Een lezer vroeg me:
In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?
Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.
Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo’n zelfde wet.
Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het “belang van het onderzoek dit vordert” bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.
Er is echter in Nederland – noch in Europa, noch in de VS – een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.
Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.
Arnoud
Ik neem aan dat je de encryptie bedoelt
Er is inmiddels bepaald dat je wel aftapbaar moet zijn wanneer je internetdienst ook in staat is om uit te bellen naar het echte telefoonnetwerk (HvJ EU 5 juni 2019, C-142/18, ECLI:EU:C:2019:460). Het is me nog niet helemaal duidelijk of gesprekken tussen Skype-gebruikers onderling ook aftapbaar moeten zijn.
Deze wet is te beschouwen als een verdere attack-vector, waar we technologisch omheen moeten werken. Voor de wat gevorderede gebruikers is end-to-end encryptie gewoon zelf te implementeren (en open source code beschikbaar); dat maakt de wet maar beperkt toepasbaar.
Het lijkt me dat je end-to-end encryptie zo vormgeeft dat de encryptie module zelf modulair door de eindgebruiker uitwisselbaar is, dusdanig dat je het voor jou als leverancier niet mogelijk is om aan de eisen van deze wet te voldoen (om de eenvoudige reden dat jij niet de leverancier van de end-to-end encryptie meer bent.) Dan moet je alleen nog iets doen aan zogenaamde side-channel attacks, die meestal effectiever zijn dan te proberen de encryptie zelf te kraken.
Het liefst zie ik dat we eisen van leveranciers dat zij aantonen dat zij niet instaat zijn de end-to-end encryptie te compromiteren. Je kan dit bijvoorbeeld bereiken door de code open-source te maken, het build proces volledig reproduceerbaar te maken, en bij software updates te eisen dat er digitale handtekeningen van partijen uit verschillende jurisdicties op zitten.
Wordt anders als internet bellen onder de telecomwet gaat vallen, wat nu dus gebeurd is bij Skypeout. In EU / NL word altijd wel een oplossing voor de overheid bedacht. https://www.nrc.nl/nieuws/2019/06/11/skypeout-is-telecomdienst-a3963320
Ofwel opensource word steeds belangrijker. Veracrypt is veliger dan bitlocker. Sowieso want Ms bewaart jouw sleutels/certificaten op jou ondrive. waar ze dus gewoon bij kunnen., en dus bij al je servers en systemen. Ofwel we hebben hele dikke sloten maar een kopie van de de sleutels afgegeven….
Overheden doen ALLES on jou te vinden, hier word de zielig kaart getrokken om hun zin te krijgen. Dus ook hier in Europa. Vraag mij ook af of dat ook zo is bij meld anoniem, waar veel agenten naar toe bellen om iets voor elkaar te krijgen.
https://www.telegraaf.nl/nieuws/757391918/locatiegegevens-112-beller-altijd-naar-politie
Misdaad Anoniem is in ieder geval niet anoniem.
Bron: https://www.volkskrant.nl/nieuws-achtergrond/tiplijn-meld-misdaad-anoniem-verkoopt-misdaadtips-per-stuk-aan-gemeenten~ba2289d5/
Een stichting verdient er geld aan, dus is het niet anoniem? Die conclusie snap ik even niet…
Als dit een trend wordt, dan zal ook dit weer een wassen neus blijken.
Lever de communicatie software zonder encryptie, maar met de mogelijkheid encryptie plugins te installeren. Encryptie plugins aanbieden via een apart bedrijf zonder binding met landen met dit soort regelgeving en de end user zelf laten installeren.
Helaas overheid, de end user heeft zelf die encryptie geregeld en maakt geen deel uit van onze software. Daar kunnen wij geen backdoor in bouwen.
Zelfde als een scrambler op je telefoon. Telefoon mag dan aftapbaar zijn, maar de telco is niet aanspreekbaar als de klant een toestel met scrambler aansluit op zijn lijn en dus alleen maar ‘ruis’ te tappen is.
Het wordt druk op Vanuatu.
Na aanname van die wet door het parlement van Australië las ik dezelfde dag al het logische advies geen software met encryptie te gebruiken van Australische bedrijven. Netzoals indertijd geen ingezetenen van de VS mochten werken aan de FreeS/WAN software.