PGP-versleuteling staat voor Pretty Good Privacy. Maar hoeveel is die term nog waard? De jacht op encryptiesleutels lijkt geopend en inmiddels biedt PGP-beveiliging geen volledige garantie meer.
In 2016 kreeg de politie via Canada een bestand met 3,6 miljoen berichten in handen. Die berichten waren via 40.000 smartphones met PGP-versleuteling verstuurd. De politie wist de encryptie ongedaan te maken en kreeg zo inzicht in de communicatie binnen een crimineel netwerk. De rechtbank stond de ontsleutelde berichten vervolgens toe als bewijs in een rechtszaak tegen een crimineel.
Verwacht mag worden dat het Openbaar Ministerie in de toekomst vaker berichten uit pgp-telefoons zal gaan gebruiken als bewijs tegen criminelen. De jacht op encryptiesleutels is geopend.
Tot twee jaar terug waren online berichtendiensten zoals Whatsapp een belangrijke bron voor politie en inlichtingendiensten. Via chatapplicaties konden zij veel te weten komen over activiteiten van criminelen en terroristen. Na de onthullingen van Snowden hebben technologiebedrijven hun diensten beveiligd met end-to-end encryptie. Dit heeft de veiligheidsdiensten de mogelijkheid ontnomen om het berichtenverkeer af te luisteren.
AIVD-baas Bertholee pleitte vergeefs voor een achterdeurtje voor de veiligheidsdiensten om de versleuteling te kunnen omzeilen. De FBI ving bot bij Apple bij verkrijgen van toegang tot de iPhone 5C van de San Benardino-schutter. Een externe partij moest er aan te pas komen om het apparaat te hacken. De Russische geheime dienst FSB eiste vrijgave van de encryptiesleutels van Telegram. Telegram weigerde dit te doen met als argument dat daardoor de privacy van gebruikers zou worden geschonden. De Russische autoriteiten blokkeerden vervolgens het gebruik van de chatapp in het hele land. Tussen de 10 en 15 miljoen gebruikers in Rusland kunnen de dienst nu niet goed meer gebruiken.
Door de versleuteling van berichten van chatapps is het voor de veiligheidsdiensten moeilijker geworden inzicht te krijgen in de communicatie van terroristen. Na inwerkingtreding van de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) kan de AIVD nu wel met kabelgebonden interceptie inzicht krijgen in de metadata over de communicatie. Ze kunnen zien wie met wie praat, zonder de inhoud van die communicatie zien. Het levert bijvoorbeeld informatie over gebruikte nummers of IP-adressen, de start- en eindtijd van de communicatie en gebruikte communicatiemiddelen.
Voor informatie over de inhoud van de berichten moeten de veiligheidsdiensten door de beveiliging heen zien te breken. De Wiv biedt hiertoe uitgebreide hackbevoegdheid om binnen te dringen op apparatuur en netwerken. Daarbij moeten de diensten veelal gebruik maken van onbekende kwetsbaarheden in de beveiliging. Die kwetsbaarheden hoeven de diensten niet te melden aan de leveranciers en ontwikkelaars van software en apparaten. Het geheim houden van die informatie vergroot de kans op uitlekken daarvan en gebruik door buitenlandse inlichtingendiensten en cybercriminelen. Bedrijfsgegevens en privégegevens kunnen daardoor in verkeerde handen vallen. Dit is schadelijk voor economische veiligheid en privacy van burgers. Schade die mogelijk terrorismedreiging kan overstijgen. PGP-versleuteling staat voor Pretty Good Privacy. Die beveiliging biedt inmiddels geen volledige garantie.
Jan Willem Boissevain is Senior Account Executive bij Pegasystems
