Absoluut onkraakbare e-mail: gewenst?

[Peter Laroche]

Hello all,

 

Er ligt sinds 2004 een encryptie-techniek in m'n bovenste bureaula die op uiterst eenvoudige wijze absolute privacy kan bieden in e-mail conversaties, maar aangezien er best een paar centen inmoeten heb ik het nog even laten liggen. Tegelijkertijd is er wereldwijd een steeds maar voortschrijdende wens (vanuit de overheden) om zoveel mogelijk electronische informatie te verzamelen (hoe nutteloos in sommige gevallen ook, de bewaarplicht is daar het meest bekende voorbeeld van) dus ik wil toch graag toetsen voor ik investeer of er interesse bestaat en leg de casus derhalve aan jullie voor:

 

Product: absolute privacy v.w.b. e-mail conversaties, maar voor gebruikers stukken eenvoudiger dan hetgeen nu verkrijgbaar is (Izecom et cetera). Er wordt dus ook niet met (wel degelijk kraakbare) S/MIME of certificaten gewerkt. Bij "onze" toepassing download een gebruiker een kleine applicatie (source wordt openbaar gemaakt) en verandert eventueel een paar eenvoudige instellingen. Encryptie vindt vervolgens automatisch plaats bij verzending, decryptie bij ontvangst en sleutelbeheer wordt automatisch afgehandeld ("oma-proof"; gebruiker hoeft dus niets te doen)

 

Techniek: niet zo relevant voor de vraagstelling, maar deze wordt uiteraard openbaar gemaakt zodra we zouden gaan lanceren (zodat bewijs ook inzichtelijk is voor gebruikers). Kern: absoluut onbreekbaar in de komende 34,92 miljoen jaar (wiskundig bewezen door diverse hoogleraren). Sleutelbeheer uiteraard op externe drager te zetten voor extra veiligheid (bijv. USB), desnoods te combineren met 2 sleutels (dus bericht uitsluitend leesbaar door toestemming van 2 mensen).

 

SWOT:

 

S: Unieke combinatie van technieken, patenteerbaar, maakt encryptie eindelijk mainstream, techniek relatief makkelijk te begrijpen en bewijzen, relatief kleine investering, zelfs met gestolen sleutels geen inzicht in eerdere communicaties

W: Onbekende factor: Begrijpt de wereld wel dat e-mail open en bloot leesbaar is voor iedere systeembeheerder op de zaak en bij de ISP's? Is de wereld toe aan absolute privacy?

O: Bijzonder eenvoudige wereldwijde uitrol na eerste lokale gebruikers, mainstream afhankelijkheid (a la Google)

T: Overheden gaan stuiteren (en da's eigenlijk waarom ik het heb laten liggen, eerlijkheidshalve)

 

Lancering:

 

-- Time-to-market ca. 4 maanden na start, investering ergens rond de 40k (+ operationeel 15k/maand)

-- Gebruikers: in eerste instantie vnl. advocatenkantoren (met dank aan OM stuntjes de laatste tijd), overheid zelf, octrooibureau's, keuze genoeg.

-- Grote publiek: natte vingerwerk, maar geschat uiteindelijk max (1 op 200 internetters: iedereen heeft wel 'ns iets uiterst confidentieels te melden) 0.5% breedbanders (maar wereldwijd zijn dat er dan nog steeds 5 miljoen).

 

Vragen:

 

(geloof bij de beantwoording even dat de onkraakbaarheid al bewezen is, anders zou ik e.e.a. niet eens hebben durven posten):

 

-- Zouden jullie het gaan gebruiken? Waarom wel of niet?

-- Indien wel; zou een tarief van 10 euro per jaar die beslissing veranderen?

-- Indien niet; bij ontvangen versleuteld en onleesbaar bericht: zou je het gaan proberen?

 

Met bijzondere dank voor alle input,

Groet,

Peter

[R.I.P. - Benm]

Om antwoord te geven op de vraag: Ik zou niet weten waarom ik het prive nodig zou hebben en zakelijk al helemaal niet. Temeer omdat ik het vermoeden heb dat mijn relaties de wenkbrauwen zullen fronsen als ik zou aankondigen dat ik gebruik ga maken van beveiligde/gecodeerde e-mail.

 

Eerlijkgezegd denk ik dat hier een enorm stuk onwetendheid een rol speelt - niet bij jou specifiek, maar wel bij gebruikers van e-mail in het algemeen.

 

Hoeveel mensen zouden zich realiseren dat al hun email zeer eenvoudig meegelezen kan worden vanaf iedere machine in het pad van verzender naar ontvanger? Alles wat je per e-mail stuurt zou je feitelijk ook comfortabel op een briefkaart (zonder enveloppe) moeten kunnen sturen... ook daar kunnen postbodes, sorteerders en dergelijke alles meelezen, feitelijk een heel vergelijkbare situatie met gangbare e-mail.

 

Als het brede publiek zich hier bewuster van was denk ik dat de uitrol van beveiligde email een veel grotere kans zou hebben...

[Not to be taken seriously]

...

[Norbert Bakker]

Dit draadje is onderhand een kneuzen en reuzen festival geworden; trieste zaak?

En ik noem het verder opmerkelijk, dat hier op HL, de laatste tijd herhaaldelijk serieuze kwesties al snel met ridicuul en spot tegemoet worden getreden. Er is dan dikwijls wel erg snel een oordeel klaar, zonder dat er ook maar een seconde dieper is nagedacht.

 

Zeker trieste zaak, waarin ik ook mijn eigen moment van zwakte had (geen reuzen of kneuzen overigens, maar mijn reactie op de PM van Topicstarter). Maar het komt dan ook niet iedere dag voor dat iemand je per PM uitmaakt voor dommig en "duidelijk geen verstand van zaken" omdat ik durf te twijfelen aan een vermeend 100% wiskundig bewezen stelling dat die zelfde wiskundige wetenschap de komende 34,92 miljoen jaar niet nog zo'n dergelijke doorbraak kan forceren.

 

Nee daarvoor hoeft je geen 20 jaar in de IT hebben gezeten zoals Topicstarter. Zelfs geen 10 jaar expertise in de informatiebeveiliging, genootschap voor informatiebeveiliging en universitair docent Risicomanagement te zijn: het is gewoon elementaire logica dat je geen - al dan niet wiskundig bewezen - beweringen kunt en moet doen over toekomstige wetenschappelijke ontwikkelingen, en zeker niet over een zo absurde tijdspanne als 34,92 miljoen jaar. Tot nu toe kon iedere tijdspanne vroeg of laat toch verkort worden, o.a. door het parrallel benutten van rekenkracht. Als dit op dit algoritme ook van toepassing is (of door toekomstige wetenschappelijke doorbraken mogelijk wordt) is uiteindelijk ook dit algoritme te kraken, alleen tegen mogelijk absurd hoge kosten. En dat is m.i. de essentie van encryptie-veiligheid: niet dat het per definitie onkraakbaar is, maar dat er een extreem hoge drempel qua tijd en/of kosten is.

 

En het is ook doorgeslagen marketing taal. Natuurlijk bekt "de komende 35 miljoen jaar onkraakbaar" beter dan "de komende 10 jaar met aan zekerheid grenzende waarschijnlijkheid onkraakbaar". En toch is dat laatste meer dan genoeg voor mensen die er gebruik van willen of moeten maken. Over 10 jaar zien we wel weer verder met andere technieken, zoals quantumencryptie.

 

Jammer is het ook omdat uit het oorspronkelijke topic (met een vermeend aluhoedjes karakter) een paar veel interessantere discussies naar voren zijn gekomen die m.i. best een eigen draad zouden mogen krijgen: o.a. de door Benm zeer terecht geplaatste opmerkingen over de onbekendheid van 99,99% van de gebruikers met de onveiligheid van mailverkeer.

 

Daardoor kan ik Benm ook makkelijk "vergeven" ;) voor zijn reactie op mijn persoonlijke meing dat 100% privacy nastreven m.i. onwenselijk is i.v.m. misbruik. Dat mijn motivatie volgens Ben "waanzinnig is" beschouw ik als "zijn mening" , die net zo bruikbaar is in de door mij gewenste brede maatschappelijke discussie hierover.

 

Wat wel erg frappant en IMHO grappig is is de oneliner "if you outlaw encryption, only outlaws will use encryption". De oorspronkelijke tekst luidt "if you outlaw guns, only outlaws will use guns"" en is een van de lijfspeuken van de NRA, de Amerikaanse wapenlobby. Grappig is dat wat de een "waanzinnig" noemt door een ander juist als beoogd resultaat wordt gezien: als alleen criminelen wapens gebruiken vergemakkelijkt dat de opsporing en handhaving aanzienlijk: niet het gebruik maar alleen al het bezit ervan is immers al strafbaar. Frappant is dat met name de V.S. encryptie beschouwen als een wapen.

 

Ik wil met het bovenstaande wapens overigens niet gelijkstellen met encryptie en streef al helemaal geen verbod op of restrictie ten aanzien van het gebruik ervan na. Wat ik op persoonlijke titel wel zou willen inbrengen in de brede maatschappelijke discussie is Wetgeving die het in bepaalde sitaties mogelijk maakt iemand te dwingen de sleutel openbaar te maken of - bij weigering - in hechtenis genomen te worden. Mijn motivatie is dat ik het kunnen opbergen van pedofielen en ander gespuis dat encrypytie gebruikt voor laagbijdegrondse activiteiten belangrijker vindt dan 100% privacy.

 

Vloeken in de kerk voor de echte privacy-nastrevers, dat begrijp ik maar dat is nou precies mijn punt: ieder heeft recht op zijn of haar mening, dus ik ook op de mijne. Respecteer dat a.u.b. en/of komt met goede argumenten in plaats van kneuzen en catchy oneliners.

 

[R.I.P. | Peter Bonjernoor]

En ik noem het verder opmerkelijk, dat hier op HL, de laatste tijd herhaaldelijk serieuze kwesties al snel met ridicuul en spot tegemoet worden getreden. Er is dan dikwijls wel erg snel een oordeel klaar, zonder dat er ook maar een seconde dieper is nagedacht.

 

Dat is net zo kort door de bocht als je anderen verwijt te zijn.

 

De TS laat redelijk duidelijk blijken dat hij niet in een echte discussie geinteresseerd is, maar meer bevestiging van zijn visie zoekt. Als hij dan op een gegeven moment allerlei vage en naar paranoia neigende motivaties gaat aanhalen, dan kan ik het niet meer serieus nemen. En zoals Norbert hierboven terecht aangeeft - daar mag ik die mening over hebben.

[Peter Laroche]

Iedereen heeft recht op z'n eigen mening, wat mij betreft zelfs als die gebaseerd op feiten die bezijden de waarheid liggen. Ik heb ook geen enkel probleem met een discussie of enige uitkomst daarvan, sterker nog: ik heb liever dat meningen niet stroken met de mijne, want alleen daarvan kan ik mogelijk iets leren. Gejuigd wordt er in m'n dagelijks leven door hielenlikkers al genoeg. Maar: Lees even het onderwerp en bemerk dat er over 36 bijzaken wordt "geconstateerd", voor het grootste deel zonder enige kennis aangaande encryptie.

 

Mensen, de eerste absoluut onkraakbare methode is al in 1917 bedacht (Google "wiki otp 1917"), alleen is die sindsdien nooit mainstream geworden omdat er geen oplossing voor betrouwbaar sleutelbeheer was: en die is er nu wel. Al diegene die hier hebben lopen schreeuwen over "wiskundig onmogelijk te bewijzen" etc: 2 jaar kleuterschool is wat mij betreft voldoende om met XOR's en een oneindige sleutel te bedenken dat het bericht NOOIT teruggevonden kan worden, ook niet over 34 miljoen jaar. Niets "doorgeslagen marketingtaal" dus, en quantum-technologie heeft hier al helemaal niets mee van doen. Als iemand hier tegenin wil gaan nodig ik je uit om éérst even de moeite te nemen me te bellen zodat ik het in J&J taal uit kan leggen (voor de leken: neem een getal onder de 10 in gedachten, bedenk dat iemand er een ander getal bij heeft opgeteld wat je niet weet en probeer het oorspronkelijke cijfer met alle computers ter wereld te vinden èn te bewijzen: succes, heeft weinig met wiskunde van doen).

 

Tenslotte even over de demagogie van een enkele poster die pedofielen, terroristen of ander gespuis als voorbeeld neemt om liever geen (absolute) privacy toe te staan: denk eerst even na voordat je klakkeloos de gedachten van anderen overneemt en probeer zelfstandig tot een conclusie te komen, maar wel pas als je alle componenten van het dilemma op de weegschaal hebt gelegd. "Conclusies" waarbij je 1 onderdeel niet meeweegt zijn namelijk per definitie totaal waardeloos, zelfs als ze nauwelijks invloed op de conclusies hebben...

 

[Nico Schouten]

Bel en klepel: broncode gaat over compressie, niet over encryptie.

 

 

Is compressie dan ook niet een vorm van encryptie ?

[Peter Laroche]

Bel en klepel: broncode gaat over compressie, niet over encryptie.

 

 

Is compressie dan ook niet een vorm van encryptie ?

 

Nee, het eindresultaat van compressie is toevallig alleen "niet eenvoudig leesbaar"

[Merkava]

Nee, het eindresultaat van compressie is toevallig alleen "niet eenvoudig leesbaar"

En wat is volgens jou dan de definitie van encryptie ? Toevallig onleesbaar ?

Het wordt dan wel erg toevallig om hetzelfde toeval te verwachten bij het ontcijferen van het bericht.

In zekere zin komt het er op neer dat je toevallig het toeval hebt ontcijfert, als je het kan aantonen dan, want zo toevallig is het allemaal niet.

[R.I.P. - Benm]

Wat wel erg frappant en IMHO grappig is is de oneliner "if you outlaw encryption, only outlaws will use encryption". De oorspronkelijke tekst luidt "if you outlaw guns, only outlaws will use guns"" en is een van de lijfspeuken van de NRA, de Amerikaanse wapenlobby. Grappig is dat wat de een "waanzinnig" noemt door een ander juist als beoogd resultaat wordt gezien: als alleen criminelen wapens gebruiken vergemakkelijkt dat de opsporing en handhaving aanzienlijk: niet het gebruik maar alleen al het bezit ervan is immers al strafbaar. Frappant is dat met name de V.S. encryptie beschouwen als een wapen.

 

Uiteraard heb ik het niet geheel per ongeluk zo verwoord - alleen vind ik die argumentatie voor encrypte meer valide dan voor vuurwapens.

 

Wetgeving die het in bepaalde sitaties mogelijk maakt iemand te dwingen de sleutel openbaar te maken of - bij weigering - in hechtenis genomen te worden. Mijn motivatie is dat ik het kunnen opbergen van pedofielen en ander gespuis dat encrypytie gebruikt voor laagbijdegrondse activiteiten belangrijker vindt dan 100% privacy.

 

Wettelijk regelen dat iemand gedwongen (op straffe van hechtenis) kan worden de sleutel prijs te geven is natuurlijk een optie - waarmee je voor zover mogelijk het ongewenste effect van encryptie zoals jij het beschrijft kan proberen teniet te doen.

 

De praktische kan van de zaak lijkt me overigens minder eenvoudig - je kunt moeilijk iemand tot het einde der tijden opsluiten omdat het de sleutel 'vergeten' is. Daarnaast zullen juist de criminele gebruikers meer geavanceerde technieken gebruiken waardoor niet eens te bewijzen is dat er geencrypte data op een drager aanwezig is. Dat gaat natuurlijk nauwelijks met e-mail, maar het probleem lijkt me duidelijk.

[Peter Laroche]

 

Wetgeving die het in bepaalde sitaties mogelijk maakt iemand te dwingen de sleutel openbaar te maken of - bij weigering - in hechtenis genomen te worden. Mijn motivatie is dat ik het kunnen opbergen van pedofielen en ander gespuis dat encrypytie gebruikt voor laagbijdegrondse activiteiten belangrijker vindt dan 100% privacy.

 

Wettelijk regelen dat iemand gedwongen (op straffe van hechtenis) kan worden de sleutel prijs te geven is natuurlijk een optie - waarmee je voor zover mogelijk het ongewenste effect van encryptie zoals jij het beschrijft kan proberen teniet te doen.

 

 

Dwingen tot sleutelafgifte is in strijd met de meeste constituties: nog even zo doorgaan en we vervallen tot het toestaan aan het OM dat communicatie met een advocaat kan worden afgedwongen...

 

[Not to be taken seriously]

...

[R.I.P. | Peter Bonjernoor]

Maar: Lees even het onderwerp en bemerk dat er over 36 bijzaken wordt "geconstateerd", voor het grootste deel zonder enige kennis aangaande encryptie.

 

Het jammere is dat het merendeel van die 'bijzaken' te maken heeft met de motivatie om wel of geen encryptie te gebruiken. Zoals je wellicht gemerkt heb heb me inhoudelijk niet uitgelaten over of je claim al of niet terecht is, en dat boeit mij persoonlijk eerlijk gezegd ook helemaal niet omdat ik het resulterende produkt of dienst vooralsnog als overbodig ervaar.

 

Dus, je vraagt in je eerste bericht om of het gewenst is of niet, en als mensen dan 'nee' zeggen, en daar ook nog bij vertellen waarom, dan doe je dat af als 'bijzaken'? Tsja...

[R.I.P. - Benm]

Dwingen tot sleutelafgifte is in strijd met de meeste constituties: nog even zo doorgaan en we vervallen tot het toestaan aan het OM dat communicatie met een advocaat kan worden afgedwongen...

 

Begrijp me goed, ik vind zoiets ook helemaal niet wenselijk... alleen lijkt het me een effectiever middel dan domweg verbieden van encryptie als de politiek om een of andere reden besluit dat de overheid overal inzage in moet kunnen krijgen.

 

Een ander scenario zou werken met backdoors, maar dat lijkt me inherent onveilig. Toegang via zulke backdoors kan wellicht alleen bedoeld zijn voor overheidsdiensten, maar het duurt natuurlijk niet lang voor zoiets uitlekt en misbruikt wordt voor pakweg bedrijfsmatige spionnage.

 

Het doet me een beetje denken aan het amerikaanse exportverbod op encryptie bij de ontwikkeling van ssl/tls - maar daar is uiteindelijk ook niets van overgebleven... vooral omdat in andere jurisdicties wel krachteriger encrypte gemaakt en verspreid kon worden.

[R.I.P. | Peter Bonjernoor]

Dwingen tot sleutelafgifte is in strijd met de meeste constituties...

 

Zeker weten? In mijn beleving zou het achterhouden van een sleutel in het geval van een gerechtelijk onderzoek gelijk staan aan het verbergen van documenten in een kluis, en weigeren deze te openen.

 

Ik geef onmiddelijk toe dat in deze niet weet hoe het zit, maar het lijkt mij dat het niet verschaffen van toegang tot deze informatie, versleuteld of gekluisd, op zich ook weer strafbaar is.

[R.I.P. - Fred Wiersma]

...

Tenslotte even over de demagogie van een enkele poster die pedofielen, terroristen of ander gespuis als voorbeeld neemt om liever geen (absolute) privacy toe te staan: denk eerst even na voordat je klakkeloos de gedachten van anderen overneemt en probeer zelfstandig tot een conclusie te komen, maar wel pas als je alle componenten van het dilemma op de weegschaal hebt gelegd. "Conclusies" waarbij je 1 onderdeel niet meeweegt zijn namelijk per definitie totaal waardeloos, zelfs als ze nauwelijks invloed op de conclusies hebben...

 

 

??? ???

 

Ik was een van die 'enkele posters': waarop baseer je dat ik klakkeloos de gedachten van anderen overneem? Vind ik ook behoorlijk respectloos trouwens, zo'n opmerking.

 

Daarnaast kom je erg arrogant over hier. Ik heb blijkbaar niet alle componenten meegewogen? Hoe weet je dat? En wat zijn dan die componenten, oh alwetende? (NB sarcasme!)

 

Daarnaast is de laatste zin onzin. Je kunt prima geldige conclusies trekken uit niet complete gegevens. Uiteraard met een bepaalde mate van onzekerheid. Maar als je wacht tot je alles weet voordat je een conclusie trekt, kun je lang wachten. En hoe kun je trouwens van te voren bepalen dat je alle benodigde componenten hebt?

 

Mijn conclusie: jouw bovenstaande alinea kan wat mij betreft de prullebak in. ;D

 

Ik ben het eens met Peter B: je wilt je visie bevestigd zien, en afwijkende gezichtspunten daarop doe je af als bijzaken. Ik weet genoeg.

[Not to be taken seriously]

...

[martijn_brinkers]

Mensen, de eerste absoluut onkraakbare methode is al in 1917 bedacht (Google "wiki otp 1917"), alleen is die sindsdien nooit mainstream geworden omdat er geen oplossing voor betrouwbaar sleutelbeheer was: en die is er nu wel.

 

Bruce Schneier "Warning Sign #6: One-time pads." http://www.schneier.com/crypto-gram-9902.html#snakeoil

 

"One-time pads don't make sense for mass-market encryption products. They may work in pencil-and-paper spy scenarios, they may work on the U.S.-Russia teletype hotline, but they don't work for you. Most companies that claim they have a one-time pad actually do not. They have something they think is a one-time pad. A true one-time pad is provably secure (against certain attacks), but is also unusable. "

 

Jij claimt dat je dat dus wel goed hebt opgelost. Ik heb sterk mijn twijfels of dat ook zo is.

 

[Norbert Bakker]

Sorry Norbert, met alle respect, hoe intelligent je in je reactie ook over mag komen, ik noem dit standpunt erg dom en naïef. [Ja sorry, meer kan ik er niet van maken.]

 

Ik persoonlijk vind meningen die geponeerd worden in een oproep tot verdere discussie en uitwisseling van standpunten (t.b.v. meningsvorming) nooit dom en naief. Wat ik wel dom, naief en onfatsoenlijk vind is andermans mening al op voorhand voor dom en naief verslijten zonder uitwisseling van standpunten.

 

Dus jij wenst een maatschappij waar de staat dusdanige bevoegdheden krijgt, vergelijkbaar aan de situatie in Oost-Duitsland van voor de val van de muur?

Nee en het woordje "dus" is hier volkomen misplaatst als inleiding van een drogreden.

 

Zoals je zelf al stelt: geen bevel tot huiszoeking zonder bevel van de officieer van justitie. Ik zie eerlijk gezegd niet in waarom dat zelfde bevel niet ook gelding zou kunnen hebben op gecrypte bestanden die binnen zo'n huis gevonden worden. Zoals iemand al opmerkte wordt je door dat zelfde bevel ook verplicht om je kluis te openen. De rechtsbescherming zit 'm in het feit dat zo'n bevel tot huiszoeking alleen afgegeven mag worden bij een gegronde reden (concrete verdenking)

Dus de vergelijking van ons bestaande rechtssysteem met voormalig Oost-Duitsland gaan wat mij betreft mank. Het komt toch - net als in de V.S. keer op keer neer op een meer of mindere mate van vertrouwen of wantrouwen in de eigen overheid. Wat mij betreft ook onderwerp van dezelfde discussie die m.i. maar niet op gang wil komen omdat er teveel deelnemers in deze draad zijn die alleen maar hun eigen mening willen verkondigen, doof of blind zijn voor andermans mening of deze direct verslijten voor dom en naief.

 

Kortom: wat ik niet wil horen of lezen is dat iemand mijn mening dom of naief vind, nee ik wil lezen dat iemand het wel, niet of slechts gedeeltelijk met mij eens is, voorzien van houtsnijdende argumenten.

[Norbert Bakker]

Quote : Peter Laroche op Vandaag om 13:35:06

Dwingen tot sleutelafgifte is in strijd met de meeste constituties:

 

Wellicht. Maar ik ben niet zo geïnteresseerd in de huidige situatie, ik wil juist een discussie over de (toekomstig) wenselijke situatie, bijvoorbeeld aan de hand van onderstaand bericht:

 

Britse rechtbank verwerpt zwijgrecht over encryptiesleutel

Door Mick de Neeve, dinsdag 14 oktober 2008 19:32, views: 17.031

Een rechtbank in het Verenigd Koninkrijk heeft in hoger beroep bepaald dat verdachten die over versleutelde gegevens beschikken, de afgifte van de encryptiesleutel niet kunnen weigeren met een beroep op hun zwijgrecht.

 

De uitspraak versterkt een omstreden bepaling in de zogeheten Regulation of Investigatory Powers Act, die burgers verplicht om van bij hen aangetroffen versleutelde gegevens die met misdrijven verband zouden kunnen houden, desgevraagd de sleutel te overhandigen. Twee personen die worden verdacht van het bezit van documenten die nuttig zouden kunnen zijn voor terroristen, tekenden beroep aan tegen de decryptieverplichting die reeds door een lagere rechter was opgelegd, aldus The Register. Dat deden ze op grond van het rechtsprincipe dat een verdachte niet aan zijn eigen veroordeling hoeft mee te werken, zoals vastgelegd in het Europees Verdrag voor de Rechten van de Mens.

 

De rechtbank wees het bezwaar echter van de hand door te verwijzen naar bepaalde uitzonderingen op dit rechtsprincipe. Zo kan bewijslast die onafhankelijk van de wil van de verdachte bestaat, niet op grond ervan worden achtergehouden. De rechters noemden als voorbeelden verplicht afgenomen bloed of dna, maar ook een bij een huiszoeking aangetroffen sleutel, en stelden dat de status van een encryptiesleutel niet wezenlijk anders is. Bovendien, zo beargumenteerden ze, is niet het geven van de sleutel zelf het geven van informatie waarmee iemand zichzelf kan criminaliseren, net zoals het afstaan van een bloedmonster niet noodzakelijkerwijs tot de ontdekking leidt dat het alcoholpromillage van een persoon te hoog is.

 

Eind vorig jaar werd de wet om gegevens leesbaar te overhandigen ook al ingezet tegen een groep dierenactivisten. Die konden zich er echter simpel van afmaken door te stellen dat zij niet wisten dat de bewuste data versleuteld was. In de huidige zaak lijkt dit in ieder geval voor één van de verdachten lastig, omdat die volgens de politie werd gearresteerd terwijl hij achter de computer zat en daarbij bovendien de gezochte encryptiesleutel al gedeeltelijk had ingetypt.

 

Het volharden in de weigering om de gegevens af te staan kan de verdachten op maximaal twee jaar gevangenisstraf komen te staan. Er kan enkel nog beroep tegen de uitspraak worden aangetekend bij de Law Lords van het Britse Hogerhuis.

 

Overigens kunnen ze bij tweakers wel fatsoenlijk inhoudelijk discussieren over dit onderwerp. Een overvloed aan zinnige informatie, meningen en standpunten pro en contra, best fel over en weer maar met gepast respect.

[R.I.P. - Benm]

Het volharden in de weigering om de gegevens af te staan kan de verdachten op maximaal twee jaar gevangenisstraf komen te staan.

 

Dat is wel een beetje een manco van gedwongen sleutelafgifte. Iemand die encryptie gebruikt om misdaden te verhullen zal wellicht eieren voor zn geld kiezen - twee jaar voor het achterhouden van de sleutel is dan een gustiger uitkomst als de sleutel afgeven wanneer deze een bewijs voor pakweg moord of landsverraad onthult.

 

Overigens heb ik niet het idee dat een verbod enige invloed zal hebben op criminele toepassingen. Als men encryptie verbiedt zullen de 'misbruikers' zich indekken door toevoeging van steganografie, dus die hebben er geen last van. Legitiem gebruik wordt echter wel onmogelijk, wat mij een onwenselijke situatie lijkt.

[martijn_brinkers]

Een verbod op encryptie zal er niet snel meer komen aangezien het onhaalbaar is en de voordelen van een verbod niet opwegen tegen de nadelen. Ook argumenten dat commercieel verkrijgbare encryptie niet sterk is omdat dat anders verboden zou worden is wat mij betreft ook een fabeltje. Stel je bijvoorbeeld voor dat de amerikaanse overheid weet dat AES (American Encryption Standard) kraakbaar is door de veiligheidsdienst van de VS. Denk je dan echt dat ze dat zelf zouden gaan gebruiken voor de beveiliging van staatsgevoelige informatie? Als de VS het kan kraken waarom zou dan bijv. de Chinese overheid het niet kunnen kraken (daar zitten per slot een aantal hele goede cryptografen). Het is anders gezegd enorm dom om een systeem te gebruiken waarvan je weet dat het niet veilig is.

[Merkava]

Als je veel te verbergen hebt, zou je dan de moeite nemen om je wel in encryptie te verdiepen en vervolgens je berichten ongecensureerd maar encryoted te versturen?

Volgens mij richt je alleen maar meer aandacht op jezelf door encyptie te gebruiken. Het internet biedt volgens mij voldoende mogelijkheden om informatie door te spelen zonder in detail te treden en zonder de aandacht op je te richten door encryptie te gebruiken.

[Norbert Bakker]

Als men encryptie verbiedt zullen de 'misbruikers' zich indekken door toevoeging van steganografie, dus die hebben er geen last van. Legitiem gebruik wordt echter wel onmogelijk, wat mij een onwenselijke situatie lijkt.

 

Helemaal mee eens. Want ik vind helemaal niet dat encryptie verboden zou moet worden en ik heb ook niet beweerd dat een 100% onkraakbare encryptiemethodiek verboden zou moeten worden: ik heb alleen mijn mening gegeven op de vraag of de wereld toe is aan 100% privacy.

 

Ik vind persoonlijk dat encryptie niet verschilt van een afgesloten kofferbak. Als er gegronde reden is om aan te nemen dat er iets in die kofferbak zit dat te maken heeft met criminele activiteiten mag het openen van de kofferbak wat mij betreft worden afgedwongen - mits uiteraard voorzien van de juiste (grond)wettelijke basis. En het is aan de inwonenden van een rechtstaat om te bepalen wat die wettelijk basis exact inhoudt.

 

Daarom heb ik ook moeite met opmerkingen zoals:

 

Voorts: in Nederland worden nu al meer telefoons afgetapt dan waar ook ter wereld en is de scheiding tussen kerk en staat al weggevallen. We staan op de rand van een politiestaat, waarbij het Justitiële - en politieapparaat zich in dienst heeft gesteld van de Christenfundamentalistische Bush-adepten.

[Het duurt nog maar even en we worden eerdaags gearresteerd als we op zondag een ijsje gaan kopen. Handel drijven op zondag is namelijk verboden en mensen die dan toch in het openbaar aan ijsjes gaan likken, die verstoren de openbare orde en de verplichte zondagsrust.]

 

Dan denk ik: doe er wat aan!. Maak gebruik van je democratisch recht of emigreer naar een ander land. Anders ben je alleen maar de zoveelste beroepsklager met een aluhoedje op.

[R.I.P. - Benm]

Encryptie maakt hoogstens verdacht als het geen gemeengoed is. Als er een fatsoenlijke standaard voor end-to-end encryptie voor e-mail wordt uitgerold, lijkt me het gebruik daarvan niet verdachter dan, pakweg, je gegevens doorgeven aan een webshop middels een https verbinding.

[R.I.P. - Fred Wiersma]

Encryptie maakt hoogstens verdacht als het geen gemeengoed is. Als er een fatsoenlijke standaard voor end-to-end encryptie voor e-mail wordt uitgerold, lijkt me het gebruik daarvan niet verdachter dan, pakweg, je gegevens doorgeven aan een webshop middels een https verbinding.

 

Dat klopt ook weer.

 

Aan de andere kant: hoeveel encryptie hebben we uberhaupt nodig? Wordt de wereld daar een betere plek van? Gaan we meer geld verdienen? Een betere wereld voor onze kinderen nalaten? Ik persoonlijk waag dat te betwijfelen.

 

Dat wil niet zeggen dat ik tegen encryptie ben. Voor mensen en bedrijven zijn er al dan niet commerciele systemen beschikbaar die een bepaalde mate van veiligheid bieden. Niet onkraakbaar, maar voor de meesten voldoende.

 

Tot slot, dat er iets technisch mogelijk is, wil nog niet zeggen dat het ook zinvol is of maatschappelijk gewenst is. Nieuwe technologie kan ook schadelijk zijn (denk bijv aan kernenergie, genetische manipulatie).

 

Voor 'total mass' encryptie zie ik de noodzaak niet, en de nadelen van een onkraakbaar systeem zijn er, of de topic starter dat nou leuk vindt of niet. Ik vind ook dat iemand die iets totaal nieuws op de markt wil gooien, zich ook wel mag buigen over mogelijk negatieve consequenties. Maatschappelijke verantwoordelijkheid, heet dat.