Internetrecht door Arnoud Engelfriet

Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen, schreef Security.nl onlangs. De Raadsresolutie Encryptie van de Europese Raad vormt volgens minister Grapperhaus van Justitie en Veiligheid het startpunt om samen met techbedrijven en andere partijen een onderzoek te doen naar de technische mogelijkheden om toegang tot versleutelde data te krijgen. Om een of andere reden blijven politici maar denken dat er een oplossing móet zijn om autoriteiten toegang te geven tot versleutelde data zonder dat criminelen dat ook kunnen. Het plaatje hiernaast is mijn kantoormuur nadat ik er met mijn hoofd tegenaan sloeg.

Versleuteling wordt namelijk ook misbruikt door criminelen, zo opent dan de Kamerbrief van Grapperhaus. End at terwijl “de opsporing steeds meer afhankelijk [is] van toegang tot digitale gegevens, terwijl versleuteling rechtmatige toegang tot digitale gegevens uitdagend of praktisch onmogelijk maakt. ” En dan komt er de grootste beleidsmatige fout van de afgelopen twintig jaar: wat offline geldt, moet ook online gelden. En omdat men offline kluizen kan openbreken, moet digitale encryptie dus ook open te breken zijn met machtiging van de rechter-commissaris. Eh ja, precies.

Deze discussie loopt al sinds de jaren negentig, toen Phil Zimmerman het programma Pretty Good Privacy op internet zetten. Encryption for the masses, een total noviteit want tot die tijd konden eigenlijk alleen overheden fatsoenlijk encryptie toepassen. De reactie is dan ook altijd eentje van angst en zorg gebleven, en vooral: van een gebrek aan technisch inzicht.

Want het is niet een stukje onwil, van die encryptiesoftwarebouwers, om te weigeren een achterdeur of centrale extra sleutel in te bouwen voor de overheid. Of technische onmogelijkheid. Het kan prima. Menig bedrijf heeft encryptie met een achterdeur: de reservesleutel in de kluis bij de CISO of IT-dienst. Voor het geval de medewerker zijn of haar sleutel kwijtraakt. Met een beetje goede controle is dat binnen het bedrijf goed te beheersen.

Alleen: dat is binnen een bedrijf, binnen één organisatorische eenheid. Daar kun je regels voor jezelf opstellen, en heeft iedereen ook hetzelfde belang. Namelijk het bedrijf door laten draaien, die klant binnenhalen en die producten of diensten verkopen. Er zijn geen buitenstaanders die aan je data gaan zitten.

En dat is wat er bij overheidstoezicht en -toegang wel speelt. Daar wil een externe partij bij de versleutelde data, bij de sleutel dus. En dat kan maar op één manier: de sleutel in een doosje bij de opsporingsdiensten, die er dan gebruik van mogen maken wanneer dat binnen hun regels en procedures moet kunnen.

Als er zo’n doosje is, dan is de vraag wie er bij mag. En waarom zouden dat wel onze opsporingsdiensten mogen zijn en niet de Duitse? Of de Russische? Of Chinese? Dat praktische bezwaar maakt het voor mij al fundamenteel onmogelijk om er voor te zijn. En wat gebeurt er als de sleutel gestolen wordt, in theorie altijd mogelijk en gezien de hoeveelheid datalekken die we nu al zien zeker niet uit te sluiten?

“Kraakbare” encryptie, dus geen sleutel in een centraal doosje maar een zwakheid inbouwen, is een nog veel slechter idee. Zo kan er inderdaad geen sleutel gestolen worden, maar de kwaadwillenden kunnen (en zullen) die zwakheid vinden en er dan ook mee aan de haal gaan. Zonder dat iemand het merkt, want het is onmogelijk te zien of iemand anders een kopie van je bericht heeft gedecrypt.

Nee, dit blijft een heel slecht idee.

Arnoud

Een lezer vroeg me:

In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?

Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.

Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo’n zelfde wet.

Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het “belang van het onderzoek dit vordert” bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.

Er is echter in Nederland – noch in Europa, noch in de VS – een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Arnoud

De Australische senaat heeft donderdag ingestemd met de omstreden wet die techbedrijven zoals Apple en Facebook verplicht om mee te werken bij het ongedaan maken van encryptie bij het onderscheppen van communicatie. Dat meldde Tweakers vorige week. De wet is omstreden omdat in het Angelsaksische rechtsgebied het doorbreken van encryptie door opsporingsdiensten als controversieel geldt, en deze wet de primeur heeft aldaar die er ook nog eens met trucjes doorgeduwd werd. Toch is het bepaald niet de “encryptie is nu verboden!!1!” wet die het in sommige media genoemd wordt. De regels over encryptie zijn volgens mij minder streng dan in Nederland.

De omstreden Assistance and Access-wet heeft inderdaad als gesteld doel bevoegdheden van politie en andere opsporingsdiensten te vergroten om het probleem van alomtegenwoordige encryptie op te kunnen lossen. Criminelen gebruiken encryptie om hun daden te verhullen, is dan het argument, dus moeten de diensten bij die versleutelde berichten kunnen in het belang van het onderzoek.

Een kernaspect van de wet is dan ook dat opsporingsdiensten zogeheten “technical assistance notices” en “technical capability notices” mogen sturen. Dat zijn bevelen om bepaalde technische ondersteuning te geven (assistance) maar ook om mogelijkheden in te bouwen (capability) om daarmee in de toekomst meer ondersteuning te realiseren. Dus “geef me de mailbox van Jan” is een assistance notice, maar “bouw iets in dat ik live mails van en naar Jan kan zien” is een capability notice. Met name die laatste is natuurlijk behoorlijk vérgaand, ook omdat je het gratis moet opvolgen.

Wat encryptie betreft is wel weer opgenomen dat zo’n notice niet mag leiden tot structurele verzwakking van encryptie of authenticatie. Een notice mag dus denk ik wel eisen dat een specifiek bericht wordt opengemaakt, maar niet dat standaard een achterdeur wordt ingebouwd.

Een specifiek bericht decrypten is dus een van de nieuwe bevoegdheden. In Nederland is dat helemaal niet zo nieuw, ons wetboek van strafvordering vermeldt onder meer in artikel 125k:

[Een bevel tot toegang tot gegevens kan worden gegeven in het belang van het onderzoek] indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.

Dit vereist wel dat een verdenking bestaat van een ernstig misdrijf (minstens vier jaar cel, en enkele specifieke strafbare feiten zoals mensenhandel). Het bevel mag overigens niet aan de verdachte worden gegeven (dit staat ter discussie)

Als het gaat om een onderzoek door een toezichthouder, dan gaat de wet nog verder. Artikel 5:20 Awb:

Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

Hieronder valt dus ook het ongedaan maken van encryptie. De letter van de wet sluit echter zelfs niet uit dat je dingen gaat bouwen om meer structureel bij bepaalde gegevens te kunnen, maar het zou wel een gedurfde* inzet van bevoegdheden zijn om dit te vorderen.

In de praktijk hebben vrijwel alle grotere bedrijven achterdeuren in hun encryptie-infrastructuur. Dat moet ook wel, want als een sleutelhouder ontslag neemt of overlijdt dan wil je als bedrijf door kunnen. Het openen van versleutelde berichten is dus altijd technisch mogelijk. En als dat zo is, dan mag bijvoorbeeld markttoezichthouder ACM vorderen dat dit gebeurt omdat zij een bestuursrechtelijke overtreding vermoeden.

Arnoud<br/> *Gedurfd besluit: een politiek besluit waarmee je de verkiezingen verliest. Yes, minister

Een lezer vroeg me: Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je… Lees verder

Een lezer vroeg me: Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in… Lees verder

Begin september hadden we een discussie over crypto-achterdeuren, waarbij de vraag langskwam of encryptie eigenlijk niet gewoon een mensenrecht is. Je hebt toch het grondrecht privacy, en hoe kun je dat nu effectief uitoefenen anders dan door versleutelde communicatie? Een goed punt, en ik werd er door aan het denken gezet want dit is een… Lees verder

Een lezer vroeg me: Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen? Van tijd tot tijd… Lees verder

Internetforum Reddit heeft donderdag een stuk tekst verwijderd dat gebruikt werd om aan te geven dat de site nog nooit in het geheim data heeft moeten overhandigen aan de Amerikaanse overheid, bij Nu.nl. De site heeft al jaren deze warrant canary in haar jaarlijks transparantierapport staan om een signaal te kunnen geven als men een… Lees verder

In een rechtszaak waarin FBI eist dat Apple helpt om een iPhone te ontgrendelen, heeft de Amerikaanse overheid een klinkende overwinning behaald. Apple moet speciale software ontwikkelen om het iPhone-kraken te ondersteunen. Dat meldde Webwereld vorige week. De software is aangepaste firmware met als doel een bruteforceaanval op het wachtwoord mogelijk te maken. De FBI… Lees verder

Een lezer vroeg me: Stel ik versleutel een film en publiceer het resultaat. Is dat al inbreuk op het auteursrecht? Niemand kan erbij immers. Maar wat nu als de sleutel makkelijk te raden is (één teken bijvoorbeeld) of het algoritme zwak is. Wanneer loop ik auteursrechtelijk tegen de lamp? Dat is een juridisch nog heel… Lees verder