Delen:
FBI Backdoors zullen niemand helpen - zelfs niet de FBI
De FBI is onlangs in het nieuws geweest met zijn campagne om technologiebedrijven te dwingen hun versleutelingsmethoden aan te passen. Hoe werkt versleuteling en is het echt veilig? Hoe werkt versleuteling en is het echt veilig? Meer lezen om het eenvoudiger te maken om te snuffelen in de berichten van gebruikers. Volgens de FBI is dit een gezond verstand: criminelen vertrouwen immers op deze gecodeerde diensten om stiekem te communiceren, en de grondwet verleent hen het recht om informatie te bemachtigen (zoals brieven en documenten) wanneer een wettig bevelschrift wordt gepresenteerd.
Dus waarom zou u de FBI niet de mogelijkheid geven om gecodeerde documenten te lezen??
Als we deze stappen niet nemen, waarschuwen de FBI dat criminelen en terroristen 'donker blijven' - om hun verkeer naar anonieme berichtenplatforms te verplaatsen die niet nauwkeurig kunnen worden bewaakt. Dit, zeggen ze, laat de machtsverhoudingen over aan slechte mensen. De regering van het Verenigd Koninkrijk heeft eveneens ernstige waarschuwingen gemaakt Waarom Snapchat en iMessage echt verboden konden worden in het VK Waarom Snapchat en iMessage echt verboden konden worden in het VK Sprekend tot een kamer vol met partijactivisten in Nottingham, verklaarde premier David Cameron dat versleuteling voor berichtenverkeer zou worden verboden als zijn partij bij de volgende algemene verkiezingen een meerderheid zou krijgen. Lees verder .
Volgens FBI-directeur James Comey:
“ISO's M.O. is om op Twitter uit te zenden, mensen te laten volgen en ze vervolgens naar Twitter Direct Messaging te sturen” om te beoordelen of ze een legitieme rekruut zijn, zei hij. “Vervolgens verplaatsen ze ze naar een gecodeerde app voor mobiel berichten, zodat ze voor ons donker worden.”
De FBI maakt ook geen idle chatter. De volgende strijd in de privacyoorlog gebeurt, grotendeels in het geheim, bij Apple, Inc. De CEO, Tim Cook, heeft steeds bozer wordende uitspraken doen over de privacy van gebruikers, waaronder de volgende:
“[T] hier waren geruchten en dingen die in de pers werden geschreven dat mensen backdoors naar onze servers hadden. Niets daarvan is waar. Nul. Dat zouden we nooit toestaan. Ze zouden ons eerst in een doos moeten vervoeren voordat we dat zouden doen.”
Geruchten circuleren al een tijdje dat de FBI probeert het bedrijf onder druk te zetten om toe te voegen “back-doors” naar de codering in hun producten en diensten (zoals de iPhone en iMessaging). Nu is er enig openbaar bewijs dat dit gebeurt. Het ministerie van Justitie heeft Apple een rechterlijk bevel uitgevaardigd waarin hij eist dat ze real-time berichtenlogboeken overhandigen tussen twee verdachten in een zaak van wapens en drugscriminaliteit. Apple heeft dit geweigerd door te zeggen dat zelfs zij gebruikerscodering niet kunnen kraken - dat is tenslotte het punt.
Het antwoord van de FBI en DoJ was dat ze overwegen om Apple voor de rechtbank te dagen - vermoedelijk om te proberen een rechterlijk bevel te verkrijgen om het bedrijf te dwingen achter hun encryptie te komen. ZDNet waarschuwt dat als dit gebeurt, Apple kan worden gedwongen om te capituleren. Het zou niet de eerste keer zijn dat zoiets gebeurt: in 2014 was Yahoo eindelijk in staat om zijn geheime FISA-rechtbank te bespreken met PRISM, het surveillanceprogramma van de overheid dat werd onthuld door Edward Snowden Hero of Villain? NSA modereert zijn houding op Snowden-held of schurk? NSA modereert zijn houding op Snowden Klokkenluider Edward Snowden en John DeLong van de NSA stonden op het programma voor een symposium. Hoewel er geen debat was, lijkt het erop dat de NSA niet langer Snowden als een verrader schildert. Wat is er veranderd? Lees meer, terug in de vroege jaren 2000. Toen het weigerde gebruikersinformatie over te dragen, werd Yahoo geconfronteerd met enorme, geheime boetes - $ 250.000 per dag, elke maand verdubbeld. Voor de context zou de dagelijkse boete in iets meer dan twee jaar het wereldwijde bbp van $ 74 biljoen dollar hebben overschreden.
Implementatieproblemen
Zelfs met het negeren van de verschillende morele en constitutionele zorgen met dit soort dingen, zijn er ook tal van technische problemen met het voorstel. Sinds de FBI begon aan te dringen op hun achterpoortjes voor encryptie, hebben een aantal beveiligingsonderzoekers naar voren gebracht om enkele fundamentele tekortkomingen in het hele concept aan te wijzen..
Om te beginnen zal elke reguliere beveiligingsexpert u vertellen dat het “beveiligde achterdeurtjes” dat Comey wil niet echt bestaan. De directeur van de Federal Trade Commission heeft gezegd dat het voorstel een slecht idee is. Er is geen manier om een achterdeur achter te laten in een krachtig versleutelingsschema zonder de algemene beveiliging ernstig te schaden. Cryptosystemen die die eigenschap hebben gewoon niet bestaan. Cryptografie is niet iets dat tot bestaan kan worden gewild.
TechDirt heeft een heel mooi artikel dat dit idee uit elkaar haalt. Een keuze citaat:
“[Ik] is tamelijk verbluffend dat Comey blijft volhouden dat die slimme geesten in Silicon Valley wat magisch pixie-stof kunnen strooien en hem geven wat hij wil, maar tegelijkertijd beweert dat het te moeilijk voor de FBI om daadwerkelijk te kwantificeren hoe groot een probleemcodering is voor haar onderzoeken. Bovendien kan hij zelfs geen single aanbieden echt wereldvoorbeeld waar encryptie een echt probleem is geweest.”
Zelfs als zo'n systeem zou kunnen worden gemaakt, is er nog een ernstige tekortkoming: we zouden die sleutel geven aan de regering. Dezelfde overheid die zijn eigen personeelsdossiers niet eens veilig kan bewaren. Wat is de OPM-hack en wat betekent dit voor u? Wat is de OPM-hack en wat betekent dit voor u? Gedurende enkele weken is het nieuws uit het Office of Personnel Management (OPM) gestaag slechter geworden, na een hack van historische proporties. Maar wat is er echt gebeurd en wat kun je eraan doen? Lees meer en ging maanden of jaren zonder te merken dat ze waren gehackt. Edward Snowden, een aannemer, liep naar buiten met details over de meest gevoelige zaken van de NSA. Hoeveel uur denkt u dat het zou duren voordat de Chinese overheid een kopie van de sleutel zou bemachtigen? Hoeveel dagen tot het opduikt op het donkere net Hoe vind ik actieve uiensites (en waarom zou je dat willen) Hoe vind ik actieve uienlocaties (en waarom zou je dat willen) Ui-sites worden gehost op het Tor-netwerk. Maar hoe vind je actieve Uien-sites? En naar welke moet je gaan? Meer lezen en een halfbevoegde hacker toegang heeft tot iemands bankrekening? De computerbeveiligingsnormen binnen de Amerikaanse overheid zijn niet eens in de buurt van goed genoeg om hen de beveiliging van het hele internet toe te vertrouwen.
Valse doeleinden
Er is echter een groter probleem dat rechtstreeks naar de kern van het hele argument gaat: namelijk dat dit soort achterdeurtjes niet echt het probleem oplossen waar de FBI zogenaamd bezorgd over is. De rechtvaardiging van de FBI hangt af van ernstige bedreigingen - niet van drugsdeeltjes en van portemonsters, maar van terroristen en mensenhandelaars. Helaas zijn dit de mensen die het minst worden beïnvloed door deze achterdeurtjes.
Terroristen en criminelen zijn niet onwetend van encryptie. Degenen die codering gebruiken, doen dit expres, om toezicht te voorkomen. Het is naïef om te denken dat ze het niet zullen merken als de FBI erin slaagt een soort van achterdeur te krijgen. Terroristen en wapenhandelaars zullen niet alleen doorgaan met het gebruik van een iMessenger met achterdeur - ze zullen overschakelen naar gecodeerde chatprogramma's. Hoe u uw chats met chatberichten beveiligt en versleutelt Hoe uw chatberichten te beveiligen en versleutelen Lees verder ontwikkeld in andere landen of open-source software waarvan zij de veiligheid kunnen verifiëren. Degenen die kwetsbaar zijn voor de achterdeurtjes zullen degenen zijn die te weinig geïnformeerd zijn om betere computerbeveiliging te gebruiken - oftewel, kleine criminelen en de meeste gezagsgetrouwe burgers.
Cryptografische achterdeuren zijn veel nuttiger voor het rondneuzen op je oma dan voor het rondneuzen op IS, en de FBI weet dit waarschijnlijk. Dus neem hun vreselijke waarschuwingen over terroristen met een beetje zout zo groot als Utah.
De FBI zal natuurlijk betogen dat er geen sprake is van privacykwesties voor gezagsgetrouwe burgers. Immers, ze zouden nog steeds een bevelschrift nodig hebben om toegang te krijgen tot deze informatie, net zoals ze zouden zoeken in je huis of archiefkast. Dit zijn echter niet de ongeïnformeerde, onschuldige dagen voordat de Snowden lekken.
We weten van het bestaan van geheime rechtbanken die geheime warrants uitgeven op basis van geheim bewijsmateriaal. Die rechtbanken weigeren niet om warrants uit te geven, omdat dat niet hun doel is. Het zijn allemaal rubberen stempels behalve naam. Ons vragen om onze privacy te vertrouwen op een dergelijk systeem is actief beledigend.
Hier is beveiligingsexpert Bruce Schneier Security Expert Bruce Schneier over wachtwoorden, privacy en vertrouwensbeveiliging Expert Bruce Schneier over wachtwoorden, privacy en vertrouwen Lees meer over beveiliging en privacy in ons interview met beveiligingsdeskundige Bruce Schneier. Lees meer met een soortgelijk beeld op zijn blog, Schneier over Beveiliging,
“Stel je voor dat Comey kreeg wat hij wilde. Stel je voor dat iMessage en Facebook en Skype en al het andere dat door de VS is gemaakt zijn achterdeur hadden. De ISIL-medewerker zou zijn potentiële rekruut vertellen iets anders te gebruiken, iets veiligs en niet door de VS gemaakt. Misschien een coderingsprogramma uit Finland, of Zwitserland, of Brazilië. Misschien Mujahedeen Secrets. Misschien iets.”
Een geschiedenis van bewaking
Dit is niet de eerste keer dat verschillende overheidsinstellingen zoiets hebben geprobeerd. In de jaren negentig probeerde de regering-Clinton de techindustrie te dwingen surveillanceapparatuur op hun apparaten te installeren - de zogenaamde “Clipper-chip,” waarmee overheidsinstanties sterke codering kunnen omzeilen.
Ook in dat geval werden kwetsbaarheden in het systeem aangetroffen, waardoor de apparaten minder veilig zijn en criminelen het in ieder geval kunnen omzeilen. Het voorstel was verslagen. In een analyse genoemd “Sleutels onder deurmatten: onzekerheid in de wacht slepen door van de overheid toegang te eisen tot alle gegevens en communicatie,” meer dan een dozijn beveiligingsonderzoekers zijn van mening dat het nieuwe voorstel nog slechter zou zijn. Van het abstract:
“Twintig jaar geleden lobbyden wetshandhavingsorganisaties voor gegevens- en communicatiediensten om hun producten te engineeren om rechtshandhaving toegang tot alle gegevens te garanderen. Na lang gediscussieerd te hebben en krachtige voorspellingen van handhavingskanalen donker te zijn geworden, werden deze pogingen om het opkomende internet te reguleren afgeschaft.
In de tussenliggende jaren bloeide innovatie op internet en vonden wetshandhavingsinstanties nieuwe en effectievere manieren om toegang te krijgen tot enorm grote hoeveelheden gegevens. Vandaag horen we opnieuw oproepen tot regulering om het verlenen van uitzonderlijke toegangsmechanismen verplicht te stellen.
In dit rapport heeft een groep computerwetenschappers en veiligheidsexperts, van wie velen deelnamen aan een studie uit 1997 over dezelfde onderwerpen, samengekomen om de waarschijnlijke effecten te onderzoeken van het opleggen van buitengewone toegangsmandaten. We hebben geconstateerd dat de schade die zou kunnen worden veroorzaakt door wetshandhaving, buitengewone toegangseisen zouden zijn, die vandaag nog groter zijn dan 20 jaar geleden.”
Te veel voor te weinig
Samenvattend: achterdeurtjes van encryptie zijn technisch en praktisch een slecht idee. Ze lossen de grote problemen van rechtshandhavingsinstanties niet op, maar creëren wel nieuwe problemen voor consumenten en voor iedereen die afhankelijk is van veiligheid. Hen dwingen om in de industrie te werken, zal onbetaalbaar duur zijn en we zullen er bijna niets voor terugkrijgen. Ze zijn een slecht idee, te kwader trouw voorgesteld. En met een beetje geluk zal het groeiende stemgeluid tegen het idee hen weer stoppen.
Wat denk je? Moet de overheid de macht hebben om versleuteling in gevaar te brengen? Laat ons je mening weten in de reacties!
Image Credits: blokkering van de deuropening door Mopic via Shutterstock
Ontdek meer over: online privacy, online beveiliging, bewaking.