Nederlandse bedrijven die elektronische sleutels verkopen, hoeven geen kopieën van die sleutels te bewaren voor opsporings- en veiligheidsdiensten.
Dat is de uitkomst van het onderzoek van de projectgroep Rechtmatige Toegang, waarmee de ministerraad vorige week heeft ingestemd. Staatssecretaris Joop Wijn (Economische Zaken) heeft de rapportage over de zogeheten Trusted Third Parties (TTP’s) vandaag naar de Tweede Kamer gestuurd.
Een TTP is een bedrijf dat elektronische sleutels verkoopt waarmee een klant elektronische berichten onleesbaar kan maken. Daardoor moet de betrouwbaarheid van het bericht gegarandeerd worden. Het bekendste voorbeeld hiervan is Verisign, een Amerikaans bedrijf dat certificaten uitgeeft waarmee sites hun authenticiteit kunnen garanderen.
TTP’s maken het de ontvanger van een bericht dan mogelijk om vast te stellen of de afzender ook daadwerkelijk de persoon of instantie is waarvoor hij zich uitgeeft.
Nekslag
Aanvankelijk was de projectgroep Rechtmatige Toegang van plan om TTP’s te verplichten om van elke sleutel een kopie te maken die ze op verzoek van opsporings- en veiligheidsdiensten zouden moeten afstaan. Ook in het Actieplan Terrorismebestrijding en Veiligheid, dat na 11 september verscheen, werd aangedrongen op het opslaan van sleutels.
Daar ziet de projectgroep nu van af. “Een dergelijke maatregel is op dit moment absoluut niet efficiënt en effectief”, aldus Marjolijn Durinck van ECP.NL. “Het zou de nekslag kunnen betekenen voor de paar TTP’s die er nu zijn. Mensen die niet willen dat hun sleutel wordt afgestaan aan Justitie, kunnen nu eenvoudig uitwijken naar het buitenland.”
“Op dit moment slaan TTP’s helemaal geen kopieën op van de elektronische sleutels die ze aan hun klanten verstrekken”, aldus Durinck.
Bizar
Maurice Wessling van de digitale-burgerrechtenorganisatie Bits of Freedom (BoF) is blij met de uitkomst van het onderzoek, maar merkt wel op dat Nederland ‘een van de laatste landen’ die tot deze conclusie komt.
“In de Verenigde Staten werd de conclusie dat bij zogeheten key escrow het middel erger is dan de kwaal al eind jaren negentig getrokken. Het is nogal bizar om te zien dat we daar in Nederland pas in 2002 achterkomen.” Wessling waarschuwde in mei vorig jaar al dat het verplicht maken van kopieën van sleutels de doodsteek zou betekenen voor TTP’s in Nederland.
Volgens Wessling dient het volgende achterhaalde onderzoek zich overigens alweer aan. “Op 15 januari start een werkgroep die onderzoek gaat doen naar de vraag of sterke cryptografie voor particulieren, zoals bijvoorbeeld PGP, gereguleerd moet worden. Gezien de internationale context is het nauwelijks denkbaar dat de werkgroep met effectieve voorstellen kan komen.”
Slag om de arm
De nu door de projectgroep Rechtmatige Toegang genomen beslissing betekent overigens niet dat het verplicht opslaan van de kopieën van elektronische sleutels definitief van de baan is. “Politie en justitie houden nog wel een slag om de arm”, aldus Durick. “Als over een paar blijkt dat TTP’s een hoge vlucht hebben genomen en de politie daardoor informatie misloopt, dan willen ze de discussie opnieuw openen.”
“Bovendien zijn TTP’s die wél kopieën bewaren van de sleutels die ze uitgeven, onder de huidige wetgeving al verplicht om die sleutels af te staan”, merkt Wessling op.
“Daarnaast mag de politie iedereen, behalve een verdachte, dwingen om mee te werken aan het ontcijferen van een versleuteld bericht. Dat betekent bijvoorbeeld dat als ik iemand een met PGP versleuteld e-mailbericht verstuur, de politie deze persoon op straffe van drie maanden gevangenis kan dwingen om de inhoud van het bericht bekend te maken.”
“De AIVD, de vroegere BVD, kan zelfs iedereen dwingen om de inhoud van versleutelde berichten bekend te maken. Als je niet meewerkt, kun je twee jaar worden opgesloten.”