image

Kabinet voert motie uit over het in stand houden van end-to-end encryptie

zaterdag 24 september 2022, 10:10 door Redactie, 45 reacties

Het kabinet zal een motie van de Partij voor de Dieren die oproept tot het in stand houden van end-to-end encryptie uitvoeren en Europese voorstellen die end-to-end encryptie onmogelijk maken niet steunen. Wel blijft wetenschappelijk onderzoek naar het verkrijgen van toegang tot versleuteld materiaal mogelijk. Dat laat minister Yesilgöz van Justitie en Veiligheid in een brief aan de Tweede Kamer weten.

Naar aanleiding van plannen van de Europese Commissie, die onder andere chatdiensten wil verplichten om alle berichten van hun gebruikers te controleren, besloot Kamerlid Van Raan van de Partij voor de Dieren een motie in te dienen die de regering oproept om end-to-end encryptie in stand te houden en Europese voorstellen die dat onmogelijk maken niet te steunen. De motie werd met 128 stemmen voor en 22 stemmen tegen aangenomen. Alleen het CDA, ChristenUnie en de SGP stemden tegen.

In een reactie op de motie zegt Yesilgöz dat de regering die zal uitvoeren. "Echter, zoals geschetst in het Commissiedebat Online veiligheid en cybersecurity, is dit niet zonder dilemma’s", voegt ze toe. Tijdens het debat liet de minister weten dat ze haar hoop op een "unicorn" heeft gevestigd, een technische oplossing die toegang tot versleuteld materiaal mogelijk maakt. Volgens de minister stelt encryptie kwaadwillenden in staat om de inhoud van hun communicatie buiten het zicht van de opsporings-, inlichtingen- en veiligheidsdiensten te houden.

"Deze diensten geven regelmatig aan dat dergelijke informatie vrijwel altijd van encryptie is voorzien en steeds lastiger blijkt, en vaak onmogelijk, om deze te doorbreken. Dat belemmert de diensten in hun wettelijke taak de samenleving veilig te maken", aldus Yesilgöz. Het probleem is volgens de minister de afgelopen jaren steeds groter geworden, onder meer door het gebruik van chatapps die standaard end-to-end versleuteld zijn en dat aanbieders van chatdiensten niet verplicht zijn afgetapte communicatie onversleuteld aan te leveren, zoals bij telecomproviders het geval is.

Geregeld stellen experts dat deze voorstelling van zaken niet klopt, omdat inlichtingendiensten in een "gouden eeuw van surveillance" leven. Het aftappen van versleutelde berichten is lastiger geworden, maar zoveel andere vormen van surveillance zijn tegenwoordig veel eenvoudiger. Daarnaast kan de metadata die wel beschikbaar is vaak zeer veel informatie over het privéleven van iemand prijsgeven en met wie, wanneer en op welk moment er is gecommuniceerd.

Eerder stelde de Cyber Security Raad (CSR) in zijn advies over alternatieven voor het beperken van encryptie dat op korte dan wel middellange termijn geen oplossingen te verwachten zijn die aan alle verschillende belangen volledig tegemoet kunnen komen. "Alternatieven voor het beperken van encryptie zijn daarom zeer wenselijk. In de uitvoering van de motie-Van Raan en in opvolging van het advies van de CSR zal ik mij namens het kabinet sterk inzetten voor alternatieve mogelijkheden die encryptie niet aantasten", laat de minister verder weten. Wel zal er onderzoek worden gedaan naar technische oplossingen voor de toegang tot informatie voor de opsporings-, inlichtingen- en veiligheidsdiensten.

Yesilgöz sluit haar brief af door te stelen dat het kabinet de motie zal uitvoeren en voorstellen die end-to-end encryptie onmogelijk maken niet zal steunen. "Ons gezamenlijke standpunt om end-to-end-encryptie niet onmogelijk te maken zal ik actief in de EU uitdragen, ook in het kader van het voorstel voor een verordening ter voorkoming en bestrijding van seksueel kindermisbruik. Ondertussen blijft wetenschappelijk onderzoek naar rechtmatige toegang tot versleuteld materiaal mogelijk en gaat onze zoektocht naar mogelijkheden tot het verkrijgen van informatie voor het tegengaan en opsporen van strafbare feiten en het beschermen van de nationale veiligheid door."

Image

Reacties (45)
24-09-2022, 11:21 door Anoniem
"Ondertussen blijft wetenschappelijk onderzoek naar rechtmatige toegang tot versleuteld materiaal mogelijk en gaat onze zoektocht naar mogelijkheden tot het verkrijgen van informatie voor het tegengaan en opsporen van strafbare feiten en het beschermen van de nationale veiligheid door."

Dan kunnen ze ook een onderzoek starten naar de mogelijkheid om fysiek object (op de Aarde) naar boven te laten vallen.
Als ze dat lukt, dan hebben ze meteen een milieuvriendelijke manier om iets de ruimte in te krijgen vanuit een zwaartekracht put zonder een raketmotor te gebruiken.
Op de lange termijn zal dat meer opleveren dan versleutelde berichten in te kunnen zien.

Of een onderzoek naar een perpetuum mobile.
Of het produceren van energie of materie uit het niets.

En zo zijn er wel meer unicorns.
24-09-2022, 11:39 door [Account Verwijderd]
Mooi zo!
En als dank iedereen op de Partij voor de dieren gaan stemmen in 2025. Dank u wel.
Krijg nu vaag de indruk dat het totaal ongedifferentieerde anti-overheids sentiment met de mond vol tanden staat, of het gesputter over het kwartje van Kok, dat 'ze' nooit terug hebben gehad wordt als kapstok gebruikt om luid te verkondigen op de krakkemikkige zeepkist dat de hele overheid toch niet deugt, ondanks het onweerlegbare feit dat het kabinet gehoor geeft aan de terechte bezwaren m.b.t. openbreken van end-to-end encryptie. Tsja.... Nederland zit vol verrassingen... nietwaar?
24-09-2022, 11:53 door Anoniem
Ik denk dat 'unicorn' een politiek synoniem is voor 'wonder'. :'D
Fijn om te zien dat mijn stem op PvdD zijn vruchten afwerpt. Goed bezig!
24-09-2022, 12:01 door Anoniem
Er moet ergens een achterdeur zitten. Dit kabinet neemt geen besluiten die goed zijn voor de 'burgers'.
24-09-2022, 12:11 door Anoniem
Redelijk resultaat, maar om alle verkeerde redenen. Je kunt aan de reactie van Yesilgöz duidelijk zijn dat ze het niet helemaal snapt.

Maar ja, zoals mij is geleerd: "je moet nooit een gegeven paard in de bek kijken"
24-09-2022, 12:51 door Anoniem
Precies. Briefgeheim is ons grondrecht!
24-09-2022, 12:55 door Anoniem
Uiteraard, het is al vaker gemeld, betekent end-to-end encryptie niet dat de communicatie niet af te luisteren is.
App makers zouden verplicht kunnen worden om op aanwijzing van justitie een copietje van ieder bericht wat een
verdachte verstuurd of ontvangen heeft te sturen naar een verzamelsysteem waar justitie het ter beschikking krijgt.
Het is dan het device van de verdachte wat het copietje van de plaintext maakt, dit eventueel ook end-to-end encrypt,
en naar de aangegeven bestemming stuurt. Daar merkt de verdachte niks van en de encryptie is niet doorbroken.
24-09-2022, 13:16 door majortom
Tijdens het debat liet de minister weten dat ze haar hoop op een "unicorn" heeft gevestigd, een technische oplossing die toegang tot versleuteld materiaal mogelijk maakt.
Als er zo'n unicorn bestaat in combinatie met de huidige algoritmes dan betekent dit dat de encryptie is gecompromitteerd (en er dus geen sprake meer is van encryptie) en zal er worden overgeschakeld naar alternatieve algoritmes.

dat aanbieders van chatdiensten niet verplicht zijn afgetapte communicatie onversleuteld aan te leveren, zoals bij telecomproviders het geval is
De minister vergeet hier dat encryptie ook kan via "normale" telecomoplossingen. Begin jaren 90 heb ik al gewerkt aan oplossingen om spraak te encrypten via normale analoge telefoonlijnen. In gevallen dat er ook hier encryptie wordt toegepast heeft de minister precies hetzelfde probleem bij de telecomproviders als ze nu heeft bij de chatdiensten.
24-09-2022, 13:29 door Anoniem
Ben bang dat een beslissing van de EU hier alsnog overheen kan gaan. Hopelijk heb ik het verkeerd.
24-09-2022, 13:42 door karma4
Probleem 1: end to end encryptie waarbij je de sleutels niet zelf hebt is geen end to end al willen commerciële bedrijven dat wel zo graag laten overkomen.

Probleem 2: Politici die in het fout idee van end tot end meelopen en op unicorns hopen.

at Quink: Beter geen Pvdd stemmen als je wat meer cyber begrip wenst bij polititci. Meelopers zitten overal
24-09-2022, 13:48 door Anoniem
Je/we mag/mogen gewoon ook blij zijn met het besluit van Minister Yesilgöz.
Ik ben dat wel.
Verstandig besluit.
Dank u wel.
24-09-2022, 15:35 door Anoniem
Hoe is het mogelijk dat bepaalde politici denken dat ze end to end encryptie zouden kunnen ontsleutelen (zonder brute force met quantum technologie). Wat natuurlijk wel kan is dat er op het endpoint zelf kan worden meegekeken.
Wij weten niet of overheden dit kunnen met een door Microsoft geleverde NSA key.
Het is wel opvallend dat de Amerikanen alles van die Russen bleken te weten tot de inval in de Oekraïne aan toe.
Daarom is er maar 1 oplossing. Gebruik een opensource desktop die goed wordt onderhouden. Totdat er een wet gemaakt wordt die encryptie onder de wapenwet laat vallen? Kunnen we allemaal dat stukje software weer zelf gaan compileren.
24-09-2022, 16:12 door Erik van Straten - Bijgewerkt: 24-09-2022, 16:15
1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.

2) Het is noodzakelijk dat beide End-Devices elkaar wederzijds voldoende betrouwbaar authenticeren (knap lastig) en dat betrouwbare maatregelen tegen AitM (Attacker in the Middle) aanvallen zijn genomen. Het beste na zeker weten met wie je communiceert, is weten met wiens End-Device jouw End-Device communiceert. Immers, een versleutelde verbinding met een End-Device van een aanvaller (die zich voordoet als) geeft alleen maar schijnveiligheid.

3) Het is noodzakelijk dat ongeautoriseerden geen toegang hebben of kunnen krijgen tot één van de, of beide, End-Devices, en dat geautoriseerden (waaronder makers van End-Devices en de software daarop, waaronder potentieel client-side-scanning) geen misbruik maken van hun bevoegdheid. Praktijk: forget it; privacy is een schaarser goed dan je denkt.

Door Quink: Mooi zo!
Dat dan weer wel!
24-09-2022, 16:14 door Erik van Straten - Bijgewerkt: 24-09-2022, 16:16
(sorry dubbel)
24-09-2022, 16:45 door Anoniem
Ik zou de minister, en eigenlijk alle parlementariërs, willen aanraden eens een dagje met priveberichten in chats mee te lezen. En er ook wat uit te vissen wat wellicht bedenkelijk is. Maar in de wetenschap dat je iets zit te lezen wat niet voor jou bedoeld is. En dat mensen niet weten dat je dat doet.

Ik heb het jaren gekund, af en toe ook eens gedaan. Maar ik kan bevestigen dat het een heel onaangenaam gevoel geeft.

De burger wil natuurlijk graag dat daders opgespoord worden. Want die zijn bang voor hun eigen haggie. Veel verder gaat het niet, want morgen staat er weer ander nieuws in de krant. Als je echter in echte prive gaat neuzen dan krijg je ook te maken met privacy van slachtoffers. Wat hele nare gewetensvragen kan oproepen. Net als neuzen in privacy van overledenen. Het lijkt een leuke hobby, boeven vangen. Het bevestigt ook dat je in elk geval zelf een goed mens bent, vandaar mede het enthousiasme. Maar als je stiekum in een prive tredt, dan kun je daar een behoorlijk klotegevoel aan overhouden. Waar je soms ook niks mee kunt, omdat je zelf begonnen bent met fout te zijn. Je schendt tenslotte privacy aan twee kanten. Ook van het slachtoffer waar je zogenaamd zo mee begaan bent. Je hebt er een hele sterke poetin of xi maag voor nodig. Je moet er een onmens voor zijn om het te willen, mevrouw de minster. Probeer het maar eens een dagje uit.
24-09-2022, 16:48 door Anoniem
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.

En devices kunnen de benodigde sleutels niet ontgrendelen zonder pin of passphrase die alleen jij kent.
24-09-2022, 17:27 door Anoniem
Door Quink: Mooi zo!
En als dank iedereen op de Partij voor de dieren gaan stemmen in 2025. Dank u wel.
Of een van de partijen van de andere indieners. Als je de motie zelf bekijkt staan deze namen eronder (ik heb de partijen toegevoegd aan de hand van de lijst van kamerleden op tweedekamer.nl):

Van Raan (PvdD)
Van Baarle (Denk)
Van Ginneken (D66)
Leijten (SP)
Van Weerdenburg (PVV)

Dan kan je ook nog als dank stemmen op een van de partijen die voor de motie hebben gestemd. Alleen CDA, ChristenUnie en SGP hebben tegen gestemd.
24-09-2022, 21:05 door [Account Verwijderd]
Door Anoniem:
Door Quink: Mooi zo!
En als dank iedereen op de Partij voor de dieren gaan stemmen in 2025. Dank u wel.
Of een van de partijen van de andere indieners. Als je de motie zelf bekijkt staan deze namen eronder (ik heb de partijen toegevoegd aan de hand van de lijst van kamerleden op tweedekamer.nl):

Van Raan (PvdD)
Van Baarle (Denk)
Van Ginneken (D66)
Leijten (SP)
Van Weerdenburg (PVV)

Dan kan je ook nog als dank stemmen op een van de partijen die voor de motie hebben gestemd. Alleen CDA, ChristenUnie en SGP hebben tegen gestemd.

Dank voor je toevoeging, maar je moet de opmerking van mij over de Partij voor dieren niet zo extreem letterlijk nemen hoor!
Ik heb het vooral geschreven om het uiterst negatieve maar ook gevaarlijke anti-overheidssentiment dat heerst in Nederland te ondergraven. Niet alles overheid is fout. Dat is totale onzin.


Algemeen:

Neem in herinnering de Bonuskaart van AH. Toen vele jaren geleden bekend werd dat AH de persoonlijke gegevens bij aanvraag van de bonuskaart niet geheel geheim hield o.i.d. (exact weet ik het niet meer) betekende dit echt niet dat het hele bedrijf AH onbetrouwbaar was. Niemand peinsde er ook maar over om zo’n buitensporige gevolgtrekking te maken.

Wat ik nu bedoel met dat gevaarlijke anti-overheidssentiment is het feit dat heden ten dage het volkomen normaal schijnt te zijn voor een groeiende groep mensen totaal te ontsporen in kritiek op de overheid als er weer eens iets over die overheid in het nieuws komt.
Als bijvoorbeeld het parlement een wind laat, of een minister, stormt het meteen met orkaankracht in de hoofden van deze lieden, en dan gaan ze helemaal los…..
Ambtenaren, beleidsmakers, burgemeesters, wethouders, adviseurs, ministers, staatssecretarissen, rechters, officieren van justitie, parlementsleden, raadsleden, etc. etc, niets deugt er meer. Het is allemaal een ongedifferentieerde pot nat met parlement, ministerraad en ambtenarij in de mixer gegooid, die maar een duivels doel heeft: De burger dwarszitten.
Het is waanzin om zo te denken.

Oh ja!… Er gaan zaken vanuit de overheid gruwelijk mis! Zoals de toeslagaffaire!
Maar het is waanzin én onzin om frustratie, of ev. persoonlijk onrecht op álle vlakken die de overheid betreft te betrekken. dat is gewoon niet fair.
24-09-2022, 22:58 door Anoniem
Door Anoniem:
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.

En devices kunnen de benodigde sleutels niet ontgrendelen zonder pin of passphrase die alleen jij kent.
Kwestie van een keylogger. Heel simpel. Met commerciële gesloten systemenen ben je niet in control.
25-09-2022, 09:14 door Anoniem
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.
Ik heb nooit meegemaakt dat iemand het zo opvatte dat mensen zelf die berekeningen konden uitvoeren. "End" slaat op de devices aan de uiteinden van de verbinding, en als daar helemaal geen onduidelijkheid over bestaat dan is het ook niet nodig om die onduidelijkheid op te heffen. Ik zou eerder end-human-to-end-human-encryptie uitgebreider benoemd willen zien als dat opeens toch zou blijken te kunnen. En dan zou human-to-human-encryptie lekkerder in de mond liggen.

Heb jij wel meegemaakt dat er misverstanden ontstonden omdat mensen dachten dat met het encryptie-eindpunt niet de apparaten maar de mensen werden bedoeld?

Het is beslist nodig om zonder misverstanden te communiceren, maar het is beslist ook nodig om zo te communiceren dat niet door teveel breedsprakigheid de inhoud moeilijk te volgen wordt (een extreem voorbeeld zijn de fictieve Enten in The Lord of the Rings, voor wie het ongeveer nodig is een levensverhaal te vertellen om te benoemen over wie je het hebt). De kunst is om daar een goede balans te vinden.

End-to-end-encryptie is een algemeen gebruikte term. Als het misverstand dat jij benoemt werkelijk zou voorkomen (ik heb het niet meegemaakt) dan is een andere manier om daar mee om te gaan dan een langere term te verzinnen om iemand erop te wijzen dat met de eindpunten de apparaten bedoeld worden die mensen gebruiken. Je kan ook voor het doel van deze vergadering, dit stuk of dit project afspreken wat voor definitie je hanteert.
25-09-2022, 10:59 door Anoniem
Door Quink:
Door Anoniem:
Door Quink: Mooi zo!
En als dank iedereen op de Partij voor de dieren gaan stemmen in 2025. Dank u wel.
Of een van de partijen van de andere indieners. Als je de motie zelf bekijkt staan deze namen eronder (ik heb de partijen toegevoegd aan de hand van de lijst van kamerleden op tweedekamer.nl):

Van Raan (PvdD)
Van Baarle (Denk)
Van Ginneken (D66)
Leijten (SP)
Van Weerdenburg (PVV)

Dan kan je ook nog als dank stemmen op een van de partijen die voor de motie hebben gestemd. Alleen CDA, ChristenUnie en SGP hebben tegen gestemd.

Dank voor je toevoeging, maar je moet de opmerking van mij over de Partij voor dieren niet zo extreem letterlijk nemen hoor!
Ik heb het vooral geschreven om het uiterst negatieve maar ook gevaarlijke anti-overheidssentiment dat heerst in Nederland te ondergraven. Niet alles overheid is fout. Dat is totale onzin.


Algemeen:

Neem in herinnering de Bonuskaart van AH. Toen vele jaren geleden bekend werd dat AH de persoonlijke gegevens bij aanvraag van de bonuskaart niet geheel geheim hield o.i.d. (exact weet ik het niet meer) betekende dit echt niet dat het hele bedrijf AH onbetrouwbaar was. Niemand peinsde er ook maar over om zo’n buitensporige gevolgtrekking te maken.

Wat ik nu bedoel met dat gevaarlijke anti-overheidssentiment is het feit dat heden ten dage het volkomen normaal schijnt te zijn voor een groeiende groep mensen totaal te ontsporen in kritiek op de overheid als er weer eens iets over die overheid in het nieuws komt.
Als bijvoorbeeld het parlement een wind laat, of een minister, stormt het meteen met orkaankracht in de hoofden van deze lieden, en dan gaan ze helemaal los…..
Ambtenaren, beleidsmakers, burgemeesters, wethouders, adviseurs, ministers, staatssecretarissen, rechters, officieren van justitie, parlementsleden, raadsleden, etc. etc, niets deugt er meer. Het is allemaal een ongedifferentieerde pot nat met parlement, ministerraad en ambtenarij in de mixer gegooid, die maar een duivels doel heeft: De burger dwarszitten.
Het is waanzin om zo te denken.

Oh ja!… Er gaan zaken vanuit de overheid gruwelijk mis! Zoals de toeslagaffaire!
Maar het is waanzin én onzin om frustratie, of ev. persoonlijk onrecht op álle vlakken die de overheid betreft te betrekken. dat is gewoon niet fair.
Ik koop al sinds dat gekneuter met die bonuskaarten geen boodschappen meer bij AH
Dat anti-overheidssentiment is wel te begrijpen. Men is namelijk niet in staat gebleken om maar 1 crisis op te lossen en het waren er nogal een paar. Crisis management in Nederland is hier we stonden er bij en keken er naar.
Zelf ben ik er van overtuigd dat op het gebied van ICT hier meer corruptie is dan in de Oekraïne om ook maar eens een duit in het zakje te doen.
Als ik zo naar die politieke lijst kijk lijkt het wel of alleen onze lieve heer tegen end-to-end encryptie is.
25-09-2022, 11:31 door Anoniem
Door Anoniem:
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.
Ik heb nooit meegemaakt dat iemand het zo opvatte dat mensen zelf die berekeningen konden uitvoeren. "End" slaat op de devices aan de uiteinden van de verbinding, en als daar helemaal geen onduidelijkheid over bestaat dan is het ook niet nodig om die onduidelijkheid op te heffen.
Bij de welbekende "number stations" (google het maar als het bij jou niet bekend was) werden de decryptie berekeningen
wel degelijk door de ontvangende mens uitgevoerd en niet door het device (wat gewoon een willekeurige kortegolf radio was).
25-09-2022, 12:01 door johanw
Door Anoniem: Ik denk dat 'unicorn' een politiek synoniem is voor 'wonder'. :'D

Of voor "Sorry de EU heeft dit bevolen". De Europese commissie is tenslotte ook al aan het speuren hoe ze onwelgevallige meningen en de uiters daarvan kan onderdrukken.
25-09-2022, 12:03 door Anoniem
@Gisteren, 21:05 door Quink, wat jij “waanzin” noemt en “anti-overheidssentiment” is wel een vrij bizarre uitleg voor kritieken. Beschouw kritiek die niet de jouwe is in vredesnaam als oproepen ontstaan uit betrokkenheid bij het wel en wee. En als je dat doet dan snap je het beter dan je negatieve uitleg van kritiek weergeeft.
25-09-2022, 12:08 door Anoniem
Door Anoniem: Als ik zo naar die politieke lijst kijk lijkt het wel of alleen onze lieve heer tegen end-to-end encryptie is.

Denk is mede indiener van deze motie. Dus je kunt in een God geloven en voor crypto zijn.
25-09-2022, 13:12 door majortom - Bijgewerkt: 25-09-2022, 13:15
Door Anoniem:
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.
Ik heb nooit meegemaakt dat iemand het zo opvatte dat mensen zelf die berekeningen konden uitvoeren. "End" slaat op de devices aan de uiteinden van de verbinding, en als daar helemaal geen onduidelijkheid over bestaat dan is het ook niet nodig om die onduidelijkheid op te heffen. Ik zou eerder end-human-to-end-human-encryptie uitgebreider benoemd willen zien als dat opeens toch zou blijken te kunnen. En dan zou human-to-human-encryptie lekkerder in de mond liggen.

Heb jij wel meegemaakt dat er misverstanden ontstonden omdat mensen dachten dat met het encryptie-eindpunt niet de apparaten maar de mensen werden bedoeld?
Ik denk dat Erik wel een punt heeft. Je kunt er niet vanuit gaan dat degene met wie je denkt te chatten werkelijk degene is die je denkt dat hij/zij is. Het is goed om erbij stil te staan dat je hooguit over het device kunt zeggen dat het het device is waarmee je communiceert. Of het device ondertussen is gecompromitteerd en bijvoorbeeld een ander zich voordoet als de eigenaar van het device weet je niet (tenzij het chat programma hierin faciliteert, maar de gangbare doen dat niet).

Sterker, je weet bij de meeste chat applicaties eigenlijk niet eens zeker met welk device je communiceert. Bij WhatsApp hoef je enkel controle over het telefoonnummer van iemand te hebben om je als degene te kunnen voordoen. Voor andere chat apps enkel controle over het email account. Eea sterk afhankelijk van de manier waarop de onboarding plaatsvindt. Om enige zekerheid te hebben zou je een gesprekspartner moeten onboarden wanneer je fysiek bij elkaar bent (door bijvoorbeeld de public keys uit te wisselen via een QR code vanaf de betreffende devices). En dan heb je nog steeds enkel de garantie dat de device-2-device connectie authentiek is.

Er wordt tegenwoordig al te gemakkelijk aangenomen dat er een 1:1 relatie is tussen device en persoon, wat een volledige misperceptie is.
25-09-2022, 13:15 door Anoniem
Door Anoniem:
Ik koop al sinds dat gekneuter met die bonuskaarten geen boodschappen meer bij AH
Dat anti-overheidssentiment is wel te begrijpen. Men is namelijk niet in staat gebleken om maar 1 crisis op te lossen en het waren er nogal een paar. Crisis management in Nederland is hier we stonden er bij en keken er naar.
Zelf ben ik er van overtuigd dat op het gebied van ICT hier meer corruptie is dan in de Oekraïne om ook maar eens een duit in het zakje te doen.
Als ik zo naar die politieke lijst kijk lijkt het wel of alleen onze lieve heer tegen end-to-end encryptie is.[/quote]
Hmm.

Blijkbaar denk je dat alles in het nieuws komst wat in potentie tot een crisis kan leiden.
Nou ja, feitelijk komt alles (wat de politiek doet) ook wel in het nieuws (in de verslagen van de Tweede Kamer, niet in de krant).
En niemand leest alles. Jij ook niet (hoop ik). Dat zou een onmenselijke taak zijn.

Wat jij ziet is datgene dat tot een crisis heeft geleid én waarvan de maatregelen niet effectief gebleken zijn.
Dus betwijfel ik dat jouw steekproef waaruit blijkt dat men niet 1 crisis heeft kunnen oplossen voldoende is geweest.

Jouw negatieve stemmingmakerij wordt onderstreept met jouw opmerking over ICT corruptie.

En jouw laatste opmerking draait de boel wederom om. De motie is namelijk vóór end-to-end encryptie. En de Minister verklaart dat ze in woord en daad uitvoering geeft aan de doelstelling 'behoud end-to-end encryptie'.

Dus het is niet alleen onze lieve heer.
Die zou zomaar kunnen zeggen dat je beter maar met wijsheid kan spreken. En dan (alleen dan?) voluit.
25-09-2022, 16:10 door [Account Verwijderd]
Door Anoniem: @Gisteren, 21:05 door Quink, wat jij “waanzin” noemt en “anti-overheidssentiment” is wel een vrij bizarre uitleg voor kritieken. Beschouw kritiek die niet de jouwe is in vredesnaam als oproepen ontstaan uit betrokkenheid bij het wel en wee. En als je dat doet dan snap je het beter dan je negatieve uitleg van kritiek weergeeft.

Het is geen uitleg. Het is een zeer nauwkeurige kwalificatie van de hedendaagse gevoelens van onvrede die door derden (samenzweringstheoretici) worden geëxploiteerd en tot hapklare brokken die makkelijk herhaald kunnen worden gepresenteerd.
Wat ik dertien van de twaalf keer als 'kritiek' hoor is een boel geschreeuw richting 'The Void'.
Als ik lees dat de overheid incompetent is, of knoeiers zijn, of dat de overheid corrupt is (dat is nummertje drie van de dertien in een dozijn ongedifferentieerde opmerkingen) haal ik mijn schouders op en denk: Verspilling van kostbare zuurstof om daar een reactie op te geven. Die verbetenheid is van dezelfde soort als een pitbull of een havik die zich heeft gefixeerd op zijn prooi. Met dergelijke 'critici' valt geen land meer mee te bezeilen.
25-09-2022, 16:22 door Anoniem
Door Quink: Mooi zo!
En als dank iedereen op de Partij voor de dieren gaan stemmen in 2025. Dank u wel.
Krijg nu vaag de indruk dat het totaal ongedifferentieerde anti-overheids sentiment met de mond vol tanden staat, of het gesputter over het kwartje van Kok, dat 'ze' nooit terug hebben gehad wordt als kapstok gebruikt om luid te verkondigen op de krakkemikkige zeepkist dat de hele overheid toch niet deugt, ondanks het onweerlegbare feit dat het kabinet gehoor geeft aan de terechte bezwaren m.b.t. openbreken van end-to-end encryptie. Tsja.... Nederland zit vol verrassingen... nietwaar?

PvdD is de enige politieke partij die consequent in het belang van de burger stemt op cyber gebied, wat ook de hoofdreden is dat ik op deze partij stem. In dit opzicht hebben ze hun partij de verkeerde naam gegeven.
25-09-2022, 16:23 door Anoniem
Ik Lees de paragraaf nu al 5 maal, staat het woord niet verkeerd in zin 4? Steunen ze motie ter bescherming van e2ee nu wel of niet...
25-09-2022, 16:28 door Erik van Straten
24-09-2022, 16:48 door Anoniem:
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.

En devices kunnen de benodigde sleutels niet ontgrendelen zonder pin of passphrase die alleen jij kent.
Dat is de theorie en/of wordt gebruikers wijsgemaakt, waarbij de verwachtingen verkeerd kunnen zijn. "E2EE" kan betekenen dat software ontvangen berichten automatisch ontsleutelt en in die staat opslaat, ook als jouw scherm gelocked is (los van hoe veilig unlocken plaats kan vinden).

Bijvoorbeeld in smartphone back-ups op iCloud en Google Drive lijken WhatsApp berichten by default niet versleuteld te zijn (https://faq.whatsapp.com/general/chats/how-to-turn-on-and-turn-off-end-to-end-encrypted-backup/?lang=nl).

En als bijlagen zoals foto's en filmpjes überhaupt "E2EE" worden verzonden, kun je er in sommige chat-apps voor kiezen om die, buiten de omgeving van de beschermende app op jouw device te zetten - zodat je ze bijvoorbeeld in jouw "gallery" ziet. Met alle risico's van dien, zowel voor verzenders als ontvangers (voorbeeld: https://tweakers.net/nieuws/200134/google-weigert-fout-toe-te-geven-tegen-vader-die-fotos-nam-van-infectie-kind.html).

Daarnaast heb je duidelijk mijn punten 2 en 3 niet gelezen.

M.b.t. punt 3: je zult alle software op een apparaat, die potentieel toegang heeft tot jouw onversleutelde communicatie (die -vanwege mijn punt 1- noodzakelijkerwijs op dat apparaat ontsleuteld wordt, ook al is dat tijdelijk) moeten vertrouwen. En daarbij gaat het meestal om veel meer software dan de meeste mensen vermoeden.

En dan heb ik het nog niet over "unicorns" zoals client-side-scanning:
UK: https://www.theregister.com/2022/07/07/uk_online_safety_bill_chat_scanning/

EC: https://arxiv.org/abs/2205.14601

Achtergronden: https://tweakers.net/nieuws/199474/privacytoezichthouders-eu-zijn-bezorgd-over-wet-die-kindermisbruikscan-verplicht.html?showReaction=17769716#r_17769716

Twee verschillende foto's die dezelfde "Neural hash" opleveren: https://github.com/AsuharietYgvar/AppleNeuralHash2ONNX/issues/1#issuecomment-903094036

LET OP: dat de minister van J&V deze motie overneemt, betekent niet dat zij tegen "CSS" (client-side-scanning) is.

25-09-2022, 09:24 door Anoniem:
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.
[...]
Heb jij wel meegemaakt dat er misverstanden ontstonden omdat mensen dachten dat met het encryptie-eindpunt niet de apparaten maar de mensen werden bedoeld?
Ja. Zie bijvoorbeeld de reactie hierboven.

En organisaties als "Let's Encrypt" die "Let's Authenticate" als irrelevant verklaren, klakkeloos geslikt en zelfs verdedigd door bezoekers van deze site (zie mijn punt 2 hierboven en mijn reactie in https://security.nl/posting/769060).

Maar ook politici die menen dat iedereen haar of zijn eigen medisch dossier moet gaan inzien en beheren, of zorginstellingen, gemeentes en andere overheden die ervan uitgaan dat "secure e-mail" en/of andere "veilige E2EE" digitale communicatie mogelijk is met elke burger.

Kennelijk hebben beleidsmakers, maar ook veel "security experts" er geen idee van (of willen niet weten) wat de risico's hierbij zijn die gemiddelde internetters o.a. door onkunde, onwetendheid, desinteresse, oude hardware, niet (meer) bijgewerkte software, spyware en malware, lopen. En daardoor uiteindelijk de samenleving als geheel.

Dat misverstand ontstaat m.i. doordat veel te veel mensen bij E2EE denken dat zowel de verzender als de ontvanger van noodzakelijkerwijs vertrouwelijke, authentieke en qua integriteit betrouwbare informatie, niemand anders kunnen zijn dan zij en/of hij zeggen te zijn. Want minstens "RSA-2048" en "AES-128-niet-ECB-Penguin", what could possibly go wrong?

Live authenticatie is al knap lastig (https://nos.nl/artikel/2445277-opnieuw-haagse-ambtenaar-verdacht-van-het-uitgeven-valse-id-bewijzen), maar dergelijke risico's verbleken bij het aanvalsoppervlak als twee partijen online betrouwbaar (BIV) proberen te communiceren.
25-09-2022, 17:26 door Anoniem
Alleen het CDA, ChristenUnie en de SGP stemden tegen.

Waarom is het Nederlandse christenvolk zo unaniem tegen privacy en bescherming van de burger tegen de overheid? Klinkt alsof het tijd is om meer aan te dringen op de scheiding van kerk en staat en de uitzonderingspositie van religie nog eens goed onder de loep te nemen.
25-09-2022, 18:25 door Anoniem
Door Erik van Straten:
24-09-2022, 16:48 door Anoniem:
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.

En devices kunnen de benodigde sleutels niet ontgrendelen zonder pin of passphrase die alleen jij kent.
Dat is de theorie en/of wordt gebruikers wijsgemaakt, waarbij de verwachtingen verkeerd kunnen zijn. "E2EE" kan betekenen dat software ontvangen berichten automatisch ontsleutelt en in die staat opslaat, ook als jouw scherm gelocked is (los van hoe veilig unlocken plaats kan vinden).

Bijvoorbeeld in smartphone back-ups op iCloud en Google Drive lijken WhatsApp berichten by default niet versleuteld te zijn (https://faq.whatsapp.com/general/chats/how-to-turn-on-and-turn-off-end-to-end-encrypted-backup/?lang=nl).

En als bijlagen zoals foto's en filmpjes überhaupt "E2EE" worden verzonden, kun je er in sommige chat-apps voor kiezen om die, buiten de omgeving van de beschermende app op jouw device te zetten - zodat je ze bijvoorbeeld in jouw "gallery" ziet. Met alle risico's van dien, zowel voor verzenders als ontvangers (voorbeeld: https://tweakers.net/nieuws/200134/google-weigert-fout-toe-te-geven-tegen-vader-die-fotos-nam-van-infectie-kind.html).

Daarnaast heb je duidelijk mijn punten 2 en 3 niet gelezen.

M.b.t. punt 3: je zult alle software op een apparaat, die potentieel toegang heeft tot jouw onversleutelde communicatie (die -vanwege mijn punt 1- noodzakelijkerwijs op dat apparaat ontsleuteld wordt, ook al is dat tijdelijk) moeten vertrouwen. En daarbij gaat het meestal om veel meer software dan de meeste mensen vermoeden.

Nee. Maar ik zie het misverstand al. Er wordt veel gerefereerd aan Whatsapp. Whatsapp is (misschien) wel (een vorm van) e2ee, maar e2ee is niet Whatsapp. Ik ken die software trouwens niet maar als het van Facebook is dan is het toch wel einde oefening.

Ik heb het over dingen zoals GPG op GNU/Linux en daar is - doorgaans, want je kunt het ook aan TPM koppellen - encryptie gekoppeld aan versleuteling met passphrases (menselijke input). Daar hoef je ook niet alle software te vertrouwen want alles gaat via gpg-agent/gpg (en dat kun je op kernel niveau handhaven). Maw. alleen GPG heeft toegang tot sleutel materiaal, maar heeft daar nog steeds een passphrase van de gebruiker voor nodig.

Ook andere genoemde dingen als keylogging zijn daar (vaak) niet van toepassing (tenzij je een onbeveiligde X server gebruikt).
25-09-2022, 22:29 door Anoniem
Door Anoniem:
Alleen het CDA, ChristenUnie en de SGP stemden tegen.
Waarom is het Nederlandse christenvolk zo unaniem tegen privacy en bescherming van de burger tegen de overheid? Klinkt alsof het tijd is om meer aan te dringen op de scheiding van kerk en staat en de uitzonderingspositie van religie nog eens goed onder de loep te nemen.
Dus jij wou de christelijke motieven die mensen kunnen hebben om politiek te bedrijven afschaffen? Omdat je jouw eigen motieven beter vindt?
Er bestaat nog steeds vrijheid om politiek te bedrijven vanuit verschillende motieven, zelfs wanneer die motieven bestaan uit louter machtswil of egoïsme.
25-09-2022, 23:28 door Anoniem
Erik van Straten komt met een paar ijzersterke feiten op de proppen.

Lees dus tussen de overheidssignalen door om door te hebben, waar men feitelijk op uit is.

Of is de usance waar Snowden het over had ineens losgelaten of worden deze premissen op andere wijzen geborgd?

Wat betekenen de vertaalopties in browsers (o.a. Google translate) in het kader van het omzeilen van encryptie beveiliging.
Het opschonen van URLs is m.i. geen overbodige luxe.

luntrus
26-09-2022, 00:29 door Erik van Straten - Bijgewerkt: 26-09-2022, 00:31
Door Anoniem:
Door Erik van Straten: En als bijlagen zoals foto's en filmpjes überhaupt "E2EE" worden verzonden, kun je er in sommige chat-apps voor kiezen om die, buiten de omgeving van de beschermende app op jouw device te zetten - zodat je ze bijvoorbeeld in jouw "gallery" ziet. Met alle risico's van dien, zowel voor verzenders als ontvangers (voorbeeld: https://tweakers.net/nieuws/200134/google-weigert-fout-toe-te-geven-tegen-vader-die-fotos-nam-van-infectie-kind.html).

Daarnaast heb je duidelijk mijn punten 2 en 3 niet gelezen.

M.b.t. punt 3: je zult alle software op een apparaat, die potentieel toegang heeft tot jouw onversleutelde communicatie (die -vanwege mijn punt 1- noodzakelijkerwijs op dat apparaat ontsleuteld wordt, ook al is dat tijdelijk) moeten vertrouwen. En daarbij gaat het meestal om veel meer software dan de meeste mensen vermoeden.

Nee. Maar ik zie het misverstand al. Er wordt veel gerefereerd aan Whatsapp. Whatsapp is (misschien) wel (een vorm van) e2ee, maar e2ee is niet Whatsapp. Ik ken die software trouwens niet maar als het van Facebook is dan is het toch wel einde oefening.
Ik gebruikte WhatsApp in één van de voorbeelden omdat (helaas) bijna elke Nederlander dat gebruikt, maar de problemen zijn allerminst beperkt tot producten van Meta.

Zelfs in het theoretische geval dat ook jouw huisarts GPG gebruikt, en je naar haar of hem een foto mailt, bestaat er een kans dat die foto -onversleuteld- in een cloud-backup van jouw huisarts belandt (of zelfs op straat: https://security.nl/posting/767717). Bovendien kun jij die foto met een smartphone hebben gemaakt.

Wat ik bedoelde duidelijk te maken is dat jij informatie, zoals een beeld dat jij waarneemt (bijv. van jouw zoontje met een ontsteking op of bij zijn geslachtsdeel), niet in jouw hoofd kunt versleutelen, die versleutelde informatie op de een of andere wijze digitaliseren (bijvoorbeeld invoeren als BASE64), via internet verzenden naar jouw huisarts met wie je op veilige wijze (knap lastig) een symmetrische sleutel hebt gedeeld, en die huisarts het omgekeerde doet om in diens hoofd een beeld te vormen van wat jouw zoontje mankeert.

Oftewel: zelfs als je het transport van digitale informatie veilig krijgt, dek je maar een deel van de risico's af omdat ook niet-versleutelde informatie op apparaten van verzender en ontvanger staat, ook al is dat slechts tijdelijk. Wie hebben jouw schermdriver geprogrammeerd? En jouw mail-client? Kunnen er screenshots worden gemaakt? Is het ondenkbaar dat er kwaadaardige software op jouw systeem staat of komt en root-privileges weet te verkrijgen? Wie kijkt er mee over jouw schouder, mogelijk door een verrekijker aan de overkant van de straat?

Daarbij, zelfs als een communicatieprotocol cryptografisch goed in elkaar lijkt te zitten, kun je niet uitsluiten dat derden versleuteld uitgewisselde informatie toch blijken te kunnen ontsleutelen, zie bijv. https://www.security.nl/posting/696114/%22Cryptotelefoons+EncroChat+maakten+gebruik+van+Signal-protocol%22.

Door Anoniem: Ik heb het over dingen zoals GPG op GNU/Linux en daar is - doorgaans, want je kunt het ook aan TPM koppellen - encryptie gekoppeld aan versleuteling met passphrases (menselijke input). Daar hoef je ook niet alle software te vertrouwen want alles gaat via gpg-agent/gpg (en dat kun je op kernel niveau handhaven). Maw. alleen GPG heeft toegang tot sleutel materiaal, maar heeft daar nog steeds een passphrase van de gebruiker voor nodig.
Los van dat bijna niemand dit gebruikt en de bovengenoemde risico's: je negeert mijn punt 2.

Als ik weet wie jij bent en jouw e-mail adres ken, kan ik een asymmetrisch sleutelpaar genereren (feitelijk 2, 1 voor signing en 1 voor encryption) als ware die van jou en de public key(s) op keyservers publiceren (voordat ik dat doe kan ik mogelijk bekenden van jou misleiden om die public keys te ondertekenen) en/of naar jouw bekende mailen "hierbij mijn nieuwe public key". Vervolgens kunnen allerlei mensen jou daar versleutelde berichten mee sturen - die jij niet kunt ontsleutelen (en die ik hoogstwaarschijnlijk nooit ontvang, tenzij ik die derden tevens een ander e-mailadres heb kunnen wijsmaken).

Dit is geen theoretische aanval; in 2015 overkwam dit Jürgen Schmidt, security-redacteur van het Duitse tijdschrift c't. Helaas zit het artikel grotendeels achter een paywall (https://www.heise.de/select/ct/archiv/2015/6/seite-160), maar - you get the idea.

Knap vervelend, want het zijn niet zijn sleutels, dus kan hij ze niet zelf intrekken. En omdat er geen trusted third party is, zoals bij (semi-) commerciële X.509 certificaten, kan niemand dat (behalve de aanvaller). Niet dat revocation altijd goed en betrouwbaar werkt bij genoemde certificaten, maar in elk geval hebben die een beperkte geldigheidsduur.

Echter, versleuteling is hier niet het grootste probleem: ik kan e-mails verzenden die door jou ondertekend lijken te zijn (naast dat ik die mails desgewenst kan versleutelen met de public key van de ontvanger). Natuurlijk zouden DMARC en dergelijke kunnen helpen tegen deze vorm van spoofing, maar dat is in de paktijk onbetrouwbaar. Bovendien was nou net één van de beloftes van PGP/GPG dat zij authenticiteit zouden bewijzen - desgewenst tot op niveau van een individu in plaats van een afzenderdomein (dat enorm veel individuen kan "herbergen").

Natuurlijk is dit niet de schuld van PGP/GPG, maar van mensen die het niet snappen. Omdat bijna niemand GPG/PGP voldoende snapt (van wie is die key echt versus "het is versleuteld dus veilig") is deze communicatievorm ongeschikt voor brede inzet.

Behalve dat je maar met weinigen middels GPG kunt communiceren, ben je dus ook nog eens afhankelijk van hun begrip daarvan. En daarnaast zou ik mij niet zo onaantastbaar voelen (denk o.a. aan Encrochat, maar ook aan gehackte accounts van vertrouwde softwareontwikkelaars).
26-09-2022, 06:14 door Anoniem
Wat doet eigenlijk encryptie er nog toe, als de EU de vrijheid van meningsuiting wil beperken over zaken,
waar geen kritiek op geuit mag worden.

Het grenst aan Orwelliaanse newspeak soms of de geschiedenis herhaalt zich,
met het veroordelen van opkomend nationalisme in Europa.

Dit wordt graag benoemd als populisme en soms zelfs als fascisten.
De hedendaagse neo-fascist veroordeelt graag de opponenten van fascisme.

De meeste tijd voor de eindgebruiker krijgt deze ads voorgeschoteld als tie ze al niet blokkeert.

Waar is het Internet van rond 2000 gebleven?
Waar komt de enorme surveillance en monitoring behoefte t.a.v. de burger vandaan?
De enorme drang tot digitaliserende betutteling en inperking? Pandemie, CO2 voetprint, energie-bezuinigen, vleesvervangend dieet, rookverboden, commercieel verplichten, personeelstekorten, inflatie,
verarming geestelijk en materieel.
Met aan de andere kant giga winsten voor een hele kleine groep bevoorrechten.

Opnieuw vecht deze tegen het Europese "Edom" dezer dagen. De geschiedenis herhaalt zich steeds met iets andere accenten, maar toch.

Willen we de waarheid nog onder ogen zien of rennen we er allemaal verontwaardig voor weg?
26-09-2022, 07:51 door Anoniem
En wat doen overheden dan tegen het volgende gevaar?

Re: https://www.infosecurity-magazine.com/news/retail-tracking-and-privacy-crypto/

Zitten ze niet allemaal in de zak van de grootcommercie?
Iemand? Erik misschien?

luntrus
26-09-2022, 08:37 door _R0N_
Door Anoniem:
Door Erik van Straten: 1) End-to-End encryptie bestaat niet (mensen kunnen de bij moderne cryptografie gebruikte berekeningen niet uitvoeren). Bedoeld wordt End-Device-to-End-Device encryptie.

En devices kunnen de benodigde sleutels niet ontgrendelen zonder pin of passphrase die alleen jij kent.

Dat is niet helemaal waar.
End-to-end encryptie is alleen veilig als jij de beschikking hebt over de keys. In de gevallen waar het hier over gaat zoals WhatsApp en andere chat programa's heb je zelf geen toegang tot de keys maar is de leverancier de eigenaar van die keys. Doordat zij de keys bezitten hebben zij ook toegang tot je gesprekken.
26-09-2022, 10:50 door Saph
Dus ondertussen blijven ze onderzoek doen naar hoe ze kunnen inbreken.
26-09-2022, 10:53 door Erik van Straten - Bijgewerkt: 26-09-2022, 11:00
Door _R0N_: In de gevallen waar het hier over gaat zoals WhatsApp en andere chat programa's heb je zelf geen toegang tot de keys maar is de leverancier de eigenaar van die keys.
Volgens de meeste chat-app-makers is dat niet waar, zij zijn niet de eigenaar van die keys. Wel is dit een kwestie van vertrouwen.

Die keys worden -naar verluidt- op jouw device gegenereerd, en als de softwaremaker zich aan haar belofte houdt, komen die keys nooit in haar bezit en zal haar software jouw onversleutelde communicatie nooit naar hen of naar derden lekken. Tenzij...

Wat kan is dat een ontvanger van een ongewenst bericht van jou dat bericht met klacht doorstuurt naar de softwaremaker, of dat veiligheidsdiensten eisen dat jij getapt wordt: wat er dan (per chat-app-maker) gebeurt, weet ik niet.

Er bestaan meer redenen tot zorg, met Whatsapp in enkele voorbeelden (naast dat Whatsapp jouw adresboek opeist):
https://www.security.nl/posting/765289/Malware+op+vervalste+Androidtelefoons+onderschept+WhatsApp-berichten

https://www.security.nl/posting/729709/Onderzoek+naar+versleutelde+back-ups+WhatsApp+leverde+meerdere+lekken+op

https://www.security.nl/posting/499791/Onderzoeker+waarschuwt+voor+backdoor+in+WhatsApp

Door _R0N_: End-to-end encryptie is alleen veilig als jij de beschikking hebt over de keys.
Dat is m.i. niet strikt noodzakelijk. Zowel in de situatie dat jij de sleutels zelf (extern) bewaart en elke keer invoert, als dat ze "door de software" (de opslagruimte daarvoor) of in een HSM of "secure enclave" worden bewaard (ongeacht of jij elke keer een passprase moet invoeren om ze vrij te geven), zul je -onvermijdelijk- erop moeten vertrouwen dat de software en hardware die deze sleutels gebruiken om informatie te versleutelen of te ontsleutelen en/of te ondertekenen/checken, die sleutels (en/of info) niet naar wie dan ook lekken.

Je zou kunnen argumenteren dat het voor de meeste mensen beter is als zij niet zelf hun sleutels "op een veilige plaats" hoeven te bewaren, maar dat hun device dat voor hen doet (waar ze uiteindelijk toch in terechtkomen). Zo voorkom je in elk geval dat sufferds sleutelparen naar anderen sturen. E.e.a. wel in de hoop dat ze geen domme dingen doen met hun devices (zoals https://www.security.nl/posting/769137/Touwtje+uit+de+brievenbus).

Overigens kan het ontzeggen van toegang tot hun eigen sleutels, zelfs in hun voordeel werken, zoals bij FIDO2 hardware keys en bij Passkeys. Omdat software+hardware die sleutels beheert en alleen gebruikt om in te loggen op een website als de domeinnaam exact klopt, en je de private sleutels zelf niet (eenvoudig) uit jouw devices kunt peuteren, is het -in elk geval in theorie- onmogelijk om je te laten overhalen om handmatig in te loggen op een phishing (proxy) website met een (iets) andere domeinnaam.
26-09-2022, 12:17 door Anoniem
Ik vind sowieso die hele discussie over of E2E nu wel of niet bestaat een onzinnige discussie. E2E is gewoon een techniek om data over niet vertrouwde verbindingen veilig tussen 2 of meerdere eindpunten te kunnen uitwisselen. Meer is het niet en we moeten er ook niet meer van maken. Waar imho de hele discussie echt over gaat (of eerder over zou moeten gaan) is het vertrouwen en de waarborgen die er moeten zijn wanneer we van technieken als E2E gebruik willen maken. Sleutelbeheer is daar 1 van maar ook identificatie/autorisatie en monitoring van de datastromen zijn belangrijke items. Een E2E tunnel is in feite maar een dom iets, het beveiligd in feite alleen de data in transit zonder iets met de data zelf te doen. Het transport is 'beveiligd' (even afhankelijk wie daarvan de sleutels beheerd en of deze te vertrouwen is) maar de data zelf is gewoon nog in te zien want die is niet versleuteld binnen de tunnel. Ook zit daar geen CRC check op of de data die de tunnel ingaat nog dezelfde als de data die eruit komt. Dat zijn allemaal zaken die separaat geregeld moeten worden en daar zit mijns inziens de discussie en een wereld aan misvattingen in.
If its not your key its not your data zeggen we weleens en dat klopt als een bus. SLeutelbeheer kun je prima uitbesteden zonder dat je je eigen sleutels zelf hoeft te beheren. Maar ook hier weer gaat het om trust. Daarnaast moet er ook niet vergeten worden dat beide zijden van de E2E verbinding hun zaakjes qua beveiliging op orde moeten hebben. Ik zie geslaagde supply chain aanvallen die over een e2e verbinding plaatsvinden door aanvallers. Hoe dat kan is simpel, als bijvoorbeeld een leverancier van software via een E2E (een VPN bijvoorbeeld) binnenkomt bij een bedrijf om updates ed. uit te kunnen voeren en die leverancier wordt gehackt kan de aanvaller als legitieme gebruiker door de tunnel heen naar zijn werkelijke doel gaan zonder dat het doel dat kan zien want het is immers een legitieme gebruiker. Een 2FA token is bijvoorbeeld een hulpmiddel om dit soort zaken bijzonder lastig te maken maar dan ga ik alweer naar oplossingen toe.
Waar het op neer komt is dat er meer serieus over na moet worden gedacht hoe je gegevens separaat van de infrastructuur moet beveiligen en welke trusts je daarbij moet leggen. Zo zie ik een ontwikkeling die niet alleen de infra en het transport beveiligd maar die ook allerlei intelligente dingen doet met gegevens op basis van kenmerken. Zo zou je een extra laag in de beveiliging van gegevens aan kunnen brengen specifiek voor gegevens die geheim of vertrouwelijk zijn. De rest is gewoon standaard beveiligd maar deze specifieke gegevens kennen een eigen beveiligingslaag die alleen te gebruiken is door degene die echt iets met deze gegevens moet doen. Ieder ander ziet deze data niet en de bestanden zijn voor hen ook niet te openen of vernietigen zichzelf naar verloop van tijd.
Dat is volgens mij de weg waar we naar toe moeten maar ook bij deze vorm geldt nog steeds wie vertrouwen we wel en wie vertrouwen we niet. Ik kan een device volledig openbreken en daar ieder bestandje van scannen zodat ik aan het einde weet dat ik dat apparaat kan vertrouwen als het verbinding maakt met mijn netwerk. Maar wie zegt me dat de gebruiker, die ik ken, ook degene is die op een bepaald moment gebruik maakt van dat device? Met eigen uitgegeven apparaten kan ik dat via biometrie deels wel regelen (mits dat van de FG mag :) ) maar niet iedereen beschikt over zo'n device. Dat is en blijft nu eenmaal een groot dilemma wat iets is dat we wellicht nooit echt gaan oplossen tenzij we een device uit gaan geven wat een dnaprofiel bevat van de houder van het device en dat iedere keer checkt als deze het device gaat gebruiken. Maar dat is vrees ik een brug te ver qua privacy.
26-09-2022, 20:48 door Anoniem
Door Anoniem: (..) Maar wie zegt me dat de gebruiker, die ik ken, ook degene is die op een bepaald moment gebruik maakt van dat device? Met eigen uitgegeven apparaten kan ik dat via biometrie deels wel regelen (mits dat van de FG mag :) ) maar niet iedereen beschikt over zo'n device. Dat is en blijft nu eenmaal een groot dilemma wat iets is dat we wellicht nooit echt gaan oplossen tenzij we een device uit gaan geven wat een dnaprofiel bevat van de houder van het device en dat iedere keer checkt als deze het device gaat gebruiken. Maar dat is vrees ik een brug te ver qua privacy.
En een brug te kort voor security omdat alle biometrie gehackt kan worden.
27-09-2022, 07:51 door Anoniem
Door Anoniem:
Door Anoniem: (..) Maar wie zegt me dat de gebruiker, die ik ken, ook degene is die op een bepaald moment gebruik maakt van dat device? Met eigen uitgegeven apparaten kan ik dat via biometrie deels wel regelen (mits dat van de FG mag :) ) maar niet iedereen beschikt over zo'n device. Dat is en blijft nu eenmaal een groot dilemma wat iets is dat we wellicht nooit echt gaan oplossen tenzij we een device uit gaan geven wat een dnaprofiel bevat van de houder van het device en dat iedere keer checkt als deze het device gaat gebruiken. Maar dat is vrees ik een brug te ver qua privacy.
En een brug te kort voor security omdat alle biometrie gehackt kan worden.

Weleens gehoord van risico management? Dit soort onderwerpen moet je vanuit vanuit riskmanagement benaderen en een afweging maken van dreigingen en de mate waarin dit tot een risico kan leiden. Alles afschieten omdat het ooit gehackt kan worden draagt niet bij aan oplossingen die broodnodig zijn. Niet alle biometrie valt eenvoudig te hacken, daar is zeker een hele hoop kennis en tijd voor nodig en dat is ook een onderdeel van de potentiele dreiging die je in je beoordeling moet meenemen want niet iedere hacker is in staat om biometrie te kunnen kraken. Niet alles in Hollywood films is gebaseerd op realistische scenarios zeg maar.
27-09-2022, 17:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: (..) Maar wie zegt me dat de gebruiker, die ik ken, ook degene is die op een bepaald moment gebruik maakt van dat device? Met eigen uitgegeven apparaten kan ik dat via biometrie deels wel regelen (mits dat van de FG mag :) ) maar niet iedereen beschikt over zo'n device. Dat is en blijft nu eenmaal een groot dilemma wat iets is dat we wellicht nooit echt gaan oplossen tenzij we een device uit gaan geven wat een dnaprofiel bevat van de houder van het device en dat iedere keer checkt als deze het device gaat gebruiken. Maar dat is vrees ik een brug te ver qua privacy.
En een brug te kort voor security omdat alle biometrie gehackt kan worden.
Weleens gehoord van risico management? Dit soort onderwerpen moet je vanuit vanuit riskmanagement benaderen en een afweging maken van dreigingen en de mate waarin dit tot een risico kan leiden. Alles afschieten omdat het ooit gehackt kan worden draagt niet bij aan oplossingen die broodnodig zijn. Niet alle biometrie valt eenvoudig te hacken, daar is zeker een hele hoop kennis en tijd voor nodig en dat is ook een onderdeel van de potentiele dreiging die je in je beoordeling moet meenemen want niet iedere hacker is in staat om biometrie te kunnen kraken. Niet alles in Hollywood films is gebaseerd op realistische scenarios zeg maar.
Risicomanagement of niet, je moet verder kijken dan binnen één organisatie, namelijk naar wat er in de maatschappij gebeurt. En daar zien we de snel voortschrijdende ontwikkelingen in de cyberwereld, die vanuit criminele motieven worden geïnitieerd.
Zo zal alles wat met identiteitsfraude samenhangt toenemen omdat van één van de rijkste bevolkingen ter wereld, de Europese, steeds meer de hele administratie van burgers op internet komt te staan, een administratie waarvan het wel en wee van elke afzonderlijke burger, tevens eindgebruiker, afhangt. Hier valt heel veel geld te halen, wat op zijn beurt tot gigantische problemen voor de slachtoffers - potentieel elke burger - zal leiden omdat hij zijn biometrische dataset niet kan inruilen voor een andere.

Naarmate je de zekerheid van degene die het device gebruikt meer gaat verankeren in zijn biometrische gegevens zullen de gevaren voor de betreffende persoon groter worden. Dit komt doordat zowel deze gegevens zelf als de procedures om daar toegang toe te krijgen het doelwit worden van de georganiseerde misdaad (al dan niet door staten opgezet).
Eén van de grondpricipes van bescherming is, en dit geldt zowel voor vechtsporten als voor databeveiliging, om het aanvalsvlak te verkleinen oftewel, geef de tegenstander zo weinig mogelijk raakvlak om jou te treffen.
Biometrische data vergroten het raakvlak en wel op een zeer persoonlijke manier aangezien de biometrische gegevens gekoppeld zijn aan je lichaam, waar ieder maar één exemplaar van heeft.
En daar zit precies het probleem, een gegeven waarvan databeveiligers met tunnelvisie (en op surveillance verzotte overheden) graag de zonnige kant inzien: ja, hij zit vast, we hèbben hem, de legitieme devicegebruiker, de eindgebruiker, de burger! Het is een vorm van ketenen van de burger/eindgebruiker aan iets waaraan hij zich niet meer kan onttrekken. Wat de (voorlopige) zekerheid is voor de IT-er, is de ketting van de burger, en dat allemaal al als het "goed" gaat, dwz zolang als zowel de biometrische data als de toegangsprocedures er naartoe niet gecompromitteerd zijn (wat een toenemend probleem zal worden); in dit laatste geval komt er nog levensontwrichtende schade bij.

IT-ers moeten zich ervan bewust zijn dat hoe meer je de burger bij zijn kladden pakt (zijn lichaam) hoe meer dit hem zal ketenen aan machten die boven hem staan, de staat vooral. Het walhalla van de IT-er leidt linea recta naar het panopticum waar de burger in zit.
De heilzame richting binnen de digitalisering is niét om de eindgebruiker/ burger te ketenen aan een blok waar hij niet meer van los kan komen, maar om hem te voorzien van mogelijkheden waarvoor hij kan kiezen; zijn in biometrie gevatte lichaam valt daar niet onder. Die keuzemogelijkheid is een belangrijk element van vrijheid.
[Vroeger bestonden er alleen analoge handtekeningen, die in de loop van de tijd konden veranderen - iets wat mij recent overkomen is toen mijn bank mijn analoge handtekening afkeurde en die ik opnieuw moest laten valideren om nog te kunnen bankieren. Analoge handtekeningen kunnen opgevat worden als persoonsgebonden kunstwerkjes.]
Elke individuele burger moet beschermd worden tegen de toenemende invasie in zijn levensruimte, waarvan zijn lichaam het meest intieme en meest onvervreemdbare is. Dat moet zo blijven. Het lichaam is het laatste bastion van de vrijheid.

Het zou een goede zaak zijn wanneer burgers zich zouden verzetten tegen het moeten afstaan van hun met het blote oog niet zichtbare biometrische data (tot nu toe: vingerafdrukken). Als er ergens sprake is van eigendomsrecht van data dan is het hier.
Deze biometrische data zouden gezien moeten worden als behorende tot de integriteit van het menselijk lichaam, waaraan niemand mag komen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.