Hoe het VK het recht op privacy voor iedereen om zeep wil helpen

Denk aan de kinderen

Het Verenigd Koninkrijk wil eigenaars van chatdiensten verplichten om achterpoortjes in te bouwen die encryptie teniet doen. Hoewel het land daartoe drogredenen gebruikt, kan een goedgekeurde wetgeving verstrekkende gevolgen hebben.

Denk aan de kinderen, of Think of the children, heeft een wikipediapagina onder eigen naam. Het cliché omvat een argumentatietechniek die inspeelt op emotie. Door feiten opzij te leggen en de kwetsbaarheid van kinderen naar voren te schuiven, probeert de argumenterende partij een agenda door te drukken. Wie is er immers tegen de bescherming van kinderen? Het argument wordt doorgaans ter kwader trouw gebruikt door partijen die goed weten waar ze mee bezig zijn, en zo een minder goed geïnformeerde massa aan hun kant willen krijgen.

De goede documentatie rond het Think of the children-argument en de frequente bespotting ervan in de Simpsons houdt het VK niet tegen om de zogenaamde Online Safety-wet uit te werken. Die verplicht berichtendiensten om achterpoortjes in te bouwen in de encryptie, zodat de overheid berichten kan meelezen. Noem het alleen geen achterpoortjes, maar ‘mechanismen om te scannen op de seksuele uitbuiting van kinderen’.

End-to-wat?

Wetgevers in het VK strijden al geruime tijd tegen de end-to-end encryptie die diensten zoals WhatsApp en Signal bieden. Spionagediensten waaronder het GCHQ in het VK willen maar al te graag meelezen met wat mensen naar elkaar sturen, maar dat gaat niet zomaar. Bij end-to-end encryptie wordt een bericht versleuteld zodra het jouw telefoon verlaat tot op het moment dat het binnenrolt bij de ontvanger.

Enkel de twee communicerende partijen hebben de decryptiesleutels. Wat op de servers van WhatsApp en Signal staat, is zo onleesbaar voor de berichtendiensten, die met de beste wil ter wereld geen inhoudelijke gegevens kunnen doorspelen aan overheden. Metadata (wie stuurt naar wie, hoe vaak en wanneer) worden niet versleuteld. WhatsApp en Signal gebruiken allebei het opensource Signal-protocol voor de end-to-end encryptie, waardoor we met vrij grote zekerheid weten dat het waterdicht is.

Even lezen voor versleuteling

Lastig voor de spionage- en politiediensten natuurlijk: hoe kunnen ze nu lezen wat stoute criminelen naar elkaar sturen? Dus moeten we aan de kinderen denken. In het VK hebben wetgevers door dat end-to-end encryptie niet gaat verdwijnen, dus stellen ze in de Online Safety­-wet een alternatief voor.

Wat als berichten-apps nog voor de encryptie op je toestel al je communicatie zouden scannen op enkele kernwoorden. Typ je de woorden in je berichten, dan komen die integraal bij de autoriteiten terecht. Heb je geen stoute woorden getypt, dan wordt je bericht wel gewoon versleuteld. Natuurlijk zal de scanner in eerste instantie gekalibreerd worden om exclusief kindermisbruik aan te pakken. Jij staat toch niet aan de kant van de kindermisbruiker?

Jij staat toch niet aan de kant van de kindermisbruiker?

De aanpak is haast te hallucinant voor woorden. Het VK wil een wet stemmen die berichtendiensten verplicht om een AI-scanner in te bouwen die al je berichten leest en vervolgens proactief de overheid contacteert. End-to-end encryptie is waardeloos wanneer externe partijen voor de versleuteling kunnen meelezen. Het VK wil een boete van meer dan 21 miljoen dollar voor bedrijven zoals Meta en Signal die de achterpoort niet inbouwen. Willen die actief blijven in het VK, dan moeten ze wel luisteren.

Maak je (geen) zorgen

Het publiek moet akkoord gaan met het voorstel, omdat het echt enkel gebruikt zal worden om kindermisbruik tegen te gaan. Beloofd. Gelukkig ligt het kabinet van ontslagnemend premier Boris Johnson momenteel plat op de buik en beweegt er niet veel. Mocht deze wet erdoor komen, dan zou de impact desastreus zijn.

Eerst is er het technische probleem. Los van het beoogde doel is een achterpoortje een zwakte. De end-to-end encryptie wordt ermee in zijn blootje gezet. Zelfs wanneer het poortje mooi op slot is, is misbruik niet uit te sluiten. Je chatgeschiedenis is een zero day-lek verwijderd van beschikbaarheid op het dark web. Beveiliging op basis van vertrouwen is niet veilig, precies daarom is (in theorie) mathematisch onbreekbare end-to-end encryptie zo belangrijk.

lees ook

WhatsApp werkt aan meer privacy met Laatst Gezien en Online

Krijgt het VK zijn wil, dan komt de functionele achterpoort in alle chatapps terecht en dus ook de kwetsbaarheid. Bovendien verlaagt de barrière voor andere overheden om in de voetsporen van het VK te treden.

Function creep

Dat brengt ons naar een praktisch probleem: Function creep. Dat is de benaming voor het fenomeen waarbij informatie wordt gebruikt voor een ander doel dan wat oorspronkelijk beoogd was. Het VK krijgt met de achterpoort toegang tot chats en kan alarmbellen doen afgaan bij kernwoorden over kindermisbruik, maar waarom ook niet bij terrorisme? Die case is snel gemaakt wanneer de functie er al in zit, en wie is er nu pro terrorisme?

Helaas is het vandaag eenvoudiger dan ooit om het probleem te schetsen. Niemand is pro kindermisbruik, en niemand is voor terrorisme. Maar wat met abortus? Met het bestaan van het achterpoortje is het heel realistisch dat staten in de VS het mechanisme gebruiken om chatberichten over andere misdrijven te lezen. In Texas is het verboden om iemand te helpen met abortus, dus loop je in theorie gevaar wanneer je een naaste daarover raad geeft via WhatsApp. Vandaag kan dat perfect veilig. Krijgt het VK zijn wil, dan slaan we een pad in waarin die veiligheid in het gedrang komt.

Geen ver-van-ons-bed-show

Dat is de kern van het probleem. Geen enkel recht is per definitie permanent verworven en achterpoortjes verdwijnen niet. Function creep garandeert dat ze vroeg of laat enkel groter worden. De enige garantie op privacy is goede encryptie. Dat betekent niet dat we de kant van de pedofielen of de terroristen kiezen, wel de kant van het gezonde verstand en het technische begrip.

De enige garantie op privacy is goede encryptie.

Het is belangrijk om in het oog te houden wat er in het VK gebeurt, zodat we collectief voorkomen dat onze berichtentoepassingen achterpoorten krijgen. Online veiligheid betekent online privacy. Een toekomst waarin apps de nodige mechanismen bevatten om derden vooraf te laten meelezen, doet meer kwaad dan goed. De bedrijfswereld heeft daarin een belangrijke rol te spelen.

Organisaties die vertrouwen op end-to-end encryptie of apps bouwen die de techniek gebruikt, moeten proactief blijven duiden waarom die encryptie voor iedereen belangrijk is. Anders bestaat het risico dat het discours gekaapt wordt en een essentiële technologie plots verkeerdelijk wordt afgeschilderd als een tool voor kindermisbruikers. Laten we de kinderen inderdaad niet vergeten, en hun recht op privacy ook in de toekomst garanderen.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.