Als de overheid de sleutel wil

In de nasleep van het NSA-schandaal hebben Apple en Google hun diensten versleuteld. Amerikaanse en Europese opsporingsdiensten eisen nu toegang via ‘achterdeurtjes’.

Illustratie Tomas Schats Illustratie Tomas Schats

Veilige, versleutelde communicatie, met een sleutel voor de overheid om mee te lezen als dat nodig is. Is dat mogelijk? Zowel in de VS als in Europa woedt de discussie: opsporingsdiensten willen een ‘achterdeurtje’, maar deskundigen zijn tegen.

Een half jaar geleden sloegen bazen van opsporingsdiensten als FBI en Europol alarm: verschillende internetbedrijven boden hun klanten versleuteling waar deze bedrijven zelf de sleutel niet meer van hadden. Apple, Google en WhatsApp zijn de bekendste. Zo zagen ze vrijwillig af van de mogelijkheid de data van hun klanten in te zien.

Het was een reactie op het NSA-schandaal, dat in de zomer van 2013 werd onthuld door klokkenluider Edward Snowden. Bedrijven waarvan was gebleken dat ze data deelden met de NSA, hoopten zo het vertrouwen van het publiek terug te winnen. Een sleutel die je niet hebt, kun je ook niet delen. Jammer voor politie en geheime diensten, die zo een belangrijke bron van informatie kwijtraakten.

Europa en VS vechten terug

Politici proberen nu het verloren terrein voor de overheid te heroveren. In het Verenigd Koninkrijk wil premier David Cameron bedrijven verplichten de overheid in bepaalde gevallen een sleutel te geven. Hij doet dat op verzoek van inlichtingendiensten. Ook de directeur van Europol (de samenwerkende Europese politieorganisaties) Rob Wainwright klaagde onlangs over het toenemend gebruik van encryptie.

In de VS heeft het Congres eerder deze maand hoorzittingen gehouden over de vraag of een ‘achterdeur’ in versleutelingssoftware wenselijk zou zijn. FBI-directeur James Comey verklaarde dat alle communicatie leesbaar zou moeten zijn, eventueel na een gerechtelijk bevel. De FBI adviseerde bezitters van smartphones eerder om encryptie te gebruiken als beveiliging tegen diefstal, maar dit advies is van de FBI-site verdwenen.

Deze roep om achterdeurtjes stuit op één probleem: deskundigen op het gebied van encryptie zeggen dat het niet kan. Een groep van vijftien vooraanstaande cryptografen heeft tijdens de hoorzittingen een manifest gepubliceerd vol bezwaren.

Zwakke plek

De belangrijkste bezwaren betreffen de veiligheid zelf. De beste encryptietechnieken van nu wissen een sleutel direct na gebruik, zodat hij niet misbruikt kan worden. Als de sleutels bewaard moeten worden, waar dan ook, ontstaat een zwakke plek. Mensen die toegang hebben tot de sleutels zouden daar misbruik van kunnen maken, de informatie zou per ongeluk op straat kunnen belanden of hackers zouden zich er meester van kunnen maken.

Al deze mogelijkheden hebben zich in het verleden wel eens voorgedaan. NSA-werknemers hebben in afgetapte informatie zitten zoeken naar personen voor wie ze persoonlijk belangstelling hadden, zoals ex-geliefden. Laptops en usb-sticks met gevoelige informatie zijn verloren of gestolen. En de vijftien deskundigen noemen een database van Google met personen die voor de NSA in de gaten moesten worden gehouden, waar Chinese hackers in wisten door te dringen.

Verder wijzen de vijftien erop dat het beheer van al die sleutels in juridisch opzicht een onontwarbare kluwen dreigt op te leveren. Als het Verenigd Koninkrijk en China allebei een dergelijk beleid in wetgeving opnemen, aan welk land moet een Britse app-bouwer met Chinese gebruikers dan zijn sleutels ter beschikking stellen? Moet hij China toegang geven tot versleutelde communicatie tussen een Chinees en een Brit?

Ook zijn er principiële bezwaren. „De regeringen van de VS en het Verenigd Koninkrijk hebben lang en hard gevochten om het beheer van internet open te houden, in weerwil van de eisen van autoritaire landen om staatscontrole in te voeren”, schrijven ze in het pamflet. „Betekent de roep om dit soort toegang geen ommekeer in het beleid?”

Als westerse overheden zulke achterdeuren gaan afdwingen, zullen andere landen dit ook doen, zegt Bart Jacobs, hoogleraar informatica aan de Radboud Universiteit. „Fabrikanten moeten dan tientallen achterdeuren inbouwen. Dan kun je net zo goed niet beveiligen.”

Achterdeurtjes kunnen alleen werken als concurrerende diensten en software uit landen zonder dergelijke wetgeving worden verboden, zegt Jacobs. „Bovendien bestaat er zoveel gratis open source-software voor beveiligd communiceren dat zulke maatregelen makkelijk omzeild kunnen worden.”

Nationale veiligheid

Niet alle politici maken zich zorgen over juridische collateral damage. „Volgens mij is onze eerste plicht om burgers te beschermen tegen aanvallen”, zei voormalig presidentskandidaat John McCain tijdens de hoorzittingen. Privacy en grondwettelijke rechten komen volgens hem op de tweede plaats.

Ook de Washington Post stelde afgelopen weekend in een redactioneel commentaar dat softwareontwikkelaars naast het beschermen van privacy ook hun verantwoordelijkheid moeten nemen voor het bestrijden van criminaliteit en terrorisme. De krant pleit voor een „soort van veilige gouden sleutel” waarmee veiligheidsdiensten uitsluitend met toestemming van een rechter zich toegang zouden kunnen verschaffen tot versleutelde informatie. „Alle vrijheid komt met beperkingen. Het lijkt alleen maar gepast dat de grote vrijheden van het internet worden onderworpen aan dezelfde wettelijke grenzen en beschermingen die we voor de rest van de samenleving accepteren”, aldus de krant.

Het Washington Post-commentaar kon rekenen op schampere opmerkingen van beveiligingsexperts. Natuurlijk hebben terroristen profijt van encryptie, aldus Bruce Schneier, een van de ondertekenaars van het manifest, in een interview met Business Insider. „De voordelen van encryptie zijn voor de good guys én de bad guys. Dat geldt ook voor de voordelen van auto’s. Maar Cameron vraagt ook niet of auto’s nog maar zestig kilometer per uur kunnen rijden zodat bankrovers minder snel kunnen vluchten. Je moet niet een overweldigend aantal eerlijke mensen benadelen in een poging een paar slechte mensen dwars te zitten.”