Handson Cryptografie: Cryptografie en de wet
Cryptografie is van oudsher een militair hulpmiddel. In de Tweede Wereldoorlog bleek cryptografie van groot belang, en ook in de Koude Oorlog daarna gebruikten geheime diensten cryptografie om met hun agenten aan "de andere kant" te kunnen communiceren. Het is dan ook geen verrassing dat er in een aantal landen nogal wat beperkingen zijn aan het bezit en gebruik van cryptografische hard- en software.
De legaliteit van cryptografie
In Nederland zijn er geen wettelijke restricties aan het gebruik van cryptografische hard- of software. In een aantal landen, zoals Rusland, China en tot een aantal jaren geleden Frankrijk, is het verplicht om eerst een vergunning aan te vragen. Deze vergunning wordt meestal alleen verstrekt als de betreffende geheime dienst de berichten kan lezen.
Af en toe worden er voorstellen gedaan om het gebruik van cryptografie aan banden te leggen, bijvoorbeeld door de sleutellengte te beperken of door afgifte van de geheime sleutel bij een overheidsinstelling te eisen. Dergelijke eisen lijken nauwelijks haalbaar; criminelen en spionnen (tegen wie deze voorstellen gericht zijn) zullen dit nooit doen, en de kans op misbruik is erg groot.
Wel zijn er de nodige beperkingen aan de im- en export van cryptografische software.
De legaliteit van export
De Verenigde Staten, waar de meeste cryptografische software vandaan komt, beschouwt cryptografische software als strategische militaire goederen (net als tanks, munitie en atoombommen) en heeft de export hiervan aan restricties onderworpen. Een Amerikaans bedrijf krijgt alleen een exportvergunning als de cryptografische software kraakbaar is door de NSA of er een achterdeur in zit. Om deze reden bestaat veel software in twee versies: een met sterke encryptie, alleen voor gebruik in de VS, en een met zwakke encryptie, voor de rest van de wereld.
In Nederland is de export van cryptografische software alleen aan restricties onderworpen als de software uit de VS komt, of als de export naar een "vijandig" land als Libië of Irak zou gaan.
De Amerikaanse wetgeving heeft nog een leuk addertje: de export van software (op een CD-ROM of floppy) is aan regels gebonden, maar broncode in boekvorm niet (vanwege de vrijheid van meningsuiting). De nieuwste versies van PGP worden daarom in boekvorm gepubliceerd. Buitenlandse vrijwilligers kopen het boek, scannen het in (de tekst is gedrukt in een gemakkelijk te scannen lettertype) en produceren zo een volstrekt legaal geëxporteerde versie met dezelfde sterkte als de "binnenlandse" editie.
Verplichting tot ontsleutelen van cryptografische bestanden
Het kan gebeuren dat er bij een strafrechtelijk onderzoek versleutelde bestanden worden aangetroffen. Als het vermoeden bestaat dat hierin bewijsmateriaal zit, kan de politie eisen dat deze worden ontsleuteld. Wie de sleutel weet, of weet hoe de gegevens anders kunnen worden achterhaald, is verplicht zijn medewerking te geven (artikel 125k Wetboek van Strafvordering).
Een uitzondering wordt gemaakt voor de verdachte (artikel 125k lid 3). Uitgaande van het principe dat niemand mee hoeft te werken aan zijn eigen veroordeling, hoeft de verdachte dus ook zijn sleutel niet af te geven of te vertellen.
Dit betekent dus dat politie-experts zelf moeten proberen de bestanden te ontsleutelen. Gelukkig voor hen kiezen de meeste mensen eenvoudig te raden wachtwoorden, of gebruiken ze onveilige cryptografische software. Zelfs een met PGP versleuteld bestand is te "kraken" als de gebruiker de passphrase ergens opgeschreven heeft.
Cryptografische berichten en het briefgeheim
Momenteel heeft e-mail niet dezelfde juridische status als een papieren brief. Er is dus geen wettelijk "mailgeheim". Het lezen van andermans e-mail kan onder computervredebreuk vallen, als daarbij een wachtwoord geraden of gekraakt wordt. Een systeembeheerder die de mail van zijn gebruikers leest, is echter niet zonder meer strafbaar bezig.
In 1998 werd voorgesteld e-mail onder artikel 13 Grondwet (briefgeheim) te laten vallen. Dit voorstel heeft het echter niet gehaald. Momenteel wordt gewerkt aan een nieuw voorstel, waarin persoonlijke e-mail ook zonder gebruik van cryptografie bescherming geniet. In de nieuwe Wet Computercriminaliteit worden diverse nieuwe wetsartikelen voorgesteld om het lezen en onderscheppen van e-mail strafbaar te stellen. Wanneer dit wetsvoorstel behandeld wordt, is nog onduidelijk.