Apple ziet zich genoodzaakt om end-to-end versleuteling van iCloud-back-ups in het VK stop te zetten. Dat doet het bedrijf onder druk van de overheid en als uitweg om geen achterpoort in iCloud te moeten voorzien.
Klanten van Apple in het Verenigd Koninkrijk verliezen toegang tot de Advanced Data Protection-functie in iCloud. Daarmee kunnen gebruikers hun data end-to-end versleutelen in de cloud. Dergelijke encryptie zorgt ervoor dat enkel de eigenaar van de data toegang heeft tot de gegevens en niemand – zelfs niet Apple – in staat is ze te lezen.
Geheim bevel
De overheid van het VK nam daar aanstoot aan. Onder het voorwendsel van veiligheid gaf het land een geheim bevel aan Apple, waarin het bedrijf verplicht werd een achterpoort in te bouwen in de beveiliging. Zoals we eerder al beschreven, berust zo’n vraag op een fundamenteel onbegrip van hoe encryptie werkt, en zou Apple door eraan toe te geven data van al zijn klanten vatbaar maken voor misbruik door hackers en spionnen.
lees ook
VK wil Apple-beveiliging wereldwijd kapotmaken, VS pruttelen tegen
Apple weigert daarom om achterpoortjes in te bouwen in de eigen oplossingen. De enige juridische mogelijkheid voor het bedrijf is daarom om de versleuteling in het VK niet meer aan te bieden. Zo zijn alle gebruikers van Advanced Data Protection in het Verenigd Koninkrijk de dupe van het bevel van hun overheid, maar moet Apple de beveiliging van de oplossing niet compromitteren voor gebruikers elders ter wereld.
Apple is duidelijk
In een reactie zegt Apple het volgende: “Apple kan Advanced Data Protection (ADP) in het Verenigd Koninkrijk niet langer aanbieden aan nieuwe gebruikers en huidige Britse gebruikers zullen deze beveiligingsfunctie uiteindelijk moeten uitschakelen. ADP beschermt iCloud-gegevens met end-to-end versleuteling, wat betekent dat de gegevens alleen kunnen worden ontsleuteld door de gebruiker die er de eigenaar van is, en alleen op zijn vertrouwde apparaten. We zijn erg teleurgesteld dat de bescherming die ADP biedt niet beschikbaar zal zijn voor onze klanten in het Verenigd Koninkrijk, gezien de voortdurende toename van datalekken en andere bedreigingen voor de privacy van klanten.”
Het bedrijf licht verder toe: “ Het verbeteren van de beveiliging van cloud-opslag met end-to-end-encryptie is urgenter dan ooit. Apple blijft zich inzetten om onze gebruikers het hoogste beveiligingsniveau voor hun persoonlijke gegevens te bieden en we hebben goede hoop dat we dit in de toekomst ook in het Verenigd Koninkrijk kunnen doen. Zoals we al vaker hebben gezegd, hebben we nooit een achterdeur of master key ingebouwd in een van onze producten of diensten en dat zullen we ook nooit doen.”
Dubieuze overwinning
Het resultaat van het bevel in het VK is nu dat overheidsdiensten in theorie kunnen meelezen in data van misdadigers in iCloud, ervan uitgaande dat die iCloud blijven gebruiken zonder encryptie. Als zekere bijwerking is alle data van iCloud-klanten die niets hebben mispeutert wel slechter beveiligd tegen misbruik door criminelen.