Dagelijks gebruiken we chatapps, bijna zonder erbij na te denken. Hoe veilig zijn die? En wat brengt de toekomst? Expert digitale privacy Ruben De Smet (VUB): ‘Je kan niet tegen een computer zeggen wie wel en niet mag meekijken.’
Veel chatapps zijn beveiligd met encryptie. Iedereen kent de term, maar wat betekent het nu juist?
‘Als ik jou een bericht wil sturen via een bepaald medium, bijvoorbeeld via het internet, wil ik niet dat anderen kunnen meelezen. Encryptie beveiligt die communicatie, zodat iemand die meeluistert via dat medium niet kan afluisteren.’
Populaire berichtenapps zoals Whatsapp en Signal gebruiken end-to-end-encryptie. Waar is dat?
‘Die term gaat over de manier waarop encryptie gebruikt wordt. Het betekent dat de partij die het gesprek host, niet kan meeluisteren. Enkel de verzender en de ontvanger kunnen het bericht lezen. Bij e-mail is de inhoud van het bericht wel leesbaar voor je e-mailprovider, zoals Google in het geval van Gmail. Die inhoud is dan weer niet leesbaar voor je telecomprovider of de telecomprovider van de ontvanger. De verbinding tussen jou en je e-mailprovider is geëncrypteerd, maar de boodschap wordt wel leesbaar voor de e-mailprovider.’
‘Een bericht dat je naar de server van bijvoorbeeld Signal stuurt en dat het bedrijf vervolgens weer naar de ontvanger verzendt, kan Signal ondertussen niet lezen. Dat heet end-to-end-encryptie.’
De encryptie van Whatsapp is dus goed, want ook Meta voorziet end-to-end-encryptie. Toch zijn er zorgen over de privacy bij Whatsapp. Hoe zit dat?
‘Meta, het bedrijf achter Whatsapp, kan inderdaad niet meelezen in je chats. Maar ze zijn wel heel geïnteresseerd in alle gegevens rondom die gesprekken, de metadata. Zoals wanneer je aan het chatten bent, naar wie je een bericht stuurt en de links die je na een gesprek bezoekt. Stel dat je een vlucht hebt geboekt naar Málaga en direct daarna met iemand aan het chatten bent. Dat kan over die vakantie gaan. Misschien wil die persoon ook wel naar Málaga. Vervolgens kan Meta bij diegene dan gericht gaan adverteren, zonder dat die persoon zelf al naar vluchten heeft gezocht. Privacy-vriendelijkere diensten kijken niet naar die metadata.’
Quantumcomputers zouden die encryptie in de toekomst kunnen kraken. Hoe reëel is die dreiging?
‘Experts menen dat quantumcomputers de huidige asymmetrische encryptie zouden kunnen breken. De vraag is nog altijd of we ooit zo'n quantumcomputer kunnen bouwen. Hoewel dat nog onzeker is, is iedereen het eens dat we ons ertegen moeten wapenen. Als die computer er is, moet ook de post-quantum-encryptie klaar zijn. Daarvoor wordt andere en complexere wiskunde gebruikt. Het is afwachten wat er nu effectief gaat werken.’
Ruben De Smet is postdoctoraal onderzoeker aan de Vrije Universiteit Brussel, waar hij zich toelegt op cryptografie en privacytechnologie. Hij onderzoekt hoe we digitale privacy kunnen waarborgen met behulp van wiskundige technieken zoals zero-knowledge proofs en veilige berichtensystemen. Met zijn werk wil hij privacybescherming toegankelijker maken, niet alleen voor specialisten maar ook voor ontwikkelaars en gebruikers. Ruben is ook actief als spreker en docent over onderwerpen als digitale veiligheid, Signal en versleuteling.
‘Er zijn al wat systemen die post-quantum-encryptie inzetten, zoals Signal en iMessage van Apple. Signal heeft ooit zijn beveiligingssysteem, dat echt state-of-the-art is, aan Whatsapp verkocht. Maar of Whatsapp nu ook een upgrade heeft gekregen en ook al post-quantum-encryptie voorziet, is niet duidelijk. Er is in elk geval niet publiekelijk over gecommuniceerd.’
De encryptie van Signal kan dan wel goed zijn, toch kreeg een journalist van The Atlantic in maart van dit jaar plotseling toegang tot militaire staatsgeheimen van de Amerikaanse overheid.
‘Mensen zijn een beetje onterecht bezorgd geworden door die gebeurtenis. Het ging eigenlijk over toegangscontrole. Het is heel makkelijk om mensen aan een groep toe te voegen, dat is een deel van de gebruikservaring. Het is een menselijke fout: als niemand die journalist toegang had gegeven, zou de app perfect hebben gewerkt.’
Geregeld zetten overheden techbedrijven onder druk om opsporingsdiensten toegang te geven tot versleutelde data. Zo eiste de Britse overheid onlangs toegang tot versleutelde data op iCloud. Kan dat zomaar?
‘Die tendens bestaat al heel lang, om de paar maanden komt er weer gelijkaardig nieuws voorbij. Onlangs nog wilde de Europese Unie ‘chat control’: een achterdeurtje in alle geëncrypteerde gesprekken. Maar dat is technisch gezien helemaal niet mogelijk: je kan niet tegen een computer zeggen dat de goeden mogen meekijken en de slechten niet. Ofwel geef je iedereen toegang, ofwel geef je niemand toegang. Apple en Signal staan erom bekend om altijd veel weerstand te bieden tegen zulke verzoeken. Het is voor hen ook niet mogelijk om de encryptie zomaar weg te nemen in één land.’
‘Zoiets zou ook heel problematisch zijn voor het vrije verkeer van informatie, de democratie, de vrije meningsuiting. We moeten weerstand blijven bieden.’
Mensen die naar eigen zeggen niets te verbergen hebben, hechten toch vaak minder belang aan online privacy. Is er een bepaalde groep voor wie sterke encryptie belangrijker is?
‘Er zijn inderdaad groepen die daar meer belang bij hebben dan andere. Maar je weet nooit op voorhand wie dat wel en niet zijn. Als er in België een regime aan de macht zou komen en er een grote opstand georganiseerd moet worden, moet de infrastructuur al klaar liggen. Je kan die niet op het moment zelf uitbouwen.’
