Client-side scanning, waarbij de inhoud van chatberichten van burgers op hun telefoon wordt gecontroleerd, is geen aantasting van end-to-end encryptie, zo stelt minister Weerwind voor Rechtsbescherming. Dat las ik bij Security.nl. Vorig jaar mei kwam de Europese Commissie met een voorstel dat chatdiensten en andere techbedrijven verplicht om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. Eerst met het idee dat je “end-to-end encryptie met een achterdeur” zou hebben – wat niet kan – en nu dus client-side scanning.
Al in oktober 2001 werd uitgebreid gewaarschuwd voor de risico’s van een contentscanner op je telefoon:
Een groep van gerenommeerde beveiligingsexperts, hoogleraren en onderzoekers heeft een document gepubliceerd waarin ze waarschuwen voor de risico’s van client-side scanning (CSS) zoals Apple en Europese Unie willen invoeren. Bij CSS wordt erop het toestel van gebruikers naar bepaalde content gezocht, iets wat volgens de experts tot massasurveillance kan leiden. Het document is onder andere opgesteld door Ross Anderson, Jon Callas, Whitfield Diffie, Peter G. Neumann, Ronald L. Rivest en Bruce Schneier. [AE: meer expert dan deze vind je ze niet, in de securitywereld]Het idee achter client-side scanning is dat er een probleem is voor de opsporing van strafbare feiten nu vrijwel alle communicatiediensten met end-to-end encryptie werken. Daarbij kunnen tussenpersonen – zoals Facebook als eigenaar van WhatsApp – niet meelezen, hoewel de berichten via hun servers worden verstuurd. Alleen afzender en ontvanger kunnen erbij. Daar achterdeurtjes in bouwen gaat niet werken, want die zijn hoe dan ook een zwakke plek in de beveiliging. Vandaar een andere aanpak:
Sometimes called “endpoint filtering” or “local processing,” this privacy-invasive proposal works like this: every time you send a message, software that comes with your messaging app first checks it against a database of “hashes,” or unique digital fingerprints, usually of images or videos. If it finds a match, it may refuse to send your message, notify the recipient, or even forward it to a third party, possibly without your knowledge.Het grote punt van kritiek is natuurlijk dat je er hier vanuit gaat dat alleen de “gewenste” strafbare inhoud in die database zit. Technisch gezien is dit een algemeen filtersysteem: iedere content die matcht met zo’n hash wordt tegengehouden, en van iedere content kan een hash worden aangeleverd. Een bekende slippery slope bij wetgeving: eerst misbruikmateriaal, daarna terrorisme, en dan roept u maar wie ook een blokkade wil.
Ook een enorm probleem is dat om dit te controleren, iedere telefoon bij elk bericht de database moet raadplegen. Zet je die op ieders telefoon, en zo ja hoe houd je ‘m actueel zonder dat kwaadwillenden je kunnen frustreren? Of zet je die centraal in de overheidscloud, maar hoe weet je dan dat iedereen die bij elk bericht (let op: elk bericht, ja elk bericht) raadpleegt? En hoe weten we dat de logs van wat er dan allemaal gedeeld wordt, niet centraal bijgehouden wordt?
Arnoud
“End-to-end-encryptie (end-to-end encryption (E2EE), ook end-to-end-versleuteling of begin-tot-eindversleuteling) is het versleutelen van berichten op een zodanige wijze dat alleen de zender en ontvanger de inhoud van berichten kunnen lezen.”
Dus dan is het geen E2EE. Er zit iemand tussen zender en ontvanger de berichten te lezen.
https://nl.wikipedia.org/wiki/End-to-end-encryptie
Je moet hier voor zowel de zender als ontvanger de toepassingen (apps) zien en niet de gebruiker. In die context blijft E2EE wel overeind staan.
In de app wordt het bericht ontvangen en ontsleutelt, dat is precies wat ze aanbieden. Dat je als gebruiker daarna in staat wordt gesteld om het ontsleutelde bericht te lezen is een extratje wat ze je gunnen.
Ze kunnen dus ook probleemloos advertenties op basis van de inhoud van een bericht aanbieden. Zolang ze de match op bericht en advertentie maar in de app doen en niet op een server.
Het is een kwestie van interpretatie denk ik. Een virusscanner die die bestanden controleert op virussen, of een backup-client die je foto’s naar een cloud-driver kopieert is ook geen ondermijning van E2EE.
Dit plan gaat natuurlijk wel in tegen de geest van E2EE, want het is nadrukkelijk een manier om de technische problemen die dat geeft voor opsporingsdiensten te omzeilen.
Een ander probleem is misbruik door overheden. Want hoe weten wij of de hashes in de database gelabeld ‘misbruik’ wel echt misbruik zijn, en niet de hash van de nog-onder-embargo miljoenennota? En als we onze overheid wél vertrouwen, vertrouwen we die van de VS wel, wanneer ze de volgende Julian Assange willen oppakken? En makkelijker scoren, China met koranversen? Bovendien komen een boel van die hashes van private partijen zonder dat zij gecontroleerd worden, wat het makkelijker maakt de boel te flessen.
Dit is inderdaad een van de grote bezwaren tegen een systeem als dit; het geeft de overheid (of de partij die namens de overheid handelt) een middel om de verspreiding van hen onwelgevallige informatie te blokkeren of in elk geval frustreren.
Op dit moment gaat het, in de discussie nu althans, om kindermisbruik maar als het systeem ingevoerd is dan zal het ongetwijfeld (noem me een aanhanger van samenzweringstheorieen als je wil, maar de geschiedenis herhaalt zich) zo zijn dat de lijst van “te blokkeren soorten materiaal” via een AMvB aangepast kan worden, en dan duurt het niet lang vooraleer ook staatsgeheimen op die lijst staan, gevolgd door dingen betreffende zware criminaliteit, daarna doxing, en daarna het materiaal van te kritische journalisten die hun bronnen niet willen prijsgeven.
Je kan, als je eenmaal leveranciers van die apps dwingt om zo’n systeem te implementeren, niet meer met het vingertje wijzen naar regimes in andere landen als die ook willen dat bepaald materiaal geblockt, en de “daders” gemeld bij de opsporingsdiensten, wordt. Materiaal over andere religies, atheisme, homosexualiteit, heilig- of majesteits-schennis of evolutie is in sommige landen net zo illegaal als kindermisbruik hier is; wie zijn wij om te zeggen dat die landen niet net zo goed het recht hebben om van die messengers te eisen dat ze verboden materiaal blokkeren als wij het zelf ook doen?
Dit alles natuurlijk nog los van de vraag hoe effectief het zal blijken. Hoe moeilijk is het om een afbeelding zodanig aan te passen dat de hash niet meer matcht? Hoe snel zullen er chat-apps komen die zich niet aan deze regels houden, en hoe wil je voorkomen dat die geinstalleerd worden? Die apps worden ook gebruikt door bedrijven om veilig zaken te bespreken die erg financieel gevoelig liggen. Wetende dat economische spionage een ding is, hoe happig zal een app als Threema zijn om zich aan deze wet te houden? Hun bestaansrecht is die vertrouwlijkheid.
Het lijkt alsof de EU, en in het verlengde daarvan de minister, denkt dat de EU een soort uitzondering is. Alsof wat wij vinden het enige juiste is, waar iedereen dan maar rekening mee moet houden. Alsof ze denken dat bedrijven als Signal wel zullen denken “De EU zijn de onkreukbare, integere en ethische good guys, dus we doen wat ze willen, en voor de rest van de wereld doen we dat niet”. Dit is natuurlijk een illusie, als wij hier willen CSS’en, en Signal/Whatsapp maakt dan mogelijk, dan wil daarna de hele wereld ook CSS’en tegen “onwettig” materiaal, wat dat in elk land ook wezen moge.
De minister heeft technisch gezien gelijk dat “Client side scanning” geen aantasting is van de “End to end encryption”, maar die E2EE is juist ingevoerd om privé-communicatie te beschermen tegen ongewenst meelezen door derden. De invoering van CSS betekent dat derden meelezen met de communicative die E2EE juist zou moeten beschermen… Het middel CSS is dus erger dan de kwaal.
Ik zou graag van de minister willen horen hoe client side scanning zich verhoudt tot:
Maar hier is geen sprake van een toetsing door de rechter of nationale veiligheid. Geen rechter zal het accorderen dat mijn communicatie met mijn vrouw over het ophalen van de kinderen ingezien moet worden, maar met CSS wordt het wel allemaal gescand. Er is altijd een false positive percentage en dat kan hierbij dus meteen leiden tot een verdenking van kindermisbruik. De grote techbedrijven hebben al laten zien dat in veel gevallen alleen de verdenking al genoeg reden is om je account volledig af te sluiten en nooit meer terug te krijgen. Dat maakt het voorstel heel eng wat mij betreft.
Ik vraag me af of het telecomgeheim van toepassing is op informatie in ruste, de CSS vindt immers plaats voordat er gegevens worden getelecommuniceerd (telegecommuniceerd?). Los daarvan, dit komt natuurlijk in een wet en er wordt alleen gekeken naar positieve matches dus formeel zit het wel goed denk ik.
De formattering van mijn Grondwet citatie is niet helemaal geworden wat ik in gedachten had, maar het zinnetje “Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter” is m.i. wel essentieel in de zin dat het bulk-scanning verbiedt.
He volgende punt is: “in hoeverre geldt het telecommunicatiegeheim voor informatie in ruste?” Bij informatie in ruste gelden ook andere privacy-regels, computervredebreuk, etc. Een brief die op mijn deurmat ligt mag ook niet zomaar door de politie opengemaakt worden. Dat zijn artikelen 10 en 12 van de grondwet. En ik wil ook graag weten hoe men een inbreuk op artikel 7 (vrijheid van meningsuiting) door overblokkering denkt te voorkomen.
“let op: elk bericht, ja elk bericht”
Ik begreep juist dat het pas gebeurt na een bevel van justitie na toetsing door een rechter die toeziet op de proportionaliteit. Hoe ze dat technisch willen regelen weet ik niet. Maar zo is het toch in de TK-commissie besproken?
CSS is een manier om recht te lullen wat krom is: Overheidsinstanties wereldwijd zouden maar wat graag mee willen lezen… en hoe zeer je het daar als burger mee eens bent hangt heel erg af van waar je woont en waar je eventueel op stemt.
De crux is natuurlijk dat zo’n filter heel moeilijk te implementeren is zonder de deur open te zetten voor groot misbruik waarbij er geen goede toetsing of belangenafweging is, en waarbij juridisch verweer heel moeilijk is… zeg maar Ongekend Onrecht 2.0
Los van alle moeilijkheden rond de implementatie (en incidenteel ook het verbieden van open-source software) is het dus heel erg de vraag of dit er ooit gaat komen. Tegen de tijd dat de Nederlandse of Europese overheid dit invoert, zijn we waarschijnlijk al heel erg afgegleden en hebben we als inwoners misschien grotere zorgen.
NEE, gewoon Nee! Waarom moeten we nu uit gaan leggen dat het middel heel veel erger is dan de kwaal.Ik geef toe kinderporno is erg maar echt nbiet zo erg dat dit soort praktijken geoorloofd zijn in de bestrijding er van.
“Maar denk aan de kinderen!”
<cynisme> Als alle apps scannen op “bekende” kinderporno dan hebben criminelen die uit handen van justitie willen blijven alleen nog een markt voor “verse” kinderporno. </cynisme>