[Cryptography] Dutch govt says no to encryption backdoors

Mon Jan 4 20:00:49 EST 2016

The Guardian does a reasonable good job of explaining the content of the
letter.
I have attached the content in .txt format, and the Google translate
version.

The key conclusion of the letter is:

" The government's role is to ensure the safety of the Netherlands and to
investigate (possible) breaking of the law . The Cabinet stressed the need
for legitimate access to data and communications. In addition, governments,
businesses and citizens benefit from maximum security of digital systems.
The government recognizes the importance of strong encryption for Internet
security, to support the protection of the privacy of citizens, for
confidential communication of the government and companies, and for the
Dutch economy.

Therefore, the government believes that it is currently not appropriate to
adopt restrictive legal measures against the development, availability and
use of encryption within the Netherlands. In the international context, the
Netherlands will voice this conclusion and the considerations upon which
this conclusion have been based."

A quite reasonable and balanced view, imho. At the the same time however,
there is a proposed bill in discussion that would give the Dutch spy's more
legal room to snoop than the last bill that was passed in the USA would
give...

Herman Wagter

On Mon, Jan 4, 2016 at 10:45 PM, Henry Baker <hbaker1 at pipeline.com> wrote:

> FYI -- I don't speak Dutch, and I couldn't even open the .docx file posted
> by the Dutch govt.
>
> If someone here speaks Dutch, perhaps they can comment on what it says.
>
> Alternatively, if someone could just post the ascii text, and I'll see
> what Google Translate can do!
>
>
> http://www.theregister.co.uk/2016/01/04/dutch_government_says_no_to_backdoors/
>
> Dutch govt says no to backdoors, slides $540k into OpenSSL without
> breaking eye contact
>
> People need encryption to be safe and secure, says ministry
>
> 4 Jan 2016 at 20:28, Kieren McCarthy
>
> The Dutch government has formally opposed the introduction of backdoors in
> encryption products.
>
> A government position paper, published by the Ministry of Security and
> Justice on Monday and signed by the security and business ministers,
> concludes that "the government believes that it is currently not
> appropriate to adopt restrictive legal measures against the development,
> availability and use of encryption within the Netherlands."
>
>
> http://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2016Z00009&did=2016D00015
>
> The conclusion comes at the end of a five-page run-through of the
> arguments for greater encryption and the counter-arguments for allowing the
> authorities access to the information.
>
> "By introducing a technical input into an encryption product that would
> give the authorities access would also make encrypted files vulnerable to
> criminals, terrorists and foreign intelligence services," the paper noted.
> "This could have undesirable consequences for the security of information
> communicated and stored, and the integrity of ICT systems, which are
> increasingly of importance for the functioning of the society."
>
> The formal position comes just months after the Dutch government approved
> a €500,000 ($540,000) grant to OpenSSL, the project developing the widely
> used open-source encryption software library.
>
> https://www.openssl.org/
>
> The paper itself is a balanced read, although it is notable that more time
> is spent on highlighting the benefits of encryption and there is little of
> the fear-mongering that has marked out efforts to introduce backdoors into
> the United States and United Kingdom.
>
> Encryption, it states, is "important for the confidence of people in
> digital products and services and for the Dutch economy in light of the
> rapidly evolving digital society."
>
> It notes however that the "same encryption is a barrier to obtaining
> information necessary for investigation, intelligence and security services
> when attackers (including criminals and terrorists) are involved."
>
> We'll always have Paris
>
> The Paris attacks were the spark for the paper after public debate led to
> the House of Representatives formally asking for an official government
> position on encryption.
>
> The paper references this fact, noting: "The recent attacks in Paris,
> where possible use was made of encryption by the terrorists, lead to the
> justified question: what is needed for investigation, and for intelligence
> and security services to provide good visibility into attack planning?"
>
> Before getting to that point, however, the paper notes that encryption is
> crucially important in the modern era.  "The secure storage of passwords,
> to protect against loss or theft of laptops and secure storage of backups
> have been difficult without the use of encryption," it notes.
>
> It also highlights internet banking, government communication with
> citizens including tax returns, the security of diplomatic and military
> communications, confidential business information, cloud computing,
> journalism, privacy and freedom of expression.
>
> "Encryption ensures the confidentiality and integrity of communications
> and allows people to better protect themselves against espionage and cyber
> crime," it notes.  "These are fundamental rights and freedoms; security and
> economic interests stand to benefit."
>
> However, it also notes that the same technology introduces "obstacles" in
> legitimate and important investigations into issues such as child abuse
> images, countering cyber attacks, tracking possible terrorist attacks and
> dealing with serious criminals.
>
> It notes that while all citizens have a right to privacy of their
> communications, that these rights "are not absolute, which means that
> restrictions are permitted, provided they meet the requirements of the
> Constitution and the European Court of Human Rights."
>
> But the ability to impinge those rights must be "proportional to the
> infringement," the paper concludes, and given the widespread nature and
> importance of encryption in the modern digital world, it cannot support a
> legally mandated backdoor.
>
> And elsewhere?
>
> Although the Dutch position is nuanced and firm, the government also has
> the luxury of not having real impact on the real world. As the paper notes,
> "the Dutch situation cannot be seen in isolation from the international
> context. Strong encryption software is increasingly available worldwide or
> already integrated into products or services."
>
> Or in other words, there is nothing Holland can do about Google,
> Microsoft, Facebook or any of the other countless products used by its
> citizens to communicate online.
>
> The UK government appears to be taking a firm line in the opposite
> direction, asking in legislation to be allowed access to all citizens'
> data.  But the most important debate rests in the United States, where the
> majority of the products and services used online stem from.
>
> The encryption debate in the US became particularly heated toward the end
> of last year, with politicians and law enforcement again pushing for access
> to encrypted communications after having backed down a few months earlier
> in the face of an intransigent tech sector.  As 2015 was closing, Apple CEO
> Tim Cook again reiterated his line that he will not make the company's
> products crackable.
>
> As things stand, the tech sector is refusing to provide a backdoor
> (although Google has been noticeably quiet on the issue), and politicians
> have instead put their faith into a vague formulation of the country's
> "best minds" coming up with a new, as yet unspecified solution.
>
> This "magical thinking" is also present in the Dutch government's
> position, when it gives itself a get-out clause for future events.
>
> "Given the importance of the investigation and prosecution of criminal
> offenses and the interests involved in national security ... we are
> required to look for new solutions."
>
> _______________________________________________
> The cryptography mailing list
> cryptography at metzdowd.com
> http://www.metzdowd.com/mailman/listinfo/cryptography
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://www.metzdowd.com/pipermail/cryptography/attachments/20160105/590791e8/attachment.html>
-------------- next part --------------

Kabinetsstandpunt Encryptie
Hierbij sturen wij u het kabinetsstandpunt toe over encryptie. Hiermee wordt tegemoet gekomen aan de gedane toezeggingen tijdens het AO Telecomraad van 10 juni 2015 (TK 2014-2015, 21501-33, nr. 552) en AO JBZ-Raad van 7 oktober 2015.

Inleiding
Encryptie, ook wel versleuteling, is in toenemende mate eenvoudig te verkrijgen en gebruiken en maakt daarmee steeds vaker onderdeel uit van het reguliere dataverkeer. Door de overheid, bedrijven en burgers wordt encryptie steeds meer toegepast om de vertrouwelijkheid en integriteit van hun communicatie en opgeslagen data te beschermen. Dat is belangrijk voor het vertrouwen van mensen in digitale producten en diensten en voor de Nederlandse economie in het licht van de zich snel ontwikkelende digitale maatschappij. Tegelijkertijd vormt encryptie een belemmering voor het verkrijgen van informatie die noodzakelijk is voor opsporings-, inlichtingen- en veiligheidsdiensten wanneer kwaadwillenden (zoals criminelen en terroristen) hiervan gebruikmaken. De recente aanslagen in Parijs, waarbij mogelijk gebruik is gemaakt van versleuteling van de communicatie door de terroristen, leiden tot de gerechtvaardigde vraag wat er nodig is om opsporings-, inlichtingen- en veiligheidsdiensten goed zicht te bieden en laten houden op aanslagplanning. 

De in de vorige alinea beschreven tweeledigheid was eveneens te horen in het publieke debat van de afgelopen maanden over de dilemma’s rondom het gebruik van encryptie. Ook uw Kamer heeft over dit onderwerp gesproken. Tijdens het AO Telecomraad is gevraagd wat het Kabinet gaat doen aan het stimuleren van sterke encryptie. Daarnaast is vanuit de Tweede Kamer gevraagd om te komen met een kabinetsstandpunt rond encryptie.

Hierna wordt ingegaan op het belang van encryptie voor de systeem- en informatiebeveiliging van de overheid en bedrijven, en voor de grondwettelijke bescherming van de persoonlijke levenssfeer en het communicatiegeheim. Daarnaast wordt het belang van opsporing van ernstige misdrijven en bescherming van de nationale veiligheid geschetst. Tot slot wordt na weging van de belangen gekomen tot een conclusie. 

De Nederlandse situatie kan hierbij niet los worden gezien van de internationale context. Sterke encryptiesoftware is in toenemende mate wereldwijd beschikbaar of al geïntegreerd in producten of diensten. Gelet op de brede beschikbaarheid en toepassing van geavanceerde encryptietechnieken en het grensoverschrijdende karakter van het dataverkeer is het handelingsperspectief op nationaal niveau beperkt.

Belang van encryptie voor de overheid, bedrijven en burgers
Cryptografie speelt een sleutelrol in de technische beveiliging in het digitale domein. Veel cybersecuritymaatregelen in organisaties leunen sterk op de toepassing van encryptie. De veilige opslag van wachtwoorden, het beschermen van laptops tegen verlies of diefstal en het veilig bewaren van backups zijn moeilijker zonder het gebruik van encryptie. Het afschermen van gegevens die verstuurd worden via internet, bij internetbankieren bijvoorbeeld, is alleen mogelijk met behulp van encryptie. Door de verbondenheid van systemen, wereldwijde vertakkingen en verschillende routes die communicatie kan afleggen, is het risico op onderschepping, inbreuk, inzage of wijziging van informatie en communicatie altijd aanwezig. 

De overheid communiceert in toenemende mate digitaal met de burgers en verleent diensten waarbij vertrouwelijke gegevens worden uitgewisseld, zoals het gebruik van DigiD of het doen van belastingaangifte. Zoals in het Regeerakkoord is geformuleerd moeten vanaf 2017 burgers en bedrijven hun overheidszaken volledig digitaal kunnen regelen. De overheid heeft hierbij de plicht om te zorgen dat deze gegevens tegen kennisneming door derden zijn beveiligd; encryptie is hiervoor onontbeerlijk. Ook de bescherming van de communicatie binnen de overheid is van encryptie afhankelijk zoals bij de beveiliging van diplomatiek berichtenverkeer en militaire communicatie. 

Voor bedrijven is encryptie essentieel om bedrijfsinformatie veilig te kunnen bewaren en versturen. Het kunnen gebruiken van encryptie versterkt de internationale concurrentiepositie van Nederland en draagt bij aan een aantrekkelijk vestigings- en innovatieklimaat voor onder andere startups, datacentra en cloudcomputing. Vertrouwen in veilige communicatie en opslag van data is essentieel voor de (toekomstige) groeipotentie van de Nederlandse economie, die vooral zit in de digitale economie.

Encryptie ondersteunt de eerbiediging van de persoonlijke levenssfeer en het communicatiegeheim van burgers doordat het hen een middel biedt om de vertrouwelijkheid en integriteit van persoonsgegevens en communicatie te beschermen. Dit is ook belangrijk voor de uitoefening van de vrijheid van meningsuiting. Het stelt bijvoorbeeld burgers, maar ook beroepen met een belangrijke democratische functie zoals journalisten, in staat om vertrouwelijk te communiceren. 

Encryptie stelt derhalve alle betrokkenen in staat de vertrouwelijkheid en integriteit van communicatie te waarborgen en zich beter te weren tegen bijvoorbeeld spionage en cybercriminaliteit. Hierbij zijn fundamentele rechten en vrijheden, veiligheids- en economische belangen gebaat. 

Encryptie en de opsporings–, inlichtingen- en veiligheidsdiensten
De bevoegdheden en middelen die de diensten tot hun beschikking hebben, moeten toegerust zijn op de huidige en toekomstige digitale realiteit. Met effectieve, rechtmatige toegang tot gegevens bevorderen de opsporings-, inlichtingen- en veiligheidsdiensten de veiligheid van de digitale en de fysieke wereld. Encryptie vormt waar het toegepast wordt door kwaadwillenden een belemmering voor de opsporings-, inlichtingen- en veiligheidsdiensten bij de toegang tot die gegevens. Zij ervaren deze belemmeringen bijvoorbeeld wanneer zij onderzoek doen naar de verspreiding en opslag van kinderporno, bij de ondersteuning van militaire missies in het buitenland, het tegengaan van cyberaanvallen of wanneer zij zicht willen krijgen en houden op het voorbereiden van aanslagen door terroristen. Criminelen, terroristen en tegenstanders in gewapende conflicten zijn zich er vaak van bewust dat zij op enig moment de aandacht van de diensten kunnen trekken en hebben tegenwoordig eveneens beschikking over geavanceerde encryptiemethoden die lastig te omzeilen of doorbreken zijn. Het gebruik van dergelijke methoden vereist weinig technische kennis, aangezien encryptie vaak integraal deel uitmaakt van de internetdiensten waarvan ook zij gebruik kunnen maken. Dat bemoeilijkt, vertraagt, of maakt het onmogelijk om (tijdig) inzicht te verkrijgen in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten. Tevens kan het onderzoek ter zitting en de bewijsvoering voor een veroordeling ernstig worden gehinderd. 

Het recht op eerbiediging van de persoonlijke levenssfeer en het communicatiegeheim van burgers
Het toepassen van encryptie helpt burgers zoals eerder werd opgemerkt, bij het borgen van de persoonlijke levenssfeer en de vertrouwelijkheid van hun communicatie. De hierboven genoemde rechtmatige toegang tot gegevens en communicatie door opsporings-, inlichtingen- en veiligheidsdiensten vormt evenwel een inbreuk op de vertrouwelijke communicatie van burgers. 

Vertrouwelijkheid van communicatie raakt aan de grondwettelijk geregelde eerbiediging van de persoonlijke levenssfeer en  aan het recht op bescherming van het brief-, telefoon- en telegraafgeheim (hierna: ‘het communicatiegeheim’). Deze grondrechten zijn verankerd in respectievelijk artikel 10 en artikel 13 Grondwet. Daarnaast zijn deze fundamentele rechten vastgelegd in artikel 8 EVRM en artikel 7 en artikel 8 EU-Handvest (voor zover Unierecht wordt geraakt). 

De bescherming van grondrechten is van toepassing op de digitale wereld. De hiervoor genoemde grondrechtelijke- en internationaalrechtelijke bepalingen bieden samen het kader om onwettige inbreuken tegen te gaan. De genoemde rechten zijn niet absoluut, hetgeen inhoudt dat beperkingen zijn toegestaan voor zover deze voldoen aan de vereisten die de Grondwet en het EVRM (en voor zover het Unierecht betreft, het EU-Handvest) stellen. Een inbreuk is toelaatbaar wanneer deze een legitiem doel dient, bij wet is geregeld en de beperking voorzienbaar en kenbaar is. Daarnaast dient de beperking noodzakelijk te zijn in een democratische samenleving. Tot slot dient de inbreuk proportioneel te zijn, dat wil zeggen dat het door de overheid nagestreefde doel proportioneel dient te zijn in relatie tot de inbreuk op de persoonlijke levenssfeer en/of het communicatiegeheim. 

Deze vereisten bieden het kader waarbinnen de afweging gemaakt kan worden tussen de bij encryptie in het geding zijnde belangen, zoals het recht op de persoonlijke levenssfeer en het communicatiegeheim, de openbare en nationale veiligheid en het voorkomen van strafbare feiten. Voorgaand afwegingskader is voor zover het de bijzondere bevoegdheden van de inlichtingen- en veiligheidsdiensten betreft overigens ook neergelegd in de Wet op de inlichtingen- en veiligheidsdiensten 2002 (artikelen 18 en 31 van de Wiv 2002). De medewerkingsverplichtingen inzake decryptie die zijn opgenomen in de Wiv (artikelen 24, derde lid en 25, zevende lid van de Wiv 2002) en in het WvSv (artikel 126m, zesde lid, van het WvSv), kunnen worden ingeroepen indien de daaraan gekoppelde bijzondere bevoegdheden na een afweging in voormelde zin worden uitgeoefend. 

Afweging en conclusie
Het breken van de versleuteling is tegenwoordig in steeds minder gevallen mogelijk. Daarnaast is de mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener, minder vaak beschikbaar. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt. Gelet op het belang van de opsporing en vervolging van strafbare feiten en de belangen die zijn gemoeid met de nationale veiligheid, nopen deze ontwikkelingen tot het zoeken naar nieuwe oplossingen. 

Op dit moment is er geen zicht op mogelijkheden om in algemene zin, bijvoorbeeld via standaarden, encryptie producten te verzwakken zonder daarmee de veiligheid van digitale systemen die van encryptie gebruik maken te compromitteren. Door bijvoorbeeld een technische ingang in een encryptie product te introduceren die het voor opsporingsinstanties mogelijk zou maken versleutelde bestanden in te zien, kunnen digitale systemen kwetsbaar worden voor bijvoorbeeld criminelen, terroristen en buitenlandse inlichtingendiensten. Dit zou onwenselijke gevolgen hebben voor de beveiliging van gecommuniceerde en opgeslagen informatie, en de integriteit van ICT-systemen, die in toenemende mate van belang zijn voor het functioneren van de samenleving. 

Bij de uitvoering van hun wettelijke taken zijn de opsporings-, inlichtingen- en veiligheidsdiensten deels afhankelijk van samenwerking met aanbieders van ICT-producten en -diensten. Gegeven deze afhankelijkheid, is overleg nodig met aanbieders over effectieve gegevensverstrekking bij gebruik van hun diensten door kwaadwillenden, met inachtneming van ieders rol en verantwoordelijkheden en de wettelijke kaders. 

Gegeven de voorgaande afweging komen we tot de volgende conclusie:

Het kabinet heeft tot taak de veiligheid van Nederland te waarborgen en strafbare feiten op te sporen. Het kabinet onderstreept hierbij de noodzaak tot rechtmatige toegang tot gegevens en communicatie. Daarnaast zijn overheden, bedrijven en burgers gebaat bij maximale veiligheid van de digitale systemen. Het kabinet onderschrijft het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven , en voor de Nederlandse economie. 

Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen. Ten aanzien van het stimuleren van sterke encryptie zal de minister van Economische Zaken opvolging geven aan de strekking van het amendement (TK 2015-2016, 34300 XIII, nr.10) op de begroting van het ministerie van Economische Zaken.

Minister van Veiligheid en Justitie, 						Minister van Economische  Zaken, 

G.A. Van der Steur 									H.G.J. Kamp

-------------- next part --------------