Herhaalde discussie over encryptie wekt irritatie

Met de regelmaat van de klok beklagen inlichtingen- en opsporingsdiensten zich over versleutelde communicatie. In februari was het de FBI die Apple wilde verplichten om de digitale moedersleutel te overhandigen. Recent beschreven de Franse en Duitse inlichtingendiensten, en in hun kielzog de Nederlandse cybercrime officier, de problemen bij het afluisteren van berichten. En nu is het weer het hoofd van de AIVD die zich beklaagt dat hij geen Whatsapp berichten kan afluisteren. Steeds wordt betoogd dat daarom versleuteling moet worden opengebroken, verzwakt of beperkt. Want als burgers versleuteling gebruiken, dan kunnen de inlichtingendiensten hun werk niet doen, zo is de redenatie.

Het blijft een vreemde paradox. Burgers en bedrijven die zich beschermen tegen hackers en cyberterroristen, worden door de inlichtingendiensten juist gezien als een gevaar.  Begin dit jaar kwam het kabinet, na uitvoerige bestudering van de kwestie dan ook tot de conclusie dat verzwakken of verbieden van encryptie simpelweg geen optie is. Minister Kamp, en minister Van der Steur zelf schreven op 4 januari jl aan de kamer:

“Op dit moment is er geen zicht op mogelijkheden om encryptie producten te verzwakken zonder daarmee de veiligheid van digitale systemen die van encryptie gebruik maken te compromitteren. Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen.”

Die conclusie laat niets aan duidelijkheid te wensen over. De feiten die de daarvan de basis vormen zijn onveranderd. Er is geen magische tussenweg. Inbouwen van moedersleutels of achterdeurtjes compromitteert onverbiddelijk de beveiliging van alle communicatie en informatie. Een goede illustratie van dat dilemma vind je op Schiphol. Koffers met een cijferslot moeten voorzien zijn van een zogenaamd TSA slot. Douaniers hebben een speciale sleutel waarmee ze elke koffer met zo’n slot kunnen open maken. Het is uiteraard de bedoeling dat alleen de douaniers deze moedersleutel bezitten. Maar kort nadat iemand een foto van zo’n sleutel op het Internet publiceerde, kon iedereen die via het web bestellen. Ook voor encryptie geldt dat zodra de moedersleutel eenmaal op straat ligt, hackers en cyberterroristen de eersten zijn die het truukje ook kennen, zodat er meteen beveiligingsrisico’s ontstaan.

Ook de suggestie om het gebruik van versleuteling te verbieden is geen oplossing. Stel, er zou een verplichting komen om encryptie in Whatsapp uit te schakelen. Dan blijven er nog honderden andere mogelijkheden over voor criminelen om hun berichten te versleutelen. Die beperking werkt dus alleen als criminelen en terroristen zich aan de wet gaan houden, wat natuurlijk een contradictio in terminis is.

Het steeds opnieuw klagen van de diensten over een bevoegdheid die ze niet kunnen krijgen, begint zo langzamerhand te irriteren. Het lijkt op de actie van Carly Fiorina, de republikeinse kandidate voor het presidentschap, die waterboarding acceptabel vond “omdat er nu een maal geen andere manier was om informatie te verkrijgen”. Inlichtingendiensten hebben beperkingen en geen onbeperkte bevoegdheden. Dat is een gegeven. Niemand beweert dat hun werk makkelijk is. Maar het vinden van informatie met beperkte middelen is nu eenmaal hun vak.

Ondertussen is Nederland steeds meer afhankelijk van het goed en veilig functioneren van digitale communicatie. Bedrijven die hier zaken willen doen, verwachten een betrouwbare overheid. Encryptie is een essentiële technologie voor het beschermen van die communicatie en informatie. Het verzwakken van beveiliging om het werk van opsporingsdiensten te vergemakkelijken mag daarom niet steeds opnieuw ter discussie staan. De inlichtingendiensten en Justitie moeten zich, in het belang van veiligheid en bedrijvigheid, neerleggen bij de feiten. Ze zullen op zoek moeten naar andere manieren van vergaren van inlichtingen.

Zoeken
Related
event
Congres digitale overheid
iBestuur, Dutch Datacenter Association (DDA) en de stichting Digitale infrastructuur Nederland organiseren op donderdag 10 maart 2022 een congres over...
event
Congres digitale overheid
Nederland heeft een heldere visie op de Nederlandse digitale infrastructuur nodig. Daarom gaan we in het najaar met elkaar om...
event
Internet Governance Forum 2021
Van 6 t/m 10 december vindt de zestiende Internet Governance Forum (IGF) plaats. Stakeholders uit meer dan 130 landen zullen...