🔒 Encryptie onder Europese aanval (Digital Markets Act en clientside scanning)

Encryptie is een enorme doorn in het oog van veel overheden. De onderliggende reden hiervoor is simpel: encryptie zorgt voor privacy. Het kan je digitale informatie-uitwisseling beveiligen, zodat deze niet zichtbaar is voor nieuwsgierige buitenstaanders. Om privacy te kunnen waarborgen is het dus essentieel om goede encryptie standaarden te blijven ontwikkelen. Dit is een kat-en-muis-spel wat al heel lang gaande is. Enerzijds worden er steeds weer nieuwe encryptie-mogelijkheden ontwikkeld. Anderzijds proberen overheden d.m.v. wet- en regelgeving om deze encryptie te verzwakken, of zelfs volledig op te heffen. 

Tijdens de EU top in Bratislava in 2016 werd er over encryptie en opsporing gesproken. Hier konden landen via formulieren aangeven of er nieuwe wetgeving gewenst zou zijn op Europees niveau. Één van de belangrijkste onderdelen van deze wetgeving zou het gemakkelijk kunnen opvragen van bestanden zijn die in de cloud zijn opgeslagen. De Poolse regering achtte het ook noodzakelijk dat software- en hardwarefabrikanten zogeheten backdoors aan hun producten toevoegen, of alleen relatief zwakke cryptografische standaarden gebruiken. 

Met andere woorden: je mag je huis wel goed beveiligen, maar ook weer niet te goed. Als je het dan wel goed beveiligd, zorg dan even dat je een sleutel onder de deurmat bij de achterdeur neerlegt. Dan kunnen we altijd binnen komen wanneer wij dat noodzakelijk achten. 

Eind 2019 pleitte Ferd Grapperhaus nog voor Europese wet- en regelgeving die een achterdeur in de encryptie van versleutelde software en diensten verplicht stelt. Hij pleit hiervoor zodat het voor EU-lidstaten gemakkelijker wordt om harder op te treden tegen online kindermisbruik. Dit kan doordat grotere techbedrijven op deze manier gedwongen kunnen worden om data af te staan wanneer de politie daar om vraagt. Dit soort wet- en regelgeving zorgt dus voor een data-versmelting van de publieke en de private sector.

In november 2020 kwam de achterdeur-discussie wederom bovendrijven. De raad van de Europese Unie wilde toen dat techbedrijven voor een achterdeur zouden gaan zorgen in de encryptie van communicatie-diensten die end-to-end encryptie gebruiken. Dit gaat dus om diensten die door de massa gebruikt worden, zoals bijvoorbeeld Whatsapp.

De Digital Markets Act

Twee maanden geleden, op 24 maart, heeft de EU kenbaar gemaakt dat er een overeenkomst met de lidstaten bereikt is betreffende het kunnen targeten van Big Tech bedrijven. Deze wet staat bekend als de Digital Markets Act (DMA). Kleinere berichtendiensten als Signal worden hier (voor nu) niet door geraakt, omdat de userbase van deze diensten niet groot genoeg is voor de wetgeving. Volgens de wet moet de dienst namelijk een markt kapitalisatie van 75 biljoen en een gebruikersaantal van over de 45 miljoen mensen hebben. Volgens de wet ook wel “Gatekeepers” genoemd.

Een ander idee achter de wet is om deze “Gatekeepers” volledig met kleinere messaging diensten te laten integreren. Het moet zo bijvoorbeeld mogelijk worden om via Whatsapp een bericht naar iemand te kunnen sturen naar iemand met Apple iMessage. Dit klinkt natuurlijk leuk, maar dit kan enorme problemen opleveren voor diensten die end-to-end encryptie beloven. Volgens privacy experts en cryptografen is het bijna onmogelijk om de volledige encryptie tussen verschillende messaging diensten te kunnen behouden wanneer je ze “met elkaar laat praten”. 

Elke applicatie moet namelijk verschillende keuzes maken op het gebied van encryptie, omdat elke applicatie aan andere gebruikers-wensen en voorwaarden moet voldoen. Cryptografische standaarden moeten zeer nauwkeurig geïmplementeerd worden om goed te kunnen functioneren. Het fuseren van verschillende vormen van encryptie die geënt zijn op verschillende functionaliteiten is om die reden haast onmogelijk. Er zullen dan consessies gedaan moeten worden betreffende de functionaliteit. Dit betekend een versimpeling, waardoor de functionaliteiten die een applicatie juist uniek maakt, zullen moeten verdwijnen. Als de ene applicatie bijvoorbeeld groepsgesprek encryptie ondersteund en de andere niet, betekend dat dat de encryptie komt te vervallen. 

Volgens de DMA act wordt er echter nog een ander voorstel gedaan, welke minstens zo onwenselijk is.  Waarbij de de berichten tussen twee verschillende platformen eerst decrypted worden na het verzenden van applicatie A en daarna opnieuw encrypted worden bij ontvangst bij applicatie B. Met andere woorden: je verbreekt de end-to-end encryption. Hierdoor creëer je een enorme zwak punt in de encryptie, waardoor je mogelijk kwaadwillenden in de kaart speelt.

Daarnaast verleg je de verantwoordelijkheid van de veiligheid van de diensten. Op dit moment zijn messaging diensten zelf verantwoordelijk voor de veiligheid van hun eigen systeem. Op het moment dat je deze connectiviteit gaat inbouwen, is het wachten op exploits (zwakheden) bij dienst A die problemen veroorzaakt bij dienst B. Stel nou dat het door een exploit in Telegram mogelijk wordt om ineens bestanden van 5TB te kunnen versturen. Door de koppeling kan Signal deze in ontvangst nemen, terwijl ze hier zelf prima tegen beveiligd zijn. Het netwerk van Signal raakt overbelast door een exploit in Telegram.

Clientside server scanning op jacht naar kinderporno

Een ander angstaanjagend document welke begin mei door de EU naar buiten gebracht is, omschrijft hoe client-side server scanning ingezet moet gaan worden om gemakkelijker kinderporno te kunnen onderscheppen en de verspreiders op te kunnen pakken. Uiteraard is de verspreiding van kinderporno voor ieder weldenkend mens een probleem. Echter, moet om die reden een enorme stap richting een surveillance staat gemaakt worden? 

Met deze wet- en regelgeving moeten de tech bedrijven er namelijk voor zorgen dat alle berichten aan hun zijde inzichtelijk zijn, zodat overheden deze altijd op kunnen vragen. Volgens verschillende privacy-experts kan dit mogelijk tot een enorm surveillance-regime in de Europese unie leiden. Zo stelt Hoogleraar cryptografie Matthew Green: “dit is het meest angstaanjagende dat ik ooit heb gezien”. Ook Jan Penfrat van de belangengroep European Digital Rights is bezorgd: ““Dit ziet eruit als een schandelijke algemene surveillancewet, die totaal ongeschikt is voor een vrije democratie”.

Volgens Eurocommissaris Ylva Johansson is het plan echter juist baanbrekend en kan dit de Europese Unie een wereldleider maken in de strijd tegen seksueel misbruik van kinderen online.

Wat te doen? 

De trend is duidelijk: er wordt vanuit de Europese Unie een aanval ingezet op encryptie. Deze plannen zijn misschien wel de meest dystopische plannen die we in onze moderne tijd voorbij hebben zien komen. In een volgende blog zullen we toelichten hoe je het beste met deze situatie om kunt gaan. Een van de beste dingen die je op dit moment kunt doen, is het bewustzijn vergroten. Als mensen niet begrijpen dat er een probleem is, kunnen ze er ook niks aan doen. Deel dit artikel dus met vrienden, familie, of iedereen die er mogelijk in geïnteresseerd is.

P.s. vanaf 25 mei is de Pro Privacy Phone weer te koop! Heb je deze nog niet kunnen bemachtigen, dan is dit je kans. Je kunt de Pro Privacy Phone bekijken door op onderstaande knop te klikken.