Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Minister wil achterdeur in encryptie

Nieuwe ronde in oude discussie

06-11-2019 • 15:06

188 Linkedin Google+

Het lastige vraagstuk over een achterdeur in encryptie

Plannen om een achterdeur in te bouwen in software met encryptie hebben ook Nederland bereikt. De discussie werd tot nog toe in andere landen gevoerd, maar nu wil ook minister Grapperhaus van Justitie en Veiligheid dat Nederlandse opsporingsdiensten toegang kunnen krijgen tot versleutelde communicatie. Hij opperde zondag tegen actualiteitenprogramma Nieuwsuur dat er een achterdeur moet komen in de versleuteling van chat-apps. Hij vindt het onacceptabel dat verspreiders van kinderporno door die versleuteling buiten beeld blijven.

Grapperhaus zegt niet specifiek om welke apps het gaat, maar versleuteling wordt in steeds meer applicaties gebruikt. WhatsApp heeft sinds 2014 end-to-endversleuteling en applicaties als Signal gebruiken dit vanaf dag één. Bij end-to-endencryptie is communicatie gedurende het hele verzendproces versleuteld. Pas bij ontvangst op een smartphone wordt deze leesbaar en tussenliggende servers of man-in-the-middles hebben dan ook geen zicht op de inhoud. Eén app die vaak genoemd wordt als het gaat om dubieuze communicatie door bijvoorbeeld terroristen, is Telegram. Die software ondersteunt ook end-to-endversleuteling, maar alleen als een gebruiker daarvoor specifiek een anonieme chat opent. Berichten en media die via openbare kanalen worden gedeeld, zijn alleen versleuteld op de server van Telegram zelf.

Grapperhaus noemt het woord 'achterdeur' niet expliciet in zijn plannen. Hij heeft het over 'een sleutel' waarmee het Openbaar Ministerie of een opsporingsdienst toegang moet krijgen tot versleutelde berichten. Dat moet gebeuren zodra er verdenkingen zijn van in het bijzonder kindermisbruik, al haalt Grapperhaus ook kort terrorisme aan als rechtvaardiging. "Ik wil dat een rechter kan bepalen wanneer we informatie moeten kunnen inzien wanneer er verdachte dingen spelen", zei Grapperhaus tegen Nieuwsuur.

De praktijk

Grapperhaus heeft geen uitgebreid plan uiteengezet. Hij zei slechts tegen Nieuwsuur dat hij 'om de tafel wil' met grote techbedrijven om te kijken hoe zij dat voor elkaar konden krijgen. Het is dus niet te zeggen hoe hij zijn plan ten uitvoer wil brengen en hoe hij over de belangrijkste hobbels heen wil komen. Het plan komt met nogal wat vraagstukken: hoe voorkom je misbruik door andere partijen? Door de overheid? Welke bedrijven moeten hieraan meedoen? Geldt dit plan voor Nederlandse bedrijven of internationale bedrijven die in Nederland opereren? Hoe dwing je die bedrijven de Nederlandse wetgeving te volgen?

De plannen van Grapperhaus zijn nog niet echt goed uitgewerktAls beveiligingsexperts zeggen dat 'een enkele achterdeur niet mogelijk is', dan bedoelen ze niet dat dat technisch niet kan. Er zijn best manieren te bedenken waarbij slechts één partij in sommige gevallen kan meelezen, door ondersteuning voor een specifiek slot met sleutel in te bouwen. Die sleutel zou je dan bijvoorbeeld via een escrow-dienst kunnen laten afgeven als een rechter-commissaris daarom vraagt. Maar met zulke puur theoretische oplossingen ziet Rejo Zenger van Bits of Freedom al problemen ontstaan. "Daarmee verlies je fundamenteel het vertrouwen in een dienst. Je weet dan nooit of iemand toch niet meekijkt. En dat vertrouwen is essentieel voor een dienst, of beter gezegd, voor alle soortgelijke diensten, ook als die geen achterdeur hebben. Bovendien is niet te garanderen dat die sleutel dan veilig bewaard blijft en zo niet wordt misbruikt door anderen."

Discussie in andere landen

Grapperhaus is verre van de eerste politicus met een dergelijk plan. De discussie over dit soort achterdeurtjes is al vaak gevoerd, maar het debat werd nog niet eerder in Nederland zo op scherp gezet. De prominentste discussie over de gevolgen van encryptie voor de autoriteiten deed zich voor in Amerika. Daar lag de FBI maandenlang met Apple in de clinch over de versleuteling van een iPhone 5c. Het ging om de telefoon van de San Bernardino-terrorist, waarvan de FBI vermoedde dat die veel informatie bevatte over mogelijke andere terroristische plannen of groepen. Eén probleem: de experts kregen geen toegang tot de data op de telefoon. Die telefoon was bovendien niet het enige lastige obstakel. De FBI zei in 2017 dat 6900 versleutelde smartphones onderzoeken belemmerden.

Inmiddels spreekt ook de Amerikaanse politiek zich uit tegen sterke encryptie. In een speech op een conferentie over cybersecurity zei minister van Justitie William Barr dat hij bezorgd was over 'wetteloze zones' op internet door versleuteling. Hij zei daarin dat end-to-endencryptie 'onverantwoord' is en tot slachtoffers leidt, wijzend naar drugskartels en terroristen die WhatsApp gebruiken. Barr zei ook dat gebruikers bepaalde veiligheidsrisico's maar moesten accepteren bij een achterdeur in de versleuteling. Tot nu toe hebben de Amerikaanse plannen nog niet tot concrete wetgeving geleid, maar Barr geeft aan met de techbedrijven in gesprek te willen. Hij stelde verder geen maatregelen voor.

Ook in Duitsland werd een balletje opgegooid, maar dat ging nog net een stap verder. De Duitse minister van Binnenlandse Zaken Horst Seehofer pleitte in mei voor een algeheel verbod op versleuteling. Het resulteerde echter niet in een concreet plan.

De discussie rondom encryptie laait elke paar jaar weer opHet enige voorbeeld waarin een achterdeur in de praktijk wordt ingezet, betreft Australië. In de Telecommunications and Other Legislation Amendment Act 2018 staat een controversiële passage die techbedrijven die versleutelde communicatie aanbieden, opdraagt 'vrijwillige en verplichte medewerking te bieden aan opsporing- en inlichtingendiensten'. De nieuwe wet werd ondanks veel kritiek van experts aangenomen, maar de precieze gevolgen ervan zijn nog onduidelijk. Bedrijven zijn op basis van de plannen niet verplicht een achterdeur in te bouwen, maar hoe zij dan wel toegang moeten verschaffen, is nog niet helder. Wel zijn veel bedrijven al bang voor de gevolgen; sommige hebben het er al over helemaal weg te blijven uit het land.

De 'angst voor encryptie' die autoriteiten lijken te hebben, werd aangewakkerd door plannen die Facebook in maart presenteerde. Daarin kondigde het sociale netwerk een radicale koerswijziging aan. De focus van het bedrijf zou niet langer komen liggen op statussen en foto's delen, maar op anonieme communicatie. Alle berichten op het platform, zowel via Messenger als via Instagram, zouden versleuteld verstuurd moeten worden.

Ontsleutelplicht en kabinetsbeleid

In Nederland concentreerde de discussie zich grotendeels op de kwestie rondom de 'ontsleutelplicht'. De invoering daarvan werd in 2012 aangekondigd. Toen wilde Ivo Opstelten, toenmalig minister van Veiligheid en Justitie, dat verdachten van ernstige misdrijven zoals kinderporno en terrorisme, verplicht konden worden gesteld om versleuteling van opslag ongedaan te maken. Dat plan kreeg veel kritiek, onder andere van de Raad voor de Rechtspraak. Het zou namelijk direct indruisen tegen het nemo tenetur-wetsbeginsel: een verdachte kan niet worden gedwongen mee te werken aan zijn eigen veroordeling. Een paar jaar geleden waren er plannen die decryptieplicht op te nemen in de Wet computercriminaliteit III, maar het kabinet schrapte dat plan in 2015.

Opvallend is nu dat Grapperhaus weliswaar vindt dat er 'geen enkel excuus is' om kindermisbruik af te schermen, maar dat hij tegelijk blijft vasthouden aan het schrappen van de ontsleutelplicht. Eerder dit jaar schreef hij in een brief aan de Tweede Kamer dat hij vond dat de ontsleutelplicht haaks stond op dat nemo-teneturbeginsel. Dat sluit wel weer aan op het officiële standpunt van de Nederlandse regering over encryptie. Dat is 'positief', schreven de voormalige ministers Van der Steur van Veiligheid en Justitie en Kamp van Economische Zaken in 2016 in een Kamerbrief. "Cryptografie speelt een sleutelrol in de samenleving", staat in de brief. "Het is op dit moment niet wenselijk om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland." Later stemde de Tweede Kamer in met een motie tegen het afzwakken van encryptie. De AIVD had kort daarvoor laten weten het liefst te zien dat de encryptie in chatapps beperkt zou worden.

Grapperhaus had al wel eerder laten doorschemeren bezorgd te zijn over sterke encryptie. Eerder deze maand zei hij al dat de specifieke plannen van Facebook hem niet lekker zaten. Grapperhaus gaat 'binnenkort' naar Washington om met zijn Amerikaanse ambtsgenoot te spreken over het onderwerp.

Kritiek van experts

'Een achterdeur voor één partij is een achterdeur voor iedereen'De uitspraken van Grapperhaus kwamen hem afgelopen week direct op veel kritiek te staan. Die was te verwachten; vrijwel geen enkele beveiligingsexpert vindt een achterdeur een goed idee. Het belangrijkste argument is dat een achterdeur voor één partij niet bestaat. Als zo'n sleutel beschikbaar is, dan kan die uitlekken of door de aanbieder zelf misbruikt worden. Het probleem is hoe dan ook praktisch van aard. "Voor je weet wanneer iemand kinderporno verstuurt, moet je eerst de hele tijd meekijken met wat mensen online doen", zegt Eward Driehuis van Cybersprint tegen BNR. Bovendien, denkt hij, gebruiken serieuze criminelen heel andere infrastructuur dan de apps waartegen Grapperhaus wil optreden.

Het grote probleem waarover vrijwel iedere expert het eens is, is dat je geen achterdeur kunt hebben voor slechts één partij. Ook Bits of Freedom is kritisch om precies hetzelfde argument. "Het is niet mogelijk een 'sleutel voor alles' te maken die je alleen voor de good guys beschikbaar stelt", zegt Rejo Zenger van de digitale burgerrechtenorganisatie. "Je kunt beveiliging niet een beetje verzwakken."

Vincent Böhre van Privacy First voegt daaraan toe dat encryptie in veel landen meer betekent dan alleen anonieme communicatie. "In sommige landen kom je in grote problemen als je niet veilig kunt communiceren. In landen waar je geen lid van een mensenrechtenorganisatie kunt zijn of een dissident bent, gaat het dan om een kwestie van leven en dood. Een achterdeur voor één groep gebruikers levert gevaar op voor de andere."

Kritiek komt ook uit politieke hoek. D66-Kamerlid Kees Verhoeven vindt het een slecht plan, zegt hij tegen BNR. "Je kunt encryptie niet voor één specifiek geval doorbreken", zegt ook hij. "Kindermisbruik moeten we tegengaan, maar dat moet je niet doen door privécommunicatie onveiliger te maken." Eerder deze maand stelde hij Kamervragen aan Grapperhaus over diens zorgen rondom de encryptieplannen van Facebook.

Onderzoek

De waarde van het kunnen doorbreken van encryptie is wetenschappelijk onderzocht door onderzoekers van de Universiteit van Columbia. De conclusie daarvan was dat het plan om één sleutel te hebben om berichten te lezen op verschillende vlakken, een slecht idee is. In dat onderzoek werd vooral gekeken naar de eerdergenoemde escrow-dienst. "Zulke diensten moeten voor lange tijd beveiliging opleveren, maar de sleutels wel snel paraat hebben voor opsporingsdiensten. Die basisvoorwaarden maken het erg duur en potentieel onveilig voor veel applicaties en veel gebruikers", staat in het onderzoek. Daarbij moet overigens wel de kanttekening worden gemaakt dat het onderzoek uit 1997 stamt en dat daarom eventuele nieuwe technische mogelijkheden niet zijn meegenomen.

Kees Verhoeven denkt dat een oplossing voor het probleem rondom online kindermisbruik eerder bij de providers ligt. Die aanpakken en laten meewerken om hosting van de bestanden tegen te gaan, zou een veel beter beleid zijn, betoogt hij.

Ook Zenger van Bits of Freedom denkt dat er voor de politie andere opties beschikbaar zijn. Hij wijst op de Wet computercriminaliteit III. "Nadat het kabinet besloot dat het verzwakken van encryptie onwenselijk is, heeft de politie de bevoegdheid gekregen om zelf computers te hacken. Dan hoef je de versleutelde data in transit niet meer te kraken, maar kun je inbreken op een computer om zo iemand te pakken. Een achterdeur is wat dat betreft dus helemaal niet nodig." Voorlopig denkt hij trouwens niet dat het plan doorgaat. "Het Nederlandse standpunt blijft dat encryptie belangrijk is. We voeren deze discussie al zo lang en keer op keer op keer blijkt dat het niet wenselijk is."

Reacties (188)

Wijzig sortering
Het allermooiste van dit verhaal vind ik wel, dat zelfs als er een methode wordt gevonden om een achterdeur in te bouwen en zeker te stellen dat die alleen onder de 'juiste' omstandigheden gebruikt wordt, het voor criminelen kinderspel is om zelf een dienst te bouwen met encryptie, zonder achterdeur (alles is immers als open source verkrijgbaar).

Wat overblijft, is verzwakte privacy, zonder dat we er iets mee opgeschoten zijn
Ik ben ervan overtuigd dat met name onze buitenlandse bondgenoten (zoals de VS), Grapperhaus hebben opgedragen deze positie in te nemen. Ik denk dat Grapperhaus slim genoeg is om te beseffen dat het geen oplossing biedt voor echte criminele netwerken. Echter Nederland is allang niet meer politiek onafhankelijk zeker niet op het gebied van defensie en veiligheid.

Ik geloof niet dat landelijke politici in 2019 te dom zijn om zelfs de simpelste technische vragen te begrijpen.
Waarom noem je de feiten niet?

- Overheden mogen nog altijd niet hun eigen burgers afluisteren zonder gerechtelijk bevel
- Om hier omheen te komen hebben inlichtingendiensten van verschillende landen in het geheim met elkaar afgesproken dat zij het toestaan dat de tegengestelde overheid data verzameld van deze mensen.

In de praktijk neemt dus de Nederlandse (en andere) overheid het verzamelen van VS gerelateerde data op zich en de VS bijvoorbeeld de Nederlandse data. Deze worden weer via schimmige wegen en constructies met elkaar uitgewisseld waarbij al deze diensten aanspraak kunnen maken op elkaars data.

Dit is wat er feitelijk aan de hand was en er is geen commissie die bepaald heeft dat dit niet meer gebeurd.

@woopdiedoo, nu duidelijk waarom deze push er is?
Anders misschien wat meer diepgang zoeken te beginnen bij https://en.wikipedia.org/...ance_in_the_United_States

[Reactie gewijzigd door Liberteh op 7 november 2019 16:32]

Ik denk dat in dit geval Grapperhaus alleen maar een boodschapper is en de wens van de AIVD en de politie overbrengt. Misschien praat hij Trump zelfs na.
Als hij echt verstand van zake zou hebben had hij dit niet gedaan. Een eigen encrypted dienst is niet moeilijk op te zetten. De source code kan gewoon op github vinden.
Zijn achterban? Dat hij het begrijpt betekent niet dat zijn kiezers het begrijpen. CDA stemmers zijn bovengemiddeld oud en conservatief, die horen: meer kans om criminelen te pakken en vinden het een goed plan. Dan kan je als politicus ook maar beter voor zijn helaas.
Ik word er moe van dat er elke keer kinderporno en terrorisme erbij gehaald moet worden om de discussie emotie te geven. Dit zal uiteindelijk leiden tot een glijdende schaal. Wanneer gaat de overheid meekijken of meeluisteren. Wanneer is het rechtvaardigt? Als een journalist zijn bron niet wil opgeven hoef je hem niet meer vast te zetten. Je kijkt en luistert gewoon mee. Wat doe je met bedrijfsspionage? Met deze gedachten zie ik niet zo snel dat iemand thuis aan gevoelige documenten of veilig aan broncode kan werken. Is dat allemaal nog wel veilig. Betekent het dat de overheid wel toegang heeft tot sterke encryptie voor hun zaken.
Als bepaalde bronnen niet meer beschermd kunnen worden wat is dan het verschil met China?
Ik zou zeggen laat de beste man dan eens beginnen met alle data van zijn ministerie en priveleven etc 100% open en bloot op internet te zetten en te houden.
Dat is namelijk wat hij met alle data wil doen, oftewel laat hem de eerste steen werpen.

Want die sleutel die blijft niet geheim, die wordt gelekt en dan ligt alles van iedereen open op straat...
Waarschijnlijk beneden gemodereerd, een uitleg die een "oude analogie" gebruikt om een bepaald principe uit te leggen, en die hopelijk wordt begrepen door mensen die geen fundamenteel begrip hebben van "computers" en "internet" (oa veel mensen onder onze politici).

Beschouw encryptie als een soort ketting, elke schakel is een vorm van encryptie. Door het bouwen van een "achterdeur", wordt een "schakel" opzettelijk verzwakt, en daar door gaat de ketting breken. Je kunt geen "klein beetje" of "iets minder" encryptie hebben.

Verder wordt encryptie al gebruikt voor internet, financiële transacties, en als er een politicus aan de macht komt die geen goede bedoelingen heeft?

En als een overheid toegang kan krijgen, dan zullen criminelen dat ook wel voor elkaar krijgen.

[Reactie gewijzigd door obimk1 op 7 november 2019 19:21]

Ah, het kinderporno en terrorisme argument dat alle deuren doet openen. Mensen die zich daarmee bezighouden doen dat allemaal via Whatsapp, en als encryptie van de grote publieke platformen voor overheden teniet zijn gedaan zijn alle problemen de wereld uit. Wij als pinautomaat voor de overheid burgers kunnen de overheid nu en in de toekomst gewoon vertrouwen. :/

Het is dus tijd om weer eens wat te doneren aan Bits of Freedom.

Verder is het wachten tot de overheid de sloten op je voordeur komt vervangen zodat de overheid altijd snel en makkelijk bij je binnen kan komen in geval van brand, gijzeling of medische situatie. Hoe kun je daar nu tegen zijn?

[Reactie gewijzigd door yade op 8 november 2019 14:23]

Als minister van Justitie en Veiligheid moet hij er voor zorgen dat de diensten onder zijn verantwoordelijkheid hun werk zo goed mogelijk kunnen doen. Dit kunnen ze gewoon beter wanneer alles lopen ligt. En dan zijn (hoe verschrikkelijk ook) kinderporno en terrorisme de gebruikelijke open deuren waar Minister Grapperhaus veel resonantie mee genereert.
De enige manier om communicatie makkelijk open te leggen is met een sleutel. Ook deze open deur moet hij intrappen. Misschien krijgen we net zoiets als in Australië. Hoe onpopulair en onverstandig dit misschien ook is.
Dit stukje zit dus zo vol met drogredeneringen..... zie alleen al de opmerking van @deputy hierboven! Niks van dit alles gaat zorgen voor meer veiligheid. En met incompetentie bedoel ik dus dit soort drogredeneringen geloven zonder 2 stappen verder na te denken wat er technisch allemaal wel en niet kan.
1 2 3 ... 6


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True