Minister van Justitie Ferd Grapperhaus wil dat justitie toegang krijgt tot versleutelde chatberichten op diensten als WhatsApp en Telegram. Sociale mediabedrijven zouden een sleutel moeten hebben die kan worden gevorderd door de rechter-commissaris. Is dat nou wel zo'n goed idee? Ik denk van niet, maar niet om de in deze discussie meestal genoemde redenen.
(Dit is overigens een discussie die om de zoveel tijd weer oplaait, en waar ook ik al eerder over geschreven heb.)
Ook al ben ik zelf privacy onderzoeker, ik ben er van overtuigd dat noch absolute privacybescherming noch een totale surveillance staat wenselijk zijn. De vraag is dus welke positie tussen deze beide extremen redelijk is. Het antwoord op deze vraag wordt deels gestuurd door dat wat technisch mogelijk is, deels door dat wat politiek mogelijk is, en verder natuurlijk door wat voor 'onze' samenleving wenselijk is. Helaas wordt de discussie vooral gedomineerd door de vraag wat technisch (on)mogelijk is.
Opvallend vaak wordt door tegenstanders van 'lawful access' tot end-to-end versleuteld berichtenverkeer geschermd met het argument dat zoiets technisch niet op een veilige manier mogelijk zou zijn. Zie bijvoorbeeld het invloedrijke Keys Under Doormats rapport, uit 2015. De vraag of is deze verdedigingslinie voldoende stand houdt, en of je, als je puur op technische gronden zegt tegen te zijn, niet het recht verspeelt op veel fundamentelere gronden tegen dergelijke voorstellen voor lawful access te zijn. Sowieso zorgt deze verenging tot enkel technische aspecten dat de bredere meer fundamentele discussie over het nut, noodzaak en wenselijkheid van lawful access sowieso niet gevoerd wordt. Dat is een kwalijke zaak.
Om de discussie enigszins op scherp te zetten, is het interessant om toch even iets dieper in technische zin op een recent voorstel voor het implementeren van toegang tot versleutelde berichten in te gaan. Ik doel hierbij op Ghost, recent voorgesteld door GCHQ, de Engelse inlichtingen en veiligheidsdienst.
Dit voorstel is in zoverre interessant dat het, in termen van het verkrijgen van toegang tot versleuteld berichtenverkeer, een vergelijkbare rol aan de aanbieders van chatdiensten toebedeeld als telefoonmaatschappijen die nu hebben bij het faciliteren van telefoontaps: na het overleggen van een voldoende gemotiveerd en door de rechter-commissaris ondertekend verzoek (en dat wordt door de telefoonmaatschappij als het goed is strikt gecontroleerd) moet de telefoonmaatschappij toegang verlenen tot de gesprekken die met het in het verzoek genoemde telefoonnummers gevoerd worden. Medewerking van de telefoonmaatschappij is vereist; zonder die medewerking zijn de gesprekken niet (echt) toegankelijk voor de opsporingsdiensten.
End-to-end versleutelde chatberichten werken natuurlijk anders dan traditionele telefoongesprekken.
End-to-end encryptie maakt gebruik van publieke sleutel cryptografie: een publieke sleutel wordt gebruikt om informatie te versleutelen, zodat alleen de bijbehorende privé sleutel de informatie kan ontsleutelen om het weer leesbaar te maken. Bij end-to-end encryptie heeft elk apparaat dat berichten kan versturen of ontvangen een eigen sleutelpaar: een privé sleutel die enkel op het apparaat zelf opgeslagen is, en een bijbehorende publieke sleutel die op de servers van de dienstaanbieder wordt opgeslagen, gekoppeld aan het telefoonnummer als adres voor te ontvangen berichten. De dienstaanbieder heeft dus een database met voor elk telefoonnummer van ieder gebruiker de lijst met publieke sleutels van zijn of haar apparaten waarop de berichten ontvangen moeten worden.
Ieder bericht wordt met een nieuwe, willekeurig gekozen, berichtsleutel versleuteld. Alle ontvangers van dat bericht (dat zijn alle apparaten waarop de geadresseerden hun berichten willen ontvangen, maar ook alle andere apparaten van de afzender) hebben deze berichtsleutel nodig om het bericht te kunnen lezen. Die krijgen ze meegestuurd door de verzender, in een apart berichtje (voor ieder ontvangend apparaat één) versleuteld met de publieke sleutel van het apparaat. Zo is gegarandeerd dat alle ontvangers (en ook echt alleen die ontvangers) de berichtsleutel krijgen die nodig is om het bericht te ontsleutelen. De verzender krijgt alle hiervoor benodigde publieke sleutels door ze op te vragen bij de dienstaanbieder. De verzender stuurt de telefoonnummers van de personen waaraan hij het bericht wil versturen op, en ontvangt voor elk bij de dienstaanbieder bekend telefoonnummer de lijst met publieke sleutels voor elk geregistreerd apparaat.
Het idee van Ghost is simpel: als een dienstaanbieder het verzoek krijgt om justitie toegang te verlenen tot de versleutelde chatberichten van een gebruiker, dan moet deze één extra publieke sleutel (van de autoriteiten) meesturen zodat de berichtsleutel ook tegen deze publieke sleutel wordt versleuteld. Zo kan justitie, voor de periode van de 'tap' met het berichtenverkeer meelezen. Eerdere (en ook latere) berichten blijven buiten bereik van justitie: die zijn ieder met een andere berichtsleutel versleuteld die niet op deze manier doorgegeven wordt aan de autoriteiten. Zonder medewerking van de dienstaanbieder krijgen de autoriteiten niet de beschikking over de berichtsleutel (en daarmee het bericht). Dat is het verschil tussen deze vorm van key recovery ten opzichte van eerdere voorstellen voor key escrow (waarbij de in bewaring gegeven sleutel alle communicatie ten allen tijde unilateraal voor de autoriteiten toegankelijk maakte).
Er was (natuurlijk) veel (terechte) kritiek op het Ghost voorstel.
Echt veilige vormen van end-to-end encryptie onderkennen de macht van de dienstaanbieder als bron van de publieke sleutels in het systeem. Daarom hebben apps als Signal ook een methode ingebouwd waarmee je alle publieke sleutels van ontvangers zelf kunt zien en controleren: de dienstaanbieder kan zo nooit een extra sleutel toevoegen die je niet kent. Ghost vereist dat deze controle verzwakt wordt, en creëert daarmee een
fundamentele kwetsbaarheid in systeem en ondermijnt daarmee het vertrouwen in dergelijke systemen. De dienstaanbieder kan nu ook zelf, zonder daartoe de opdracht gekregen te hebben van de autoriteiten, beslissen mee te lezen. Susan Landau stelt dan ook terecht dat ``the service provider is being asked to change its communication system to provide exactly what the end-to-end encryption system was designed to prevent: access by a silent listener to the communication.''
Daar staat tegenover dat dienstaanbieders sowieso technisch gezien altijd de mogelijkheid hebben om mee te lezen, als ze dat zouden willen. Natuurlijk geldt hierbij wel dat mochten ze dat doen, en er ook maar iemand achter komt, ze onmiddellijk al ons vertrouwen zouden verliezen en binnen de kortste keren geen klanten meer zouden hebben. Maar dat zou dan ook moeten gelden als de binnen de context van het Ghost voorstel hun macht zouden misbruiken, of te makkelijk toegang zouden verlenen aan de autoriteiten.
In een naïeve implementatie van Ghost is het eenvoudig detecteerbaar of justitie meeluistert of niet, door in het berichtenverkeer te kijken of er de berichtsleutel tegen een extra (onbekende) publieke sleutel versleuteld meegestuurd wordt. Dat is lastiger (maar misschien niet onmogelijk) te maken door altijd zo'n extra pakketje mee te sturen, waarin de berichtsleutel tegen een random sleutel wordt versleuteld als justitie niet wenst mee te lezen.
De vraag is of detectie erg is, zeker als er geen ander wel echt veilig alternatief voorhanden is; zie ook het volgende argument.
Criminelen en terroristen kunnen er natuurlijk altijd voor kiezen een eigen veilig communicatiemiddel te gaan gebruiken: onschuldige mensen gebruiken dan een in essentie onveilig communicatiemiddel, terwijl de mensen die je in de gaten zou willen houden nog steeds echt veilig kunnen communiceren. Het schijnt zo te zijn (maar betrouwbare informatie daarover zou zeer welkom zijn) dat criminelen nog steeds traditioneel tapbare communicatiemiddelen gebruiken, ook al zijn de zich bewust van het feit dat de politie misschien wel meeluistert.
Dat is natuurlijk waar, maar Ghost legt zo de drempel om veilig te communiceren wel hoger, zeker als je binnen een los georganiseerd en dynamische crimineel netwerk op een veilige manier wilt communiceren. Zo lang echt veilige end-to-end encryptie (i.e. zonder lawful access) moeilijk verkrijgbaar of realiseerbaar is, dan is het pleit in het voordeel van de rechtshandhavers beslecht.
Lawful access tot versleutelde chat berichten is niet alleen een aantasting van onze privacy, ook onze nationale en economische veiligheid is in het geding. Ook de overheid en het bedrijfsleven maken immers dankbaar gebruik van de bescherming die end-to-end encryptie biedt. Die wordt door Ghost ondermijnd.
Door sommigen wordt soms gesuggereerd dat de politie ook, als het echt moet, ook de telefoons van verdachten zou kunnen hacken om zo toegang te verkrijgen tot eerder verstuurde berichten (en andere opgeslagen informatie).
Dit 'terughacken' is echter ``techno-capitalism at its shadiest''. Het creëert een markt voor zero-days die vanwege de prijs enkel voor de rijkste overheden beschikbaar zullen zijn. Daarnaast ontstaat er zo een perfide prikkel om in systemen gevonden kwetsbaarheden niet bekend te maken (zodat de diensten ze kunnen blijven gebruiken om terug te hacken). Kwetsbaarheden worden zo niet gepatched, met als gevolg dat onze infrastructuur minder veilig is. Misschien zelfs wel minder veilig dan als opsporingsdiensten de beschikbaarheid zouden hebben tot Ghost en daarom niet meer afhankelijk zouden zijn van dergelijke zero-days.
De hierboven genoemde argumenten zijn voornamelijk technisch van aard, en hebben daarnaast de neiging uit te gaan van meer theoretisch, absolutistisch, privacyperspectief: een systeem beschermt alleen de privacy (en is in die zin voor de gebruiker veilig) als cryptografisch gegarandeerd kan worden dat een derde partij geen toegang kan krijgen tot de communicatie. In de praktijk is de garantie natuurlijk nooit te geven: er zijn allerhande risico's, die te maken hebben met de manier waarop het communicatiesysteem in de praktijk gebruikt wordt. Het introduceren van lawful access zoals Ghost dat voorstelt maakt die risico's zeker groter. De vraag is echter of die risico's beheersbaar zijn (waarbij de interpretatie van wat beheersbaar is natuurlijk verschilt tussen de verschillende stakeholders).
Maar een dergelijke focus op het technisch perspectief maakt dat we onszelf de volgende veel fundamentelere vragen onvoldoende stellen. Namelijk
Die laatste vraag is verder uit te splitsten in
Die tweede vraag is bijvoorbeeld van belang omdat je je af kunt vragen of het een goed idee is om een (veelal Amerikaans) commercieel bedrijf de uiteindelijke beslissing tot toegang te laten nemen.
Dit zijn geen technische vragen, alhoewel het antwoord natuurlijk soms af kan hangen van het technisch perspectief om in te kunnen schatten wat wel en niet mogelijk is.
Wat in ieder geval ontbreekt is voldoende, onafhankelijke informatie over de nut en noodzaak van een dergelijk ingrijpende maatregel. Maken kinderpornografen gebruik van WhatsApp? Is er geen andere, effectievere of minder ingrijpende, manier om deze groep in de gaten te houden? Bijvoorbeeld door het bij WhatsApp bekende netwerk van onderling communicerende gebruikers (de zogenaamde 'social graph') te analyseren? Is het echt zo dat de diensten 'are going dark', of is er juist sprake van een 'golden age of surveillance'? Moet de politie niet meer inzetten op het bijhouden van de technische ontwikkelingen en op andere manieren haar informatiepositie veiligstellen, zoals de inlichtingendiensten wel hebben gedaan?
Op basis van een grondige analyse zou vervolgens tot een pakker van eisen gekomen moeten worden. Een volledig uitgewerkt technisch voorstel, inclusief hoe dit in de praktijk gebruikt moet gaan worden, zou vervolgens op risico's geanalyseerd moeten worden. De uitkomsten zouden dan vergeleken moeten worden met een vergelijkbaar systeem zonder lawful access. De discussie zou vervolgens moeten gaan of een dergelijk systeem wenselijk is; of de geïdentificeerde toename van de risico's een acceptabele prijs is.
De echte vraag is echter of dit alles überhaupt mogelijk is. Cindy Cohn van de Amerikaanse digitale burgerrechten organisatie Electronic Frontier Foundation (EFF) stelt dat voor het invoeren van een systeem als Ghost eerst wereldwijde consensus nodig is over de omstandigheden waaronder communicatie privacy opgeheven zou mogen dan wel moeten worden.
Immers, het gaat niet alleen om toegang tot onze communicatiesystemen voor onze eigen opsporingsdiensten of die van min of meer bevriende naties. Ook de Chinese of Iraanse overheid kan gegronde redenen hebben om toegang te verlangen, net zo goed zoals wij gegronde redenen kunnen hebben tot de communicatie van Chineese of Iraanse staatsburgers.
Zo'n consensus is onwaarschijnlijk: Jon Callas van de ACLU vraagt zich in een metafoor af of een gerecht dat rekening houdt met de dieetwensen van een miljoen verschillende mensen uiteindelijk wel bij iemand in de smaak valt.
Dat zijn de vragen waar het volgens mij werkelijk om zou moeten gaan, als we de 'geest van Grapperhaus' willen temmen.
De geest van Grapperhaus is zo gek nog niet?!
Beste Jaap-Henk, Wederom dank voor jouw blog over een actueel privacy-onderwerp. Wat ik bijzonder waardeer is dat je de balans zoekt tussen de belangen van veiligheid en privacy. Ik wil daar nog één belang aan toevoegen: het belang van opsporing van zware en georganiseerde criminaliteit. De analogie lijkt me evident.
Ook al zijn wij allebei in veel situaties voorstanders van meer privacy, het is toch eigenlijk te gek voor woorden dat de bevoegdheid van het klassieke aftappen van telefoongesprekken in deze tijd van digitale communicatie niet meer zou werken? Vergeet niet dat alle telefoonverkeer net als het huidige Whatsapp-verkeer ook vertrouwelijk is. Voor het telefoonverkeer is dit zelfs wettelijk vastgelegd en geborgd in de Telecommunicatiewet. Maar er zijn dus uitzonderingen voor specifieke situaties van opsporing en inlichtingen. Ook die zijn bij wet vastgelegd.
Voordat we digitale interventie-technieken als Ghost aan een analyse onderwerpen, zou ik prioriteit willen geven aan consensus over de eisen die worden gesteld aan de bevoegdheden voor het digitale afluisteren. Ik kom zo gauw op de volgende 5 punten.
De beoordeling van Ghost zou ik willen voorstellen om te doen in het kader van de bovenstaande eisen. In het bijzonder eisen 1 en 2 vragen om een technische beoordeling van Ghost als interventie-middel. Eis 1 lijkt me akkoord, omdat de taps gericht zijn op een enkele persoon, geen terugwerkende kracht hebben en goed en effectief zijn te beëindigen. Dit laatste is trouwens in de praktijk een belangrijk organisatorisch en technisch aandachtspunt.
Eis 2 (exclusiviteit) is zowel technisch als organisatorisch van aard. Het adequate van Ghost als interventiemiddel is dat het is gebaseerd op de inzet van een extra cryptografisch sleutelpaar dat exclusief is van de aanvragende dienst. Alternatieven die in het recente verleden ook zijn voorgesteld zoals een software-backdoor of het compromitteren van de standaard-versleuteling van berichtenverkeer voldoen daarentegen niet aan de eis van exclusiviteit.
Al met al voorzie ik de grootste uitdaging niet in de techniek, maar in de jurisdictie van de bevoegdheden van Nederlandse (en collegiale buitenlandse) diensten inzake internationale digitale communicatie-providers, veelal Amerikaans of Russisch en van buiten de EU. Een unieke Nederlandse bevoegdheid klinkt stoer, maar is niet evident laat staan gewenst. Kan de minister niet beter beginnen met het bewerkstelligen van 27 nationale bevoegdheden in bijv. EU-verband?