Is er wetgeving die encryptie juist verbiedt?

| AE 9327 | Security | 17 reacties

Een lezer vroeg me:

Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je boeken. Hoe gaat de wet om met zo’n conflict?

Er is in Nederland géén wetgeving die het gebruik van encryptie verbiedt. Dat zou ook erg raar en onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van met name persoonsgegevens te realiseren. Wetten zoals de vraagsteller die formuleert, bestaan niet.

De Privacyverordening verplicht tot een adequate beveiliging van persoonsgegevens, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Heel strikt gesproken zouden ook andere oplossingen mogelijk zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar bloot staan aan misbruik of ongeautoriseerd gebruik.

Wat de wet wél zegt, is dat als Justitie gerechtigd is om toegang tot data te vorderen, eventuele encryptie daarop ongedaan gemaakt moet worden. Een bedrijf mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery).

Het is dan weer niet zo dat je als bedrijf in staat móet zijn om encrypted data te decrypten. Als de klant zelf data versleutelt en dat bij een bedrijf parkeert (zoals bij een online backup met clientside encrypted data), dan is het bedrijf niet verplicht een achterdeur of kopie wachtwoord te eisen. Wat je niet kunt decrypten, hoef je niet te decrypten.

Arnoud

Mogelijk achterdeur in nieuwe versleutelingsstandaard

| AE 639 | Security | Er zijn nog geen reacties

Cryptografie-expert Bruce Schneier meldt in Wired dat een voorstel voor een nieuwe standaard voor cryptografie (encryptie of ook wel geheimschrift) mogelijk een achterdeur bevat waardoor de Amerikaanse veiligheidsdienst NSA alle berichten zou kunnen lezen. Nu wordt er al meer dan tien jaar gespeculeerd over mogelijke achterdeuren in bijvoorbeeld PGP, maar dit is de eerste keer dat er ook werkelijk aanwijzingen zijn voor zo’n achterdeur.

De standaard gaat over zogeheten elliptic-curve cryptografie. Elliptische krommen hebben niets te maken met ellipsen. Een elliptische kromme is een vergelijking met x en y, met x tot de derde macht en y in het kwadraat. Zulke vergelijkingen zijn nuttig bij cryptografie. Daarvoor moet je wel afspreken welke vergelijking je gaat gebruiken. En bij die keuze blijken nu bepaalde getallen zodanig gekozen te zijn dat er theoretisch een “loper”, een master key bestaat waarmee alle versleutelde berichten te openen zijn.

Omdat de getallen in kwestie gekozen zijn door de Amerikaanse National Security Agency, de experts op het gebied van cryptografie, is het moeilijk te geloven dat dit toeval is.

Zoals Schneier schrijft:

Of course, we have no way of knowing whether the NSA knows the secret numbers that break Dual_EC-DRBG. We have no way of knowing whether an NSA employee working on his own came up with the constants — and has the secret numbers. We don’t know if someone from NIST, or someone in the ANSI working group, has them. Maybe nobody does.

We don’t know where the constants came from in the first place. We only know that whoever came up with them could have the key to this backdoor. And we know there’s no way for NIST — or anyone else — to prove otherwise. This is scary stuff indeed.

Via Slashdot.

Arnoud