Amerikaanse regering bekijkt of het encryptie verplicht kan verzwakken
Verschillende veiligheidsagentschappen in de Verenigde Staten debatteren over de vraag of ze technologiebedrijven moeten verplichten om enkel encryptie te gebruiken die door de VS zelf kan worden gekraakt. Dat maakt afluisteren makkelijker.
Het gaat nog niet om een wetsvoorstel, maar de vraag of zo’n voorstel er moet komen ligt wel op tafel. Volgens Politico vond er afgelopen week een National Security Council plaats waarbij verschillende overheidsagentschappen spreken over de veiligheid.
Het idee is dat technologiebedrijven dan niet langer end-to-end-geëncrypteerd zouden zijn, of een encryptiestandaard hanteren die te kraken valt door de Amerikaanse overheid. Dat maakt het mogelijk om bijvoorbeeld gesprekken via WhatsApp af te luisteren door de overheid. Vandaag kan dat niet omdat enkel het toestel van de verzender en ontvanger de berichten kunnen lezen – ook Whatsapp zelf kan dat niet.
Amerikaanse veiligheidsdiensten zijn al langer vragende partij voor dergelijke maatregelen. Het opsporen van drugstrafiek, terrorisme of kinderporno worden daarbij steevast genoemd als argument.
Niet op één lijn
Het gaat nog niet om een formele beslissing. Momenteel gaat het vooral om de discussie of de National Security Council een statement publiceert waarin het een standpunt inneemt om encryptie te verminderen, of dat het aan het Amerikaanse Congres vraagt om een wet op te stellen die dat verplicht.
Volgens Politico zitten daarbij niet alle betrokken overheidsagentschappen op dezelfde lijn. Justitie en de FBI zijn sterke voorstander. De ministeries van Handel en Buitenlandse Zaken zijn tegen omdat ze op economisch, diplomatiek en veiligheidsvlak risico’s inhouden. Het Department of Homeland Security zou intern verdeeld zijn volgens Politico.
De risico’s
Encryptie verzwakken komt de facto neer op het zo goed als schrappen ervan, wat toestellen en hun toepassingen onveilig maakt op verschillende vlakken.
Stel dat berichtendiensten die vandaag end-to-end-encryptie hanteren dat zouden inperken zodat zij zelf ook een sleutel hebben, dan bestaat het risico dat de dienst wordt gehackt en die sleutels worden gestolen.
Er bestaat ook niet zoiets als een encryptieniveau dat wel door de Amerikaanse overheid, maar niet door hackers of andere overheden kan worden gekraakt. Dat maakt dat berichten niet enkel door de Amerikaanse veiligheidsdiensten kunnen worden onderschept, maar ook door criminelen, spionnen of andere overheden.
Bovendien heeft de Amerikaanse overheid een zeer slechte reputatie op dat vlak. De meeste technologiebedrijven zijn begonnen met end-to-end-versleuteling in de nasleep van het Prism-schandaal, aan het licht gebracht door Edward Snowden. Daarbij bleek de VS op grootschalige wijze verschillende platformen (Skype, Yahoo, Gmail, Facebook enz…) af te luisteren. Encryptie verzwakken betekent dus de facto dat de Amerikaanse regering overal kan meeluisteren.
Voor Amerikaanse technologiebedrijven betekent dit ook dat hun producten minder interessant worden voor buitenlandse gebruikers. Bovendien zouden criminelen dan simpelweg hun toevlucht kunnen zoeken tot niet-Amerikaanse apps die wel versleuteld zijn.
Tot slot heeft de VS meermaals zelf aangetoond dat het in staat is tot grote flaters op securityvlak. Zo slaagden hackers er in om geheime methodes te bemachtigen die de NSA gebruikte om netwerken binnen te dringen. Die werden nadien actief misbruikt voor criminele doeleinden. Het verzwakken van encryptie maakt toestellen dus niet alleen kwetsbaar voor de Amerikaanse overheid, maar voor iedereen die dezelfde methodes weet te hanteren.
Fout opgemerkt of meer nieuws? Meld het hier