Over het CDA en het bestraffen van gebruik van crypto

Nieuwe opsporingsmethoden hard nodig, maar dan wel de goede. Blijf van crypto af!

Gisteren voerde de tweede kamer een debat met minister Opstelten over Cyber Security in Nederland. Aanleiding was de in februari gepubliceerde Nationale Cyber Security Strategie. Die strategie moet Nederland helpen om digitaal veilig te worden. Over de strategie zelf heb ik al eerder geschreven. Het CDA heeft bij monde van Coşkun Çörüz gevraagd om nieuwe wetgeving rondom het gebruik van encryptie in bepaalde strafzaken. Als voorbeeld noemde hij het verhogen van de strafmaat als een verdachte zijn wachtwoorden niet wil afgeven. Als we Nederland werkelijk digitaal veilig willen maken, zou de overheid juist dit soort technologie moeten aanmoedigen. Wetgeving over het gebruik van cryptografie bereikt juist het tegenovergestelde. Daarnaast zou de politie geholpen zijn bij andere bevoegdheden om dit soort zaken wel effectief te kunnen aanpakken.

Aanleiding voor het CDA om met dit verzoek te komen is de zaak van Robert M. Robert wordt verdacht van het misbruik van vele kinderen. In zijn huis zijn beveiligde computers aangetroffen waarvan de politie de beveiliging niet kon doorbreken. Gelukkig heeft de verdachte uiteindelijk zelf zijn wachtwoord(en) afgegeven zodat de politie toch met het onderzoek verder kon.

In de wereld van kinderpornografie komen we heel veel cryptografie tegen. Deze pedofielen hebben een enorm hoog security bewustzijn. Ze schrijven goede handleidingen over hoe je jezelf moet beveiligen. Vaak gaat dat niet eens om beveiliging tegen de politie maar willen ze zichzelf ook niet prijsgeven aan familieleden die mogelijk van dezelfde computers gebruik maken. In deze handleidingen wordt verwezen naar goede software, en er zitten ook goede instructies bij. Bijvoorbeeld over hoe je een ‘sterk’ wachtwoord kiest. De tools zijn eenvoudig te vinden, makkelijk in gebruik en vaak nog gratis ook. Daarom worden ze niet alleen door de bad guys gebruikt, maar is bijvoorbeeld ook de laptop waar ik dit op schrijf versleuteld met precies hetzelfde programma dat Robert M. gebruikte.

De gebruikte software in combinatie met sterke wachtwoorden maakt het uiteindelijk ondoenlijk voor de politie om de versleutelde gegevens weer zichtbaar te maken. De politie staat er trouwens niet alleen voor. Ze kunnen een beroep doen op het NFI dat op dit gebied heel hoog aangeschreven staat. Toch zal het hen ook niet lukken, ongeacht hoeveel wiskundigen ze zullen aannemen of hoeveel kraakcomputers worden aangeschaft.

Wat hebben we nu al geregeld met sleutels en wachtwoorden in onze wetgeving? Op dit moment kan de politie in het kader van een strafrechtelijk onderzoek aan een ieder die een sleutel bezit afdwingen om deze af te geven. Ze mogen dit verlangen van zowel individuen als ook bedrijven. Alleen de verdachte zelf hoeft zijn sleutel niet af te geven. Dat is omdat we in Nederland een belangrijk uitgangspunt hanteren: De verdachte hoeft niet mee te werken aan zijn eigen veroordeling. Het CDA snapt ook wel dat we daar niet zo snel vanaf kunnen stappen, maar zoekt het in bijvoorbeeld een zwaardere straf omdat een verdachte zijn wachtwoord niet prijsgeeft. Ik neem aan dat de #whiskeyleaks juristen hier nog wel meer over zullen schrijven.

Een ander argument waarom dit een heel slecht idee is, hebben we aan Julian Assange te danken. Hij is namelijk een van de founding fathers van het concept Deniable Encryption. Een toepassing van deniable encryption werkt als volgt. Ik heb mijn harde schijf versleuteld. Als ik wil inloggen om gewoon mijn werk te doen type ik wachtwoord A in. Op verschillende luchthavens kan je gevraagd worden om een werkende laptop te tonen, en verlangen de security mensen daar ter plekke dat je je wachtwoord invoert. Natuurlijk wil ik niet dat die mensen mijn vertrouwelijke gegevens kunnen zien, en dan heb ik de mogelijkheid om wachtwoord B in te typen. Als ik dat doe, start ook keurig mijn laptop op, en zal je een versie Windows installatie tegenkomen. Daarin staan dus totaal geen vertrouwelijke gegevens. Wat nu zo aardig is van deniable encryption is dat je zonder kennis van de wachtwoorden totaal niet kan bewijzen dat er nog meer informatie op de harde schijf staat. Als het beveiligingsprogramma goed geschreven is, dan kunnen zelfs die knappe koppen bij het NFI het niet bewijzen. Als een verdachte dus niet op een andere manier verklapt aan de politie dat er nog meer geheimen op zijn computer staan, zal het nooit bewezen kunnen worden.

Het thema van het debat in de kamer ging over Nationale Veiligheid en in het bijzonder de cyber security strategie. Het doel van de strategie is om Nederland digitaal weerbaarder te maken. Een heel goed hulpmiddel daarbij is de inzet van cryptografie. Dat is ook waarom ik het zelf zo graag gebruik. En omdat ik het veel gebruik heb ik ook wel eens een beveiligde hardeschijf rondslingeren waarvan ik werkelijk het wachtwoord vergeten ben. We moeten toch niet een situatie creeren waarbij mensen bang worden om hun gegevens te beveiligen voor het geval ze ooit verdachte worden. Want gaat die politieman bij het verhoor geloven dat ik echt mijn wachtwoord vergeten ben?

Gelukkig zijn de meeste criminelen dom en laten ze zo veel sporen achter dat de politie toch al genoeg heeft om een zaak rond te krijgen. De groep van kinderporno liefhebbers is echter een bijzondere. Zij zijn vaak heel handig met computers en weten precies hoe je het de politie zo moeilijk mogelijk maakt. En ze hebben dan ook nog de discipline om zich daaraan te houden. Daarom is het van belang dat de politie de ruimte krijgt om in die gevallen goed onderzoek te doen. Dat kan bijvoorbeeld door de politie de bevoegdheid te geven om in kinderporno groepen te infilteren of te hacken. Jammer dat het CDA de minister daar niet nog een keer op heeft gewezen.