Techbedrijven gaan niet in op voorstel van Britse inlichtingendienst

Grote techbedrijven, digitale burgerrechtenbewegingen en wetenschappers hebben samen een open brief gestuurd naar de Britse inlichtingendienst GCHQ. Daarin antwoorden ze ‘nee’ op de vraag van de geheime dienst om mee te mogen lezen met versleutelde berichten. “Dit zou de cyberveiligheid en de mensenrechten in gevaar brengen”, leggen ze uit.

Vandaag bieden sommige berichtenapps end-to-end-encryptie aan, zodat enkel de zender en de ontvanger het bericht kunnen lezen. Dat is een doorn in het oog van inlichtingendiensten. Vroeger konden zij gesprekken afluisteren door fysieke (en later digitale) krokodillenklemmen op de lijn te plaatsen. Door end-to-end-encryptie is het veel moeilijker geworden om communicatie te onderscheppen. In het verleden ventileerden Britse regeringsleiders al meermaals hun ongenoegen over techbedrijven die tolereren dat terroristen en pedofielen via hun platformen in het geheim met elkaar kunnen communiceren.

In november vorig jaar kwamen twee directeurs van de GCHQ met een soort compromisvoorstel: geef ons de mogelijkheid om stiekem mee te lezen met gesprekken van individuele doelwitten, zodat de encryptie niet voor iedereen moet afgezwakt worden. De idee erachter is om een end-to-end versleuteld gesprek te voorzien van een ‘extra einde’, iets wat volgens de inlichtingendienst moeilijk misbruikt kan worden door hackers.

‘Bedreiging voor digitale veiligheid en mensenrechten’

In een open brief van zes pagina’s maken cryptografen, mensenrechtenorganisaties en techbedrijven brandhout van die redenering. Volgens hen introduceert dergelijke aanpassing van authenticatiesystemen wel degelijk onbedoelde kwetsbaarheden en dus aanzienlijke veiligheidsrisico’s.

“Dit voorstel vereist twee wijzigingen in het systeem die de veiligheid en het vertrouwen van gebruikers ernstig zou ondermijnen”, merken ze op. Berichten-apps, serviceproviders en besturingssystemen moeten van een tweerichtingsgesprek een groepsgesprek maken waarin de overheid een extra deelnemer is. Daarvoor moeten ze niet alleen hun software aanpassen om het versleutelingsmechanisme te wijzigen, maar ook hun gebruikers misleiden door de notificaties te onderdrukken die ze normaal krijgen wanneer een extra deelnemer wordt toegevoegd aan een chatgesprek.

Als je er niet meer op kan vertrouwen dat de persoon met wie je communiceert de persoon is naar wie je het versleutelde bericht stuurde, dan doet het er niet meer toe of dat bericht versleuteld is, stellen de briefschrijvers. Ze suggereren dus dat het voorstel de facto neerkomt op het opheffen van end-to-end-encryptie. Ze vragen de GCHQ om dit voorstel te schrappen, evenals “elke andere aanpak die vergelijkbare risico’s voor digitale veiligheid en mensenrechten tot gevolg zou hebben”.

De brief werd ondertekend door 23 (digitale) burgerrechtenbewegingen (waaronder EFF en Human Right Watch), door experts in digitale beveiliging zoals cryptografie-legende Phil Zimmermann en door techreuzen als Apple, Google en Facebook-dochter WhatsApp.

Inlichtingendienst misbruikte al eerder haar macht

Bij ons staat de GCHQ vooral bekend omwille van de Belgacom-hack. In 2011 raakte de Britse geheime dienst binnen in het netwerk van Belgacom (de voorloper van Proximus) door enkele werknemers te hacken, waarna het in staat was de communicatie van de Belgacom-klanten te onderscheppen.

Eind vorig jaar bleek uit een brief van Ben Wallace, de Britse minister van veiligheid, dat de GCHQ de toelating krijgt om hacks uit te voeren in het buitenland om op grotere schaal gesprekken te kunnen afluisteren.

De onthullingen van Edward Snowden maakten duidelijk dat de GCHQ samen met de Amerikaanse NSA verschillende technologiebedrijven dwong om mee te werken met massa-afluisterpraktijken, iets wat aanvankelijk werd verzwegen. Het is net om dergelijke praktijken onmogelijk te maken dat de meeste berichtenapps end-to-end-encryptie zijn gaan aanbieden.