in

Roep om achterdeur in encryptie is van alle tijden

Om de zoveel jaar gaan er bij overheden stemmen op om een achterdeur in encryptie-systemen te verplichten, zodat ze de communicatie van criminelen kunnen blijven lezen. Dat dit meer kwaad dan goed doet, lijkt de politici niet te deren. Dat de discussie al langer speelt dan je wellicht dat, lees je hier.

Om te weten waar de huidige roep om meer controle over encryptie precies over gaat, is het nuttig om even een stapje terug te zetten in de geschiedenis. Tijdens de beginjaren van de Koude Oorlog (1947-1991) wilden de Verenigde Staten en hun bondgenoten voorkomen dat westerse technologie met militaire toepassingen in handen van ‘de vijand’ viel. Het ging daarbij niet alleen om munitie, maar ook om encryptie. Vlak na de Tweede Wereldoorlog werd encryptie immers bijna alleen maar voor militaire toepassingen gebruikt. Er kwamen dan ook exportregels, en op de United States Munitions List van technologie met exportbeperkingen stond encryptietechnologie.

Maar het is een algemene regel dat technologie die eerst alleen door het leger wordt gebruikt, daarna ook algemenere toepassingen krijgt. Zo ook met encryptie: banken zagen in dat ze met encryptie transacties op een veilige manier kunnen doorsturen. En ook overheidsdiensten buiten het leger voelden de noodzaak van encryptie. Daarom liet de Amerikaanse overheid DES (Data Encryption Standard) ontwikkelen, een algoritme voor symmetrische encryptie met sleutels van 56 bit groot.

Een achterdeurtje in DES?

DES werd in de vroege jaren zeventig door IBM ontwikkeld. Oorspronkelijk zou het met een sleutel van 64 bit werken, maar de NSA (National Security Agency) wilde een sleutel van 48 bit, zodat de Amerikaanse veiligheidsdienst de encryptie nog zou kunnen kraken. Ze wilde onderschepte versleutelde communicatie van binnenlandse of buitenlandse bedreigingen kunnen inkijken. Uiteindelijk kwam men tot een compromis en werd het algoritme afgezwakt tot 56 bit. Dat voor die tijd eigenlijk al te zwak, en in 1999 slaagde de Electronic Frontier Foundation (EFF) erin om een DES-sleutel in minder dan een dag te kraken.

Er was nog iets anders verdachts gebeurd bij de ontwikkeling van DES. Een belangrijke component van veel algoritmes voor symmetrische encryptie is de S-box (substitution box). Dat is een opzoektabel die een reeks invoerbits omzet naar een reeks uitvoerbits. Onder druk van de NSA werden de S-boxes van DES veranderd. Dat leidde al snel tot wantrouwen: had de NSA die S-boxes zodanig geconstrueerd dat er een achterdeurtje in zat dat alleen zij kende?

Pas in de jaren negentig werd duidelijk dat dit wantrouwen ongegrond was: de aanpassingen van de S-boxes door de NSA maakten het algoritme zelfs veiliger. Onderzoekers van IBM hadden namelijk differentiële cryptoanalyse ontdekt, een manier om encryptiealgoritmes te kraken, en de NSA had hen gevraagd om de techniek geheim te houden, zodat de Amerikaanse veiligheidsdienst ze stiekem kon blijven gebruiken. Maar de S-boxes van DES werden wel aangepast, zodat ze niet meer vatbaar waren voor differentiële cryptoanalyse.

Het hoofdkwartier van de NSA.

De opkomst van internet en ssl

Na de uitvinding van het world wide web was de groei van internet plots niet meer te stuiten en kwam ook de e-commerce op. Dat laatste was onder meer mogelijk omdat Netscape het protocol ssl (secure sockets layer) ontwikkeld had. Financiële transacties konden op een versleutelde manier worden overgedragen.

Ssl maakte toen gebruik van het encryptieprotocol rc4 met 128bit-sleutels. Maar volgens de exportbeperkingen van de Amerikaanse overheid was het verboden om encryptiesystemen met 128bit-sleutels te exporteren, omdat de NSA die niet kon kraken. Daarom voelde Netscape zich verplicht om twee versies van zijn webbrowser te ontwikkelen: de Amerikaanse editie met 128bit-ssl en de internationale editie met 40bit-ssl.

In de praktijk gebruikten zelfs veel Amerikaanse burgers gewoon de internationale versie van Netscape: in feite een heel onveilige situatie. De 40bit-encryptie was immers in enkele dagen tijd te kraken met een gewone pc, waardoor de ssl-verbindingen slechts schijnveiligheid boden. Na een campagne door privacyvoorvechters en e-commercebedrijven, die de publiciteit over de onveiligheid van e-commerce konden missen als kiespijn, werden de exportregels voor encryptie in 2000 verzwakt. In andere landen waren er vergelijkbare ontwikkelingen.

Zwakke gsm-encryptie

Op alle vlakken waar encryptie werd toegepast, lieten overheden hun invloed gelden. Toen de gsm-standaard werd ontwikkeld, werd het kunstje met de ‘internationale versie’ met een zwakker algoritme weer overgedaan: A5/1 werd in 1987 ontwikkeld voor encryptie van gsm-communicatie in Europa en de Verenigde Staten, en twee jaar later werd het veel zwakkere A5/2 voor de rest van de wereld ontwikkeld. A5/2 was zelfs zo zwak, dat toen de specificatie in 1999 werd gepubliceerd, in dezelfde maand nog uit een cryptoanalyse bleek dat het met standaardapparatuur realtime gekraakt kon worden. Pas in 2007 besloot de 3GPP, de standaardisatieorganisatie voor mobiele telefonie, om A5/2 uit te faseren.

Maar ook het sterkere A5/1 stuitte op problemen. De inlichtingendiensten van de NAVO-landen hadden allemaal immers hun eigen idee over hoe sterk A5/1 precies mocht/moest zijn. West-Duitsland (dit was nog vóór de hereniging van Duitsland) wilde de gsm-encryptie zo sterk mogelijk maken, uit vrees dat Oost-Duitsland anders zijn communicatie kon afluisteren. Oorspronkelijk zou er een sleutelgrootte van 128 bit komen, iets wat heel veilig zou zijn. Maar de Britten gaven niets om de Duitse vrees en de geheime dienst wilde 48bit-encryptie, zodat ze zelf gemakkelijker gsm-communicatie kon afluisteren. Het compromis werd een sleutelgrootte van 54 bit.

Al in 2000 werd aangetoond dat A5/1 realtime gekraakt kan worden. Uit documenten die klokkenluider Edward Snowden in 2013 lekte, blijkt dat de NSA met A5/1 versleutelde communicatie kan kraken. Van de encryptie-algoritmes voor 3G, 4G en 5G is niet bekend of overheden hier invloed op uitoefenden.

Een achterdeurtje in elke gsm?

Ondertussen bewandelde de Amerikaanse overheid nog een andere route om gsm-communicatie af te kunnen luisteren. De NSA had een chip ontwikkeld om spraak en data te ‘beveiligen’: Clipper. Het was de bedoeling dat die in elke mobiele telefoon ingebouwd zou worden. Elke Clipper-chip was voorzien van een uniek serienummer en een geheime sleutel, die als backdoor diende voor de NSA. Zo zou de communicatie ‘versleuteld’ zijn, zodat onbevoegden die niet konden inzien, maar overheidsdiensten die spraak- of datacommunicatie onderschepten, die wel konden decoderen.

Het werkte met het principe van ‘key escrow’ (of volgens de Electronic Frontier Foundation ‘key surrender’). De overheid hield elke sleutel in bewaring samen met het bijbehorende serienummer. Elke overheidsdienst die dat nodig vond, kon de sleutel van een specifiek serienummer opvragen, waarmee ze dan alle afgeluisterde communicatie van die specifieke telefoon kon afluisteren.

Toen Clipper in 1993 aangekondigd werd, beargumenteerde het team van president Bill Clinton dat de politie Clipper nodig had om met de technologische ontwikkelingen mee te kunnen gaan. De gedachte was dat terroristen met elkaar veilige, niet af te luisteren communicatiemiddelen zouden gebruiken, maar om met buitenstaanders zoals banken, leveranciers enzovoort te communiceren hadden ze de officiële manier nodig, en die communicatie afluisteren zou ook al nuttig kunnen zijn.

Clipper kon op heel wat weerstand rekenen. Door de communicatie tussen criminelen en derden af te luisteren, zouden talloze onschuldige burgers ook afgeluisterd worden. Bovendien werd de werking van Clipper geheim gehouden, waardoor men vreesde dat het algoritme niet voldoende getest en beoordeeld zou zijn en dus fouten zou bevatten. Het risico bestond dan ook dat criminelen het algoritme zouden kraken en daardoor alle gsm-communicatie konden ontcijferen.

Bovendien kon de Amerikaanse overheid wel Amerikaanse telefoonproducenten verplichten om de Clipper-chip in te bouwen, maar voor buitenlandse producenten gold die verplichting niet. Amerikaanse burgers (en criminelen) zouden gewoon buitenlandse telefoons met sterke encryptie kunnen kopen, en de kans was groot dat de Amerikaanse producenten uit de markt geduwd zouden worden. Door al die tegenstand stierf Clipper rond 1996 een stille dood. De discussie leidde er ook toe dat encryptiesystemen zoals PGP (Pretty Good Privacy) veel populairder werden. In 1997 publiceerde een groep computerwetenschappers ‘The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption’ met een samenvatting van de risico’s.

Willekeurige getallen voorspellen

Omdat de aanpak van Clipper mislukte, veranderde de NSA van tactiek: vanaf nu zou het alleen nog maar in het geniep encryptie proberen te verzwakken. Dat deed de organisatie onder meer door haar invloed in standaardisatieorganisaties aan te wenden. De NSA had immers heel wat expertise in encryptie en was daardoor in (vooral Amerikaanse) standaardisatieorganisaties voor encryptiealgoritmes nog altijd welkom.

Eén standaard waar de NSA haar zin kon doordrijven, was SP 800-90A van het Amerikaanse NIST (National Institute of Technology). In deze standaard worden enkele algoritmes gedefinieerd om pseudowillekeurige getallen te genereren (een pseudo-random number generator of pseudo-rng), wat belangrijk is voor allerlei encryptiealgoritmes.

Een van die pseudo-rng-algoritmes is Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator). De werking is gebaseerd op een ingewikkeld wiskundig concept, namelijk elliptische krommen. Dual_EC_DRBG heeft twee parameters, punten P en Q op de kromme. Die zijn in de standaard SP 800-90A gedefinieerd, maar er wordt niet uitgelegd hoe de ontwerpers aan die exacte waardes komen. En wie zijn die ontwerpers van die standaard? Voornamelijk werknemers van het NIST en… de NSA.

Het probleem is: Dual_EC_DRBG is alleen veilig als P en Q willekeurig gegenereerd zijn. Maar P en Q kunnen ook zo opgesteld worden dat ze een achterdeurtje vormen. Die mogelijkheid was in cryptografiekringen al bekend en was zelfs tijdens een bijeenkomst van het standaardisatiecomité geopperd. Maar niemand leek toen echt te geloven (of publiekelijk te beweren) dat de NSA daadwerkelijk een backdoor in het algoritme had geïntroduceerd door haar keuze voor de waardes P en Q.

Nog voordat de definitieve versie van SP 800-90A gepubliceerd was, gingen mensen vragen stellen. Dus deed de NSA er alles aan om haar backdoor er toch door te duwen. Zo zorgde ze er door een subtiele formulering in de standaard voor dat implementaties alleen de FIPS 140-2-validatie konden krijgen als ze die specifieke P en Q gebruikten. Die validatie is nodig als iemand software aan de Amerikaanse overheid of gereguleerde industrieën wil verkopen.

Binnen het standaardisatiecomité was er toen discussie over het al dan niet aannemen van Dual_EC_DRBG in SP 800-90A (dat ook drie andere algoritmes beschreef). De NSA zou in 2004 het bedrijf RSA tien miljoen dollar toegestopt hebben om van Dual_EC_DRBG de standaard rng in zijn cryptografische bibliotheek BSAFE te maken. Dat was dus nog voordat het algoritme een officiële NIST-standaard werd. Tegenover het comité verweerde de NSA zich toen met het gegeven dat het prominente bedrijf RSA zelfs Dual_EC_DRBG in zijn producten gebruikte. Het comité was zich niet bewust van de geheime deal met RSA en nam uiteindelijk het algoritme aan: de eindversie van de standaard werd in 2006 gepubliceerd.

Ontmaskering van de NSA

Al vrij snel had de cryptografische gemeenschap door dat er iets loos was. In 2007 toonden Microsoft-werknemers Dan Shumow en Niels Ferguson aan dat iemand met kennis van P en Q die toegang heeft tot een beperkte hoeveelheid ‘willekeurige’ cijfers van Dual_EC_DRBG, de volledige interne toestand kan reconstrueren en dus alle uitvoer kan voorspellen. Op basis hiervan vroeg beveiligingsexpert Bruce Schneier zich in een artikel in Wired expliciet af of de NSA soms een backdoor in de standaard had geïntroduceerd.

Door de niet zo koosjere gang van zaken bij het standaardisatieproces (NIST’s eigen cryptograaf waarschuwde toen nota bene voor een mogelijk achterdeurtje in het algoritme, iets wat door NIST genegeerd werd) geloofde eigenlijk iedereen Schneier, maar niemand kon het bewijzen. Tot in 2013.

Door de onthullingen van klokkenluider Edward Snowden kwamen alle voorgaande acties van de NSA in een ander licht te staan. In een van de gelekte documenten stond dat de NSA stiekem zwakheden in encryptiestandaarden introduceerde, en de link met Dual_EC_DRBG was dan ook snel gelegd. NIST reageerde daarop publiek door iedereen aan te raden om het algoritme niet meer te gebruiken en RSA raadde zijn klanten hetzelfde aan. In december 2013 kwam Reuters naar buiten met het verhaal over de deal tussen de NSA en RSA, en in 2014 verwijderde NIST het geplaagde algoritme uit de NIST SP 800-90A-standaard.

Achterdeurtje in Juniper-firewalls

Eind goed, al goed, denk je. Maar het verhaal kreeg nog een staartje. Eind 2015 kondigde Juniper Networks aan dat het in zijn besturingssysteem ScreenOS, dat op de NetScreen-firewalls draait, twee backdoors had gevonden die er al zeker sinds 2012 in zaten.

ScreenOS maakte gebruik van Dual_EC_DRBG als pseudo-rng. Het bedrijf wist dat de NSA de NIST SP 800-90A-standaard gekaapt had, en had daarom een andere Q dan die uit de standaard gekozen. Maar de release van augustus 2012 introduceerde ineens nog een andere Q in het algoritme, iets wat blijkbaar niet door Juniper was geautoriseerd. Diegene die deze Q in de code gezet had, kon dus al het netwerkverkeer door de vpn ontcijferen, omdat hij de sleutels voor de encryptie van het vpn-verkeer kon voorspellen.

Onmiddellijk waren er geruchten dat deze backdoor van de NSA kwam. In 2013 was uit gelekte documenten al bekend geworden dat de NSA door het FEEDTHROUGH-programma toegang had tot Juniper-firewalls.

Cryptografieprofessor Matthew Green denkt dat Juniper het achterdeurtje zelf geïntroduceerd heeft, maar dat een buitenlandse inlichtingendienst dat ontdekte en erin geslaagd is om stiekem een eigen Q te introduceren, zodat ze eenvoudig misbruik kon maken van het bestaande achterdeurtje.

Het voorval met Juniper bewijst dat een overheid een achterdeurtje in encryptie geven alleen maar slecht kan aflopen. Door een achterdeurtje te openen, open je een doos van Pandora, die uiteindelijk in je gezicht ontploft met maar één gevolg: je bent onveiliger en criminelen, terroristen en/of buitenlandse mogelijkheden maken er waarschijnlijk meer misbruik van dan je zelf kunt.

Het geheime programma Bullrun

De backdoor in Dual_EC_DRBG was één onderdeel van een clandestien programma van de NSA, Bullrun. Edward Snowden lekte in 2013 het bestaan hiervan. Het doel van Bullrun is op welke manier ook encryptie aan te vallen om versleutelde netwerkcommunicatie te kunnen ontcijferen.

Volgens een van de gelekte documenten kon de NSA ssl en vpn’s kraken. Het veiligheidsagentschap zou er in 2006 door vpn-verbindingen te ontcijferen in geslaagd zijn om bij drie buitenlandse vliegtuigmaatschappijen, een nucleair agentschap van een buitenlandse mogendheid en een internetprovider in te breken.

In een gelekt document uit 2010 staat dat de NSA ‘baanbrekende mogelijkheden’ heeft rondom versleuteld internetverkeer. Cryptografie-experts speculeerden toen dat de NSA het RC4-algoritme gekraakt had, dat in 2015 overigens in alle tls-versies (een verbeterde versie van ssl) verboden werd, omdat er toen ook al publieke zwakheden in ontdekt waren. Een ander vermoeden is dat de NSA de processorkracht heeft om 1024bit-RSA-sleutels of Diffie-Hellman-sleutels te kraken. Het NIST raadt sinds 2015 RSA-sleutelgroottes van minstens 2048 bit aan.

Door en na Edward Snowden wijzigde de publieke opinie. Nu pas was er een groot besef van wat iedereen intuïtief wel vermoedde, maar waar men tot dan niet bleef bij stilstaan: allerlei overheden luisteren iedereen af, ook onschuldige burgers. De Verenigde Staten sprongen door de lekken van Snowden het meest in het oog, maar we mogen ervan uitgaan dat het in elk land gebeurt.

Zo werd in 2014 bekend dat de Australische politie zonder daar recht op te hebben via de isp’s toegang kreeg tot de browsergeschiedenis van burgers. In India draait de overheid een systeem dat realtime data uit Skype en Google Talk haalt, telefoontjes afluistert, e-mails en sms-berichten onderschept en zoekopdrachten op Google opvolgt. En dan hebben we het nog niet over de ‘Great Firewall of China’.

Maar na Snowdens onthullingen accepteren steeds minder mensen die slinkse afluisterpraktijken. Fabrikanten van smartphones krijgen ook meer verzoeken van overheden om versleutelde gegevens op apparaten te kraken. Zowel Apple als Google reageerde in 2014 door de data zo te versleutelen dat alleen de gebruiker ze kon ontcijferen. Zo konden de bedrijven niet verplicht worden om mee te werken, want ze waren er simpelweg technisch niet meer toe in staat.

Verbod op sterke encryptie?

Intussen begonnen ook meer messengersystemen gebruik te maken van end-to-end encryptie, zoals Signal, maar ook WhatsApp. Daarbij kunnen alleen de zender en ontvanger onversleutelde tekst zien: op het net wordt alles versleuteld en zelfs Facebook (eigenaar van WhatsApp) kan in principe niet zien wat je in WhatsApp typt, omdat de benodigde sleutels alleen bij de zender en de ontvanger bekend zijn. De groei van end-to-end encryptie is de overheden niet ontgaan en is ze zelfs een doorn in het oog. In verschillende landen zijn de laatste jaren dan ook voorstellen gedaan om via wetgeving achterdeurtjes voor de overheid in end-to-end encryptie af te dwingen.

In Australië is er sinds 2018 al een wet die technologieleveranciers verplicht om een achterdeurtje voor de overheid in te bouwen als ze end-to-end encryptie gebruiken: de Assistance and Access Bill 2018. Toen cryptografen reageerden dat het wiskundig onmogelijk was om een systeem te ontwikkelen waarmee de politie criminelen kon bespioneren, maar de criminelen de politie niet, maakte de toenmalige Australische premier Malcolm Turnbull zich onsterfelijk belachelijk met de uitspraak “Allemaal lovenswaardig, die wiskundige wetten, maar de enige wetten die in Australië van toepassing zijn, zijn de Australische wetten.”

Uiteraard houdt deze wet de echte criminelen niet tegen: zij gebruiken gewoon geen Australische leveranciers meer voor hun communicatiesystemen. Bovendien zal een zwakheid in de backdoor sowieso de veiligheid van talloze onschuldigen in het gedrang brengen. Het incident met Juniper bewijst dat het misbruik van achterdeurtjes geen theoretisch probleem is, maar in de praktijk echt voorkomt.

Blijvende aanvallen op end-to-end encryptie

In landen als China, Rusland en Turkije is end-to-end encryptie verboden. Australië is voorlopig nog het enige land met een wet die een achterdeurtje in end-to-end encryptie verplicht. En de voormalige premier van het Verenigd Koninkrijk, David Cameron, en de voormalige president van de Verenigde Staten, Barack Obama, pleitten in 2015 al voor soortgelijke wetten in hun landen, zonder succes. Dat bracht dezelfde onderzoekers die na Clipper hun rapport publiceerden ertoe om in 2015 ‘Keys Under Doormats: Mandating insecurity by requiring government access to all data and communications’ te publiceren, waarin ze concludeerden dat de risico’s van overheidsachterdeurtjes nu nog groter zijn.

In oktober schreven hoge ambtenaren van Justitie van de Verenigde Staten, het Verenigd Koninkrijk en Australië nog een open brief aan Mark Zuckerberg, waarin ze opriepen om in zijn plannen voor end-to-end encryptie op Facebook ‘prioriteit te geven aan publieke veiligheid’ door opsporingsdiensten toegang tot de onversleutelde communicatie te geven.

De Nederlandse minister van Justitie en Veiligheid Grapperhaus was er overigens snel bij om te melden dat hij de zorgen van zijn buitenlandse collega’s deelde. En dat ondanks het feit dat de Nederlandse regering in 2016 concludeerde dat het niet wenselijk is om versleuteling te beperken.

De publieke aanvallen op end-to-end encryptie blijven komen, en als die niet lukken, gaan de inlichtingendiensten waarschijnlijk weer onder de radar werken. Zo mag de Australische politie ook aan technologieleveranciers vragen om malware op je apparaten te installeren om je op afstand af te luisteren. Op die manier kan ze op afstand zien wat je intypt, en dan maakt het niet uit dat je end-to-end encryptie gebruikt. Bereid je in de komende jaren maar voor op overheden die je toestellen proberen binnen te dringen…

De beste slimme lampen: Vijf systemen getest

Linux Mint installeren en de belangrijkste instellingen