De wetgevende E2E-coderingsschijf van de EU en uw privacy

Als je een van de 1,6 miljard WhatsApp-gebruikers bent, gebruik je al end-to-end-encryptie (E2EE). Deze veilige vorm van communicatie betekent dat elk bericht dat u naar iemand stuurt, alleen kan worden gelezen door de ontvangers dergelijke chatberichten kunnen niet worden onderschept door derden, inclusief regeringen en criminelen.

Helaas gebruiken criminelen ook codering om hun sporen te verbergen wanneer ze kwaadaardige dingen doen, waardoor beveiligde berichten-apps een belangrijk doelwit zijn voor overheidsregulering. In recent nieuwsheeft de Raad van Europa een resolutie opgesteld om E2EE te reguleren, terwijl hij voor de definitieve vorm naar de Europese Commissie gaat.

De vraag is: staan ​​we op het punt onze privacy op messenger-apps te verliezen?

Terror Spike duwt de versnellingen van de EU in beweging

Na recente aanslagen in Frankrijk en Oostenrijk hebben de premiers van beide landen, respectievelijk Emmanuel Macron en Sebastian Kurz, een Raad van de Europese Unie (CoEU) geïntroduceerd

resolutie ontwerp op 6 november, gericht op het reguleren van end-to-end encryptiepraktijken.

De CoEU is het voorstelorgaan dat de richting van het beleid bepaalt, terwijl de Europese Commissie hieruit uitvoerbare wetgeving zal opstellen. Gelukkig is de ontwerpresolutie, als wetgevende opening, niet zo problematisch voor de privacy als men zou verwachten:

• De resolutie doet geen specifieke voorstellen voor een E2EE-verbod.
• Het stelt niet voor om achterdeurtjes te implementeren voor coderingsprotocollen.
• Het bevestigt dat de EU zich houdt aan sterke codering en privacyrechten.
• Het dient als een uitnodiging aan experts om de beveiligingsmaatregelen in het kader van "beveiliging ondanks encryptie" volledig te onderzoeken.

De resolutie stelt echter een gerichte aanpak voor:

"Bevoegde autoriteiten moeten op een legale en gerichte manier toegang kunnen krijgen tot gegevens, met volledige eerbiediging van de grondrechten en het gegevensbeschermingsregime, terwijl de cyberbeveiliging wordt gehandhaafd."

Gezien de trend dat regeringen het aantal geldige doelen uitbreiden, kan dit ook legale protesten omvatten. In het geval van Frankrijk zou dit de Yellow Vests-beweging kunnen zijn, die van Facebook werd gedwongen naar een beveiligde Telegram-app.

Interessant genoeg was Telegram dezelfde app die Rusland verbood omdat het ontwikkelingsteam weigerde een achterdeur voor de regering te creëren. Het Europese Hof voor de Rechten van de Mens (EHRM) van de EU oordeelde een dergelijk verbod als een duidelijke schending van de vrije meningsuiting. De uitspraak wierp zijn vruchten af ​​als Rusland het tweejarige verbod op Telegram opgeheven.

Dient de Telegram-uitspraak van het EHRM als een toekomstige waarborg?

Helaas lijkt dit niet het geval te zijn. In 2019 oordeelde het EHRM dat vrije meningsuiting rond het onderwerp Holocaust geen mensenrecht is. Tegelijkertijd oordeelde de rechtbank dat dezelfde vrije meningsuiting over het onderwerp de Armeense genocide een mensenrecht op vrije meningsuiting vormt. Deze onsamenhangende uitspraken laten zien dat het EVRM geen universele normen handhaaft.

Heeft de ontwerpresolutie van de EU gevolgen voor u?

Als u zich zorgen maakt dat WhatsApp-, Telegram-, Viber- en andere E2EE-apps u plotseling blootstellen aan hackers en datamijnwerkers, doe dat dan niet. Binnen de EU hebben we waarschijnlijk te maken met een hybride oplossing, waarbij wetshandhavingsinstanties rechtbanken voldoende moeten motiveren om inbreuk te maken op de privacy.

Aan de andere kant lijkt er binnen de Five Eyes-sfeer een enorme te zijn druk om achterdeurtjes te maken in E2EE-messenger-apps. Het terugdringen van burgers en ngo's zoals Electronic Frontier Foundation zal van cruciaal belang zijn om dergelijke restrictieve wetgeving inzake cryptografie af te wenden.

Verwant: Wat is "Five Eyes" -bewaking?

Wat is "Five Eyes" -bewaking? VPN-gebruikers, pas op!

Als u denkt dat VPN's u beschermen tegen overheidstoezicht, vergist u zich misschien. Het hangt er eigenlijk van af waar uw VPN wordt gehost.

De gladde helling van regeringen die cryptografie reguleren

Het is geen geheim dat landen over de hele wereld gretig zijn om de privacy van burgers te ondermijnen in het belang van de vermeende nationale veiligheid. Deze kosten zijn meestal geleid door de Five Eyes inlichtingenalliantie. Ze proberen de breedste aanpak te implementeren, waarbij softwareontwikkelaars verplicht worden gesteld backdoors integreren in hun apps. Dit zou regeringen en technologiebedrijven in staat stellen om naar believen toegang te krijgen tot alle privégegevens.

Hoewel de regeringen retorisch beweren dat ze voorzorgsmaatregelen hebben getroffen tegen misbruik, is hun staat van dienst niet geweldig. Zoals Snowden-lekken onthuld, lijken ze gewetenloos te zijn in de manier waarop ze het recht van burgers op privacy en het vermijden van misbruik zien. Bovendien worden achterdeurtjes gemakkelijk uitgebuit door cybercriminelen, met grote economische schade en verlies van vertrouwen tot gevolg.

Gemandateerde achterdeurtjes zijn nog geen realiteit, maar regeringen kunnen een krachtig overtuigingsarsenaal inzetten op elk moment dat een criminele / terroristische daad plaatsvindt. Daarom hebben regeringen een gestaag momentum om de privacybescherming uit te hollen, met het argument dat:

• Terroristen / criminelen hebben dezelfde toegang tot gecodeerde communicatieprotocollen als de gezagsgetrouwe burgers.
• Daarom moeten versleutelde communicatieprotocollen worden ondermijnd in het belang van de gezagsgetrouwe burgers.

Het evenwicht tussen de twee proberen te bereiken is een continu proces, dat onlangs door de EU-lidstaten in de publieke belangstelling is gebracht.

Waarom is E2E-codering belangrijk?

Wanneer mensen niet willen nadenken over de gevolgen van de bewakingsstaat, nemen ze vaak hun toevlucht tot het basisargument:

"Ik heb niets te verbergen."

Helaas maakt het naleven van dergelijke naïviteit uw leven niet veilig voor misbruik. Zoals de Gegevensschandaal Facebook-Cambridge Analytica aangetoond, moet men zijn persoonlijke gegevens net zo nauwgezet behandelen als men de eigendommen in zijn huis zou beschermen. Wanneer u wordt ontdaan van E2E-coderingsprotocollen, creëert u een omgeving die zorgt voor:

• Zelfcensuur als mindset.
• Hacken en chantage.
• Onvermogen om een ​​effectieve politieke dissident of journalist te zijn.
• Bedrijven en regeringen die uw psychologische profiel tegen u gebruiken.
• Regeringen minder verantwoordelijk maken voor hun negatieve beleid.
• Onvermogen om intellectueel eigendom effectief te beschermen.

Net zoals criminelen gemakkelijk toegang hebben tot vuurwapens, ondanks het verbod en de strikte controle over de hele wereld, zo zouden criminelen ook andere communicatiemethoden aanschaffen. Tegelijkertijd zou het ondermijnen van E2EE bedrijven en individuele burgers kwetsbaar maken voor een breed scala aan vormen van misbruik.

Welke E2EE-opties heeft u tot uw beschikking?

Backdoors in messenger-apps kunnen op drie manieren plaatsvinden:

1. Per ongeluk door slechte codering, die later wordt gepatcht wanneer de kwetsbaarheid wordt ontdekt.
2. Opzettelijk door overheidsinstanties die interne druk uitoefenen op bedrijven.
3. Opzettelijk en openlijk door wetgeving.

We moeten het derde scenario nog bereiken. Probeer in de tussentijd deze beveiligingsrichtlijnen te volgen bij het kiezen van een veilige messenger-app:

• Kies apps die een goede staat van dienst hebben wat betreft het weerstaan ​​van druk en die hoog worden gewaardeerd door gebruikers.
• Als u een optie krijgt, kiest u gratis open source-software - FOSS-apps. Dit zijn door de gemeenschap aangestuurde apps, dus de implementatie van de achterdeur zou snel worden onthuld. Soms vindt u deze apps ook onder de afkorting FLOSS - free / libre open source software.
• Probeer bij het gebruik van e-mail e-mailplatforms te gebruiken met PGP- of GPG-coderingsprotocollen.

Rekening houdend met deze factoren, volgen hier enkele goede open-source E2EE-messenger-apps:

Signaal

Signal is een favoriet geworden onder veel privacybewuste gebruikers, en om goede redenen. Het maakt gebruik van Perfect Forward Secrecy (PFS) voor alle soorten berichten: tekst, audio en video. Signal registreert ook niet je IP-adres, terwijl je de mogelijkheid hebt om zelfvernietigende berichten te verzenden. Op Android-apparaten kun je er zelfs een standaardapp van maken voor je sms-berichten.

Signal vereist echter wel een aanmelding via een telefoonnummer, naast het niet bieden van tweefactorauthenticatie (2FA). Over het algemeen moet deze GDPR-compatibele messenger-app die beschikbaar is voor alle platforms nog worden overtroffen.

Downloaden: Signaal voor Android | iOS | ramen (Vrij)

Sessie

Session, een uitloper van Signal (een vork), streeft naar nog formidabelere beveiligingsfuncties dan Signal. Daartoe integreerde het alle Signal-functies, maar liet het de vereiste weg om een ​​telefoonnummer of e-mailadres te hebben voor aanmelding. Het registreert geen metadata of IP-adressen, maar ondersteunt nog steeds geen 2FA.

De open source-ontwikkeling is nog steeds aan de gang, dus u kunt bugs tegenkomen. Bovendien is het Onion Routing-protocol, dat wordt gebruikt door de Tor-browser, ook in ontwikkeling.

Downloaden: Sessie voor Android | iOS | Mac | ramen | Linux (Vrij)

Briar

Volledig gedecentraliseerde Briar is een van de nieuwste FOSS-apps met E2EE-messengerprotocollen. Exclusief voor het Android-platform, is Briar de ideale oplossing voor diegenen die zich zorgen maken over een server die hun berichten opslaat. Briar maakt dit onmogelijk door peer-to-peer (P2P) -protocollen te gebruiken. Dit betekent dat alleen jij en de ontvanger de berichten kunnen opslaan.

Bovendien voegt Briar een extra beschermingslaag toe door gebruik te maken van het Onion Protocol (Tor). U hoeft geen informatie op te geven om Briar te gaan gebruiken, behalve de naam van de ontvanger. Als u echter van apparaat verandert, zijn al uw berichten onbereikbaar.

Downloaden: Briar voor Android (Vrij)

Draad

Hoewel het nog steeds open source blijft, is Wire bedoeld voor groepsberichten en het delen van berichten, waardoor het ideaal is voor zakelijke omgevingen. Het is niet gratis, behalve voor persoonlijke accounts. Naast E2EE-protocollen gebruikt Wire Proteus en WebRTC met PFS, naast automatisch wissen van berichten.

Wire vereist een telefoonnummer / e-mailadres om u aan te melden, naast het loggen van enkele persoonlijke gegevens. Het ondersteunt ook geen 2FA. Desalniettemin maken de AVG-naleving, open source-aard en de beste versleutelingsalgoritmen het geweldig voor zakelijke organisaties.

Downloaden: Draad voor Android | iOS | Mac | Web | Linux (Vrij)

U bent niet weerloos tegen het kerende tij

Uiteindelijk, zelfs als regeringen E2EE volledig verbieden of achterdeurtjes verplicht stellen, zouden criminelen andere methoden vinden. Aan de andere kant zouden de minder geëngageerde burgers gewoon de nieuwe stand van zaken accepteren: massasurveillance. Daarom moeten we voorzichtig zijn en altijd ons best doen om ons fundamentele mensenrecht op privacy te behouden.

Waarom u zich zorgen moet maken over de sporen die uw digitale voetafdruk achterlaat

U laat veel informatie online achter zonder dat u het weet. Is deze digitale voetafdruk een risico voor uw privacy?

Over de auteur