De nieuwste tech is afluisterbestendig

Versleuteling dreigt mainstream te worden, nu Apple en Google het standaard aanbieden. Dat zint geheime diensten totaal niet. „Dit kan het leven van een kind kosten.” 

En opnieuw schroeft een techbedrijf de beveiliging op om afluisteren te voorkomen. Chatdienst WhatsApp (600 miljoen gebruikers, 8,7 miljoen in Nederland) maakte vorige week bekend dat het berichten tussen gebruikers gaat versleutelen met end-to-end encryptie. Het komt erop neer dat WhatsApp zelf de inhoud van een bericht niet meer kan inzien – ook als opsporingsinstanties daarom vragen.

WhatsApp, eigendom van Facebook, speelt in op de trend om communicatie beter af te schermen. De aanleiding: de massale afluisteracties van geheime diensten, onthuld door Edward Snowden.

Encryptie gaat standaard aan

Apple en Google, de belangrijkste leveranciers van mobiele software, hebben hun maatregelen tegen afluisteren al verscherpt. Sinds september wordt de inhoud van elke iPhone met de nieuwe versie 8 iOS versleuteld zodra de eigenaar een wachtwoord instelt. Foto’s, tekstberichten en adressen zijn dan niet te achterhalen, zelfs niet door elektronisch of microscopisch onderzoek van de geheugenchip. Kort nadat Apple dit bekendmaakte, kondigde Google aan in de volgende versie van Android hetzelfde te gaan doen.

Apple en Google zorgen er nu voor dat de encryptie standaard is ingeschakeld. Beide bedrijven benadrukken dat ze zelf niet de sleutel hebben. Die kunnen dus niet op straat komen te liggen door een hack, en ze kunnen ook niet worden opgevraagd door een of andere overheid. Raak je je smartphone kwijt, dan kun je er zeker van zijn dat de inhoud niet valt te lezen. Niet door criminelen, en ook niet door de politie (tenminste: zolang je een moeilijk te raden wachtwoord hebt).

Of de aanbieder zelf een sleutel heeft, is een belangrijk detail. Lavabit, de maildienst die Edward Snowden gebruikte, beschikte wel over de encryptiesleutels van zijn klanten en ontving in augustus 2013 een bevel om deze sleutels in te leveren én een verbod om hierover te praten. Daarop wiste eigenaar en oprichter Ladar Levison alle gegevens en staakte de dienst, waar hij tien jaar aan had gewerkt.

De stap van Apple en Google om encryptie aan te bieden zonder dat zij als providers een sleutel achterhouden, is opsporingsinstanties in het verkeerde keelgat geschoten. De directeur van de FBI James Corney en het hoofd van het cybercrime-centrum van Europol, de Deen Troels Oerting, klagen dat Apple en Google de misdaad een dienst bewijzen.

De Britse spionagebaas Robert Hannigan schreef in de Financial Times dat standaard versleuteling terroristen in de kaart speelt. Volgens een artikel in de Wall Street Journal zou een hoge Amerikaanse opsporingsambtenaar Apple verwijten dat waterdichte encryptie het leven van een kind kan kosten.

Er zou daarom een uitzondering moeten worden gemaakt voor legitiem politieonderzoek. Deskundigen in computerbeveiliging vinden dat zulke achterdeurtjes niet gereserveerd kunnen worden voor gebruik volgens de wet. Al was het maar omdat de sleutels in verkeerde handen kunnen vallen.

Encryptie is noodzaak

Encryptie is geen instrument dat speciaal voor misdadigers ontworpen is. Encryptie is net zo goed noodzaak voor bedrijven en particulieren. Bedrijfsgeheimen en privacy worden erdoor beschermd tégen criminelen, maar ook tegen een ongeremd glurende overheid.

Voor legitiem politieonderzoek bestaan alternatieven. Een verdachte van een misdrijf kun je arresteren, zijn of haar mobiele telefoon in beslag nemen, en in de meest landen kun je zijn of haar wachtwoorden opeisen.

Wat de updates van Apple en Google betreft: die beschermen alléén de inhoud van de smartphone. Dus niet de verkeersgegevens (met wie is gecommuniceerd, wanneer, hoe lang en waarvandaan), die verplicht worden opgeslagen door telecomproviders en zo nodig opvraagbaar zijn.

Veel gegevens die met smartphones worden gegenereerd, worden automatisch online opgeslagen, zoals foto's, video's en tekstberichten. Voor zoekvragen en bezochte websites geldt hetzelfde. Er blijft dus meer dan genoeg opvraagbaar voor politie, justitie en geheime diensten.

De reden dat autoriteiten zich zo druk maken over de bescheiden stap van Apple en Google is vermoedelijk dat encryptie mainstream dreigt te worden. Verschillende cloud-diensten bieden al opslag met encryptie aan, zoals Mega van de flamboyante internetondernemer Kim Dotcom, en het Amerikaanse SpiderOak. Er zijn nieuwe diensten in de maak voor e-mail met encryptie. Cryptocat, Off the Record en Chat-Secure zijn gecodeerde chatdiensten.

Het gemor uit overheidskringen roept echo’s op van het Amerikaanse verbod op export van cryptografische technologie, dat tot in de jaren 90 gold. Amerikaan- se technologiebedrijven hadden daar veel last van, omdat ze niet konden concurreren met bedrijven uit Europa en Azië.

Op dit moment staan Amerikaanse bedrijven ook op achterstand, omdat niemand ze meer vertrouwt. Snowden heeft van privacy een verkoopargument gemaakt.