Hoe krachtige encryptie gangbaar wordt
De strijd tussen FBI en Apple heeft tot gevolg dat steeds meer techbedrijven end-to-end encryptie invoeren.
De strijd tussen de FBI en Apple heeft een belangrijke discussie aangewakkerd: mag een overheid techbedrijven verplichten om de beveiliging van producten of communicatie te breken? Sommige overheden vinden van wel, en daarom wordt er vaker gebruikgemaakt van krachtige encryptie die zelfs niet door het bedrijf is te kraken. Zo kun je ook niets overdragen als een overheid je dat verplicht.
Iedereen maakt gebruik van encryptie
Iedereen maakt direct of indirect gebruik van encryptie. Denk bijvoorbeeld aan je bankgegevens, die versleuteld worden opgeslagen. Encryptie houdt data veilig en wordt daarom door zowel de overheid als burgers gebruikt. Maar terwijl je vroeger juist je best moest doen om als burger encryptie in te zetten voor persoonlijk gebruik, wordt het anno 2016 door veel techbedrijven als een belangrijke feature beschouwd.
Apple, Google en Microsoft zijn enkele jaren begonnen met het versleutelen van hun apparaten. De data op een toestel is dan alleen toegankelijk als de pincode wordt ingevoerd. Dat is handig voor mobiele apparaten, die regelmatig verloren raken of worden gestolen. Maar in tegenstelling tot data op apparaten, waren techbedrijven niet echt bezig om ook de communicatie van klanten te beveiligen.
Dat komt omdat communicatie op een andere manier wordt versleuteld dan data op een apparaat. Bij een apparaat worden de bestanden toegankelijk gemaakt met bijvoorbeeld een pincode of wachtwoord, bij communicatie wordt er meestal alleen gebruikgemaakt van een beveiligde verbinding. Als een partij de sleutel heeft tot die beveiligde verbinding, kan het alle communicatie van een dienst inzien.
De opkomst van end-to-end-encryptie
Techbedrijven richten zich nu op end-to-end-encryptie, een krachtige vorm van versleuteling waarbij berichten alleen door de ontvanger zijn in te zien. Al zou een partij de sleutel van de beveiligde verbinding hebben, wordt er alleen codetaal onderschept. Om die codetaal om te zetten in normale berichtjes, is de sleutel nodig. En alleen de ontvanger heeft deze sleutel.
De grote klapper in de encryptiediscussie komt van WhatsApp, dat vorige maand voor meer dan een miljard mensen end-to-end-encryptie inschakelde. Dat proces ging soepel: veel gebruikers merkten de verandering alleen door een melding in het scherm. In de wereld van encryptie is dit bijzonder, omdat software om communicatie te versleutelen in het gros van de gevallen ingewikkeld en omslachtig is.
Het invoeren van end-to-end-encryptie is ook de reden waarom WhatsApp in Brazilië enkele dagen is geblokkeerd. Een rechter oordeelde dat WhatsApp inzage moest geven in de communicatie tussen enkele drugsverdachten, maar volgens WhatsApp is dit door end-to-end-encryptie niet mogelijk. "Miljoenen onschuldige Brazilianen worden gestraft omdat een rechtbank informatie wil van WhatsApp waar we niet over beschikken", schrijft ceo Jan Koum.
Na WhatsApp volgde ook de populaire chat-app Viber met het invoeren van end-to-end-encryptie, dat gebruikers samen met apps als Signal, Threema en ChatSecure veilig laat chatten.
Privacy als marketing
Door de onthullingen van NSA-klokkenluider Edward Snowden en de vete tussen FBI en Apple is privacy de afgelopen tijd een populairder thema geworden. Een bedrijf dat beweert de privacy van zijn klanten te beschermen, doet het goed bij consumenten. Dat is volgens de FBI precies de reden waarom Apple zo publiekelijk weigerde om de iPhone van een terrorist te kraken: het zou een 'marketingstrategie' zijn.
De marketingstrategie rondom privacy wordt voor bedrijven interessanter. Er zijn zelfs bedrijven opgericht die privacy als speerpunt hebben, zoals het communicatieplatform Keybase en e-maildienst ProtonMail. Keybase wil geld verdienen door een veilig communicatieplatform voor bedrijven te worden, door bijvoorbeeld medewerkers via een veilige verbinding aan hetzelfde document te laten werken. ProtonMail biedt betaalde abonnementen aan en haalde met zijn crowdfundingcampagne meer dan een half miljoen dollar op.
De strijd is nog lang niet gestreden
De trend om krachtige encryptie aan producten toe te voegen, betekent niet het einde van de strijd tussen overheden en techbedrijven. Omdat bedrijven een vorm van encryptie doorvoeren die ook zij niet kunnen kraken, verplaatst de discussie over encryptie zich naar de politiek.
Het Nederlandse kabinet bevestigt 'op dit moment' voor krachtige encryptie te zijn, maar in andere landen - waaronder Frankrijk, de Verenigde Staten en het Verenigd Koninkrijk - staat de legaliteit van krachtige encryptie onder druk.
Encryptie is wiskunde
"Encryptie is wiskunde. En hoe we ook anders hopen, is wiskunde gewoon wiskunde. Het werkt hetzelfde voor Moeder Theresa als Osama Bin Laden", legt Snowden uit tijdens een debat op de New York University.
"Rechtmatige toegang tot versleutelde communicatie kan niet bestaan zonder afbreuk te doen aan de veiligheid van iedereen. Je kunt wel onder elke deurmat een sleutel leggen zodat de politie gemakkelijker naar binnen kan, maar het probleem is dat iedereen die sleutel kan vinden en gebruiken", zo vervolgt de klokkenluider.
"Zelfs de oud-NSA-directeur zegt dat Amerika veiliger is met onbreekbare end-to-end-encryptie. En ik kan jullie één ding beloven: als ik met iets schouder aan schouder sta met de directeur van de NSA, dan is daar een verdomd goede reden voor."