[Opinie] De heisa rond het al dan niet ontgrendelen van een iPhone in een terrorismezaak mag dan gaan liggen zijn, de zaak woedt nog steeds voort op ethisch-politiek vlak.
Wat begon als een terroristische aanval, mondde uit in een wereldwijd debat rond de encryptie van smartphones. Enerzijds is dat positief – we ontnamen een bende terroristen hun spreekgestoelte – terwijl het anderzijds de aandacht afleidde van een ernstig probleem: terrorisme. De aanslag op een holebiclub in Orlando bewijst dat de discussie over de encryptie van smartphones in de VS ondergeschikt zou moeten zijn aan een debat over vrije wapendracht.
Toch koos de FBI ervoor om erg zwaar in te zetten op het ontgrendelen van een iPhone. Meerdere rechtszaken werden aangespannen tegen de elektronicagigant, in de hoop Apple te dwingen om een achterdeurtje te voorzien in zijn eigen OS. De redenering is simpel: als de politie vermoedt dat toegang tot een smartphone een onderzoek vooruit kan helpen, dan moeten ze die toegang kunnen krijgen.
Corruptie allerhande
Een simpele redering met verregaande gevolgen. In de wereld van vandaag spelen zaken als ‘racial profiling’ en corruptie een veel te grote rol om een achterpoortje in het privéleven van een al dan niet terechte verdachte zo makkelijk te maken. Rechters in de VS zagen dat gevaar in en stelden de FBI in vele zaken in het ongelijk. De kans is groot dat de FBI ook zijn grootste zaak rond de terroristische iPhone ging verliezen, en koos eieren voor zijn geld. Ze huurden een extern bedrijf in om het toestel te hacken en lieten de zaak verder vallen.
Is er dan geen oplossing?
De zaak lijkt dan wel voorbij te zijn, de discussie rond achterpoortjes en –deuren gaat onverminderd voor in de achterkamers van de politiek. Dat weet ook Erka Koivunen, beveiligingsadviseur en reguleringsexpert bij F-Secure en tot vorig jaar nog hoofd van het Finse Computer Emergency Response Team (CERT). In december werd hij nog opgeroepen als expert ter zake in een debat over een nieuwe massasurveillancewet; hij is dan ook uitermate geschikt om ons te verlichten over de toekomst van alles dat begint met ‘achter-‘.
(On)beperkt
Terwijl de FBI graag gratis onbeperkte inkom verlangt in een OS, zou die bij Koivunens idee bij elk bedrijf apart moeten aankloppen. Die bedrijven kunnen dan een sleutel uitreiken die de inlichtingendienst toegang geeft tot bijvoorbeeld een versleuteld gesprek.
In het voorbeeld van Whatsapp, dat nu standaard end-to-end-encryptie toepast, zou dat zo gaan. Momenteel chat persoon A met persoon B door een bericht te sturen. Dat bericht bevat twee codes/sleutels: eentje die openbaar is, zodat berichten verstuurd en gelezen kunnen worden, terwijl de tweede code privé is en enkel gekend is door het toestel van waaruit een bericht gestuurd wordt. Die publieke sleutel wordt bijgehouden door een server. Stuur je een bericht, dan vraag je aan de server naar die sleutel van je contacpersoon, waarna je kan communiceren.
In het beeld van Koivunen zou die publieke sleutel stilletjes gedupliceerd worden voor een inlichtingendienst, waardoor die kan meekijken van zodra mogelijke crimineel A contact zoekt met mogelijke crimineel B. Op die manier kunnen ze meekijken, zonder dat andere gevoelige informatie wordt vrijgegeven.
Naïef
Volgens Koivunen is dit de enige manier om achterdeurtjes op een veilige manier te gebruiken. “Regeringen zullen steeds druk uitoefenen om toegang te krijgen. Op deze manier krijgen ze hun zin, zonder collateral damage aan te richten,” zegt hij. “Het zou ook erg naïef zijn om hen hun volledige zin te geven: het idee van ‘authorised people’ die volledige toegang krijgen tot het OS van een verdachte is naïef. Vroeg of laat lekt dat uit en heeft iedereen toegang.”
“Per geval wordt dan bekeken of de aanvraag redelijk is. Draagt de informatie bij tot het onderzoek? Is ze wel relevant genoeg? De Finse wetgeving staat toe daar erg specifiek in te zijn,” zegt Koivunen.
Arbitrair
Het is moeilijk om Koivunen tegen te spreken: langs de ene kant heeft hij een goed punt en klinkt zijn redenering perfect logisch en aanvaardbaar. Het probleem is dat er op zovele kritieke punten een beroep gedaan wordt op gezond verstand. Er moet sprake zijn van een redelijke aanvraag, maar wanneer is iets redelijk en wie beslist daarover? En gaat een buitenlandse inlichtingendienst zich daar aan houden? We kijken naar niemand (NSA, kuch).
Het hele systeem is nu nogal arbitrair, maag dat zal het in de toekomst ook zijn. Het zou overigens ook niet de eerste keer zijn dat een overheid zegt dat bedrijven zeggenschap krijgen en eventueel het recht om medewerking te weigeren, om dan later toch dat bedrijf te verplichten, of de gegevens anders gewoon zelf te stelen. Een achterdeur, hoe onschuldig die ook lijkt, zal altijd zorgen voor beveiligingslekken, en die hebben we vandaag al genoeg.