EU politici lijken end-to-end-encryptie niet te begrijpen
Het is al tijden een heet hangijzer in de politiek: wel of geen end-to-end-encryptie (E2EE), in het Nederlands soms ook begin-tot-eindversleuteling genoemd. Dit systeem is het veiligst voor de privacy, voor mensen in landen met repressieve regimes kan dit het verschil tussen leven en dood betekenen.
Het probleem is dat je of E2EE hebt, of niet. De ‘tussenweg’ die vaak voorgesteld wordt - E2EE met een sleutel in ‘veilige handen’ - is een illusie, de geschiedenis laat keer op keer zien dat zo’n sleutel altijd uitlekt. Er is dus geen tussenweg, de keuze tussen wel of geen versleuteling zal gemaakt moeten worden, hoe moeilijk dat ook is in de praktijk. Maar gelekte documenten van de EU die Wired in handen heeft gekregen
laten zien dat sommige politici dit kennelijk niet begrijpen.
EU politici lijken end-to-end-encryptie niet te begrijpen
Zo zijn politici uit Denemarken en Ierland voor het scannen van versleutelde berichten op kinderporno, terwijl ze willen dat in dezelfde wet komt te staan dat E2EE niet verzwakt wordt. Hieronder een citaat uit Wired met de crux:
The ability to do this would rely on the invention of technology that can scan encrypted messages for illegal content without altering or breaking the security features offered by encryption — a feat cryptographers and cybersecurity experts have said is technically impossible.
De vertaling:
Om dit te kunnen doen moet een technologie worden uitgevonden die gecodeerde berichten kan scannen op illegale inhoud zonder de veiligheidskenmerken van de encryptie te wijzigen of te breken - een prestatie die volgens cryptografen en cyberbeveiligingsdeskundigen technisch onmogelijk is.
Politici willen graag de kool en de geit sparen, maar dat is in dit geval helemaal niet mogelijk. Of je hebt E2EE, of niet, er is helemaal geen tussenweg. Die cryptografen en cyberbeveiligingsdeskundigen zeggen dat niet voor niets.
Compleet afschaffen van E2EESpanje is trouwens voor het compleet afschaffen van E2EE, wat het einde zou zijn van WhatsApp, Signal en iMessage in de EU. Want het is natuurlijk niet mogelijk om een app wereldwijd te laten opereren terwijl de content bij sommigen versleuteld is, en op sommige plekken niet. Want hoe communiceert de een dan met de ander?
Voorstel NederlandOpvallend genoeg is de oplossing die Nederland voorstelt de enige die nog enigszins realistisch lijkt:
Nederland verklaarde echter dat dit mogelijk zou zijn door "on-device" scanning voordat het illegale materiaal wordt versleuteld en naar de ontvanger wordt gestuurd. "Er zijn ... technologieën die automatische detectie van CSAM mogelijk maken en tegelijkertijd de end-to-end encryptie intact laten", aldus de vertegenwoordigers van het land in het document.
Dat is exact wat Apple in 2021 voorstelde, maar waartegen
enorm veel oppositie ontstond. Uiteindelijk werd er door Apple voor een tussenweg gekozen: kinderen
worden gewaarschuwd als ze naaktfoto’s willen versturen, maar ouders worden er niet van op de hoogte gesteld (dat was in de eerdere fase van deze plannen wel het geval).
EU politici lijken end-to-end-encryptie niet te begrijpen
Met andere woorden: Nederland stelt voor wat Apple eerder grotendeels heeft teruggetrokken na een storm van kritiek. Het meest ironische is misschien nog wel dat servers waarop veel kinderporno staat niet of nauwelijks aangepakt worden. En bijna een-derde van die servers
staan in Nederland.