Google en Yahoo werken samen aan een op PGP-gebaseerde encryptiemethode om e-mails end-to-end te versleutelen, meldt de Wall Street Journal. Het voordeel daarvan is dat de bedrijven zelf geen mastersleutel hebben, waardoor ze niet meer kunnen voldoen aan een opvragingsverzoek van de overheid. Ze zijn verplicht data te overhandigen die ze hebben, maar met end-to-end-versleuteling moeten opsporingsdiensten naar de gebruiker zelf - bijvoorbeeld met een decryptiebevel.
Metadata blijven wel in te zien - je moet immers als tussenpersoon weten wie je met wie verbindt - dus een opsporingsdienst kan nog steeds inzien wie op welk moment naar wie e-mailde. De inhoud van de berichten is een ander verhaal. Yahoo's CSO Alex Stamos zegt tegenover de WSJ dat dit een interessante juridische vraag oplevert: wat gebeurt er als een groot bedrijf geen data kán overhandigen?
Leger advocaten
Als voorbeeld wordt e-maildienst Lavabit aangehaald, dat weigerde sleutels te overhandigen en liever de deuren sloot. Het verschil daarmee is dat Lavabit geen end-to-end gebruikte en SSL-sleutels in handen had. Onder de Patriot Act kan een in de VS gevestigd bedrijf worden gedwongen deze af te staan. "Hoe schaalt dat omhoog", vraagt Stamos zich af. "Een multinational met een leger advocaten zouden dit graag beargumenteren tot aan de Supreme Court aan toe."
Een work-around voor overheden zou zijn om bedrijven te verplichten een methode te gebruiken waarbij ze sleutels in handen houden, maar dat zou enorme economische schade opleveren als klanten uitwijken naar landen die dit niet verplichten. Hoe het ook zij, je kunt ervan uitgaan dat dit een boeiende juridische strijd gaat opleveren tussen het Amerikaanse ministerie van Justitie en Google/Yahoo.
Wat kun je ermee?
In Nederland geldt voor bedrijven een verplichting om opsporingsdiensten toegang te geven tot informatiestromen, maar ook hier geldt dat alleen voor openbare lijnen. Als een dienst zodanig is versleuteld dat alleen gebruikers erbij kunnen, kan het alleen worden verplicht de versleutelde data te overhandigen.
De vraag wordt dan: wat kun je hiermee? Voor zover we weten is PGP niet gekraakt, maar als je maar genoeg tijd en resources hebt, is alles te ontsleutelen. Het doel van Google/Yahoo is dan ook vooral om zichzelf buiten schot te houden. Sinds bekend is geworden wat de NSA allemaal uitspookt en de grote juridische armslag die de VS heeft, hebben cloudbedrijven in de VS een reputatieprobleem en dit wordt nu aangepakt. Dat de drempel om communicatie massaal op te slurpen wordt verhoogd, is eigenlijk maar bijzaak.
Aluhoedjestheorieën
Is zo'n versleutelde e-maildienst legaal? Waarschijnlijk (momenteel) wel, maar de juridische strijd tussen het ministerie van Justitie en cloudbedrijven gaat een heel nieuwe ronde in. Belangrijker is de langetermijnimpact die massale encryptie heeft op de clouddiscussie.
Komt het verloren vertrouwen hiermee wel terug? Als er jarenlang stiekem van alles is afgeluisterd en bedrijven daar niets over mochten zeggen, wat doet dat dan met voorheen als aluhoedjestheorieën afgedane verhalen over stiekeme backdoors en ontsleutelingsplichten? Vertrouwen komt, net als een reputatie, te voet en gaat te paard.
Het moet voor Google toch een fluitje van een cent zijn om, op bevel van de NSA, het doelwit een gemanipuleerde E-mailbrowser pagina te presenteren.
Dit past in mijn algemene beeld over versleuteling. De eigenaar van versleutelde data heeft er zelf ook niets aan. Eens moet het worden ontsleuteld. En dat is het moment waarop partijen met de mogelijkheden als de NSA in de toekomst zitten te wachten.
Daarmee kunnen ze dan de onversleuteld gepresenteerde mails rechtstreeks naar de NSA sturen.
Sorry.een beetje door elkaar geraakt. Alinea 2 en 3 moeten worden verwisseld.
Reageer
Preview