Actieplan Terrorismebestrijding en Veiligheid: Interceptie telecommunicatie

Actieplan Terrorismebestrijding en Veiligheid: Cryptografie

Actieplan Terrorismebestrijding en Veiligheid

Uit het Actieplan Terrorismebestrijding en Veiligheid…
– ACTIE 16: versnellen van besluitvorming over rechtmatige toegang diensten en politie in cryptografische voorzieningen bij derde partijen (Trusted Third Parties) en streven naar regulering van krachtige cryptografie voor publiek gebruik

Dit is zonder twijfel een van de meest controversiële onderdelen van het actieplan. Het gaat ook veel verder dan het project rechtmatige toegang Trusted Third Parties dat Bits of Freedom in nieuwsbrief nummer 2 onthulde.

Het gebruik van cryptografie heeft in de jaren negentig een hoge vlucht genomen. Niet alleen is cryptografie essentieel bij het garanderen van vertrouwelijke communicatie per email, het is tevens van groot belang voor de ontwikkeling van betrouwbare e-commerce en het beveiligen van informatienetwerken in het algemeen. Zeer onlangs nog bleek uit meerdere media rapportages in binnen en buitenland dat zonder krachtige cryptografie draadloze datanetwerken (WLANs) bijzonder kwetsbaar zijn.

Pogingen om het gebruik van cryptografie in Nederland te beperken zijn er in de afgelopen jaren vaker geweest. In 1994 werd een wetsvoorstel om het gebruik van cryptografie in Nederland grotendeels te verbieden na veel protesten naar de prullenmand verwezen. Een voorstel in de wet Computercriminaliteit II om verdachten in een strafrechtelijk onderzoek te dwingen om de eigen versleuteling op te heffen werd in 1999 na veel verzet tevens geschrapt.

Het project rechtmatige toegang voorziet in een key escrow of key recovery voorziening voor TTPs (Trusted Third Parties) zodat politie en inlichtingendiensten toegang krijgen tot de klare tekst van versleutelde telecommunicatie. De TTP bewaart dan de sleutels van de klant. Uit de stukken van het project valt op te maken dat de overheid streeft naar co-regulering waardoor key escrow in alle gecertificeerde TTPs diensten aanwezig is. Het inbouwen van een dergelijke achterdeur in de infrastructuur voor beveiligde telecommunicatie is niet alleen in een grote inbreuk op het recht op vertrouwelijke communicatie maar is creëert tevens een groot beveiligingsprobleem.

Het project rechtmatige toegang laat de mogelijkheid open voor niet-gecertificeerde TTPs om geen key escrow in te bouwen. Niet-gecertificeerde TTPs hebben uit juridisch oogpunt echter geen of weinig gewicht en zullen nauwelijks een rol spelen in het economische verkeer.

Het Actieplan Terrorismebestrijding en Veiligheid gaat nog een stap verder door zich niet te beperken tot TTPs. De zinsnede “streven naar regulering van krachtige cryptografie voor publiek gebruik” duidt op plannen om ook het gebruik van software zoals Pretty Good Privacy (PGP) aan te pakken. Welke ‘regulering’ het kabinet in dit verband voor ogen heeft is in het actieplan niet uitgewerkt. Er zijn verschillende mogelijkheden zoals verplichte key escrow, een ontsleutelelingsplicht zoals eerder voorgestel in 1999 of een gedeeltelijk verbod. Op welke wijze zulke maatregelen bijdragen aan de bestrijding van terrorisme is onduidelijk. Terroristen zullen altijd makkelijk aan sterke cryptografie kunnen komen die een aanwezige key escrow verplichting omzeilt.

Het key escrow debat heeft halverwege de jaren negentig hevig gewoed in de USA naar aanleiding van de invoering van de Clipper chip. De enorme kosten en de veiligheidsrisico’s die verbonden zijn aan de opslag van cryptografische sleutels hebben geleid tot het afblazen van de key escrow aldaar. Aangezien key escrow nog nooit een serieus onderdeel van het debat in Nederland is geweest lijkt het erop dat dezelfde discussie zich in Nederland zal herhalen.

De surfopsafe campagne van de ministeries van Economische Zaken en Verkeer en Waterstaat promoot op dit moment het gebruik van krachtige cryptografie (PGP) door het publiek.

De nieuwe antiterrorisme wetgeving die op dit moment in de USA wordt besproken naar aanleiding van de gebeurtenissen op 11 september (Patriot Act 2001) bevat overigens geen regulering of beperking van het gebruik van cryptografie. Ook in Engeland bestaan op dit gebied geen nieuwe plannen.

Dit artikel is automatisch geconverteerd uit het oude archief van nieuwsbrieven van Bits of Freedom.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.