Video: Zo dichtbij...wat als...? (November 2024)
Terwijl de toenemende bezorgdheid van Amerika over terrorisme tegen het gegronde wantrouwen van autoriteit stootte, is het resultaat een verrassend krachtig debat over codering en digitale rechten.
Verschillende wetshandhavingsinstanties hebben ontkend hoe sterk versleuteling het internet "donker" maakt, dwz het belemmert hun vermogen om de Matrix onbelemmerd door te nemen op zoek naar slechteriken en hun snode bedoelingen. (In dit geval kan "donker worden" overlappen met - maar moet niet worden beschouwd als synoniem met - "The Dark Web", wat verwijst naar de soms louche onderbuik die leeft binnen het Tor-netwerk).
Op hetzelfde moment dat autoriteiten proberen hun digitale surveillancebevoegdheden te verbeteren, dringen privacyadvocaten aan op meer standaardcodering om de burgerlijke vrijheden van gebruikers te beschermen die vaak meer dan bereid zijn privacy uit te wisselen voor het gemak.
Daartoe hebben wetgevers op alle niveaus wetsvoorstellen voorgesteld die de toegang van het publiek tot dingen zoals gecodeerde iPhones beperken (of in sommige gevallen volledig verbieden), terwijl anderen wetgeving hebben voorgesteld die dit zou stimuleren. (En we moeten opmerken dat de politieke strijd om encryptie verfrissend is beperkt door de huidige diepgewortelde partijdige verdeeldheid. Er zijn Republikeinen en Democraten aan beide kanten van de kwestie - het zal waarschijnlijk niet duren, maar dit niet-tribale beleidsdebat is een mooie verandering van tempo.)
In veel opzichten is het coderingsdebat zeer specifiek voor dit exacte moment in de technologische geschiedenis. Als het echt op grote schaal 'donker zou worden', zouden de autoriteiten in wezen teruggaan naar een pre-internettijd waarin het moeilijker was om op afstand rond te snuffelen. Ondertussen wordt de bescherming die wordt geboden door gecodeerde telefoons snel technologisch vreemd omdat inlichtingenbureaus hun aandacht verleggen van tikken op smartphones naar tikken op slimme huizen. Ja, je smart-tv kan je aanstelen (wat verre van paranoïde fantasie is).
We spraken met verschillende experts op het gebied van digitale privacy voor een gedachte-experiment over hoe het internet eruit zou zien als sterke, alomtegenwoordige codering eerder regel dan uitzondering was (en of dat zelfs mogelijk zou zijn).
Als alle apparaten en communicatie standaard werden gecodeerd, zouden gebruikers dan een verschil in de eindervaring herkennen?
Amie Stepanovich, US Policy Manager, Access Now : er zijn verschillende soorten codering. Er is transit-encryptie en encryptie in opslag. Als je het hebt over transitcodering, krijg je dat als je HTTPS ziet: aan het begin van een URL. Veel bedrijven zijn daar traag op overgegaan omdat er een argument was dat het langzamer was of dat het dingen kapot maakte. Het argument dat het langzamer is, is in elk geval aan de kant gezet.
In 2011 was er een grote hacking van Gmail door China. Destijds gebruikte Gmail geen codering voor transit. Ze zeiden dat het was omdat het de dingen langzamer zou maken. En na de China-hack waren ze van 'Oh, misschien moeten we dat op zijn plaats zetten'. En het heeft echt helemaal geen invloed gehad op de gebruikerservaring. Mensen hadden in wezen geen idee dat de verandering had plaatsgevonden, behalve dat ze aan de andere kant een stuk veiliger waren.
Als het gaat om robuustere vormen van codering, zijn er nog wat meer kostenvoordelen om te overwegen. End-to-end-codering is bijvoorbeeld niet altijd doorzoekbaar en is niet beschikbaar op apparaten waarop geen sleutel is geïnstalleerd. U kunt bijvoorbeeld niet e-mail controleren op verschillende apparaten. Het hangt af van de implementatie en welk beveiligingsniveau u zoekt. Meestal zul je ze niet eens herkennen.
Garandeert encryptie dat al uw gegevens privé blijven?
AS: is niet noodzakelijk het einde van het verhaal… als je iets opslaat in de cloud van Apple, heeft Apple daar toegang toe. Zelfs als iedereen een standaard gecodeerde iPhone had, beschermt deze uw gegevens niet zodra u uw informatie met de cloud synchroniseert.
Vuistregel is dat als u informatie over een apparaat hebt en u dat apparaat in een plas laat vallen en het sterft, maar u nog steeds toegang kunt krijgen tot uw gegevens, uw gegevens niet volledig veilig zijn.
Veel mensen schakelen synchronisatie in vanwege het gemak omdat ze toegang willen hebben tot hun gegevens op verschillende apparaten. Het idee dat we op weg zijn naar alomtegenwoordige codering en iedereen gaat donker worden, is nogal onterecht omdat mensen een reden hebben om de sterkste beveiliging niet te gebruiken - gebruikers willen misschien dat Apple hun informatie opslaat in hun cloud omdat ze er een back-up van willen maken en toegang hebben tot het vanuit vele plaatsen, maar ze moeten gewoon weten dat Apple dan toegang heeft tot die informatie.
Negeert codering de intelligentie-verzamelmogelijkheden die Edward Snowden heeft onthuld, zoals PRISM, waarmee de NSA iemands e-mail kan doorzoeken door alleen hun naam op te zoeken?
Peter Eckersley, hoofd computerwetenschapper, Electronic Frontier Foundation : Helaas zijn we niet in de buurt van enige vorm van codering die de inhoud van uw e-mail beschermt tegen een PRISM-achtige aanval. We moeten deze dingen bouwen, maar de krachtige codering waarover nu wordt gedebatteerd, doet dat niet. We komen daar misschien met sms-berichten, maar hebben nog geen manier om end-to-end e-mailversleuteling te doen. Geen praktische.
Services zoals Silent Circle of Whisper bieden end-to-end encryptie, maar zijn nog geen praktische vervanging voor e-mail. Er is een technologie genaamd PGP die al een tijdje bestaat, maar voor de meeste mensen is deze nog niet praktisch.
Er zijn enkele grote technische verschillen tussen e-mail en sms die e-mail een stuk moeilijker maken: mensen verwachten al hun oude e-mails te hebben; ze verwachten dat ze al hun oude e-mails heel snel kunnen doorzoeken vanaf een telefoon, zelfs als ze 10 GB aan berichten hebben die ze niet lokaal op hun apparaat konden opslaan. De e-mailplatforms van vandaag hebben zeer geavanceerde functies voor het filteren van spam en prioriteiten die in deze e-mailplatforms zijn ingebouwd. Het is een onopgelost probleem om al die functionaliteit in een end-to-end gecodeerd systeem te repliceren.
Bestaat er in het tijdperk van supercomputers zelfs zoiets als onbreekbare codering?
AS: Er zijn brute force-aanvallen die jaren (tot honderden miljoenen jaren) nodig zouden hebben om toegang te krijgen tot gecodeerde informatie. Dat is de moeilijkste manier om toegang te krijgen. In veel gevallen zal het onmogelijk zijn. Dat is de reden waarom wanneer mensen toegang willen krijgen tot informatie - zij het hackers of overheden zijn - zij het op een andere manier aanpakken.
Ze kunnen het gebruik van een kwetsbaarheid die ze kunnen breken, aanmoedigen. Of ze installeren mogelijk een stukje malware waarmee ze toegang hebben tot uw apparaat - of u standaardcodering al dan niet gebruikt, maakt niet uit, omdat ze zich op uw apparaat bevinden en ze de niet-gecodeerde informatie kunnen zien.
Dat gebeurde in Kazachstan. De overheid daar vereist dat burgers een door de overheid verplicht kwetsbaarheid op hun apparaten installeren. Het maakt dus niet uit hoeveel codering u gebruikt of hoe u deze gebruikt - zij hebben de apparaten in bezit. Alle computers en telefoons hebben dit programma waarmee vermoedelijk gecodeerde informatie kan worden gedecodeerd.
Worden kwetsbaarheden en achterdeuren altijd gemaakt met de kennis van fabrikanten?
AS: Ze kunnen worden ingebracht met of zonder medeweten van de fabrikant… In één voorbeeld weten we dat de NSA en GCHQ toegang hebben gekregen tot simkaartsleutels. In dat geval hebben we geen reden om aan te nemen dat de fabrikant wist dat de SIM-kaartsleutels waren aangetast, maar ze waren toch aangetast. Er zijn dus veel verschillende manieren.
Het creëren van een achterdeur is eigenlijk een stuk moeilijker met open-source software, dat is waarom veel technologen ervoor pleiten.
Kan een overheid encryptie zelfs volledig verbieden als ze dat echt wilde? Het lijkt erop dat iemand er gewoon omheen kan werken.
PE: Als de FBI nieuwe backdoors in systemen wil creëren, heeft dit geen invloed op programmeurs die hun eigen software maken. De autoriteiten kunnen echter mogelijk het soort diensten beperken dat grote bedrijven het Amerikaanse publiek kunnen bieden.
Je zou zelf krachtige crypto-software kunnen installeren, maar de overheid kan mogelijk de mogelijkheden van Apple of Google beperken om je dat te geven in een handig product dat jou of je bedrijf veilig houdt.
Zou standaardcodering de mogelijkheden van regeringen om dingen te controleren echt belemmeren?
PE: standaard zou een sterke codering een grote overwinning zijn. Een voorbeeld van dingen die gebeuren wanneer je bijvoorbeeld een sterke gecodeerde versie van Wikipedia hebt, is dat overheden bepaalde Wikipedia-artikelen niet kunnen censureren. We hebben veel regeringen over de hele wereld gezien die Wikipedia willen toestaan, maar bepaalde artikelen willen blokkeren die ze echt niet leuk vinden. Het hebben van sterke codering betekent dat een verbinding met Wikipedia niet gemakkelijk kan worden onderscheiden van een andere verbinding, dus de overheid moet mensen vrij laten lezen.
We vechten al tientallen jaren om het gebruik van transitcodering te verhogen. En we hebben enorm veel vooruitgang geboekt. Maar we weten dat er, als je eenmaal deze codering hebt geïnstalleerd, er nog steeds veel dingen mis kunnen gaan als je wordt aangevallen door een hacker of een inlichtingenbureau. Die omvatten malware die op uw computer terechtkomt of datalekken aan de serverkant. U hebt dus een beveiligde gecodeerde verbinding met een website, maar dan wordt de database die de website heeft afzonderlijk gehackt, dan zijn alle gegevens die u erin plaatst kwetsbaar.
Er is een techniek die 'verkeersanalyse' wordt genoemd, waarbij mensen in plaats van de inhoud te lezen van de communicatie die uw computer verzendt, het patroon van die communicatie volgen. En helaas is er een enorme hoeveelheid te leren van dat soort gegevensanalyse en metadata. We staan dus pas aan het begin van een lange strijd om internetgebruikers en internet tegen deze problemen te beschermen. Je kunt er zeker van zijn dat slechteriken, of ze nu hackers of regeringen zijn, deze technieken tegen ons zullen gebruiken totdat we slagen.
Wat is precies het probleem met overheden die via een achterdeur kunnen gaan om gecodeerde informatie op een apparaat te bekijken, gezien ze de juiste juridische uitdagingen doorlopen?
AS: Wanneer mensen achterdeuren en kwetsbaarheden zeggen, is het stenografie voor verschillende benaderingen die de overheid zou kunnen nemen en hebben gevolgd om hun toegang tot gegevens te behouden.
Een methode is wanneer de overheid een bedrijf toestaat om een soort van codering te implementeren, maar erop staat dat het een soort kwetsbaarheid of defect heeft waardoor ze nog steeds naar binnen kunnen.
Het probleem is dat je geen defect kunt hebben dat niet door iedereen kan worden uitgebuit. Als daar eenmaal een gat is, kan iedereen rondneuzen en naar dat gat zoeken… deze dingen worden uiteindelijk ontdekt. Misschien niet meteen, maar dat zullen ze uiteindelijk wel zijn. Ze worden ingebroken, en ze worden ingebroken door de slechteriken.
Interviews werden afzonderlijk via de telefoon en Skype afgenomen en antwoorden werden bewerkt voor de duidelijkheid en duidelijkheid .
