Er zijn van die onderwerpen waar je als jurist héél ver van de technische werkelijkheid blijkt te staan. Encryptie of geheimschrift is er daar eentje van. Politici, beleidsmakers, juristen en opsporingsambtenaren: iedereen vindt het belangrijk, maar ook een beetje ingewikkeld, dus laten we daar nette regeltjes voor maken. Cryptografen en coders zien ook het belang van encryptie, maar toch botsen die twee werelden steeds. Waar komt dat vandaan?
No Such Agency
Het zal niemand verbazen dat de eerste discussies over computerbeveiliging uit militaire hoek komen. Het belang van computers voor defensie was al in de jaren zestig evident. En hoewel tegenwoordig privacy en security onlosmakelijk verbonden zijn, heeft het tot zeker begin jaren negentig geduurd totdat dit een geaccepteerd feit was. Het militair belang zat bij security vooral in het stiekem kunnen afluisteren en aftappen van telefonie en andere communicatielijnen. Een cruciale rol hierbij werd gespeeld door de Amerikaanse National Security Agency of NSA. Die werd opgericht in 1952, maar pas in 1975 bij het publiek bekend: vandaar de nepafkorting 'No Such Agency'.
De primaire taak van de NSA was het afluisteren van overheden en private partijen. Hoewel dit zou moeten gaan om de Amerikaanse nationale veiligheid, zijn er sterke aanwijzingen dat de NSA zich nadrukkelijk ook met economische spionage bezighoudt. De unieke kwaliteit van de NSA zat hem in haar kennis over encryptie, ook wel cryptografie of geheimschrift. Dit vakgebied van het verstoppen van informatie bestaat al sinds de klassieke oudheid, maar kreeg pas na de opkomst van radio en vooral na de Eerste Wereldoorlog grootschalige betekenis. Nederland heeft sinds die tijd een sterke positie in de markt voor afluisteren en aftappen.
Cryptografen hebben in belangrijke mate bijgedragen aan de overwinning in de Tweede Wereldoorlog: het kunnen kraken van Duitse en Japanse geheimschriften heeft de oorlog met maanden zo niet jaren verkort. Dit maakte dat cryptografie en afluisteren van telecommunicatie hoog op de radar stonden bij defensieorganisaties na de oorlog. In 1946 richtten Australië, Canada, het Verenigd Koninkrijk, Nieuw-Zeeland en de Verenigde Staten een afluistersamenwerkingsverband op: UKUSA, maar populair bekend onder de naam Five Eyes. Hiermee konden deze landen wereldwijd enorme hoeveelheden informatie verzamelen. Pas begin jaren nul kwam aan het licht hoe wijdverbreid deze informatiegaring was, inclusief grootschalige toepassing voor economische spionage. De samenwerking is wel 'among the most intimate and enduring international security relationships' genoemd, en zou enorme invloed hebben op de diplomatie en economie van de betrokken landen.
Het geheimschrift wordt publiek
De NSA investeerde veel tijd en menskracht in de ontwikkeling van cryptografie, zowel het kunnen kraken van systemen als het bouwen van zo onkraakbaar mogelijke systemen. Al deze inspanningen waren staatsgeheim. Het duurde tot de jaren zeventig voordat er ook maar iets vergelijkbaars beschikbaar kwam voor de bescherming van commerciële belangen. In 1972 stelde het Amerikaanse Nationaal Bureau voor Standaardisatie voor dat er een nationale standaard voor encryptie moest komen: DES. Het algoritme werd door IBM ontwikkeld, met enkele aanpassingen door de NSA. Omdat het een standaard was met de zegen van grote bedrijven en de overheid, werd de DES door veel organisaties overgenomen. In de jaren negentig zou overigens blijken dat de NSA het algoritme verzwakt had door de zogeheten S-boxen in het ontwerp te manipuleren.
De DES had, net als alle encryptiesystemen voor hem, één belangrijk nadeel. Encryptie komt er eigenlijk altijd op neer dat de informatie wordt verhaspeld op basis van een sleutel. Met diezelfde sleutel kan het verhaspelen weer ongedaan gemaakt worden; zonder sleutel is dat in principe onmogelijk. Het probleem: hoe krijgt de ontvanger de sleutel? Dit was in grote organisaties nog wel op te lossen, bijvoorbeeld door periodiek een koerier papieren lijsten met sleutels per week naar alle afdelingen te laten brengen, maar voor informelere samenwerking onwerkbaar.
In 1977 deden wiskundigen Rivest, Shamir en Adleman een opzienbarende ontdekking: er waren wiskundige functies die makkelijk de ene kant op uit te voeren zijn, maar zeer lastig ongedaan te maken zonder een specifiek stukje informatie. Eerder deden Diffie en Hellman hetzelfde, en de Britse geheime dienst GCHQ zou het principe al sinds 1969 kennen. Een simpel voorbeeld van zo'n wiskundige functie is het ontbinden van een getal in zijn priemfactoren. Het is eenvoudig om twee getallen te vermenigvuldigen, maar (bij grote getallen) onhaalbaar complex om snel die twee getallen terug te vinden vanuit hun product. De publiekesleutelcryptografie was geboren: publiceer informatie waarmee iedereen informatie kan versleutelen en houd het stukje informatie geheim waarmee dat ongedaan te maken is. De publieke sleutel kan dan door iedereen worden opgevraagd, of gewoon ergens gepubliceerd, en de private sleutel is alleen bij de ontvanger bekend zodat meeluisteren niet mogelijk is. En het werd nog mooier: als je dit proces omgekeerd deed, had je een bericht dat alleen door de bezitter van de private sleutel versleuteld kon zijn: een digitale handtekening. Door deze tegenstelling van de rol van de sleutels wordt dit ook wel asymmetrische encryptie genoemd.
Het algoritme van Rivest, Shamir en Adleman, genaamd RSA, naar hun achternamen, vond in de jaren tachtig nichetoepassingen in beveiligingssystemen zoals smartcards voor toegangscontrole, maar bleef grotendeels buiten het zicht. Hetzelfde geldt voor het eerder bedachte Diffie-Hellman-algoritme. Dat veranderde in 1991 door een computerprogramma dat de grootste politieke ophef ooit veroorzaakte.
Pretty Good Privacy
Wegens het belang van encryptietechnologie voor de nationale veiligheid, was het verspreiden van cryptografische systemen, zoals chips die het RSA- of DES-algoritme konden uitvoeren, aan strenge regels gebonden. De Amerikaanse ITAR-wetgeving was de strengste: deze stelde cryptografische systemen gelijk aan munitie, in juridische zin dan. Export was enkel met nauwelijks te verkrijgen vergunning mogelijk, tenzij de sleutellengte zodanig werd afgezwakt dat het door de NSA gemakkelijk
gekraakt kon worden. In internationaal verband verbood het COCOM-verdrag export van cryptografie aan Oostbloklanden. Dit werd in 1994 opgevolgd door het Wassenaar Arrangement. Formeel is dit geen juridisch bindend instrument, maar effectief zorgde het wel voor een stevige grip van de deelnemende landen op de export van cryptografie.
:fill(white):strip_exif()/i/2006310580.webp?f=imagemedium)
Het was dan ook op zijn zachtst gezegd opmerkelijk dat in 1991 het programma Pretty Good Privacy op diverse bulletinboardsystemen verscheen. PGP was een compleet encryptiesysteem gebaseerd op RSA: encryptie, decryptie, digitale handtekeningen en een gedistribueerd systeem voor sleutelbeheer. Het pakket was ontworpen voor activisten om ongehinderd te kunnen communiceren; ontwikkelaar Phil Zimmermann had een achtergrond als antikernenergieactivist. De directe aanleiding was een voorgestelde Amerikaanse afluisterwet van eerder dat jaar, die telefonie- en internetproviders zou verplichten om met een laagdrempelig gerechtelijk bevel alle communicatie en berichten van particulieren aan politiediensten te verstrekken.
Naast de unieke technische prestatie van PGP was ook de motivatie bijzonder: encryptie en privacy waren nog nooit eerder op zo’n praktische manier met elkaar verbonden. Discussies over computerbeveiliging tot die tijd hadden een sterk militaire of overheidsinsteek, het oogmerk was criminelen en spionnen buiten houden. Privacy was een heel ander onderwerp, dat vooral ging over hoe technologie toegepast kon worden op burgers. Door PGP kregen gewone mensen een middel om hun privacy concreet te realiseren: versleutel al je communicatie en verberg je identiteit, maar dankzij digitale handtekeningen wel met de zekerheid van de juiste persoon tegenover je te hebben.
De Amerikaanse overheid was woest: PGP was wereldwijd beschikbaar, en daarmee ook voor haar politieke tegenstanders. Zimmermann had de software alleen op Amerikaanse bbs’en geplaatst, maar het pakket was snel genoeg in andere landen aangekomen. Een strafrechtelijke procedure tegen Zimmermann liep echter op niets uit. Eén aspect daarvan mag niet onvermeld blijven: in samenwerking met het Amerikaanse MIT publiceerde Zimmermann de volledige broncode van PGP in boekvorm, gebruikmakend van een handig OCR-lettertype. Dat gebeurde dan ook door een grote groep vrijwilligers uit Europa, onder meer in het Nederlandse hackerskamp What the Hack. Het achterliggende juridische argument was simpel: hoe kan de Amerikaanse overheid de publicatie en verspreiding van een boek door een gerespecteerde academische instelling als MIT tegenhouden met een beroep op wapenwetgeving?
De Clipper-chip en andere achterdeuren
Mede in reactie op het breed lekken van PGP koos de Amerikaanse overheid voor een nieuwe insteek. Veilige, onkraakbare encryptietechnologie zou op de markt mogen komen, maar dan wel in combinatie met government key escrow; de overheid zou een kopie van elke sleutel moeten hebben. Met die sleutel zou de overheid dan in het geval van strafbare feiten of nationale veiligheid de encryptie kunnen passeren. De NSA ontwierp met dit doel de Clipper-chip, een microchip die een variant op de DES kon uitvoeren in combinatie met een publiekesleutelalgoritme als in PGP. Elke chip bevatte tevens een extra sleutel waarmee de escrowmogelijkheid kon worden uitgevoerd.
'De reactie vanuit de securitygemeenschap op de Clipper-chip was op zijn zachtst gezegd afkeurend.'
De reactie vanuit de securitygemeenschap was op zijn zachtst gezegd afkeurend. Niet geheel onbegrijpelijk, omdat deze grote overlap vertoonde met de hackercommunity's en cypherpunks, voor wie overheidsbemoeienis met technologie hoe dan ook een no-go was. Maar ook bedrijven waren weinig happig op het overnemen van deze achterdeur: zorgen over misbruik of lekkage van de sleutels en de onmogelijkheid Clipper-communicatie met niet-Amerikaanse bedrijven te kunnen voeren, maakte dat de chip geen zakelijke relevantie had. Clipper stierf drie jaar later een stille dood.
Het idee van 'encryptie met een achterdeur' is sindsdien blijven hangen bij politici en wetshandhavers als oplossing voor het probleem van niet-aftapbare communicatie. Met enige regelmaat worden proefballonnetjes opgelaten met als strekking dat 'ergens' een extra sleutel moet worden opgeslagen, zodat handhavers of opsporingsdiensten deze 'alleen bij ernstige gevallen' kunnen gebruiken. Zorgen over diefstal van die extra sleutel of misbruik door personeel worden daarbij vrijwel altijd weggewuifd. Wat de argumenten ook moge zijn, praktisch gezien is het te laat: onkraakbare encryptie is wereldwijd
beschikbaar.
Achterdeuren en de Crypto Wars 2.0
De implementatie van encryptie kreeg een boost na de onthullingen van Edward Snowden in 2013. Hij onthulde hoe de NSA en andere diensten in de tussentijd hadden gewerkt aan achterdeuren in de bedrijfsnetwerken van Google, Microsoft en andere techgiganten. Zij konden zo meelezen en waar nodig tips doorgeven aan opsporingsdiensten en andere autoriteiten. De betreffende bedrijven waren laaiend over deze schendingen van hun mooie netwerken. Binnen de kortste keren werden deze van top tot teen voorzien van de sterkst mogelijke encryptie, en ook hun producten en diensten kregen end-to-endencryptie. Dat wil zeggen: zelfs de dienstverlener kon niet meer meelezen wat mensen tegen elkaar chatten op bijvoorbeeld WhatsApp.
Het behoeft geen betoog dat opsporings- en handhavingsdiensten zich altijd fel verzet hebben tegen dergelijke onkraakbare systemen. De daaropvolgende strijd wordt ook wel de Crypto Wars 2.0 genoemd. De parallellen met de discussies in de jaren negentig zijn evident. De belangen zijn wel enigszins verschoven: er is vanuit de gewone burger een sterkere behoefte aan bescherming van zijn persoonlijke levenssfeer en persoonsgegevens, bedrijven zijn zich sterk bewust van het belang van informatiebeveiliging, en digitale authenticiteit (met elektronische handtekeningen) is cruciaal in de online economie.
Geheimschrift in de informatiebeveiliging
Encryptie dook medio jaren negentig ook in een andere hoek op, namelijk die van de gegevensbescherming. De Europese wetgever had in 1995 een nieuw instrument geïntroduceerd: Richtlijn 95/46, de Databeschermingsrichtlijn die de voorganger vormde van de AVG. Deze moest de regels over gegevensbescherming in Europa harmoniseren. Artikel 17 eist dat verantwoordelijken voor verwerking van persoonsgegevens zorgen voor 'adequate' informatiebeveiliging. Uniek was dat de Richtlijn informatiebeveiliging als een proces definieerde: overweging 46 benoemde expliciet dat de veiligheid gemeten moet worden ten tijde van de verwerking en niet slechts bij het bouwen van het systeem.
De Richtlijn liet verder in het midden hoe beveiliging eruit zou moeten zien, omdat dit sterk afhangt van het soort verwerking en de te verwachten risico’s. Dit bleek echter een érg groot gat voor ondernemers, en het niveau van beveiliging wisselde dan ook sterk tussen bedrijven. Een duidelijke push richting standaardisatie had hier veel voordelen voor de maatschappij kunnen geven.
De strafzaak tegen Zimmermann voor verboden export van cryptografie, die de Amerikaanse overheid verloor, gaf een boost aan het idee dat encryptie toch niet zo sterk gereguleerd zou zijn, waardoor het ook zijn weg vond naar andere toepassingen in de civiele sector. Het 'slotje' in de browser is de zichtbaarste exponent geweest, die zorgde voor veiligere e-commerce: het SSL-protocol, geïntroduceerd door Netscape in 1994. Dit was voor veel mensen de eerste kennismaking met informatiebeveiliging, die nadrukkelijk mede vanuit privacyperspectief werd gepresenteerd: uw privécommunicatie met deze website, uw chats en uw aankoopgedrag kunnen niet worden geobserveerd door meelezende derden.
Een andere Richtlijn (1999/93) regelde dat sinds eind jaren negentig elektronische handtekeningen een juridische erkenning kregen. Publiekesleutelencryptie werkt immers twee kanten op: iedereen kan met de publieke sleutel een bericht versleutelen, maar slechts één persoon kan dat met de private of geheime sleutel. Een dergelijke versleuteling andersom, noemen we een elektronische handtekening, omdat zij bewijst dat het die persoon is geweest die de versleuteling heeft uitgevoerd. De Richtlijn introduceerde drie niveaus van betrouwbaarheid, gebaseerd op de mate van zekerheid over de identiteit van de ondertekenaar. De praktijk bleek weerbarstig: er verschenen veel hulpmiddelen om contracten en dergelijke digitaal te ondertekenen, maar echte zekerheid hebben juristen nooit gevoeld. Over de fax kun je veel zeggen, maar de Hoge Raad had toch maar mooi wél bevestigd dat een gefaxte handtekening bindend was.
Sinds 2016 is de Richtlijn opgevolgd door de eIDAS-verordening. Deze kent naast een licht aangepast regime voor elektronische handtekeningen, ook een regeling voor verplichte erkenning van elektronische identificatie- en authenticatiemiddelen door openbare instanties, en regels voor erkenning van elektronische zegels, tijdstempels en documenten.
Naar een Crypto Wars 3.0?
'Encryptie lijkt nu alomtegenwoordig, toch is er nog stevige druk om encryptie aan banden te leggen.'
Vandaag lijkt encryptie alomtegenwoordig en discussies over exportrestricties zijn vrijwel afwezig in de technologiebranche. Dat is niet geheel onterecht; alle regels over export van cryptografie bevatten een of andere uitzondering voor 'generalpurposesoftware' waarmee vooral opensourcelibrary's buiten de regels vallen. Het zwaartepunt van het toezicht zit op kastjes, zoals cryptofoons, die voor de massa het eenvoudigst beschikbaar zijn. Toch is er wel degelijk nog stevige druk om encryptie aan banden te leggen, waarbij zelfs wordt gesproken van een Crypto Wars 3.0.
Weet u nog, die boze techneuten die hun netwerk dichttimmerden nadat ze de NSA eruit hadden geschopt? Het idee van overal encryptie op alles werd alleen maar populairder en vond ook zijn weg naar chatdiensten die met end-to-endencryptie de hele verbinding dichttimmerden. Als een overheidsdienst zich bij de centrale beheerder zou melden met een vordering, dan zou alleen het versleutelde bericht kunnen worden overlegd. De sleutels bevinden zich dan alleen bij de eindgebruikers die de communicatie voerden. Dit was controversieel, omdat veel landen wetgeving hebben die beheerders verplichten inzage in berichten te geven, waarbij het natuurlijk de bedoeling was dat je dan de échte berichten verstrekte.
Deze situatie is voor wetshandhavers frustrerend, omdat zij bij de opsporing van allerlei zware misdaad vaak tegen versleutelde berichtenketens aanlopen die zij niet centraal kunnen lezen. De politieke druk om toch een of ander achterdeurtje in te voeren, een masterkey bij het OM of een tweede sleutel bij de centrale beheerder, is dan ook enorm. Daarbij worden zware argumenten niet geschuwd: wie niet meewerkt, steunt terrorisme of de verspreiding van kindermisbruikmateriaal. Dit zet dan weer kwaad bloed bij organisaties die end-to-endencryptie hebben geïmplementeerd, omdat je van diensten als WhatsApp toch moeilijk kunt zeggen dat ze bedoeld zijn om dergelijke zaken mogelijk te maken.
De laatste poging komt uit de EU en focust nadrukkelijk op kindermisbruikmateriaal: op telefoons en andere randapparaten moeten chatdiensten voorzien zijn van scansoftware die dergelijk materiaal detecteert en rapporteert bij een centrale dienst. Dat klinkt leuk, maar komt neer op voor iedere foto een hash opsturen naar die dienst om deze te vergelijken met hashes van bekend strafbaar materiaal. Wat dus betekent dat die dienst van al het beeldmateriaal een hash ontvangt en op basis daarvan een blokkade-instructie terug kan sturen. Ik zie auteursrechthebbenden zich al warmlopen, maar ook andere vormen van ongewenste content kunnen hiermee triviaal worden tegengehouden. En bij technologie is het nu eenmaal snel zo dat als de infrastructuur er is, nieuwe toepassingen snel volgen.
Wat er gaat gebeuren met deze voorstellen, zal nog wel even onduidelijk blijven. Voor mij is een van de grootste onderliggende problemen dat hier een fundamenteel verschil van inzicht achter zit: techneuten zien dat het principieel niet mogelijk is om zoiets mogelijk te maken voor één toepassing, terwijl beleidsmakers en juristen hopen dat als er lang genoeg gezocht wordt er tóch iets mogelijk zal zijn. En daar komen we niet snel uit.
Bannerafbeelding: Funtap & Andriy Onufriyenko / Getty Images