Congres VS: verplicht 'backdoors' in encryptie-software

Cryptografie artikel - aankondiging Wired meldt dat in het Amerikaanse Congres de discussie weer is opgelaaid omtrent encryptie-software. In het licht van de tragische gebeurtenissen afgelopen dinsdag, wordt de roep om sterke, slagkrachtige inlichtingendiensten steeds luider. Mede gezien het feit dat de VS de vermeende terrorist Osama bin Laden als belangrijke verdachte beschouwen en met in het achterhoofd dat bin Laden's organisaties veelvuldig van (sterke) encryptie gebruik maken, is het volgens verschillende Congresleden noodzakelijk dat inlichtingendiensten te allen tijde de mogelijkheid moeten hebben om geëncrypte data te kunnen decrypten.

Voor lange tijd, vooral tijdens de Koude Oorlog, hebben de VS vastgehouden aan de regel dat sterke encryptie (met sleutels langer dan 32- en later 48 bits) onder de wapenwet viel als zijnde 'munitie', die slechts onder stricte voorwaarden mocht worden geëxporteerd. Onder president Clinton is deze regel in 2000 versoepeld, waardoor ook voor andere (westerse) landen het gebruik van sterke encryptie binnen handbereik kwam.

De nu opgelaaide discussie in het Congres zou de in 2000 aangenomen wet kunnen terugdraaien tot een situatie waarbij (vooral Amerikaanse) inlichtingendiensten te allen tijde geëncrypte data kunnen ontcijferen:

In a floor speech on Thursday, Sen. Judd Gregg (R-New Hampshire) called for a global prohibition on encryption products without backdoors for government surveillance.

"This is something that we need international cooperation on and we need to have movement on in order to get the information that allows us to anticipate and prevent what occurred in New York and in Washington," Gregg said, according to a copy of his remarks that an aide provided.

Werd het besluit in 2000 nog genomen met privacy als motto, op dit moment lijkt dat credo ondergeschikt aan de nu veel belangrijker geachtte binnenlandse veiligheid.

Reacties (75)

RobT 14 september 2001 11:30

Beetje misleidende titel, ik dacht dat ze eindelijk een halt wilden toeroepen aan backdoors..

[edit] en als de titel gewijzigd wordt, van
[quote]
Congres VS: stop 'backdoors' in encryptie-software
[/quote] naar iets minder ambigues, krijg ik hier natuurlijk een 'first post' waardering..

Jazzy Moderator SWS @RobT • 14 september 2001 11:36

Inderdaad, ik wist niet wat ik las. Backdoors in encryptiesoftware? Is toch te gek voor woorden...

Maar an het artikel gelezen te hebben heb ik nog dezelfde mening. Alsof je je huis volledig beveiligt met allerlei sloten en dan één achterdeurtje half open laat voor de politie "voor noodgevallen". Waar gaat een inbreker als eerste naar toe? Juist: die aantrekkelijke backdoor.

Sharad R @Jazzy • 15 september 2001 18:57

Inderdaad, ik wist niet wat ik las. Backdoors in encryptiesoftware? Is toch te gek voor woorden...

dit bestond al heel lang hoor..denk bijna vanaf het begin van dit soort software....
neem bvb win nt....server os, dat toch goed beveiligd kon worden...daar is vorig jaar het bestandje nsakey in gevonden...(nsa=inlichtingen dienst-key=sleutel)
om maar ff een dwarsstraat te noemen...

elke encrypty software was verplicht om dit te doen...(alleen pgp deed dit niet(vooor zover ik weet)

edit:
pga verandert in pgp

it0 @Sharad R • 17 september 2001 09:07

Moet je eens op sex zoeken op je hd, hoeveel dll's je dan tegen komt...

Er is al gezegt dat dat toeval was van die nsa key.

Auteur

EfBe @RobT • 14 september 2001 11:32

hmmm zit wat in.

ff wijzigen

Verwijderd 14 september 2001 11:33

ze zeggen het zelf als die organisaties HEBBEN al
sterke encryptie software ....
Dit gaat het dus niet oplossen.
achterdeurtjes in software.
Dat soort onrganisaties vertrouwens niks van amerika dus ook geen microsoft spullen.

Crazy D @Verwijderd • 14 september 2001 11:40

Pcies. En ik kan me niet voorstellen dat dat soort organisaties gebruik maakt van standaart encryptie paketjes. Dus zijn de enigsten die ze hiermee kunnen pakken de gewone burger die juist encryptie gebruikt zodat hun belangrijke gegevens niet zomaar door iedere halve zool gelezen kan worden. Naja als het congres hun zin krijgt dus wel, die backdoor zal snel bekend zijn over de hele wereld en kun je net zo goed de moeite van encryptie gebruiken besparen...

PuzzleSolver @Crazy D • 14 september 2001 12:52

Om te voorkomen dat er onbekende crypties gebruikt worden zou dan alle mail gemonitord en tegen worden gehouden als het hier om gaat. Dit is echter ook niet voldoende omdat ik dan nog steeds een MP3 attachement o.i.d. zou kunnen maken met daarin een niet hoorbare maar wel decodeerbare boodschap. Hetzelfde geld voor wav midi exe jpg gif etc. deze bieden genoeg overhead om een bericht in te verstoppen.

Backdoors bouwen in bestaande encrypties is gewoon zinloos, zodra dit bekend is worden deze toch nooit gebruikt door terroristische organisaties. Het enige wat die nodig hebben is een programmeur (en deze hoeft niet eens over de modernste middelen te beschikken, 10 jaar geleden waren er ook al niet kraakbare crypties, zolang je het wachtwoord/key maar niet meestuurd in het bericht).

Het enige wat je hier mee bereikt is dat de terroristen nog zwaardere en niet volgbare berichten gaan maken. Nu weten ze nog dat er gecodeerd vekeer heeft plaats gevonden, deze informatie zou je dan ook niet meer hebben.

edit:

Iets duidelijker gemaakt

Masselink 14 september 2001 11:41

Het doel van encrypted verkeer (email bijvoorbeeld) is dat alleen de zender en de ontvanger kunnen lezen waar het om gaat, en dat de informatie niet in 'verkeerde' handen komt. Als er backdoor's in komen, dan heeft het encrypten geen zin, want dan schiet je je doel voorbij.

Aan de andere kant zijn er wel weer mogelijkheden om dit georganiseerd toe te laten. Het is met PGP bijvoorbeeld mogelijk om het mailtje naast de sleutel van de ontvanger ook te versleutelen met een corporate key. (oveheidssleutel in dit geval.) deze sleutel is opgesplitst in verschillende delen en minimaal 3 van de 5 delen moeten bij elkaar zijn om het mailtje leesbaar te kunnen maken. Als de overheid dan delen krijgt en toezichthouders ook, dan moeten ze er samen over eens zijn dat het noodzaak is alvorens het mailtje leesbaar wordt gemaakt. Natuurlijk moet alles afgedekt worden door de nodige procedures. Ik denk dat deze optie nog niet eens zo gek zou zijn, mits er zorgvuldig mee word omgegaan. het is natuurlijk wel de vraag in hoeverre privacy in het geding komt in verglijking tot (inter)nationaal belang.......mijn centen

jochemd @Masselink • 14 september 2001 12:05

Het zogeheten 'trusted escrow management' (trusted omdat gebruikers meer vertrouwen zouden hebben dat hun sleutel niet zonder meer wordt gebruikt om willekeurig te decoden) geloof ik.

Leuk is het wel bedacht, echter, met het gemiddelde certificaat is het mogelijk om nieuwe certificaten te signeren. Als we dus toegaan naar een omgeving waarin dit wordt toegepast op basis van X509 certificaten (waar het bijvoorbeeld binnen Surfnet wel op lijkt) gaat iedereen vervolgens zijn eigen prive sleutels aanmaken en die met zijn corporate sleutel signeren. Zie bijvoorbeeld http://pki.surfnet.nl/

Verwijderd @jochemd • 14 september 2001 12:08

Zo is PGPi(nternational) ontstaan, volgens mij hebben ze dat ergens in scandinavië ingescand. Onder andere hierdoor is Amerika tot inzicht gekomen dat die export/wapenwetten te belachelijk zijn.

edit:
Deze hoort hier niet. Dit s een reactie op TeCuMSeH van 12:02!!!

walterg @Masselink • 14 september 2001 12:20

Als de overheid dan delen krijgt en toezichthouders ook, dan moeten ze er samen over eens zijn dat het noodzaak is alvorens het mailtje leesbaar wordt gemaakt.

Maar hoe maak je een terrorist duidelijk dat het noodzaak is dat zijn mailtje gelezen kan worden

Zonder geintjes, de inlichtingendienst van de vs zal snel alles willen kunnen lezen, daar zullen ze geen procedure voor nodig willen hebben. Dit uiteraard omdat de 'binnenlandse veiligheid' in het geding komt...

Masselink @walterg • 14 september 2001 13:13

Je hebt geen toestemming nodig van de zender. Er is een ADK (aditional decryption key) die ook kan decoderen. Die is dan te verdelen. komt er een mailtje ergens langs zonder deze extra key, dan kun je hem laten blokken. is hij er wel, dan kan de overheid hem ook lezen.....Deze private key (de ADK) kan bijvoorbeeld beschermt worden door Biometrie, dan hebben hackers er ook niets aan...

Tijntje 14 september 2001 11:36

Dat zou echt belachelijk zijn. Encryptie is er nu juist om privacy te garanderen (voor zover mogelijk) Ik snap best dat de Amerikanen zich nu op alle mogelijke wijzen het idee van veiligheid weer willen vergroten maar dit is niet de juiste weg. Het enige waar dit toe lijdt is het Big Brother is watching.
Volgens mij mag zoiets niet eens omdat het inbreuk is op de wet van privacy. Ik bedoel je mag ook niet zomaar in iemands kamer een camera ophangen.

cire @Tijntje • 14 september 2001 14:00

Tja, er zijn gevallen, waar je beter wat lak aan privacy kunt hebben.

Natuurlijk is het geen inbreuk op een bepaalde wet. Tenminste, dat hoeft het niet te zijn. Normaliter is telefoongesprekken afluisteren ook niet legaal, maar de politie mag het onder bepaalde voorwaarden doen.

Wat mij betreft mag dit ook voor allerlei digitale systemen gelden.

Verder zie ik het nut van deze congres maatregel ook niet in.

Verwijderd 14 september 2001 11:34

Het heeft natuurlijk twee kanten... is zeker makkelijk voor dit soort zaken, maar ook voor hackers.

Rene59 14 september 2001 11:36

Wat heb je aan encryptie, als anderen, buiten de ontvanger, de informatie kunnen decrypten?
Niets.
Die Amerikanen zijn trouwens hypocriet als de pest. Eerst heel lovend lullen over de mogelijkheden van privacy, en vervolgens alles omver schoppen voor de binnenlandse veiligheid.
Ook hier wordt de ramp weer als excuus gebruikt voor iets wat niet moet kunnen.

[update]
Overigens, ze kunnen verplichten wat ze willen, echte terroristen ontwikkelen dan wel hun eigen encryptie software zonder backdoor. Weer een lekker loos plan door leeghoofden die niet weten waar ze over lullen.
* 786562 Rene59

M4rtijn 14 september 2001 11:33

Een backdoor, dat is toch een bug? Als dat er komt zal het wel beperkt blijven tot commerciele software, want met de source erbij heb je dat gat er zo uit ;-)

Jazzy Moderator SWS @M4rtijn • 14 september 2001 11:42

Een backdoor, dat is toch een bug?

Mmm, geen smiley dus ik reageer maar even. Een backdoor is een 'ingang' die je opzettelijk in het systeem zet. Daarmee heb je de mogelijkheid om in bepaalde (welke ?) gevallen naar binnen te kunnen.

Stel, je zet bij een klant een IT-omgeving neer die de klant zelf gaat beheren. Je zou een extra admin-account aan kunnen brengen zodat je te hulp kunt schieten als klant het administrator wachtwoord heeft gewijzigd en het nu niet meer weet. (komt echt voor)

Ortep

@M4rtijn • 14 september 2001 11:42

Het is geen bug, maar een verplichte 'achterdeur' in je software die de FBI of CIA toegang moeten geven tot je gegevens indien zij dat nodig achten

Verwijderd 14 september 2001 11:33

Voordat Clinton die regel in 2000 versoepelde, was het ook al mogelijk om 128-bits versleuteling of groter te gebruiken. Kijk maar naar PgPi. Ook was er een patch voor bijv. Netscape om 128-bits SSL te gebruiken. Deze moest je wel later zelf installeren, vanaf een server buiten de US.

Mr.Aargh @Verwijderd • 14 september 2001 12:23

Maar je mocht geen geencrypte berichten en encryptionsoftware het land in en uit exporteren.
En volgens mij mag je in bepaalde landen zoals Frankrijk okk geen grotere encry[tie dan 32bits gebruiken tenzij je het wachtwoord doorgeeft aan de inlichtingendienst. Ook in Nederland was volgens mij 32bits max. (vanwege BVD, maar dat is prob vrijgegeven)

KMK @Mr.Aargh • 14 september 2001 12:41

Nee je mog het inderdaat niet exporteren in digitale vorm daarom hebben ze de source code van PGP uitgeprint en in duitseland weer in gescanned!!! en vervolgens in duitseland gecompiled!!!

zeikstraal @KMK • 14 september 2001 17:01

dat ze het uitgeprint hebben geloof ik wel, maar volgens mij hebben ze tegelijk ook even een cdrom/laptop/diskette meegenomen valt toch haast niet te controleren.

Verwijderd 14 september 2001 11:53

met in het achterhoofd dat bin Laden's organisaties veelvuldig van
(sterke) encryptie gebruik maken

Wat een onzin! Iedereen die eventjes 3 klikken ver kijkt kan lezen dat de organisatie van bin Laden gebruikt maakt van een techniek die Steganography heet. Hiermee worden berichten voor het oog onzichtbaar gemaakt in andere documenten. Byvoorbeeld door de laatste bitjes in een JPG file te gebruiken voor je bericht, iets van je in een True Colour plaatje dus niet ziet.

Er staat nameijk:

USA Today reported on Tuesday that bin Laden and others "are hiding maps and photographs of terrorist targets and posting instructions for terrorist activities on sports chat rooms, pornographic bulletin boards and other websites

Dus de discussie over het aantal bits dat nodig is voor encryptie (is dus een heel andere techniek) wordt waarschijnlijk gevoerd door mensen in het Congres die andere belangen hebben (Big Brother dudes), zoals het afluisteren van hun eigen onderdanen. De actie van dinsdag geeft hun nu dus de gelegenheid om te zeggen "zie je wel" terwijl het voor de oplettende lezer een bewijs van niks is. Helaas heeft het grote publiek dit toch niet door

RobT @Verwijderd • 14 september 2001 12:12

+4 inzichtvol voor plok... ik heb al gepost..

Het zat er al aan te komen, daadkrachtig optreden van hoge VS politici.

Er gaan nu al geruchten dat de aanslag van dinsdag net zo goed op hoog niveau binnen de VS georganiseerd zou kunnen zijn, bij wie gaan de budgetten omhoog, wie krijgt meer macht etcetc. Okee, populair geblaat...
(maar we weten nog steeds niet wat er met 2 vliegtuigen gebeurd is, 1 vloog als 2e op het pentagon af, een ander is ook verdwenen..)

Dit bericht geeft wel alvast de stemming aan waarmee de politiek zaken gaat regelen, mn op/mbt het internet ed: 'jamaar Bin Laden', en dan krijgen ze geld en toestemming om de meest idiote zaken ten uitvoer te brengen. Behalve Bin Laden te pakken te krijgen, hartstikke mooi dat ze die niet hebben, want dan moet je weer een andere Enemy of the State no1 gaan uitzoeken....

Raafz0r @RobT • 14 september 2001 16:30

Er gaan nu al geruchten dat de aanslag van dinsdag net zo goed op hoog niveau binnen de VS georganiseerd zou kunnen zijn, bij wie gaan de budgetten omhoog, wie krijgt meer macht etcetc. Okee, populair geblaat...
(maar we weten nog steeds niet wat er met 2 vliegtuigen gebeurd is, 1 vloog als 2e op het pentagon af, een ander is ook verdwenen..)

JAAA, laten we met z'n allen lekker paranoïde gaan worden.
Conspiracy theoriën rulen.

Ikzelf dacht eigenlijk meer dat zoiets alleen het werk kan zijn van erg aggressieve aliens, of misschien van een Hogere Macht (Hij Die Daarboven Zij).

Auteur

EfBe @Verwijderd • 14 september 2001 12:08

Het is algemeen bekend dat bin Laden van PGP gebruik maakt al zolang het beschikbaar is (net als andere zielen met niet-nobele gedachten). En andere technieken, zoals jij noemt, maar zeker ook geencrypte communicatie met conventionele encryptie software.

JaKaLa @Verwijderd • 14 september 2001 12:36

Ik meen ergens gelezen *) te hebben dat er inderdaad sprake was dat Bin Laden mbv steganografie berichten verstuurt via veilingsites zoals e-bay... Naar aanleiding daarvan heeft iemand duizenden plaatjes gedownd om ze te ontcijferen... Geen enkele bevatte echter verborgen info... Niet dat het niet zo kan zijn, maar het bewijs is nog niet geleverd... Daarnaast maakt hij ook gebruik van fax en telefoon...

Het is dus ondoenlijk om het hele internet af te gaan zoeken naar bewijsmateriaal... Denk dat er gewoon naar de persoon zelf gezocht moet gaan worden en niet direct naar de info die hij verstuurd...

*) http://www.tweakers.net/nieuws/18436

Verwijderd 14 september 2001 11:44

Deze maatregel maakt niks uit. Als deze mensen het net een beetje kennen hebben ze zo een versie zonder backdoor.
Kijk maar eens naar de hoeveelheid illegale software die vrij down te loaden is. Zo'n encryptie pakket zonder backdoor zou binnen een dag het hele net overgaan op het moment dat de regel van kracht word.

Dat is immers met de originele PGP ook gebeurd. Om een voorbeeldje te geven van hoe dit werkt, moet je je maar eens afvragen waar die divx codec vandaan komt waar je al die leuke nieuwe filmpjes mee bekijkt

SirBlade @Verwijderd • 14 september 2001 13:26

En wat als er in de wet een regel komt in de trant van: Gebruik, ontwikkeling en/of bezit van encryptie-software zonder backdoor zal beschouwd worden als staatsondermijnende activiteit en zal bestraft worden met 20 jaar cel....

Illegale encryptie wordt dan al snel minder aantrekkelijk.

Raafz0r @SirBlade • 14 september 2001 16:26

Als ze zo'n wet invoeren kunnen we beter meteen doorstomen naar een totale politie-staat, zijn we tenminste van de onduidelijkheid af.

Zoals mensen al opmerkten: De VS zijn weer eens hypocriet bezig (ok,ok, ze zijn geschrokken, maar dat is GEEN excuus).

wimmi @Raafz0r • 14 september 2001 17:19

Als ze zo'n wet invoeren kunnen we beter meteen doorstomen naar een totale politie-staat

Dat is overigens waar ik bang voor ben!

<paranoide>
De overheid grijpt de ongrijpbaarheid van terreur-plegers en -planners misschien wel aan om het land opnieuw als poitiestaat a-la de Sovjet Unie en de DDR in te richten.
</paranoide>

Volgens mij ligt de oplossing van dit hele systeem van onveiligheid niet in technologie, maar ergens in het veld van 'methodiek', zoals bijvoorbeeld de methodiek van sociale controle, recht en democratie op zich (meeste stemmen gelden).

Iemand een idee?

Op dit item kan niet meer gereageerd worden.

Congres VS: verplicht 'backdoors' in encryptie-software

Lees meer

Reacties (75)

Sorteer op:

Weergave: