Er zijn op dit moment op Internet al rond de 800 verschillende, al dan niet commerciele encryptieprogramma's in omloop. De toepassingen van deze software zijn zeer breed.
Zo worden wachtwoorden van Internetaccounts veelal gecodeerd bewaard, en worden commerciele transacties op Internet meestal versleuteld door middel van cryptografische technieken. Door een deel van de Internetgebruikers worden programma's als Pretty Good Privacy (PGP) gebruikt om de onbeveiligde E-mail te voorzien van een onkraakbare 'envelop', zodat de inhoud niet door onbevoegden kan worden gelezen.
Er zijn applicaties waarmee de harddisk kan worden beveiligd tegen toegang door onbevoegden. Encryptiesoftware is ook belangrijk om te beschermen tegen 'sniffers': programma's die door hackers worden gebruikt om Internet sessies af te luisteren, en op die manier wachtwoorden te verzamelen.
Een relatief nieuwe toepassing is PGPfone, een programma waarmee gecodeerde telefoongesprekken via Internet kunnen worden gevoerd. De toepassing van encryptie is met name vitaal voor de beveiliging van betalingen bij electronic commerce.
Deze vruchtbare ontwikkelingen op het gebied van cryptografie leiden tot veilige communicatie, veilige commerciele transacties, en beter beveiligde computersystemen. Marktwerking is daarbij erg belangrijk, door marktwerking worden encryptieprogramma's en functies steeds verder verbeterd.
Geheime diensten
Al in 1994 was er een, voor de overheid desastreuze poging om het gebruik van encryptie aan banden te leggen. In alle stilte bereidde Den Haag toen een wetsontwerp voor beperking van het gebruik van encryptie voor. Dit wetsontwerp werd ingetrokken na felle tegenstand vanuit de Internetgemeenschap en het bedrijfsleven.
Maar de wens tot beheersing bleef sluimeren in Den Haag. Cryptografie was dit jaar ook een van de belangrijkste onderwerpen in het jaarverslag 1997 van de BVD. Er is de spionnenorganisatie veel aan gelegen om het gebruik van encryptie te beperken. Het afluisteren van communicatie is voor de spionnen een belangrijk informatiemiddel.
In haar jaarverslag schrijft de BVD; "Het gebruik van cryptografie ter bescherming van de vertrouwelijkheid kan de nationale veiligheid schaden, indien de inlichtingen- en veiligheidsdiensten bij de uitvoering van hun taak geen toegang zouden kunnen krijgen tot versleutelde gegevens."
In de praktijk zou dat neerkomen op een verbod op het bezit en gebruik van ongelicentieerde crypto-produkten, die niet door de overheid kunnen worden afgeluisterd. De BVD streeft naar een balans tussen bescherming van berichtenverkeer met encryptie en rechtshandhaving en nationale veiligheid. Deze balans wordt gezocht bij een sleuteldepot dat is ondergebracht bij een zogenaamde Trusted Third Party (TTP). Deze partij zou sleutels snel ter beschikking moeten stellen indien de bescherming of opsporing dit noodzakelijk maakt.
Hiermee zit de BVD op de lijn die ook Justitie wenst. Het bedrijfsleven is niet bijzonder gelukkig mee, maar ziet een TTP wel als nuttig orgaan. TTP's kunnen verschillende functies toevoegen: verificatie en authenticatiepunt, waar de identiteit van een persoon of bedrijf met zekerheid gekoppeld wordt aan een digitale sleutel. Ook hebben bedrijven daar een back-up van hun coderingen. Notarissen, accountantsbureaus en ook PTT Post werpt zich op als TTP. Het bedrijfsleven ziet vooral deze functie van de TTP positief.
Hoe werkt dit depot? Een voorbeeld: een onafhankelijke organisatie beheert alle huis-, kantoor en autosleutels. Indien de rechter-commissaris toestemming geeft mag de politie die gebruiken om zich toegang te verschaffen tot bezittingen. Sloten waarvan de sleutel niet copieerbaar is, en die niet door de BVD of politie kunnen worden geopend, zouden worden verboden of onderwerpen aan een streng licentieregime.
Het opzetten van een dergelijk regime van sleuteldepots en licenties op encrytieprodukten zou internationaal moeten gebeuren, want informatie op Internet trekt zich niets aan van grenzen. Dat is een enorm ingewikkelde en zeer kostbare klus. Wereldwijd dezelfde standaard encryptie verplicht gebruiken lijkt schier onhaalbaar.
Mocht blijken dat de geaccepteerde crypto-algoritmen onveilig zijn, dan zal het enorm veel moeite en tijd kosten om de klanten te voorzien van veiliger updates.
Een groep gerenommeerde cryptografie-experts concludeerde in een recent rapport:
"Key recovery systems are inherently less secure, more costly, and more difficult to use than similar systems without a recovery feature. The massive deployment of key-recovery-based infrastructures to meet law enforcement's specifications will require significant sacrifices in security and convenience and substantially increased costs to all users of encryption.
Furthermore, building the secure infrastructure of the breathtaking scale and complexity that would be required for such a scheme is beyond the experience and current competency of the field, and may well introduce ultimately unacceptable risks and costs. "
Het beleidstreven van de BVD impliceert ook een verregaande Internationale standaardisering voor crypto toepassingen.
Mochten al die problemen worden opgelost, dan is het nog de vraag of (dan illegaal) alternatief gebruik van encryptie traceerbaar zal zijn. Ik denk van niet. Het is relatief gemakkelijk om gecodeerde informatie te verstoppen in een onschuldig uitziende boodschap. De methode waarmee dat gebeurt heet 'steganografie'. Met steganografie kan bijvoorbeeld een gecodeerde tekst onzichtbaar worden verborgen in een digitale, onschuldig uitziende bestandjes, zoals (vakantie)foto's, die vervolgens door de zender op de homepage wordt gezet. De ontvanger kan vervolgens van die homepage de foto ophalen, en de gecodeerde tekst uit de foto decoderen.
Voor buitenstaanders vind de communicatie volledig onzichtbaar plaats, die zien alleen een homepage met een plaatje, terwijl alleen de ontvanger weet dat in dat plaatje een geheime boodschap is verborgen. gecodeerde informatie kan dus gemakkelijk ontraceerbaar worden verspreid, waardoor het vrijwel onmogelijk is om een verbod op encryptie daadwerkelijk te handhaven.
Criminelen en terroristen zullen uiteraard dit soort wegen bewandelde om hun communicatie onzichtbaar en onvindbaar te maken. Een crimineel zal daarbij een kosten/baten afweging maken; wat is de maximale straf op het gebruik van ongereguleerde crypto, en wat is de maximale straf op het misdrijf dat via die ongereguleerde crypto wordt voorbereid?
Europees Commissaris voor industrie en informatietechnologie martin Bangemann streeft ernaar om het gebruik van encryptie zoveel mogelijk vrij te houden. Althans, dat wordt verwoord in een Reuters persbericht van 8 oktober 1997; "EU Telecommunications Commissioner Martin Bangemann told reporters that strict controls would end up penalising law-abiding users rather than the criminals they targeted."
En vervolgens zei Bangemann; "It's not possible to prevent criminals from using modern technologies in order to protect themselves and their messages from the police. There's not much point in preventing legal users from having access to this."
Het vinden van een veilig encryptie-algoritme lijkt een trivialiteit, maar dat is het niet. Keer op keer is gebleken dat schijnbaar veilige encryptie kraakbaar is. Dat risico wordt groter naarmate het gebruik en ontwikkelvrijheid van encryptie wordt beperkt, en de marktwerking op dit gebied grotendeels wordt geneutraliseerd door strenge regulering en een licentieregime.
Ook bestaat het risico dat er door overheden of softwarefabrikanten vrijwel onzichtbare achterdeuren worden ingebouwd in encryptiesoftware, zodat geheime diensten zonder sleutel ten alle tijden toegang kunnen krijgen tot de ongecodeerde klare tekst De NSA, met 40.000 werknemers de grootste inlichtingendienst in de VS, is belast met het wereldwijd afluisteren van communicatie, en het zonodig decoderen van die informatie. Een van de grote successen van de NSA betrof het Zwitserse bedrijf Crypto AG.
Bij Crypto AG kochten overheden, van Saddam Hussein tot het Vaticaan, apparaten om communicatie te beveiligen. Het bleek dat de NSA en de Duitse inlichtingendienst BND een overeenkomst hadden gesloten met Crypto AG, zodat de crypto-apparaten door deze diensten, in het geheim, werd aangepast. Daardoor was het voor deze inlichtingendiensten mogelijk om communicatie van klanten van Crypto AG af te luisteren.
De NSA is ook in de VS nauw betrokken bij marktontwikkelingen, en dwingt softwareontwikkelaars om cryptoproducten te ontwikkelen met een achterdeur. Softwareproducenten krijgen geen exportvergunning voor hun produkt als niet voldaan wordt aan de voorwaarden van de NSA.
De ontwikkeling van cryptografie lijkt op een wedloop. Er worden telkens sterkere vormen van cryptografie uitgevonden, maar er worden ook steeds meer cryptografische boodschappen gekraakt. Recent nog werd onder regie van de Amerikaanse Electronic Frontier Foundation (EFF) het cryptografisch produkt DES, Data Encryption Standard, ter grootte van 56 bits gekraakt. In haar rapport over de kraak weerlegt EFF talloze uitspraken van overheidsmedewerkers dat DES een veilig codeersysteem is, en dat de overheid dit slechts met veel moeite zou kunnen kraken.
De Amerikaanse overheid heeft gedurende lange tijd geprobeerd om op de markt beschikbare encryptieprodukten te beperken tot DES, zonder te vertellen hoe gemakkelijk dit gekraakt kan worden. Per jaar wordt rond de 125 miljoen dollar aan producten verkocht die zijn gebaseerd op DES, in totaal zijn wereldwijd zo'n 600 tot 700 producten beschikbaar die op DES zijn gebaseerd.
Een van de grootste belanghebbenden bij veilige communicatie en encryptie is het bedrijfsleven. Economische spionage komt regelmatig voor, en multinationals hebben er belang bij om hun geheimen te beschermen met cryptoprodukten die niet gekraakt kunnen worden door concurrenten of buitenlandse inlichtingendiensten. Internationale regulering van cryptografie brengt voor het bedrijfsleven risico's met zich mee.
Sleutels moeten worden ingeleverd, maar wie hebben er allemaal toegang tot die sleutels? Hoe moeilijk is het voor een concurrent om een medewerker bij het sleuteldepot om te kopen, en zich op die manier toegang te verlenen tot de gecodeerde geheime bedrijfsplannen? Hoe kan een bedrijf er zeker van zijn dat een buitenlandse geheime dienst niet via een achterdeur meeleest, en de informatie doorspeelt aan een lokale concurrent?
Regulering van encryptie zorgt bij het bedrijfsleven voor een aanzienlijke hoeveelheid extra overhead. Een internationaal opererend bedrijf komt straks in een situatie terecht waarbij sleutels moeten worden ingeleverd in verschillende landen, tenzij er een internationaal orgaan met bevoegdheden zou komen, wat vooralsnog onhaalbaar lijkt.
Het bedrijfsleven is erbij gebaat dat encryptie vrijgelaten wordt, gedereguleerd dus, in plaats van gereguleerd. Alleen op die manier kan een bedrijf er zelf zorg voor dragen dat de allerbeste en allernieuwste beveiligingstechnieken worden toegepast.
De BVD is ook betrokken bij het Wassenaar-overleg over onder meer het beperken van de export van strategische goederen. Het Wassenaar overleg heeft wereldwijd een belangrijke invloed op exportbeperkingen van cryptoprodukten. Australie zal bij de komende bijeenkomst, in November, van het Wassenaar overleg voorstellen om de export van commerciele cryptografie software te beperken.
Ook export en import van cryptoprodukten via Internet wil Australie via het Wassenaar overleg aan banden leggen. De organisatie Electronic Frontiers Australia (EFA) is onlangs een internationale campagne gestart om te voorkomen dat het Wassenaar overleg gebruikt wordt om strengere exportregelingen voor cryptoprodukten te forceren.
EFA is op zoek naar mensen in de 33 landen die aan Wassenaar deelnemen om actie te voeren tegen verdere export beperkingen. Wereldwijd is er een campagne aan de gang van geheime diensten om cryptografie aan banden te leggen. Met alle gevolgen van dien voor de privacy van de burger, en de mogelijkheden om informatie effectief te beveiligen voor het bedrijfsleven.
Het is van belang dat burgers en het bedrijfsleven actief weerstand bieden tegen de pogingen om cryptografie te beperken en te reguleren. Organisaties die zich direct of indirect bezighouden met het onderwerp dienen een standpunt in te nemen, en zich te bemoeien met het onderwerp. Het is een kwestie van tijd voordat het reguleren van encryptie op de politieke agenda staat. Het is op dat moment van belang dat er een groep mensen is die zichzelf heeft geinformeerd, en bereid is om weerwoord te bieden en te lobbyen tegen het inperken van het vrije gebruik van encryptie.
*) Deze column van Felipe verscheen op vrijdag 21 augustus 1998 bij Planet Multimedia en is geherpubliceeerd op 12 oktober 2015 op Netkwesties