Alles wat je op internet doet, kan achteraf door hackers worden aangepast

David Satter, een Amerikaanse journalist en een fel tegenstander van Poetin, kreeg op 5 oktober 2016 een phishingmail. Nadat hij zijn wachtwoorden op een verkeerde site invulde, werden zijn gestolen mails en documenten gelekt door CyberBerkut, een pro-Russische hacktivistische blog. Een van de gevonden rapporten kreeg veel aandacht; een stuk dat Satter schreef voor Radio Liberty, een door de VS gefinancierde zender in Oekraïne. Het stuk suggereerde dat Alexei Navalny, een prominente criticus van het Russische regime en Poetin, en een aantal andere kritische journalisten van Radio Liberty financiële steun ontvangen. Waardoor zij vervolgens zwaar onder vuur kwamen te liggen in Rusland.

Het stuk was alleen niet door Satter geschreven. Zinnen zijn verwijderd, namen zijn veranderd. De essentie van het stuk was zoek. Deze 'Tainted Leaks', aangetaste lekken, zijn een nog niet eerder opgemerkte vorm van manipulatie en ze zijn opgespoord door de Canadese onderzoeksgroep CitizenLab, die digitale misstanden in beveiliging en mensenrechten opspoort. Datajournalist Dimitri Tokmetzis schreef van de week in de Correspondent dat "de noodzaak van encryptie maar weer eens wordt onderstreept".

Maar overheden redeneren, zoals zo vaak rond het thema van internetveiligheid, 180 graden andersom. De Britse premier Theresa May komt vlak voor de Britse verkiezingen juist met plannen om encryptie onherstelbaar te verzwakken, zodat inlichtingendiensten gemakkelijker kunnen inbreken bij de data van burgers. Dat doet ze uiteraard in het kader van terrorismebestrijding. Maar ze brengt het wel heel pijnlijk: "If human rights get in the way of doing these things, we will change those laws to make sure we can do them."

Juist vandaag spreekt de Europese Commissie over mogelijke aanpassingen om het makkelijker te maken om de encryptie van bijvoorbeeld Google, Twitter en Whatsapp aan te pakken. Een van de mogelijke voorstellen is het maken van een loper. Een sleutel, beschikbaar voor overheden die alle versleuteling van die diensten kan openen. Daarmee zou je terroristen makkelijker kunnen opsporen volgens sommige politici.

Om de waarde van het onderzoek van CitizenLab te begrijpen is het daarom eerst belangrijk om je een beeld te geven van wat encryptie is. Encryptie is namelijk het slotje in je browser. Het slotje dat ervoor zorgt dat je zeker weet dat je met je bank aan het praten bent. Het zorgt ervoor dat je gegevens, als ze van jou naar de bank gaan, niet in de tussentijd aangepast worden, omdat er een slot op zit. Het is versleuteld. Encryptie wordt dus gebruikt om te checken of communicatie wel echt van jou is. Ik weet door encryptie dat het mijn redacteur is die me mailt dat ik mijn deadline weer heb gemist, en niet een team Russische hackers.

Dimitri noemt dit de 'integriteit van data'. Je moet zeker kunnen zijn dat de data echt is, anders stort onze informatiepiramide, onze cultuur, en uiteindelijk onze hele maatschappij volledig in.

Ik bel erover met Daphne van der Kroft, van burgerrechtenorganisatie Bits of Freedom, die opkomt voor internetvrijheid in Nederland. Ze legt me uit waarom encryptie het sleutelwoord is om te voorkomen dat dingen die jij niet hebt gezegd, tegen je worden gebruikt.

Want door datamanipulatie kunnen je banktransacties aangepast worden, je biometrische data veranderd worden en je mails herschreven worden. In het geval van David Satter, werden uit zijn naam Russische oppositieleden in diskrediet gebracht. Want wat nou als uit jouw naam ontslag wordt genomen. Uit jouw naam beledigingen worden verstuurd. Of erger, als opeens uit jouw banktransacties blijkt dat je voor 1000 euro kinderporno hebt gekocht?

Stel ik ga versleuteld met je mailen. Dan heb jij een sleutel van mij, en ik een sleutel van jou. Op het moment dat ik dan een mail van jou krijg, weet ik vrij zeker dat hij echt van jou is. Die kan dus niet in de tussentijd, door een man-in-the-middle, worden opgevangen. Of, en dat is supermakkelijk met mail, het laten lijken alsof ik iemand anders ben. Dat soort phisingmails ken je wel. Dat gebeurt aan de lopende band. We kennen allemaal wel een Nigeriaanse prins of een prachtige aanbieding waarvoor je eerst je creditcardgegevens in moet vullen. Meestal trappen we echter niet in de val omdat we iets zien aan de mail. Maar wat nou als je denkt dat je collega je even mailt? Wat nou als er een man-in-the-middle doet alsof hij jou is?

Een loper maken om encryptie onomkeerbaar aan te tasten is volgens Daphne dan ook niet zo slim. "Iedereen met een beetje technische kennis van digitale dingen is ervan overtuigd dat dat heel erg stom is. Want wat je doet, is met opzet een kwetsbaarheid maken die gigantische gevolgen kan hebben. En als die in de verkeerde handen komt, dan heb je echt een probleem." Denk nog maar even terug aan de WannaCry-hack, die onder andere een hoop ziekenhuizen wist plat te leggen. Die hack werd onder andere mogelijk gemaakt door een bug die de NSA had gevonden, maar niet had gemeld aan het publiek. Het is niet moeilijk je voor te stellen dat technieken die bij de overheid zouden moeten blijven, terecht komen in de handen van criminelen.

Wat doet Nederland hier nou voor? Volgens Daphne heeft ons kikkerlandje een voorbeeldrol in het encryptievraagstuk. Zo heeft het kabinet afgelopen jaar nog gezegd dat ze encryptie niet willen verzwakken maar willen versterken, bijvoorbeeld door een half miljoen te investeren in het Internet Hardening Fund dat open source encryptie wil verbeteren. De grote internationale belangstelling voor dit fonds wordt gezien als belangrijk signaal voor wereldwijde steun voor dit initiatief, zo blijkt uit de Kamerbrief van Minister van Economische Zaken Henk Kamp.

Toch komt ook in Nederland vanuit de politieke opinie vaak de oproep om daadkrachtig over te komen en te zeggen dat boeven zich verschuilen achter encryptie. Dat het veiliger is om encryptie in stand te houden, voor jou, en je digitale geschiedenis, wordt nog niet genoeg genoemd. De Europese ministers van Justitie en Binnenlandse zaken spreken er vandaag en morgen over. Hopelijk spreken ze open over je geheimen.