Chatcontrol: EU voorstel om je berichten te scannen

De piratenpartij heeft er een diepgaand artikel over.
https://piratenpartij.nl/chatcontrole/

Jammer dat dit nieuws nu wel in de EK ruis verdwijnt.

Vanochtend rond 7 uur stond dit toevallig bovenaan op nu.nl:

https://www.nu.nl/tech/63...nline-kindermisbruik.html

jeroen3 schreef op woensdag 19 juni 2024 @ 08:06:

Jammer dat dit nieuws nu wel in de EK ruis verdwijnt.

Is dat toeval of zorgvuldige planning om verregaande wetgeving door te drukken?
Misschien kunnen ze het briefgeheim ook meteen afschaffen, en alle post openmaken en scannen.

Orangelights23 schreef op woensdag 19 juni 2024 @ 09:46:
Traditioneel gezien zijn voornamelijk rechtse(re) partijen voorstander, maar op één of andere manier gaat links ook mee.

In een poging dit te verklaren, niet goed te keuren, speelt natuurlijk een rol dat het hier gaat om een backdoor waarbij kinderporno als argument gebruikt wordt. Dat is een hele bewuste keuze geweest van de voorstanders omdat je hier elke criticus op 0-1 achterstand zet. Kritiek op dit voorstel, hoe inhoudelijk ook en goed onderbouwd, komt met het risico dat je het verwijt krijgt niet om kinderen te geven of zelfs pedofielen in bescherming zou nemen. Dat maakt het riskant en niet aantrekkelijk om voor in de bres te springen.

eb ik gezien dat binnen Europa voornamelijk de nationale Piratenpartijen de enige partij zijn die principieel tegen zijn

Dat valt toch wel mee? zie bijvoorbeeld: https://chatcontrole.nl/stemwijzer2023/ & Traditioneel gezien zijn voornamelijk rechtse(re) partijen voorstander, maar op één of andere manier gaat links ook mee.
Het lijkt er op dat veel meer partijen (wellicht) tegen zijn, binnen Nederland dan.

Traditioneel gezien zijn voornamelijk rechtse(re) partijen voorstander, maar op één of andere manier gaat links ook mee.

Moet dit niet andersom zijn? Rechts zou hiet toch juist eerder tegen moeten zijn, dan voor?

SVMartin schreef op woensdag 19 juni 2024 @ 12:10:
Vanochtend rond 7 uur stond dit toevallig bovenaan op nu.nl:

https://www.nu.nl/tech/63...nline-kindermisbruik.html

Bepaalde keywords gebruiken om massa surveillance door te 'drukken' is gewoon echt triest. Dat het erg is ga ik niet ontkennen, natuurlijk. Maar dit is gewoon niet de manier. Alle inwoners moeten maar gecontroleerd worden zodat we, misschien (we weten het immers niet zeker), een zeer klein deel kunnen oppakken of betrappen?

@SVMartin

In een wetsvoorstel tegen online kindermisbruik uit 2022 stelt de Commissie voor om alles wat mensen via internet versturen te gaan scannen. Zo moeten kinderlokkers of mensen die beelden van kindermisbruik delen door de mand vallen.

In het compromis wordt ingezet op het scannen van internetverkeer vanaf jouw computer, tablet of smartphone. Voordat jij een foto of filmpje verstuurt, controleert software of het niet gaat om beelden van misbruik.

Dit zou dus betekenen dat er wordt gescand via CSAM hashes op de afbeeldingen.

Bij deze een artikel van Apple;

Apple gebruikt dus geen CSAM scanning* meer:

“Scanning every user’s privately stored iCloud data would create new threat vectors for data thieves to find and exploit," Neuenschwander wrote. "It would also inject the potential for a slippery slope of unintended consequences. Scanning for one type of content, for instance, opens the door for bulk surveillance and could create a desire to search other encrypted messaging systems across content types.”

“We decided to not proceed with the proposal for a hybrid client-server approach to CSAM detection for iCloud Photos from a few years ago,” Neuenschwander wrote to Heat Initiative. “We concluded it was not practically possible to implement without ultimately imperiling the security and privacy of our users.”

En dat is het probleem met deze wetgeving. Je krijgt een verschuiving als je eenmaal kan controleren, waarom controleren we dan niet op crimineel gedrag, anti-overheid opmerkingen, racisme, zelfmoordgedachten, etc.

Privacy is een groot goed; Ik zou niet willen dat de overheid gegevens doorspeelt naar mijn zorgverzekering als ik aangeef over mijn wekelijks verplichte vlees quota heen te gaan. En als ik klaag over mijn gemeente zou ik het niet leuk vinden om op een lijstje te staan. (Geheime lijsten van burgers bestaan nu ook al - belastingdienst fraude.)

CSAM scanning:

Hashing: Known CSAM images and videos are processed using a hashing algorithm to create unique digital fingerprints (hashes) for each file. Common algorithms include MD5, SHA-1, and more advanced ones like PhotoDNA.

Database of Hashes: These hashes are stored in a secure, centralized database maintained by organizations such as the National Center for Missing & Exploited Children (NCMEC) or other similar bodies globally.
On-device Scanning:

Local Scanning: When a user uploads photos to a cloud service like iCloud, the device could locally scan the images by comparing their hashes to the database of known CSAM hashes before the images are uploaded.
Privacy Preserving: This method is designed to ensure that only matching hashes are flagged, keeping non-CSAM images private.

[ Voor 17% gewijzigd door Neutrino op 19-06-2024 12:40 . Reden: wat meer info over CSAM scanning ]

Neutrino schreef op woensdag 19 juni 2024 @ 12:31:
Apple gebruikt dus geen CSAM meer:

Misschien ten overvloede, maar CSAM staat voor child sexual abuse material. Dat is dus de content, niet de techniek om het te detecteren.

RemcoDelft schreef op woensdag 19 juni 2024 @ 12:13:
[...]

Is dat toeval of zorgvuldige planning om verregaande wetgeving door te drukken?
Misschien kunnen ze het briefgeheim ook meteen afschaffen, en alle post openmaken en scannen.

Ik weet zeker dat bedrijven wel eens publicaties doen tijdens grote evenementen of vlak voor kerst als ze liever niet zoveel aandacht krijgen voor hun publicatie.
Of dat voor deze wet ook het geval is moet ik even aan de complotwappies vragen.

@Neutrino Apple is daar ook alleen maar mee gestopt na de ophef. Ophef is slechts voor de aandelen.
Ophef maakt voor overheden of de eu weinig verschil, er kunnen grote demonstraties plaatsvinden. (tenzij je een tractor hebt )

Het meest verbazende is wat @Orangelights23 benoemt is het gebrek aan media.
Dit zou zeker een goed onderwerp zijn geweest voor programma's als Arjen Lubach of soortgelijks.

Eerste Kamer akkoord met sterk bekritiseerde 'datasurveillancewet' WGS
Lang leve de DDR.

Ik begrijp wel dat ze wetgeving willen.
Vroeger (25 jaar geleden) hadden we MSN en webcams en moest je stiekem doen thuis, want o wee als je ouders je in je nakie achter de PC zagen zitten of je aan het pesten was.

Nu kan je gewoon op je 18+ mobieltje dat je van je ouders kreeg op het schoolplein in een hoekje of buiten schooltijd heel makkelijk zonder controle van je ouders.
Want berichten kan je ook na 1x kijken laten wissen...

Eigenlijk zouden de apparaten, net als alcohol/autorijden, een verbod moeten hebben onder 18 (maar gedoogd in bijzijn ouders).

Deze wet gaat naar mijn mening totaal niet werken.

Orangelights23 schreef op dinsdag 18 juni 2024 @ 22:46:
Wat denken jullie hiervan? En heeft het zin om een paar Tweakers auteurs te taggen om aandacht te vragen? Juist van een website als Tweakers verwacht ik veel tegenspraak op dit onderwerp, of minimaal aandacht.

Lijkt mij uitstekend om in GR te zetten (@WoutF)

Het is absurd, hoe Tweakers de ogen sluit voor de chatcontrole voorstellen van de EU, waarmee ze al onze online communicatie willen afluisteren. De enige tech-site die er nog aandacht aan geeft, is Security.nl
https://www.security.nl/p...ld+naar+donderdag+20+juni

https://www.security.nl/p...er+plan+voor+chatcontrole

Kletskous schreef op woensdag 19 juni 2024 @ 22:29:
Het is absurd, hoe Tweakers de ogen sluit voor de chatcontrole voorstellen van de EU, waarmee ze al onze online communicatie willen afluisteren. De enige tech-site die er nog aandacht aan geeft, is Security.nl
https://www.security.nl/p...ld+naar+donderdag+20+juni

https://www.security.nl/p...er+plan+voor+chatcontrole

Ja had eigenlijk wel verwacht dat Tweakers hier wel een artikel aan zou wijden. Het is toch zeker wel een relevant onderwerp zou je zeggen (en Tweakers heeft al eerder hier artikelen over geschreven).
Kwam het nu een soort van toevallig tegen op Twitter en ben pas na zoeken op het forum hier terecht gekomen.

Orangelights23 schreef op dinsdag 18 juni 2024 @ 22:46:
Ik heb op Tweakers volgens mij nog geen enkel bericht hierover gelezen, behalve dit 2 jaar oude artikel.

Modbreak:

Namens jou heb ik de vrijheid genomen om het topic Chatcontrole, waarom horen we hier weinig over op Tweakers? te starten in Geachte redactie. Dat is een betere plek om de discussie te voeren over de redactionele keuze om hier weinig tot niets over te schrijven.

Hier in Privacy en beveiliging kunnen we dan verder inhoudelijk discussieren over Chatcontrole, de politieke ontwikkelingen, voor- en nadelen, etc.

Omdat het allemaal lokale scanners zijn ben ik heel benieuwd hoe makkelijk het gaat worden om een aangepaste AOSP (of andere Linux alternatief) op je telefoon te zetten om al het scannen volledig te omzeilen.

Pendora schreef op donderdag 20 juni 2024 @ 08:38:
Omdat het allemaal lokale scanners zijn ben ik heel benieuwd hoe makkelijk het gaat worden om een aangepaste AOSP (of andere Linux alternatief) op je telefoon te zetten om al het scannen volledig te omzeilen.

Dat is mijn grootste probleem met deze wet. De criminelen kunnen er gewoon omheen werken maar ondertussen wordt van alle gewone gebruikers elk bericht gescand.

bw_van_manen schreef op donderdag 20 juni 2024 @ 09:12:
Dat is mijn grootste probleem met deze wet. De criminelen kunnen er gewoon omheen werken maar ondertussen wordt van alle gewone gebruikers elk bericht gescand.

Ik ben bang dat het verder gaat. Zodra de politiek doorkrijgt dat het te omzeilen is zullen ze de fabrikanten verplichten om het omzeilen onmogelijk te maken. Appstores worden verplicht om te controleren of apps wel netjes scannen en sideloaden zal verboden moeten worden. Alternatieve appstores zie ik dat niet overleven, die hebben het nu al erg moeilijk. Zelf je eigen software schrijven en installeren zal ook verboden moeten worden, of in ieder geval weggestopt achter een vergunning. Het rooten van je telefoon of het installeren van een custom rom zal onmogelijk zijn. Als eigenaar ben je niet langer echt de baas over je telefoon.
Dat zal niet op dag 1 zo zijn, maar het is de enige uitkomst die ik zie als je aan dat traject begint.

Daar kan het echter niet ophouden. Diezelfde regels zal je moeten toepassen op ieder apparaat met een internetaansluiting. Van PC's en TV's tot webservers en websites. Via websites kun je immers ook versleuteld berichten uitwisselen.

Een bijkomend negatief verschijnsel is dat dit waarschijnlijk ten koste gaat van het oplossen van security bugs, of beter gezegd, een verschuiving van welke bugs prioriteit krijgen. Momenteel zijn bugs waarbij je via internet toegang krijgt tot een apparaat de ergste soort securitybugs die we kennen. Security bugs waarvoor je al toegang tot het apparaat moet hebben zien we als veel minder belangrijk. De gebruiker hoeft z'n eigen apparaat en data immers niet te hacken, die toegang is er al. Daarmee wil ik niet zeggen dat die bugs geen risico meebrengen, maar wel minder.
Ik vrees dat bedrijven hier overmatig veel aandacht aan zullen (moeten) geven. Als bugs laten zitten hebben ze immers een conflict met de politie en politiek. Als ze andere securitybugs laten zitten dan komen de lasten bij gebruikers neer (die gehacked worden). Ik heb echter nog nooit gehoord dat een bedrijf gestraft is omdat een gebruiker is gehacked. Niet meewerken met de politie is iets dat wel echt wordt bestraft.
Het hoeft niet per se negatief te zijn, het kan ook zo uitpakken dat er in totaal meer aandacht is voor het oplossen van (security)bugs.


In dit debat heb ik het liever niet over "massasurveillance". Op een bepaalde manier is dat net zo erg als het "maar csam!"-argument en het maakt geen indruk op de voorstanders van chatcontrol. Ze zien het zelf niet als brede surveillance en dat is ook niet de bedoeling (in ieder geval van de meesten), ze voelen zich dus ook niet aangesproken. Net zo min als tegenstanders van wet zich aangesproken voelen als je zegt het pedo's zijn.

Als je breed indruk wil maken is het woord "(massa)surveillance" niet genoeg, je zal concreet moeten uitleggen hoe mensen er last van hebben. Hierboven heb ik dat uitgelegd op een manier die Tweakers aanspreekt, maar het grote publiek zal niet onder de indruk zijn, voor hen is het in praktijk al zo dat ze niet de baas zijn over hun eigen apparaten.

Daarbij is enige vorm van surveillance normaal in onze samenleving. Zo worden onze telefoon(centrale)s worden ook afgetapt en overaql hangen camera's. Of je daar nu blij mee bent of niet, de meeste mensen accepteren dat.
Ook ik vind dat de politie onder voorwaarden criminelen mag afluisteren. Uiteindelijk wil ik dat het recht zegeviert en boeven zich niet kunnen verstoppen. Als puntje bij paaltje komt wil ik dat de politie de waarheid boven tafel kan krijgen. Ik geloof dat digitale communicatie zo belangrijk is geworden dat je die nodig hebt in sommige onderzoeken en ik geloof ook dat het lastig is voor de politie dat ze daar niet bij kunnen. Uiteraard wil niemand dat dergelijk bevoegdheid verkeerd gebruikt wordt, maar af en toe een foutje is acceptabel, dat gebeurt overal waar mensen werken. Voorstanders zullen dat dus niet als show-stopper zien.


Mijn advies is dus om de gevolgen van zo'n wet zo concreet mogelijk te maken in termen die mensen direct begrijpen. Een strijd tussen het "csam"-frame en het "massasurveiliance"-frame kun je niet winnen. Mensen gaan nog liever onschuldig naar de gevangenis dan als pedo te worden bestempeld.

Pendora schreef op donderdag 20 juni 2024 @ 08:38:
Omdat het allemaal lokale scanners zijn ben ik heel benieuwd hoe makkelijk het gaat worden om een aangepaste AOSP (of andere Linux alternatief) op je telefoon te zetten om al het scannen volledig te omzeilen.

Iets als LineageOS of /e/OS installeren is toch al lang mogelijk?

Hier in België zie ik vandaag het onderwerp in enkele krantenkoppen en ook enkele artikels. Ook de website van de VRT heeft er nu (eindelijk) een artikel over.

Maar goed dat is vandaag pas, de dag van de stemming. Verklaart nog altijd niet waarom het niet nodig was hier eerder aandacht aan te besteden als, zoals eerder aangehaald in dit topic, een website als security.nl dit wel doet.

CAPSLOCK2000 schreef op donderdag 20 juni 2024 @ 11:26:
[...]


Ik ben bang dat het verder gaat. Zodra de politiek doorkrijgt dat het te omzeilen is zullen ze de fabrikanten verplichten om het omzeilen onmogelijk te maken. Appstores worden verplicht om te controleren of apps wel netjes scannen en sideloaden zal verboden moeten worden. Alternatieve appstores zie ik dat niet overleven, die hebben het nu al erg moeilijk. Zelf je eigen software schrijven en installeren zal ook verboden moeten worden, of in ieder geval weggestopt achter een vergunning. Het rooten van je telefoon of het installeren van een custom rom zal onmogelijk zijn. Als eigenaar ben je niet langer echt de baas over je telefoon.
Dat zal niet op dag 1 zo zijn, maar het is de enige uitkomst die ik zie als je aan dat traject begint.

Ik ben vooral benieuwd hoe apps zoals Signal hiermee om zullen gaan. Want inderdaad, als ze niet meewerken dan zullen ze vast geweerd worden uit de Play Store.

Geen stemming vandaag, is van agenda gehaald

Pendora schreef op donderdag 20 juni 2024 @ 08:38:
Omdat het allemaal lokale scanners zijn ben ik heel benieuwd hoe makkelijk het gaat worden om een aangepaste AOSP (of andere Linux alternatief) op je telefoon te zetten om al het scannen volledig te omzeilen.

Technisch blijft het altijd mogelijk je eigen OS te compileren, maar het is dan ook niet meer legaal.

Mijn software om te communiceren zijn voor 80% protocollen waar ik niet zo goed een open source client voor ken:
-Teams MS stack. Draai je dus de Microsoft (.NET) binary voor.
- Whatsapp. op de teleoon draait een gesloten binary, de web versie kan uiteraard gescanned worden op de web.whatsapp server voordate het geencrypt wordt.

Uiteraard kun je zelf signal compileren en daar de lokale filtering uit halen. En er zullen vast betere clients zijn die meer gefocussed zijn op p2p ipv alles via centrale servers te sturen. Centrale servers hebben immers ook info MET WIE je communiceert, ook al zien ze door de encrypty niet wat je communiceert.

leuk_he schreef op donderdag 20 juni 2024 @ 15:06:
[...]
Uiteraard kun je zelf signal compileren en daar de lokale filtering uit halen. En er zullen vast betere clients zijn die meer gefocussed zijn op p2p ipv alles via centrale servers te sturen. Centrale servers hebben immers ook info MET WIE je communiceert, ook al zien ze door de encrypty niet wat je communiceert.

Signal heeft al aangegeven dat ze nooit zullen meewerken aan Chatcontrol én dat als het een vereiste is ze uit de EU vertrekken. Ofja, niet letterlijk op die manier, maar daar kwam het volgens Meredith Whitaker wel op neer vanwege deplatforming door de App Stores.

Signal heeft gecentraliseerde servers en dat is zéker een nadeel. Maarrr, ze kunnen door die encryptie - puur in het geval van Signal - ook niet zien met wie je communiceert.

Verder is de strekking van je bericht eigenlijk ook gelijk het hele 'domme' aan Chatcontrol en de crypto wars. Misschien vang je een kruimeldief - maar je naait er vooral de onschuldige massa mee.

De geest is al uit de fles, we hebben sterke encryptie. Mogelijke "adversaries" kunnen die encryptie gewoon blijven gebruiken. En die gaan zich niet ineens aan dr wet houden om andere wetten weer te overtreden

Chatcontrole in oktober opnieuw op Europese politieke agenda
Het houdt niet op, niet vanzelf.

Chatcontrole gaat waarschijnlijk geen goedkeuring krijgen van het EHRM. Zie deze noot bij een recent arrest:

http://www.judoreg.nl/doc/JCDI:ALT626:1/

Het is het zoveelste voorbeeld van een achterdeur-voorstel voor encryptie. Het stopt gewoon nooit lijkt het wel. Maar goed, dit arrest is heel helder. Bewust encryptie verzwakken is in strijd met het EVRM.

Real schreef op woensdag 10 juli 2024 @ 19:46:
Chatcontrole gaat waarschijnlijk geen goedkeuring krijgen van het EHRM. Zie deze noot bij een recent arrest:

http://www.judoreg.nl/doc/JCDI:ALT626:1/

Het is het zoveelste voorbeeld van een achterdeur-voorstel voor encryptie. Het stopt gewoon nooit lijkt het wel. Maar goed, dit arrest is heel helder. Bewust encryptie verzwakken is in strijd met het EVRM.

Daar is men zich wel van bewust, vandaar de omweg van het on-device scannen van de input voordat de encryptie eroverheen gaat en je bericht wordt verstuurd.

XWB schreef op donderdag 20 juni 2024 @ 11:30:
Ik ben vooral benieuwd hoe apps zoals Signal hiermee om zullen gaan. Want inderdaad, als ze niet meewerken dan zullen ze vast geweerd worden uit de Play Store.

Ik vrees dat het antwoord is dat ze niks kunnen doen en gemarginaliseerd worden. Een klein groepje technische gebruikers zal het blijven installeren via alternatieve appstores en/of op OS'en als LineageOS.
Dat zal wel oogluikende worden toegestaan zolang er geen schandalen in het nieuws komen.
Daarna zullen bedrijven als MS, Google en Apple heel "behulpzaam" worden met waarschuwen voor "potentieel ongwenste software". 99% van de gebruikers leest dat als "pas op! virus!" en zal braaf alle suggesties volgen om deze gevaarlijke app te verwijderen.

Perfectie is niet nodig, net als bij het verbod op downloaden het gaat niet om het uitroeien van de laatste gebruiker, maar om de kritieke massa weg te halen die nodig is om main-stream gebruikers mee te laten doen. Bij communicatienetwerken is het aantal gebruikers de grooste factor voor succes. Als je dat kan afremmen wordt het nooit een succes.

CAPSLOCK2000 schreef op donderdag 11 juli 2024 @ 12:53:
[...]


Ik vrees dat het antwoord is dat ze niks kunnen doen en gemarginaliseerd worden. Een klein groepje technische gebruikers zal het blijven installeren via alternatieve appstores en/of op OS'en als LineageOS.
Dat zal wel oogluikende worden toegestaan zolang er geen schandalen in het nieuws komen.
Daarna zullen bedrijven als MS, Google en Apple heel "behulpzaam" worden met waarschuwen voor "potentieel ongwenste software". 99% van de gebruikers leest dat als "pas op! virus!" en zal braaf alle suggesties volgen om deze gevaarlijke app te verwijderen.

Wat jij aangeeft is, mijn inziens, de meest waarschijnlijke uitkomst als Chatcontrol doorgang zou vinden. Ik denk ook dat er voor ons, als techneuten, de taak ligt om er alles aan te doen om het niet zover te laten komen. Dus door "stennis" te schoppen, politici aan te schrijven en dit luid en duidelijk onder de aandacht te brengen. Als Chatcontrol weer op tafel verschijnt, of de opvolger. Want die gaat er helaas komen, dit was de zoveelste saga in de "cryptowars".

Vanuit een technisch oogpunt bekeken, zou het Signal sieren als ze zowel federatie zouden implementeren, als het bouwen van een webapp. In dat opzicht is het jammer dat ze de eerdere Chrome extensie hebben stopgezet - want is er nu echt zo ontzettend veel verschil qua veiligheid met de Electron-gebaseerde Desktop applicatie? Mijn inziens niet.

Moxie Marlinspike, de voormalige CEO van Signal, was altijd een vocaal tegenstander van federatie. Maar hij is de CEO niet meer, plus veranderd de zeitgeist ook. Wellicht dat een dergelijk verbod de ontwikkelaars op andere gedachte brengt.

Orangelights23 schreef op maandag 2 september 2024 @ 08:46:
En het staat weer op de agenda… link.

Was te verwachten, deze zin:

De inhoud van het voorstel is echter niet openbaar.

maakt het nog gevaarlijker.