Gezondheidsadvies en internet, maar ditmaal niet voor uw fysieke gezondheid maar voor uw digitale gezondheid. Encryptie is steeds meer noodzaak, meent zelfs de Amerikaanse overheid. Jammer dat de Britse premier denkt dat zijn land anno 2015 offline kan.
Natuurlijk heeft premier David Cameron niet letterlijk gezegd dat Groot-Brittannië zich wil afsluiten van het internet. Alleen heeft hij zich niet beseft dat dat wel de logische uitkomst is van zijn uitlatingen over verplichte overheidstoegang tot beveiligde communicatie. De politicus wil namelijk geen persoonlijke communicatie toestaan waar de overheid zich geen toegang toe kan verschaffen. Technisch gezien zijn er twee mogelijkheden om dat politiek wellicht wenselijke scenario te verwezenlijken. Eén: het verbieden van al te krachtige encryptie die de regering dan niet kan kraken. Twee: het verplichten van een backdoor in versleutelingstechnologie.
Schot in eigen voet
Beide mogelijkheden zouden dan qua reikwijdte alleen Groot-Brittannië betreffen. Of eigenlijk: treffen. Want de eerste optie betekent een structurele verlaging van de beveiliging voor digitale communicatie. Wat de overheid kan kraken, kan een ander ook kraken. De rekenkracht die kwaadwillende organisaties – of zelfs technisch onderlegde individuen – ter beschikking staat, doet niet onder voor de middelen die een overheidsorgaan kan aanwenden. De toename in rekenkracht van processors, grafische chips, cloudomgevingen en botnets maakt slappere encryptie uitermate kraakbaar. Voor Cameron, voor crackers.
De tweede optie maakt weinig verschil. Want krachtige encryptie met een ingebouwde backdoor staat gelijk aan slappere encryptie. Een bewust ingebouwde ingang voor overheidsdoeleinden valt op te sporen en dan ook te benutten door de bad guys. Daarvoor kunnen die cybercriminelen, buitenlandse spionnen en andere onverlaten dezelfde technische middelen inzetten als voor het kraken van optie één.
VS raadt encryptie juist aan
Zelfs al zou Cameron encryptie aan banden leggen, dan nog kunnen verdachten prima online overleggen via verboden communicatiemiddelen. De technische mogelijkheden om die verboden te omzeilen zijn immers legio. Voor de verdachten verandert er dus weinig. Voor de brave burgers en bedrijven verandert er echter veel. Groot-Brittannië wordt dan ineens een uitzonderingsland dat zich kwetsbaar opstelt voor buitenlandse mogendheden én voor binnen- en buitenlandse cybercriminelen.
Krachtige encryptie is van vitaal belang voor de verdediging van kostbare data, zowel van overheden als van burgers. Dat zeggen niet alleen de security-experts van leveranciers zoals wij. Dit advies komt ook van de Amerikaanse overheid in een uitgelekt cybersecurityrapport van de US National Intelligence Council. Dat rapport uit 2009 kijkt vooruit naar de vijf jaar tot aan nu en stelt dat encryptie de beste verdediging is voor computergebruikers om hun gegevens te beschermen.
Charlie Hebdo en het grotere plaatje
De directe aanleiding voor Camerons uitlatingen zijn de aanslagen op Charlie Hebdo in Parijs, maar daar achter schuilt een bredere drang vanuit overheden om moderne communicatie aan banden te leggen. De beveiligingsmogelijkheden daarvan bemoeilijken namelijk het werk van opsporingsinstanties en geheime diensten. Security en privacy lijken dus op gespannen voet met elkaar te staan, zoals bezien door overheden en politici als David Cameron.
Ondertussen is de trend vanuit de ict-industrie juist om het basisniveau aan privacy voor hun gebruikers te verhogen. Zie maar het standaard toepassen van encryptie door Apple en Google. Het valt zeer te betwijfelen of de aanbieders van communicatie- en clouddiensten de beveiliging van hun gebruikers willens en wetens zullen ondermijnen, voor welke overheid dan ook. Dat schaadt immers het vertrouwen van die klanten en kost daarmee business.
Loze praat
Bovendien is het nog maar de vraag of een minder goed beveiligd Groot-Brittannië op internet dan wel een beter beveiligd Groot-Brittannië ‘op straat’ oplevert. Of dus de fysieke, offline wereld wel baat heeft bij een onveiligere virtuele, online wereld. Want vastberaden kwaadwillenden weten vast wel andere, voor hun doeleinden veilige communicatiemiddelen te vinden en te gebruiken. Kortom, het lijkt dus vooral politieke (priet)praat over een maatregel die in de praktijk helemaal niet valt te implementeren.
Uitstekend geformuleerd, een opmerking van mijn kant.
Het is natuurlijk niet nodig alles te encrypten, wie aan de weg timmert en gezien wil worden hoeft niet te encrypten.
Zodra er wachtwoorden gebruikt worden is het natuurlijk aan te raden.
Helaas zijn de meeste betaalbare certifikaten (https) nog steeds amerikaans en ik vraag me af of de sleutels wel “NSA-veilig” zijn.
Overigens vraag ik me bij Cameron steeds af hoe zo iemand op die positie kan komen, wellicht begrijp ik te weinig van politici.
Als u even zoekt naar de term ‘Tempora’ dan zal u vrij snel duidelijk worden waarom de premier van de UK dit standpunt inneemt.
Mooi verhaal Martijn.
Eigenlijk gaat het allemaal om ‘common sence’ (om er maar eens een paar Engelse woordjes tussen te gooien)
Maar wat werkelijk het probleem is dat politicy zich bezighouden met zaken waarvan ze geen verstand hebben en aldus ook de impact en haalbaarheid niet kunnen overzien.
Als ik vervolgens dan bedenk dat diezelfde politicy zich op hun beurt weer laten adviseren door ambtenaren die wel verstand van zaken zouden moeten hebben, houd ik mijn hart vast voor de toekomst.