‘Justitie legt bom onder encryptie’

Dat zegt Maurice Wessling van de privacyorganisatie Bits of Freedom. Hij baseert zijn uitspraak op de informatie die staat in het conceptrapport en de notulen van een door de overheid ingestelde werkgroep die zich bezighoudt met zogeheten Trusted Third Parties (TTP) diensten.

Een TTP is een partij die diensten aanbiedt om elektronische gegevensuitwisseling betrouwbaar te maken, bijvoorbeeld door versleuteling. Het bekendste voorbeeld hiervan is Verisign, een Amerikaans bedrijf dat certificaten uitgeeft waarmee sites hun authenticiteit kunnen garanderen. In de toekomst zullen er echter ook TTPs komen die de communicatie voor bedrijven en particulieren zullen versleutelen, zo is de verwachting.

TTPs maken het de ontvanger van een bericht dan mogelijk om vast te stellen of de afzender ook daadwerkelijk de persoon of instantie is waarvoor hij zich uitgeeft. In Nederland zijn op dit moment onder meer bedrijven als Philips, de Rabobank, Coopers & Lybrand en PTT Post geïnteresseerd in het oprichten van TTPs.

Werkgroep

Volgens het rapport van de Technische Werkgroep Rechtmatige Toegang zullen dergelijke TTPs hun sleutels ter beschikking moeten stellen aan inlichtingendiensten en justitie als die daarom vragen. In de Wet op de Inlichtingen en Veiligheidsdiensten zal dat worden vastgelegd. De TTPs moeten hun diensten daartoe zo inrichten dat Justitie ook te allen tijde de sleutels kunnen opvragen. Doen ze dat niet uit eigen beweging, dan zal er nieuwe wetgeving moeten komen om de TTPs daartoe te dwingen, zo meent de werkgroep.

Wessling vreest dat dit de doodsteek zal betekenen voor de ontwikkeling van TTPs in Nederland. “Voor consumenten wordt zo’n TTP-dienst op die manier totaal onaantrekkelijk. Ze zullen weinig vertrouwen hebben in een TTP die berichten kan lezen en overdragen aan de overheid. Het gevolg kan zijn dat er in Nederland geen TTPs komen die vertrouwelijkheidsdiensten aanbieden.”
Bert-Jaap Koops, een onderzoeker aan de Universiteit van Tilburg die een proefschrift over cryptografie en misdaad schreef, relativeert het belang van TTPs echter. “Het is maar de vraag of er veel behoefte is aan TTPs. Zeker als het gaat om diensten voor particulieren. Alleen bij het bedrijfsleven zou je je kunnen voorstellen dat er vraag naar dergelijke diensten zal zijn. Maar zelfs daar kun je je afvragen of TTPs ooit van de grond komen.”

Pretty Good Privacy

Volgens Wessling zouden TTPs echter van groot belang kunnen zijn voor de acceptatie van het gebruik van encryptie bij communicatie via internet. “Het gebruik van bestaande encryptie-technieken, zoals Pretty Good Privacy, is marginaal en zal dat ook blijven. Voor veel mensen is zo’n systeem met sleutels gewoon te ingewikkeld. TTPs zouden dergelijke diensten echter wel voor een groot publiek aantrekkelijk kunnen maken.”

Wessling ziet het aan banden leggen van TTPs als een nieuwe poging van Justitie om het gebruik van cryptografie te reguleren. Eerdere pogingen in die richting liepen – mede als gevolg van weerstanden in de samenleving en Tweede Kamer – op niets uit. In 1994 besloot het kabinet een wetsvoorstel om encryptie grotendeels te verbieden, niet naar de Kamer te sturen. Een voorstel in de Wet Computercriminaliteit II om verdachten te dwingen hun sleutel af te geven, werd in 1999 eveneens na veel verzet geschrapt. Het conceptrapport en de notulen van de Technische Werkgroep Rechtmatige Toegang staan op de site van Bits of Freedom.