AMSTERDAM-LIENDEN, Het KNP:
De nieuwe Britse “Communications Data Bill” voorziet niet alleen in de opslag van data van het complete internetverkeer. Hij wordt ook landelijk uitgebreid naar briefpost. Vorige week publiceerde het Britse ministerie van Binnenlandse Zaken het ontwerp voor een nieuwe “Communications Data Bill” (CCDP), zoals die al in de troonreden van koningin Elisabeth werd aangekondigd. Achter de onschuldige naam “dataverkeerswet” verbergt zich echter een ook voor Britse verhoudingen monstrueus bewakingsproject, waarvoor de naam “Dataopslag 2.0” beter zou zijn.

CCDP breidt de EU-richtlijnen wat betreft het opslaan van data, die op zich alleen e-mail en telefonie betreffen, namelijk uit naar diensten zoals facebook, chats en alle andere communicatieprotocollen.

Wat daar dan allemaal precies van moet worden opgeslagen, wordt in het 123 pagina´s dikke convenant echter nergens gespecificeerd. Daarin is steeds alleen maar sprake van “communicaties”, waarvan de data in totaal 12 maanden moeten worden opgeslagen, individuele diensten worden nergens gespecificeerd. Heel duidelijk wordt hiermee een omvattende optekening van alle internetactiviteiten tot in het kleinste detail bedoeld. Dat wordt ook aangetoond door het voorwoord van de Britse minister van Binnenlandse Zaken, Theresa May, dat als volgt begint:

“Communicatiediensten en services wisselen snel. Steeds meer communicatie vindt op het internet plaats, die over steeds meer services verdeeld zijn. Omdat criminelen steeds sterker gebruikmaken van het internet, moeten we ervoor zorgen dat de politie en de geheime diensten voortdurend over de middelen beschikken, die ze nodig hebben om hun taak te kunnen doen.”

Daarvoor krijgen de autoriteiten met CCDP een nieuw instrument in handen gedrukt, waarover zij de afgelopen tweehonderd jaar vermoedelijk nog nooit de beschikking hebben gehad sinds er landelijk beschikbare briefpost bestaat. In een wettelijk convenant, dat nieuwe communicatievormen behandelt, wordt als enige dienst uitgerekend de oudste vorm van communicatie over afstand überhaupt tot in detail uitgelegd.

In deel 3, artikel 21, wordt uitgelegd wat er moet worden verstaan onder “postal data”: “Alles wat op de buitenkant van een poststuk staat”, dus stempelgegevens, barcodes, adressen, afzender enz.

Onder postgoed valt alles wat met de post getransporteerd wordt, dus ook ansichtkaarten, postpakketten, de bijbehorende vrachtbrieven enz. De dataopslag van e-mails, die alle informatie betreft wie waar met wie via welke provider wanneer communicatie uitgewisseld heeft, worden zo een voor een tot het postverkeer uitgebreid.

De mogelijkheid om de briefpost van het Verenigd Koninkrijk landelijk op te tekenen, hadden de geheime diensten van hare majesteit niet eens in het begin van dit massacommunicatiemiddel. Intussen is de bewaking echter technisch mogelijk, omdat de nieuwe automatische sorteerinstallaties worden aangestuurd door computers, de poststukken worden daarbij door scanners elektronisch ingelezen. Ook deze data moeten 12 maanden worden opgeslagen.

Wat betreft de “nieuwe communicatievormen” zou de wet niet minder gespecificeerd kunnen zijn. Er worden geen voorbeelden gegeven welke services met de abstracte clausules worden bedoeld, en ook wordt nergens uitgelegd hoe de provider bepaalde diensten moet controleren die zich niet in zijn domeinen bevinden.

Zodra een klant via end-to-end versleuteling verbinding maakt met een andere computer, wordt er een versleutelde tunnel opgebouwd. Vanaf dat moment kan de provider alleen maar zien dat er data worden uitgewisseld en welke omvang deze uitwisseling heeft.

Een “https”-login bij Facebook of Twitter zegt nog steeds dat de desbetreffende gebruiker op dat moment via deze netwerken communiceert, maar niet meer. Een login bij een “Virtual Private Network” van een van de vele aanbieders rondom de wereld staat überhaupt geen conclusies meer toe wat betreft de activiteiten van de gebruiker dan alleen dat hij op dat moment iets leest, bekijkt, download of iets anders met informatie doet.

Op desbetreffende vragen in het voortraject hadden de ambtenaren van het Ministerie van Binnenlandse Zaken steeds gegarandeerd dat dit wel zou functioneren. Technisch bestaat daarvoor echter slechts een beginsel, dat “Man-in-the-Middle Attack” wordt genoemd.

In dit geval is hiervoor een nieuwe server nodig, via welke alle versleutelde dataverkeer loopt. Deze computers staan weliswaar fysiek bij de providers, maar worden geadministreerd door die geheime diensten, die in Groot-Brittannië ook verantwoordelijk zijn voor bewakingstaken van de politie.

Zodra de eerste aanvraag naar versleuteling van de kant van de klant heeft plaatsgevonden, komt de controleserver ertussen. In plaats van een rechtstreekse https-tunnel tot Facebook wordt er een verbinding klant-controleserver en controleserver-Facebook tot stand gebracht. Daarmee beschikt deze server over alle data.

Niet eens in China is zo´n handelwijze gebruikelijk, temeer omdat versleuteld dataverkeer bij private of Virtual Private Networks nog een zeer geringe rol speelt. Firmacommunicatie is echter zonder veilige VPN´s überhaupt niet meer denkbaar, daarom zal vermoedelijk het meest spannende zijn wat de industrie en de economie ervan vinden als de veiligheid van hun ondernemingsnetwerken op zo´n manier wordt gecompromitteerd.

Dit gebeurt uitgerekend in een land, dat door een van de grootste bewakingsschandalen met daarin diep verstrikte topambtenaren van de politie wordt geteisterd. Desondanks lijdt het geen twijfel dat dit plan van de totale controle door de staat van alle communicatie volledig serieus bedoeld is. Daarvoor bestaat ook al een voorbeeld uit het telefoonverkeer.

Naast het normale PIN-“Messaging”, dus de uitwisseling van korte berichten, die met een en dezelfde algemene sleutel gemakkelijk geopend kunnen worden, bieden de in Groot-Brittannië wijdverbreide BlackBerrys ook standaard End-to-end-versleuteling aan zodra er een BlackBerry-Enterprise-Server in het spel is, die ergens ter wereld kan staan.

Heel kort samengevat wordt ook hier bij de opbouw van een versleutelde verbinding in het mobiele telefoonnetwerk een soort Man-in-the-Middle-aanval uitgevoerd. Als de BlackBerrys het dan eens zijn geworden over een tijdelijke sleutel, zijn de bewakers al bij de communicatie vertegenwoordigd.

In het European Telecom Standards Institute (ETSI) is al een desbetreffende standaard in gebruik, die er maar heel erg weinig anders uitziet dan het Britse beginsel, maar precies zo functioneert.

In de beide ETSI-werkgroepen voor bewakingsstandaards (Lawful Interception) nemen ambtenaren van de National Technical Assistance (NTAC) sleutelposities in. Deze afdeling van de Britse militaire geheime dienst Government Communication Headquarters heet zo, omdat zij de politieautoriteiten technisch assisteert door de controle van alle telecommunicatielijnen over te nemen.

Wat betreft de betekenis van dit nieuwe Britse initiatief, zou het principieel fout zijn om dit te beschouwen als een voor dit eiland typische controlerende excentriciteiten.

Toen de regering van Tony Blair (Labour) in het jaar 1999 geen meerderheid in het Britse parlement kreeg met haar plan voor een dataopslag van telefoon- en E-mailverkeer, ging men op zoek naar bondgenoten in Europa. En vond deze ook, want de Fransen waren al met dezelfde soort plannen bezig. De Zweden kwamen erbij en onvermoeibaar schoof ook de toenmalige Duitse Minister van Binnenlandse Zaken Otto Schily (SPD) mee aan. Uiteindelijk wist de regering-Blair haar wet er in de vorm van een EU-richtlijn zo langs de neus weg in heel Europa door te drukken.

Overgenomen uit: http://ejbron.wordpress.com