Madison steekt nog maar eens een sigaret op en kijkt speurend door de bar van het Hilton. ‘Hebben jullie nog mogelijkheden met dat voetbalgedoe?’ Van Kerkeycke schudt zijn hoofd. ‘Nee, dat wordt nu tot op het bot afgekloven door de politie. Ze hebben het hele pakket maatregelen er doorheen weten te krijgen. Alleen het afluisteren van mobiele telefoons voor openbare orde doelen lukt niet. Komt nog wel. Voor ons is nu de nieuwe wet op de inlichtingendiensten van belang, dat we het satellietverkeer in zijn geheel te pakken krijgen. We kunnen dan ook alle versleutelde berichten die we opvangen net zo lang bewaren als we willen.’ Madison fluit veelbetekenend tussen zijn tanden. ‘Dat is mooi, dat is heel mooi. Verwacht je nog problemen met de politiek?’ ‘Welnee,’ lacht Van Kerkeycke. ‘De politiek loopt ons nooit voor de voeten. Ik zeg wel eens: het Koninklijk huis en de BVD zijn de laatste heilige huisjes in dit land. Een brief naar de fractievoorzitters volstaat meestal als een Kamerlid meent zich teveel met het onderwerp te kunnen bemoeien. Bij de IRT-enquête hebben we het inlichtingendeel er toch ook vrijwel uit weten te houden?’

4. DE SLEUTEL TOT SUCCES

De bestrijding van cryptografie

In de Westerse landen heeft de overheid de afgelopen jaren de bevoegdheid gecreëerd om Internet en email-correspondentie af te tappen. Internet service providers worden, net als telecombedrijven, verplicht om hun systemen aftapbaar te maken. Maar de autoriteiten worstelen al jarenlang met het probleem van encryptie. Je hebt immers weinig aan afgetapte berichten wanneer je ze niet kunt lezen of beluisteren. Jarenlang probeerde vooral de Verenigde Staten om de export van cryptografie door strenge voorschriften te reguleren. Inmiddels vindt er een kentering in het justitiële denken over cryptografie plaats.

De Verenigde Staten hebben jarenlang geprobeerd via het Wassenaar-overleg een internationale inperking van het gebruik van cryptografie te bereiken. Het Wassenaar-overleg komt voort uit het Coordinating Committee for the Multilateral Export Controls (COCOM). Doel van de 17 deelnemende landen, meest NAVO-leden, was de verspreiding van wapensystemen tegen te gaan via exportcontroles. In 1996 werd het overleg in Wassenaar uitgebreid met voornamelijk landen uit het voormalige Oostblok. De doelstelling verschoof toen na het einde van de Koude Oorlog naar het bevorderen van ‘regionale en internationale veiligheid en stabiliteit’. Het Wassenaar-overleg werkt met een lange lijst van goederen vastgesteld die als een strategisch gevaar worden gezien. De lidstaten hebben in hun nationale wetgeving controle op de export van deze goederen vastgelegd[1].
Encryptieproducten staan op de lijst van zogenaamde ‘dual use goods and technologies’, goederen en technologieën die zowel voor civiele als militaire doelen gebruikt kunnen worden. Het militaire doel van cryptografie is immers het beschermen van de nationale veiligheid. In de zogenaamde General Software Note werd een uitzondering gemaakt voor cryptografie die voor consumentenmarkt is gemaakt, en voor publiek domein cryptografie, zoals PGP. Australië, Frankrijk, Nieuw Zeeland, Rusland en de VS hielden in hun nationale wetgeving echter een exportcontrole op deze vormen van cryptografie in stand.
In Amerika mogen -uitsluitend met toestemming- alleen lichte cryptografische spullen worden geëxporteerd. Dat mes snijdt in de praktijk aan twee kanten. Zware cryptografie wordt niet geëxporteerd en komt dus in principe niet in de handen van boeven, terroristen en schurkenstaten. Tegelijkertijd is de ontwikkeling en verspreiding van goede encryptie voor burger-gebruik hierdoor lang belemmerd gebleven. Het is voor bedrijven in de Verenigde Staten economisch vaak niet haalbaar om twee versies te maken: een met goede encryptie voor de binnenlandse markt, een met kreupele encryptie voor de buitenlandse markt. Dat is de reden dat we nu zijn opgescheept met zullke zwakke encryptie in wijdverspreide computerprogramma’s zoals in Windows. Dit komt de de NSA – en in het verlengde opsporingsinstanties als de FBI – bepaald niet ongelegen.

Omstreden
Het is de Verenigde Staten uiteindelijk niet gelukt dit strikte beleid internationaal te handhaven. De controle op cryptografie werd de laatste jaren omstreden. Zo begonnen de Europese lidstaten zich, onder druk van het bedrijfsleven, steeds meer te verzetten tegen de exportrestricties. Voor het bedrijfsleven is goede encryptie onontbeerlijk, in het digitaal verkeer en als wapen tegen economische spionage. Tekenend is bijvoorbeeld dat Frankrijk, dat lange tijd het gebruik van encryptie zowel voor binnenlands gebruik als voor de export verbood, in januari 1999 haar beleid veranderde met een vergaande liberalisering.
Het bedrijfsleven krijgt meer en meer steun van de Europese Commissie, die het essentieel vindt dat Europa volop mee kan concurreren in de ontluikende cybereconomie. Zo concludeerde de Europese Commissie, na begin jaren negentig nog te hebben overwogen paal en perk te stellen aan het gebruik van cryptografie, in 1997: ‘Het publiek heeft toegang nodig tot technische middelen die effectieve bescherming bieden tegen inbreuken op de vertrouwelijkheid van communicatie. Versleuteling van data is vaak de enige effectieve en betaalbare manier om hier aan te voldoen.’[2]

Encryptie verdwijnt ook stilletjes van de agenda van Europese ministers voor Justitie en Binnenlandse Zaken (de JBZ-Raad). In de meeste Europese lidstaten circuleren in 1998 nog ideëen over het invoeren van een verplichting om sleutels af te staan bij een opsporingsonderzoek. Ook Nederland overwoog het stellen van voorwaarden aan de aanbieders van cryptografische diensten, teneinde ‘het bevoegd aftappen mogelijk te houden voor de rechtshandhaving en nationale veiligheid.’[3]
Op 28 mei 1998 namen de JBZ-ministers een resolutie aan om te komen tot een Trusted Third Party-systeem: het in bewaring geven van de encryptiesleutel bij derden. Wetshandhavingdiensten konden dan op aanvraag legaal toegang krijgen tot encryptiesleutels, ‘zonder dat de gebruiker van de cryptografiedienst ervan op de hoogte is.’ Van de voorgenomen resolutie die lidstaten verzocht bij de ontwikkeling van hun nationale beleid rekening te houden met de behoeften van wetshandhaving, is sindsdien niets meer vernomen[4].

Een manier om informatie te beschermen tegen ongewenste geïnteresseerden is het gebruik van cryptografie. Cryptografie heeft twee belangrijke toepassingen: het versleutelen van data en het zetten van een digitale handtekening:
– Encryptie (de versleuteling) zorgt ervoor dat de berichten onleesbaar worden voor derden. Een bepaald algoritme verandert klare tekst (plain text) naar een onleesbare, vercijferde tekst (ciphered text). De klare tekst kan alleen door gebruikmaking van een specifieke sleutel weer tevoorschijn gehaald worden. Alleen degene die over de juiste sleutel beschikt, kan de data ontsleutelen en lezen.
– De digitale handtekening (het signeren) zorgt voor authenticiteit, waardoor de afkomst van het bericht gewaarborgd wordt.
Er zijn verschillende soorten algoritmen die gebruikt kunnen worden voor versleuteling. Het belangrijkste onderscheid is dat tussen symmetrische en asymmetrische systemen. Bij symmetrische systemen wordt dezelfde sleutel gebruikt voor encryptie en decryptie. Dit houdt in dat van te voren door de communicerende partijen een sleutel afgesproken wordt, die ze vervolgens beiden gebruiken. Een nadeel hiervan is, dat dan ook eerst een veilig kanaal gevonden moet worden om de geheime sleutel te kunnen uitwisselen. Dit probleem wordt vermeden bij de asymmetrische systemen, waar twee sleutels worden gebruikt die wiskundig met elkaar zijn verbonden. De ene sleutel vercijfert de informatie, terwijl de tweede sleutel alleen geschikt is voor ontsleuteling. Omdat alleen de tweede sleutel de klare tekst tevoorschijn kan krijgen, mag iedereen over de eerste sleutel (de ‘public key’) beschikken. Logischerwijs wordt de tweede sleutel de ‘private key’ of ‘geheime’ sleutel genoemd: alleen degene voor wie het bericht bestemd is, zou in het bezit moeten zijn van die sleutel.
Veel gebruikte symmetrische algoritmen zijn Data Encryption Standard [DES], TripleDES, International Data Encryption Algorithm [IDEA], CAST en RC4. Sterke asymmetrische algoritmen die bijvoorbeeld gebruikt worden voor elektronische transacties (vaak in combinatie met een symmetrisch algoritme) zijn RSA, Diffie-Hellmann en Elliptic Curve Cryptosystem [ECC].
De veiligheid van een cryptografisch systeem hangt, behalve van een sterk algoritme, ook af van de kwaliteit en de lengte (in bits) van een sleutel. De kwaliteit is afhankelijk van de manier waarop de sleutel is gemaakt: hoe meer onvoorspelbare elementen worden ingezet tijdens de generatie, des te beter. Verder geldt voor symmetrische systemen dat de moeilijkheid om de sleutel te vinden exponentieel toeneemt met iedere toegevoegde bit: 128 bits zorgt bijvoorbeeld voor 2128 mogelijkheden. Voor asymmetrische systemen geldt dat iedere bit zorgt voor minder dan een kwadratische toename van mogelijkheden: een sleutel van 512 bits is ongeveer gelijk aan een sleutel van 64 bits in een symmetrisch systeem.
Bij authenticatie wordt het bericht zelf niet versleuteld, maar digitaal getekend met een private key. De verificatie hiervan gebeurt met de public key.

Eind 1998 kwam het tijdens de bijeenkomst van het Wassenaar-overleg over de herziening van de lijst strategische goederen tot een openlijke confrontatie tussen Amerika en de lidstaten van de Europese Unie. De General Software Note, waarin cryptografie staat vermeldt, werd aangepast.
Cryptoproducten tot een sterkte van 56 bits en asymmetrische cryptoproducten tot een sterkte van 512 bits werden vrijgesteld van exportcontrole. Symmetrische cryptografie voor de consumptiemarkt tot 64 bits werd ook vrijgesteld van exportcontrole. Alle overige cryptografie bleef onder de licentieregeling vallen. Over de verspreiding van (zware) cryptografie via het Internet werd niets afgesproken.
De Amerikaanse regering bleef echter druk uitoefenen op de andere Wassenaar-landen om controle op cryptografie in stand te houden. Duitsland besloot in mei 1999 haar cryptopolitiek te liberaliseren. Dat vond de Amerikaanse regering een ondergraving van de Wassenaar-afspraken van december 1998. ‘Ik denk dat we snel moeten discussiëren over de risico’s die ontstaan door de elektronische distributie van encryptiesoftware. Hoewel de Wassenaar-landen hebben besloten dat de distributie van encryptie van een zekere sterkte voor de consumptiemarkt moet worden gecontroleerd, doen sommige Wassenaar-landen niets aan de controle van encryptiesoftware die via het Internet wordt verspreid. Ik realiseer me dat de kwestie controversieel is, maar als we dit probleem niet aanpakken worden de Wassenaar-afspraken ondergraven,’ aldus de Amerikaanse minister van Justitie Janet Reno in mei 1999 in een brief aan haar Duitse collega.[5]
Werner Müller, de Duitse minister van economie en technologie, verklaarde in oktober 1999 in een speech dat Duitsland zich bijzonder had ingespannen om binnen het Wassenaar-overleg liberalisering van de exportregels voor cryptografische producten te bewerkstelligen. Volgens hem was de winst van de Wassenaar-onderhandelingen van december 1998 dat encryptie niet langer als ‘bijzonder gevoelig’ werd aangemerkt.[6]

Liberalisering
Tot de verrassing van velen kondigde de Amerikaanse regering in 1999 aan haar exportcontrole te gaan liberaliseren. In januari 2000 werden de eerste concrete wijzigingen bekend. Organisaties die zich bekommeren om burgerrechten en vrijheid op het Internet toonden zich teleurgesteld. De wijzigingen zijn een kleine stap in de goede richting, maar laten nog veel te wensen over, is de teneur van de kritiek. Zo moet de regering nog steeds op de hoogte worden gesteld wanneer cryptografische producten ‘elektronisch’ worden geëxporteerd. Export naar een aantal landen blijft verboden. Het gaat daarbij om de usual suspects: Cuba, Irak, Iran, Libië, Noord Korea, Soedan, Syrië, Servië en de delen van Afghanistan die onder controle van de Taliban staan.[7]
Voor de meeste cryptoproducten blijft het bovendien verplicht een eenmalige licentie aan te vragen. Dit betekent dat gemeld moet worden welke producten waar naartoe worden geëxporteerd en dat de Amerikaanse regering controleert of dit volgens de regels wel mag. Daarbij hoort ook een eenmalige inspectie van de cryptografische producten. Op die manier blijft de regering op de hoogte welke cryptografische producten door wie worden gebruikt.
Cryptografische broncodes mogen voortaan wel op het Internet gezet worden, behalve wanneer men ‘kan weten’ dat deze codes ook worden gelezen door mensen uit de verboden landen. Het blijft verder verboden om informatie te verschaffen hoe cryptografie te gebruiken. Ook blijft de export van zeer sterke cryptografie aan beperkingen onderhevig.[8]
De voorzichtige stappen van de Amerikaanse regering betekenen wel een wereldwijde liberalisering van het cryptografiebeleid. Twee factoren zijn daarvoor van doorslaggevend belang. Door de concurrentie tussen bedrijven op de elektronische wereldmarkt komen regeringen onder sterke druk te staan al te strikte regels op te heffen. Bedrijven dreigen naar een land te vertrekken waar ze wel over goede encryptieproducten kunnen beschikken. Daarnaast is, zeker dankzij het Internet, stevige controle op de beschikbaarheid van cryptoproducten nauwelijks meer te handhaven.
Uit overzichten van zowel Bert-Jaap Koops als het Electronic Privacy Information Center (EPIC) blijkt dat steeds minder staten nog proberen het binnenlands en buitenlands gebruik van cryptografie ouderwets aan banden te leggen. Koops merkt daarbij op dat in het Wassenaar-overleg de restricties op de export van crytpografie nog steeds op de agenda staan.[9]

Sleutels
Een zelfde ontwikkeling is te zien bij een ander stokpaardje van politie en justitie: het verplicht stellen van key escrow of key recovery. Bij key escrow wordt de sleutel van cryptografische producten in bewaring gegeven bij zogenaamde Trusted Third Parties. Bij key recovery zit er in het versleutingssysteem een toegang ingebouwd om de versleuteling te omzeilen. In het bedrijfsleven wordt dit in een aantal gevallen al vrijwillig gedaan, omdat het vrij rampzalig is sleutels te verliezen en niet langer bij de eigen bedrijfsinformatie te kunnen komen.
Dit systeem biedt in potentie ongekende mogelijkheden voor justitie en politie om de sleutels in handen te krijgen van versleutelde berichten. Het bedrijfsleven vindt echter het standaard en verplicht inbouwen van dergelijke achterdeurtjes een veel te groot risico. Als politie en justitie op die manier een blik kunnen werpen op de inhoud van een versleutelde boodschap, kunnen criminelen en concurrenten dat ook, luidt de redenering. Als de internationale georganiseerde high-tech criminaliteit inderdaad zo schrikbarend is als justitie beweert, is het voor zulke criminelen een koud kunstje om een Trusted Third Party te hacken, te corrumperen of te bestelen, zegt het bedrijfsleven. Een jij-bak op niveau, maar wel een effectief argument. Daarnaast is het nog onduidelijk of key recovery systemen technisch wel haalbaar zijn wanneer moderne cryptografie op grote schaal wordt toegepast. Ook leeft bij het bedrijfsleven de vrees dat autoriteiten key recovery kunnen misbruiken om nationale bedrijven te bevoordelen.’ [10]

Ook in deze kwestie heeft de Europese Commissie zich achter de bezwaren van het bedrijfsleven geschaard. Het stelde in 1997: ‘Key escrow en key recovery roepen een groot aantal praktische en complexe vragen op die beleidsmakers moeten zien op te lossen, speciaal rond zaken als privacy, kwetsbaarheid, effectiviteit en kosten. Als ze al verplicht zouden moeten worden gesteld, zouden de regels beperkt moeten worden tot een absoluut minimum.’[11]

In januari 1998 verklaarde Detlef Eckhart van directoraat XIII van de Europese Commissie, tijdens de RSA Data Security Conference, dat de Commissie inmiddels had besloten om geen regels over key recovery en key escrow op te stellen. Dit wordt overgelaten aan het nationale beleid van de lidstaten.[12]
De VS probeerden tijdens het Wassenaar-overleg van december 1998 nog key recovery naar de voorgrond te schuiven, door aan te bieden exportregels voor cryptografische producten drastisch te versoepelen indien key recovery bij die producten mogelijk is. Onder aanvoering van Duitsland en de Scandinavische landen werd dit voorstel geblokkeerd. Werner Müller, de Duitse minister van economie en technologie, verklaarde in oktober 1999 in een speech hierover: ‘Ondanks enorme druk voorkwamen we – virtueel vechtend aan de frontlinie – het internationaal opleggen van key recovery-verplichtingen. Onze positie is glashelder: we wilden het niet en we willen het niet.’[13]

Uit recente ontwikkelingen in diverse landen blijkt dat justitie en inlichtingendiensten hun nederlaag op dit punt accepteren. Dat wil niet zeggen dat men daarmee cryptografie laat voor wat het is. Men is druk doende om andere wegen te zoeken om hetzelfde resultaat te bereiken. Daarbij valt een opmerkelijke internationale eensgezindheid te bespeuren.

Volgens de recent aangepaste Engelse Interception of Communications Act (IOCA) mag de overheid e-mail aftappen en grootschalig internetverkeer afluisteren. Daarbij wil de overheid de capaciteit hebben om één op de 500 Internetverbindingen gelijktijdig af te kunnen tappen. Menig criticus ziet daar de hand van de inlichtingendiensten in, omdat een dergelijke gigantische tapcapaciteit ver boven de behoeften van de politie uitgaat.
In plaats van uitsluitend de minister van Binnenlandse Zaken, mogen volgens dit voorstel ook hoge ambtenaren in sommige gevallen de aftaporder geven. Bovendien zijn serviceproviders verplicht informatie over abonnees en hun communicatie geven als de autoriteiten daarom vragen. Verder zijn de definities van ‘ernstige criminaliteit’, een van de gronden waarop aftappen mogelijk wordt, erg vaag. Zo wordt onder ernstige criminaliteit ook verstaan ‘overtredingen waarbij een grote groep personen is betrokken die een gezamenlijk doel nastreven.’ Dit wordt door burgerrechtengroepen gezien als legitimatie voor het aftappen van politieke activisten.[14]
In de onlangs in Engeland gepresenteerde Electronic Communications Bill werd een nieuw balletje opgegooid. Politiediensten en inlichtingendiensten zouden de bevoegdheid krijgen om e-mailverkeer af te tappen en computers te doorzoeken, waarbij burgers verplicht zouden worden om hun encryptiesleutel af te geven als de autoriteiten dat vragen. Weiger je dat, of ben je het wachtwoord vergeten, dan kun je een verblijf van twee jaar in Hare Majesteits cellen tegemoet zien. De bewijslast zou bovendien bij de ‘verdachte’ komen te liggen.
Daarmee zou een dramatische omkering plaatsvinden van het algemeen geldende principe in rechtsstaten dat iemand onschuldig is tot het tegendeel is bewezen. Bovendien kan iemand zo gedwongen worden mee te werken aan de eigen veroordeling, en ook dat staat op zeer gespannen voet met de uitgangspunten van een rechtstaat.
Maar de Engelse regering ging nog verder: verdachten zouden ook een spreekverbod opgelegd kunnen krijgen. Als de politie in je computer of e-mail is komen snuffelen, mag je dat niet naar buiten brengen, op straffe van vijf jaar cel. Mocht je toch ergens willen klagen over het ongeïnviteerde bezoek, dan rest de weg naar een geheim tribunaal, dat achter gesloten deuren de zaak behandelt en waarbij aangedragen bewijsmateriaal binnenskamers blijft.[15]
De minister voor e-commerce, Patricia Hewitt, verklaarde tijdens de Scrambling for Safety Conferentie in Londen, dat er echt geen reden tot bezorgdheid was. Ze gaf toe dat activiteiten van de autoriteiten soms een bedreiging voor de burgerlijke vrijheden vormen, maar ‘de autoriteiten doen dit alleen om individuen te beschermen.’[16]
Privacy- en burgerrechtenorganisaties wezen erop dat de voorgestelde wetgeving in strijd is met het Europees Verdrag voor de bescherming van Mensenrechten en de Fundamentele Vrijheden (EVRM). Volgens dat verdrag is iemand onschuldig, tot het tegendeel bewezen is en kunnen verdachten niet gedwongen worden mee te werken aan de eigen veroordeling.
Na de felle kritiek werden de omstreden passages uit de wet gehaald. In februari 2000 kwam het ministerie van Binnenlandse Zaken echter met een nieuw wetsvoorstel voorstel, de Regulation of Investigative Powers (RIP), waarin de gewraakte passages uit de Electronic Communications Bill opnieuw opdoken. In de artikelen zijn enige kleine veranderingen doorgevoerd, maar de kern is hetzelfde gebleven. Justitie moet nu eerst ‘gegronde reden’ hebben om te vermoeden dat iemand een sleutel in bezit heeft of had, maar vervolgens blijkt de omkering van bewijslast intact: iemand die niet aan een bevel tot ontsleuteling voldoet, is strafbaar. Het is aan de verdachte om te bewijzen dat hij nooit de sleutel heeft gehad, of hem is vergeten.
Volgens Caspar Bowden, directeur van de Foundation for Information Policy Research, probeert de Engelse Justitie op deze manier in feite alsnog key recovery in te voeren. ‘Nadat pogingen mislukten om eerst verplichte, en later vrijwillige key recovery in te voeren, lijkt het erop dat de regering nu probeert key recovery door intimidatie in te voeren.’[17]

Inbreken
In Australië is een wetsvoorstel dat het gebruik van alle vormen van encryptie toestaat en key recovery niet verplicht stelt, in de laatste fase van behandeling. Om de autoriteiten toch toegang te geven tot versleutelde data, geeft de wet de Australische geheime dienst ASIO de bevoegdheid om zich direct toegang tot computers te verschaffen, data te vervreemden, te wissen of te veranderen. Ook is het hen toegestaan om stiekem in te breken en bij de computer apparatuur te plaatsen die data kan onderscheppen voordat die versleuteld wordt. De ASIO, die net als andere geheime diensten sinds het einde van de Koude Oorlog steeds meer ‘gewone’ politietaken heeft gekregen, zegt de nieuwe bevoegdheden nodig te hebben met het oog op het voorkomen van terroristische aanslagen tijdens de Olympische Spelen, die in 2000 in Australië plaatsvinden.[18]

De Verenigde Staten zitten op dezelfde lijn. Justitie wil de bevoegdheid krijgen in te breken in huizen en kantoren om afluisterapparatuur in computers te kunnen plaatsen of wachtwoorden te bemachtigen, zo staat in het ontwerp van de Cyberspace Electronic Security Act. Dergelijke bevoegdheden bestaan al in de Verenigde Staten, maar dan alleen voor de inlichtingendiensten. Onderminister van Justitie Jon Jennings waarschuwde in de Senaat nadrukkelijk voor het gebruik van encryptie. ‘Onder bestaande wetgeving heeft de politie verschillende bevoegdheden om bewijs te verzamelen, maar deze bevoegdheden blijken waardeloos te zijn als er encryptie wordt gebruikt,’ aldus Jennings.[19]
Na een storm van protest trok de Amerikaanse regering de gewraakte passages weer in. Ook op andere passages blijft kritiek bestaan. Zo mogen de autoriteiten met een gerechtelijk bevel sleutels opeisen. Dit mag alleen niet als de ‘in de grondwet vastgelegde bescherming van de privacy in het geding is’. Helaas zijn veel privacybepalingen in Amerika niet in de Grondwet verankerd, maar in wetgeving.
Verder komt er een Technisch Centrum van de FBI, dat met een budget van 80 miljoen dollar aan de slag gaat om middelen en technieken te ontwikkelen om encryptie te breken. De gebruikte methoden vallen onder een strikte geheimhouding, die ook niet in rechtszaken geopenbaard zullen worden.
Eerder kwam aan het licht dat de Amerikaanse regering een nationaal observatiesysteem wil invoeren dat overheids- en private netwerken controleert op hack-activiteiten: het Federal Intrusion Detection Network (Fidnet). Het Internetverkeer van niet-militaire overheidsdiensten en cruciale private sectoren zoals banken, telecommunicatie en transport, wordt permanent gecontroleerd op onregelmatigheden, om mogelijke indringers tijdig te ontdekken. Daarvoor is het nodig om al dit Internetverkeer stelselmatig af te tappen. Bij het plan betrokken ambtenaren zeggen dat de inhoud van het verkeer niet afgeluisterd wordt, maar alleen gecontroleerd op patronen. ‘Onze zorgen over een georganiseerde cyberaanval zijn zeer groot,’ aldus Jeffrey Hunker van de National Security Council. ‘We hebben weet van een hele rits vijandige regeringen die de mogelijkheden van cyberaanvallen ontwikkelen, en we hebben goede gronden te geloven dat ook terroristen vergelijkbare mogelijkheden ontwikkelen.’[20]
Deze aanpak lijkt overigens school te gaan maken. In februari 2000 kondigde de Duitse minister van Binnenlandse Zaken Otto Schily aan een vergelijkbare Task Force te willen oprichten die moet onderzoeken hoe groot de bedreiging van de kritische infrastructuur in Duitsland is.[21] Europol heeft de Amerikaanse voorbeelden ook besproken, maar nog niet besloten of het aanbeveling verdient in de EU-lidstaten vergelijkbare centra op te richten die de kwetsbaarheid van de digitale infrastructuur in kaart brengen, het Internetverkeer observeren op verdachte patronen, en dreigingsanalyses en waarschuwingen voor de autoriteiten en het bedrijfsleven opstellen.[22]

Opsporing
President Bill Clinton stelde verder in juli 1999 een hoge werkgroep in, die onder leiding van minister van Justitie Janet Reno gaat onderzoeken of bestaande wetgeving voldoende is om Internetcriminaliteit te bestrijden. Het gaat daarbij om de verkoop van wapens, springstof, medicijnen en drugs, en om fraude en kinderporno.[23]
Tijdens een hoorzitting in de Senaat kondigde Reno aan dat haar departement een pakket wetsvoorstellen voorbereidt dat het beter mogelijk moet maken cybercriminelen te lokaliseren, te identificeren en te vervolgen. Ze noemde drie specifieke voorstellen: een verandering van de Computer Fraud and Abuse Act om hacks zwaarder te bestraffen die een groot aantal computers treffen, ook al ondervindt geen enkele individuele gebruiker meer schade dan de huidige drempel van vijfduizend dollar; districtsrechters mogen voor het hele land tap- en observatiebevelen voor internetproviders uitvaardigen; en hogere straffen voor het inbreken in data die op privé-computers is opgeslagen.
FBI-directeur Louis Freeh suggereerde tijdens dezelfde hoorzitting om de bestaande Racketeer Influenced and Corrupt Organizations Act ook op computermisdaden van toepassing te verklaren. Volgens deze wet worden twee misdaden die binnen tien jaar gepleegd zijn, gezien als een ‘patroon van misdaad’, waardoor inbeslagname mogelijk is en een gevangenisstraf van 20 jaar.
Freeh herhaalde nog eens de gevaren van encryptie. Volgens Freeh stuitte de FBI vorig jaar in 53 zaken op encryptie.[24] ‘Zonder de mogelijkheid op bevel van de rechter toegang te krijgen tot klare tekst, dreigen we buitenspel te staan,’ aldus Freeh. ‘Als dit niet wordt opgelost, kunnen we in een groot aantal zaken ons werk niet doen.’[25] Freeh liet in het midden of het gebruik van encryptie in deze 53 zaken betekende dat verdachten niet vervolgd of veroordeeld zijn. In een commentaar heeft het Electronic Privacy Information Centre er al eens op gewezen dat in de meeste gevallen er genoeg ander bewijsmateriaal is om verdachten achter de tralies te krijgen dan alleen versleuteld materiaal.[26]
Naar aanleiding van de recente denial-of-service aanvallen op een aantal grote commerciële sites, zoals Yahoo! en Amazan.com, kondigde de Amerikaanse regering aan maatregelen te willen gaan nemen tegen anonimiteit op het Internet. In een ontwerp-rapport staat onder meer dat er de noodzaak is om ‘in real-time Internetcommunicatie te kunnen volgen over traditionele grenzen van de jurisdictie heen, zowel binnenlands als internationaal, en de noodzaak om geavanceerde Internetgebruikers die misdrijven begaan en hun identiteit verbergen, te kunnen traceren.’[27]
Ook moeten Internetproviders ‘aangemoedigd’ worden bestanden bij te houden van het surfgedrag van hun cliënten. ‘Sommige bedrijven bewaren systeemgegevens niet lang genoeg om opsporingsdiensten de kans te geven on-line criminelen te identificeren,’ aldus het ontwerp-rapport.[28]

Achterdeurtjes
Naast wettelijke bevoegdheden om in te breken om zo computerverkeer af te kunnen luisteren of wachtwoorden te achterhalen, zijn er meer duistere methoden om versleutelde berichten te ontrafelen.
Een van deze methoden bestaat uit het stiekem inbouwen van achterdeurtjes in encryptieproducten. Van de Amerikaanse National Security Agency (NSA) is bekend dat ze intensieve contacten onderhouden met cryptobedrijven, om deze bedrijven te bewegen hun cryptoproducten van een geheime ontsleutelingsmogelijkheid te voorzien. Als onkraakbaar geldende cryptografie blijkt in werkelijkheid dan voor de NSA zo transparant als een pas geboend raam.
Onder cryptobedrijven is de vraag “Heb je een bijeenkomst gehad met Lew Giles?” een code voor: “Heeft de NSA je gevraagd stiekem je product te verzwakken?” Giles is degene die bedrijven vraagt ontsleutelingsmogelijkheden in te bouwen. In ruil daarvoor biedt hij een voorkeursbehandeling aan. Zijn zulke ontsleutelingsmogelijkheid ingebouwd, dan mag een bedrijf bovendien zijn producten exporteren.[29]
Het bekendste voorbeeld van dit soort praktijken is het Zwitserse bedrijf Crypto AG, dat dankzij haar onkreukbare imago van neutraliteit en deugdelijkheid de hofleverancier was van crypto-apparatuur voor ruim 120 staten. Totdat uitkwam dat er al decennia lang een geheime overeenkomst bestond tussen de NSA en Crypto AG, waardoor de NSA al dit gecodeerde berichtenverkeer moeiteloos kon onderscheppen en lezen als was het de ochtendkrant…
Later bleek dat ook de cryptosleutels van het geëxporteerde programma van Lotus Notes in handen van de Amerikaanse overheid waren. Lotus wordt in een groot aantal Europese landen gebruikt, waaronder Zweden, het Duitse ministerie van Defensie, het Franse ministerie van Onderwijs en Onderzoek en het Letse ministerie van Onderwijs. In 1996 erkende vertegenwoordigers van Lotus dat hun encryptieproducten eenvoudig door de NSA te kraken waren. Maar er was niets aan de hand vonden ze, want de regering van de VS zou er echt geen misbruik van maken; het was immers illegaal als de NSA bijvoorbeeld de communicatie van de Zweedse overheid zou afluisteren.[30]

In september 1999 ontstond er commotie toen in het versleutelingsprogramma van Windows 98 een geheime sleutel werd gevonden met de naam NSAKEY. Volgens verschillende beveiligingsdeskundigen maakte deze geheime sleutel het de NSA mogelijk de versleuteling te breken.[31] In een recent rapport van de inlichtingendienst van het Franse ministerie van defensie, de DAS, werd Microsoft ook beschuldigd van innige samenwerking met de NSA. Volgens Intelligence World staat in het rapport dat de NSA verantwoordelijk is voor de installatie van geheime programma’s in Microsoft software, waardoor deze niet veilig is. NSA personeel zou in dienst zijn van de computergigant. Volgens het rapport ‘lijkt het erop dat het ontstaan van Microsoft in ieder geval grotendeels financieel is ondersteund door de NSA, en dat IBM door de NSA gedwongen is om het Microsoft MS-DOS besturingsprogramma als standaard te aanvaarden.’[32]
Eerder al bleek dat Microsoft in opdracht van de Amerikaanse overheid Windows 98 van een privacy bug had voorzien. Elke Word-file wordt daardoor automatisch gemerkt met het identificatienummer van de gebruikte pc. Op die manier achterhaalde de FBI de verspreider van het Melissa-virus tijdens de Kosovo-oorlog. De FBI vergeleek het geheime nummer van de oorspronkelijke, met het virus besmette files, met Word-files op het Internet. Zo werd de dader gevonden.[33] Dat Microsoft bij hoog en laag ontkent geheime sleutels in haar programmatuur te hebben ingebouwd, maakt dan ook weinig indruk.

In Denemarken kwam de NSA ook in een kwaad daglicht te staan. In 1996 verkocht de Deense regering het staatsbedrijf Datacentralen aan het Amerikaanse computerbedrijf CSC. Daarmee kreeg CSC de verantwoordelijkheid voor het runnen van een groot deel van Denemarkens datanetwerken, onder meer de nationale sociale zekerheidsbestanden, politiebestanden, het computernetwerk van de Deense inlichtingendiensten en grote delen van de computernetwerken van Defensie. Een maand na de verkoop van Datacentralen vond er een bespreking plaats tussen negen werknemers van CSC en vijftien medewerkers van de NSA.
CSC levert volgens haar eigen homepage al twintig jaar hard- en software aan de NSA. Het bedrijf en de NSA wisselen zelfs regelmatig werknemers uit. Volgens notulen van de bespreking tussen de CSC en de NSA werden de veiligheidsstandaarden van computernetwerken bediscussieerd. Op vragen van journalisten moesten zowel het Ministerie van Onderzoek als de Deense Registratiekamer bekennen niet op de hoogte te zijn van de samenwerking tussen NSA en CSC. Dezelfde Deense journalisten ontdekten ook dat Denemarken meedoet in de wereldwijde afluisterpraktijken. Een voormalige werknemer van de NSA, Wayne Madsen, vertelde de journalisten dat Deense burgers, ondernemingen, belangengroepen en politici werden afgeluisterd.[34]

Vrede en veiligheid
Meer in het algemeen zoeken de autoriteiten nauwe samenwerking met het bedrijfsleven. Dat kan resulteren in het bewust ‘verzwakken’ van encryptieproducten; het kan ook gericht zijn op het ontwikkelen van steeds betere apparatuur om versleutelde berichten te kraken, gebruikers te achterhalen en te identificeren. Daarnaast zit er een sterk militair aspect aan. Autoriteiten willen zich verzekeren van de nieuwste technologische snufjes om tegenstanders voor te zijn. Het probleem daarbij is dat computerfabrikanten nu voor een massaconsumptiemarkt produceren. Nog geen vijftien jaar geleden kocht het Pentagon bijvoorbeeld zo’n 60% van de IT-producten in de VS. Momenteel is dat niet meer dan 2%. Als gevolg daarvan hebben de militairen minder invloed op wat de commerciële sector doet en dat wordt gezien als een nationaal veiligheidsprobleem.
Samenwerking bij de ontwikkeling van nieuwe technologieën, waarbij rekening wordt gehouden met militaire behoeften, en samenwerking in het ontwerpen van middelen om de high-tech apparatuur van een tegenstander de baas te blijven, gaan daarbij hand in hand. Dat encryptie, en vooral het breken ervan, ook hierin een essentiële rol speelt, mag duidelijk zijn.
De Amerikaanse staatssecretaris van Defensie Cohen deed in februari 1999 dan ook een beroep op de patriottische sentimenten van Microsoft, ondanks de heftige strijd die Justitie en Microsoft op dat moment uitvochten. Cohen wilde meer begrip van de digitale elite voor de militaire behoeften. ‘De soldaten in de high-tech revolutie hebben onvoldoende oog en waardering voor de soldaten in camouflage,’ zei hij. ‘De veiligheid die zij beschermen is ook uw veiligheid. De welvaart die zij mogelijk maken is ook uw welvaart.’ Cohen noemde Microsoft en het Pentagon de twee ‘meest aansprekende voorbeelden van Amerikaans succes – gebieden waar de VS een onbetwiste superioriteit hebben.’
‘Vrede en stabiliteit zijn de hoekstenen van welvaart. Als ons leger en onze diplomaten samenwerken om stabiliteit en vrede in een land of regio te brengen, trekt dat investeringen aan. Investeringen genereren welvaart. En welvaart versterkt democratie, die stabiliteit en veiligheid versterkt. Er is slechts een land met de macht om deze rol te vervullen. We moeten investeren in de volgende generatie van wapens en technologie, indien we ons vermogen om de wereldgebeurtenissen in de 21e eeuw vorm te geven willen behouden.’[35]
De samenwerking tussen publieke en private sector laat zich ook zien in de oprichting van allerlei adviesraden de laatste tijd, die voortborduren op thema’s als de kwetsbaarheid van de digitale infrastructuur en het gevaar van cyberaanvallen.

De Amerikaanse CIA sloeg een andere richting op: het richtte een eigen venture capital firma op die high-tech bedrijven en onderzoekers ondersteunt. Het fonds, In-Q-It genaamd, richt zich op vier voor de CIA interessante onderzoeksgebieden: integratie van Internettechnologie in het werk van de CIA, de ontwikkeling van nieuwe technologieën voor beveiliging van persoonlijke gegevens, datamining, en modernisering van computersystemen die door de autoriteiten gebruikt worden. Waar vroeger de regering vooral geld stak in ondernemingen om specifieke technologieën te ontwikkelen, gaat In-Q-It vooral nieuwe ontwikkelingen in de markt opsporen en proberen voor de inlichtingendiensten bruikbaar te maken. Een bij het bedrijf betrokken CIA-directeur verklaarde: ‘Er vindt een geweldige informatie-explosie plaats. Daardoor lopen de autoriteiten steeds een stap achter. We kwamen tot het inzicht dat we iets nodig hadden dat niet alleen aan onze behoeften voldoet, maar ook een navelstreng is die de knapste koppen van Silicon Valley met ons verbindt.’[36]

[1] In Nederland is de lijst integraal opgenomen in het Uitvoerbesluit Strategische Goederen van 1963 en de latere aanvullingen daarop. In Europees verband zijn de Europese lidstaten een vergelijkbare lijst overeengekomen.
[2] Europese Commissie, Towards a European Framework for digital signatures and encryption, COM (97) 503, oktober 1997
[3] Kamerstukken 23 490 nr. 99, 14-5-1998
[4] Ontwerp-conclusies van de Raad over encryptie en wetshandhaving, Comite K4 aan Coreper/Raad, 8116/98 Enfopol 69 Limite, Brussel 4-5-1998
[5] Christiane Schulzki-Haddouti, USA drängen auf Internetverbot für Kryptoprodukte, Telepolis 27 juli 1999
[6] Dr. Werner Müller, speech for the Conference on international security solutions Europe, Berlijn, 4 oktober 1999
[7] Christiane Schulzki-Haddouti, Kontrollierte Liberalisierung, Telepolis 13 januari 2000; q/depesche, US-Krypto: Liberalisierung und Kritik, 13 januari 2000
[8] Christiane Schulzki-Haddouti, Kontrollierte Liberalisierung, Telepolis 13 januari 2000; q/depesche, US-Krypto: Liberalisierung und Kritik, 13 januari 2000
[9] Zie http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm en http://www2.epic.org/reports/crypto1999.html
[10] Zie bijvoorbeeld: Lawfull Access, Room Paper, EMEF Workshop Switzerland, Parijs 9-10 december
[11] Europese Commissie, Towards a European Framework for digital signatures and encryption, COM (97) 503, oktober 1997
[12] Zie: http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm
[13] Dr. Werner Müller, speech for the Conference on international security solutions Europe, Berlijn, 4 oktober 1999
[14] ZDNet UK, Surveillance: a special report, 30 september 1999
[15] Danny Penman, Cops in your computer, Daily Express, 28 september 1999
[16] Jane Wakefield, e-Minister defends government action on encryption, while privacy-rights experts blasts e-commerce bill, ZDNet UK 23 september 1999
[17] FIPR news release, 10 februari 2000
[18] Florian Rötzer, Lizens zum Abhören, Telepolis 20 september 1999
[19] Maria Seminerio, US furor rises over PC wiretap plan, ZDNet UK, 23 augustus 1999
[20] Florian Rötzer, US-Regierung plänt ein umfassendes Uberwachungssystem, Telepolis 28 juli 1999
[21] Christiane Schulzki-Haddouti, Schilys Cyberwar, Telepolis, 15 februari 2000
[22] Multidisciplinary group on organised crime, Report on the second informal high-tech crime meeting of representatives of international fora, 13838/99 CRIMORG 1888, Limite, Brussel 8 december 1999
[23] Florian Rötzer, Bekämpfung der Internetkriminalitat, Telepolis 10 augustus 1999
[24] CDT Policy Post, 4 februari 2000
[25] Declan McCullagh, Everything hacked but the Budget, Wired 16 februari 2000
[26] Zie: http://www.eff.org/pub/Censorship/epic_fbi_crypto_childporn.alert
[27] Declan McCullagh, US wants to trace Net users, Wired 4 maart 2000
[28] Declan McCullagh, US wants to trace Net users, Wired 4 maart 2000
[29] q/depesche 99.2.17/2
[30] Groene Amsterdammer 25 februari 1998; Crypto AG: The NSA’s Trojan Whore? Covert Action Quarterly, Wayne Madsen, Winter 1998; Duncan Campbell, Nur die NSA kann zuhören, das ist OK, Telepolis 8 juni 1999
[31] Mark Honingsbaum, Microsoft’s ‘secret link to Big Brother’, Observer 5 september 1999; Duncan Campbell, How NSA access was built into Windows, Telepolis 4 september 1999; Marie-José Klaver, Debat over achterdeur in Windows ter spionage, NRC 8 september 1999
[32] US secret agents work at Microsoft: French Intelligence, AFP, 19 februari 2000
[33] Vrij Nederland, 19 februari 2000
[34] Bo Elkjaer and Kenan Seeberg, Politicians overlooked spy connection, Ekstra Bladet, 21 september 1999
[35] Defence-links, Remarks as Prepared for Delivery Secretary of Defense William S. Cohen Redmond, Washington Thursday, February 18, 1999; Special to washingtonpost.com, Monday, March 1, 1999
[36] Florian Rötzer, Q – Tüftler in James Bond Filmen – wird Pate von CIA, Telepolis 29 september 1999