) is het wel oppassen omdat ze nogal makkelijk heulen met (lokale) autoriteit en produkten van genoemde bedrijven hebben gegarandeerd backdoors.

Statelijke actoren die pretenderen je ongevraagd te beschermen zijn ALTIJD te wantrouwen. Maar gelukkig zijn de workarounds méér voorhanden dan de ondermijnende fuiken en malware van onbetrouwbare overheden met hun stompzinnige godwins.

De directe en indirecte veroorzakers van de meeste ellende, conflict, verdeeldheid en desinfo zijn overheden zelf. Bescherming tegen dergelijke malverserende actoren is blijkbaar bijzonder effectief, geeft ze het nakijken en verzinnen dus zulke wetjes.

"Ga boeven vangen en begin daarmee in uw eigen gelederen", is hierbij mijn slotconclusie.
30-09-2021, 19:22 door Anoniem
Dat belgie eens met een wetvoorstel komt om alle wapens te verbieden, uiteraard hun eigen wapens ook. Heb vandaag nog in het nieuws grote dikke rakketten gezien, dan denk ik van, waarom toch... blijkt gewoon allemaal om geld te gaan. Wie gaat er als eerste kwaadwillend een rakket lanceren is nu de vraag. Nee liever zorgen maken om de encryptie van een bende boefjes die in de maffia werken en die elkaar doden met hun pistooltje.
30-09-2021, 19:26 door Anoniem
Eerder stelde de Belgische privacytoezichthouder dat het wetsvoorstel bedrijven zou dwingen om een "de factor backdoor" aan hun diensten toe te voegen.
Waarschijnlijk moet "de factor backdoor" in de tekst van het artikel zijn: "defacto backdoor".
(hetgeen zoiets betekent als: "in de praktijk een backdoor", dus ongeacht de manier waarop men het precies doet)
30-09-2021, 19:59 door botbot
Dingen met een backdoor worden door criminelen misbruikt. En ze gebruiken zelf iets zonder backdoor. Dus is deze eis weer eens voor iedereen slecht behalve voor de criminelen.
30-09-2021, 20:15 door waterlelie
Door Anoniem: Het scenario dat deze deskundigen naar voren brengen is inderdaad waar.

Ik heb eens een politieambtenaar moeten uitleggen dat het internet een open netwerk is en waarbij de backdoors die door de overheid worden gebruikt, ook in criminele handen kunnen vallen. Dit laatste is geloof ik al gebeurd met FinFisher. Hierdoor zitten we met een extra probleem.

Wat de encryptie betreft: ook statelijke actoren kunnen nu via een goed geplaatste hack achter deze kwetsbaarheden c.q. backdoors komen. Hierdoor stort automatisch het encryptiegebouw volledig in elkaar. En dit met dank aan de overheid die van beveiliging niets afweet en denkt zijn slag te kunnen slaan m.b.t. het bestrijden van de criminaliteit.

Je hoeft niet veel kennis van deze materie te hebben, om te begrijpen dat een achterdeur vroeg of laat in handen valt van mensen, die er misbruik van gaan maken. Het is duidelijk, dat zoiets wereldwijde gevolgen zal hebben. Ik wijs maar eens op de mening van Bruce Schneier, een autoriteit op dit gebied, die hier al jaren tegen waarschuwt. https://www.schneier.com/blog/archives/2011/10/fbi-sponsored_b.html
30-09-2021, 20:24 door Anoniem
Door botbot: Dingen met een backdoor worden door criminelen misbruikt.
Dat hoeft niet zo te zijn, maar het kan wel.
Het is iets waar men zeer goed bij moet oppassen, en dan nog kan het verkeerd gaan. Daarom is het niet te adviseren,
of alleen tijdelijk in het alleruiterste geval wanneer het "zeker en vast" hoog en hoog nodig is.
En dan bedoel ik ook echt, écht, ÈCHT hoognodig, zonder dat er alternatieven voor handen zijn.
30-09-2021, 22:30 door Anoniem
Door botbot: Dingen met een backdoor worden door criminelen misbruikt. En ze gebruiken zelf iets zonder backdoor. Dus is deze eis weer eens voor iedereen slecht behalve voor de criminelen.
De recente gebeurtenissen rond "communicatiemiddelen voor criminelen" tonen duidelijk aan dat hier helemaal niks van klopt!
30-09-2021, 23:31 door Anoniem
Altijd wederom gedacht dat Den Bels slimmer was dan den Hollaander.
De savoir-vivre en jeu de vie, witte? Allez mannekes, zulle.

#sockpuppet
01-10-2021, 00:33 door Anoniem
Kan iedereen eens ophouden om Whatsapp end-to-end encrypted na te boeren en te noemen? Er zitten hele call centers in India mee te lezen van de Whatsapp zelf. Elke scheet die je laat op whatsapp vertaalt zich in reclameuitingen die je daarna op sites ziet, tot "voorgesteld voor jou" onzin op je feestboektijdlijn. End to end is end to end. Whatsapp liegt over end to end. Want Dat Is Helemaal Geen End To End Encryption. Het is de boel beflikkeren en daar mag wel eens een wetboek van strafrecht artikeltje over toegevoegd worden.
01-10-2021, 03:43 door Anoniem
Door Anoniem: Dat lijkt me niet correct. De clients hebben een beveiligde verbinding met een centrale server, en die is vertrouwd met
behulp van een vertrouwd certificaat. Over die beveligde verbinding kan de centrale server een vlaggetje sturen "jij
mag geen end-to-end encryptie doen want we willen jou in de gaten houden". Of "jij moet van alle berichtjes die je
end-to-end encrypted verstuurt en ontvangt ons ook een copietje sturen (met een key die wij samen afspreken".
De app die dat ondersteunt volgt die aanwijzingen van dat vlaggetje.

Daar is niet "door iedereen misbruik van te maken", want "iedereen" kan zich niet voordoen als de vertrouwde centrale
server.
Het punt is dat als je mogelijkheden toevoegt er risico ontstaat dat daar dingen mis mee gaan. Een bug in de implementatie van de client kan misschien misbruikt worden om te forceren dat end-to-end-encryptie wordt uitgezet. Als de implementatie zonder end-to-end-encryptie er domweg niet inzit dan wordt het voor een kwaadwillende al aanzienlijk moeilijker om het uitzetten ervan te forceren.

En het hoeven niet alleen bugs te zijn. Als de server kan regelen dat er een niet end-to-end versleutelde verbinding wordt gebruikt, hoe gaat dat dan in zijn werk? Dan moet een medewerker dat kunnen omzetten voor een gebruiker, en wie weet krijgen autoriteiten wel zelf beschikking over een interface om dat te doen. Op dat moment zijn de mensen die dat bedienen een zwakke schakel geworden. Ze kunnen slordigheden begaan, ze kunnen omkoopbaar of chantabel blijken te zijn, er kan van alles misgaan.

En als die centrale server onverhoopt gecompromitteerd raakt dan zou bij end-to-end-encryptie die in de client niet uit te schakelen is de vertrouwelijkheid ondanks dat gewaarborgd zijn, terwijl bij een server die het simpelweg uit kan zetten geen enkele gebruiker nog veilig is. Het mooie van end-to-end-encryptie is dat je helemaal niets tussen de eindpunten hoeft te vertrouwen, ook niet die centrale server. Dat raak je kwijt.

Alleen al de mogelijkheid om het uit te schakelen introduceert dus in een klap hele categorieën aan nieuwe manieren waarop het mis kan gaan. De kwetsbaarheid van zo'n systeem neemt daarmee aanzienlijk toe.
01-10-2021, 07:31 door Anoniem
Dus ze hebben weinig geleerd van de Belgacom hack......Met deze wet wandelen statelijke actoren en criminelen binnenkort ongezien België binnen.
https://www.computable.be/artikel/nieuws/maatschappij/6499794/5440850/britten-zaten-achter-belgacom-hack-zegt-parket.html
01-10-2021, 09:08 door Anoniem
End to end is van gebruiker naar gebruiker niet van toestel naar toestel welke onder volledige controle van een supplier staan. Dat de vraag gestd wordt en het is als duidelijke mogelijkheid gezien wordt weet je dat het geen end to end is.

Incorrect. Je kan best de encryptie mode uitschakelen voor een account dat in normale mode end-to-end encrypted is. Beschikbaarheid van E2E encryptie functionaliteit impliceert niet, dat deze functionaliteit niet uitgeschakeld kan worden.
01-10-2021, 09:59 door Anoniem
Door Anoniem: Dat belgie eens met een wetvoorstel komt om alle wapens te verbieden.

Daar heb je wel een punt, zij het niet zozeer met raketten voor legers.

Ik heb nog nooit een politicus horen verkondigen dat ieder pistool en geweer verplicht een camera moet hebben die 24/7 aan staat en bij afvuren de hele periode tot een half uur voor en een half uur na (ik noem maar iets) naar de politie stuurt. Terwijl in tegenstelling tot encryptie vuurwapens primair zijn ontworpen om levende wezens te doden...
01-10-2021, 10:24 door Anoniem
Door Anoniem:
En als die centrale server onverhoopt gecompromitteerd raakt dan zou bij end-to-end-encryptie die in de client niet uit te schakelen is de vertrouwelijkheid ondanks dat gewaarborgd zijn, terwijl bij een server die het simpelweg uit kan zetten geen enkele gebruiker nog veilig is. Het mooie van end-to-end-encryptie is dat je helemaal niets tussen de eindpunten hoeft te vertrouwen, ook niet die centrale server. Dat raak je kwijt.

Ja als Als ALS...
Als de build server voor de client app onverhoopt gecompromitteerd raakt dan zou er een aanpassing in de client
app gedaan kunnen worden waardoor zomaar iedereen de encryptie uit kan zetten of een tap kan inbouwen in
de client. Als als als.
Als de hemel naar beneden valt hebben we allemaal een blauwe hoed, zei men vroeger.
01-10-2021, 10:57 door Anoniem
Als je de wet eens verder bekijkt dan blijkt het om metadata te gaan. Dat is toch fundamenteel iets anders dan encryptie verzwakken of backdoors inbouwen...
01-10-2021, 13:57 door Anoniem
Door Anoniem:
Ik heb nog nooit een politicus horen verkondigen dat ieder pistool en geweer verplicht een camera moet hebben die 24/7 aan staat en bij afvuren de hele periode tot een half uur voor en een half uur na (ik noem maar iets) naar de politie stuurt. Terwijl in tegenstelling tot encryptie vuurwapens primair zijn ontworpen om levende wezens te doden...
Dat is op zich wel een goed idee. Vroeger was zo iets onmogelijk maar tegenwoordig kan dat gewoon gedaan worden.
Politici gaan meestal niet zo met de tijd mee (heet het hier) maar als ze die achterstand hebben ingehaald dan kunnen
en mogen ze dit best voorstellen. De politie kan dan gemakkelijk al die filmpjes van schietbanen deleten en voor de
rest achter de bezitters aan gaan. Prachtig. Zeker als daar mensen mee gepakt worden die "zelf wel bepalen waar
en op wat ze schieten".
02-10-2021, 01:52 door Anoniem
Lachwekkend, binnenkort doen we met zijn allen quic en TLS1.3 mét PFS. En Belgie demands a backdoor :-) Gaat nooit gebeuren. Iemand die wat vertrouwd is met security weet dat er oplossingen zijn maar daarvoor heb je ook mensen nodig die je marktconform moet betalen en daar knelt het schoentje. Met wat omgeschoolde ambtenaren met gekochtje 'tooltjes' a la Pegasus tja daar kom je nergens mee ook niet met ja knikkers die de kabinetten bevolken.
02-10-2021, 13:48 door Anoniem
Het wetsontwerp [1] stelt dat operatoren, klassieke telecomspelers maar ook digitale aanbieders als WhatsApp, Signal of Telegram, verplicht worden om hun end-to-end encryptie te ondermijnen om ordediensten in specifieke gevallen toegang te geven tot die communicatie.

https://datanews.knack.be/ict/nieuws/security-en-privacyexperts-tegen-belgisch-plan-om-encryptie-te-ondermijnen/article-news-1784475.html


[1] Het gaat hier om een zogeheten 'dispositief' van het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT)

https://www.bipt.be/index.php/operatoren/publication/bijlage-1-dispositief
03-10-2021, 21:59 door Anoniem
Door Anoniem: Daar is niet "door iedereen misbruik van te maken", want "iedereen" kan zich niet voordoen als de vertrouwde centrale server.
Je hoeft dan alleen nog maar op die centrale server binnen te dringen. Of je hackt de client om niet meer naar dat flaggetje te kijken, maar te doen alsof het altijd aan, of juist uit staat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.