Naar aanleiding van het uitstekende artikel van Fred Hage in de Computable van 27 november 2020.
Overheden
worstelen met End-to-end encryptie en ‘lawful interception’. Met andere
woorden privacy op internet aan de ene kant en de mogelijkheid
criminaliteit te onderzoeken aan de andere kant.
Het blijft me verbazen dat overheden blind zijn voor de kansen die dit dilemma biedt!
Stel "ik kan bij de NL-overheid mijn encryptie regelen" (met de wetenschap dat ze mee kunnen kijken). Dan doe ik dat toch zolang ik niets te verbergen heb!
Dus: Overheid wordt eens wakker en bied zelf encryptie services aan! Ga met de betrokken internet diensten zoals Google, Amazon, Facebook, Microsoft .. etc. om de tafel zitten en ontwikkel encryptiediensten en standaards voor (vertrouwde) burgers waar ze gebruik van kunnen maken.
De diensten kunnen dan vertrouwd
verkeer van onvertrouwd verkeer onderscheiden. Ze kunnen vertrouwd
verkeer direct, eventueel automatisch, onderzoeken. En meer energie
steken in onderzoek naar de duistere praktijken.
Er ligt hier de mogelijkheid van nieuwe publieke dienstverlening braak.
In ieder geval is encryptie verbieden het paard achter de wagen spannen. Daarmee zet je alles wagen wijd open voor onbetrouwbare partijen. Immers, hoe on-encrypt is het niet als encrypt herkenbare internet verkeer?
Er zit wel een groot gevaar, dat al het versleutelde verkeer dat niet via "overheidsencryptie" wordt verzonden, per definitie verdacht is en daarmee degenen die het gebruiken. Dat geldt dan niet alleen voor klokkenluiders.
ReplyDeleteIk noem niet voor niets ook IoT en "apparaten" in mijn artikel. Waar ik niet op inga daar, is de edge- en daarmee decentrale architectuur van "de cloud" die er, mede vanwege 5G, aan zit te komen en er per definitie voor zorgt dat het meeste versleutelde verkeer tussen endpoints onderling en met regionale datacenters (5G: mastlocaties / basisstations) zal gaan plaatsvinden. Vooral geaggregeerde data en metadata gaat dan op en neer naar de grote datacenters van de hyperscalers, waar ook de corenetwerken van de telecom-operators tegen die tijd draaien. Daarmee wordt het praktisch gezien onmogelijk om overal dataverkeer te tappen.
Toch staat in de vergunningen bij de laatste multibandveiling doodleuk dat operators die spectrum verwerven het voor een publieke telecomdienst moeten gebruiken en de sleutels om het verkeer te kunnen ontcijferen aan de overheidsdiensten ter beschikking moeten stellen. Volkomen achterhaald dus, voor zoiets dat al in 1990 "perfect forward secrecy" is gaan heten en waar er helemaal geen " masterkey" meer is.