Stel de AIVD doorbreekt versleuteling. Wat dan?
- 18 december 2016
De Nederlandse geheime diensten zouden bezig zijn de versleuteling van WhatsApp- en Telegramberichten te doorbreken. Dat is op zich niet gek. De vraag is vooral: als het lukt, wat dan?
Zaterdag kopte de Telegraaf: “AIVD kraakt WhatsApp”. Maar zoals wel vaker wordt de soep minder heet gegeten: de Nederlandse geheime diensten zouden er mee bezig zijn en hoewel het nu nog niet echt lukt wordt het ook niet onmogelijk geacht. Dat suggereert tenminste Dick Schoof, de baas van de NCTV. Uit het korte artikel wordt overigens helemaal niet duidelijk hoe de diensten precies “bezig [zijn] toegang te krijgen tot versleutelde berichtendiensten als WhatsApp en Telegram.”
Of de geheime diensten dat nu daadwerkelijk proberen of wat de stand van zaken precies is, is niet het belangrijkste. Er is op zich niet zoveel mis met een geheime dienst die de beveiliging van veelgebruikte communicatiemiddelen probeert te doorbreken. Sterker nog, je zou kunnen zeggen dat er iets goed mis is als ze het niet zouden proberen. Het willen doorbreken van zulke beveiliging is een tweede natuur van de diensten – het is kennis waarmee de diensten het verschil kunnen maken tussen oorlog en vrede.
De belangrijkste vraag is wat de AIVD zou doen als het haar echt lukt om de beveiliging van WhatsApp te doorbreken. Houdt ze die kennis dan achter de hand om vroeg of laat eens te gebruiken? Of brengt ze de ontwikkelaars van de app op de hoogte zodat die de zwakte kan oplossen? Dat laatste is erg belangrijk: want zolang de kennis over een kwetsbaarheid in Whatsapp niet met de makers ervan wordt gedeeld lopen de meer dan één miljard gebruikers het risico dat anderen die kwetsbaarheid ook vinden (of al gevonden hebben) en deze wél misbruiken.
Het achter de hand houden van de kennis over een onbekende kwetsbaarheid is onverantwoord en brengt grote risico’s voor de veiligheid van onze maatschappij. Daarom is het belangrijk dat onze overheid als beleid hanteert dat alle onbekende kwetsbaarheden die zij tegenkomt direct en op verantwoorde wijze gemeld worden bij de ontwikkelaars van de kwetsbare software. Helaas heeft ons kabinet een gevaarlijk standpunt gekozen: onbekende kwetsbaarheden in software mogen door de overheid achter de hand gehouden worden voor gebruik door de geheime diensten en de politie.
Met dat in het achterhoofd wordt het morgen een spannende dag: dan stemt de Tweede Kamer over het wetsvoorstel waarmee de politie de bevoegdheid zou krijgen om in te breken op alles dat met het internet is verbonden. Eén van de belangrijkste twistpunten bij die stemming: mag de politie indirect onbekende kwetsbaarheden inkopen, waarmee Nederland die schimmige markt in stand houdt. De Partij van de Arbeid heeft de sleutel in handen: gaan zij stemmen voor of tegen het gebruik van onbekende kwetsbaarheden? “Laat Recourt weten dat kwetsbaarheden niet thuis horen bij de politie!
Trouwens, over die kop van Telegraaf gesproken… Eigenlijk is het heel gek dat Schoof dit heeft gezegd in een interview. Dat “de Nederlandse geheime diensten bezig toegang te krijgen tot versleutelde berichtendiensten als WhatsApp en Telegram” zegt iets over de modus operandi, het kennisniveau en de capaciteiten van de AIVD en de MIVD. Dat is daarmee automatisch staatsgeheim. Zou Schoof nu echt een staatsgeheim gelekt hebben?