Bert-Jaap Koops homepage - publications

IT & Recht, 1997/3, pp. 1-3

Dit artikel mag niet worden verspreid of vermenigvuldigd zonder toestemming van de auteur. Het uitprinten van één copie voor persoonlijk gebruik is toegestaan. Citeren met bronvermelding.

Een richtlijn zonder richting

© Bert-Jaap Koops, mei 1997

De OESO heeft eind maart internationale richtlijnen voor cryptografie-beleid aangenomen. De bedoeling is om staten een houvast te geven bij het ontwikkelen van beleid op het terrein van versleuteling van gegevens (cryptografie). Aan de ene kant moet de overheid het gebruik van cryptografie stimuleren om gegevens te beschermen, terwijl aan de andere kant de overheid moet voorkomen dat misdadigers en staatsgevaarlijke lieden cryptografie gebruiken om uit handen van de aftappende overheid te blijven. Het lijkt erop dat ook de OESO er niet uitgekomen is: de richtlijnen weerspiegelen precies het dilemma tussen privacy en opsporing en laten na om daarbinnen een richting aan te geven. Daarmee is het belangrijkste doel van de richtlijnen, internationale afstemming, ondergraven.

De Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) begon eind 1995 met het ontwikkelen van crypto-richtlijnen. Een Ad hoc-groep van experts heeft zich in 1996 gebogen over het moeilijke probleem internationale overeenstemming te bereiken over crypto-beleid. De Ad hoc-groep stelde de uitkomst van die voorbereidingen in januari 1997 vast, en op 27 maart nam de raad van de OESO de richtlijnen aan.

De doelstelling van de richtlijnen is het gebruik van cryptografie te stimuleren zonder afbreuk te doen aan de legitieme belangen van opsporing en staatsveiligheid. Richtlijnen van de OESO zijn niet-bindend, maar ze zijn wel een belangrijk hulpmiddel voor staten om wetgeving vorm te geven; veelal zijn ze daarom richtinggevend voor nationale wetgeving. De OESO beoogt ook de afzonderlijke landen zoveel mogelijk op een lijn te krijgen en internationale samenwerking te stimuleren. Aangezien cryptografie een belangrijk hulpmiddel is voor de bescherming van de vele internationale gegevensstromen, is dergelijke afstemming noodzakelijk voor de informatiemaatschappij. Hoewel de richtlijn zich primair richt op overheden, zijn ze ook uitdrukkelijk bedoeld voor de private sector.

Samenhangende principes

De richtlijnen geven acht principes, die men alleen in onderlinge samenhang kan en moet lezen.
  1. Vertrouwen: zowel de markt als de overheid moeten zorgen voor vertrouwen in cryptografie.
  2. Keuze: gebruikers zouden vrij moeten zijn om zelf soort en sterkte te kiezen van cryptografie, onderworpen aan relevante wetgeving.
  3. Marktgedreven ontwikkeling.
  4. Standaarden: standaardiseringsorganisaties, overheden, bedrijfsleven en andere experts moeten samenwerken om te komen tot compatibele standaarden.
  5. Bescherming van privacy: cryptobeleid moet de privacy beschermen (hierbij speelt ook een rol dat authenticatie-methoden privacy-gevolgen kunnen hebben door het verzamelen van persoonsgegevens).
  6. Rechtmatige toegang door rechthebbenden (waaronder de overheid) tot klare tekst of cryptografische sleutels: een cryptobeleid kan dergelijke rechtmatige toegang toestaan, waarbij wel de andere principes zoveel mogelijk gewaarborgd moeten blijven; sleutelmanagement-systemen (waarmee de overheid toegang kan krijgen tot sleutels) kunnen een basis bieden voor een mogelijke oplossing voor de balans tussen opsporing en privacy.
  7. De aansprakelijkheid van aanbieders van cryptografische diensten en van instanties die sleutels beheren of toegang krijgen tot sleutels moet duidelijk worden aangegeven.
  8. Internationale samenwerking: overheden moeten samenwerken om hun cryptobeleid te coördineren; interne sleutelmanagementsystemen moeten internationaal gebruik toelaten; rechtmatige toegang over de grenzen heen kan worden bewerkstelligd door bilaterale en multilaterale afspraken.


Afgezwakt

Het is interessant te zien hoe de verschillende principes zich hebben ontwikkeld in de verschillende versies van de richtlijnen. Diverse bepalingen zijn in de uiteindelijke versie afgezwakt, waarschijnlijk op aandringen van hardliners als Frankrijk en de VS, die vooral de overheidstoegang tot sleutels willen benadrukken.

Vooral de opstelling van de Verenigde Staten is interessant. Kennelijk hebben de VS geprobeerd om via een U-bochtconstructie bij de OESO binnen te halen wat ze in eigen land niet voor elkaar kunnen krijgen. De diverse pogingen om burgers crypto met ingebouwde toegang tot sleutels te laten gebruiken zijn tot nu toe steeds afgeketst op onwil bij het publiek. De VS hebben binnen de OESO flink gelobbyd voor hun sleuteldepotsystemen, in de hoop dat ze zich vervolgens tot de bevolking kunnen wenden met het argument dat ze 'van de OESO overheidstoegang tot sleutels moeten invoeren'.

Dat is niet gelukt, maar opvallend genoeg zijn wel enkele beschermende bepalingen in de laatste versie afgezwakt. Zo is het principe van vrije keuze aangevuld met de beperking dat de keuze 'onderworpen is aan relevante wetgeving'. En het dwingende 'moeten' (must) in 'gebruikers moeten een vrije keuze hebben' is afgezwakt tot 'zouden moeten' (should). Ook tekenend is dat de clausule bij overheidstoegang (principe 6): 'Dit principe moet niet worden geïnterpreteerd als implicerend dat overheden wetgeving zouden moeten invoeren om overheidstoegang toe te staan' is aangevuld met een tegenovergestelde clausule 'of niet zouden moeten invoeren'.

Belangrijker nog zijn de wijzigingen over internationale samenwerking (principe 8). Waar eerst de samenwerking gericht was op het harmoniseren van cryptobeleid, is de tekst nu afgezwakt tot het coördineren van cryptobeleid - wat meer ruimte laat voor elk land om een eigen beleid te voeren. Ook de toevoeging dat overheidstoegang over de grenzen heen kan worden bewerkstelligd door bi- of multilaterale samenwerking en afspraken is een teken aan de wand: de OESO kan blijkbaar zelf niet de vereiste afstemming bereiken. Het is twijfelachtig of staten onderling wel op enige schaal tot dergelijke afstemming kunnen komen.

Lapjesdeken

Daarmee komen we op een van de belangrijkste - en meest bediscussieerde - bepalingen van de richtlijnen: integratie. Alle principes zijn onderling afhankelijk en zouden als geheel moeten worden geïmplementeerd om de verschillende belangen recht te doen (ook hier is het dwingender 'must' vervangen door 'should'). Dit betekent dat elke staat een balans moet vinden tussen de beschermingsprincipes (1-5) aan de ene kant en overheidstoegang (6) aan de andere kant.

Helaas vertellen de richtlijnen niet waar die balans moet komen te liggen - zelfs niet globaal of op abstract niveau. Het schrappen van het streven naar internationale harmonisatie laat staten in feite de mogelijkheid de richtlijnen te beschouwen als een keuzemenu. Voor elk wat wils: de VS, Frankrijk en Groot-Brittannië kunnen hun sleuteldepotwensen benadrukken en daarop wetgeving invoeren, terwijl de Scandinavische landen de privacy zullen onderstrepen. Japan, dat zich bij de besprekingen nogal dubbelzinnig heeft opgesteld, kan nog alle kanten uit. En Nederland zal voortgaan op de ingeslagen weg: een zelfregulerend pilotproject met Trusted Third Parties die de overheid toegang bieden tot sleutels.

Het gevolg van het gebrek aan richting kan een lapjesdeken aan cryptowetgeving zijn, en dat is een grote belemmering voor een goede ontwikkeling van de internationale informatiemaatschappij. Zo heeft Groot-Brittannië in maart wetgeving aangekondigd dat alle aanbieders van cryptografie-diensten een vergunning nodig hebben, en dat geldt ook voor (buitenlands) aanbod via het Internet. Dus zal het Belgische BelSign, dat een certificatiedienst van publieke sleutels aanbiedt op het Internet, een vergunning moeten aanvragen in het VK, of een verklaring moeten opnemen op de site dat BelSign geen handel doet met inwoners van het VK. Of de Britse overheid buitenlandse dienstaanbieders makkelijk een vergunning zal geven staat nog te bezien; de overheid wil door de regeling toegang krijgen tot gedeponeerde sleutels, en zal afspraken willen maken met België over internationale uitwisseling van sleutels; gezien de algemene vrees voor internationale economische spionage zal dat niet makkelijk zijn. (Overigens neemt BelSign geen sleutels in beheer, maar of dat een voordeel of nadeel is voor de kans op een Britse vergunning is niet duidelijk.) In elk geval betekent de voorgestelde Britse regeling dat het internationale verkeer in cryptodiensten sterk wordt belemmerd. De crypto-stimulerende principes van de OESO zullen door dit soort regelingen in gedrang komen: vrije keuze van cryptografie, marktgedreven ontwikkeling en standaardisatie zijn moeilijk verenigbaar met een internationale lapjesdeken van deels sterk beperkende, deels stimulerende crypto-wetgeving.

Daarmee lijkt het belangrijkste doel van de OESO-richtlijnen, internationale afstemming, mislukt. Het positieve aan de OESO-richtlijnen is wel dat ze een goed kader aangeven waarbinnen elke staat een afweging moet maken. Maar daarmee komt de OESO niet veel verder dan de Raad van Europa, die in 1995 al - met heel wat minder woorden - concludeerde dat staten een balans moeten vinden tussen privacy en opsporingsbelang, zonder aan te geven welke balans. We zijn dus terug bij af. En stilstand is hier onherroepelijk achteruitgang.

Bron

OECD Cryptography Policy Guidelines

Drs. B.J. Koops is onderzoeker aan de Katholieke Universiteit Brabant en de Technische Universiteit Eindhoven. E-mail: E.J.Koops@kub.nl

© Bert-Jaap Koops, 1997. All rights reserved.
home | help | address | mail | links
research | crypto law survey | publications | personal | amnesty