- 14-10-24Digitale soevereiniteit: wat betekent het voor jou en je bedrijf?
- 15-07-24Vrijheid van meningsuiting versus censuur
- 08-07-24Statistieken in de BIT Portal
- 18-06-24Waarom iedere website een security.txt nodig heeft
- 11-06-24Black Building Test bij BIT
- 13-05-24Certificaatvrijheid met Let’s Encrypt
- 08-04-24Echte mensen, echte service: bereikbaarheid bij BIT
- 28-02-24De sleutel voor RocksDB performance
- 14-02-24Timeseries data bij BIT
- 06-02-24Tweestapsverificatie (2FA): Versterk je online beveiliging
Grapperhaus ziet inbouwen achterdeur niet als afzwakken van encryptie
Het kabinet werkt achter de schermen nog steeds aan een wet die het verplicht encryptie te kunnen breken. Terwijl een meerderheid van de Kamer er tegen is. Dat onthulde de NOS afgelopen week. Over dit nieuws is al veel ophef ontstaan en heeft er toe geleid dat een groot aantal organisaties en individuen zich vóór de ontwikkeling, beschikbaarheid en toepassing van encryptie hebben uitgesproken op www.stimuleer-encryptie.nl. Opvallend daarbij is dat deze stelling blijkbaar zeer breed gedragen wordt.
Het plan is niet nieuw. Na de aanslagen in Parijs in november 2015 is er al naar gekeken. Logisch, want als er zoiets gebeurt schreeuwen opsporings- en inlichtingendiensten om het hardst om meer bevoegdheden. Nu ging het om iets wat in Frankrijk gebeurde, maar we hebben dat ook in Nederland gezien. Het is natuurlijk veel makkelijker om te zeggen dat je niet genoeg bevoegdheden had dan om toe te geven dat er iets tussendoor geglipt is. Je slaat bovendien twee vliegen in één klap: Je krijgt meer bevoegdheden, altijd fijn, en je krijgt de schuld niet. Deze truc is in het verleden al verschillende keren toegepast. Denk aan de (inmiddels grotendeels door de rechter buiten werking gestelde) bewaarplicht (na de aanslagen in Madrid en de moord op Theo van Gogh) en de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) (na de aanslag op Charlie Hebdo). Trouw schreef in 2015 "Opvallend vaak is er een link met Nederland bij een aanslag." (het artikel is alleen leesbaar voor abonnees, dus ik kan er niet naar linken). Kortom: De AIVD staat op het internationale toneel in zijn hemd.
Grapperhaus lijkt onbekend met end-to-end encryptie
Maar terug naar het onderwerp. Januari 2016 schreef de toenmalige minister van Justitie een brief aan de Tweede Kamer met het kabinetsstandpunt ten aanzien van encryptie. De conclusie: het is 'onwenselijk' om 'beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, beschikbaarheid en het gebruik van encryptie'. Grapperhaus wil echter een 'achterdeurtje' inbouwen en uit zijn beantwoording van kamervragen blijkt dat hij denkt dat te kunnen doen binnen de kaders van het hierboven genoemde kabinetsstandpunt. Blijkbaar ziet hij het inbouwen van een achterdeur niet als het beperken of verzwakken van encryptie.
Hij doet nog meer opmerkelijke uitspraken. Zo krijgt hij de vraag of het voor de overheid toegankelijk maken van berichten die via bijvoorbeeld WhatsApp en Telegram worden verstuurd, er niet toe leidt dat mensen zelf voorzieningen gaan opzetten en daar gebruik van maken. Hij ziet dat niet als een probleem, want er zijn "bij bedrijven reeds berichten in beslag genomen en heeft het OM berichten in onversleutelde vorm kunnen inzien". Hij lijkt totaal onbekend met het principe van end-to-end encryptie. En bovendien: Als die zelf opgezette voorzieningen geen probleem zijn, waarom zijn bestaande diensten dat dan wel?
Zou hij het willen regelen door middel van een verbod op end-to-end encryptie? Een totaal verbod op end-to-end encryptie is onmogelijk. Dan zouden banken, payment providers, de Belastingdienst en dergelijke er ook geen gebruik meer van kunnen maken, wat feitelijk neerkomt op een ruk aan de noodrem van de digitale economie. Als een dergelijk verbod alleen voor chat-diensten zou gaan gelden, schiet je er niet zo veel mee op. Mensen die er behoefte aan hebben kunnen zelf voorzieningen opzetten en gebruiken en zullen dat dan ook doen. Of andere bestaande voorzieningen gaan gebruiken voor onderlinge communicatie. Denk aan het opslaan van berichten in de 'concepten' map van een e-maildienst om zodoende te communiceren zonder de e-mail daadwerkelijk te versturen. Dat lijkt misschien vergezocht, maar het is een truc die al jaren in de praktijk gebruikt wordt.
- Een dergelijke achterdeur zal altijd opengebroken worden door derden. Zeker als algemeen bekend is dat die achterdeur bestaat. China, Rusland en zelfs bondgenoten hebben al laten zien heel erg geïnteresseerd te zijn in wat zich in Nederland op digitaal vlak afspeelt. Universiteiten, het Europees geneesmiddelenagentschap EMA, het JIT, chipmachine fabrikant ASML, er valt in Nederland genoeg te halen waar 'het buitenland' in geïnteresseerd is. Die achterdeur is dus zo opengebroken, met alle gevolgen van dien. Of de sleutel wordt gestolen want de Nederlandse overheid heeft niet bepaald een indrukwekkende reputatie als het om IT en IT-veiligheid gaat.
- Wie gaat er toezien op het rechtmatig gebruik van deze achterdeur? Zowel het rapport over (de toepassing van) de Wet op de Inlichtingen- en Veiligheidsdiensten als het rapport over de kindertoeslagaffaire geeft niet direct aanleiding om vertrouwen te hebben in de mate waarin ministers hun ministeries onder controle hebben. Het is dus wachten tot daar misbruik van gemaakt wordt.
- Wat weerhoudt iemand ervan om encryptie te gebruiken zonder de verplichte achterdeur? Gaat de overheid daar op toezien? Dat zou betekenen dat de overheid af en toe zou moeten proberen de 'achterdeur open te krijgen'. Maar het openen van die achterdeur mag alleen onder strikte voorwaarden. Dus hoe zou dat gehandhaafd moeten worden?
- Gaan er dan vergunningen komen (zoals in China) voor het gebruik van achterdeurloze encryptie voor bedrijven (denk aan VPN-verbindingen voor thuiswerkers), payment providers, banken, de overheid zelf, etc?
- De chat-diensten die op dit moment populair zijn in Nederland zijn allemaal buitenlandse apps. Hoe denkt Grapperhaus die bedrijven verplichtingen op te kunnen leggen?
Dit zijn maar een paar bezwaren en onmogelijkheden die me zo te binnen schieten. Het hele idee is zo onzalig dat ik niet eens weet waar ik moet beginnen.
"We leven in een digibetocratie."
Als je het mij vraagt is het echte gevaar voor de Nederlandse samenleving niet het gebruik van encryptie. Het echte gevaar is dat ons land bestuurd wordt door digibeten. Om met Arjen Lubach te spreken: "We leven in een digibetocratie." De samenleving is in rap tempo aan het digitaliseren. Nu al maken digitale producten en diensten een enorm deel uit van ons leven en van de economie. Ondertussen is er in Den Haag praktisch niemand die daar wat van begrijpt. De enkeling die het wel begrijpt zwaait binnenkort af. We zitten dus feitelijk in de situatie dat zowel de regering als de Kamer totaal geen benul heeft van een groot en belangrijk deel van wat zich afspeelt in het land wat ze moeten besturen.
Door: Alex Bik