In vertrouwelijke communicatie en bij de opslag van vertrouwelijke gegevens worden ‘sleutels’ gebruikt voor beveiligingsdoeleinden. De gedachte dat burgers en ondernemingen deze sleutels, samen met de gebruikte methode, moeten afstaan aan een ’trusted third party’ is strijdig met enkele van de meest elementaire uitgangspunten van een rechtsstaat, vindt Ch. van Dijken. Daarnaast zijn er de nodige praktische problemen.
Het moeten afstaan van sleutels (key-escrow) zou in het geval van datacommunicatie betekenen dat een aantal mensen onze vertrouwelijke correspondentie mag inzien, zelfs nog voordat er sprake is van verdenking van een (plan tot) misdrijf. Weg briefgeheim! In het geval van versleutelde gegevensopslag zou ‘key-escrow’ erop neerkomen dat ambtenaren van de registrerende instantie in feite het recht krijgen die computer op voor hun interessante gegevens te doorzoeken. En dat zonder zelfs aannemelijk te hoeven maken dat de computer met die gegevens op enigerlei wijze betrokken is bij een misdrijf. Hoezo huiszoekingsbevel?
Nu schijnt het in Nederland nog niet zo erg gesteld te zijn met de corruptie binnen de overheid. Toch roepen het regelmatig uitlekken van geheime informatie alsmede enkele gepubliceerde gevallen van doorgave of zelfs verkoop van gegevens uit systemen van de politie de nodige bedenkingen op.
Daarnaast heeft dergelijke wetgeving weinig effect op criminelen. Het ongeoorloofd gebruik van cryptografie zal waarschijnlijk veel lichter worden bestraft dan de informatie omtrent misdadige activiteiten, die deze figuren verborgen willen houden. Gezien de schade, die burgerij en zakenleven kunnen oplopen door niet effectief cryptografie te mogen gebruiken, is key-escrow erger dan het door de overheid niet kunnen (mee-)lezen van informatie die mogelijk een rol kan spelen bij het oplossen van misdadige activiteiten. Met schade doel ik op mogelijke inbreuken in de persoonlijk levenssfeer en het uitlekken van technische en financiële informatie. Industriële spionage is nu eenmaal een fact of life. Uiteraard ligt het voor de hand dat schade – geleden door lekkage van informatie bij de registratiehouder – door de geregistreerden op die trusted third party (ttp) verhaald moeten kunnen worden. Bij de ondergang van een bedrijf(stak) door oneerlijke concurrentie is dat een geringe troost voor diegenen die naar een nieuwe werkkring moeten zoeken. Is de onbevoegde toegang verkregen door of ten behoeve van een buitenlandse organisatie zoals CIA of NSA, dan wordt het wel erg moeilijk om de geleden schade op de indringer(s) te verhalen. Het is nog maar de vraag of die onbevoegde toegang wordt ontdekt.
Als men bedenkt dat bij een vertrouwelijke berichtenuitwisseling elk bericht met een andere sleutel behoort te worden versleuteld (dit is technisch niet moeilijk uitvoerbaar), dan kan men zich voorstellen dat sleutelregistratie een enorme gegevensbank vereist. Dit houdt ook in dat naast de medewerkers van de registratiehouder enkele mensen van zowel de hardware- als de softwareleverancier toegang moeten hebben tot die gegevens. De registratiehouder en al de mensen eromheen zullen doelwit zijn van spionage-activiteiten (booze, broads, bribes, bugs, blackmail, burglary; drank, hoeren, omkoping, afluisteren, chantage en inbraak). Denk daarbij maar aan de infiltratie van Russische geheime diensten in de Britse. Los van dit alles is er ook nog het probleem hoe de gebruikers de door hen gebruikte sleutels op een veilige manier bij de ttp moeten aanmelden. Uiteraard zal ook de computer van onze ttp’s een geliefd kraakobject blijken te zijn. Al met al niet iets om vrolijk van te worden!
Ch. van Dijken
E-mail: Chris@pi-user.pi.net
