De strijd om cryptografie is opnieuw losgebarsten. Aan de ene kant de privacyvoorvechters en hun end-to-end-encryptie, aan de andere kant de overheden en hun geheime diensten. Vooralsnog lijken de overheden aan het kortste eind te trekken. RTL Z over de Crypto Wars 2.0.
Als je naar de wc gaat, doe je de deur dicht. En als het avond wordt, gaan de gordijnen dicht. Mensen hebben van nature behoefte aan privacy. Sterker nog: het is een grondrecht. Het recht op privacy geldt ook online, maar de onthullingen door klokkenluider Edward Snowden hebben aangetoond dat geheime diensten niet altijd rekening met dit recht houden.
Cryptografie is het meest krachtige wapen dat burgers hebben om hun privacy te beschermen. Een zeer sterke vorm van cryptografie, end-to-end-encryptie, is door de onthullingen door Snowden ook in opkomst. Normale internetcommunicatie is te vergelijken met een postkaart, want het postkantoor, de postbode en soms huisgenoten kunnen lezen wat er op de kaart staat. Bij end-to-end-encryptie stop je de kaart in een verzegelde envelop.
De Verenigde Staten en het Verenigd Koninkrijk doen verwoede pogingen end-to-end-encryptie in te perken. De geheime diensten van beide landen, respectievelijk de NSA en GCHQ, hebben last van de krachtige versleutelingstechnologieën. Door de versleuteling is het lastiger om de communicatie van doelwitten af te tappen en in te zien. Maar beide landen durven end-to-end-encryptie nog niet in de ban te doen.
Encryptie wordt niet alleen toegepast op communicatiestromen, maar beveiligt ook lokale informatie op een mobiel apparaat. Zo worden Android 6.0 Marshmallow en iOS 8 en 9 standaard versleuteld. Als de politie een smartphone in beslag neemt, is het door encryptie veel lastiger om informatie op het toestel in te zien. De versleuteling moet dan eerst worden gekraakt. Dit geldt ook voor het op afstand inbreken op een mobiel apparaat.
De eerste Crypto War
De eerste Crypto War speelde zich in de jaren negentig. Toen was ook de vraag: in hoeverre mag de overheid sterke cryptografie verbieden of via een technisch achterdeurtje toch nog toegang krijgen tot informatie. Ook in Nederland was er veel discussie over dit onderwerp, maar uiteindelijk werd besloten cryptografie toe te staan. Daar hebben onder andere de Nederlandse banken flink aan bijgedragen, want zij waren toentertijd één van de belangrijkste tegenstanders.
Een voorbeeld van encryptie
"Ik begrijp dat de Nederlandse Vereniging van Banken een serieuze rol in de strijd tegen het verbieden van cryptografie speelde", zo vertelt Ot van Daalen, digitale-rechtenadvocaat bij Project Moore Advocaten. "Cryptografie heeft twee doelen: het beschermen van vertrouwelijke informatie en het garanderen van de authenticiteit van de informatie. Als een bank een transactie verzendt, wil het natuurlijk niet dat er in de datastroom een tonnetje af wordt gesnoept. Het is belangrijk dat een transactie precies aankomt zoals dat het wordt verzonden."
De huidige situatie in de VS en VK
In de VS heeft de regering in oktober van dit jaar beloofd om vooralsnog geen actie tegen end-to-end-encryptie te ondernemen. "Wij blijven zinvolle gesprekken houden met de industrie", zo liet FBI-directeur James Comey toentertijd weten. Die gesprekken moeten techbedrijven overtuigen om versleutelde data op verzoek van de overheid toch te ontsleutelen en over te dragen.
In het VK was eerst wel sprake van een verbod op end-to-end-encryptie, dat werd toegevoegd aan het conceptwetsvoorstel Snooper's Charter. Dit leverde enorm veel kritiek op, waarna de Britse minister van Binnenlandse Zaken, Theresa May, heeft besloten om dit omstreden verbod uit het wetsvoorstel te halen.
Het is wel aannemelijk dat de Britse regering - net als de Amerikaanse regering - druk blijft uitoefenen op techbedrijven om versleutelde gegevens over te dragen. Bij goede end-to-end-encryptie is de sleutel om data te ontsleutelen echter in handen van de gebruiker, en niet in de handen van het techbedrijf.
De huidige situatie in Nederland
Op dit moment is cryptografie in Nederland toegestaan. Ook krachtige cryptografie als end-to-end-encryptie is niet verboden. Volgens Van Daalen zijn de VS en het VK ook een stuk conservatiever dan Nederland en sneller geneigd om een dergelijk verbod op encryptie door te voeren: "Ik heb de indruk dat de Nederlandse overheid de waarde van encryptie erkent. In de overheid zitten veel nerds die cryptografie en het belang daarvan snappen."
Toch heeft de progressieve houding van Nederland een deuk opgelopen. De overheid wil de bewaarplicht opnieuw doordrukken en maakt zich klaar voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten, waarmee de AIVD op grote schaal internetverkeer mag aftappen. "Maar het verbannen van cryptografie is echt een brug te ver. Het zou mij enorm verbazen als ze dat zouden doen. Al is het maar omdat het gewoonweg ongelooflijk dom is", aldus Van Daalen.
Het hoofdkantoor van de AIVD in Zoetermeer
Want hoe ga je zo'n verbod handhaven? Volgens Van Daalen zou de overheid zich bij zo'n verbod vooral op de grote techbedrijven richten: "Stel dat de overheid WhatsApp, Facebook, Apple en Google meekrijgt om hen te verplichten data te ontsleutelen. Dan heb je al een enorm groot gedeelte van de Nederlandse communicatiestromen. Bij zo'n wet streef je niet naar handhaving, maar wil je hem vooral gebruiken om bij specifieke doelen in te zetten."
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties meldt aan RTL Z dat het werkt aan een officieel statement over end-to-end-encryptie, maar wil nog niets loslaten over de inhoud.
Het probleem met achterdeurtjes
De Europese coördinator voor counter-terrorisme, Gilles de Kerchove, pleit ervoor dat techbedrijven meehelpen om data van terreurverdachten te ontsleutelen. Als dit niet mogelijk is, bijvoorbeeld omdat een bedrijf niet over de sleutel beschikt, dan is er de mogelijkheid om een achterdeurtje in te bouwen. Andrus Ansip, de vicepresident van de Europese Commissie, heeft zich uitgesproken tegen dergelijke achterdeurtjes: "In de Commissie hebben we geen plannen om achterdeurtjes te maken. Die plannen hebben we ook nooit gehad."
Achterdeurtjes zijn volgens Van Daalen een slecht idee: "Je kunt het gebruik van een achterdeurtje niet beperken tot de goede jongens. Ook slechteriken kunnen gebruikmaken van zo'n ingang. Dat is al eerder voorgekomen: de Duitse politie ontwikkelde enkele jaren geleden malware om computers over te nemen, maar de malware kon door een fout ook door kwaadwillenden worden misbruikt."
De maatschappij wordt juist onveiliger door dergelijke achterdeurtjes, meent Van Daalen. "Het is voor zowel burgers als bedrijven schadelijk. Het gebeurt niet vaak dat de industrie en de maatschappij een gemeenschappelijk doel hebben, maar encryptie brengt hen samen. Van Amnesty International of de Nederlandse banken tot de 'gewone burger': iedereen heeft baat bij sterke encryptie."
