Je zou zeggen dat het met de Brexit een stuk makkelijker voor de EU is om tegenwicht te blijven bieden aan het onzalige idee van landen als de Verenigde Staten en het Verenigd Koninkrijk om verplicht achterdeurtjes in end-to-end-encryptie te plaatsen, bedoeld voor het toepassen van ‘lawful interception’. De Europese Commissie maakt wat betreft het beveiligen van 5G en de sociale platformen met end-to-end-encryptie nu een draai.
Op 11 november meldt Computable dat de ophef waarschijnlijk een storm in een glas water is. Maar die conclusie is slechts gebaseerd op één artikel in de Volkskrant. Na wat speuren lijkt er meer aan de hand dan dat je alleen maar kunt roepen dat het voorlopig geen wet- en regelgeving wordt, hooguit een standpunt van de Europese Commissie (op 24 december dit jaar, wellicht).
En dat is toch slecht nieuws, want alleen al het idee om encryptie te willen verzwakken, is een slecht idee. Hoe je het ook wendt of keert, het versleutelen van gegevens is ervoor bedoeld dat alléén degene(n) waarvoor de informatie bestemd is, deze kan ontcijferen. Je kunt een ansichtkaart sturen die iedereen, ook de postbode, kan lezen. Of een verzegelde envelop, waarin zaken die verder niemand anders iets aangaat dan de beoogde ontvanger. En meelezen moet dus ook volgens artikel 13 van de Nederlandse Grondwet en Artikel 8 van het Europees Verdrag van de Rechten van de Mens niet zomaar kunnen, door een of andere overheidsdienst die denkt wettig bezig te zijn omdat ze het land moeten beschermen.
Dan krijg je te maken met het begrip proportionaliteit. Met een aardappelschilmesje kun je een agent neersteken, dus al dat gevaarlijke keukenspul moet verplicht zo worden ontworpen dat wanneer het te dicht in de buurt komt van een politiemedewerker, het lemmet vanzelf afbreekt. Of er spontaan een Uri Geller-effect optreedt en het staal op wonderbaarlijke wijze slap en ongevaarlijk wordt. En liefst alleen vanaf schaal tien, want straks willen BOA’s opeens ook beschermd worden en dat wordt dan te duur. Dat is zo ongeveer de (kwaliteit van de) redenering over het verzwakken van encryptie door de geheime diensten van de vijf genoemde landen, die nauw samenwerken in ‘Five Eyes’.
Nieuwe poging vanuit de VS
Op 30 juli 2019 verscheen mijn blog ‘Wil Europa 5G kunnen afluisteren?’. Op 17 januari dit jaar kwam ik er nog eens op terug met ‘EU en Interpol willen security van 5G verzwakken’. Veilige digitale communicatie is belangrijk, maar ook recent worden weer terroristen en andere booswichten die van versleuteling gebruikmaken als uitzonderingsgrondslag naar voren gehaald. Vervolgens komen ook de onvermijdelijke onschuldige kinderen die via internet misbruikt kunnen worden op het toneel.
In een op zondag 11 oktober gepubliceerde internationale verklaring van het Amerikaanse ministerie van Justitie wordt eerst met de mond het grote belang van sterke encryptie benadrukt, maar als snel worden ook ‘hoog kwetsbare deelnemers aan de samenleving’, zoals seksueel geëxploiteerde kinderen, en daarmee de publieke veiligheid bedreigd. Bedrijven moeten derhalve gedwongen kunnen worden om op te treden tegen illegale content. Dus daar komen de upload-filters weer, nu meteen gevolgd door rechtshandhavers die mogelijkheden tot vervolging moeten krijgen. En dat kan alleen (goed) door hen toegang tot de versleuteling te bieden die de boeven ook weten te gebruiken.
Nieuwe balans?
In een gemeenschappelijke verklaring van Europol en ENISA van 25 mei 2016 zie je met koppen als ‘The limits of privacy’ en een tekst zoals ‘Thus, in the face of serious crimes, law enforcement may lawfully intrude privacy or break into security mechanisms of electronic communication systems’ het helemaal misgaan. In december 2016 publiceerde ENISA, de interne EU-cybersecurityclub, vervolgens een position paper waar dit hellend vlak met name in de zeven punten bevattende conclusie duidelijk te zien is. Met het van kracht worden van de GDPR en de daarvan afgeleide AVG in 2018, waarin juist zowel opensource, encryptie en data-minimalisatie zo niet vereist, dan wel sterk aanbevolen worden, lijkt een oproep als ‘an analysis should be carried out to analyse the benefit to law enforcement of the introduction of backdoor weakened encryption technology as against the potential damage’ volkomen achterhaald.
Maar met het voorzitterschap van de EU-commissie in Duitse handen anno 2020, is er wel een flinke kentering waar te nemen in de standpunten van dit gezelschap wat betreft end-to-end-encryptie. Al snel circuleert er een concept, gedateerd 18 september, met als onderwerp ‘End-to-end encryption in criminal investigations and prosecution’, waarin precies zoals de Five Eyes doen, eerst uitgebreid wordt stilgestaan hoe belangrijk goede encryptiemogelijkheden zijn in deze digitale maatschappij. Maar pas op, criminelen gebruiken het ook en omdat we laatst geluk hadden en domme criminelen versleutelde communicatiemiddelen gebruikten waarbij de sleutels op een centrale server stonden, konden we meer dan achthonderd arrestaties verrichten. Dat smaakt naar meer!
Alleen gebruiken iets slimmere boeven end-to-end-encryptie waar alleen de eindgebruikers de sleutels bezitten, of die bij iedere transactie wisselen, dus daar moeten we ook aan zien te komen of het zien te voorkomen. En dus, hoewel we eerlijk zeggen ‘weakening any part of an encrypted system could lead to weakening the system as a whole, with detrimental effects on fundamental rights’, toch willen ze nu voor Europa ‘een nieuwe balans vinden’, die de sterkte van de beveiligingsleutels zelf in tact laat. En circuleert er na de terroristische aanslag in Oostenrijk opeens een nieuwe versie van het document van 18 september, met 6 november 2020 als datum en als onderwerp ‘Draft Council Resolution on Encryption’. Volgens securityexpert Lukasz Olejnik is er hier sprake van het mengen van technische en non-technische begrippen in een nieuwe strategie met als kenmerk ‘security despite encryption’. Zie ook deze tweet.
Internet Society
Op 18 november organiseerde de Europese tak van de Internet Society een evenement onder de hashtag #EUEncryption, waarvan de livestream ook nu nog is te bekijken. De European Data Protection Supervisor, Wojciech Wiewiórowski, begon met een keynote, waarin hij het belang van encryptie op het gebied van security en privacy benadrukte. En alvast aangaf dat elke verzwakking van encryptie de rechten van zoals de EU die op deze gebieden waarborgt, aantast en pleit voor eens sterk wettelijk framework. Ook hoopt hij dat het debat oplossingen voor de burgers, hun kinderen en kleinkinderen gaat opleveren en niet alleen tegenstrijdige standpunten tegenover elkaar zet. Kijk zelf verder naar de paneldiscussie ‘Encryption and Law Enforcement’ met onder meer onze Sophie in’t Veld (D66) en het tweede panel met als titel ’The Future of Encryption in Europe’.
Nieuwe Crypto War of dezelfde discussie?
De Crypto Wars, zie ook Wikipedia, stammen uit de jaren zestig van de vorige eeuw. Toen wilde de Amerikaanse regering voorkomen dat te sterke encryptie geëxporteerd zou worden en boevenstaten er ook gebruik van konden gaan maken. Maar de belangen van de financiële wereld om veilige digitale transacties wereldwijd te kunnen uitvoeren, wonnen het uiteindelijk. En of het nu om communicatie via sociale-mediaplatformen of 5G gaat, militairen, wetshandhavers en geheime diensten willen hun wettige belang boven andere, meer fundamentele rechten stellen en snappen nog steeds geen snars van opensource en technologie, of het begrip ‘proportioneel’. Want 99,99 procent van de wereldbevolking en onze iot-apparatuur zal veilige, versleutelde communicatie nooit kwaadwillend gebruiken en er wel voordeel van hebben. We hebben er volgens de Rechten van de Mens en alle daarvan afgeleide wet- en regelgeving zoals de GDPR/AVG ook recht op. En naast beveiligde data ook op zaken als privacy-by-design en data-minimalisatie, in plaats van door wetshandhavers afgedwongen langdurige opslag van data.
De 0,01 procent van de bevolking en apparatuur die de technologische voordelen hiervan gebruikt voor illegale praktijken, wijkt gewoon uit naar zelf opgezette veilige communicatiesystemen en protocollen zonder achterdeurtjes, zodra publieke communicatieplatformen hun basale en grondwettelijke rechten worden ontnomen. Daar zijn we vervolgens met z’n allen de dupe van, ook die opsporingsdiensten en rechtshandhavers zelf, als de digitale wereld onveiliger wordt gemaakt. Zie ook deze oproep van het kernteam dat Matrix ontwikkelt: ‘An open network for secure, decentralized communication’.
Het blijft me verbazen dat overheden blind zijn voor de kansen!
Ik heb er even over geblogd: https://clockedso.blogspot.com/
Goed artikel, waarvoor dank Fred,
Voor wie meer over de crypto wars wil lezen (ik dacht eerst; het gaat over crypto valuta). Steven Levy heeft in 2000 het boek “Crypto” uitgebracht. Niet minder dan briljant en heerlijk leesbaar. Je leest hoe Whitfield Diffie en Martin Hellman samen tot het eerste idee komen tot een “one-way” function waarmee je dus een sleutel om te versleutelen veilig naar elkaar kunt communiceren terwijl er gewoon iemand mee luistert. Je lees over hoe Ralph Merkle via zijn knapzak komt met hash functies en hoe de NSA blunderde met een backdoor in een versleuteling.
Maar kijk ook eens dit filmpje van Bert Hubert https://www.youtube.com/watch?v=miCPfjucsB8
10 minuten welbesteed! Beloofd.
Bert gaat overigens naar TIB ( Toetsingscommissie Inzet Bevoegdheden ) en dat is heel relevant voor dit artikel.
Privacy, security, het sociale contract, overheid. Het blijft een lastig onderwerp, maar verzwakken van encryptie lijkt mij not done.
Om even dat youtube filmpje van Bert Hubert te onderstrepen (kijken dus!) . Bij de 40 seconden zegt hij het letterlijk; “let me tell you a little bit about back-doored encryption” … “it never worked”.
Overigens is hij sowieso de moeite van het volgen waard. Hoe meer je leest, hoe meer het duidelijk is hoe slim die man is.
De encryptieoorlog is een uitvloeisel van de idee van een samenleving waar de overheid er zorg voor draagt dat niemand nooit iets ernstig overkomt. Pech moet weg, en bij iedere tegenslag vraagt men zich af waarom de overheid dit toch niet heeft voorkomen. Zolang wij van de overheid verlangen dat zij iedere angel uit de samenleving haalt, ieder complot in de kiem smoort, en iedereen die met een verkeerd idee rondloopt preventief opsluit, zal die overheid van ons verlangen overal altijd toegang toe te krijgen, alles te mogen lezen, en alles te mogen doen. Het gaat hand in hand. Dus om de encryptieoorlog op te lossen moet je de samenleving en haar leden wat weerbaarder maken tegen de realiteit dat je niet altijd alles in de hand hebt en kunt voorkomen.
Henri,
Weet je zeker dat er niks in je RAID zit? Iemand die sinds 2008 geen server gezien heeft zou eens de link van naar het open source Matrix project moeten lezen. Voordat je lezers verwijst naar Youtube filmpje zou je moeten kijken naar het fenomeen van servers in het spel want het loont om – zoals Fred Hage aangeeft met voorbeeld van Encrochat – deze aan te vallen om zodoende als ‘man-in-the-middle’ passief de berichten mee te kunnen lezen om zodoende informatie te vergaren. Verder ben ik niet onder de indruk van één commissielid die toezicht houdt op de territoriale bevoegdheden in een mondiale oorlog.
De vraag waar privacy boven veiligheid gaat kun je laten beantwoorden door technocraten maar de geschiedenis leert (Juvenalis dilemma) dat dit leidt tot totalitaire staten want uiteindelijk is er niks makkelijker dan burgers te criminaliseren in een communicatieoorlog zoals de affaire met de toeslagen laat zien en het Wapen van de Informatiemanoeuvre deed.