Van een verbod op cryptografie tot het openbaar maken van cryptografische sleutels. Dat is ruim vijfentwintig jaar overheidsbeleid in een notendop. Al in 1994 waren er in Nederland wetsinitiatieven om versleuteling te verbieden, en de pogingen van nationale en supranationale overheden om zich toegang te verschaffen tot de inhoud van online-communicatie zijn niet meer op één hand te tellen. Ze komen allemaal neer op hetzelfde: het paard achter de wagen spannen.
Begin november kwam nieuws naar buiten over de draftresolutie ‘Security through encryption and security despite encryption’ vanuit de EU-ministerraad over het – onder voorwaarden – openbaar maken van encryptiesleutels voor overheden. Het is interessant de verschillende reacties voorbij te zien komen op deze resolutie, die hier te vinden is. De discussies gaan voor een groot deel in op de (on)feilbaarheid van de overheid, op het gevaar van de backdoors en op de zwakke schakel in het geheel, de mens. In het kader van die onfeilbaarheid verwijs ik graag naar de recente onthullingen over defensie en ongebreidelde dataverzameling, waaruit de lezer zelf zijn conclusies mag trekken.
De focus van de instanties ligt consequent in het verkrijgen van meer macht op datastromen door het technologisch mandaat uit te breiden. Daar waar de mogelijkheden die de sleepnetwet (WiV) niet voldoen, bijvoorbeeld omdat de data versleuteld wordt verzonden, bieden de cryptografische sleutels uitkomst. Vanuit het standpunt van het gezag bekeken een logische conclusie, maar het impliceert wel dat privacy kennelijk onderhandelbaar is. Dat zou het niet mogen zijn. Daarnaast zit er een dikke adder onder het gras. Nee streep dat maar door. Die adder ligt midden op het looppad en iedereen kan hem zien.
Onder de radar
Er is veel documentatie beschikbaar over cybercriminelen en mensen met kwade intenties die veel beter samenwerken en innoveren dan de opsporingsinstanties en de technologieleveranciers. Criminelen trekken zich doorgaans weinig aan van de wetten waar de ‘goeden’ aan gebonden zijn én ze zijn agile wanneer het erop aankomt om onder de radar blijven. Alles is dan ook te omzeilen. Tooling om uit het zicht van de digitale opsporingsambtenaren te blijven, is er nu… Of binnen een uur. Hoeveel criminelen gebruiken vandaag de dag nog EncroChat? Overigens werd dat systeem na veel ouderwets speurwerk geïdentificeerd en werd er op serverniveau geïnfiltreerd.
Vandaar dat het uitbreiden van een mandaat om toegang te mogen krijgen tot encryptiesleutels via een EU-resolutie een papieren tijger is, die uiteindelijk de privacybelangen van de welwillende internetters schaadt. Maar die hebben niets te vrezen, toch?
