Overheid dwingt TTPs bij toegang tot crypto berichten
Uit een concept-rapport en de notulen van de Technische Werkgroep Rechtmatige Toegang blijkt dat inlichtingendiensten en justitie aansturen op een wettelijke verplichting voor Trusted Third Parties (TTPs) die vertrouwelijkheidsdiensten leveren, om gebruik te maken van key escrow of key recovery technieken. De overheid wil in de toekomst via de TTPs, wanneer zij medewerking verlenen aan het versleutelen van berichten, toegang krijgen de klare tekst van encrypte communicatie. Dergelijke ‘rechtmatige toegang’ zou vooral tot doel hebben om encrypte berichten op internet te onderscheppen.
TTPs zijn onafhankelijke organisaties die diensten aanbieden waarmee de betrouwbaarheid van elektronisch berichtenverkeer kan worden vergroot. TTPs maken gebruik van cryptografie om de authenticiteit of de vertrouwelijkheid van berichten te vergroten. In Nederland zijn notarissen, accountants, banken, telecommunicatie bedrijven en PTT Post bezig met het oprichten van TTPs. Het bekendste voorbeeld van een TTP is waarschijnlijk Verisign, een Amerikaans bedrijf dat certificaten uitgeeft waarmee e-commerce websites hun authenticiteit garanderen. Het rapport van de Technische Werkgroep Rechtmatige Toegang heeft betrekking op de andere soort TTPs die helpen bij het versleutelen van berichten. Deze TTPs bestaan nog niet of nauwelijks maar kunnen in de toekomst sleutels gaan aanmaken en bewaren voor gebruikers die bijvoorbeeld hun email willen versleutelen.
De ministeries van Verkeer en Waterstaat en Economische Zaken zijn in 1998 samen met marktpartijen het nationaal TTP-project gestart om co-regulering voor TTPs te ontwikkelen. In de beleidsnotitie Nationaal TTP-project van maart 1999 wordt de toon alvast gezet. Rechtmatige toegang voor inlichtingendiensten en justitie zal desnoods afgedwongen worden:
“Indien het bedrijfsleven niet voldoende actief meewerkt aan de ontwikkeling van genoemd instrumentarium, zal de overheid nadrukkelijk overwegen om met nadere wetgeving de behoefte aan rechtmatige toegang in te vullen.” [blz. 24]
In de ‘Rapportage Technische werkgroep Instrumentarium Rechtmatige Toegang’ van januari 2001 wordt een analyse gemaakt van de mogelijke verschijningsvormen van TTPs die vertrouwelijkheidsdiensten aanbieden en de mogelijkheden voor het ontsleutelen van berichten voor inlichtingendiensten en justitie. De werkgroep concludeert dat slechts twee typen TTP’s geschikt zijn voor rechtmatige toegang; namelijk wanneer de TTP een kopie van de sleutel van de gebruiker heeft (key escrow) of wanneer het bericht mede versleuteld is met een sleutel van de TTP (key recovery) [noot 1]. De andere vier onderzochte TTP architecturen kunnen geen klare tekst leveren zonder de medewerking van de gebruiker en zijn dus ongeschikt om in te zetten bij het aftappen.
Uit de Rapportage Technische werkgroep Instrumentarium Rechtmatige Toegang:
“De vraag die feitelijk voorligt betreft dan ook de wenselijkheid van het in de praktijk voorkomen van de bewuste vier architectuurcategorieen, waarin de TTP vanuit de technologie geredeneerd niet kan worden aangesproken op de behoeftestelling van de opsporings- en inlichtingendiensten.” [blz. 21]
In de notulen van de TTP Coordinatie groep van maart 2001 waarin het rapport besproken is wordt de kwestie nog scherper gesteld:
” […] uit de wet volgt dat TTP’s die geen sleutelmateriaal hebben, ook geen medewerking kunnen verlenen. Maar de bedoeling is dat TTP’s in de toekomst niet meer kunnen stellen geen sleutelmateriaal te beheren, omdat zij verplicht zijn hun vertrouwelijkheidsdiensten zo in te richten dat rechtmatige toegang mogelijk is.”
Het valt te betwijfelen of TTPs onder deze voorwaarden wel bereid zijn om een dergelijke dienst op te zetten. Consumenten zullen immers weinig vertrouwen hebben in een encryptie dienst waarbij de TTP berichten kan lezen en deze kan overdragen aan de overheid. De uitkomst van een dergelijk overheidsbeleid zou kunnen zijn dat er geen TTPs komen die vertrouwelijkheidsdiensten aanbieden. Gebruikers van encryptie maken over het algemeen geen dienst van TTPs maar generen hun sleutels zelf en geven deze niet uit handen. Een voorbeeld van een dergelijk gebruik van encryptie is PGP.
Pogingen om het gebruik van cryptografie te reguleren zijn er in de afgelopen jaren vaker geweest. In 1994 werd een uitgelekt wetsvoorstel om het gebruik van encryptie in Nederland grotendeels te verbieden na veel protesten naar de prullenmand verwezen en niet naar de Tweede Kamer gestuurd. Een voorstel in de wet Computercriminaliteit II om verdachten in een strafrechtelijk onderzoek te dwingen om de eigen versleuteling op te heffen werd in 1999 na veel verzet tevens geschrapt.
- Technische Werkgroep Rechtmatige Toegang http://www.bof.nl/tappen/RapportageTWRT.pdf
- Notulen TTP Coordinatie groep http://www.bof.nl/tappen/TTPnotulenmaart2001.pdf
- Beleidsnotitie Nationaal TTP-project http://www.bof.nl/tappen/KST35668.pdf
- Overzicht van het Nederlandse crypto beleid http://cwis.kub.nl/~frw/people/koops/cls2.htm#nl
- Achtergrond informatie over GAK, TTPs en PKI http://cwis.kub.nl/~frw/people/koops/research.htm
- TTP.NL http://www.ecp.nl/trust/ttp.htm
[noot 1] Een simplificatie, key recovery draait om een recoverable session key.
Dit artikel is automatisch geconverteerd uit het oude archief van nieuwsbrieven van Bits of Freedom.