Opinie: Een encryptieverbod zal terroristen niet stoppen

Deze opinie werd op 27/08/2016 gepubliceerd in Knack Datanews.

wired

(c) Wired


Een encryptieverbod zal terroristen niet stoppen

Het gebruik van encryptie ligt in sommige landen onder vuur. Maar veilige communicatie verbieden in de strijd tegen terreur is een vreselijke vergissing stelt computerwetenschapper Jeroen Baert. “Een achterpoortje zou meteen het geliefkoosd doelwit zijn voor terroristen en rivaliserende overheden.”

Een nieuwe week, een nieuwe aanzet om grote technologiebedrijven te verplichten om encryptie aan banden te leggen, want terroristen. Jazeker, “want terroristen” is een passe-partout geworden om roekeloos nieuwe wetsvoorstellen door de legislatuur in binnen- en buitenland te duwen. Nergens is echter het gebrek aan dossierkennis en de afwezigheid van inzicht in de mogelijke gevolgen schrijnender gebleken dan in het encryptiedebat, dat de voorbije maanden met toenemende intensiteit gevoerd wordt.

Arthur C. Clarke zei ooit dat elke voldoende geavanceerde technologie niet te onderscheiden zou zijn van magie, en dat kan voor velen ook voor encryptie zo lijken. De basis is echter doodsimpel: een encryptieprotocol is een reeks stappen die ons toelaten om veilig te communiceren over een onveilige verbinding. Zelfs als iemand alle verkeer over de verbinding kan bekijken blijft de inhoud van de berichten onleesbaar. Een heel triviale manier om een bericht te versleutelen kent u misschien als geheimschrift uit uw kindertijd: vervang elke letter door de volgende uit het alfabet. Tjnqfm!

De laatste decennia zijn er veel encryptie-protocollen ontwikkeld en in gebruik genomen. De meest gangbare methodes zijn ontwikkeld in een academische setting en dus open source : Iedereen met toegang tot een bibliotheek of het internet kan lezen hoe ze werken en een eigen implementatie maken. Van het (trouwens in België ontwikkelde) algoritme AES is bijvoorbeeld wiskundig bewezen dat het vele miljarden jaren en een onmogelijke hoeveelheid rekenkracht zou vergen om een geëncodeerd bericht te ontcijferen. De precieze wiskundige details – hoewel razend interessant – ga ik u besparen, maar het is erg belangrijk om te beseffen dat de wapenwedloop om encryptie simpelweg (brute-force) te breken altijd hopeloos zal zijn: it’s the maths, stupid.

Theoretische vingeroefening, denkt u? We maken allemaal reeds dagelijks gebruik van encryptie. Wanneer we inloggen op sociale media, online shoppen, banktransacties verrichten, kortom telkens het in ons voordeel is dat niet zomaar iedereen op het wereldwijde web onze paswoorden, transacties en andere gegevens kan bekijken. Recentere smartphones encrypteren hun geheugen om onze data te beschermen in het geval van diefstal. Niemand twijfelt aan het bewezen nut van encryptie in deze context.

De discussie situeert zich echter rond private communicatie. Hierbij is het concept van de encryptiesleutel belangrijk. Dit is de énige wiskundige vergelijking waarmee berichten kunnen ontcijferd worden. Diensten zoals Signal, Telegram en Whatsapp doen aan zogenaamde end-to-end-encryptie: De encryptiesleutels zijn voor elke conversatie én gebruiker uniek en worden nooit via het Internet verstuurd: alles gebeurt lokaal op het apparaat. Dit zorgt ervoor dat een dienst zoals WhatsApp de inhoud van een bericht eenvoudigweg niet kàn overmaken aan de politie: zij kennen de sleutel immers zélf niet. Een waterdichte, veilige én uiteraard legaal gezien slimme manier voor de sociale netwerken om buiten juridisch vaarwater te blijven.

Er gaan nu stemmen op om die messaging-diensten te verplichten om een speciale sleutel te voorzien waarmee men bij juridische uitzondering tóch berichten kan ontcijferen:  Een zogenaamde master key of backdoor. Een loper, indien u een analoog voorbeeld nodig hebt.

Het probleem is niet alleen dat zo’n sleutel technisch onhaalbaar is, maar ook dat deze een enorm gevaar vormt. Zo’n sleutel wordt meteen een geliefkoosd doelwit wordt voor terroristen en rivaliserende overheden. Ook impliceert het dat diensten alle geëncrypteerde berichten moeten bijhouden voor latere inspectie, wat weer nieuwe veiligheidsrisico’s met zich meebrengt. Bovendien zal het terroristen en ander gespuis niet tegenhouden om simpelweg een ander encryptieprotocol te gebruiken dat niét voorzien is van backdoors. Remember: it’s the maths, stupid. Het is kortweg onmogeiljk om én veilige communicatie én backdoors te hebben.

Laat mensen met geheimen (Gangsters! Journalisten! Spionnen! James Bond) maar encryptie gebruiken, denkt u. U heeft toch niets te verbergen? Een ogenschijnlijk logische maar gevaarlijke gedachtengang. Uit uw elektronische communicatie kan elk detail van uw leven afgeleid worden: uw locatie, seksuele en politieke voorkeur, financiële details, de spreekwoordelijke “vuile was” … Onwisbare data die u in de toekomst mogelijk liever wil verbergen. Data die door toenemende privatisering van het overheidsapparaat of lakse beveiliging in verkeerde handen kunnen terechtkomen. Een parallel met WOII lijkt in dit debat erg zwaarwichtig, maar ik raad u van harte het boek IBM and the Holocaust aan.

Overheden zien encryptie liever verdwijnen omdat het het blootleggen van terroristische netwerken zou bemoeilijken. Maar is dat probleem wel degelijk van een grootteorde die ordediensten doen uitschijnen? De bewering dat terroristen massaal overschakelen op geencrypteerde netwerken is moeilijk te staven. Zowel de terroristen in Parijs als Brussel gebruikten gewone telefoons waarin ze via gewone, ongeencrypteerde sms’en hun aanslagen coördineerden. Zijn er misschien eerst andere katten te geselen? In recente onderzoeken viel op hoe de coördinatie over de grenzen en tussen de verschillende ordediensten heen vaak pijnlijk moeizaam verliep, en hoe een schrijnend tekort aan middelen de politie in Brussel verhinderde om verdachten te volgen.

Ongelimiteerde private communicatie is een onwrikbare hoeksteen in een samenleving waarin vrijheid van meningsuiting geldt, en dat niet alleen voor journalisten of klokkenluiders. Dit recht zomaar bij het huisvuil zetten onder het mom van een terreurdreiging zou een vreselijke vergissing zijn.