Van een verbod op cryptografie tot het openbaar maken van cryptografische sleutels. Dat is ruim vijfentwintig jaar overheidsbeleid in een notendop. Al in 1994 waren er in Nederland wetsinitiatieven om versleuteling te verbieden, en de pogingen van nationale en supranationale overheden om zich toegang te verschaffen tot de inhoud van online-communicatie zijn niet meer op één hand te tellen. Ze komen allemaal neer op hetzelfde: het paard achter de wagen spannen.
Begin november kwam nieuws naar buiten over de draftresolutie ‘Security through encryption and security despite encryption’ vanuit de EU-ministerraad over het – onder voorwaarden – openbaar maken van encryptiesleutels voor overheden. Het is interessant de verschillende reacties voorbij te zien komen op deze resolutie, die hier te vinden is. De discussies gaan voor een groot deel in op de (on)feilbaarheid van de overheid, op het gevaar van de backdoors en op de zwakke schakel in het geheel, de mens. In het kader van die onfeilbaarheid verwijs ik graag naar de recente onthullingen over defensie en ongebreidelde dataverzameling, waaruit de lezer zelf zijn conclusies mag trekken.
De focus van de instanties ligt consequent in het verkrijgen van meer macht op datastromen door het technologisch mandaat uit te breiden. Daar waar de mogelijkheden die de sleepnetwet (WiV) niet voldoen, bijvoorbeeld omdat de data versleuteld wordt verzonden, bieden de cryptografische sleutels uitkomst. Vanuit het standpunt van het gezag bekeken een logische conclusie, maar het impliceert wel dat privacy kennelijk onderhandelbaar is. Dat zou het niet mogen zijn. Daarnaast zit er een dikke adder onder het gras. Nee streep dat maar door. Die adder ligt midden op het looppad en iedereen kan hem zien.
Onder de radar
Er is veel documentatie beschikbaar over cybercriminelen en mensen met kwade intenties die veel beter samenwerken en innoveren dan de opsporingsinstanties en de technologieleveranciers. Criminelen trekken zich doorgaans weinig aan van de wetten waar de ‘goeden’ aan gebonden zijn én ze zijn agile wanneer het erop aankomt om onder de radar blijven. Alles is dan ook te omzeilen. Tooling om uit het zicht van de digitale opsporingsambtenaren te blijven, is er nu… Of binnen een uur. Hoeveel criminelen gebruiken vandaag de dag nog EncroChat? Overigens werd dat systeem na veel ouderwets speurwerk geïdentificeerd en werd er op serverniveau geïnfiltreerd.
Vandaar dat het uitbreiden van een mandaat om toegang te mogen krijgen tot encryptiesleutels via een EU-resolutie een papieren tijger is, die uiteindelijk de privacybelangen van de welwillende internetters schaadt. Maar die hebben niets te vrezen, toch?
Goed samengevat!
Even ter informatie, een hoge Oostenrijkse politicus (Wolgang Sobotka) zoiets als de kamervoorzitter, heeft in februari 2019 tijdens een Eu-politie-congres openlijk voor het Chinese systeem van social scoring gesproken.
Zulke mensen durven zich ook nog als demokraten te presenteren. Consequenties heeft dat niet (nooit). Het bolwerk van de Europese EVP (zoals de duitser Manfred Weber) hebben de zelfde ideeen. Ook van der Leyen behoort tot die club.
Als burger moeten we oppassen dat dit soort mensen niet te veel macht krijgen maar het ziet er naar uit dat te teruggang in demokratisch principes al tamelijk ver voortgeschreden is. Of het nog te stoppen is?
Criminelen zijn burgers aan de andere kant van de wet maar burgers kunnen ook gecriminaliseerd worden door wetswijzigingen, we zagen dit gebeuren met COVID waar mensen een strafblad kregen voor handelingen die ook de minister van Justitie niet kon laten. Aspect van intentie om buiten de wet om te handelen lijkt me belangrijk want ook ik heb in mijn onwetendheid nog weleens de wet overtreden. En de denkwijze van overheden dat je opzettelijk en bewust de wet wil overtreden als je communicatie gaat versleutelen zegt vooral iets over het vertrouwen van de waard in zijn gasten.
Nu gaat de Nederlandse rechtspraak uit van het praesumptio innocentiae principe, oftewel een verdachte is onschuldig tot het tegendeel bewezen is. En de case EncroChat gaat dan ook om het verzamelen van een bewijslast middels een ‘man-in-the-middle’ aanval via servers waardoor er passief meegelezen kon worden. Er waren namelijk – zoals eerder met Phantom Secure – bewijzen dat cliëntele van EncroChat criminelen waren. En het is dan gebruikelijk dat opsporingsdiensten het bedrijf verzoeken om mee te mogen kijken via de servers, volgens mij werkt Leaseweb zelf ook mee met dit soort verzoeken als het om kinderporno gaat.
Privacy is dus wel degelijk onderhandelbaar want als het imago van een bedrijf in gevaar komt dan gaan veelal de achterdeurtjes open. Ik zeg niks over RAID en strakke rokjes om Henri niet jaloers te maken en ga niet in mijn LinkedIn kijken wie en wat ik bedoel maar toevallig komt Wenen ook voor in het verhaal omdat vandaar uit veel treinen naar Oost-Europa gaan. En dat één Oostenrijker zich uitspreekt voor het Chinese systeem van social scoring is nog geen punt van zorg, het wordt pas gevaarlijk als Duitsers mee gaan doen.