TTPs hoeven geen sleutelkopieën te bewaren

Trusted Third Parties (TTP's), die elektronische sleutels verkopen waarmee de klant elektronische berichten onleesbaar kan maken, hoeven geen kopieën van die sleutels te bewaren ten behoeve van Justitie en inlichtingen- en veiligheidsdiensten. Dit staat in de conclusies van het project Rechtmatige Toegang, dat gisteren naar de Tweede Kamer is gestuurd.

De overheidsdiensten zouden die sleutelkopieën kunnen gebruiken om de vercijferde berichten van bijvoorbeeld criminele of terroristische groeperingen te kunnen lezen. De opsporingsdiensten en de inlichtingen- en veiligheidsdiensten geven echter aan dat er bij de bestrijding van criminaliteit en terrorisme op dit moment nog niet veel problemen zijn met vercijferde berichten.

Het project Rechtmatige Toegang, waarin door de overheid en de betrokken marktpartijen  nauw is samengewerkt, heeft onderzocht of het mogelijk zou zijn om een regeling te treffen tussen de TTP’s en de overheid om kopieën van cryptosleutels op te slaan en wat daarvan de consequenties zouden zijn. Het ging hierbij vooral om sleutels ten behoeve van vertrouwelijkheidsdiensten (het onleesbaar maken van een bericht) en niet om sleutels voor bijvoorbeeld de elektronische handtekening. In het project zijn onder andere de technische, juridische en economische aspecten van een dergelijke regeling uitgezocht.

Het onderzoek heeft duidelijk gemaakt dat er op dit moment nog nauwelijks sprake is van een markt voor vertrouwelijkheidsdiensten. De aanbieders van deze diensten hebben hun systemen bovendien zo ingericht, dat zij zelf niet kunnen beschikken over kopieën van sleutels, tenzij de klant hier expliciet om vraagt. Het aanpassen van de systemen zou onder de huidige marktomstandigheden een te grote tol vragen van de TTP’s. Bovendien zou het bewaren van sleutelkopieën door TTP’s in Nederland nog vele andere mogelijkheden open laten om aan cryptosleutels te komen voor het vercijferen van berichten, bijvoorbeeld via buitenlandse TTP’s of via vrij op het internet te verkrijgen vertrouwelijkheidsapplicaties.

Het kabinetsbesluit verandert overigens niets aan de andere mogelijkheden van de opsporingsdiensten en de inlichtingen- en veiligheidsdiensten om aan informatie te komen. De diensten beschikken nog altijd over de bevoegdheden – in het Wetboek van Strafvordering, respectievelijk de Wet op de Inlichtingen- en Veiligheidsdiensten 2002 – om cryptografische sleutels, als die er zijn, op te vragen bij TTP’s. De inlichtingen- en veiligheidsdiensten hebben daarnaast de bevoegdheid om, al dan niet met behulp van deskundige derden, vercijferingen ongedaan te maken.