Een groep van 250 wetenschappers, onderzoekers en securityexperts waarschuwen voor Europese plannen om encryptie in apps af te zwakken. De groep zegt dat encryptie niet zomaar kan worden afgezwakt en hekelt dat politici niet in gesprek zijn gegaan met experts.
De brief is ondertekend door meer dan 250 hoogleraren, wetenschappers, onderzoekers en securitybedrijven. Ook veertien Nederlandse academici, waaronder Frederik Zuiderveen Borgesius, Herbert Bos en Jaap-Henk Hoepman, hebben de brief ondertekend, naast negentien Belgische wetenschappers van onder andere de KU Leuven. De brief is een antwoord op een recent wetsvoorstel van de Europese Commissie om kindermisbruikmateriaal tegen te gaan en kinderen op andere manieren online te beschermen. Het plan werd eerder door het Europees Parlement afgeschoten, maar sinds vorig jaar zijn er nieuwe plannen om een afgezwakt wetsvoorstel op tafel te leggen. Met dat wetsvoorstel kunnen grote techbedrijven worden gedwongen kindermisbruikmateriaal op te sporen en te verwijderen, ook als dat via versleutelde diensten wordt verspreid.
In de open brief schrijven de wetenschappers dat het voorstel ‘communicatie- en systeemveiligheid compleet ondermijnt’ vanuit een technisch standpunt. De wetenschappers hekelen onder meer dat beleidsmakers ‘geen dialoog zijn aangegaan met academische experts’. In plaats daarvan zorgt het voorstel volgens hen voor ‘ongekende mogelijkheden voor surveillance en controle van internetgebruikers’. De wetenschappers schreven destijds ook al een brief met waarschuwingen en aanbevelingen.
Een van de belangrijkste nieuwe veranderingen aan het nieuwe voorstel, ten opzichte van het oude, is dat opsporingsdiensten daarmee gerichter kunnen zoeken naar daders. Zo is het onder andere de bedoeling dat opsporingsdiensten alleen naar ‘users of interest’ kijken. Dat zijn gebruikers die meerdere keren betrapt betrapt worden op het kijken naar kindermisbruikmateriaal. “Dit voorstel lost de problemen niet op die we destijds hebben aangekaart”, aldus de briefschrijvers.
Dat heeft onder andere te maken met ‘de zwakke prestaties van geautomatiseerde detectietechnologieën’ om dergelijk materiaal te vinden. Dat betekent dat er mogelijk valspositieven als resultaten uit komen en die worden waarschijnlijk ‘niet significant gereduceerd totdat het aantal herhaalde feiten zo hoog is dat detectie stopt met effectief zijn’. De wetenschappers wijzen erop dat er dagelijks miljarden berichten via bijvoorbeeld WhatsApp of Facebook Messenger worden verzonden en dat daardoor het aantal valspositieven in de miljoenen kan lopen.
De wetenschappers stellen ook dat beeldherkenning in een versleutelde community ‘per definitie encryptiebeveiliging ondermijnt’. Het nieuwe wetsvoorstel stelt dat bedrijven ‘cybersecurity en versleutelde data moeten blijven beschermen door end-to-endversleuteling die tegelijk binnen de scope van opsporingsbevelen staat’. De wetenschappers noemen dat een oxymoron. “De bescherming van end-to-endencryptie impliceert dat niemand behalve de ontvanger zulke communicatie kan lezen. Door detectietechnologie toe te voegen, zowel voor versleutelde data als voordat het versleuteld wordt, schendt de definitie van vertrouwelijkheid die end-to-endversleuteling belooft.”
Er staan nog verschillende andere voorbeelden in het wetsvoorstel waar de wetenschappers moeite mee hebben. Zo is er een verplichting om aan leeftijdsverificatie van jongeren te doen. Ook daarbij wijzen de wetenschappers erop dat er op dit moment ‘geen goede, bewezen technische oplossing is’ om dat te regelen waarbij ook de privacy van gebruikers wordt beschermd.