Er is al jaren een encryptiedebat gaande dat de laatste tijd heftiger wordt en kan leiden tot onomkeerbare beschadiging van online vertrouwen. In de Verenigde Staten heeft de FBI onlangs nog geprobeerd Apple te dwingen software beschikbaar te stellen om de eigen beveiliging te kraken. In het Verenigd Koninkrijk hebben veiligheidsdiensten meer bevoegdheden gekregen om de computers en telefoons van mensen te hacken en hun communicatie te doorzoeken. De kernboodschap hierachter is duidelijk: overheden willen met master-key’s inzicht krijgen in alle data, ondanks daaraan verbonden risico’s. Vergelijkbaar met de sleutel die de Canadese politie een tijdlang voor alle BlackBerry berichten in handen had.
Encryptiesleutels en certificaten
De hele online wereld is al zo’n twintig jaar gefundeerd op een systeem van encryptiesleutels en digitale certificaten voor veilige communicatie. Daardoor worden deze blindelings vertrouwd voor privacy en autorisatie, door servers, software, securityoplossingen en steeds meer andere IP-apparaten. Waaronder telefoons en alle apparaten die het Internet of Things (IoT) aan het vormen zijn. Samengevat maken die sleutels en certificaten het mogelijk dat apparaten volledig autonoom met elkaar communiceren, omdat ze weten wat wel en niet te vertrouwen is. Wie een master-key of digitale loper in handen heeft, kan de datacommunicatie van alle apparaten die hiervan gebruik maken zowel controleren als beïnvloeden. Daarom is het begrijpelijk dat overheden graag master-keys in handen willen krijgen, alleen kunnen wij er wel op vertrouwen dat ze daar alleen voor uitzonderlijke situaties gebruik van maken? Data is namelijk macht en macht kan tot corruptie leiden. Het is natuurlijk een illusie te denken dat overheden daar immuun voor zijn.
Hoe ver reikt overheidsinvloed?
Er zijn helaas genoeg voorbeelden bekend dat overheden hun boekje al te buiten zijn gegaan. Zoals Snowden’s onthullingen van de NSA-praktijken en recenter het bespioneren van miljoenen inwoners door de Engelse overheid. Overheden verzamelen nu al meer informatie dan nodig is over burgers die niets fout hebben gedaan, zonder dat zij het weten of hebben goedgekeurd. Die verzameldrang raakt echter niet alleen burgers en grote technologiebedrijven als Apple, maar elke organisatie die informatie gebruikt en beheert. Daarom is het belangrijk te weten hoe ver de overheidsinvloed reikt? Willen ze straks zelfs banktransacties real-time kunnen monitoren, of toegang tot track & trace systemen in de logistiek? Tot nu toe weerhoudt encryptie overheden ervan alles te kunnen zien en lezen en daar zijn ze natuurlijk niet blij mee. Ze willen liever zelf het recht en de mogelijkheid hebben data te bekijken, in plaats van afhankelijk te zijn van mensen die mogelijk iets te verbergen hebben. Toch zijn er genoeg redenen waarom mensen en bedrijven hun privacy-rechten willen beschermen, zonder verkeerde bedoelingen.
Intellectuele eigendommen en vertrouwen van klanten
Terwijl iemand overheidsorganisaties misschien wel toegang wil geven tot vertrouwelijke informatie, wil die absoluut niet het risico lopen dat anderen dezelfde privileges krijgen. Intellectuele eigendommen (IP) en het vertrouwen van klanten zijn tegenwoordig ook gebaseerd op data en moeten worden beschermd. Het is niet alleen mogelijk misbruik van de master-key door overheden waar we ons zorgen over moeten maken, maar ook hun incompetenties. Zodra een overheid de gevraagde macht krijgt, worden ze mede verantwoordelijk voor de beveiliging van bedrijven. Met zo’n zelfde master-key kunnen hackers ook onze bankrekeningen roven (zoals recent in Bangladesh en Qatar is gebeurd). Als consument voel ik me daar misschien oncomfortabel bij, maar als aandeelhouder zou ik waarschijnlijk direct mijn aandelen verkopen als de overheid een master-key krijgt. Door bedrijven te dwingen achterdeuren in hun oplossingen te bouwen, ontstaan er ingangen die ook door anderen te misbruiken zijn. Zoals de Stuxnet-methode, die cybercriminelen inmiddels graag als blauwdruk gebruiken.
Master-keys zijn gevaarlijke wapens
Geheimen blijven niet altijd geheim, zeker niet in de duistere wereld van de nationale securitydiensten. Master-key’s zijn destructief te misbruiken, omdat complete infrastructuren, online commerce, machines en medische apparatuur ervan afhankelijk zijn. Als iemand de macht verwerft alles over te nemen is een toekomstscenario denkbaar waarbij we decennia terug in de tijd belanden. De maatschappij is er namelijk volledig mee te ontwrichten en door het verbinden van steeds meer apparaten en machines met het IoT worden de risico’s alsmaar groter. Erger nog, hackers zitten hier bovenop en verhandelen via het dark web al volop sleutels en certificaten onder elkaar. Stel je eens voor wat er kan gebeuren als zij master-keys weten te bemachtigen of namaken. Dan krijgen we gegarandeerd te maken met meer IoT-gijzelingen. In de Oekraïne is begin dit jaar al tijdelijk de stroomvoorziening lamgelegd. Als iemand de temperatuur in een kerncentrale kan veranderen, wordt die instabiel. Kortom, in verkeerde handen zijn master-keys niet te onderschatten gevaarlijke wapens. Daarom is het voor onze toekomstige wereld van cruciaal belang dat overheden ze niet krijgen.