De onstuitbare opmars van de cryptografie

ARTIKEL Haagsche Courant, 19-01-1999

De onstuitbare opmars van de cryptografie

In een duistere kelder bevestigt de rechercheur een stel krokodillenbekjes aan draden uit een verdeelkast. Gekraak klinkt uit de koptelefoon, gevolgd door een bevelende mannenstem. Onze speurder greinst tevreden. Op het parkeerterrein zit zijn collega achterin een onopvallend busje en legt de gesprekken vast op een taperecorder met grote draaiende spoelen.

Tot zover een typische sc�ne uit een politieserie.
Maar volgens Dr Bert-Jaap Koops (31) heeft het afluisteren van telefoongesprekken z�n beste tijd gehad. Koops promoveerde onlangs aan de afdeling Recht, Bestuur en Informatisering van de KU�Brabant op z�n studie naar de moeizame verhouding tussen wetgeving en cryptografie (het versleutelen van gesprekken en computerbestanden). Hij stelt dat het huidige beleidsstandpunt dat alle telecommunicatie aftapbaar moet zijn, achterhaald is.
Bij Justitie is men echter sterk gehecht aan de aftappraktijk. Voorlichtingsambtenaar Wijnand Stevens: �De tap speelt een belangrijke rol in de opsporingspraktijk en dat willen we niet verliezen.� Tegelijkertijd realiseert men zich dat de cryptografie niet valt te stoppen. Dat bleek in 1994 toen een forse rel ontstond naar aanleiding van een uitgelekt wetsvoorstel dat het versleutelen van gegevens aan vergunningen wilde binden. Nu, bijna vijf jaar later, is de wetgeving op het gebied van digitale snelweg en computercriminaliteit nog steeds in de maak, maar het uitgangspunt daarbij is inmiddels dat cryptografie moet worden toegestaan. En daardoor zal volgens Koops de telefoontap als opsporingsinstrument in de komende jaren aan waarde gaan verliezen.
Sinds die rel over het al-dan-niet toestaan van cryptografie staan in Nederland twee partijen lijnrecht tegenover elkaar: computergebruikers claimen hun recht op privacy en justitie eist een mogelijkheid tot inzage of ontsleuteling. De argumenten �geen regulering� versus �geef ons de sleutels� zijn eindeloos herhaald als waren het mantra�s , maar enige toenadering is uitgebleven. Koops analyseert in zijn proefschrift �The Crypto Controversy� de tegengestelde belangen en argumenten en komt aan het eind van z�n proefschrift tot een merkwaardige aanbeveling: de overheid moet vooral niets doen.

De cryptografie (letterlijk: geheimschrift) kent een lange en kleurrijke geschiedenis. Het vroegste geval van geheimschrift dateert volgens David Kahn in z�n geschiedenis van de cryptografie van zo�n 4000 jaar geleden toen een Egyptische schrijver opzettelijk hi�rogliefen verwisselde. In ons schrift is het zowel mogelijk om woorden te verwisselen als letters, waarbij het laatste gebruikelijker is. De letters kunnen van plaats verruild worden (transpositie) of door een andere letter vervangen (substitutie). Het klassieke voorbeeld daarvan werd door Julius Caesar ontwikkeld: iedere letter wordt vervangen door de letter die -zeg- drie plaatsen verderop staat in het alfabet (waarbij z weer aansluit op a). Vanaf de Romeinse tijd is de cryptografie vooral in gebruik gebleven voor spionage en voor militaire berichten.
Tot de Eerste Wereldoorlog was het coderen en het ontcijferen handwerk. Daarna werden er uiterst ingenieuze mechanische apparaten voor ontwikkeld die in de Tweede Wereldoorlog hun grootste bloei beleefden. Zo zetten de Engelsen tienduizenden mensen in bij het Enigma-project dat als doel had de Duitse codes te kraken. Wiskundige spitsvondigheden en intellectuele breinbrekers onder de hoogspanning van de oorlog vormen de ingredi�nten van de gelijknamige roman. Ook in de tijd na de Tweede Wereldoorlog floreerde de cryptografie. Nu vooral in de duistere krochten van de geheime diensten onder het klimaat van de Koude Oorlog.
Onder invloed van de computer kwam cryptografie in de jaren zeventig ook buiten het militaire circuit ter beschikking. Met name het zogeheten publieke-sleutel systeem opende de mogelijkheid tot het coderen van correspondentie per computer. Hierbij houdt iemand zelf z�n priv�-sleutel, maar stuurt de publieke sleutel rond aan al z�n correspondenten. Wat met de ene sleutel gecodeerd is, is alleen met de andere te lezen. En wat destijds voorbehouden was aan computernerts is met de massale opkomst van email als communicatiemiddel gemeengoed aan het worden. De meeste email- en tekstverwerkingsprogramma�s zijn al voorbereid voor cryptografie. Alleen de uiteenlopende wetgevingen in de verschillende landen staat een standaardintegratie van cryptografie nog in de weg. Maar wie wil koppelt z�n emailprogramma aan bijvoorbeeld het shareware programma PGP�(pretty good privacy) en verstuurt achteloos gecodeerde berichten waar het Enigma-team machteloos tegenover zou staan.
En ook zonder er bewust voor te kiezen maakt de moderne burger gebruik van cryptografie, bijvoorbeeld met z�n GSM-telefoon of z�n thuisbankier software.
Koops wijst erop dat cryptografie van groot (economisch) belang gaat worden in de informatiemaatschappij waarin we leven. Veiligheid, betrouwbaarheid en vertrouwelijkheid van informatie zijn van essentieel belang voor bijvoorbeeld financi�le transacties en voor bedrijfscommunicatie. Aan de andere kant groeit de bezorgdheid over de mogelijkheid dat criminelen cryptografie zullen gebruiken om zich te onttrekken aan controle door de politie. Koops noemt deze patstelling van belangen (privacy versus justitie) de cryptocontroverse.

Temidden van het alom oprukkende coderingsgeweld wil Justitie vasthouden aan de aftapbaarheid van telecommunicatie. Stevens meldt dat het kabinet werkt aan een nota over de elektronische snelweg waarbij �de regulering van het aanbod bestudeerd wordt.� Dat houdt in dat gebruikers van cryptografie een sleutel dienen in te leveren bij een zogeheten Trusted Third Party (TTP) die de rol van een soort internetnotaris zou moeten spelen. In geval van verdenking van criminele activiteiten behoudt Justitie met deze sleutels toegang tot de informatie.
Een andere methode van toegang die overwogen wordt is de zogeheten �ontsleuteling op bevel�, waarmee bedoeld wordt dat de politie de mogelijkheid moet hebben om verdachten te kunnen dwingen bestanden en communicatie te ontcijferen.
Het goede nieuws is dat, in weerwil van de daadkrachtige plannen van het kabinet, in de praktijk cryptografie nauwelijks een hindernis vormt voor de opsporing. Tot nu toe althans. Uit een Amerikaans onderzoek naar 500 zaken waarin sprake was van versleutelde informatie wist de politie zich in verreweg de meeste gevallen toegang te verschaffen tot de informatie. Vaak was de code makkelijk te kraken, stond er ergens een wachtwoord op papier of was de informatie niet relevant voor het onderzoek en was er volodende ander bewijs voorhanden. �De dreiging van de computercriminelen is grotendeels een spookbeeld� concludeert Koops, hoewel hij niet uitsluit dat criminelen in de toekomst meer (en beter) gebruik zullen maken van cryptografie.
Maar de tegenmaatregelen die de overheid nu voorstelt doen meer kwaad dan goed, meent Koops. Het deponeren van softwaresleutels bij internetnotarissen (TTP�s) houdt volgens Koops extra veiligheidsrisico�s in voor de versleutelde gegevens. Bovendien, redeneert hij, zullen uitgerekend de criminelen zich aan een dergelijke verplichting onttrekken. Ook aan de overwogen ontsleutelingsplicht (decodering onder dwang van de politie) hecht Koops weinig waarde: �Zo dwing je een verdachte om mee te werken aan z�n eigen veroordeling. Juridisch kan dat nauwelijks�.
Zo komt Koops tot zijn opmerkelijke aanbeveling dat de overheid het beste niets kan doen tegen de cryptografie. Althans momenteel, want zowel het Recht als de Informatica zijn volop in beweging. Mocht de computercriminaliteit over enige tijd wel een serieuze bedreiging worden waartegen geen ander verweer mogelijk is, dan wordt het wellicht tijd om de passieve houding te herzien. In dat geval pleit Koops voor de ontwikkeling en inzet van alternatieve opsporingsmethoden zoals buggen, infiltreren, afluisteren of aftappen van computerschermen om het geleidelijke verlies van de nostalgische telefoontap te compenseren.

copyright � Het Inzicht / Jos Wassink, 1999