Felipe Rodriquez on Fri, 21 Aug 1998 19:05:08 +0200 (MET DST)


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

nettime-nl: column PI Multimedia: Verbod op encryptie is zinloos


Zie ook Planet Multimedia
http://www.planet.nl/computer/multim/21-8-98/mm21-8-98e.html

21 augustus 1998

Verbod op cryptografie is zinloos

Cryptografie is een methode om informatie te beschermen, door haar te
versleutelen. Het is een taai onderwerp, en er zijn met name in Nederland
weinig mensen die zich erin verdiepen. Toch is cryptografie op Internet
alledaags en van groot belang, een ieder die gebruik maakt van Internet,
gebruikt cryptografie. 

Er zijn op dit moment op Internet al rond de 800 verschillende, al dan niet
commerciele encryptieprogramma's in omloop. De toepassingen van deze
software zijn zeer breed. 

Zo worden wachtwoorden van Internetaccounts veelal gecodeerd bewaard, en
worden commerciele transacties op Internet meestal versleuteld door middel
van cryptografische technieken. Door een deel van de Internetgebruikers
worden programma's als Pretty Good Privacy (PGP) gebruikt om de
onbeveiligde E-mail te voorzien van een onkraakbare 'envelop', zodat de
inhoud niet door onbevoegden kan worden gelezen. 

Er zijn applicaties waarmee de harddisk kan worden beveiligd tegen toegang
door onbevoegden. Encryptiesoftware is ook belangrijk om te beschermen
tegen 'sniffers': programma's die door hackers worden gebruikt om Internet
sessies af te luisteren, en op die manier wachtwoorden te verzamelen. 

Een relatief nieuwe toepassing is PGPfone, een programma waarmee gecodeerde
telefoongesprekken via Internet kunnen worden gevoerd. De toepassing van
encryptie is met name vitaal voor de beveiliging van betalingen bij
electronic commerce. 

Deze vruchtbare ontwikkelingen op het gebied van cryptografie leiden tot
veilige communicatie, veilige commerciele transacties, en beter beveiligde
computersystemen. Marktwerking is daarbij erg belangrijk, door marktwerking
worden encryptieprogramma's en functies steeds verder verbeterd. 

Geheime diensten 

Al in 1994 was er een, voor de overheid desastreuze poging om het gebruik
van encryptie aan banden te leggen. In alle stilte bereidde Den Haag toen
een wetsontwerp voor beperking van het gebruik van encryptie voor. Dit
wetsontwerp werd ingetrokken na felle tegenstand vanuit de
Internetgemeenschap en het bedrijfsleven. 

Maar de wens tot beheersing bleef sluimeren in Den Haag. Cryptografie was
dit jaar ook een van de belangrijkste onderwerpen in het jaarverslag 1997
van de BVD. Er is de spionnenorganisatie veel aan gelegen om het gebruik
van encryptie te beperken. Het afluisteren van communicatie is voor de
spionnen een belangrijk informatiemiddel. 

In haar jaarverslag schrijft de BVD; "Het gebruik van cryptografie ter
bescherming van de vertrouwelijkheid kan de nationale veiligheid schaden,
indien de inlichtingen- en veiligheidsdiensten bij de uitvoering van hun
taak geen toegang zouden kunnen krijgen tot versleutelde gegevens." 

In de praktijk zou dat neerkomen op een verbod op het bezit en gebruik van
ongelicentieerde crypto-produkten, die niet door de overheid kunnen worden
afgeluisterd. De BVD streeft naar een balans tussen bescherming van
berichtenverkeer met encryptie en rechtshandhaving en nationale veiligheid.
Deze balans wordt gezocht bij een sleuteldepot dat is ondergebracht bij een
zogenaamde Trusted Third Party (TTP). Deze partij zou sleutels snel ter
beschikking moeten stellen indien de bescherming of opsporing dit
noodzakelijk maakt. 

Hiermee zit de BVD op de lijn die ook Justitie wenst. Het bedrijfsleven is
niet bijzonder gelukkig mee, maar ziet een TTP wel als nuttig orgaan. TTP's
kunnen verschillende functies toevoegen: verificatie en authenticatiepunt,
waar de identiteit van een persoon of bedrijf met zekerheid gekoppeld wordt
aan een digitale sleutel. Ook hebben bedrijven daar een back-up van hun
coderingen. Notarissen, accountantsbureaus en ook PTT Post werpt zich op
als TTP. Het bedrijfsleven ziet vooral deze functie van de TTP positief. 

Hoe werkt dit depot? Een voorbeeld: een onafhankelijke organisatie beheert
alle huis-, kantoor en autosleutels. Indien de rechter-commissaris
toestemming geeft mag de politie die gebruiken om zich toegang te
verschaffen tot bezittingen. Sloten waarvan de sleutel niet copieerbaar is,
en die niet door de BVD of politie kunnen worden geopend, zouden worden
verboden of onderwerpen aan een streng licentieregime. 

Het opzetten van een dergelijk regime van sleuteldepots en licenties op
encrytieprodukten zou internationaal moeten gebeuren, want informatie op
Internet trekt zich niets aan van grenzen. Dat is een enorm ingewikkelde en
zeer kostbare klus. Wereldwijd dezelfde standaard encryptie verplicht
gebruiken lijkt schier onhaalbaar. 

Mocht blijken dat de geaccepteerde crypto-algoritmen onveilig zijn, dan zal
het enorm veel moeite en tijd kosten om de klanten te voorzien van veiliger
updates. 

Een groep gerenommeerde cryptografie-experts concludeerde in een recent
rapport: 

"Key recovery systems are inherently less secure, more costly, and more
difficult to use than similar systems without a recovery feature. The
massive deployment of key-recovery-based infrastructures to meet law
enforcement's specifications will require significant sacrifices in
security and convenience and substantially increased costs to all users of
encryption. 

Furthermore, building the secure infrastructure of the breathtaking scale
and complexity that would be required for such a scheme is beyond the
experience and current competency of the field, and may well introduce
ultimately unacceptable risks and costs. " 

Het beleidstreven van de BVD impliceert ook een verregaande Internationale
standaardisering voor crypto toepassingen. 

Onvindbaar verstoppen 

Mochten al die problemen worden opgelost, dan is het nog de vraag of (dan
illegaal) alternatief gebruik van encryptie traceerbaar zal zijn. Ik denk
van niet. Het is relatief gemakkelijk om gecodeerde informatie te
verstoppen in een onschuldig uitziende boodschap. De methode waarmee dat
gebeurt heet 'steganografie'. Met steganografie kan bijvoorbeeld een
gecodeerde tekst onzichtbaar worden verborgen in een digitale, onschuldig
uitziende bestandjes, zoals (vakantie)foto's, die vervolgens door de zender
op de homepage wordt gezet. De ontvanger kan vervolgens van die homepage de
foto ophalen, en de gecodeerde tekst uit de foto decoderen. 

Voor buitenstaanders vind de communicatie volledig onzichtbaar plaats, die
zien alleen een homepage met een plaatje, terwijl alleen de ontvanger weet
dat in dat plaatje een geheime boodschap is verborgen. gecodeerde
informatie kan dus gemakkelijk ontraceerbaar worden verspreid, waardoor het
vrijwel onmogelijk is om een verbod op encryptie daadwerkelijk te
handhaven. 

Criminelen en terroristen zullen uiteraard dit soort wegen bewandelde om
hun communicatie onzichtbaar en onvindbaar te maken. Een crimineel zal
daarbij een kosten/baten afweging maken; wat is de maximale straf op het
gebruik van ongereguleerde crypto, en wat is de maximale straf op het
misdrijf dat via die ongereguleerde crypto wordt voorbereid? 

Europees Commissaris voor industrie en informatietechnologie martin
Bangemann streeft ernaar om het gebruik van encryptie zoveel mogelijk vrij
te houden. Althans, dat wordt verwoord in een Reuters persbericht van 8
oktober 1997; "EU Telecommunications Commissioner Martin Bangemann told
reporters that strict controls would end up penalising law-abiding users
rather than the criminals they targeted." 

En vervolgens zei Bangemann; "It's not possible to prevent criminals from
using modern technologies in order to protect themselves and their messages
from the police. There's not much point in preventing legal users from
having access to this." 

Het vinden van een veilig encryptie-algoritme lijkt een trivialiteit, maar
dat is het niet. Keer op keer is gebleken dat schijnbaar veilige encryptie
kraakbaar is. Dat risico wordt groter naarmate het gebruik en
ontwikkelvrijheid van encryptie wordt beperkt, en de marktwerking op dit
gebied grotendeels wordt geneutraliseerd door strenge regulering en een
licentieregime. 

Ook bestaat het risico dat er door overheden of softwarefabrikanten vrijwel
onzichtbare achterdeuren worden ingebouwd in encryptiesoftware, zodat
geheime diensten zonder sleutel ten alle tijden toegang kunnen krijgen tot
de ongecodeerde klare tekst De NSA, met 40.000 werknemers de grootste
inlichtingendienst in de VS, is belast met het wereldwijd afluisteren van
communicatie, en het zonodig decoderen van die informatie. Een van de grote
successen van de NSA betrof het Zwitserse bedrijf Crypto AG. 

Bij Crypto AG kochten overheden, van Saddam Hussein tot het Vaticaan,
apparaten om communicatie te beveiligen. Het bleek dat de NSA en de Duitse
inlichtingendienst BND een overeenkomst hadden gesloten met Crypto AG,
zodat de crypto-apparaten door deze diensten, in het geheim, werd
aangepast. Daardoor was het voor deze inlichtingendiensten mogelijk om
communicatie van klanten van Crypto AG af te luisteren. 

De NSA is ook in de VS nauw betrokken bij marktontwikkelingen, en dwingt
softwareontwikkelaars om cryptoproducten te ontwikkelen met een achterdeur.
Softwareproducenten krijgen geen exportvergunning voor hun produkt als niet
voldaan wordt aan de voorwaarden van de NSA. 

De ontwikkeling van cryptografie lijkt op een wedloop. Er worden telkens
sterkere vormen van cryptografie uitgevonden, maar er worden ook steeds
meer cryptografische boodschappen gekraakt. Recent nog werd onder regie van
de Amerikaanse Electronic Frontier Foundation (EFF) het cryptografisch
produkt DES, Data Encryption Standard, ter grootte van 56 bits gekraakt. In
haar rapport over de kraak weerlegt EFF talloze uitspraken van
overheidsmedewerkers dat DES een veilig codeersysteem is, en dat de
overheid dit slechts met veel moeite zou kunnen kraken. 

De Amerikaanse overheid heeft gedurende lange tijd geprobeerd om op de
markt beschikbare encryptieprodukten te beperken tot DES, zonder te
vertellen hoe gemakkelijk dit gekraakt kan worden. Per jaar wordt rond de
125 miljoen dollar aan producten verkocht die zijn gebaseerd op DES, in
totaal zijn wereldwijd zo'n 600 tot 700 producten beschikbaar die op DES
zijn gebaseerd. 

Een van de grootste belanghebbenden bij veilige communicatie en encryptie
is het bedrijfsleven. Economische spionage komt regelmatig voor, en
multinationals hebben er belang bij om hun geheimen te beschermen met
cryptoprodukten die niet gekraakt kunnen worden door concurrenten of
buitenlandse inlichtingendiensten. Internationale regulering van
cryptografie brengt voor het bedrijfsleven risico's met zich mee. 

Sleutels moeten worden ingeleverd, maar wie hebben er allemaal toegang tot
die sleutels? Hoe moeilijk is het voor een concurrent om een medewerker bij
het sleuteldepot om te kopen, en zich op die manier toegang te verlenen tot
de gecodeerde geheime bedrijfsplannen? Hoe kan een bedrijf er zeker van
zijn dat een buitenlandse geheime dienst niet via een achterdeur meeleest,
en de informatie doorspeelt aan een lokale concurrent? 

Regulering van encryptie zorgt bij het bedrijfsleven voor een aanzienlijke
hoeveelheid extra overhead. Een internationaal opererend bedrijf komt
straks in een situatie terecht waarbij sleutels moeten worden ingeleverd in
verschillende landen, tenzij er een internationaal orgaan met bevoegdheden
zou komen, wat vooralsnog onhaalbaar lijkt. 

Het bedrijfsleven is erbij gebaat dat encryptie vrijgelaten wordt,
gedereguleerd dus, in plaats van gereguleerd. Alleen op die manier kan een
bedrijf er zelf zorg voor dragen dat de allerbeste en allernieuwste
beveiligingstechnieken worden toegepast. 

Actievoerders gezocht 

De BVD is ook betrokken bij het Wassenaar-overleg over onder meer het
beperken van de export van strategische goederen. Het Wassenaar overleg
heeft wereldwijd een belangrijke invloed op exportbeperkingen van
cryptoprodukten. Australie zal bij de komende bijeenkomst, in November, van
het Wassenaar overleg voorstellen om de export van commerciele cryptografie
software te beperken. 

Ook export en import van cryptoprodukten via Internet wil Australie via het
Wassenaar overleg aan banden leggen. De organisatie Electronic Frontiers
Australia (EFA) is onlangs een internationale campagne gestart om te
voorkomen dat het Wassenaar overleg gebruikt wordt om strengere
exportregelingen voor cryptoprodukten te forceren. 

EFA is op zoek naar mensen in de 33 landen die aan Wassenaar deelnemen om
actie te voeren tegen verdere export beperkingen. Wereldwijd is er een
campagne aan de gang van geheime diensten om cryptografie aan banden te
leggen. Met alle gevolgen van dien voor de privacy van de burger, en de
mogelijkheden om informatie effectief te beveiligen voor het bedrijfsleven.


Het is van belang dat burgers en het bedrijfsleven actief weerstand bieden
tegen de pogingen om cryptografie te beperken en te reguleren. Organisaties
die zich direct of indirect bezighouden met het onderwerp dienen een
standpunt in te nemen, en zich te bemoeien met het onderwerp. Het is een
kwestie van tijd voordat het reguleren van encryptie op de politieke agenda
staat. Het is op dat moment van belang dat er een groep mensen is die
zichzelf heeft geinformeerd, en bereid is om weerwoord te bieden en te
lobbyen tegen het inperken van het vrije gebruik van encryptie. 
---
Felipe Rodriquez        felipe@xs4all.nl 

--
* Verspreid via nettime-nl. Commercieel gebruik niet toegestaan zonder
* toestemming. <nettime-nl> is een gesloten en gemodereerde mailinglist
* over net-kritiek. Meer info: list@dds.nl met 'info nettime-nl' in de
* tekst v/d email. Archief: http://www.factory.org/nettime-nl. Contact:
* nettime-nl-owner@dds.nl. Int. editie: http://www.desk.nl/~nettime.