Onze IT-infrastructuur is alleen maar onveiliger geworden. Sterke encryptie is broodnodig, aldus Ot van Daalen, promovendus aan het Instituut voor Informatierecht aan de Universiteit van Amsterdam.
8 november 2019, 11:03
Minister Grapperhaus vindt dat de overheid toegang moet kunnen krijgen tot versleutelde berichten als dat nodig is. Dat hebben we eerder gezien. Meer dan twintig jaar geleden wilden overheden dat ook. Toen was dat al een slecht idee, en dat idee is alleen maar slechter geworden.
De minister pleitte afgelopen zondag voor een ‘sleutelrecht’: justitie moet toegang krijgen tot versleutelde chatberichten als daarin afbeeldingen van seksueel kindermisbruik worden gedeeld. Dat is geen nieuw idee: eind jaren negentig wilden landen over de hele wereld, van de VS tot Engeland, en van Frankrijk tot Duitsland, ook via een verplichte achterdeur toegang tot versleutelde telefoon- en e-mailberichten afdwingen.
Technologie-experts, digitale burgerrechtenorganisaties en de financiële sector hebben zich daar toen stevig tegen verzet. Zij waarschuwden dat een achterdeur, zelfs als die alleen voor de overheid bedoeld is, ook door criminelen en buitenlandse overheden kan worden gebruikt. Uiteindelijk hebben voorstanders van sterke encryptie toen de ‘cryptowars’ gewonnen: overheden trokken hun regelgeving in.
Zelfs die korte periode was al genoeg om flinke schade aan te richten: een aantal recente, spraakmakende kwetsbaarheden zijn ontstaan doordat internetbrowsers nog steeds oude, verplicht verzwakte versleuteling blijven ondersteunen.
Maar nu, twintig jaar later, zie je dat overheden desondanks de oude discussie oprakelen. Amerika, Frankrijk, Duitsland – en nu dus ook Nederland – pleitten het afgelopen jaar voor toegang tot versleutelde berichten. Is er dan iets veranderd?
Geheime diensten maken volop gebruik van die onveiligheid
Ja en nee. Het is nu nóg onverstandiger. Onze IT-infrastructuur is alleen maar onveiliger geworden: we zijn meer afhankelijk van IT en er zitten talloze kwetsbaarheden in software en diensten die we dagelijks gebruiken. Zelfs computerchips bevatten lekken die moeilijk kunnen worden gedicht.
Geheime diensten maken daar gebruik van: zo luisteren de Amerikanen mee met een groot deel van het internetverkeer, zoals uit de Snowden-documenten bleek. China en Rusland doen dat ongetwijfeld ook. Ook criminelen willen graag toegang tot onze berichten, bijvoorbeeld om online te bankieren met onze rekening. In die wereld is encryptie van communicatie een van de weinige manieren waarmee mensen zich kunnen beveiligen.
Er wordt veel meer informatie automatisch geregistreerd, vergeleken met twintig jaar geleden. Via onze telefoons, betaaldiensten, camera’s, generen wij een keurig overzicht van ons gedrag. Als de politie een onderzoek doet, kan ze daar in veel gevallen nu al bij. Heeft ze dan wel die toegang tot versleutelde berichten nodig? Dat blijkt in ieder geval uit geen enkel rapport van de Nederlandse overheid.
Hierdoor heeft Grapperhaus ook een juridisch probleem. Zijn voorstel staat op gespannen voet met de grondrechten op privacy en communicatievrijheid. Met sterke encryptie kunnen mensen onbespied met elkaar communiceren en kunnen bedrijven informatie goed beveiligen, juist nu onze IT-infrastructuur verder zo onveilig is.
Het verzwakken van encryptie raakt de kern van die grondrechten. Mensen communiceren niet meer onbevangen als ze weten dat iemand meeleest, zeker als het gaat over gevoelige communicatie zoals met dokters, advocaten en journalisten. En bedrijven kunnen de gegevens van hun gebruikers en zichzelf minder goed beschermen als criminelen en overheden kunnen inbreken.
In de vorige cryptowars duurde het zo’n tien jaar tot overheden wereldwijd gezamenlijk tot inkeer kwamen. Laten we hopen dat minister Grapperhaus dit keer minder tijd nodig heeft.
Comments are closed.