Je zou zeggen dat het met de Brexit een stuk makkelijker voor de EU is om tegenwicht te blijven bieden aan het onzalige idee van landen als de Verenigde Staten en het Verenigd Koninkrijk om verplicht achterdeurtjes in end-to-end-encryptie te plaatsen, bedoeld voor het toepassen van ‘lawful interception’. De Europese Commissie maakt wat betreft het beveiligen van 5G en de sociale platformen met end-to-end-encryptie nu een draai.
Op 11 november meldt Computable dat de ophef waarschijnlijk een storm in een glas water is. Maar die conclusie is slechts gebaseerd op één artikel in de Volkskrant. Na wat speuren lijkt er meer aan de hand dan dat je alleen maar kunt roepen dat het voorlopig geen wet- en regelgeving wordt, hooguit een standpunt van de Europese Commissie (op 24 december dit jaar, wellicht).
En dat is toch slecht nieuws, want alleen al het idee om encryptie te willen verzwakken, is een slecht idee. Hoe je het ook wendt of keert, het versleutelen van gegevens is ervoor bedoeld dat alléén degene(n) waarvoor de informatie bestemd is, deze kan ontcijferen. Je kunt een ansichtkaart sturen die iedereen, ook de postbode, kan lezen. Of een verzegelde envelop, waarin zaken die verder niemand anders iets aangaat dan de beoogde ontvanger. En meelezen moet dus ook volgens artikel 13 van de Nederlandse Grondwet en Artikel 8 van het Europees Verdrag van de Rechten van de Mens niet zomaar kunnen, door een of andere overheidsdienst die denkt wettig bezig te zijn omdat ze het land moeten beschermen.
Dan krijg je te maken met het begrip proportionaliteit. Met een aardappelschilmesje kun je een agent neersteken, dus al dat gevaarlijke keukenspul moet verplicht zo worden ontworpen dat wanneer het te dicht in de buurt komt van een politiemedewerker, het lemmet vanzelf afbreekt. Of er spontaan een Uri Geller-effect optreedt en het staal op wonderbaarlijke wijze slap en ongevaarlijk wordt. En liefst alleen vanaf schaal tien, want straks willen BOA’s opeens ook beschermd worden en dat wordt dan te duur. Dat is zo ongeveer de (kwaliteit van de) redenering over het verzwakken van encryptie door de geheime diensten van de vijf genoemde landen, die nauw samenwerken in ‘Five Eyes’.
Nieuwe poging vanuit de VS
Op 30 juli 2019 verscheen mijn blog ‘Wil Europa 5G kunnen afluisteren?’. Op 17 januari dit jaar kwam ik er nog eens op terug met ‘EU en Interpol willen security van 5G verzwakken’. Veilige digitale communicatie is belangrijk, maar ook recent worden weer terroristen en andere booswichten die van versleuteling gebruikmaken als uitzonderingsgrondslag naar voren gehaald. Vervolgens komen ook de onvermijdelijke onschuldige kinderen die via internet misbruikt kunnen worden op het toneel.
In een op zondag 11 oktober gepubliceerde internationale verklaring van het Amerikaanse ministerie van Justitie wordt eerst met de mond het grote belang van sterke encryptie benadrukt, maar als snel worden ook ‘hoog kwetsbare deelnemers aan de samenleving’, zoals seksueel geëxploiteerde kinderen, en daarmee de publieke veiligheid bedreigd. Bedrijven moeten derhalve gedwongen kunnen worden om op te treden tegen illegale content. Dus daar komen de upload-filters weer, nu meteen gevolgd door rechtshandhavers die mogelijkheden tot vervolging moeten krijgen. En dat kan alleen (goed) door hen toegang tot de versleuteling te bieden die de boeven ook weten te gebruiken.
Nieuwe balans?
In een gemeenschappelijke verklaring van Europol en ENISA van 25 mei 2016 zie je met koppen als ‘The limits of privacy’ en een tekst zoals ‘Thus, in the face of serious crimes, law enforcement may lawfully intrude privacy or break into security mechanisms of electronic communication systems’ het helemaal misgaan. In december 2016 publiceerde ENISA, de interne EU-cybersecurityclub, vervolgens een position paper waar dit hellend vlak met name in de zeven punten bevattende conclusie duidelijk te zien is. Met het van kracht worden van de GDPR en de daarvan afgeleide AVG in 2018, waarin juist zowel opensource, encryptie en data-minimalisatie zo niet vereist, dan wel sterk aanbevolen worden, lijkt een oproep als ‘an analysis should be carried out to analyse the benefit to law enforcement of the introduction of backdoor weakened encryption technology as against the potential damage’ volkomen achterhaald.
Maar met het voorzitterschap van de EU-commissie in Duitse handen anno 2020, is er wel een flinke kentering waar te nemen in de standpunten van dit gezelschap wat betreft end-to-end-encryptie. Al snel circuleert er een concept, gedateerd 18 september, met als onderwerp ‘End-to-end encryption in criminal investigations and prosecution’, waarin precies zoals de Five Eyes doen, eerst uitgebreid wordt stilgestaan hoe belangrijk goede encryptiemogelijkheden zijn in deze digitale maatschappij. Maar pas op, criminelen gebruiken het ook en omdat we laatst geluk hadden en domme criminelen versleutelde communicatiemiddelen gebruikten waarbij de sleutels op een centrale server stonden, konden we meer dan achthonderd arrestaties verrichten. Dat smaakt naar meer!
Alleen gebruiken iets slimmere boeven end-to-end-encryptie waar alleen de eindgebruikers de sleutels bezitten, of die bij iedere transactie wisselen, dus daar moeten we ook aan zien te komen of het zien te voorkomen. En dus, hoewel we eerlijk zeggen ‘weakening any part of an encrypted system could lead to weakening the system as a whole, with detrimental effects on fundamental rights’, toch willen ze nu voor Europa ‘een nieuwe balans vinden’, die de sterkte van de beveiligingsleutels zelf in tact laat. En circuleert er na de terroristische aanslag in Oostenrijk opeens een nieuwe versie van het document van 18 september, met 6 november 2020 als datum en als onderwerp ‘Draft Council Resolution on Encryption’. Volgens securityexpert Lukasz Olejnik is er hier sprake van het mengen van technische en non-technische begrippen in een nieuwe strategie met als kenmerk ‘security despite encryption’. Zie ook deze tweet.
Internet Society
Op 18 november organiseerde de Europese tak van de Internet Society een evenement onder de hashtag #EUEncryption, waarvan de livestream ook nu nog is te bekijken. De European Data Protection Supervisor, Wojciech Wiewiórowski, begon met een keynote, waarin hij het belang van encryptie op het gebied van security en privacy benadrukte. En alvast aangaf dat elke verzwakking van encryptie de rechten van zoals de EU die op deze gebieden waarborgt, aantast en pleit voor eens sterk wettelijk framework. Ook hoopt hij dat het debat oplossingen voor de burgers, hun kinderen en kleinkinderen gaat opleveren en niet alleen tegenstrijdige standpunten tegenover elkaar zet. Kijk zelf verder naar de paneldiscussie ‘Encryption and Law Enforcement’ met onder meer onze Sophie in’t Veld (D66) en het tweede panel met als titel ’The Future of Encryption in Europe’.
Nieuwe Crypto War of dezelfde discussie?
De Crypto Wars, zie ook Wikipedia, stammen uit de jaren zestig van de vorige eeuw. Toen wilde de Amerikaanse regering voorkomen dat te sterke encryptie geëxporteerd zou worden en boevenstaten er ook gebruik van konden gaan maken. Maar de belangen van de financiële wereld om veilige digitale transacties wereldwijd te kunnen uitvoeren, wonnen het uiteindelijk. En of het nu om communicatie via sociale-mediaplatformen of 5G gaat, militairen, wetshandhavers en geheime diensten willen hun wettige belang boven andere, meer fundamentele rechten stellen en snappen nog steeds geen snars van opensource en technologie, of het begrip ‘proportioneel’. Want 99,99 procent van de wereldbevolking en onze iot-apparatuur zal veilige, versleutelde communicatie nooit kwaadwillend gebruiken en er wel voordeel van hebben. We hebben er volgens de Rechten van de Mens en alle daarvan afgeleide wet- en regelgeving zoals de GDPR/AVG ook recht op. En naast beveiligde data ook op zaken als privacy-by-design en data-minimalisatie, in plaats van door wetshandhavers afgedwongen langdurige opslag van data.
De 0,01 procent van de bevolking en apparatuur die de technologische voordelen hiervan gebruikt voor illegale praktijken, wijkt gewoon uit naar zelf opgezette veilige communicatiesystemen en protocollen zonder achterdeurtjes, zodra publieke communicatieplatformen hun basale en grondwettelijke rechten worden ontnomen. Daar zijn we vervolgens met z’n allen de dupe van, ook die opsporingsdiensten en rechtshandhavers zelf, als de digitale wereld onveiliger wordt gemaakt. Zie ook deze oproep van het kernteam dat Matrix ontwikkelt: ‘An open network for secure, decentralized communication’.
