Author: mrkoot

Dutch policy debate on 5G spectrum is in deadlock: telco’s and military intelligence have opposing legitimate interests in 3.5GHz band

The Dutch policy debate on 5G spectrum is caught in deadlock: there are opposing legitimate interests of Dutch telecom providers and the Dutch Military Intelligence and Security Service (MIVD) in the 3.5GHz band. The House of Representatives discussed 5G on 29 March 2018. The 3.5GHz band, the most promising of the three standardized 5G bands (700MHz, 3.5GHz, and 26GHz), is also the band that in the northern half of the Netherlands — above the ‘Amsterdam-Zwolle’ line that cuts the Netherlands in half — is fully reserved for MIVD’s satellite station in Burum, part of the National Sigint Organization (NSO; which since become part of the Joint Sigint Cyber Unit (JSCU). In 2016 there was a similar situation when telecom operators sought to improve 4G connectivity using the 3.4GHz band.

Below follows an unofficial translation of an article printed in the 4 May 2018 issue of Technisch Weekblad. (Note: translation was done in a hurry, I’ll check spelling/grammar in the upcoming weekend and make corrections if necessary.)

Dutch policy debate on 5G spectrum is in deadlock

The deployment of a nation-wide 5G network in the Netherlands may end up being seriously delayed because the most important 5G band (3.5GHz) is reserved for the Dutch intelligence services until 2026. The AIVD and MIVD eavesdrop on ether communications using their satellites in the Frisian place of Burum.

Telecom providers and other industry parties raised an alarm about this in the House of Representatives on 29 March 2018. Earlier, MP William Moorlag (Labour Party / PvdA) even argued that the MIVD antennas should be moved to drilling platforms at sea.

The National Frequency Plan prescribes that until 2026, only the intelligence services are permitted to use the 3.5GHz band on territory north to the Amsterdam-Zwolle axis. Licenses can be issued for territory south to that axis, but only under restrictions that it is doubtful telecom parties will be interested, according to 5G expert Toon Norp of TNO Research. Norp: ‘The discussion about the use of the 3.5GHz band has reached a deadlock. Both the MoD and telecom providers have legitimate interests.’

5G for cars

5G is the next generation of mobile data communication technology. The bandwidths are 3-10x faster than 4G, connections are established 20x faster (lower ‘latency’) and a million devices per square kilometer should be able to connect. 5G should thusly realize the internet of things. The low latency, for instance, is important for communication between self-driving cars. For smartphones, 5G is not a necessity, although the high connection/device density is an advantage. Dutch telecom provider KPN states: ‘4G connects people, 5G connects society’.

Whether 5G will indeed arrive at a large scale is uncertain. GSMA expects the share of 5G connections in the global data communications to grow from 2% in 2020 to 12% in 2025. More than half of the 750 telco chiefs interviewed by the GSMA mentioned ‘lack of a clear business case’ as biggest threat to 5G. The required investments are estimated at 150 billion euro globally on an annual basis. This is largely due to the fine-grained network of antennas that is required to achieve high throughput and low latency.

According to the standard, 5G will use three bands: 700MHz, 3.5GHz, and 26GHz. The 700MHz band, which has the longest waves, does not offer high throughput and is mostly useful to support a nation-wide network. The 26GHz millimeter band has very high throughput, but due to its short waves has a short range and can only be used for the last couples of hundred meters of a mobile connection. The 3.5GHz band combines the best of both: high throughput and good range. It is the presumed backbone of 5G, but is reserved for use by the MIVD.

Action plan

Next year, part of the 700MHz band for 5G will be auctioned off, but that provides little solace according to Norp. ‘It is merely a very short band, just 30MHz wide. At most three operators can participate there, while the 3.5GHz band has hundreds of MHz of room.’

Norp expects that the 5G network for the 3.5 GHz band can largely be deployed using existing 3G/4G antenna locations. But simply using the 3G and 4G bands for 5G is not an option for the near future, because equipment manufacturers will first make their 5G equipment work with the internationally agreed bands. Notably the 3.5GHz band.

State secretary Mona Keijzer (Economic Affairs) announced she will present directions for solutions to end the deadlock, and to elaborate on those in her Digital Connectivity  Action Plan. Norp hopes a creative solution will be found to allow telecom provides and the MoD to share the 3.5GHz band. At the longer term, the MIVD will no longer be able to control the 3.5GHz band. ‘Because Germany will use the 3.5GHz band for 5G’, according to Norp. Regardless of the Dutch government policy, the MIVD will have competition on the 3.5GHz band.

 

EOF

EU Commission says it does not seek crypto backdoors, will propose legal framework in early 2018 for Member States to help each other access encrypted devices

UPDATE 2018-02-15: Five million euro for Europol’s “decryption platform” (blog by Matthias Monroy / @matthimon).

On 18 October 2017, the European Commission (EC) announced an upcoming anti-terrorism package, which addresses, inter alia, encryption challenges in criminal investigations. From the Q&A:

[…]

4. Supporting law enforcement in criminal investigations online

What is the role of encryption in criminal investigations?

Law enforcement and judicial authorities are increasingly facing challenges posed by the use of encryption by criminals in the context of criminal investigations. This is not only limited to serious crimes: in many cases, electronic data may be the only information and evidence available to prosecute and convict criminals. The challenges are not only due to attempts by criminal users to disguise their electronic communication and privately stored data, but also due to the default option of many communication services to apply encryption. The use of encryption by criminals, and therefore its impact on criminal investigations, is expected to continue to grow in the coming years.

How is the Commission proposing to support Member States on encryption?

Following consultation with Member States and stakeholders, the Commission has proposed today:

  • to support Europol to further develop its decryption capability;
  • to establish a network of centres of encryption expertise;
  • to create a toolbox for legal and technical instruments;
  • to provide training for law enforcement authorities, supported by €500,000 from the ISF–Police fund in 2018;
  • to establish an observatory for legal and technical developments;
  • to establish a structured dialogue with industry and civil society organisations.

In early 2018, the Commission will present proposals to provide for a legal framework to facilitate access to electronic evidence.

[…]

It is unclear what this might mean in practice, but Rebecca Hill (Twitter: @BekiHill) reported at El Reg that security commissioner Julian King (Twitter: @JKingEU) said the following:

“The commission’s position is very clear – we are not in favour of so-called backdoors, the utilisation of systemic vulnerabilities, because it weakens the overall security of our cyberspace, which we rely upon.”

Hill (correctly) states:

“How exactly… we don’t know. Maybe someone has an RSA-cracking supercomputer up their sleeve they’re keeping secret. Maybe someone’s particularly good with a soldering iron and can read off keys from extracted flash memory chips.

What we do know is that the thrust of the plan boils down to asking member states to help each other by sharing their knowledge on dealing with encryption and creating a observatory to keep an eye on the latest tricks of the trade.”

On 16 October 2017, two days before the announcement by the EC, Maryant Fernández Pérez (Twitter: @maryantfp) stated the following in a blog post at EDRi:

“Saying ‘no’ to backdoors is a step into the right direction, but not the end of the debate, as there are still many ways to weaken encryption. The answer to security problems like those created by terrorism cannot be the creation of security risks. On the contrary, the EU should focus on stimulating the development and the use of high-grade standards for encryption, and not in any way undermine the development, production or use of high-grade encryption.

We are concerned by the potential inclusion of certain aspects of the Communication, such as the increase of capabilities of Europol and what this may entail, and references to removal of allegedly “terrorist” content without accountability in line with the Commission’s recent Communication on tackling illegal content online. We remain vigilant regarding the developments in the field of counter-terrorism.”

The EC statement that it does not seek backdoors should not be interpreted as meaning that Member States’ intelligence services / communities won’t, individually or in voluntary cooperation with peers or industry, pursue influencing crypto standards for kleptographic objectives (such as NSA did with Dual_EC_DRBG) regardless of EU-level policy. It simply means that the EC does not pursue EU-level policy on that — at this time, anyway.

Cryptanalytic efforts, such as the Edgehill (GCHQ) program, will obviously remain in existence in individual Member States, as they do elsewhere in the world (notably in the U.S.) — and the EC announcement’s Q&A excerpt cited above states the EC will seek to support Europol to further develop its decryption capability.

The EC’s announcement also says they will promote “structured dialogue with industry and civil society organisations”, with unstated objectives. To speculate: objectives might include convincing those engaged in dialogue that strong end-to-end crypto should not be enabled by default, and/or making sure certain information other than message content is still emitted and observable, and/or or otherwise changing software/hardware/protocol design (e.g. hardware backdoors – read for instance this paper) or implementation to suit LE/intel needs. Which includes needs that must, in addition to privacy interests, also be addressed to maintain democratic values. [UPDATE 2017-12-14: something along those lines seems to be happening in the U.S., going by the following statement by FBI director Christopher Wray cited by @emptywheel : “[…] The FBI is actively engaged with relevant stakeholders, including companies providing technological services, to educate them on the corrosive effects of the Going Dark challenge on both public safety and the rule of law, and with the academic community and technologists to work on technical solutions to this problem”.]

To be continued.

Related reading:

EOF

[Dutch] Snippets: digitale thema’s, veiligheid en privacy in Regeerakkoord 2017-2021

Hieronder volgt een selectie van afspraken uit het Regeerakkoord 2017-2021 — Vertrouwen in de toekomst (VVD, CDA, D66 en CU) die betrekking hebben op digitale thema’s, veiligheid en privacy. Een tweet van Liza van Lonkhuyzen (NRC) doet me de volgende van de afspraken even apart uitlichten (vetmarkering is van mij):

“Voor de uitvoering van de Wet Computercriminaliteit III komt 10 miljoen euro extra beschikbaar. Daarbij zal slechts in een specifieke zaak hacksoftware worden ingekocht door opsporingsdiensten. Leveranciers van dergelijke software worden gescreend door de AIVD en verkopen niet aan dubieuze regimes. Statistieken over het gebruik van hacksoftware worden jaarlijks openbaar gemaakt. Bij de evaluatie van de wet na twee jaar wordt bezien in hoeverre deze regeling de effectiviteit van de wet ernstig aantast. In dat geval wordt alsnog de aanschaf van hacksoftware voor algemeen gebruik overwogen.”

De volledige selectie:

“1. 1 Justitie en veiligheid

[…]

Veiligheid

[…]

  • In het Team Internationale Misdrijven wordt extra geïnvesteerd. Dit kan worden gebruikt om expertise van buiten de politie aan te trekken, bijvoorbeeld personeel dat ervaring heeft met opsporing van internationale misdrijven, specifieke vreemde talen beheerst en digitale experts.
  • Er wordt structureel 95 miljoen euro gereserveerd voor cybersecurity. De middelen worden onder andere ingezet voor de uitbreiding van personele capaciteit en ICT-voorzieningen en verdeeld over de departementen Veiligheid en Justitie (NCTV), Defensie (MIVD), Binnenlandse Zaken en Koninkrijksrelaties (AIVD), Buitenlandse Zaken, Infrastructuur en Milieu en Economische Zaken.
  • Er wordt een ambitieuze cybersecurity-agenda opgesteld met onder meer standaarden voor Internet-of-things-apparaten, het stimuleren van bedrijven om veiliger software te maken via software-aansprakelijkheid, het versterken van het Nationaal Cyber Security Centrum (CCSC) als aanspreekpunt van Computer emergency response teams (CERT) van alle sectoren, het stimuleren van cybersecurity-onderzoek en het verbeteren van voorlichtingscampagnes op het gebied van cyberhygiëne.
  • Voor de uitvoering van de Wet Computercriminaliteit III komt 10 miljoen euro extra beschikbaar. Daarbij zal slechts in een specifieke zaak hacksoftware worden ingekocht door opsporingsdiensten. Leveranciers van dergelijke software worden gescreend door de AIVD en verkopen niet aan dubieuze regimes. Statistieken over het gebruik van hacksoftware worden jaarlijks openbaar gemaakt. Bij de evaluatie van de wet na twee jaar wordt bezien in hoeverre deze regeling de effectiviteit van de wet ernstig aantast. In dat geval wordt alsnog de aanschaf van hacksoftware voor algemeen gebruik overwogen.
  • Terrorismebestrijding vergt onverminderde aandacht. De rapportages omtrent het dreigingsbeeld tonen aan dat ook in de komende periode op alle borden tegelijk zal moeten worden geschaakt. Voor preventie en de-radicalisering betekent dit dat moet worden bezien welke aanpak het meest effectief is en hoe “best practices” kunnen worden gedeeld en uitgevoerd. Ook moet alles in het werk worden gesteld om te voorkomen dat aan “haatpredikers” een podium wordt geboden. Daarnaast blijven ook repressieve maatregelen noodzakelijk, waarbij telkens kritisch afgewogen moet worden in welke mate de privacy en overige vrijheden worden ingeperkt. Voor contraterrorisme is 13 miljoen euro extra per jaar beschikbaar.
  • Van (potentiële) terugkeerders gaat een bijzondere dreiging uit, gelet op hetgeen zij hebben meegemaakt en waaraan zij mogelijk zelfs hebben deelgenomen. Omdat de bewijsvoering in dezen bijzonder moeilijk is, zal worden bezien of en hoe de samenwerking met onafhankelijke internationale organisaties (die zich bezighouden met het verzamelen van bewijzen) kan worden bevorderd. Zorgvuldige bewijsvergaring kost tijd, gedurende welke het risicovol geacht wordt dat terugkeerders zich vrijelijk kunnen bewegen in onze samenleving. Daarom wordt wetgeving tot stand gebracht op basis waarvan terugkeerders gedurende langere tijd in voorlopige hechtenis gehouden kunnen worden, waarbij de rechter kritisch kan blijven toetsen of daartoe (nog) aanleiding bestaat. Deze wetgeving omvat verder de strafbaarstelling van opzettelijk verblijf zonder toestemming in een onder controle van een terroristische organisatie staand gebied en verruiming van de mogelijkheid van DNA-onderzoek bij een verdenking van een terroristisch misdrijf.
  • In de EU zet Nederland in op een veel strengere aanpak van jihadisme.
  • Beïnvloeding vanuit onvrije landen en organisaties via social media of door de financiering van organisaties in Nederland is onwenselijk. Voorkomen moet worden dat vanuit het buitenland via geldstromen naar politieke, maatschappelijke en religieuze organisaties onwenselijke invloed wordt gekocht. Daartoe zullen deze geldstromen meer transparant gemaakt worden. Wederkerigheid vormt hierbij een belangrijke toetssteen. Geldstromen vanuit onvrije landen, waarbij misbruik wordt gemaakt van onze vrijheden, zullen zoveel mogelijk worden beperkt.
  • Er is een nieuwe Wet op de inlichtingen- en veiligheidsdiensten. Informatie-uitwisseling beperkt zich tot partnerdiensten, tenzij de minister toestemming geeft voor uitwisseling met niet-partnerdiensten. Van het willekeurig en massaal verzamelen van gegevens van burgers in Nederland of het buitenland (‘sleepnet’) kan, mag en zal geen sprake zijn. Daarom zal het kabinet bij de uitvoering strikt de hand houden aan de extra waarborgen in deze wet. De evaluatie, waarbij aan dit punt bijzonder belang zal worden toegekend, wordt vervroegd uitgevoerd door een onafhankelijke commissie en zal in ieder geval niet later beginnen dan twee jaar na inwerkingtreding. Indien de evaluatie hiertoe aanleiding geeft, zal het kabinet voorstellen additionele waarborgen in de wet op te nemen en het toezicht hierop te versterken.

[…]

Berechting, straffen en maatregelen

[…]

  • Er wordt ingezet op het beschermen van de privacy van burgers onderling. Het verspreiden van wraakporno grijpt diep in de persoonlijke levenssfeer in en wordt als een zelfstandig delict strafbaar gesteld.

[…]

2.4 Economie, innovatiebeleid en vestigingsklimaat

Een goed en gelijk speelveld voor ondernemers

[…]

  • Vitale sectoren krijgen specifieke bescherming. Na zorgvuldige analyse van risico’s voor nationale veiligheid kunnen aangewezen bedrijven uit vitale sectoren alleen met actieve goedkeuring worden overgenomen, zo nodig onder voorwaarden, of beschermd worden door het vastleggen van de andere, juiste waarborgen. Onderzocht wordt of naast de bestaande lijst vitale sectoren ook voor landbouwgronden en bepaalde regionale infrastructurele werken dit beschermingsregime noodzakelijk is. Indien nodig worden er maatregelen genomen.

[…]

4.2 Defensie

[…]

  • Het kabinet formuleert een veiligheidsstrategie waarin binnen- en buitenlandse dreigingen, waaronder terrorisme, het hoofd worden geboden en die de huidige Internationale Veiligheidsstrategie vervangt. Ook actualiseert het kabinet periodiek de Defensienota waarbij zij rekening houdt met het planningsproces van NAVO en EU en de strategische keuzes van belangrijke bondgenoten. De Defensienota zal leidend zijn voor langetermijn-besluitvorming over de aanschaf en noodzaak van grote wapensystemen. Om de flexibiliteit en inzetgereedheid van de krijgsmacht te vergroten wordt het concept van de adaptieve krijgsmacht in de komende kabinetsperiode concreet uitgewerkt.

[…]

  • Nederland dient te beschikken over een krijgsmacht die opgewassen is tegen technologisch hoogwaardige tegenstanders. Daartoe investeert het kabinet in een forse uitbreiding van cybercapaciteit en technologie bij alle krijgsmachtonderdelen en versterkt zijn rol in de digitale beveiliging en bewaking van Nederland vanuit zijn grondwettelijke verantwoordelijkheid.”

 

EOF

Vacancies for chair person & members of Toetsingcommissie Inzet Bevoegdheden (TIB), the ex-ante oversight committee established per the new Dutch spy law (Wiv20xx)

On 4 October 2017 a job advertisement appeared in NRC Handelsblad for a chair person & members of the “Toetsingcommissie Inzet Bevoegdheden” (TIB), the additional oversight committee established per the new Dutch spy law (Wiv20xx) that will perform binding ex-ante oversight on exercise of powers. PrivacyNieuws.nl (@PrivacyNleuws) published a picture (.gif) of the ad, which OCR’s back to the following text (in Dutch; OCR errors corrected):

Toetsingscommissie Inzet Bevoegdheden

In de nieuwe Wet op de inlichtngen- en veiligheidsdiensten 2017 (Wiv 2017) is voorzien in het instellen van een Toetsingscommissie Inzet Bevoegdheden (TIB). Deze commissie is een onafhankelijke commissie belast met met vooraf toetsen van de rechtmatigheid van de door de minister van Binnenlandse Zaken en Koninkrijksrelaties of minister van Defensie gegeven toestemming tot met inzetten van bepaalde bijzondere bevoegdheden door de Algemene inlichtingen- en Veiligheidsdienst (AIVD) respectievelijk de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Het oordeel van de TIB is bindend. Er is een initiatief voor een raadgevend referendum over de Wiv 2017. De regering en de Tweede Kamer der Staten-Generaal, hoewel zich bewust van dit initiatief, hechten eraan dat reeds thans met de werving wordt begonnen voor:

een voorzitter en leden voor de Toetsingscommissie Inzet Bevoegdheden (m/v)

Functie-eisen
Ten minste twee van de drie leden, onder wie de voorzitter, dienen ten minste zes jaar de functie van rechterlijk ambtenaar met rechtspraak belast, bedoeld in artikel 1, onderdeel c, van de Wet op de rechterlijke organisatie te hebben vervuld, dan wel ten minste zes jaar als lid van de Afdeling bestuursrechtspraak van de Raad van State, als lid belast met rechtspraak bij het College van Beroep voor het bedrijfsleven of als lid belast met rechtspraak bij de Centrale Raad van Beroep werkzaam te zijn geweest. Het derde lid beschikt bij voorkeur over een relevante technische deskundigheid en/of inzicht in veiligheidsrisico’s. Werkervaring als rechter-commissaris in strafzaken strekt tot aanbeveling.

Voor het vervullen van de functie is verder van belang dat de !eden over de Nederlandse nationaliteit beschikken, gezaghebbend zijn en publiekelijk vertrouwen genieten, beschikken over relevante kennis van of ervaring met het terrein van de AIVD en MIVD, alsmede een bewezen vermogen hebben om snel een oordeel te vormen in de complexe afweging van publieke belangen en de bescherming van privebelangen en individuele rechten.

De voorzitter onderhoudt de externe contacten van de TlB met de minister-president, de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Defensie, alsmede de directeur-generaal van de AIVD, de directeur van de MIVD en de voorzitter van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten. De werkverdeling tussen de voorzitter, de overige !eden en het secretariaat van de TIB wordt nader uitgewerkt en vastgelegd in een Reglement van Orde.

Arbeidsvoorwaarden
Het beoogde tijdstip van aantreden is 1 januari 2018. De benoeming van de voorzitter betreft in principe een benoeming voor 20 uren per week en voor de overige twee !eden een benoeming voor 12 uren per week. Het aantal uren van de betrekking kan worden aangepast indien de werkzaamheden dat vergen. Alle drie de benoemingen gelden voor de termijn van zes jaar. Hierna kan eenmaal herbenoeming plaatsvinden voor een periode van zes jaar. Het salaris van de voorzitter is gelijk aan het maximum van salarisschaal 19 van bijlage A van het Bezoldigingsbesluit Burgerlijke Rijksambtenaren 1984. Het salaris van de leden is gelijk aan het maximum van salarisschaal 17 van bijlage B van het Bezoldigingsbesluit Burgerlijke Rijksambtenaren 1984. Op grond van artikel 100 van de Wiv 2017 kan iemand lid van de TlB zijn tot de leeftijd van zeventig jaren is bereikt.

Wervings- en benoemingsprocedure
De vice-president van de Raad van State, de president van de Hoge Raad der Nederlanden en de Nationale ombudsman stellen gezamenlijk een aanbevelingslijst op van ten minste drie kandidaten per vacature. Voor de benoeming van de voorzitter en !eden van de TIB wordt door de Tweede Kamer der Staten-Generaal per vacature een voordracht van ten minste drie personen gedaan waaruit de betrokken ministers een keuze maken. De functies zijn aangewezen als vertrouwensfuncties. Een veiligheidsonderzoek door de AIVD op A-niveau is dan ook onderdeel van de benoemingsprocedure.

Nadere informatie over de functies kunt u inwinnen bij de plaatsvervangend coördinator voor de inlichtingen- en veiligheidsdiensten, de heer mr. H.C.D. Korvinus, telefoon 070 – 356 41 80.

Uw schriftelijke sollicitatie voorzien van een curriculum vitae kunt u tot uiterlijk 20 oktober 2017 richten aan:

Vice-president Raad van State
Mr. J.RH. Donner
Postbus 20019
2500 EA Den Haag

EOF

Chief of Dutch military intelligence warns Dutch companies and institutes to be aware of foreign nations’ attempts to acquire knowledge and materials used to develop WMDs

UPDATE 2017-10-25: answers (.pdf, in Dutch; mirror) to parliamentary questions on this matter.

NOS reports (in Dutch) on an interview by ANP where the chief of the Dutch Military Intelligence & Security Service (MIVD) warns companies and (knowledge) institutes to be aware of attempts by foreign nations including North Korea, Iran, Pakistan and Syria to acquire materials and knowledge in the Netherlands. Here is my translation of the NOS report:

The Dutch intelligence & security services annually thwarts “a substantial number of attempts” by foreign countries to acquire knowledge and materials for WMDs. That is what Onno Eichelsheim, chief of the Military Intelligence & Security Service (MIVD), states in an interview with the ANP.

Eichelsheim won’t say how frequently it happens. The reason for that is that he does not want to reveal the capabilities of the department that exclusively deals with that. The MIVD chief only notes that the Unit Counterproliferation employs dozens of personnel, and informs the ministry of defense dozens of times annually, for instance with regard to export licenses.

Eichelsheim states that companies and knowledge institutes are little aware that countries such as North Korea, Iran, Pakistan and Syria attempt to acquire knowledge in the Netherlands. The Netherlands is a technologically high-developed country, which those countries are eager to use.

Smaller companies who make products such as ball bearings or heat-resistant materials must also be alert, Eichelsheim says.

Countries that are seeking high-grade materials always use covers, such as a company or a middle person. Eichelsheim says it is certainly suspicious if a customer is willing to pay a high price for materials or chemicals that can be purchased elsewhere for a fraction of the price. Companies and institutes must be aware that their products can be used in the development of WMDs.

EOF