Authenticiteit in tijden van soevereiniteit

Coalition for Content Provenance and Authenticity (C2PA) is als een digitale variant van de middeleeuwse zegel op een envelop. Het zegel vertelt niet of de brief zelf de waarheid spreekt, maar wel of de envelop onderweg is geopend en of de afzender daadwerkelijk is wie hij beweert te zijn. Dit hebben we bijvoorbeeld bij mail ook al met DKIM standaard. C2PA is geen ‘waarheidsmachine’, maar een versteviging van het vertrouwen in de afzender van uitingen. Door vertrouwen in de uitingen van onze instituties te verstevigen verwachten we als gevolg daarvan de posities van de partijen met slechte intenties te verzwakken.

En dit is hard nodig. Het is kinderspel geworden om officiële overheidsinformatie te vervalsen. Richtlijnen voor communicatie, logo’s en templates van overheden zijn vaak met één klik te downloaden op publieke websites. Vorige maand waarschuwde InfoMedics nog voor de toename in oplichting. Binnen de ‘walled gardens’ van de overheid – denk aan Mijn Belastingdienst of de Berichtenbox – is het vertrouwen nog oké: burgers die daar inloggen, vertrouwen dat het bericht afkomstig is van de overheid. Maar zodra de overheid het open internet opgaat om de burger te bereiken, wordt het lastiger. Berichten worden aangepast, gedeeld, context verdwijnt en platforms (of algoritmes) kunnen de boodschap – al dan niet per ongeluk – vervormen. Tel daar de recente datalekken van persoonsgegevens, zoals het lek bij Odido, bij op en de mogelijkheid om authentiek ogende berichten verder te personaliseren met vertrouwelijke gegevens is vrijwel oneindig.

In de mediawereld, waar het gevecht voor vertrouwen dagelijkse praktijk is, worden concrete stappen gezet. Media Campus NL, de innovatie-accelerator op het Media Park in Hilversum, leidt dit jaar een project voor een referentie-implementatie van C2PA met als doel de bevestiging van authenticiteit van berichtgeving te verstevigen. Daarbij wordt samengewerkt met Dawn Technology en de VPRO.

Soevereiniteit en digitale identiteit

Partijen als Adobe en Microsoft trekken internationaal de kar bij de ontwikkeling van C2PA-specificatie, daardoor is de focus van de specificatie niet op alle punten toereikend voor de uitdagingen van de Nederlandse publieke sector. In de meeste implementaties van de specificatie ontbreekt een koppeling met een geverifieerde digitale identiteit. Waardoor iedereen in theorie een ‘stempel’ van een ministerie kan namaken. Bijvoorbeeld door een organisatie op te richten die ‘Ministerie van Justitie en Veiligheid’ heet op de Seychellen en met een certificaat van die organisatie te tekenen. Onze Nederlandse referentie-implementatie vult dit hiaat met een implementatie die het tekenen met een digitale identiteit (een soort digitaal paspoort) mogelijk maakt, om het lakzegel zo herleidbaar te maken aan een verifieerbare persoon of instantie.

De leidende rol van Big Tech partijen in het bredere C2PA initiatief zorgt ook voor afhankelijkheden: De huidige verificatietools rusten op Amerikaanse infrastructuur (met name van Adobe en Microsoft). Willen we dat de burger de echtheid van een Nederlands overheidsbesluiten of uitzendingen van de omroepen controleren via de servers van een commerciële techreus? Natuurlijk niet. We willen de verificatie niet ‘betalen’ met de privacy van burgers. Ook willen we transparantie over de wijze van verificatie, zodat deze reproduceerbaar is. En tenslotte willen we mogelijk zelf bepalen welke certificaten (en uitgevers hiervan) we wel en niet vertrouwen in onze context.

Daarom werken Media Campus NL, de VPRO en Dawn Technology (ook bekend van de Coronamelder en Videotulen bij raadsvergaderingen) – met steun van het SIDN Fonds – aan een Nederlandse referentie-implementatie. Dit project voegt twee essentiële bouwstenen toe aan de andere implementaties van de specificatie:

• Digitale Identiteit (Wie tekent er?): Door C2PA te koppelen aan verifieerbare identiteiten, staat de identiteit van de ondertekenaar onomstotelijk vast. De burger weet zeker: dit is de gemeente, dit is het ministerie.
• Onafhankelijke Verificatie (Wie controleert er?): Met het platform ‘Verifieer Mij’ wordt een eigen, onafhankelijke validatieservice gebouwd. Hiermee kan de burger zelf controleren of een video, audiofragment of document authentiek is, zonder dat die data naar Big Tech-servers lekt. Dit staat ons ook toe om niet afhankelijk te zijn van het vertrouwen van onderliggende certificaten die het consortium van big tech uitgeeft.

Deze referentie-implementatie wordt open source beschikbaar gemaakt, zodat deze herbruikbaar, controleerbaar en geschikt voor doorontwikkeling is.

Van Hilversum naar Den Haag?

Dit is infrastructurele technologie, het werkt alleen wanneer het zo breed mogelijk ingezet wordt en dus niet alleen in de omroepwereld. Elke sector die vanuit een positie van kennisautoriteit communiceert, heeft belang bij deze techniek. Voor de overheid liggen de toepassingen voor het oprapen: van het verzegelen van videotulen van raadsvergaderingen en Tweede Kamerdebatten tot het waarborgen van officiële bekendmakingen op sociale media.

Nederland kiest hier niet voor een passieve rol door enkel een Amerikaanse standaard te consumeren. We reflecteren kritisch, passen aan en bouwen voort op onze eigen waarden rondom privacy en digitale identiteit. Met een bredere inzet kan Nederland zich positioneren als koploper in het bouwen van een betrouwbare digitale infrastructuur. Want in een tijd van vraagstukken over soevereiniteit, is authenticiteit een belangrijk component.