OPINIE – De technisch gezien onzinnige en onze fundamentele grondrechten bedreigende voorstellen om end-to-end-encryptie (e2ee) te verzwakken of te omzeilen blijven ook binnen de EU maar doorgaan.
Werd eind 2024 in het kader van het bestrijden van Child Sexual Abuse Material (CSAM) een poging om E2EE in de EU te gaan verzwakken nog ternauwernood voorkomen (zie Chatcontrole.nl), nu zoekt de Europese Commissie maximaal twaalf onafhankelijke experts om te adviseren bij haar Expert Group for a Technology Roadmap on Encryption. Het regelmatig als veelkoppig en niet uit te roeien Hydra-monster grondrechten te gaan schenden door wetshandhavers, duikt opnieuw op en gooit het nu weer over die andere en bredere boeg van lawful inspection.
Ze schakelen daar dit keer het EU DG Home Affaires en Migration voor in. Het is tenslotte ook handig voor onderzoek van de telefoons van asielzoekers, zodra je die maar voldoende gecriminaliseerd hebt. Ook het DG voor Communications, Networks, Content and Technology (Connect) is nu betrokken bij de recente activiteiten, die plaatsvinden onder de verzamelnaam ProtectEU. Hierbij is als één van de zes sleuteldoelstellingen ‘more effective tools for law enforcement’ aangewezen. Op 5 juli kwam Bert Hubert met de dringende oproep op LinkedIn en op zijn blogsite aan (de echte) experts om je vooral hiervoor aan te melden!
Crypto wars
In 2016 vroeg Steven Levy zich in het blad Wired af: “Why Are We Fighting the Crypto Wars Again?” Het artikel werd gepubliceerd naar aanleiding van het winnen van de Turing Awards door Diffie en Hellman, de uitvinders van ‘crypto’. Oftewel, digitale versleuteling met een publieke en een private sleutel (gepubliceerd in 1976!) en een controverse rond de weigering van Apple om mee te werken aan het ontsleutelen van data op de iPhone door de FBI van een verdachte van terrorisme. Het Wired-verhaal was op zijn beurt de aanleiding om boven een artikel in 2020 in Computable de volgende kop te plaatsen: ‘Brengt nieuwe Crypto War de EU aan het wankelen?’, waarin ook het ontstaan van het idee om EE2E te verzwakken of te omzeilen onder het mom van public safety vanuit de Five Eyes is beschreven. Het in het Wired-artikel vermelde rapport van cryptografie experts uit 2015, waar ook de al genoemde Diffie samen met andere strijders uit de eerste oorlog nog aan hebben bijgedragen, is nu tien jaar later nog steeds hyperactueel en to the point.
Intussen biedt Apple sinds februari dit jaar de mogelijkheid voor geavanceerde gegevensbescherming niet meer aan in de iCloud aan klanten in het Verenigd Koninkrijk. Daar is namelijk een wet aangenomen die het via een rechterlijk bevel mogelijk maakt om toegang te krijgen tot end-to-end beveiligde informatie. Het Zweedse parlement wordt momenteel vanuit de Global Encryption Coalition met klem opgeroepen om voorgestelde wetgeving deze maand niet goed te gaan keuren, die opslag- en communicatie serviceproviders verplicht om end-to-end versleutelde informatie van hun klanten aan wetshandhavers te verstrekken.
De anonieme, door Patrick Breyer als ‘anti-encryption EU expert group’ betitelde club die de laatste jaren actief is om dit gedachtegoed ook via wet- en regelgeving en internationale standaardisatie organen zoals ETSI en 3GGP tot uitvoer te brengen onder misleidende aanduidingen als ‘security by design’ en ‘client side scanning’ krijgt nu dus enig weerwoord vanuit een publieke expertgroep. Maar de vrijwillige experts die ongebonden en alleen vanuit het publiek belang mee gaan doen, kunnen daarvoor hooguit reiskostenvergoeding krijgen. Het is ook daardoor maar de vraag van welke kaliber en hoe onafhankelijk de deelnemers uiteindelijk zullen zijn en welke invloed ze kunnen uitoefenen.
Fred Hage, innovation orchestrator
De paradox van Europese Commissie die claimt burgerrechten te beschermen maar manieren zoekt om de technologie die deze rechten waarborgt te verzwakken doet me aan 11 september 2001 denken: “Om de veiligheid te beschermen moeten we de vrijheid beperken.” Na schokkende aanslagen beschermde vele Europese rechtsstaten haar burgers niet meer zoals we leerden van klokkenluiders in 2014. De staat begon haar burgers te wantrouwen met een omgekeerde onschuldpresumptie waardoor je verdacht was als je halal eten wilde.
Parallel ligt in het principe van controle op privégedrag omdat vrijheid wordt geproblematiseerd, niet beschermd. Wie cryptisch communiceert zonder encryptie vertrouwt op een interpretatie, wie de communicatie versleuteld vertrouwt op het recht. Het spreken in raadselen is al eeuwen een kunst van expressie want rechten worden omgedraaid tot verplichtingen en technologie wordt ingezet om afwijkingen te signaleren, niet om een pluraliteit te beschermen.
Het zou prettig zijn als ze bij de EC eens een keer de oogkleppen afzetten en zich realiseren dat dit voorstel in directe tegenspraak is van de Cyber Resilience Act (recent ingevoerd) en de Radio Equipment Directive (al langere tijd verplicht). Beiden geven aan dat een sterke beveiliging verplicht is op meerdere niveaus (authenticatie, databeveiliging, netwerkbeveiliging enz). Cryptografie is daarbij onontbeerlijk. ELKE kwetsbaarheid, dat geldt ook voor achterdeurtjes in welke vorm dan ook, wordt vroeg of laat gebruikt of misbruikt. Het geeft niet alleen aan vertrouwde partijen de mogelijkheid om dit te gebruiken, criminelen zullen de instanties op hun knieën bedanken voor het openstellen van zo ongeveer alles wat beveiligd zou moeten worden.
Trouwens, wat is een vertrouwde partij? Politie, AIVD, MIVD? En wie controleert dat, de politiek? Kunnen we die vertrouwen, nu en op langere termijn? En welke landen dan? En blijft dat ook in de (nabije) toekomst zo? We hebben al gezien dat de democratie in diverse landen zomaar door de plee kan worden gespoeld. Nog los van de landen waar de privacy niet bestaat.
Bedenk dan ook nog even dit. Als cryptografie te omzeilen moet zijn kunnen we dus GEEN open source software gebruiken. Immers, een achterdeurtje is dan in de code zichtbaar. Daarmee geef je de sleutel al bij voorbaat aan iedereen die het wil gebruiken/misbruiken. En bedenk dat closed software niet veel beter is, er hoeft maar 1 crimineel even bij de betreffende software maker te werken en het achterdeurtje ligt op straat. Of liever gezegd, op het dark web.
Wat mij furieus maakt is dat veel partijen in de Nederlandse politiek het doen voorkomen dat zij tegen achterdeurtjes en massa-surveillance zijn maar dit stiekem via Europa proberen door te drukken. Zij kunnen dan tegen hun achterban zeggen: “Tja, Europa eist dat wij dit doen. Wij kunnen er niets tegen doen!”
De toegang tot versleutelde berichten moet gestopt worden omdat anders massa-surveillance onvermijdelijk wordt. Hoe hard men ook roept dat dit niet de bedoeling is kan ik je verzekeren dat het hier uiteindelijk op gaat uitlopen. Het is net als een kikker langzaam koken, men zal steeds verder gaan en het steeds meer inzetten. Met A.I. is dit ook mogelijk en men zal het daarom ook willen.
We MOETEN dit gevecht dus winnen.
Hier nog een aanvullend stuk:
https://digitalcourage.social/@echo_pbreyer/114946559233051667
Vrijwel geen enkel land is nog tegen. Veel zijn “onbeslist” wat en Nederland is zogenaamd “neutraal” of tegen, maar ik vermoed dat Nederland stiekem voor de voorstel gaat stemmen als er bepaalde “waarborgen” (die gewoon een wassen neus zijn) worden ingebouwd.