Natuurlijk maakt een goede beveiliging van digitale communicatie het werk van de politie een stuk lastiger. Want als niemand kan meeluisteren, dan kan de politie dat ook niet. Het Openbaar Ministerie wil graag een vordering bij WhatsApp kunnen doen, maar dan wel zonder de beveiliging te verzwakken. Hoe zou dat werken?
Iedereen versleutelt voortdurend en bijna ongemerkt informatie op het internet. Dat is ook niet zo gek, want het is een belangrijke bouwsteen voor het vertrouwen in onze digitale infrastructuur. Neem bijvoorbeeld internetbankieren, waar versleuteling tenminste vier belangrijke rollen vervult. Versleuteling zorgt er voor dat jij zeker kunt zijn dat je met je eigen bank zaken doet en niet met iemand die zich voordoet als jouw bank. Het zorgt er ook voor dat niemand stiekem kan meekijken naar wie jij geld overmaakt. Bovendien wordt voorkomen dat jouw betaalopdracht onderweg kan worden aangepast waardoor je geld bij een crimineel terecht zou komen. Tenslotte, door jouw gegevens te versleutelen kan de bank die gegevens veilig opslaan, zodat bij een digitale inbraak niet alles op straat ligt.
De afgelopen dagen besteedden het NOS Journaal en RTL Boulevard aandacht aan het probleem dat de politie steeds vaker zegt te hebben: het is lastig om versleutelde informatie te lezen en onderzoeken verlopen daardoor moeizamer. Dat zal zonder twijfel het geval zijn, geloven we meteen. Maar wat het Openbaar Ministerie dan wel wil is minder helder.
Gelukkig zegt het Openbaar Ministerie, bij monde van officier van justitie Egberts, dat ook zij die versleuteling niet wil verzwakken. Dat is een mooi standpunt. Maar toch, voor de zekerheid, bedoelt het Openbaar Ministerie ook écht dat zij ook niet wil dat de overheid i) grenzen stelt aan de maximale lengte van encryptiesleutels, ii) achterdeurtjes laat inbouwen, iii) verplicht extra sleutels toe laat voegen of iv) andere stappen neemt die de ontwikkeling en toepassing van hoogwaardige versleuteling in de weg staan?
Aan het einde van het item bij het NOS Journaal zegt de officier van justitie: “Wat we het liefste zouden willen is dat er na een rechterlijke toetsing toch een mogelijkheid is om aan een bedrijf te vragen om die [versleutelde] informatie beschikbaar te stellen.” Dat lijkt toch haaks te staan op “het niet willen verzwakken van versleuteling.” En dus vragen we ons af, wat heeft het Openbaar Ministerie precies voor ogen? Wij horen het graag – ook als de oplossing “niet eenvoudig” is en niet in 140 karakters past.
Wat denk jij? Waarop is het Openbaar Ministerie aan het voorsorteren?
Eva Quirinius
Ik neem aan dat de overheid een aftapplicht wil opleggen aan Whatsapp / Facebook. Net zoals ISPs en telco’s die al een decennium hebben.
Dat is geen *achterdeurtje*. Dat is een heldere, transparante wet
Tino de Bruijn
Helaas is het aftappen van “end-to-end” ge-encrypte communicatie — wat whatsapp bv is — onmogelijk, *tenzij* er een “achterdeurtje” wordt ingebouwd. En een achterdeur inbouwen zonder de beveiliging te verzwakken is theoretisch misschien mogelijk, maar in de praktijk niet.
Hoe helder en transparant de wet is hangt af van hoe de verantwoording afgelegd wordt. En dat is op dit moment zeker niet altijd transparant.
Rejo Zenger
Nee, dat kun je misschien beter een voordeur noemen. Maar los van de naam van de deur, het is een ingebouwde kwetsbaarheid. Of zie je dat anders?
Peter
@Eva. Een aftapplicht is niet te combineren met end-to-end encryptie. Dat zou dus een verbod op end-to-end encryptie inhouden.
Anoniem
Bij whatsapp mogelijk makkelijker dan bij anderen.
Door bij elke gespreksgroep gelijk een extra (hidden) deelnemer in elke groep te plaatsen, zorgt de applicatie zelf voor het juiste sleutel management etc. Achteraf invoegen van deelnemers is wat lastiger omdat dit sleutel update events genereert, dat is nauwelijks geruisloos te noemen door een plotseling burst in het netwerk verkeer. (Voor elk gesprek wordt een nieuwe sleutel samengesteld als er een deelnemer aan toegevoegd of van verwijderd wordt.)
Maar bij een aanpassing van een groep kan het er best bij geschoven worden.
Dus afluisteren in Whatsapp kan door Whatsapp best gedaan worden, kwestie van alle sleutel wisselingen en berichten door te sturen naar een hidden deelnemer die er vanaf het begin aan deelneemt.
Dat kan op de server geregeld worden.
J
Helaas heb ik 0 vertrouwen in de overheid en het openbaar ministerie dit in goede banen kan leiden, op welke manier dan ook. Ze zetten constant in om alles en iedereen een stap voor te zijn en maken er dan een wet van. Encryptie is niet het probleem, noch is het een oplossing. Maar het is wel exact het gevolg van wat overheden en bedrijven de afgelopen jaren hebben en dat is macht. Dat ze die machtspositie niet meer kunnen uitoefenen zorgt nu voor een dergelijk voorstel.
Mocht dit er door komen, hoe kan ik mij dan verdedigen bij de rechter? Dat kan niet. Het verzoek is namelijk al op voorhand door de rechter goedgekeurd. Op basis van wat gaan ze dan dergelijke decryptiebevelen opleggen? Ze weten niet wat er gezegd wordt toch? Hoe kunnen ze dan weten of de inhoud illegaal is?
Misschien is het voor criminelen waarvan wordt verwacht dat ze weer in de fout gaan en dan wil het OM ze weer bij de oren pakken zodat ze weer mogen brommen? Nederland heeft strengere wetten nodig. Nogmaals, encryptie is niet het probleem, dat is de overheid.
Rejo Zenger
Correct. Dat heeft alles te maken met het sleutelbeheer, dat gedaan wordt door WhatsApp en de niet-controleerbaarheid van de broncode. Maar, als dat wordt gebouwd, is dat een verzwakking van de end-to-end encryptie. Als dat gebouwd wordt, dan is ieders communicatie onveiliger. Het is een kwestie van geduld tot die “extra” sleutels in handen van de verkeerde mensen komen.
iMachia
De (Europese) overheid huurt inmiddels de NSA al in om te kunnen (laten) tappen. Het succes daarvan wordt natuurlijk breed uitgemeten en zal gebruikt worden om de mogelijkheden van encryptie uit te hollen of uiteindelijk te verbieden. Zodat men de NSA uiteindelijk niet meer nodig heeft.
Met name in Frankrijk is men al heel ver. De Nederlandse overheid zal vast wel volgen.
Wil ik dan nog iets versleutelen dan doe ik dat met de tekst vóórdat ik het met Telegram o.i.d. verzend.
Anoniem
Simpel, ze willen de verplichting om ongesleutelde data bij bedrijven zelf neerleggen, whatsapp, hostingbedrijven etc. Lekker makkelijk. En als de bedrijven niet meewerken, kan je die voor de rechter slepen.
Dit is al bezig, en op deze manier zijn gewoon alvast aan masseren, is de KP kaart al getrokken?
Francesco
Niet alleen een ingebouwde kewtsbaarheid, maar ook vrijwel zeker het einde van WhatsApp… Wie vertrouwt er nou een app waarvan je *100% zeker weet* dat je gegevens *ergens* onversleuteld rondzwerven?
Er is niet voor niets een steeds verder voortschreidende trend om alle data (in rest, in motion *en* in use) te versleutelen. Zelfs datamining vindt steeds meer plaats op versleutelde data, omdat in 90+% de exacte data niet van belang is, maar de samenhangen en trends… Die kun je – mits met de juiste technologie versleuteld – ook in versleutelde data herkennen! (Naast de kosten besparing van niet telkens te hoeven decoderen en – evt – hercoderen, is het een veiligheids en aansprakelijkheid risico elke keer dat je met onversleutelde data werkt!)
Ik zou actief iedereen die ik ken (en die ik niet ken via social media) aanraden een app of service, die mijn gegevens onversleuteld opslaat, te laten vallen voor iets wat wél veilig is…
Gerard Freriks
Wat ik denk?
Beveiligingsexperts worden altijd zenuwachtig dat ze iets niet weten.
Wanneer het mogelijk is onze gedachten te lezen dan willen ze dat ook.
Want ‘we willen toch dat de overheid alles veilig maakt voor ons?’
De ‘rupsjes nooit genoeg’ willen altijd meer.
Wat nodig is het het besef dat er altijd grenzen zijn aan wat een overheid mag, kan, en doet. Die grenzen hebben we bereikt, vind ik.
We zullen met onzekerheid en onveiligheid moeten leren leven.
Gebruikmakend van het argument ‘veiligheid, beveiliging’ om onze vrijheid, ons systeem, te behouden, te bewaken, mag nimmer die zelfde vrijheid opgeofferd worden.
BoF is een eerstelijns verdediging tegen het afbreken van onze werkelijke eigen vrijheid. Ik denk dat naast techneuten, politici ook filosofen zich eens met deze kwestie in debatten moet gaan bediscussiëren. Wordt het tijd voor een discussie ronde met voor en tegenstanders?
John
@ Imachia. Eens. Vroeger had je geen email enz. Je had de telefoon (vaste lijn), door de overheid te tappen was (zoals nu nog het geval is) en de post. Wie een post-, ansicht- of briefkaart stuurde, stuurde eigenlijk een ongesleutelde bericht voor iedereen te lezen, buren postman enz. Een gesloten envelop bood meet veiligheid. De overheid moest een machtiging, met goede reden omkleed verzoek, van de rechter hebben om de post de onderscheppen, openen, lezen en weer professioneel gesloten, aan de begunstigde door te sturen. En ja, wie slim was en iets geheim wou houden moest de tekst van het bericht in de envelop versleutelen. Niet dat het door de overheid niet meer te lezen was, maar het maakte het moeilijker om van de inhoud telkens kennis te nemen omdat eerst decryptie specialisten zich ermee moesten bemoeien. Dus, je email zelf versleutelen voordat jet het verstuurt lijk mij de beste oplossing.
asdasd
sadasd
Eveline Passier
Ik hoop dat er wel iets aangedaan wordt. Ik ben benaderd door een fraudeur die via Whatsapp deed alsof hij een vriend was en facturen wilde overmaken naar firma’s die niet bestonden. Ik ben zo 1600,00 afhandig gemaakt en de fraudeur wilde een creditcard aanvragen op mijn rekeningnummer. Ik heb zowel de politie, banken als Fraude helpdesk ingeschakeld. Deze fraudeur moet stoppen want hij heeft al vele mensen geld afhandig gemaakt. Als men dit kan oplossen, dan zou dat een stuk schelen. Onschuldige burgers zijn nu veel geld kwijt aan gewiekste en geraffineerde fraudeurs.