Een ‘gereedschapskist’ om beveiligde berichten open te breken en extra hackers bij Europol: de Europese Commissie opent de aanval op versleutelde communicatie.
Vraag rechercheurs wat vandaag hun grootste frustratie is en de kans is groot dat ze beginnen over de berichten van criminelen. Die kan de politie wel nog aftappen, maar vaak niet meer lezen. Whatsapp, Facebook Messenger, Telegram en andere chatapps worden ook door pakweg drugs en wapendealers of terroristen gebruikt. Om de versleuteling van de berichten die daarlangs passeren te doorbreken, is een digitale sleutel nodig die alleen zender en ontvanger in hun bezit hebben.
Federaal procureur Frédéric Van Leeuw, wiens team de terreuronderzoeken in ons land voert, heeft al meermaals aangehaald dat encryptie hen een doorn in het oog is. Het is een gevoel dat beleidsmakers, zoals minister van Justitie Koen Geens (CD&V), niet is ontgaan. De kwestie wordt Europees aangepakt omdat ze zich overal stelt.
Twee weken geleden heeft de Europees commissaris voor de Veiligheidsunie, de Brit Julian King, duidelijk gemaakt hoe de Commissie die encryptie wil doorbreken.
Opvallend is dat er geen sprake is van achterpoorten voor veiligheidsdiensten. Zo’n achterpoort is een ‘gat’ in de programmeercode van bijvoorbeeld Whatsapp, waarvan in theorie alleen de politie op de hoogte is en dat hen toelaat de versleutelde berichten toch te lezen. Maar dat brengt ook het risico mee dat anderen die achter poort ontdekken en er misbruik van maken. De Commissie beseft dat het geen zin heeft om de technologiesector te vragen zulke poorten in te bouwen of de complexiteit van hun versleuteling te verlagen. Maatregelen die gevolgen hebben voor de beveiliging van ieders communicatie, liggen niet op tafel.
Wat komt er dan wel? Een van de meest concrete zaken is de versterking van het European Cybercrime Centre bij Europol. Zij krijgen er in totaal 86 veiligheidsexperts bij. Hun taak zal zich toespitsen op de verdere ontwikkeling van manieren om laptops, smartphones, tablets of berichten te ontsleutelen. Ook een ‘gereedschapskist’ met onderzoekstechnieken die de lidstaten zullen delen, staat op het programma.
In zo’n gereedschapskist komt onder meer een verzameling van bugs in besturingssystemen, software, enzovoort. Nu al houden veiligheidsdiensten die bij – zeker de Amerikaanse NSA doet dat – maar in Europa zou die kennis meer gedeeld moeten worden, vindt de Commissie.
Het Nederlandse Europarlementslid Marietje Schaake (D66) had al snel vragen bij de benadering van de Commissie. ‘Ze wil van twee walletjes eten: manieren vinden om encryptie te doorbreken, zonder die te verzwakken’, tweette ze.
‘Het is duidelijk dat de Commissie water en vuur heeft proberen te verzoenen’, zegt de gerenommeerde Leuvense cryptograaf Bart Preneel. ‘Encryptie is essentieel om onze digitale maatschappij te beschermen. Dat lijkt de Commissie ook te beseffen. Maar de duivel zit in de details. Wat komt allemaal terecht in die verzameling onderzoekstechnieken? Wat als Europese veiligheidsdiensten een belangrijke bug ontdekken? Dat creëert een dilemma. Ze kunnen die zwakheid voor zichzelf houden om criminelen te kunnen volgen, of publiek maken zodat ieders digitale veiligheid erop vooruitgaat. Wie zal die beslissing nemen? En wie controleert de instanties die daarover beslissen?’ Ook voor de ontwikkeling en verspreiding van malware door overheden waarschuwt Preneel. ‘Die kan altijd in handen vallen van mensen met slechte bedoelingen. Uiteindelijk is de vraag of die focus op het doorbreken van versleuteling wel zo belangrijk is. Wanneer iedereen constant zijn smartphone bij zich heeft, kan er heel veel informatie worden gehaald uit metadata: welke plekken bezoeken we, met wie staan we in contact, enzovoort. Overheden kunnen vandaag veel meer info over burgers verzamelen dan ooit tevoren.’