De Europese Unie wil over ‘technische oplossingen’ beschikken zodat versleutelde data toch uitgelezen kunnen worden door politiediensten. Dat is nodig, zo klinkt het, om bijvoorbeeld terrorisme en online kindermisbruik te kunnen bestrijden. Privacyvoorvechters zijn minder overtuigd.
De Europese Raad heeft een resolutie aangenomen waarin encryptie nog steeds naar voren geschoven wordt als noodzakelijk voor onze veiligheid en privacy. Tegelijk echter neemt de Raad er ‘nota van’ dat er ook moet worden gezorgd dat wetshandhavers hun werk moeten kunnen doen om de samenleving te beschermen. En dat betekent dat encryptie in sommige gevallen gekraakt moet kunnen worden.
De EU noemt specifiek terrorisme, georganiseerde criminaliteit, seksueel misbruik van kinderen en een reeks andere cybercriminaliteit als dossiers waarin de toegang tot elektronisch bewijsmateriaal cruciaal kan zijn. Vaak echter is dat bewijsmateriaal door verdachten versleuteld, zodat het de facto waardeloos is.
De EU zegt nu naar een ‘actieve discussie’ te zullen streven met de technologie-industrie om te kijken wat ze hieraan kan doen. Ook de onderzoekswereld, de academische wereld, het bedrijfsleven, het maatschappelijk middenveld en andere belanghebbenden zullen hierbij betrokken worden, zo is de belofte. De bedoeling is om een evenwicht te vinden tussen het voortdurende gebruik van krachtige encryptietechnologie en het garanderen van de bevoegdheden van de rechtshandhaving.
Misbruik op de loer
Veel politici, bijvoorbeeld de Nederlandse minister van Justitie Grapperhaus, dringen al langer aan op mogelijkheden om bijvoorbeeld versleutelde berichten van terroristen of makers van kinderporno te kunnen inzien. Nu kunnen criminelen soms niet tijdig worden tegengehouden of gaan ze ten onrechte vrijuit omdat dat niet kan. Grapperhaus zinspeelde al meermaals op een ‘achterdeurtje’ waardoor politie en justitie de encryptie van data zouden kunnen omzeilen.
Privacyvoorvechters zijn fel gekant tegen zulke plannen, omdat de opsporingsdiensten met zo’n achterdeursleutel in principe toegang zouden kunnen krijgen tot álle data. En dan zou misbruik op de loer liggen.
Zucht, daar gaan we weer. Daar waar bijvoorbeeld de NCSC eisen stelt aan de kwaliteit van de beveiliging, staan sommigen dus wederom aan die poten te zagen. ELKE achterdeur zal worden gebruikt/misbruikt door criminelen. Je kunt nog zo’n goed slot op de voordeur hebben, als de achterdeur open staat heb je effectief geen beveiliging. Je hoeft bovendien maar EEN lek in de opsporingsinstantie(s) te hebben en de achterdeur is bekend. Gelukkig hebben we in Nederland geen corrupte agenten (o, wacht…)
Alle crypto algorithmen zullen hierdoor getroffen worden. Denk dan even aan https. Je beveiligde verbinding naar de gemeente, bank of bol.com is dan ook te kraken. Als dit makkelijk te omzeilen is is https ook meteen waardeloos geworden. Je hoeft dan alleen nog maar de netwerk pakketjes te verzamelen en voila, daar heb je de passwords, BSNs etc. (Nee, dat is niet ver gezocht, dat is juist de reden dat we https zouden moeten gebruiken, zeker als je credentials verstuurd.)
Even omgekeerd, de overheid (gemeente, ministeries, defensie) moeten dan ook die versleuteling gaan gebruiken. Waarmee dus ook hun data te kraken is. Eens even kijken of de MIVD dan ook nog zo blij zal zijn.
Bovendien, kunnen we dan ook even vaststellen WAT nu precies de data is die onder de ‘illegale’ activiteiten valt. Natuurlijk is een voorbeeld als terrorisme duidelijk, alleen zijn er landen (zelfs in de EU) die toch wel een erg losse visie hebben op wat onder terrorisme valt. Er zijn landen waar je al opgepakt kan worden als je kritiek hebt op de regering, onder de noemer van terrorisme of staatsondermijnende activiteiten. Bedenk dat WIJ misschien wel een nobele afweging kunnen maken, dat hoeft niet het geval te zijn voor alle landen in de wereld. (En daarvoor hoeven we niet eens zo erg ver de grens over.)
Het is niet mogelijk om een “achterdeur” in te bouwen die exclusief voor justitie en politie bruikbaar is. Welke achterdeur ook wordt verzonnen, die maakt direct de gebruikte encryptie waardeloos. Het is een kwestie van tijd voordat criminelen, hackers, (buitenlandse!) inlichtingendiensten en anderen de achterdeur ook weten te gebruiken. Ik kan me niet voorstellen dat er uit een “actieve discussie” met ict-spelers een andere uitkomst kan komen…. NIET doen dus, ondanks de nadelen.
Interessant om te zien dat deze discussie keer op keer terug komt. Het eerste voorbeeld dat ik me kan herinneren was de Clipper chip, en dat was 1993. Politici leren het nooit, vertrouwen op technische oplossingen waar de oplossingen om bijvoorbeeld terrorisme te bestrijden toch echt liggen op het menselijke vlak.
Vrij naaar Orwell:
Alle burgers zijn krimineel maar sommige (politici ?) meer dan anderen . . . .
Wie is staatsvijand Nr. 1 en is dat altijd al geweest sinds er staten zijn? Dat is niet een terrorist of kinderlokker, een oplichter of verkrachter of moordenaar. Die zijn alleen maar nuttig om ons bang te maken zodat achterdeurtjes ingevoerd kunnen worden met onze instemming.
Nee, staatsvijand Nr. 1 is de bevolking van de staat zelf, u en ik, want daar zijn er veruit het meeste van. Dat is waar de staat werkelijk bang voor is en dat is de reden dat de staat wel heel graag alles van ieder lid van de bevolking wil weten. Waar dat in dictaturen toe leidt kunnen we in China zien gebeuren waar alle technisch denkbare middelen voor controle en onderdrukking worden ingezet en verder ontwikkeld. Anderen kijken daar met afgunst naar, maar gaan zeker niet bij de pakken neerzitten als ze toevallig democratieën zijn.
Misschien moet de EU even hackersgroep APT 29 of Cozy Bear bellen. Die hebben vast de details van dat achterpoortje al bij andere overheden opgehaald. Middels de Solar Winds hack.
Ik realizeer me dat deze opmerking iets zegt over mijn vertrouwen in de overheid… Maar zeg nou zelf…
De overheid is natuurlijk de weg weer eens kwijt in dit debat, maar we moeten ons inmiddels wel afvragen _waarom_ dit onderwerp iedere keer weer terugkomt. Het antwoord op die vraag dient m.i. te worden gezocht in de hoge verwachtingen die de burger heeft van de overheid; zodra er ook maar iets misloopt doemt de vraag op: Waarom heeft de overheid dit niet voorkomen? Pech moet weg! Ieder misdrijf voorkomen! Zolang mensen niet in staat zijn om de onvermijdelijke fundamentele niet-beheersbaarheid van het menselijke bestaan te accepteren zal de roep om steeds verdergaande bevoegd- en mogelijkheden niet verstommen.