1. probleemschets
De technologische ontwikkeling in de laatste decennia heeft het mogelijk gemaakt op zeer
grote schaal gebruik te maken van nieuwe
vormen van communicatie (fax, elektronisch data-verkeer). Onze samenleving wordt meer en
meer een informatiemaatschappij,
waarbij de beschikbaarheid van informatie en het gebruik van informatiekanalen essentiële
onderdelen zijn geworden van het maat-
schappelijk verkeer.
Door de technologische ontwikkeling zijn oude vormen van gegevensbescherming niet meer toereikend. Nieuwe manieren moeten gevonden worden om de voor een belangrijk deel van het maatschappelijk verkeer noodzakelijke mogelijkheid tot geheimhouding en/of authenticatie en integriteit van gegevens te verzekeren.
De combinatie van geavanceerde wiskundige technieken met de explosief gegroeide mogelijkheid tot geautomatiseerde gegevensverwerking heeft sinds het eind van de jaren zeventig zeer sterke vormen van cryptografie opgeleverd. Encryptie, waarmee in dit artikel het automatisch versleutelen van gegevens verstaan wordt, lijkt dan ook uitkomst te bieden om in het digitale data-verkeer garanties te geven voor gegevensbescherming. In de praktijk wordt veelvuldig gebruik gemaakt van encryptie; technici beschouwen het als de enige afdoende mogelijkheid om digitaal data-verkeer te kunnen beschermen.
Het gebruik van encryptie door criminelen, die waarschijnlijk eveneens in toenemende mate gebruik zullen maken van nieuwe technologie, levert echter -juist door dezelfde ontwikkeling van sterke encryptiesystemen- problemen op voor justitie bij opsporing en bewijsgaring. Ook kan de beschikbaarheid van sterke cryptografie een groeiend probleem opleveren voor nationale veiligheidsdiensten.
Een (niet ingediend) voorontwerp van wet, dat tot doel had deze problemen op te lossen, heeft in Nederland geleid tot een discussie rond het al dan niet reguleren van encryptie. Reacties op het voorontwerp geven aan dat de voorgestelde maatregel, een verbod op encryptie gekoppeld aan een vergunningenstelsel, niet handhaafbaar en nauwelijks effectief zou zijn. Er zijn echter nog geen bevredigende alternatieven voorgesteld om het belangenconflict tussen de noodzaak van exclusiviteit (dan wel authenticiteit en integriteit) van gegevens enerzijds en het belang van handhaving van de rechtsorde anderzijds op te lossen.
De huidige commotie in de Verenigde Staten rond het initiatief Clipper, dat door de regering als oplossing voor dit probleem gezien wordt, toont aan dat de belangen aan beide kanten zwaar wegen en dat compromisvoorstellen in de praktijk op grote weer- stand stuiten. Men kan dan ook spreken van een dilemma waarvoor geen eenduidige oplossing bestaat. Een uitweg uit het probleem zal gevonden moeten worden in een samenstel van maatregelen van zowel technische, juridische als bestuurlijke aard. In elk geval zal het probleem in inter- of supranationaal verband aangepakt moeten worden, gezien de grensoverschrijdendheid zowel van elektronische informatiestromen als van zware criminaliteit.
In dit artikel wordt de encryptie-problematiek vanuit twee invalshoeken nader bekeken, namelijk de gebruikerskant en de justitiële kant. Na bespreking van enkele oplossingsrichtingen wordt met een standpuntbepaling van het NGI besloten.
2. invalshoeken
gebruiksmogelijkheden van encryptie
Encryptie werd voorheen met name toegepast om geheimhouding van gegevens tegenover
onbevoegden te bewerkstelligen. Het
wordt momenteel ook in sterk toenemende mate gebruikt om authenticatie (zekerheid over de
identiteit van de afzender: "elektronische handtekening") en integriteit (zekerheid over de
ongeschondenheid van gegevens)
te bereiken. Dit is met name van
belang voor het plegen van rechtshandelingen langs elektronische weg.
De techniek van public key-cryptografie, waarbij elke gebruiker beschikt over een eigen geheime en een bijbehorende openbare sleutel, maakt encryptie zonder voorafgaande uitwisseling van geheime sleutels mogelijk, en stelt daarmee grote groepen in staat encryptie te gebruiken. Dat betekent dat encryptie niet meer is voorbehouden aan overheid en grote ondernemingen; ook kleinere bedrijven, maatschappelijke dienstverlening en individuen kunnen en willen in toenemende mate gebruik maken van encryptie. De volgende voorbeelden geven een illustratie van het belang van encryptie in de huidige en toekomstige maatschappij:
In deze en andere toepassingsgebieden is vertrouwelijkheid dan wel authenticatie en integriteit veelal een vereiste. Daarmee draagt encryptie ook bij tot indirecte bescherming van waarden, namelijk door het voork˘men van criminaliteit (het tegengaan van bijvoorbeeld bedrijfsspionage, ontvoering, computervredebreuk).
Meer traditionele vormen als fysieke beveiliging (afgesloten ruimtes) en passwordbeveiliging kunnen hiervoor geen voldoende garantie meer geven. De elektronische informatiekanalen blijken inherent onbetrouwbaar. Men kan dan ook stellen dat encryptie, het beveiligen van de gegevens zelf, thans de enige afdoende bescherming biedt die de (economische en politieke) praktijk vraagt.
Sterke vormen van encryptie, dat wil zeggen systemen die (voorlopig) als relatief onkraakbaar gelden, zijn makkelijk verkrijgbaar. Het is bekend dat ze in de praktijk al veelvuldig worden toegepast, maar op welke schaal dit gebeurt en welke economische (gelds)waarde door het gebruik van encryptie beschermd wordt is niet volledig duidelijk.
belangen die beschermd kunnen worden door het gebruik van encryptie
- geheimhouding van gevoelige gegevens
- integriteit en authenticatie van gegevens (i.v.m. juridische aansprakelijkheid)
- recht op privacy, bescherming tegen inmenging van zowel de overheid als de commercie
- recht op informatie (de "free flow of information" werkt alleen bij gratie van het afdoende kunnen afschermen van informatiestromen waar dat nodig is)
- economisch belang (handel in encryptie-programma's en randapparatuur (zoals cryptofoon))
problemen voor justitie/veiligheidsdiensten door gebruik van
encryptie
Justitie heeft de bevoegdheid om (onder strikte voorwaarden) communicatielijnen (telefoon-,
fax- en computerverkeer) af te tappen.
Deze bevoegdheid dient de bewijsgaring bij strafzaken en in het verlengde daarvan de
opsporing van (nieuwe) strafbare feiten. Met
name bij drugscriminaliteit maakt justitie veelvuldig gebruik van (telefoon)taps; zij kenmerken
dit vaak als essentiële opsporingsme-
thode. Tevens heeft justitie, onder andere bij huiszoeking, de bevoegdheid om onderzoek te
verrichten in een computer(-netwerk),
waarbij aangetroffen gegevens gekopieerd en gegevensdragers in beslag genomen kunnen
worden.
Wanneer de aldus vergaarde gegevens door justitie niet verstaan of gelezen kunnen worden omdat deze versleuteld zijn, wordt de opsporing en bewijsgaring daardoor in ernstige mate of zelfs volledig belemmerd. Justitie heeft er dus belang bij dat criminelen geen (ongereguleerd) gebruik kunnen maken van (sterke) encryptietechnieken. Het lijkt erop dat justitie in de praktijk in enkele gevallen versleutelde gegevens heeft aangetroffen, maar in hoeverre deze het onderzoek belemmerd hebben is onbekend. Het gevaar van encryptie voor de opsporingspraktijk lijkt vooralsnog gering, maar betrokkenen bij justitie voorzien reële problemen in de toekomst (de memorie van toelichting bij het voorontwerp van wet m.b.t. cryptografie spreekt de verwachting uit dat 'ook criminelen en staatsgevaarlijke personen bij de voorbereiding van hun werkzaamheden meer nog dan thans gebruik zullen maken van de ter beschikking komende technische mogelijkheden. In deze omstandigheden is het noodzakelijk alles in het werk te stellen dat ook de overheid daarop greep blijft houden.')
Een ander punt van zorg betreft de nationale veiligheid. Het lijkt waarschijnlijk dat het onderscheppen van berichten in het kader van bijvoorbeeld oorlogspreventie of terrorismebestrijding voor veiligheidsdiensten in de praktijk niet al te veel problemen zal opleveren; de belangrijkste belemmering is veelal de versleuteling van deze berichten. Vrije (internationale) toegang tot sterke encryptiesystemen betekent dan ook een serieuze bedreiging voor het werk van nationale veiligheidsdiensten.
belangen die bedreigd kunnen worden door het gebruik van encryptie
- handhaving van de rechtsorde, in het bijzonder opsporing en vervolging van strafbare feiten
- nationale veiligheid
3. oplossingsrichtingen
Een blik op enkele alternatieven kan inzicht leveren in de richting waarin een oplossing gezocht
zal moeten worden. De twee juridi-
sche extremen waarbinnen de discussie zich zal afspelen zijn enerzijds een verbod op dan wel
strikte regulering van het gebruik
van encryptie en anderzijds het geheel vrijlaten ervan.
Een verbod op encryptie zal in elk geval het bona fide gebruik van cryptografie treffen, een gebruik dat zoals hierboven geschetst veelomvattend en bijzonder belangrijk is voor het functioneren van de huidige informatiemaatschappij. Daarbij is het de vraag of criminelen zich iets zullen aantrekken van een verbod, aangezien de (te verbieden) encryptie-programmatuur eenvoudig in het buitenland verkrijgbaar is. Een ander probleem bij verbieden is dat het gebruik van encryptie zelf dermate versluierd kan worden dat niet valt aan te tonen dat encryptie gebruikt wordt (bijvoorbeeld in grijstinten van gedigitaliseerde plaat- jes). Het is dan ook zeer de vraag of een verbod in de praktijk enigermate handhaafbaar is. Deze bezwaren betekenen dat een verbod op encryptie geen oplossing kan bieden.
Dezelfde argumenten gaan grotendeels ook op voor een strikte regulering van encryptie, bijvoorbeeld door middel van een vergunningenstelsel van bepaalde vormen van encryptie. Mildere vormen van regulering, zoals een registratieplicht of het verplichten van producenten van crypto-apparatuur tot het inbouwen van een alleen aan de overheid bekende universele sleu- tel, bieden wellicht een beter perspectief, doch het bezwaar dat deze in eerste instantie wel bona fide gebruikers maar niet criminelen treffen, blijft inherent aan regulering.
Het andere uiterste, het geheel vrijlaten van encryptie, biedt als voordeel dat het noodzakelijke, legitieme gebruik ervan doorgang kan vinden, hetgeen overigens ook een stimulans kan zijn voor de ontwikkeling van nieuwe cryptografiesystemen. In dit geval zal echter gekeken moeten worden naar methoden voor justitie en veiligheidsdiensten om aangetroffen versleutelde gegevens te kunnen ontcijferen. Het ontsleutelen door middel van crypto-analytische technieken lijkt problematisch, omdat de voort- schrijdende techniek nieuwe cryptosystemen altijd een voorsprong geeft. Verder moet worden aangetekend dat in een wedloop om cryptografische technieken criminelen wellicht structureel een voorsprong zullen hebben op de overheid.
Technische hulpmiddelen als richtmicrofoons en apparatuur voor het opvangen van residustraling van een computerscherm zullen wellicht een deel van de problemen kunnen ondervangen door het opvangen van de gebruikte sleutel of klare tekst. Voorts kunnen aanpassingen of uitbreidingen van het juridisch instrumentarium overwogen worden. Aan een inperking van het nemo tenetur-beginsel (de verdachte is niet gehouden mee te werken aan zijn eigen veroordeling) kleven vele bezwaren; een bevoegdheid om een bevel tot sleutelafgave te geven aan een niet-verdachte ontvanger van een versleuteld bericht, zou justitie echter wel enige armslag kunnen geven.
Het is zinvol technische en juridische mogelijkheden als deze nader te onderzoeken, bij voorkeur in internationaal verband. Alleen door een grondige probleemanalyse en belangenafweging zal een samenstel van maatregelen gevonden kunnen worden dat recht doet aan zowel het economische als het justitiële belang. Beide belangen zijn wezenlijk voor onze samenleving, en daarom verdraagt het gebruik van encryptie geen overhaaste of eenzijdig gerichte besluitvorming.
4. conclusie
Gezien de geschetste bezwaren tegen regulering, moet naar de mening van het NGI het gebruik
van encryptie vrijgelaten worden.
De gaten die daardoor vallen in de opsporings- en vervolgingscapaciteit van justitie zullen
gedicht moeten worden met een
combinatie van technische en juridische instrumenten.