De projectgroep Rechtmatige Toegang, in het leven geroepen door de ministeries van Verkeer en Waterstaat en Economische Zaken, adviseert de overheid voorlopig het bewaren van een kopie van encryptiesleutels niet verplicht te stellen voor aanbieders van encryptiediensten. Het is in strijd met de wet en brengt aanbieders van dergelijke diensten in de problemen.
Over key escrow, het bewaren van een kopie van encryptiesleutels, doen veel spookverhalen de ronde. Dit zegt Arie van Bellen, directeur van Ecp.nl (http://www.ecp.nl ), het platform voor elektronisch zakendoen. Van Bellen is secretaris van de projectgroep Rechtmatige Toegang, waarin vertegenwoordigers van de overheid en het bedrijfsleven de wenselijkheid van key escrow hebben besproken. "De projectgroep zou alleen uitzoeken hoe rechtmatige toegang tot versleutelde informatie technisch te realiseren is. Wij hebben ook gekeken of deze toegang economisch haalbaar is. Dat blijkt niet het geval", aldus Van Bellen.
Van Bellen meent dat Nederland voorop loopt in Europa doordat de overheid het bedrijfsleven betrekt bij de discussie over rechtmatige toegang. In andere Europese landen houdt de overheid deze discussie binnenskamers, omdat ze criminaliteitsbestrijding koste wat kost zeker wil stellen. Discussie tussen overheid, opsporingsinstanties en het bedrijfsleven heeft in Nederland als uitkomst dat key escrow door ttp-instanties (trusted third parties) op dit moment onwenselijk is. Dit advies staat overigens haaks op het actieplan ‘Terrorismebestrijding en veiligheid’, waarin de overheid aangeeft rechtmatige toegang tot versleutelde informatie versneld te willen invoeren.
Digitale handtekening
Het negatieve advies van de projectgroep is vooral gebaseerd op de richtlijn Elektronische Handtekening. Deze verbiedt het bewaren van een kopie van een digitale handtekening. De meeste ttp-instanties werken met één sleutelpaar voor authenticiteit en vertrouwelijkheid, omdat hun eigen software en die van afnemers maar één sleutelpaar ondersteunt.
Daarnaast zou key escrow nu niet proportioneel zijn, betoogt Van Bellen. Aanbieders van digitale handtekeningen zijn net begonnen met deze dienst. Een achterdeur in encryptie bevordert het vertrouwen in dergelijke diensten niet. Daarnaast is een systeem dat kopieën van sleutels bewaart én waterdicht beveiligd is gecompliceerder en dus duurder.
Over vijf jaar verwacht Van Bellen dat systemen met twee sleutelparen wel gemeengoed zijn. Een kopie van de vertrouwelijkheidsleutel is dan iets anders, omdat deze losstaat van een sleutelpaar voor authenticiteit. Het bedrijfsleven heeft zelf ook belang bij zo’n kopie, meent Van Bellen: "als werknemers opstappen wil je als bedrijf bij versleutelde informatie kunnen."
Advies
Maurice Wessling, voorzitter van de Nederlandse burgerrechtenorganisatie Bits of Freedom, is blij dat de projectgroep Rechtmatige Toegang negatief staat tegenover key escrow. Hij hamert er alleen op dat dit hooguit de status van een advies heeft. "Het gevaar is nog niet geweken, omdat niet duidelijk is wat de overheid met het advies gaat doen."
Ook ziet Wessling verschillende behoeftes aan vertrouwelijkheid bij grote bedrijven en bij particulieren. Concerns zijn gebaat bij een hiërarchische opzet van encryptie, zodat bij vertrek van een medewerker gecodeerde informatie te herstellen is. Voor particulieren is dit soort achterdeuren in encryptie ongewenst. Voor hen is het een compromis, dat de beveiliging van hun informatie ondermijnt. Tony de Bos, directeur van ttp Diginotar, vindt de vraag of key escrow in de toekomst het vertrouwen in ttp’s schaadt theoretisch. Hij is blij dat regulering van encryptie voorlopig niet aan de orde is.
