Is het inbouwen van backdoors in je encryptiesoftware verplicht?

Een lezer vroeg me:

In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?

Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.

Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo’n zelfde wet.

Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het “belang van het onderzoek dit vordert” bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.

Er is echter in Nederland – noch in Europa, noch in de VS – een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Arnoud

Mijn router heeft een backdoor, mag ik mijn geld terug?

ziggo-modem-wifi.jpgEen lezer vroeg me:

Ik las op Tweakers dat mijn oude router een backdoor bevat. Dat is natuurlijk niet wat ik mocht verwachten, dus kan ik nu bij de winkel mijn geld terug vragen?

Een product zoals een router moet aan de redelijkerwijs gewekte verwachtingen voldoen. Dat heet de conformiteitseis, soms ook wel de wettelijke garantie genoemd.

Een router die niet routeert, is niet conform de verwachtingen. Die mag dus terug, en de winkel moet deze herstellen of een vervangend product geven. En lukt dat niet, dan heb je recht op je geld terug.

Maar niet elke verrassing bij het product is een conformiteitsgebrek. Zo hadden we ooit de discussie over IPv6 versus conformiteit in de context van netneutraliteit; die zou je ook hier kunnen voeren. Mag je anno 2014 van een router verwachten dat hij een IPv6-netwerk aan kan? Natuurlijk, als het op de doos staat dan moet hij dat doen. Maar als er niet over v4 of v6 gesproken wordt, wat mag je dan verwachten?

Je moet dan gaan kijken naar wat de stand der techniek is, wat gebruikelijk is in de markt, oftewel wat de redelijke verwachting mocht zijn bij dit soort producten. Prijs en doelgroep tellen mee. Een simpel routertje van €10 zal minder kunnen dan een topmodel van een als innovatief bekendstaand bedrijf. En bij dat simpele routertje mag je dan ook eerder storingen of problemen verwachten.

Onbedoelde backdoors zou ik in eerste instantie niet meteen als conformiteitsgebrek zien. Fouten worden overal gemaakt, en zeker bij IT-producten. Het is bekend dat dat kan gebeuren, en dat weegt mee bij het bepalen van de verwachtingen.

Een opzettelijk ingebouwde backdoor wordt een ander verhaal. Daarmee introduceert de fabrikant opzettelijk een beveiligingslek of kwetsbaarheid, en dat kan toch niet de bedoeling zijn. Maar bewijzen dat de backdoor opzettelijk ingebouwd was, lijkt me niet echt haalbaar.

Arnoud