Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Datalekken, botnets en encryptie

Oude thema's werpen nieuwe vragen op

Encryptie voor iedereen

Dat encryptie van communicatiediensten in 2016 een belangrijk thema zou worden, was een jaar geleden misschien al te merken aan het nieuws dat WhatsApp de Android-versie van zijn app had voorzien van ondersteuning voor end-to-end-encryptie. Toch duurde het nog tot april van dit jaar totdat de dienst met meer dan 1 miljard gebruikers de melding naar buiten bracht dat het end-to-end-encryptie daadwerkelijk had ingeschakeld op alle platformen. Deze stap werd door veel privacyorganisaties als een positieve ontwikkeling gezien, mede omdat de Facebook-dochter voor de encryptie gebruikmaakt van het opensource Signal-protocol en niet van een eigen variant met gesloten broncode. De actie van WhatsApp bleef niet zonder gevolgen voor andere bedrijven. Zo kwam de in Aziatische landen populaire dienst Line in juli ook met versleuteling, op de voet gevolgd door Facebook Messenger. De beslissing van WhatsApp is bijzonder, omdat het bedrijf in één klap al zijn gebruikers voorzag van end-to-end-encryptie die altijd aan is en die niet door de gebruikers zelf ingeschakeld hoeft te worden. Dat is bijvoorbeeld wel het geval bij Allo van Google en bij Telegram, waarbij dit door middel van aparte chats gebeurt.

Andere gevolgen van de beslissing konden niet uitblijven. Zo claimden opsporingsdiensten in de VS en in Europa al snel dat door de encryptie berichten van criminelen en terroristen niet meer leesbaar zijn en refereerden daaraan als ‘going dark’. Voorbijgaand aan de vraag of dit een legitiem argument is met het zicht op de verzameling van metadata en andere gegevens, lijkt het erop dat dit een probleem is dat niet vanzelf zal verdwijnen. Regeringen, waaronder de Nederlandse, reageren op deze technologische ontwikkelingen door wetgeving te introduceren of goed te keuren. Zo stemde de Tweede Kamer onlangs voor het ‘hackvoorstel’, oftewel het wetsvoorstel Computercriminaliteit III. De wet, die nu bij de Eerste Kamer ligt, introduceert onder andere de bevoegdheid voor de politie om apparaten van verdachten te hacken. Als er eenmaal toegang is tot een apparaat kunnen ook berichten met end-to-end-encryptie gelezen worden, zolang zij niet ook nog lokaal versleuteld zijn.

Toetsenbord van een geheimschrijfmachine, 'Crypto Keys', Andy Armstrong, CC BY-SA 2.0

Apple vs. FBI

Soms is toegang tot een apparaat moeilijk, ook al is het fysiek in het bezit van opsporingsdiensten. De zaak die dit demonstreerde en die vanaf februari het technieuws domineerde, was de Apple-zaak. Daarin wilde de FBI toegang tot de versleutelde iPhone 5c van de San Bernardino-schutter en wilde de dienst dat Apple software ontwikkelde om dat mogelijk te maken. Het bedrijf weigerde dit en zei dat dit in feite neerkwam op het creëren van een achterdeur waardoor al zijn gebruikers risico zouden lopen. Dit had een polariserend effect, waarbij veel andere grote techbedrijven zich aan de kant van Apple schaarden. Het leek erop dat het op een beslissende uitspraak van een Californische rechter zou uitlopen, die bepalend zou zijn voor de toekomst van encryptie. Kort voordat de zitting zou plaatsvinden, maakte de FBI echter bekend dat er een partij was gevonden die toegang tot de iPhone 5c kon verschaffen. Hoewel er veel geruchten gingen, is tot nu toe nog niet duidelijk geworden welke partij de FBI heeft ingeschakeld. Ook de techniek die werd toegepast, werd niet door Apple opgevraagd. De mogelijkheid bestaat dat het ging om nand mirroring, wat door verschillende experts werd geopperd.

Kijken wij naar de situatie in Nederland, speelt ook daar de behoefte tot toegang tot communicatie. Het Nederlandse OM zei in augustus dat het Europese regels wil die communicatiediensten kunnen dwingen om berichten te ontsleutelen. Het zei dat de inhoud van berichten in bepaalde gevallen te raadplegen moet zijn na toetsing door een rechter. Er werd echter niet gezegd op welke manier dit dan zou moeten, gezien het feit dat bij een juiste implementatie van end-to-end-encryptie ook de dienst zelf geen mogelijkheid heeft tot decryptie.

Toegang tot versleutelde communicatie

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen, zegt daarover tegen Tweakers: “Er zijn wel degelijk technische manieren om in bepaalde gevallen toegang te verlenen tot de inhoud van berichten, de centrale vraag daarbij is echter of dit dingen gaat oplossen.” Zo noemt hij de theoretische mogelijkheid dat telefoons de helft van de sessiesleutel van een chat met WhatsApp delen. De politie kan die helft in specifieke gevallen met waarborgen opvragen en de ontbrekende helft vervolgens met brute force achterhalen. Dat kost rekenkracht, waardoor er een barrière zou ontstaan tegen het massaal inzetten van deze mogelijkheid. Jacobs stelt dat er naast deze mogelijkheid nog allerlei andere manieren te bedenken zijn.

“Je moet echter wel goed nadenken over de wenselijkheid hiervan”, zegt Jacobs. “Uiteindelijk is de oplossing van de sessiesleutel namelijk ook geen oplossing. Criminelen of terroristen weten al lang dat communiceren via smartphones onveilig is. Als WhatsApp bijvoorbeeld zijn beleid zou wijzigen en de politie beperkte toegang zou bieden, gaan die groepen over naar een andere dienst. Bovendien kan hier elke student zelf een app voor versleutelde communicatie in elkaar zetten, dus er zijn alternatieven genoeg.” Daar komt bij dat verplichte achterdeurtjes in communicatie-apps de digitale infrastructuur ondermijnen, wat in de ogen van Jacobs ook niet wenselijk is. “De discussie rond versleutelde berichten komt na elke terroristische aanslag weer naar voren, wat in feite misbruik maakt van de situatie.”

Ook al zijn er oplossingen, blijft het dus de vraag of dit daadwerkelijk een vooruitgang is. Het is in principe mogelijk dat aanbieders van communicatiediensten via Europese wetgeving verplicht worden om toegang tot berichten te geven. Sommige landen willen deze kant op, waaronder Duitsland en Frankrijk. Nederland is voor het behoud van sterke encryptie. Het lijkt er niet op dat er op de korte termijn wetgeving op dit gebied zal komen, omdat de EU onlangs opmerkte vooralsnog geen plannen voor wetgeving te hebben. Dit neemt niet weg dat de discussie rond encryptie nog niet ten einde is, waardoor de ‘crypto wars’ ook het komende jaar nog zullen voortduren.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True