Met spionage leer je veel, maar kun je weinig

Het was volgens de CIA zelf de ‘inlichtingencoup van de eeuw’: West-Duitsland (de BRD) en de VS waren de geheime eigenaren van een Zwitsers bedrijf, Crypto AG, opgericht in 1952. Crypto AG verkocht overheden machines waarmee berichten konden worden versleuteld. Ze bouwden een achterdeur in. Zo aten de VS en de BRD van twee walletjes: ze verdienden goud geld aan de machines, die aan bijna 130 staten werden verkocht; én ze konden op hun gemak de veilig gewaande communicatie van vriend en vijand doorspitten. West-Duitsland en de VS lazen berichten mee over de militaire coup in Chili tegen Salvador Allende, over de grootschalige mensenrechtenschendingen in Argentinië onder Jorge Videla, over de gijzeling van VS-diplomaten in de Amerikaanse ambassade in Teheran, en de vredesbesprekingen tussen Israël en Egypte in Camp David, onder leiding van Jimmy Carter. Het verhaal kwam afgelopen week naar buiten. Maar dat was niet voor het eerst.

Door: Foto: Apionid (cc)
Foto: Vincent Truchseß (cc)

Een achterdeur in Whatsapp

Mensen doen soms een envelop om hun e-mailtje of hun appje, zodat alleen zijzelf en de geadresseerden dat kunnen lezen. Omdat inbraken op andermens’ berichtenverkeer akelige consequenties kunnen hebben en mensen aan hun privacy hechten, bouwen applicatiebouwers zulke versleuteling vaker in. Whatsapp versleutelt automatisch alle berichten, net als Signal en Telegram; ook Facebook Messenger wil versleuteling tot standaard verheffen.

Evenredig aan de behoefte van gebruikers aan veiligheid en versleuteling groeit de wens van overheden om achterdeurtjes in te bouwen: wegen om die encryptie te breken. Zonder die achterdeurtjes zou de overheid machteloos staan tegen criminelen, is het verhaal.

Al in 1988 fileerde Intel-techneut Timothy C. May die retoriek: hij destilleerde de doembeelden van toen en noemde die, met een klassieke verwijzing, de Vier Ruiters van de Infocalyps: terroristen, pedofielen, drugsdealers en witwassers.

Minister Grapperhaus van Justitie en Veiligheid bepleitte onlangs in navolging van zijn Amerikaanse collega William Barr dat internetplatforms de sleutels van hun gebruikers aan justitie moesten kunnen overhandigen, om opsporingsdiensten toegang te verschaffen tot berichten- en chatverkeer. Heel Bijbelvast legde Grapperhaus de nadruk op kinderporno als argument om zijn ‘sleutelrecht’ op te eisen: ‘Wat ik graag zou willen is met grote internetpartijen om de tafel en zeggen: luister, we gaan het nu zo regelen dat wij in ieder geval als er sprake is van verdacht verkeer toch een toegang kunnen krijgen om te kunnen zien wat zich er precies afspeelt.’

Lezen: Bedrieglijk echt, door Jona Lendering

Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.

Voorstel Europees Parlement voor verplichten encryptie en verbieden achterdeurtjes

NIEUWS - De commissie voor Burgerlijke vrijheden, Justitie en Binnenlandse Zaken van het Europees parlement heeft een amendement ingediend om het recht op privacy zo uit te breiden dat burgers recht hebben op end-to-end encryptie en overheden wordt verboden om achterdeurtjes in software te creëren: Respect for private life and the protection of personal data in electronic communications.

Het voorstel van de Europese Commissie wordt op nogal wat plaatsen gewijzigd, dus het laatste woord zal hierover nog niet zijn gezegd.

Foto: Frédéric Poirot (cc)

Achterdeurtjes

OPINIE - Het is de natte droom van ieder machtspoliticus: mee kunnen kijken in alle (digitale) communicatie. Het stond al op het verlanglijst van Duitsland en het VK. Australië legde het al daadwerkelijk vast in wetgeving. En nu wil minister Ferd Grapperhaus het ook: via de achterdeur toegang tot allerlei communicatiediensten.

Steevast is het argument dat we de slechteriken – terroristen, criminelen en ander gespuis – moeten kunnen vangen. Dat speelt namelijk goed in op het sentiment van veiligheid. Niemand wil worden opgeblazen. Niemand wil worden beroofd. Niemand wil het slachtoffer worden van een verkrachting. Dus een beetje privacy opofferen kan geen kwaad toch? Het is een effectieve redenering waar veel mensen gevoelig voor zijn en dus makkelijk in meegaan. Het is echter ook een te simplistische redenering.

Doel van encryptie

Het fenomeen encryptie bestaat niet voor niets. Encryptie is bedoeld om informatie uit handen van anderen te houden. Of het nu om het beveiligen van communicatie gaat, het beveiligen van banksystemen of het beveiligen van nucleaire installaties, het doel is altijd hetzelfde: ongewenste indringers buiten de deur houden. Niemand wil de veiligheid daarvan op het spel zetten.

Het klopt dat ook de minder frisse figuren in onze samenleving gebruik maken van beveiligde communicatie. Maar dat is geen reden om de beveiliging dan maar wat te verminderen. Criminelen en terroristen maken ook gebruik van geld, wegen, scholen, bibiotheken en supermarkten. Die schaffen we toch ook niet af?

Foto: KamiPhuc (cc)

Rupsje Nooitgenoeg

COLUMN - Kijk hem staan. Ietwat slobberig in het pak – de armen te iel voor de mouwen –, zijn helderblauwe ogen priemend, de mondhoeken misprijzend naar beneden, de vuisten gebald. Rob Bertholee, hoofd van de AIVD. Zijn grootste vijand: terreurorganisaties. Zijn op een na grootste vijand: ons aller privacy. Om de eerste vijand te verslaan, moeten wij burgers het tweede opgeven, vindt hij.

‘Ik vind privacy ook uiterst belangrijk,’ begint hij. Ja, wat moet hij anders: zeggen dat je privacy onzin vindt is voor een hoge ambtenaar onaanvaardbaar, het is immers een grondrecht? Maar verder moet hij er eigenlijk niets van hebben.

Bertholee deelt het volk fijntjes mee – toevallig precies in de week waarin het boek van Maurits Martijn en Dimitri Tokmetzis, over alle privacy-vermalende beleidsmaatregelen die overheid en bedrijfsleven het afgelopen decennium hebben genomen, insloeg als een bom – dat privacy-voorvechters hartstikke gevaarlijk zijn.

Zouden mensen die privacy als hoogste doel hebben dat net zo enthousiast nastreven als zij slachtoffers zijn van een aanslag? Als zij weten dat zij hebben toegestaan dat zoiets gebeurt?

Hoe vals van Bertholee: alsof er aanslagen plaatsvinden omdat er teveel privacy is. Alle terroristische aanslagen zijn uitgevoerd door mensen die al bekend waren bij de AIVD of hun internationale collega’s. Die verdachten verloren de veiligheidsdiensten echter uit het oog door een overmaat aan bureaucratie, door gebrekkige onderlinge samenwerking en door de door henzelf gecreëerde overmaat aan signalen – immers: hoe meer triggers, hoe meer loze meldingen, en hoe meer nutteloos werk. De AIVD kan simpelweg niet uit de voeten met de grote hoeveelheid door henzelf geplante vlaggetjes.

Lezen: De wereld vóór God, door Kees Alders

De wereld vóór God – Filosofie van de oudheid, geschreven door Kees Alders, op Sargasso beter bekend als Klokwerk, biedt een levendig en compleet overzicht van de filosofie van de oudheid, de filosofen van vóór het christendom. Geschikt voor de reeds gevorderde filosoof, maar ook zeker voor de ‘absolute beginner’.

In deze levendige en buitengewoon toegankelijke introductie in de filosofie ligt de nadruk op Griekse en Romeinse denkers. Bekende filosofen als Plato en Cicero passeren de revue, maar ook meer onbekende namen als Aristippos en Carneades komen uitgebreid aan bod.

Foto: Jeremy Brooks (cc)

Privacy in Europa, achterdeurtjes in de VS

ACHTERGROND - Het Hof van Justitie van de Europese Unie heeft op 6 oktober de Safe Harbour beschikking van de Europese Commissie ongeldig verklaard. Aanleiding voor deze uitspraak is de zaak die de Oostenrijkse Maximillian Schrems had aangespannen tegen Facebook. Volgens Schrems hebben de onthullingen van Edward Snowden aangetoond dat de VS geen passend beschermingsniveau bieden voor persoonsgegevens tegen Amerikaanse inlichtingendiensten.

De Europese privacywetgeving stelt dat het verboden is om persoonsgegevens terecht te laten komen (voor opslag en/of bewerking) in een land buiten de EU als dat land niet voldoet aan de Europese maatstaven voor privacybescherming.
Omdat Europese bedrijven en burgers massaal zaken doen met Amerikaanse bedrijven is in 2000 het Safe Harbour verdrag gesloten. Amerikaanse bedrijven die de Safe Harbor richtlijnen respecteren, krijgen een uitzonderingspositie. Dat betekent dat Amerikaanse bedrijven – van Apple tot Facebook en van Google tot Amazon – alleen Europese persoonsgegevens mogen verwerken in Amerikaanse datacenters als ze voldoen aan die regels.

Tegenover de Safe Harbor Act staat de in 2001 opgetuigde Patriot Act opgetuigd (een reactie van de Bush-regering op 9/11). Een belangrijke bepaling in de Patriot Act is dat Amerikaanse bedrijven die actief zijn in andere landen, toegang moeten geven tot hun gegevens – zonder gerechtelijk bevel. De Patriot Act en de Safe Harbor Act stonden uiteraard met elkaar op gespannen voet.

Foto: 9/11 Photos (cc)

Privacy, tien jaar later…

Ooit lagen er mooie plannen om de privacy van burgers te waarborgen. Maar 9/11 gooide roet in het eten.

Op 11 juli 2001 publiceerde het Europees Parlement een rapport over het spionagenetwerk Echelon en de implicaties voor Europese burgers en bedrijven. Er werd al jarenlang gespeculeerd over het bestaan van dit netwerk van Groot Brittannië-en-haar-voormalige-koloniën, maar pas in 1999 kwam er een rapport uit dat het onderwerp voorgoed uit de alu-hoedjessfeer trok. Het rapport van het Europees Parlement bevat zeer concrete en zinnige voorstellen die, door gebeurtenissen twee maanden na publicatie, nimmer zijn uitgevoerd. Of zelfs maar verder besproken.

Onder het kopje ‘Maatregelen tot bevordering van de zelfbescherming van burgers en ondernemingen’ staat een lijst met concrete voorstellen die beveiliging van gegevens en vertrouwelijkheid van communicatie in handen geeft van burgers. Allereerst verzoekt het Parlement burgers te informeren over het bestaan van Echelon en de gevolgen voor hun privacy. Deze voorlichting moet ‘vergezeld gaan van praktische bijstand bij het ontwerp en de installering van algemene beschermingsvoorzieningen, die ook de veiligheid van informatietechnologie omvatten.’ Dus niet alleen postbus 51-spotjes maar hands on aan de slag graag!

ACHTERGROND - Passende maatregelen

Andere juweeltjes zijn de verzoeken om ‘passende maatregelen te nemen voor de bevordering, ontwikkeling en vervaardiging van Europese versleutelingstechnologie en -software en daartoe in het bijzonder projecten te ondersteunen die gericht zijn op de ontwikkeling van gebruiksvriendelijke versleutelingstechnologie, waarvan de brontekst is gepubliceerd’ en ‘stimulering van softwareprojecten waarvan de brontekst is gepubliceerd, daar alleen zo kan worden gegarandeerd dat er in de software geen “achterdeurtjes” zijn ingebouwd (de zogenaamde “open-source software”).’ Het document noemt expliciet de onbetrouwbaarheid van beveiligings- en encryptietechnologieën waarvan de broncode niet gepubliceerd is. Iets dat in Nederlandse discussies over IT-strategie voor overheden een streng taboe is (waarschijnlijk omdat het bepaalde grote NAVO-partners zou kunnen beledigen).

Lezen: Het wereldrijk van het Tweestromenland, door Daan Nijssen

In Het wereldrijk van het Tweestromenland beschrijft Daan Nijssen, die op Sargasso de reeks ‘Verloren Oudheid‘ verzorgde, de geschiedenis van Mesopotamië. Rond 670 v.Chr. hadden de Assyriërs een groot deel van wat we nu het Midden-Oosten noemen verenigd in een wereldrijk, met Mesopotamië als kernland. In 612 v.Chr. brachten de Babyloniërs en de Meden deze grootmacht ten val en kwam onder illustere koningen als Nebukadnessar en Nabonidus het Babylonische Rijk tot bloei.

Volgende