74e FD Column: Plannen om versleuteling te ondermijnen zijn onveilig en gevaarlijk

Deze column staat in Het Financieele Dagblad van 9 januari 2020. Volg deze link voor mijn eerdere FD columns.

Geschiedenis herhaalt zich, ook in de relatief recente historie van het internet. Sinds de jaren negentig lanceren overheden iedere drie tot vijf jaar een voorstel om de versleuteling van internetcommunicatie te ondermijnen. Steeds is het debat heftig en emotioneel. En iedere keer is de uitkomst toch dat robuuste versleuteling onmisbaar is voor de werking van het internet, en daarmee ook voor onze financiële markten, ziekenhuizen, snelwegen en al het andere dat ons lief is in de digitale wereld.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad.

 

Weliswaar kunnen kwade krachten – van terroristen via drugskartels tot kindermisbruikers – hun communicatie dan ook versleutelen. Desondanks blijken gerichte en slimme opsporingsacties succesvol om criminele netwerken op te rollen, kunnen de onmisbare voordelen van betrouwbare communicatie blijven bestaan en kan onze informatiesamenleving zich doorontwikkelen.

Nieuwe pogingen

Minister van Justitie en Veiligheid Ferdinand Grapperhaus en zijn evenknieën in de Verenigde Staten, het Verenigd Koninkrijk en Australië, maakten zich recent weer eens schuldig aan nieuwe pogingen om technologiebedrijven te verplichten een ‘exclusieve achterdeur’ te bouwen in hun versleutelde producten, zodat alleen ‘de overheid’ kan meeluisteren. Al dertig jaar klimmen experts, het bedrijfsleven en het maatschappelijk middenveld dan weer zuchtend in de pen om de samenleving te herinneren aan ons vorige dansje in deze cryptowars, bijvoorbeeld rondom de versleuteling van de 5G-standaard en de iPhone.

Maar de Amerikaanse minister van justitie William Barr gooide onlangs een nieuwe steen in deze versleutelingsvijver. Barr wil preventief alle internetcommunicatie scannen op ‘schadelijke informatie’. De adjudant van Trump stelt, misschien zonder het zelf te realiseren, in feite volledige surveillance van alle internetcommunicatie voor, zoals dictatoriale regimes dat kennen. Zijn plan moet, los van de juridische onmogelijkheid in de Europese Unie, principieel te vuur en te zwaard worden bestreden.

Met de welbekende ‘exclusieve achterdeurtjes’ hoopt de overheid de mogelijkheid te verwerven achteraf de versleuteling van bijvoorbeeld een specifieke WhatsApp-conversatie te kraken. Klinkt goed, maar achterdeurtjes zijn technisch onmogelijk, economisch rampzalig, maatschappelijk en geopolitiek onwenselijk en juridisch onhaalbaar.

Allereerst behelst dit de introductie van een zwakheid in technologie die iedereen kan ontdekken en exploiteren, dus ook cybercriminelen en staten die onze bedrijven hacken en innovatie wegsluizen. Achterdeurtjes faciliteren dus eigenlijk de misdaad die je met dat achterdeurtje hoopt te kunnen opsporen. Zonder robuuste encryptie is geen auto meer veilig. Daarnaast leiden achterdeurtjes tot onverenigbare spanning met digitale grondrechten en Gordiaanse geopolitieke knopen: wie bepaalt welke overheid welke gevallen mag meekijken? De Veiligheidsraad van de Verenigde Naties, zeker? Wat de ene staat kwalificeert als legitiem protest, heet in China ‘terrorisme’. Ten derde lukt het politiediensten, vooral door verbeterde technische vaardigheden en soepeler internationale samenwerking, vaker om internationale drugs- en kindermisbruiknetwerken op te rollen ondanks gebruik van versleuteling. Dit zagen we onlangs bij het oppakken van Ridouan T. en het oprollen van kindermisbruiknetwerken op WhatsApp en op het Dark Web.

Waar een pleidooi voor achterdeurtjes inmiddels een beetje knullig overkomt, zijn de nieuwe proefballonnen van Barr veel gevaarlijker. Als Barr serieus is, pleit hij ervoor alle internetapparaten uit te rusten met scansoftware, die alle informatie in onze miljarden smartphones, webcams en andere connected systemen scant op schadelijke content, voordat de informatie versleuteld over het internet flitst.

Centrale virusscanner

Net als een exclusieve achterdeur, klinkt ‘een centrale virusscanner voor schadelijke content’ voor de onwetende politicus en kiezer prachtig. Maar de bezwaren zijn monumentaal. Zulke software moet worden beheerd door een centrale instantie en moet op alle internetapparaten overal ter wereld staan. De centrale instantie moet permanent te goeder trouw zijn, en niet veranderen in een overheid die het scansysteem stiekem inzet om te zoeken naar bedrijfsgeheimen, dissidenten of, zeg, Oeigoeren. Misleiden van algoritmes is ook kinderspel. Studenten van het Massachusetts Institute of Technology (MIT) lieten al in 2017 zien dat je plaatjes van katten kunt aanpassen zodat scansoftware ineens in 100% van de gevallen avocadosalade denkt te herkennen, terwijl mensen nog steeds een kat zien.

Juist geavanceerde criminele netwerken en cyberspionnen zullen de magische saus van kunstmatige intelligentie belazeren, terwijl politici vertrouwen op de vermeende toverkracht van de technologie en andere mensen zich permanent bespied voelen. Overigens oordeelde het Hof van Justitie van de EU in de befaamde Scarlet/Sabam-uitspraak in 2011 al dat een centraal monitoringssysteem voor vermeend schadelijke content onverenigbaar is met onze grondrechten. Maar wil de VS nu werkelijk meewerken aan de ondergang van onze vrije informatiesamenleving? Geen retorische vraag in het tijdperk Trump.

De plannen van Grapperhaus en Barr zijn de zoveelste variaties op een thema dat ik de “design wars” noem: de strijd naar zeggenschap over het ontwerp van onze IT-infrastructuur. Het gaat echt ergens over, want het internet is net als geld: zodra de samenleving het vertrouwen verliest, kun je alle internetapparaten net als ongeloofwaardig papiergeld in de prullenbak gooien. Het is te hopen dat de ministers weer knarsetandend inbinden, zodat de geschiedenis van de cryptowars zich blijft herhalen.