Privacy op mobiele devices te grabbel

Er is recent veel aandacht voor encryptie en PGP techniek op het mobiele platform. Deze week pleitte de Britse regering dan ook, niet voor het eerst, voor een backdoor op versleutelde berichten-apps. Hierdoor zou de overheid altijd mee kunnen lezen.

Groot Brittannië staat niet alleen in dit verzoek. Nederland heeft al enige tijd dezelfde ambities. AIVD-directeur Rob Bertholee wil de encryptie van chatdiensten beperken en het OM weet beslag te leggen op servers in het buitenland waar beveiligde communicatie op staat. De AIVD is van mening dat privacy opgeofferd mag worden in het belang van veiligheid. Het Openbaar Ministerie (OM) beredeneert in de recente zaak “Ennetcom” dat iedereen die gebruik maakt van deze dienst crimineel is en ontziet daarmee beroepsgroepen als advocatuur en journalistiek niet.

Patrick Neeteson, directeur bij CBSEC, is niet blij met deze ontwikkeling: “Deze mensen kunnen niet zonder beveiligde communicatie en in dit soort zaken wordt de veiligheid van hen dan ook in gevaar gebracht. Door de mobiele telefoon in uw zak bent u volledig te volgen door onze inlichtingendiensten en overheid. Dat het beschermen van privacygevoelige gegevens niet altijd goed gaat weten we van lekkende patientendossiers en digids”. Niet alleen de lekken zijn problematisch: “door buitenlandse wetgeving zijn veel van onze privacygevoelige gegevens ook direct beschikbaar voor bijvoorbeeld de NSA, het Amerikaanse Bureau Nationale Veiligheid” vervolgt Neeteson. CBSEC pleit er dan ook voor om gevoelige communicatie altijd te versleutelen met PGP.

PGP-toestellen zijn speciaal ontworpen toestellen die als doel het beschermen van de privacy van de gebruiker hebben. PGP is een methode waarmee berichten worden versleuteld.

PGP gekraakt

Het OM claimt in de zaak Ennetcom een grote hoeveelheid data in handen te hebben gekregen. “Verschillende media hebben dit overgenomen en gesuggereerd dat PGP dan wel PGP telefoons gekraakt zouden zijn” licht Neeteson toe. “De crux zit hem echter in het sleutelbeheer, het Openbaar Ministerie heeft door een keuze die het bedrijf gemaakt heeft  de encryptiesleutels ook in handen weten te krijgen en kon op die manier een groot deel van de berichten ontsleutelen”. CBSEC gaat er prat op dat deze encryptiesleutels (de private keys) niet op servers horen te staan. “We leven niet meer in de BlackBerry tijd waarbij het genereren en opslaan van deze sleutels op een server praktisch noodzakelijk was” vervolgt Neeteson. De huidige mobiele devices zijn in staat om de encryptie en het genereren van de private key op het toestel zelf te doen, waardoor meekijken door derden (ook door overheid) onmogelijk is.

Privacy is een zaak van iedereen

Anders dan het OM heeft CBSEC de visie dat een PGP-gebruiker iemand is die zijn of haar privacy en veiligheid serieus neemt, zonder dat deze daarmee onlosmakelijk verbonden is met criminaliteit. Anders dan de AIVD veronderstelt CBSEC dat de nationale veiligheid niet vergroot zal worden door het voeden van de informatiezucht van onze inlichtingendiensten. Neeteson verklaart: “Een terrorist, even buiten beschouwing gelaten dat er aanzienlijk grotere gevaren voor de Nederlandse samenleving zijn, gebruikt geen WhatsApp of Facebook Messenger. Een achterdeur openzetten voor de inlichtingendiensten schaadt dan ook alleen de 67% van de mensen die zeggen niets te verbergen te hebben”.