Vóór juli dit jaar moet het wetsvoorstel voor digitale handtekeningen door de Tweede Kamer afgehandeld zijn. In deze wet zijn mogelijkheden opgenomen om de overheid rechtmatige toegang te geven tot versleutelde webinformatie. De uitersten ‘privacy van burgers’ en ‘opsporingsmogelijkheden van de overheid’ bijten elkaar. Toegang tot de kopieën van digitale sleutels legt een bom onder de vertrouwelijkheid daarvan.
Twee keer eerder al strandde wetgeving over encryptie. In 1994 werd een wetsvoorstel om het versleutelen van informatie te verbieden na veel protesten naar de prullenmand verwezen. Ook een voorstel in de wet Computercriminaliteit om verdachten in een strafrechterlijk onderzoek te dwingen de eigen versleuteling ongedaan te maken werd in 1999 geschrapt na veel protest vanuit het parlement.
Digitale handtekeningen zijn te gebruiken om de authenticiteit van personen of bedrijven aan te tonen. Vertrouwelijkheid is een andere dienst die met deze handtekeningen aan te bieden is, doordat men informatie kan versleutelen en deze daardoor onleesbaar is voor buitenstaanders. De overheid is er veel aan gelegen om toegang tot informatie te houden, ook al is deze via encryptie versleuteld.
Achterkamertjes
Een stuurgroep van de overheid werkt in het kader van de wet digitale handtekeningen aan richtlijnen om rechtmatige toegang voor overheidsorganen mogelijk te maken, zo blijkt uit vertrouwelijke documenten, die deze week gepubliceerd zijn op de website van de privacy- en burgerrechtenorganisatie Bits of Freedom. Instanties, die encryptiesleutels mogen afgeven krijgen de verplichting opgelegd om kopieën van hun sleutels te bewaren (key escrow) of om een sleutel van de instantie mee te geven, zodat de informatie zonder tussenkomst van de eigenaar te herstellen is (key recovery).
"De eis van de overheid om rechtmatige toegang tot sleutels te krijgen heeft het gevaar in zich dat de vertrouwelijkheiddiensten helemaal niet van de grond zullen komen", zegt Maurice Wesseling voorzitter van Bits of Freedom. "Nederland is er vroeg bij, want TTP-instanties (Trusted Third Parties) bestaan nog niet. Toch wil de overheid zijn opsporingsmogelijkheid veilig stellen, zeker als straks webinformatie op grote schaal versleuteld wordt. De belangrijkste reden dat ik deze vertrouwelijke documenten gepubliceerd heb op de website van onze organisatie, is dat het onderwerp nu in besloten achterkamertjes behandeld wordt. De achterdeur die de overheid wil inbouwen in digitale sleutels is een onderwerp dat in een publieke discussie thuishoort, omdat het iedereen aangaat."
Het is de vraag of deze opsporingsinstrumenten bij de overheid in goede handen zijn. "In een uitgelekt vertrouwelijk document dat op de NOS-site is gepubliceerd blijkt dat het aantal telefoontaps in Nederland buitensporig hoog is", zegt Wesseling. "In 1998 hebben opsporingsinstanties tienduizend taps geplaatst; drieduizend op het vaste telefoonnet en zevenduizend op het GSM-netwerk, om criminelen te volgen. Een land als de VS haalt niet meer dan drieduizend telefoontaps. Het is de vraag of de overheid bij toegang tot versleutelde webinformatie wel proportioneel te werk gaat. Daar is geen enkele garantie voor."
Gevaar
Belangrijker nog dan de economische haalbaarheid vindt Wesseling het gevaar dat centrale opslag van cryptosleutels in zich draagt. "De achterdeur die de overheid inbouwt door de centrale opslag van sleutels op te leggen is een groot gevaar voor de privacy. Bij een inbraak in een toekomstige TTP-instantie liggen honderdduizenden sleutels op straat. Dit vind ik niet opwegen tegen het opsporingsbelang van de overheid."
Haalbaarheid
Heikel punt van gesprek in de stuurgroep blijkt de economische haalbaarheid van vertrouwelijkheiddiensten die in de praktijk niets voorstellen. De technische mogelijkheden voor toegang zijn beperkt, omdat er nauwelijks commerciële systemen beschikbaar zijn. De maatregelen zouden wel eens heel duur uit kunnen uitpakken. Subsidie is een uitweg waar de stuurgroep aan denkt. Daarnaast bestaat het gevaar dat personen en bedrijven massaal naar buitenlandse instanties stappen als deze wel echte vertrouwelijkheid kunnen bieden. Met het programma PGP (Pretty Good Privacy) van Network Associates bijvoorbeeld zijn sleutels op de eigen computer te genereren en te bewaren zonder dat daar een haan naar kan kraaien.
