De strijd voor eind-tot-eind versleuteling is, wederom, nu
Het is een hachelijke tijd voor versleutelde communicatie.
Eerder deze maand keurde in het Verenigd Koninkrijk het Hogerhuis de Online-veiligheidswet goed. Online platformen zijn daar straks wettelijk verplicht de op hun platform verstuurde berichten te kunnen scannen op illegaal materiaal—ook als het om eind-tot-eind versleutelde diensten gaat, zoals Signal of WhatsApp. In de Verenigde Staten overweegt men opnieuw het EARN IT wetsvoorstel, waarvan breed verwacht wordt dat dit het inbouwen van achterdeuren in versleutelde omgevingen zal aansporen.
Dichter bij huis buigt eind oktober de Europese Raad zich over voorstel COM 2022 (209), beter bekend als ‘chatcontrole’, waaronder aanbieders van online diensten verplicht gesteld kunnen worden om alle berichten preventief te scannen op mogelijk illegaal materiaal.
Voor mensen in de EU, en in het bijzonder iedereen die zich inzet voor een andere status quo, kan chatcontrole grote gevolgen hebben voor de mogelijkheid tot het voeren van veilige, vertrouwelijke gesprekken. Ook eind-tot-eind versleutelde omgevingen zouden namelijk gescand moeten worden.
Al je (privé)berichten gaan worden gescand
Wat is chatcontrole precies? Chatcontrole is een wetsvoorstel van de Europese Commissie, afkomstig van het bureau van eurocommissaris Ylva Johansson van Binnenlandse Zaken. Het idee is dat alle aanbieders van online diensten waarin berichten worden geplaatst en uitgewisseld—van Instagram, X en TikTok, tot WhatsApp, Signal, Zoom en ook in online spelletjes zoals Minecraft—verplicht zouden moeten kunnen worden om alle berichten op hun dienst preventief te scannen. Zowel publieke als privéberichten. Zowel platte tekst als versleutelde communicatie. Alles gaat worden gescand.
En als, om wat voor reden dan ook, je bericht als ‘verdacht’ wordt aangemerkt (geen enkel automatisch scansysteem is feilloos), dan moet de online dienstenaanbieder dit doorgeven aan een centraal meldpunt van de EU. En die kan het dan weer doorspelen aan Europol, het overkoepelende orgaan van de Europese politie.
Mocht chatcontrole worden ingevoerd, dan zou dit het meest ingrijpende surveillance-programma in Europa zijn sinds dat van het Oost-Duitse ministerie van Staatsveiligheid. De Stasi had op haar hoogtepunt eind jaren ’80 dossiers aangelegd over ongeveer 5,6 miljoen mensen, grofweg een derde van de toenmalige Oost-Duitse bevolking. De EU wil dit nu opvoeren naar iedereen in de Unie die digitaal communiceert. Als we het aantal ‘slimme’-telefoongebruikers als maatstaf nemen, dan zou dit neerkomen op het laten scannen van de communicatie van 77,64% van de inwoners van de EU, oftewel 348 miljoen mensen. Iedere dag. Iedere nacht. Willekeurig. Zonder dat er ook maar enige verdenking voor vereist is.
Gekaapt beleid
Wat is de motivatie van dit chatcontrole-voorstel? Op grond van de officiële titel (‘Voorstel voor een verordening van het Europees Parlement en de Raad tot vaststelling van regels ter voorkoming en bestrijding van seksueel misbruik van kinderen’) zou je bijna gaan denken dat het over het beschermen van kinderen gaat.
Maar in de praktijk is er moeilijk een groter gat tussen de titel en de voorgestelde maatregelen denkbaar. Zoals experts op dit gebied al aangeven (pdf), als je werkelijk misbruik zou willen bestrijden, dan zou je inzetten op het versterken van de capaciteiten van jeugdhulp, sociaal werk, ondersteuning op school, meldingsmechanismen, en zorgen dat rechtshandhaving de middelen en mensen heeft om gericht opsporingswerk te doen. Als je werkelijk misbruik zou willen bestrijden, dan kom je niet met zó een ongericht en inefficiënt voorstel als het zonder verdenking scannen van alle digitale communicatie van alle inwoners van een half continent.
Het zal dan ook weinig mensen hebben verbaasd toen uit recent journalistiek onderzoek bleek dat er een uitgebreid lobbynetwerk van (tech)bedrijven de afgelopen jaren heel wat geld en zoetmakertjes heeft ingezet om zo’n wetsvoorstel erdoor te krijgen. Er zijn met het aanbieden van de commerciële scanprogramma’s die vereist zullen worden om al die miljarden berichten te gaan scannen immers miljoenencontracten gemoeid. Europarlementariër Patrick Breyer spreekt hierom zelfs van ‘gekaapt beleid’.
Ook zal het weinigen verbazen dat uit gelekte discussiedocumenten uit 2020 blijkt dat aanvankelijk overwogen was om in plaats van, of in aanvulling op, kinderbescherming juist terrorisme als rechtvaardiging te gebruiken om iedereens communicatie te kunnen scannen.
Wanneer je binnen de context van vertrouwelijke communicatie die twee thema’s—kinderbescherming en terrorisme—in één adem genoemd ziet worden, dan moeten er alarmbellen gaan rinkelen. Al sinds de ontwikkeling van laagdrempelige versleuteling voor algemeen gebruik ijveren overheden en inlichtingendiensten in onder meer Noord-Amerika en Europa om versleuteling door niet-militaire lichamen dan wel te verbieden, dan wel zó zwak te houden dat inlichtingendiensten de berichten altijd zouden kunnen kraken. En ook al sinds de jaren ’90 wordt iedereen die zich inzet voor een recht op het gebruik van versleuteling weggezet als terrorist dan wel kindermishandelaar—een aantijging die alle iPhone-bezitters een paar jaar geleden nog naar zich toe geslingerd kregen, toen Apple weigerde de versleuteling op haar telefoons kraakbaar te houden voor de FBI.
Zo bezien is het huidige chatcontrole-voorstel niks anders dan een commercieel aangestuwde laatste stap in de decennialange strijd tegen versleutelde communicatie.
Ondermijnen eind-tot-eind versleuteling
Zelfs eurocommissarissen zien wel in dat het niet heel sympathiek overkomt om te zeggen dat je zonder verdenking de digitale post van iedereen binnen de Unie wil laten doorlichten. Daarom hielpen commissaris Johansson en consorten al snel een fabeltje de wereld in: dat je prima iedereens online gesprekken kan laten scannen zonder inbreuk te maken op de privésfeer, op een manier die compatibel is met eind-tot-eind versleuteling. Ook demissionair minister Yesilgöz-Zegerius van Justitie en Veiligheid blijft zo’n verhaal napraten, aangezien die wel meer te doen heeft dan naar juristen of online veiligheidsexperts te luisteren—bijvoorbeeld het niet uitvoeren van moties die met grote meerderheid door de Tweede Kamer zijn aangenomen.
Maar hoe mooi het ook klinkt, dit blijft een verhaal berustend op woordspel. De techniek waar hierbij steeds op gewezen wordt staat bekend als ‘scannen aan cliëntzijde’, waarbij een bericht op het apparaat van de gebruiker gescand wordt, nog voordat deze het verstuurt. In een typisch verloop wordt dan voor het bericht een individuele ‘hash-code’ gegenereerd. Die hash-code wordt vergeleken met een lijst van hash-codes in een database met bekend illegaal materiaal. Mocht er een overeenkomst gevonden worden, dan wordt het bericht als ‘verdacht’ aangemerkt. Maar hash-codes zijn notoir onveilig. Inderdaad, scannen aan cliëntzijde is dusdanig feilbaar en introduceert zoveel nieuwe kwetsbaarheden dat Apple, aanvankelijk nog het boegbeeld en de voortrekker van deze scantechniek, hier al snel mee stopte.
Belangrijker nog, scannen aan cliëntzijde vertrappelt het hele principe van digitaal briefgeheim en ondermijnt het hele punt van eind-tot-eind versleuteling. Zoals Erica Portnoy van de Electronic Frontier Foundation al heeft laten zien, is het punt van eind-tot-eind versleuteling dat alléén de verzender en de beoogde ontvanger toegang hebben tot de inhoud van een bericht. Wanneer een derde partij—hetzij de online dienstenaanbieder, hetzij een ambtenaar van de EU, hetzij een medewerker van Europol—de inhoud van een bericht op wat voor manier ook kan bereiken, dan is dat bericht niet enkel toegankelijk voor de verzender en beoogde ontvanger. Dus is het doel van eind-tot-eind versleuteling hiermee ondermijnd.
Vergelijk het met briefpost. Stel, je verstuurt je brief in een gesloten envelop, netjes met je persoonlijke waszegel op de flap. Alleen de beoogde ontvanger verbreekt het zegel en opent de brief. Heerlijk, verzegelde post! Maar als je, nog voordat je je brief in de envelop doet, deze eerst moet laten scannen door een vertegenwoordiger van de EU, dan kun je daarna verzegelen wat je wilt, maar de vertrouwelijkheid van je communicatie is dan al wel weg.
Activisten, blijf alert
Laat er geen twijfel over zijn: het zonder verdenking preventief surveilleren van de digitale communicatie van honderden miljoenen mensen is een behoorlijk slecht idee. Chatcontrole zou een grove, disproportionele inbreuk zijn op de fundamentele rechten van inwoners van de EU. Dit concluderen niet alleen mensenrechten- en privacy-experts. Dit concludeert zelfs de eigen Juridische Dienst van de Europese Raad (pdf). In een rapport van april 2023 stelt deze:
“De screening van interpersoonlijke communicatie (…) tast onmiskenbaar het fundamentele recht op eerbiediging van het privéleven aan, gewaarborgd in artikel 7 van het Handvest [van de grondrechten van de Europese Unie].”
Het zou een “bijzonder ernstige beperking” vormen van het recht op bescherming van persoonsgegevens (artikel 8), en waarschijnlijk ook “een afschrikkende werking hebben op de uitoefening van de vrijheid van meningsuiting” (artikel 11). Bovendien zou het voorstel ook waarschijnlijk niet voldoen aan het proportionaliteitsbeginsel—het beginsel dat iedere inbreuk op een recht in verhouding moet staan tot de ernst van het doel dat met die inbreuk wordt nagestreefd.
Chatcontrole is belabberd voor de hele bevolking. Zoals computerwetenschapper Matthew Green al aangaf, is versleuteling het beste middel dat we hebben om privégegevens te beveiligen. Iedere andere aanpak die er ooit gebruikt is om waardevolle gegevens te beschermen is gecompromitteerd. Green noemt het chatcontrole-voorstel en de inbreuk die dit zou hebben op gegevensbescherming dan ook “zeer naïef en alarmerend”.
We zijn allemaal slechter af zonder veilige, versleutelde communicatie. Maar chatcontrole is nog eens extra nijpend voor hen die gevestigde machten ter verantwoording roepen, waaronder journalisten, klokkenluiders, dissidenten en activisten. Want het blootleggen van corruptie, lobbyen, of het aansturen op systeemverandering wordt een stuk lastiger als overheidsinstanties toegang hebben tot alle digitale communicatie.
Uiteraard hadden mensen in deze groepen voorheen al wel te maken met gericht afluisteren en infiltratie. Oud-Provo en -kabouter Roel van Duijn doet hier uitgebreid verslag van in diens autobiografie Diepvriesfiguur. Ook het recente proces over ‘opruiing’ tegen klimaatactivisten van onder meer Extinction Rebellion laat deze realiteit opnieuw weer zien. Maar een regime van chatcontrole stuwt dit soort surveillance op naar stand 11. Alle communicatie via online dienstenaanbieders zou dan namelijk altijd, zonder verdenking, worden gescand en eventueel worden doorgesluisd naar overheden en Europol. Ideaal voor inlichtingendiensten.
Het is nog niet te laat
De Online-veiligheidswet is er praktisch al door. Ook EARN IT maakt opnieuw een kans. Maar wat chatcontrole betreft zijn we nog niet te laat, want het voorstel is op dit moment nog niet doorgevoerd. We zitten er alleen wel misselijkmakend dichtbij.
In Duitsland, Zweden, en Italië zijn al wekenlang openbare protesten tegen chatcontrole. In Nederland blijft het vooralsnog behoorlijk stil. Maar als veilige, versleutelde communicatie je lief is, dan is het wel belangrijk om nu in actie te komen.
Wat kun je doen? Mensen van de dreigende situatie bewust maken is een eerste stap. En oefen druk uit op je politieke vertegenwoordigers: bel ze, schrijf ze aan, stel vragen. Laat je horen online, of op de demo op 1 oktober 2023 op de Dam in Amsterdam. Laat ze weten dat we niet op ongebreidelde surveillance zitten te wachten.
De strijd voor eind-tot-eind versleutelde communicatie is, wederom, nu.
Chris Onrust