Kraken van encryptie hoort bij taak geheime diensten

Het kraken van de encryptie van versleutelde communicatie via bijvoorbeeld WhatsApp is een taak die bij inlichtingendiensten hoort. Dat vinden privacyorganisaties. Zaterdag zei de Nationaal Coördinator Terrorismebestrijding en Veiligheid dat de Nederlandse diensten daarmee bezig zijn.

Burgerrechtenorganisatie Bits of Freedom meldt dat er niet veel mis is met het feit dat de diensten proberen de encryptie van veelgebruikte communicatiemiddelen te doorbreken. Rejo Zenger van Bits of Freedom zegt tegen Tweakers dat er niet veel over het kraken zelf te zeggen is, omdat niet duidelijk is op welke manier dat gebeurt. "Het kan via het doorbreken van de encryptie, maar bijvoorbeeld ook door een deal met WhatsApp te sluiten of apparaten te hacken en op die manier aan berichten te komen", zegt Zenger.

Gaat het inderdaad om het kraken van het encryptiealgoritme, dan is volgens Bits of Freedom de belangrijkste vraag wat er vervolgens met een kwetsbaarheid in het algoritme gebeurt nadat deze is ontdekt. In het ideale geval meldt de geheime dienst deze kwetsbaarheid meteen bij softwareontwikkelaar. Zonder deze melding lopen de miljoenen WhatsApp-gebruikers risico, bijvoorbeeld omdat het lek ook door een ander gevonden kan worden.

De discussie over het al dan niet melden van lekken speelt ook rond het wetsvoorstel van de zogenaamde hackwet, die de politie onder andere de bevoegdheid geeft om op afstand bij apparaten in te breken. Daarover maakte het kabinet onlangs bekend dat de politie kwetsbaarheden in bepaalde gevallen stil mag houden, onder andere als dit in het belang van het onderzoek is. De EU heeft vooralsnog geen plannen om wetgeving te introduceren over encryptie door communicatiediensten, zo bleek onlangs.

Privacy First vindt het kraken van de encryptie van versleutelde communicatie legitiem, bijvoorbeeld als er levens op het spel staan. Directeur Vincent Böhre zei in een gesprek met De Telegraaf niet verbaasd te zijn dat de diensten daarmee bezig zijn. Wel zou het kraken alleen in individuele gevallen mogen plaatsvinden, zodat dit geen gevolgen heeft voor een grote groep gebruikers. Böhre zegt desgevraagd tegen Tweakers dat het met de huidige stand van de techniek de kant opgaat dat het recht op privacy een absoluut recht wordt, waarop geen uitzonderingen mogelijk zijn.

Wettelijk gezien zijn er echter wel degelijk uitzonderingen op het recht. Dit komt echter niet terug in de techniek. Zo heeft het aanbrengen van een achterdeur in een encryptiealgoritme het gevolg dat alle gebruikers kwetsbaar zijn, omdat er momenteel geen mogelijkheid is om in individuele gevallen toegang te krijgen tot de inhoud van berichten. Böhre zegt dat hij het liefst zou zien dat het recht op privacy inclusief de wettelijke uitzonderingen in de techniek moet worden opgenomen. Doordat dit nu niet mogelijk is, is het niet verwonderlijk dat geheime diensten en de politie gaan hacken. "Dat er via een uitzondering inbreuk op het recht op privacy wordt gemaakt, betekent nog niet dat er een schending plaatsvindt", aldus Böhre. Zo is het bijvoorbeeld mogelijk om het recht op bescherming van de persoonlijke levenssfeer in te perken met een beroep op nationale veiligheid of het voorkomen van strafbare feiten. Een dergelijke wettelijke inbreuk komt dan niet neer op een schending, volgens Böhre.