Voor het eerst hebben het bedrijfsleven en de overheid in internationaal verband echt overleg gevoerd over de crypto-problematiek. Waar tot nu toe twee kampen lijnrecht tegenover elkaar stonden, lijkt in Parijs een eerste stap te zijn gezet op weg naar een gezamenlijke oplossing. Maar die kan nog ver weg zijn.
Op 19 en 20 december 1995 kwamen afgevaardigden van het bedrijfsleven en de overheid uit Europa, Canada, Verenigde Staten en Japan bijeen bij de Internationale Kamer van Koophandel te Parijs. Op de agenda stond het uitzetten van een gezamenlijk, internationaal beleid over cryptografie. De huidige situatie leidt namelijk tot veel onwil, zowel bij het bedrijfsleven als bij overheden. Bedrijven voelen zich belemmerd door exportverboden en een gebrek aan standaardisatie van cryptografische apparatuur, waardoor ze hun informatiestromen onvoldoende kunnen beveiligen. Overheden zien de ontwikkeling van sterke cryptografie met lede ogen aan, bang dat misdadigers het gebruiken om opsporing te voorkomen.
Ruimte voor discussie is er tot nu toe zelden geweest. Het bedrijfsleven vond de belemmerde
opsporing een probleem dat de overheid zelf maar moest oplossen, terwijl de overheid weinig
begrip toonde voor het economische belang van cryptografie. In Parijs heerste een andere
stemming. Men was ervan doordrongen dat het ontwikkelen van een internationaal beleid
dringende noodzaak is. Het bedrijfsleven toonde (enigszins) begrip voor de
opsporingsproblemen, terwijl de overheden toegaven dat het gebruik van cryptografie in veel
gevallen noodzakelijk is. Beide partijen benadrukten dat er een "balans" moet worden gevonden
een neutrale term die iedereen op zijn eigen manier kan invullen.
Het grote voordeel van een internationaal cryptobeleid is dat er voldoende draagvlak ontstaat voor het invoeren van cryptografische standaarden die voldoende sterk zijn voor bedrijfsdoeleinden. Exportverboden zouden kunnen worden opgeheven (behoudens export naar landen die onder een VN-boycot vallen) en de gebruikte systemen zouden wereldwijd compatibel zijn. Zo snel zal het echter niet lopen.
Hoewel op de bijeenkomst voor het eerst enige toenadering tussen bedrijven en overheden te
bespeuren viel, blijven er problemen. Zo verschillen de overheden onderling van mening;
Frankrijk, waar cryptografie strikt gereguleerd is, en Duitsland hebben bijvoorbeeld niets gezegd
op de conferentie, terwijl Groot Brittannië zich uitsprak voor sleuteldepot. Verder zullen nog
heel wat knopen moeten worden doorgehakt over de randvoorwaarden van een eventueel in te
voeren sleuteldepotsysteem.
Wie is aansprakelijk als een sleutel uitlekt en daardoor grote schade ontstaat? Is dat de instantie die de sleutels beheert of de crypto-gebruiker of zelfs de ontwikkelaar van het crypto-produkt? Gezien de enorme bedragen die gemoeid zijn met het elektronisch betalingsverkeer, zouden schadeclaims wel eens de draagkracht van de beheerinstanties te boven kunnen gaan.
Vooral de aansprakelijkheid voor het sleutelbeheer zal nog veel discussie opleveren. Het is een
belangrijk onderwerp op de volgende bijeenkomst van de deelnemers, die in het voorjaar van
1996 plaatsvindt. Dan zal misschien ook blijken of het bedrijfsleven en de overheid echt een
zinvolle samenwerking durven aan te gaan om tot een internationaal cryptobeleid te komen. Het
belang van een gezamenlijke oplossing is groot maar dat is het eigenbelang van beide partijen
ook. Wie durft er concessies te doen?
Bert-Jaap Koops is assistent in opleiding aan de Katholieke Universiteit Brabant en de Technische Universiteit Eindhoven.
E-mail: E.J.Koops@kub.nl
WWW: http://cwis.kub.nl/~frw/people/koops/ bertjaap.htm