================================================
================================================
BITS OF FREEDOM NIEUWSBRIEF
Nr. 4 - 8 oktober 2001
ISSN 15691160
================================================
================================================
Deze nieuwsbrief is een uitgave van Bits of Freedom en wordt per email
verzonden aan abonnees.
http://www.bof.nl/nieuwsbrief/nieuwsbrief4.html
=====================================================================
Inhoud:
=====================================================================
1. Actieplan Terrorismebestrijding en Veiligheid
2. Cryptografie
3. Interceptie telecommunicatie
4. Biometrie
=====================================================================
1. Actieplan Terrorismebestrijding en Veiligheid
=====================================================================
Meer afluisteren, regulering cryptografie en biometrie op komst.
Het kabinet heeft vergaande plannen ter bestrijding van het terrorisme
bekendgemaakt. Een belangrijk deel van de maatregelen hebben
betrekking op de interceptie van telecommunicatie, het aan banden
leggen van cryptografie en het gebruik van biometrie. De totale kosten
van het pakket worden geschat op 150 tot 200 miljoen gulden.
De op 18 september opgerichte ministeriële stuurgroep
Terrorismebestrijding en Veiligheid heeft een pakket maatregelen
opgesteld naar aanleiding van de terroristische aanslagen in de USA op
11 september. Het Actieplan Terrorismebestrijding en Veiligheid
bestaat uit 43 actiepunten op het gebied van inlichtingendiensten,
bewaking en beveiliging, visumbeleid, vreemdelingentoezicht,
biometrie, internationale verdragen, financieel verkeer, interceptie
van telecommunicatie en cryptografie.
Het document is zeer summier en bestaat voornamelijk uit een lijst
actiepunten die nog in concreet beleid moeten worden uitgewerkt. Of de
plannen ingrijpende gevolgen hebben voor de privacy en burgerrechten
in Nederland zal voor een belangrijk deel afhangen van de nog uit te
werken details. Maar van sommige voornemens is nu al duidelijk dat de
effecten zich niet zullen beperken tot de bestrijding van het
terrorisme. Vooral op het gebied van cryptografie gaat het om een
uitbreiding van bevoegdheden die het recht op vertrouwelijke
communicatie aantast en een gevaar oplevert voor de veiligheid van
elektronische communicatie.
In deze nieuwsbrief een bespreking van een aantal van de 43
actiepunten.
Actieplan Terrorismebestrijding en Veiligheid
http://www.minjust.nl/c_actual/persber/actieplan.pdf
=====================================================================
2. Cryptografie
=====================================================================
- ACTIE 16: versnellen van besluitvorming over rechtmatige toegang
diensten en politie in cryptografische voorzieningen bij derde
partijen (Trusted Third Parties) en streven naar regulering van
krachtige cryptografie voor publiek gebruik
Dit is zonder twijfel een van de meest controversiële onderdelen van
het actieplan. Het gaat ook veel verder dan het project rechtmatige
toegang Trusted Third Parties dat Bits of Freedom in nieuwsbrief
nummer 2 onthulde.
Het gebruik van cryptografie heeft in de jaren negentig een hoge
vlucht genomen. Niet alleen is cryptografie essentieel bij het
garanderen van vertrouwelijke communicatie per email, het is tevens
van groot belang voor de ontwikkeling van betrouwbare e-commerce en
het beveiligen van informatienetwerken in het algemeen. Zeer onlangs
nog bleek uit meerdere media rapportages in binnen en buitenland dat
zonder krachtige cryptografie draadloze datanetwerken (WLANs)
bijzonder kwetsbaar zijn.
Pogingen om het gebruik van cryptografie in Nederland te beperken zijn
er in de afgelopen jaren vaker geweest. In 1994 werd een wetsvoorstel
om het gebruik van cryptografie in Nederland grotendeels te verbieden
na veel protesten naar de prullenmand verwezen. Een voorstel in de wet
Computercriminaliteit II om verdachten in een strafrechtelijk
onderzoek te dwingen om de eigen versleuteling op te heffen werd in
1999 na veel verzet tevens geschrapt.
Het project rechtmatige toegang voorziet in een key escrow of key
recovery voorziening voor TTPs (Trusted Third Parties) zodat politie
en inlichtingendiensten toegang krijgen tot de klare tekst van
versleutelde telecommunicatie. De TTP bewaart dan de sleutels van de
klant. Uit de stukken van het project valt op te maken dat de overheid
streeft naar co-regulering waardoor key escrow in alle gecertificeerde
TTPs diensten aanwezig is. Het inbouwen van een dergelijke achterdeur
in de infrastructuur voor beveiligde telecommunicatie is niet alleen
in een grote inbreuk op het recht op vertrouwelijke communicatie maar
is creëert tevens een groot beveiligingsprobleem.
Het project rechtmatige toegang laat de mogelijkheid open voor
niet-gecertificeerde TTPs om geen key escrow in te bouwen.
Niet-gecertificeerde TTPs hebben uit juridisch oogpunt echter geen of
weinig gewicht en zullen nauwelijks een rol spelen in het economische
verkeer.
Het Actieplan Terrorismebestrijding en Veiligheid gaat nog een stap
verder door zich niet te beperken tot TTPs. De zinsnede "streven naar
regulering van krachtige cryptografie voor publiek gebruik" duidt op
plannen om ook het gebruik van software zoals Pretty Good Privacy
(PGP) aan te pakken. Welke 'regulering' het kabinet in dit verband
voor ogen heeft is in het actieplan niet uitgewerkt. Er zijn
verschillende mogelijkheden zoals verplichte key escrow, een
ontsleutelelingsplicht zoals eerder voorgestel in 1999 of een
gedeeltelijk verbod. Op welke wijze zulke maatregelen bijdragen aan de
bestrijding van terrorisme is onduidelijk. Terroristen zullen altijd
makkelijk aan sterke cryptografie kunnen komen die een aanwezige key
escrow verplichting omzeilt.
Het key escrow debat heeft halverwege de jaren negentig hevig gewoed
in de USA naar aanleiding van de invoering van de Clipper chip. De
enorme kosten en de veiligheidsrisico's die verbonden zijn aan de
opslag van cryptografische sleutels hebben geleid tot het afblazen van
de key escrow aldaar. Aangezien key escrow nog nooit een serieus
onderdeel van het debat in Nederland is geweest lijkt het erop dat
dezelfde discussie zich in Nederland zal herhalen.
De surfopsafe campagne van de ministeries van Economische Zaken en
Verkeer en Waterstaat promoot op dit moment het gebruik van krachtige
cryptografie (PGP) door het publiek.
De nieuwe antiterrorisme wetgeving die op dit moment in de USA wordt
besproken naar aanleiding van de gebeurtenissen op 11 september
(Patriot Act 2001) bevat overigens geen regulering of beperking van
het gebruik van cryptografie. Ook in Engeland bestaan op dit gebied
geen nieuwe plannen.
Project rechtmatige toegang TTPs
http://www.ecp.nl/taakgebied/vertrouwen/rt.html
Rapportage Technische Werkgroep Rechtmatige Toegang
http://www.bof.nl/tappen/RapportageTWRT.pdf
Crypto Law Survey: Nederland
http://cwis.kub.nl/~frw/people/koops/cls2.htm#nl
Surfopsafe
http://www.surfopsafe.nl/
The Risks Of Key Recovery, Key Escrow and Trusted Third-Party
Encryption
http://www.cdt.org/crypto/risks98/
Patriot Act 2001
http://www.house.gov/judiciary/hr2975terrorismbill.pdf
=====================================================================
3. Interceptie telecommunicatie
=====================================================================
Het kabinet stelt maatregelen voor waarmee de capaciteit en de
mogelijkheden voor het afluisteren van telefoon, GSM, internet en
satelliet verkeer worden vergroot. Een aantal maatregelen zijn een
vervolg op bestaande plannen naar aanleiding van de
telecommunicatiewet (aftapverplichting, verkeersgegevens,
herstructurering tapkamers). Nieuw is de uitbreiding van de satelliet
interceptie capaciteit (SIGINT) voor het Nederlandse Echelon in
Zoutkamp.
"Terroristische organisaties maken intensief gebruik van de moderne
technologie. Bij het voorkomen en bestrijden van terrorisme dienen de
politie en de inlichtingen- en veiligheidsdiensten extra aandacht te
besteden aan en gebruik te maken van geavanceerde technologische
mogelijkheden. Nederland kan het zich zeker niet veroorloven om op
achterstand te raken." [Actieplan Terrorismebestrijding en Veiligheid,
2001]
In tegenstelling tot sommige andere onderdelen van het Actieplan
Terrorismebestrijding en Veiligheid gaat het om maatregelen en
voorzieningen die uitdrukkelijk niet alleen voor terrorismebestrijding
worden ingezet. Het tappen van telefoongesprekken is in Nederland een
veel gebruikt middel bij de opsporing van allerlei denkbare strafbare
feiten. In juni 2001 heeft ministerie de Grave van Defensie in
antwoord op kamervragen gesproken over 10.000 justitiële taps in 1999.
- ACTIE 14: uitvoering regelgeving met betrekking tot de
aftapverplichtingen uit de Telecommunicatiewet afronden
Hoewel voor het afluisteren van telefoon en GSM verkeer de meeste
regelgeving in werking is geldt dat zeker niet voor internet en
mobiele data diensten zoals GPRS. De opbouw van de infrastructuur voor
het afluisteren van internet is nog in volle gang en regelgeving voor
bijvoorbeeld de geheimhoudingsplicht van internet providers is nog
niet gereed. Bovendien zijn de werkafspraken tussen het Openbaar
Ministerie en de internet providers nog onderwerp van discussie.
- ACTIE 15: het project herziening tapkamers (voorzien voor eind 2003)
versnellen
Alle regionale politiekorpsen hebben nog een eigen tapkamer. Binnen
het project herziening tapkamers worden deze gefuseerd zodat er
slechts 3 tapkamers overblijven waar zowel politie als de BVD gebruik
van maken. Voor het beheer van deze 3 mega-tapkamers is de Landelijke
Interceptie Organisatie (LIO) opgericht. Onderdeel van het project is
ook het geschikt maken van de tapkamers voor de interceptie van
internet. De eerste van de 3 mega-tapkamers werd in 2000 in gebruik
genomen in Driebergen en heeft een capaciteit van 1000 simultane taps.
De branche vereniging van internet providers (NLIP) heeft een
tegenhanger van het LIO opgericht onder de naam Nationale
Beheersorganisatie van Internet Providers (NBIP). De NBIP zal aftap
vorderingen in ontvangst nemen die bestemt zijn voor de internet
providers en zal een deel van de benodigde aftap apparatuur beheren.
Nationale Beheersorganisatie van Internet Providers (NBIP)
http://www.nlip.nl/nl/nao/
- ACTIE 17: onderzoek verrichten naar de categorieën gegevens die
telecomaanbieders bewaren en de belemmeringen die de opsporings- en
I&V diensten ondervinden door de afwezigheid van bewaarplichten voor
historische verkeersgegevens. Versterken van mogelijkheden van
analyse van internationaal telefoonverkeer (afgestemd met Europese
lidstaten)
De telecommunicatiewet biedt de mogelijkheid voor een bewaarplicht
van verkeersgegevens voor drie maanden. Op dit moment is alleen voor
verkeersgegevens van pre-paid GSM de verplichting in voorbereiding.
Ook locatiegegevens vallen daar onder. Voor internet providers geldt
nog geen enkele verplichting.
Onder invloed van het Actieplan zullen voor verschillende typen
verkeersgegevens nu ook bewaarplichten worden ingesteld. Ook wordt
bekeken of de lengte van de bewaarplicht opgerekt moet worden.
De afgelopen maanden heeft in Europa in heftig debat plaatsgevonden
over de privacyrichtlijn voor de telecommunicatiesector. De Europese
Commissie stelde voor om verkeersgegevens van telecommunicatie
onmiddellijk te wissen of te anonimiseren zodat de privacy van burgers
gewaarborgd zou zijn. De lidstaten hebben zich hiertegen verzet omdat
de onmiddellijke vernietiging van verkeersgegevens de opsporing van
strafbare feiten zou belemmeren.
Het kabinet wil niet ingaan op het pleidooi om verkeersgegevens te
laten vallen onder het grondwettelijk communicatiegeheim zoals dat in
de aankomende grondwetswijziging aan de orde komt.
- ACTIE 18: uitbreiding satelliet interceptiecapaciteit tbv
terrorisme-bestrijding
De Militaire Inlichtingendienst heeft een satelliet ontvangststation
in Zoutkamp waarmee buitenlands communicatieverkeer wordt afgeluisterd
(SIGINT). De analyse en verwerking van de opgevangen communicatie
vindt plaats bij het Strategisch Verbindingsinlichtingen Centrum
(SVIC)op de marinebasis Kattenburg in Amsterdam.
De activiteiten van dergelijk afluistersystemen zijn omstreden. De
Echelon commissie van het Europees parlement heeft in juni nog
aanbevolen om burgers en bedrijven in de Europese Unie te ondersteunen
bij de beveiliging van hun berichtenverkeer tegen dergelijke systemen.
"22. De Commissie en de lidstaten wordt verzocht hun burgers en
ondernemingen op de hoogte te brengen van de mogelijkheid dat hun
internationale berichten eventueel worden onderschept. Deze informatie
moet vergezeld gaan van praktische hulp bij de ontwikkeling en
uitvoering van uitgebreide beschermingsmaatregelen, ook op het vlak
van de veiligheid van de informatietechniek. " [Tijdelijke Commissie
Echelon-interceptiesysteem, juni 2001]
Echelon raport
http://www.europarl.eu.int/tempcom/echelon/pdf/rapport_echelon_nl.pdf
- ACTIE 41: Nederland zal in november 2001 het verdrag Crime in
Cyberspace ondertekenen en het vervolgens bij voorrang uitvoeren.
Het Cybercrime verdrag zal eind november in Budapest open staan voor
ondertekening. Het verdrag treedt in werking wanneer vijf staten,
waarvan minimaal drie leden van de Raad van Europa, overgaan tot
ratificatie.
Het verdrag is het eerste in zijn soort waarin internationale
afspraken worden gemaakt over misdaad in cyberspace waaronder
schending van copyright, computer gerelateerde fraude, kinderporno en
hacken. Het Cybercrime verdrag vereist van de aangesloten landen dat
de strafvorderlijke mogelijkheden van politie en justitie op eenzelfde
niveau worden gebracht waaronder het aftappen ven telecommunicatie en
toegang tot verkeersgegevens.
Het verdrag is bekritiseerd door burgerrechtengroepen en de Europese
registratiekamers vanwege het gesloten proces waarmee het verdrag tot
stand is gekomen en eenzijdige keuze voor de belangen van
opsporingsdiensten.
First international treaty to combat crime in cyberspace approved by
Ministers' Deputies
http://press.coe.int/cp/2001/646a(2001).htm
Global Internet Liberty Campaign Member Letter
http://www.gilc.org/privacy/coe-letter-1200.html
Data Protection Working Party Opinion on the Council of Europe's Draft
Convention on Cyber-crime
http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp41en.htm
=====================================================================
4. Biometrie
=====================================================================
- ACTIE 3: ontwikkeling van biometrische identificatiemogelijkheden
Het gebruik van biometrie wordt door minister van Boxtel al enige tijd
bepleit. Door biometrische gegevens (vingerafdruk, irisscan,
gezichtsherkenning) te verwerken in paspoorten zouden deze
fraudebestendiger gemaakt kunnen worden. Look-alikes kunnen door het
gebruik van biometrie minder makkelijk het paspoort van andere
personen gebruiken. Ook zou biometrie een geautomatiseerde
paspoortcontrole op Schiphol mogelijk maken.
Op dit moment lopen er een aantal pilots met biometrie. In Delft en
Amsterdam worden hierbij vingerafdrukken gebruikt, in Hilversum
gezichtsherkenning en in Rotterdam irisscans.
Privacy bezwaren tegen biometrie richten zich onder andere op de
centrale opslag van deze gegevens, die van Boxtel nog niet wil
uitsluiten.
"Het is van het grootste belang zekerheid te krijgen omtrent de
identiteit van zich aandienende reizigers. Zowel nationaal als
internationaal zal daartoe geïnvesteerd worden in uitbreiding van de
mogelijkheden van biometrie. Het gebruik van lichaamskenmerken is in
potentie een krachtig instrument bij het identificeren van personen.
Door lichaamskenmerken te verbinden aan registratie van
persoonsgegevens, blijft de registratie eenduidig en uniek. Het
biometrisch kenmerk biedt houvast om in een later stadium personen
terug te kunnen vinden in systemen, onafhankelijk van de identiteit
die een persoon zich op dat moment aanmeet. Zo kunnen mogelijke
terroristen beter worden gevolgd en kunnen patronen en netwerken
zichtbaar worden. Ook wordt door Nederland geïnvesteerd in het beter
inzichtelijk maken van het gebruik van documenten door potentiële
terroristen. In internationaal verband zal daar ook op worden
aangedrongen." [Actieplan Terrorismebestrijding en Veiligheid, 2001]
De centrale opslag van gezichtskenmerken zou de mogelijkheid kunnen
bieden van geautomatiseerde herkenning van personen middels
videocamera's. Het gebruik van dergelijk technologie is in de USA op
dit moment onderwerp van debat.
Dossier Biometrie
http://www.binnenlandsbestuur.nl/oi/oi3-01/inhoud.html
At face value: Biometrische identificatie als beveiligingsmiddel
http://www.registratiekamer.nl/bis/content-1-1-9-5-1.html
Your Face Is Not a Bar Code
http://dlis.gseis.ucla.edu/people/pagre/bar-code.html
=====================================================================
Over Bits of Freedom
=====================================================================
Bits of Freedom is een privacy en burgerrechten organisatie voor de
informatiemaatschappij en heeft tot doel om de aandacht te vestigen op
burgerrechten aspecten rondom data privacy, filtering, opsporing,
cryptografie, aftappen, vrijheid van meningsuiting en toegang tot
informatie.
Bits of Freedom is gevestigd in Amsterdam en is lid van de Global
Internet Liberty Campaign. Voor meer informatie kunt u contact opnemen
met Maurice Wessling.
http://www.bof.nl/
info@bof.nl
tel 020 - 4686451
fax 020 - 5241229
Postbus 1035
1000 BA Amsterdam
=====================================================================
Nieuwsbrief abonnement
=====================================================================
Abonneren en afmelden op de Bits of Freedom nieuwsbrief kan op:
http://www.bof.nl/nieuwsbrief.html
Bij problemen met het subscriben kunt u contact opnemen met
info@bof.nl
=====================================================================
======= Bits of Freedom nieuwsbrief Nr.4 8 oktober 2001 ==========
=====================================================================