#MeAndMyRights: Encryptie - waarom het nodig is en waarom het niet genoeg is

Encryptie is een erg oude techniek. Het verwijst naar het proces waarmee we verbergen wat we bedoelen door code te gebruiken. We leggen in dit stuk uit hoe het onze privacy en ons geld beschermt en hoe autoriteiten hacken om het te omzeilen.

Misschien herinner je je nog hoe er ruzie ontstond tussen sommige technologiebedrijven en veiligheidsdiensten over encryptie - met name tussen Apple en de FBI na de schietpartijen in San Bernardino in de VS. Encryptie is een erg oude techniek. Het verwijst naar het proces waarmee we verbergen wat we bedoelen door code te gebruiken. Een heel eenvoudige code is bijvoorbeeld om de letters van het alfabet in cijfers uit te drukken, zodat 1-2-3 ABC is. Als ik weet dat je deze code hebt gebruikt om je berichten te versleutelen, dan zal ik weten dat je gewoon even naar de WC gaat als je me een stuk papier geeft met "9 12-12 2-5 2-1-3-11" erop (of je bent de Terminator).

Hoe encryptie werkt

Encryptie op het internet kan op verschillende manieren werken, maar de meest veilige soort encryptie, en het type dat de autoriteiten het vervelendst vinden, wordt end-to-end-encryptie genoemd. Dit is hoe het werkt. Je schrijft een e-mail naar een vriend. Je computer versleutelt de e-mail voordat deze wordt verzonden. Vervolgens gaat de e-mail via het internet naar je vriend in gecodeerde vorm. Dus iedereen die de e-mail onderschept, kan niet lezen wat erin staat. Wanneer het de computer van je vriend bereikt, decodeert zijn/haar computer het bericht. Dit type encryptie is het veiligst omdat de codes die nodig zijn om de berichten te coderen en te decoderen alleen bestaan op de telefoons of computers van de twee personen die met elkaar communiceren. Noch het bedrijf dat je internetdiensten levert, noch het bedrijf dat het e-mailprogramma heeft gemaakt, kennen de code. Dat betekent dat de beveiligingsdiensten de code ook niet kunnen achterhalen.

Je weet het misschien niet, maar je gebruikt waarschijnlijk regelmatig encryptie. Telkens wanneer je bankdiensten gebruikt of via internet winkelt of je belasting online invult, wordt encryptie gebruikt om te voorkomen dat andere personen de informatie (of gegevens) die je verzendt kunnen onderscheppen en lezen. Hiermee blijven je geld en je persoonlijke gegevens veilig.

Sinds Edward Snowden in 2013 geheime documenten heeft vrijgegeven, is er veel nieuws over hoe de veiligheidsdiensten van de VS, het VK en verschillende andere Europese landen massaal toezicht hebben gehouden op hun eigen bevolking. Het werd duidelijk dat technologiebedrijven (zoals Microsoft, Google, Facebook en Apple) regeringen hebben geholpen hun burgers te bespioneren. Soms overhandigden technologiebedrijven informatie die ze van internetgebruikers hadden verzameld aan de autoriteiten. Soms stonden technologiebedrijven zelfs de autoriteiten toe om informatie te verzamelen door rechtstreeks toegang te verschaffen tot hun telefoonkabels en databanken. Nadat Snowden dit alles had gelekt, werden technologiebedrijven bang dat hun klanten het vertrouwen in hen zouden verliezen. Daarom introduceerden sommige van hen, waaronder Apple, encryptie in hun diensten.

Veiligheidsdiensten zijn over het algemeen tegen encryptie, omdat ze zeggen dat het hen hindert in hun toezicht op terroristische verdachten. Sommige landen overwegen encryptie strafbaar te stellen. Sommige landen willen technologiebedrijven dwingen om encryptiecodes over te dragen aan hun veiligheidsdiensten, waardoor de autoriteiten de communicatie zouden kunnen decoderen wanneer ze maar willen. Deze laatste optie wordt een 'back door' ofwel achterdeur genoemd.

Encryptie strafbaar stellen zou onschuldige mensen schaden

Encryptie illegaal maken of achterdeuren maken voor veiligheidsdiensten, zou het leven van terroristen niet moeilijker maken. Als terroristen encryptie zouden willen gebruiken, zouden ze hun eigen encryptieprogramma's maken of encryptieprogramma's gebruiken die zijn gemaakt in landen waar het niet illegaal is. Of terroristen kunnen gewoon andere manieren vinden om massa surveillance te ontwijken, zoals bijvoorbeeld door het gebruik van codewoorden, vaak veranderende mobiele telefoonnummers of prepaid simkaarten. Sommige veiligheidsdiensten zeiden bijvoorbeeld dat de Franse autoriteiten niet sneller konden ingrijpen bij de aanslagen in Parijs in 2015 omdat de aanvallers encryptie gebruikten om hun communicatie te verbergen. Maar feitelijk lijkt het erop dat de terroristen communiceerden via ouderwetse niet-gecodeerde sms-berichten.

Door encryptie stafbaar te stellen of achterdeuren te maken, wordt het voor veiligheidsdiensten niet eenvoudiger om terroristen te vangen, maar het zou wel veel problemen creëren voor onschuldige mensen. Als encryptie illegaal zou worden, zouden we internet niet langer kunnen gebruiken voor zaken als winkelen en bankieren. Dat zou slecht zijn voor de economie en veel overlast veroorzaken. Encryptie wordt ook gebruikt door veel mensen die in gevaarlijke situaties werken, zoals journalisten die corruptie onderzoeken en democratie-activisten die in dictaturen werken. Encryptie helpt hen veilig te houden doordat hun activiteiten en contacten worden afgeschermd van spionerende regeringen. Als encryptie legaal blijft, maar bedrijven gedwongen worden om codes aan autoriteiten te geven, dan zullen buitenlandse overheden en criminele hackers waarschijnlijk een manier vinden om deze codes te krijgen of een andere weg te vinden naar de achterdeuren die door technologiebedrijven werden gecreëerd. In feite zou encryptie tamelijk nutteloos worden.

Encryptie beschermt ons niet tegen hacken door de overheid

Encryptie is niet alleen van essentieel belang om ons dagelijks leven te beschermen, het maakt het werk voor veiligheidsdiensten niet eens echt moeilijk. Ten eerste dekt encryptie de metadata niet af, zodat autoriteiten nog steeds dingen kunnen zien als de nummers die mensen bellen, welke websites ze bezoeken en wat de onderwerpen zijn van de e-mails die ze versturen. Het enige wat versleuteld is, is de inhoud van het bericht.

Ten tweede kunnen veiligheidsdiensten de technologie in handen krijgen door direct in de telefoons of computers van de persoon die ze onderzoeken - of mensen die dichtbij hen staan - te hacken om te lezen welke berichten ze hebben verzonden en ontvangen. Dit gebeurde bijvoorbeeld uiteindelijk met de telefoon waartoe de FBI toegang wilde krijgen tijdens het San Bernardino-onderzoek. We zullen hier niet te gedetailleerd op in gaan, maar meer en meer regeringen, bijvoorbeeld in België en Nederland, hebben hun veiligheidsdiensten al de mogelijkheid gegeven om elk apparaat dat op internet is aangesloten te hacken. Overweeg even dat tegenwoordig niet alleen je telefoon en computer verbinding maken met het internet: we zien auto's, tv's, muzieksystemen, elektriciteitsmeters en huishoudelijke apparaten die ook aangesloten worden op het internet. Dus zelfs je broodrooster kan je bespioneren. Dat is slecht nieuws, want het betekent dat overheden meer hackersoftware zullen kopen, waarvan sommige onvermijdelijk worden gestolen en door criminelen worden gebruikt. Weet je nog toen de 'WannaCry'-ransomware ziekenhuizen in het VK trof? Je kunt de National Security Agency van de VS daarvoor bedanken.

Als je meer diepgaande informatie wilt of eens wilt kijken naar de bewijsstukken waarnaar we verwijzen, kun je hier ons volledige rapport 'Veiligheid door Mensenrechten' (Security through Human Rights) bekijken.