Je hebt het al vaker kunnen lezen hier op MacFreak, volledige versleuteling van begin tot eind (end-to-end encryption, of E2EE) is niet iets wat je een beetje kan toepassen. Een ‘geheime sleutel’ valt uiteindelijk altijd in de verkeerde handen, er zijn inmiddels teveel voorbeelden om op te noemen.

In maart van dit jaar kon je hier op MacFreak al lezen dat ze in het VK toch van plan waren om zo’n achterdeur verplicht te stellen, wat waarschijnlijk betekent dat niet alleen Signal en iMessage daar zullen verdwijnen, maar ook het daar erg populaire WhatsApp. Dit alles betekent niet dat ze in het VK zijn gaan inbinden, integendeel. Nieuwe aanpassingen aan het wetsvoorstel daar betekenen waarschijnlijk zelfs dat die niet meer conform internationale regels zal zijn.



Hoever de wetgever daar inmiddels wil gaan, en hoever ze dus ook van de realiteit verwijderd zijn, wordt goed geïllustreerd in deze passage:

Device manufacturers would likely also have to notify the government before making available important security updates that fix known vulnerabilities and keep devices secure. Accordingly, the Secretary of State, upon receiving such an advance notice, could now request operators to, for instance, abstain from patching security gaps to allow the government to maintain access for surveillance purposes.

De vertaling hiervan:

Fabrikanten van apparaten zouden de overheid waarschijnlijk ook op de hoogte moeten brengen voordat ze belangrijke beveiligingsupdates beschikbaar stellen die bekende kwetsbaarheden verhelpen en apparaten veilig houden. De minister zou dan, na ontvangst van een dergelijke voorafgaande kennisgeving, exploitanten kunnen vragen om bijvoorbeeld geen beveiligingslekken te patchen, zodat de overheid toegang kan houden voor bewakingsdoeleinden.

Met andere woorden, de wetgever in het VK lijkt inmiddels in een compleet andere wereld te leven dan de bedrijven die juist hun stinkende best doen om hackers voor te blijven, en de apparaten zo veilig mogelijk te houden.

Mocht het VK op deze koers doorgaan en dit wet worden, waar het op dit moment alle schijn van heeft, dan lijkt een frontale confrontatie onvermijdelijk.


Update: ook bij de wetgever in het VK is inmiddels doorgedrongen dat dit wetsvoorstel helemaal niet mogelijk en niet houdbaar was. Het is dan ook weer (voor onbepaalde tijd) ingetrokken.

https://twitter.com/OpenRightsGroup/status/1699450898680873364



#Privacy

Lekker op hun eiland laten zitten!

Mocht het VK op deze koers doorgaan en dit wet worden, waar het op dit moment alle schijn van heeft, dan lijkt een frontale confrontatie onvermijdelijk.

Frontale confrontatie met wie? De genoemde bedrijven? De eigen bevolking? Europa? De VS?

- De bedrijven zijn enkel uit op omzet maken. Privacy is daarbij niet meer en niet minder dan een verkoopargument. Wanneer de overheid beperkingen oplegt zullen ze zich daar al dan niet morrend aan conformeren.

- De burger zal boze gezichten trekken en hier en daar er tegen demonstreren. Het hangt van het verhaal van de overheid af hoelang dit stand houdt. Uiteindelijk wordt het dan toch doorgevoerd. Kijk daarvoor wat er in het democratische Israël gebeurt.

- Europa. We weten ondertussen dat het VK zich totaal niets aantrekt van het vaste land. De VK denkt het beter te weten en gaat zijn eigen weg.

- De VS. Wanneer Trump een tweede termijn krijgt zal hij dit juist aanmoedigen en wellicht zelfs in eigen land willen doorvoeren. Blijft het Biden dan zullen er afkeurende geluiden te horen zijn. Er wordt echter niets aan gedaan omdat enerzijds het VK een bevriende staat is en anderzijds de verschillende eigen diensten er dezelfde praktijken op nahouden in het kader van de Nationale Veiligheid.

Het is mij dan ook niet duidelijk met wie die frontale confrontatie moet gaan plaatsvinden.

de wetgever in het VK lijkt inmiddels in een compleet andere wereld te leven

Dat doen ze al minstens sinds 23 juni 2016.

Lekker op hun eiland laten zitten!

Mogelijk dat het VK hier als test-case kan fungeren, want ook in de EU klinken populistische stemmen om hiervoor te kiezen.

Populistisch, want het is makkelijk om de met pedofielen en terroristen je argument te maken, terwijl die allebei veel beter op andere manieren op te sporen zijn (en dat weet ieder goed ingevoerd politicus, of de populisten altijd goed ingevoerd zijn is een tweede, maar dat lijkt me een discussie die beter in dit draadje gevoerd kan worden).

Frontale confrontatie met wie? De genoemde bedrijven? De eigen bevolking? Europa? De VS?

- De bedrijven zijn enkel uit op omzet maken. Privacy is daarbij niet meer en niet minder dan een verkoopargument. Wanneer de overheid beperkingen oplegt zullen ze zich daar al dan niet morrend aan conformeren.

Het is een misverstand dat alle bedrijven tegen alle voorwaarden zaken willen doen. Want privacy mag dan "een verkoopargument" zijn, voor veel partijen is E2EE wel een essentiële marketingbelofte in een veld met veel concurrentie. Daarmee wordt het dus ook een belangrijk verkoopargument, dat je niet zomaar zonder gevolgen opzij kunt schuiven. Zeker als je rare sprongen moet maken uitsluitend voor een relatief klein land als het VK. Je zou misschien nog een aparte UK-versie van Whatsapp kunnen uitbrengen, hoewel ook dat lastig is.

Maar ik vermoed niet dat het vertragen van security patches bespreekbaar is, omdat je je daarmee blootstelt aan juridische problemen in andere markten (vooral de VS). Om al die redenen denk ik dat de uitkomst toch zal zijn dat een aantal bedrijven zich van de Britse markt terugtrekt.

Om al die redenen denk ik dat de uitkomst toch zal zijn dat een aantal bedrijven zich van de Britse markt terugtrekt.

Mogelijk heb je hier gelijk in. Uit de recente geschiedenis blijkt dat vooral de wat grotere bedrijven er uiteindelijk voor kiezen om zich te conformeren. Daarbij denk ik bijvoorbeeld aan Apple in China.

Het zou in het VK dan ook een mix kunnen worden van vertrekkende en zich conformerende partijen. Of dat enig verschil zal maken in de toegepaste wetgeving betwijfel ik. Immers, na een korte periode van onrust en ongenoegen is het daarna al gauw 'business as usual'.

Populistisch, want het is makkelijk om de met pedofielen en terroristen je argument te maken...

Het maakt dergelijke argumenten niet minder relevant.

Vergeet ook niet de 'gewone' drugscriminelen. Dit is een relatief grote en ook zeer gevaarlijke groep welke graag gebruik maakt van versleutelde communicatie.

Hadden we wel een Marengo proces gehad wanneer de berichten op Eurochat niet gedecodeerd hadden kunnen worden?

Hadden we wel een Marengo proces gehad wanneer de berichten op Eurochat niet gedecodeerd hadden kunnen worden?

Volgens mij is de vraag hier of we een Marengo proces hadden gehad als er een 'achterdeur' in WhatsApp, Signal of iMessage gezeten had (antwoord is natuurlijk nee, zelf nu werden die kanalen niet vertrouwd, dan al helemaal niet meer).

Maar véél belangrijker is dit citaat uit het nieuwsbericht:

Device manufacturers would likely also have to notify the government before making available important security updates that fix known vulnerabilities and keep devices secure. Accordingly, the Secretary of State, upon receiving such an advance notice, could now request operators to, for instance, abstain from patching security gaps to allow the government to maintain access for surveillance purposes.

Let op, daar staat "important security updates that fix known vulnerabilities and keep devices secure."

En dat gaat dus helemaal niet meer 'alleen' om apps als WhatsApp, Signal of iMessage, maar ook om veiligheidsupdates voor macOS, iOS, Windows, Android, etc. etc.

Volgens mij is de vraag hier of we een Marengo proces hadden gehad als er een 'achterdeur' in WhatsApp, Signal of iMessage gezeten had (antwoord is natuurlijk nee, zelf nu werden die kanalen niet vertrouwd, dan al helemaal niet meer).

Door het beantwoorden van een andere vraag ga je voorbij aan de essentie van mijn punt: dat een versleuteling doorbroken is heeft het Marengo proces mede mogelijk gemaakt.

Daarnaast zijn er ook heel wat kwaadwillende figuren die wel degelijk van de door jou genoemde apps gebruik maken. Ik denk daarbij ook aan de kleinere criminaliteit zoals b.v. de bekende Whatsapp fraude.

Wanneer daar meer justitiële controle over is verwacht ik dat het ze een stuk lastiger gemaakt wordt. Berichten kunnen onderscheppen en ontsleutelen is een sterk ontregelende factor.

Jij slaat weer eens een zijweg in. Criminelen gebruiken geen signal of whatsapp om te communiceren, terwijl daar wel end to end incriptie voor bestaat.
Daarmee is je argument onjuist om de overheid juist wel een sleutel in handen te geven van juist deze apps.

Criminelen gebruiken geen signal of whatsapp om te communiceren

Hoe weet je dat?

Dag Sluisje.

Kruimeldieven gebruiken WhatsApp. Georganiseerde misdaad gebruikt eigen communicatie die ze vertrouwen. Dat is soms onterecht, wat dan voor de misdaadbestrijding goed uitkomt. En sommigen communiceren helemaal niet digitaal.

Volgens mij maakt anraadts hier een goed punt, wij lijken te blijven steken in een discussie over chat-apps, terwijl deze wetgeving nog veel breder is.

Als zelfs systeemupdates om lekken te dichten eerst langs het VK moeten (en langs welke andere landen later ook nog) dan worden onze besturingssystemen zo lek als een mandje.

Lijkt me dat geen zinnig mens daar op zit te wachten, ik in ieder geval niet.

... dan worden onze besturingssystemen zo lek als een mandje.

Dat zijn ze al. Vandaar al die beveiligingsupdates.

Je hebt gelijk hoor sluisje maar het zou ook wel iets minder kunnen.

Even weer on-topic: anraadts slaat de spijker op zijn kop met het citaat over beveiligingsupdates.

Geheel mee eens dat dit een onzinnig plan is. Elk communicatiemiddel waarin bewust achterdeurtjes worden gecreëerd, of waarin gaten niet worden gedicht, zullen door criminelen worden vermeden.

Wat het Marengo proces volgens mij juist laat zien is dat misdaadbestrijding juist succesvol is als je een communicatiemiddel weet te kraken waarvan het misdaadgilde dacht dat het veilig was. En dat doe je niet door bewust gaten te creëren in systemen die iedereen gebruikt.

Wat het Marengo proces volgens mij juist laat zien is dat misdaadbestrijding juist succesvol is als je een communicatiemiddel weet te kraken waarvan het misdaadgilde dacht dat het veilig was.

En hoe zorg je ervoor dat je een communicatiemiddel kunt kraken? Gok je erop dat het iedere keer toch weer lukt of leg je wettelijk de medewerking van de leverancier vast?

Ik zou het persoonlijk geen gokken willen noemen, maar het steeds opnieuw kraken van systemen die door de criminele gebruikers veilig worden geacht is volgens mij toch echt de enige oplossing. Zodra je wettelijk vast legt dat er afspraken moeten worden gemaakt, dan weten deze gebruikers dat deze systemen niet veilig voor hun zijn. En dus zullen ze weer iets anders kiezen. Waarschijnlijk van leveranciers die zichzelf ook al niet aan de wet houden. En op wie de "afspraken" dus geen effect hebben.

Of denk jij dat criminelen eender welk systeem blijven gebruiken dat zich aan een dergelijke wet houdt?

Nee, dat denk ik niet. Een migratie naar illegale aanbieders geeft wél de mogelijkheid om het hele netwerk op te rollen en zo het net steeds verder te laten sluiten.

Wanneer je gokt dat je telkens weer de communicatie kunt kraken blijft het dweilen met de kraan open, waarbij de legale aanbieders je ook nog eens dwarszitten.

Dit houdt in dat er nog veel meer bronnen zullen moeten worden ingezet om enig grip te verkrijgen. Justitie moet slimmer zijn en meer mensen en financiën inzetten dan én de criminelen én de techbedrijven. En juist omdat dit niet mogelijk blijkt moet je het over een andere boeg proberen.

Wij verschillen van visie/mening. Maar dat mag gelukkig.

En dat doe je niet door bewust gaten te creëren in systemen die iedereen gebruikt.

. . . Want dan weet je zeker dat criminelen ze gaan mijden.
Een crimineel zal nooit telefonisch gevoelige zaken open en bloot bespreken, want hij weet dat er iemand mee kan/mag luisteren.
Ergo: achterdeurtjes helpen niet of nauwelijks.

VK blijkt nog veel verder te willen gaan bij regulering versleuteling (Upd.)

Helemaal eens met Robert's artikel en opmerkingen daarin. Met een belangrijke, trieste, kanttekening: in een zekere mate is dit al (helaas) de ongeschreven realiteit ... De mate waarin overheden, en vlak hierbij zowel de Nederlandse, Amerikaanse, Duitse, maar ook bijvoorbeeld de Noorse en zelfs Zwitserse autoriteiten niet uit.

De mate van controle verschilt bijzonder veel tussen de landen, evenals wat met bevraagt of (min of meer) "afdwingt" van tech-aanbieders. Maar als ik naar de gesprekken kijk in dit kader van - pak en beet - 24 maanden zie ik een duidelijke (verdere) verschuiving richting de privacy afgrond.

In deze "Armagadon" zit overigens Apple, met zijn gebruikers, net zo hard gevangen als de rest. Bestuurlijk technisch snap ik de overheidsinstanties prima, "technologisch" bezien, zie ik ook de mogelijkheden, maar ook de onmogelijkheden hierin ... Persoonlijk, lees: privaatrechtelijk, krijg ik jeuk van dergelijke denkwijzes en ben ik den eigen mening toegedaan dat het Westen (helaas) zichzelf meer en meer beweegt richting het "communale denken", met bijbehorende gecentraliseerd bestuur en controlerende macht. En neen, niet de (juridische) macht, maar feitelijk vooral de "burger controlerend" (en belerend).

Dit is vooral merkbaar in Technologie, omdat dit een communicatieplatform biedt. En een communicatieplatform kan dus ook een zekere vrijheid bieden en er zijn (technische) aanduidingen mogelijk in de bewegingsvrijheden van burgers.

Dit betekend dat je aan de hand van technische mogelijkheden (of onmogelijkheden) ook een grove, voorzichtige, uitspraak kunt doen over bepaalde (burger)rechten. Immers, bepaalde communicatiemechanismen kunnen verboden zijn (denk aan Myamar, China, Iran, etc), afgezwakt zijn of ... onderhavig zijn aan verzwaard toezicht of zelfs "politiek correcte" tegenwerking ...

... zie hier een voorbeeld 😢

Er is een update bij dit nieuwsbericht gezet.