4.2.1 Encryptie als beveiliging van de communicatie

In de vorige paragraaf is encryptie reeds ter sprake gekomen als een middel dat door criminelen gebruikt kan worden om de communicatie te beveiligen. De discussie over de beveiliging van digitale communicatie wordt echter volledig uit verband getrokken, wanneer bij encryptie alleen over de mogelijkheden van misbruik gesproken zou worden. Encryptie van digitale communicatie is van groot economisch belang. De groei van de e-commerce, de elektronische handel via internet, wordt ernstig afgeremd door de problemen die het tot nog toe geeft om bij transacties via internet vertrouwelijke gegevens (financiële cijfers, klantnummers, wachtwoorden, creditcardnummers e.d.) te beveiligen. Het bedrijfsleven heeft er een dringend financieel belang bij te kunnen beschikken over betrouwbare encryptietechnieken voor het beveiligen van het betalingsverkeer langs digitale weg. Dit economische belang zorgt er voor dat de discussie over de noodzaak van versleuteling van digitale gegevens steeds weer oplaait. Ik zal me in deze bespreking echter beperken tot het belang van encryptie voor de communicatie van individuele gebruikers.

Wat is encryptie? Computers werden in de Tweede Wereldoorlog in het geheim ontwikkeld met de bedoeling vijandelijke communicatiecodes te breken. De ontwikkeling van de cryptografie als wiskundige discipline stamt ook uit die tijd.69 In de jaren na W.O. II kon niemand zich voorstellen dat computers nog eens voor gewone mensen beschikbaar zouden komen. Kennis van de cryptografie werd dan ook beschouwd als iets dat in handen van de overheid diende te blijven. Met de snelle toename van de rekencapaciteit van computers sinds de jaren zeventig heeft ook het onderzoek in de cryptografie een snelle ontwikkeling doorgemaakt. Met name de ontdekking van de Public Key Cryptography70 zorgde voor een doorbraak. Vanaf het moment van deze doorbraak in het onderzoek werd cryptografie een instrument in handen van gewone burgers. De Amerikaanse cryptografiedeskundige Philip Zimmermann heeft baanbrekende arbeid op dit terrein verricht met de verspreiding van zijn encryptieprogramma Pretty Good Privacy (PGP). PGP wordt voornamelijk gebruikt voor het versleutelen van e-mailberichten en werkt via het principe van de Public Key Cryptography. Tijdens de drie jaar dat hij werd vervolgd door de Amerikaanse overheid voor het exporteren van PGP via internet71, wist Zimmermann een wereldwijde discussie over de noodzaak van het beveiligen van e-mail op gang te brengen.

Een van Zimmermann's meest overtuigende argumenten is dat er een concrete bedreiging van de democratie schuilt in de mogelijkheid van een omniscient government, een alwetende overheid. Het argument is niet dat in democratische landen deze omniscient government al bestaat, maar dat het gevaar schuilt in de mogelijkheid. Nu als onderdeel van de zogenaamde informatierevolutie steeds meer communicatie verloopt via fax, e-mail, digitale telefonie en internet, is het voor overheden een stuk gemakkelijker geworden alle communicatie van haar burgers - preventief - te volgen.

Er ontstaat een samenleving waarin de communicatie ten prooi valt aan surveillance, het uit voorzorg scannen en analyseren van telefoonverkeer, e-mail en internet.72 Zimmermann vat zijn punt als volgt samen:

"When making public policy decisions about new technologies for the government, I think one should ask oneself which technologies would best strengthen the hand of a police state. Then, do not allow the government to deploy those technologies. This is simply a matter of good civic hygiene."73

Ook de overheden van democratische landen zijn bijzonder terughoudend in het vrijgeven van sterke cryptografische technieken in handen van burgers. Steeds opnieuw keert de vraag terug of er niet een instantie in het leven dient te worden geroepen die een kopie bewaart van alle geheime encryptiesleutels die in omloop zijn. Deze instantie zou er dan zorg voor moeten dragen dat Justitie op verzoek toegang kan krijgen tot de sleutels en daarmee tot de beveiligde communicatie. Zo'n derde partij74 zou dan volkomen onafhankelijk dienen te zijn en het vertrouwen van zowel burgers als overheid dienen te genieten. Ook hier overschaduwt het argument van de criminaliteitsbestrijding dat van het recht van burgers op privacy.

Probleem in de discussie over encryptie is het verstoorde machtsevenwicht tussen burgers en overheid. Door de gevorderde techniek is een regering in principe in staat alle communicatie van burgers te volgen. Bezorgde burgers kunnen enkel hun toevlucht nemen tot encryptie om hun recht op privacy veilig te stellen en zo de machtsbalans meer in evenwicht te brengen. Hoe belangrijk een herstel van dit evenwicht kan zijn, wordt duidelijk uit de getuigenissen van mensenrechtenactivisten die in hun werk gebruik maken van encryptie. Medewerkers van Human Rights Watch75, rapporteurs van de Verenigde Naties en lokale mensenrechtenactivisten in bijvoorbeeld China, Burma, Guatemala en Kosovo maken gebruik van PGP om hun rapportages over mensenrechtenschendingen op een veilige manier naar buiten te brengen. In deze landen is al helemaal geen sprake van een onafhankelijke partij bij wie de encryptiesleutels in bewaring gegeven zouden kunnen worden.

69. Van grote betekenis voor zowel het cryptografisch onderzoek als voor de geboorte van de computerkunde is de Britse onderzoeker Alan Turing geweest. Turing speelde tijdens W.O. II een cruciale rol in het breken van de Duitse Enigma codes. Na de oorlog bleef hij part-time voor de Britse geheime dienst werken. In 1952 gaf Turing - bedreigd met chantage - zichzelf bij de politie aan i.v.m. een homoseksueel contact, tot voor kort een strafbaar feit in Groot-Brittannië. Hij kon kiezen tussen een jaar cel of een langdurige behandeling met oestrogeen, en koos het laatste. Door zijn grote kennis van de veiligheidsdienst en zijn openheid over zijn seksuele voorkeur, gold Turing sindsdien in kringen van de inlichtendienst als een veiligheidsrisico. In 1954 pleegde Turing suïcide. De levensloop van Alan Turing, cryptoanalytisch genie, is een treffende illustratie van het belang van bescherming van de persoonlijke levenssfeer.
70. Elke cryptografische techniek is het meest kwetsbaar op het punt van de uitwisseling van de geheime codesleutels tussen gebruikers. De public key cryptography lost dit probleem op door voor elke gebruiker twee sleutels te creëren: een publieke (public key) en een persoonlijke, geheime sleutel (private key). De twee sleutels worden door de gebruiker zelf aangemaakt, met behulp van de software, en staan in een mathematische relatie tot elkaar. De publieke sleutel kan vrijelijk verspreid worden (bijv. via internet). Wanneer een gebruiker een versleuteld bericht wenst te versturen, neemt hij de publieke sleutel van de geadresseerde en versleutelt het bericht door een combinatie van zijn eigen geheime sleutel en de publieke sleutel van geadresseerde. Wanneer nu het bericht wordt verzonden, is alleen de geadresseerde in staat het beveiligde bericht te openen, met zijn persoonlijke geheime sleutel. Geadresseerde kan zo ook verifiëren werkelijk met de zender van doen te hebben, en niet met iemand die zich slechts als de zender voordoet.
71. Zimmermann werd vervolgd wegens overtreding van de Amerikaanse Arms Export Control Act. Zijn argument dat de verspreiding van cryptografie onvermijdelijk en van groot economisch belang was, kon de Amerikaanse overheid niet overtuigen. In 1996 liet de regering de eis tegen Zimmermann vallen, overigens zonder nadere verklaring. Inmiddels (sinds 13 december 1999) mag PGP vrijelijk worden uitgevoerd uit de Verenigde Staten.
72. Wie nog in de veronderstelling zou leven dat een dergelijke praktijk in Nederland niet snel zal voorkomen, doet er goed aan kennis te nemen van het voorstel tot wijziging van de 'Wet op de Inlichtingen- en Veiligheidsdiensten' (25877, nr. 1-2, 18 februari 1998), met name artikel 25 en 26. In dit wetsvoorstel wordt gesteld dat het de Nederlandse inlichtingendiensten is toegestaan alle informatie die door de ether gaat op te nemen. Voor een nadere selectie van deze gegevens (op verzender of ontvanger, op inhoud, telefoonnummer, stempatronen (voice recognition), trefwoorden etc.) is toestemming nodig van één minister. Zie: Memorie van Toelichting bij de WIV, § 3.4.3.4.8 (25877, nr. 3, 18 februari 1998). Het betreft hier met name de communicatie via telecommunicatie-satellieten, die - naast het telefoonverkeer - ook voor internetcommunicatie worden gebruikt.
73. Bron: Testimony of Philip R. Zimmermann to the Subcommittee on Science, Technology and Space of the US Senate Committee on Commerce, Science and Transportation. 26 juni 1996. Zie: http://www.philzimmermann.com/EN/testimony/
74. In de literatuur over encryptie wordt doorgaans gesproken van Trusted Third Parties.
75. Zie ook het Testimony on Human Rights and Encryption before the House Subcommittee on International Economic Policy and Trade van Dinah PoKempner, deputy general counsel van Human Rights Watch. 18 mei 1999. Zie: http://www.hrw.org/advocacy/internet/testim-518.htm