Je telefoon zit achter slot en grendel

Sinds ‘Snowden’ krijgen smartphones standaard veel betere beveiliging mee. De encryptieoorlog laait weer op, ditmaal tussen Apple en FBI.

Privéfoto’s, medische dossiers, bankafschriften en geheime correspondentie: de spullen die je thuis zou opbergen in een kluis of een afgesloten kast, staan nu op je telefoon. Een smartphone kan dus nooit té goed beveiligd zijn.

De Amerikaanse opsporingsdienst FBI denkt daar anders over. De FBI wil Apple dwingen een iPhone 5c te helpen ontgrendelen. Dat toestel is gebruikt door Syed Rizwan Farook, een van de overleden schutters van de aanslag in San Bernardino waarbij 14 mensen omkwamen.

De zaak werd afgelopen week in een hoorzitting van het Amerikaanse Congres behandeld, omdat Apple het gerechtelijk bevel om aangepaste software te bouwen, weigert. De software zou moeten voorkomen dat de telefoon zichzelf na tien verkeerde inlogpogingen uitwist.

Apple zegt dat deze technologie op alle types iPhone zou werken. Volgens FBI-directeur James Comey gaat het niet om een ‘achterdeur’ in alle iPhones maar een eenmalig verzoek: „Als Apple zijn gemene waakhond in het gareel houdt, dan kunnen wij even aan het slot van de voordeur morrelen.”

Techbedrijven, en zelfs de Verenigde Naties, scharen zich achter Apple. De gevraagde software zou in handen kunnen vallen van criminelen en vormt in theorie een gevaar voor alle iPhone-gebruikers.

Een reëler gevaar is dat de FBI vaker iPhones wil laten ontgrendelen. Ook Google, Microsoft, Samsung en andere technologiebedrijven zouden zulke verzoeken krijgen. Comey gaf tijdens de hoorzitting toe dat de San Bernardino-zaak een precedentwerking kan hebben. Met andere woorden: geef ze een vinger, en ze nemen je hele land.

Wapentuig

Opsporingsdiensten klagen dat ze helemaal geen zicht meer hebben op terroristen en criminelen omdat ook hun apparaten té goed beveiligd zijn. En dat is niet de eerste keer. Eind jaren negentig verbood de Amerikaanse overheid de export van software met goede versleuteling. Encryptie werd gezien als wapentuig, omdat gebruik van versleuteling voor het internettijdperk alleen voor militaire toepassingen gebruikt werd.

Dit verbod bleek niet houdbaar omdat het web encryptie voor iedereen een noodzaak maakte. Anders kun je niet veilig online zaken doen of berichten versturen. Encryptie stond dus aan de basis van het commerciële succes van het web. Destijds ging het om pc’s en browsers als Internet Explorer, nu gaat het om draagbare computers met een mobiele verbinding: smartphones.

De encryptieoorlog is weer in volle gang. Na de onthullingen van Edward Snowden in 2013 hebben technologiebedrijven hun beveiligingsmaatregelen opgeschroefd. Daar was alle reden toe: geheime diensten NSA en GCHQ onderschepten op grote schaal datastromen en mailverkeer.

Niet alleen Apple breidt de beveiliging uit. Marktleider Samsung voegde beveiligingssoftware Knox toe aan zakelijke toestellen. KPN verkoopt een extra beveiligde Blackphone en BlackBerry ontwierp toestellen die mail nóg beter versleutelen. Daarvan profiteren politici, topmanagers en politieagenten, maar ook criminelen. Technologie kiest geen partij.

Veel chatnetwerken gebruiken end-to-end encryptie: alleen de zender en ontvanger hebben de sleutel om de berichten te ontsleutelen. Er is geen master key, geen loper, meer om af te luisteren. Encryptie verbeterde: in de jaren negentig was een sleutel van 56 bit geavanceerd, nu is 256 bit de norm. Dat wordt onkraakbaar geacht, zelfs voor supercomputers.

Sinds iOS8 wordt de data op elke iPhone standaard versleuteld, Google voegde die functie toe aan de laatste Android-versie (6.0). Er is geen extra app of instelling nodig om encryptie toe te passen. Dat is democratisering van technologie: elke gebruiker geniet dezelfde bescherming en kan veiliger inloggen bij webdiensten met dubbele authenticatie. Of met een kill switch een gestolen toestel op afstand blokkeren en wissen.

Tijdbom

Sinds de iPhone 5S rust Apple zijn toestellen uit met een beveiligde chip die belangrijke sleutels en gescande vingerafdrukken op een afgesloten plek bewaart. Samsung doet hetzelfde met de Galaxy S6. Zo’n vingerafdrukscanner beveiligt transacties en is met wat moeite voor de gek te houden. Dat werkt 48 uur, daarna moet je een pincode invoeren.

De inlogprocedure werd ook strenger. Apples besturingssysteem iOS9 ondersteunt pincodes tot 6 cijfers (of nog veiliger: een langere combinatie van letters en symbolen).

De optie om alle data te wissen zodra je tien keer verkeerd inlogt, bestaat al langer. Het is deze tijdbom die de FBI dwarszit. Na vijf verkeerde pincodes kun je alleen met vertraging nieuwe codes invoeren. Inlogcodes gokken met een computer – de gebruikelijke manier om een toestel te kraken – is geen mogelijkheid meer. Ook onder de motorkap steekt Apple er een stokje voor dat je razendsnel pincodes kunt ‘afvuren’.

Apple wil geen software maken om het pincodeslot te omzeilen. Maar blijkbaar kán het bedrijf het wel – mits het genoeg mankracht en tijd daaraan spendeert. Apple wil van die verantwoordelijkheid af. In de reactie op het gerechtelijk bevel staat: „We zijn net zo verantwoordelijk voor deze telefoon als een autofabrikant verantwoordelijk is voor de leaseauto waarmee een oplichter naar zijn werk heen- en weer rijdt.”

Apple zal toekomstige toestellen dus nog strenger beveiligen, zodat het bedrijf zelf achteraf geen alternatief besturingssysteem kan installeren zonder toestemming (of pincode) van de gebruiker. Vraagt de FBI opnieuw om die gemene waakhond in het gareel te houden, dan is het geen kwestie meer van niet willen, maar van niet kunnen.