De Europese Commissie werkt aan een wetsvoorstel dat platformen verplicht om mee te kijken met al jouw chats. Dat ondermijnt de essentie van end to end encryptie. Hoe zit dat?

De kern van end to end

Hoewel het technisch iets complexer in elkaar zit, is de kern van end to end encryptie goed te begrijpen. Je versleutelt een berichtje aan iemand, en niemand anders kan meelezen. Stel ik stuur jou een berichtje. Dat berichtje wordt op mijn telefoon met een unieke sleutel versleuteld. Dat berichtje verstuur ik in die versleutelde vorm aan jou. Alleen jij kunt met je eigen unieke sleutel op jouw telefoon dat berichtje weer ontcijferen. En dus lezen. Iemand die het berichtje onderweg onderschept ziet niets anders dan een onbegrijpelijke brei. En niemand anders beschikt over een sleutel om die brei te ontcijferen.

En dat is in feite de essentie van end to end encryptie: niemand anders kan het bericht lezen, anders dan de verzender en de bedoelde ontvanger. Natuurlijk, daar is best op wat af te dingen. Als jij je notificaties aan hebt staan, je zit in de kroeg en je telefoon ligt op tafel, dan kunnen anderen mogelijk mijn berichtje meelezen op het moment dat het binnenkomt. Als jij ervoor kiest mijn berichtje op Insta te zetten, dan leest de rest van de wereld mee. Of als mijn telefoon gehacked is, is dat berichtje ook niet meer zo geheim. Maar de essentie blijft: met end to end encryptie zorg je ervoor dat niemand anders dan de verzender en de beoogde ontvanger je berichtje kan lezen.

Hoe zit het dan met de politie?

Wat ook niets aan die essentie afdoet zijn de bevoegdheden van de politie. Die mag, in bepaalde situaties, jouw telefoon in beslag nemen en doorzoeken. Het kan dan zijn dat ze ook de berichtjes die met end to end encryptie versleuteld zijn, kunnen lezen. Dat mag de politie echter alleen als er een concrete en geïndividualiseerde verdenking tegen je bestaat. En aan allerlei voorwaarden is voldaan. Ook mag de politie onder deze omstandigheden op afstand inbreken op je telefoon. Maar door de gerichtheid van die bevoegdheid doet dat niets af aan de essentie van end to end encryptie. In zijn algemeenheid blijft staan: niemand anders dan de verzender en de beoogde ontvanger kunnen meelezen.

Client side device scanning

Wat wel afdoet aan die essentie zijn aanbieders van instant messaging diensten, zoals Facebook's Messenger en WhatsApp en Apple's iMessage, die gedwongen worden om alle berichtjes van gebruikers in de gaten te houden. Dat moet dan gebeuren op de telefoons van de eindgebruikers, want dat is de enige plek waar de berichtjes ontcijferd zijn of kunnen. Dat heet dan ook client side device scanning. Zo'n verplichting betekent dat een derde meekijkt met de berichtjes die eigenlijk met end to end encryptie zijn versleuteld. Die derde is in eerste instantie de aanbieder van de dienst. Maar het kan ook zijn dat als het platform denkt iets strafbaars te hebben gevonden, jouw naam en het berichtje worden doorgestuurd naar de politie. Je kunt er dan dus niet langer vanuit gaan dat alleen de verzender en de beoogde ontvanger de berichtjes kunnen lezen.

De Europese Commissie hintte er eerder al op zulke maatregelen voor te stellenSamen met onze Europese collega's formuleerden we tien principes waar zo'n voorstel aan moet voldoen. Dat zou nodig zijn om de verspreiding van materiaal van seksuele exploitatie van kinderen tegen te gaanFilteren op bekende afbeeldingen, maar ook onbekend materiaal en grooming. Beleidsmakers komen daar nu mee, omdat aanbieders zoals Facebook en Apple steeds vaker end to end encryptie toepassen en dus niet meer zo makkelijk kunnen meekijken met de berichtjes die we met elkaar uitwisselen. Dat is juist fijn, want op die manier weet jij als gebruiker ook zeker dat die bedrijven (en in het verlengde daarvan wie weet wie nog meer) niet mee kunnen lezen. Dat is ook waar die bedrijven heel erg mee pronken: ze zeggen privacy hoog in het vaandel te hebben staan en gaan er prat op dat ze hun technologie zo hebben ontwikkeld dat ze zelf niet meer mee kunnen lezen.

Vertrouwen

Dat die brede uitrol van end to end encryptie ons veel brengt, dat lijkt aan veel beleidsmakers voorbij te gaan. End to end encryptie is een van de weinige technologieën waarop we (jij als individu, maar ook wij als maatschappij) kunnen vertrouwen om onze meest gevoelige gesprekken (en foto's en video's :)) te beschermen. Dat geldt voor mensen die het zich kunnen veroorloven om "ik heb toch niets te verbergen" te zeggen, maar net zo goed voor managers in het bedrijfsleven die zich willen beschermen tegen de spionage van hun bedrijfsgeheimen of slachtoffers van seksueel geweld in gesprek met hulpverleners.

De aanpak van seksuele exploitatie van kinderen is ontzettend belangrijk. Maar we zouden het kind met het badwater weggooien als we met die aanpak juist die technologie ondermijnen die ons in staat stelt onszelf te beschermen.