Dit wetsvoorstel moet encryptie moeilijker maken

Een nieuw Amerikaans wetsvoorstel moet het makkelijker maken voor overheidsdiensten om toegang te krijgen tot persoonlijke informatie. Twee gerespecteerde Amerikaanse senatoren hebben de afgelopen weken gewerkt aan het voorstel, dat afgelopen nacht openbaar werd gemaakt. Het zou grote consequenties kunnen hebben voor bedrijven zoals Apple én voor gebruikers van Amerikaanse diensten zoals Dropbox en Facebook. Techbedrijven zijn niet enthousiast.

Compliance with Court Orders Act of 2016

Het wetsvoorstel met de naam ‘Compliance with Court Orders Act of 2016’ is opgesteld door twee leden van het Senate Intelligence Committee. Het gaat om voorzitter Richard Burr (Republikein) en vice-voorzitter Dianne Feinstein (Democraten). Ze willen zorgen dat de overheid gemakkelijker toegang krijgt tot versleutelde data. Bedrijven zoals Apple worden daarbij gedwongen hun eigen beveiligingsmaatregelen moeten omzeilen, om data van klanten in een leesbaar formaat te kunnen overdragen aan overheidsdiensten. De overheidsdiensten hebben daarvoor wel een bevel van de rechtbank nodig.

De volledige tekst van het voorstel is onderaan dit artikel te lezen (tip: bij voorkeur op een groter scherm).

Nieuwe wet tegen encryptie

De vraag is alleen of de wetgeving er komt. President Obama heeft al aangegeven dat hij het wetsvoorstel niet gaat steunen, maar zijn opvolger denkt daar misschien anders over. In het Huis van Afgevaardigden heeft de Republikein Darrell Issa aangegeven, dat hij het wetsvoorstel totaal niet ziet zitten. Senator Ron Wyden gaf op Twitter aan dat hij alles zal doen om de Burr-Feinstein-wet tegen te houden. “Het maakt het voor Amerikanen minder veilig”, aldus Wyden.

De Electronic Frontier Foundation is van plan om de eventuele invoering van de wet jarenlang te dwarsbomen, bijvoorbeeld door rechtszaken te voeren.

Data leveren in leesbaar formaat

De wet treft vooral techbedrijven die actief zijn op het gebied van hardware, software of diensten. Zij moeten overheidsdiensten toegang geven tot versleutelde informatie. Zoiets lukt alleen als de encryptie gemakkelijk te kraken is (maar dan kunnen kwaadwillenden het ook kraken) of als het techbedrijf zelf een kopie van alle encryptiesleutels bewaart. Dat laatste is iets dat Apple expliciet niet doet: de pincode op je toestel is één van de encryptiesleutels en die is alleen bekend bij de eigenaar van het toestel.

Het wetsvoorstel vereist dat data in een leesbaar formaat wordt overhandigd. Er wordt niet gesproken over bepaalde methoden om data te verzamelen of om het bouwen van een tool waarmee de overheidsdiensten zelf makkelijk toegang kunnen krijgen tot de gewenste data. De taak om de informatie te ontsleutelen ligt bij het techbedrijf.

Alleen voor misdaden en misdrijven

Eerder lekten al kladversies van het wetsvoorstel. De openbaar gepubliceerde versie is iets specifieker gemaakt, door te benadrukken dat er sprake moet zijn van misdaden met doden of zwaargewonden, buitenlandse spionage, terrorisme, federale misdaden tegen minderjarigen, federale drugszaken en serieuze misdrijven. Het kan dus niet worden gebruikt in zaken waarbij iemand toegang wil tot de iPad van een overleden familielid.

‘Encryptie mag niet boven de wet staan’

Security-experts vinden het voorstel ‘gevaarlijk’ en ‘belachelijk’. Het voorstel dat nu publiek is gemaakt is bedoeld om feedback te krijgen van juristen. “Ik hoop dat deze kladversie een zinvolle discussie over de rol van encryptie en de plaats daarvan in de wetgeving oplevert”, aldus Burr in een verklaring. “Kijkend naar de eerste feedback, heb ik er vertrouwen in dat de discussie is begonnen.” Burr gaf overigens ook aan dat data nu vaak niet veilig is en dat consumenten het recht hebben om oplossingen te gebruiken om die informatie te beschermen. Ook als daarbij sterke encryptie wordt gebruikt. “Ik denk alleen niet, dat die oplossingen boven de wet moeten staan”, aldus Burr.

De volledige tekst van het wetsvoorstel is hieronder te lezen: