De CTIVD stelt in hoofdstuk 3.5 van haar reactie op het Wiv-voorstel (genummerde p.44-45) dat de hackbevoegdheid niet tegen een non-target zou moeten mogen worden ingezet om dat non-target vervolgens als zelfstandige bron van informatie te gebruiken:

De CTIVD plaatst enkele kanttekeningen bij de bevoegdheid via het geautomatiseerde werk van een derde binnen te dringen in het geautomatiseerde werk van het onderzoekssubject (artikel 30, lid 1, onder b). Hiermee is in feite sprake van het toepassen van een bijzondere bevoegdheid tegen een non-target. Dit is vergelijkbaar met het toepassen van een telefoontap tegen iemand in de omgeving van een target omdat het target zelf niet beschikt over een telefoon. De CTIVD heeft onder omstandigheden toegestaan dat een bijzondere bevoegdheid wordt ingezet tegen een non-target. Hierbij komt wel extra gewicht toe aan het noodzakelijkheids-, proportionaliteits- en subsidiariteitsvereiste. Een non-target mag slechts dan het onderwerp van onderzoek zijn indien het redelijkerwijs niet mogelijk is op een andere wijze zicht te krijgen op het target.

Uit het concept-wetsvoorstel en de memorie van toelichting kan de CTIVD niet afleiden dat het binnendringen in het geautomatiseerde werk van een derde voor de diensten slechts mogelijk wordt geacht indien het target zelf onbereikbaar is. Het uitgangspunt zou moeten zijn dat het geautomatiseerde werk van het target het doelwit is. Volgens de CTIVD zou het concept-wetsvoorstel dit uitgangspunt expliciet moeten maken. Slechts in uitzonderingsgevallen kan hiervan worden afgeweken. In de aanvraag moet gemotiveerd worden aangegeven waarom hiertoe is overgegaan zodat deze overweging kan worden getoetst.

De CTIVD mist de noodzakelijke waarborgen die ervoor dienen te zorgen dat het binnendringen in het geautomatiseerde werk van een derde enkel dient om binnen te dringen in het werk van het onderzoekssubject. En dus bijvoorbeeld niet om te dienen als zelfstandige bron van informatie.

In de MvT heet het dat zich “operationele kansen tot het benutten van zwakheden kunnen voordoen bij technische randgebruikers”. Inbreken op systemen van een non-target, mogelijk een ISP, telco of hosting provider, om die als zelfstandige bron van informatie (of als springplank voor toekomstige digitale aanvallen?) te gebruiken, vindt de CTIVD dus alleen in (niet nader omschreven) uitzonderingsgevallen toelaatbaar. Maar als eenmaal in het kader van operatie X toegang is verkregen tot een non-target, dan zal die toegang allicht mogen worden hergebruikt voor lopende operatie Y — zoals dat volgens CTIVD-toezichtsrapporten ook gebeurt en toelaatbaar is bij sigint-opbrengsten (dwz: opbrengsten die ihkv een bepaalde operatie zijn verworven en relevantie hebben voor andere operaties, mogen ook voor die andere operaties worden gebruikt; niet onlogisch). Het zal bij derdensystemen in de regel gaan om computers van individuen in de sociale nabijheid van het target (educated guess). Maar ook infrastructuur van een ISP of telco die in regio X veel gebruikers heeft zijn derdensystemen, en het kan voor een dienst tandenknarsen zijn om eenmaal verworven toegang direct na een kortlopende operatie ongedaan te maken (backdoor verwijderen, verworven sleutels/wachtwoorden/etc. vergeten van het non-target en de N-1 non-targets onder diens gebruikers, etc.).

EOF

De CTIVD stelt in hoofdstuk 2.3.2 van haar reactie op het Wiv-voorstel (genummerde p.30-32) opnieuw vast dat er een structureel probleem is met de motivering van sigint search en sigint selectie. De diensten moeten in de toestemmingsverzoeken aan hun Minister de noodzaak, proportionaliteit en subsidiariteit van de inzet van bevoegdheden motiveren, maar de CTIVD stelt jaar op jaar vast dat die motivatie vaak niet voldoet — zie hier (.pdf) citaten uit CTIVD-toezichtsrapporten 19, 26, 28, 31 en 35. De CTIVD stelt ook in latere rapporten onrechtmatigheden vast. Die onrechtmatigheden komen soms voort uit wat de CTIVD in haar reactie “de noodzakelijke praktijk” noemt.

Het gaat hier om een punt van belang. Bij search ex Art.34 Wiv20xx gaat het ook om experimenteren: naast het testen en beheren van DPI-systemen (bijv. voor malwaredetectie; maar zie ter inspiratie ook de Canadese Joint Cyber Sensor Architecture) gaat het bijvoorbeeld om het testen en fine-tunen van trefwoorden voor selectie ex Art.35 Wiv20xx en om het zoeken naar potentiële nieuwe targets. (NB: de eisen van noodzaak, proportionaliteit en subsidiariteit zijn van toepassing, en de Wiv20xx creëert functiescheiding tussen searchactiviteiten en het verdere inlichtingenproces en operationele teams.) De ondergrens van “doelgericht” in de collectiefase (Art.33 Wiv20xx) en searchfase (Art.34 Wiv20xx) is onduidelijk, waardoor de voorgestelde bevoegdheden in samenhang ruimte voor bieden voor grootschalige experimenten a la OPTIC NERVE. Art. 34 Wiv20xx lid 1 (search gericht op interceptie) en lid 2 (search gericht op selectie) geven volgens de CTIVD ruimte voor “inhoudelijk onderzoek gericht op het identificeren of de identificatie van personen of organisaties die in aanmerking komen voor (toekomstig) onderzoek”. Ruimte voor experimenten met communicatie dus. Bij in elk geval NSA en GCHQ lijkt full take van glasvezelkabels de norm (zie DANCING OASIS / RAMPART-A, Tempora, etc.). Dat zegt niets over het wel of niet toepassen van die werkwijze door de Nederlandse diensten, maar het zou goed zijn om helder te krijgen of full takes van kabelverbindingen zijn uitgesloten — en zo nee, of er filters worden toegepast om, bijvoorbeeld, binnenlandse communicatie uit full takes van Nederlandse kabelnetwerken te (proberen te) filteren. Het is hoe dan ook belangrijk dat de motivering van search en selectie op orde komt. Zoals blijkt uit onderstaande tekst verwacht de CTIVD dat het wetsvoorstel weinig verandert aan de huidige situatie.

Hier is hoofdstuk 2.3.2 uit de reactie van de CTIVD (markering binnen alinea’s is van mij):

2.3.2 Voorzienbaarheid van de bepalingen

De waarborg van voorzienbaarheid

De voorzienbaarheid is een belangrijke waarborg tegen ongeoorloofde inbreuken op de persoonlijke levenssfeer. De wet moet voldoende duidelijk en nauwkeurig zijn. Het moet inzichtelijk zijn in welke gevallen de diensten een bevoegdheid mogen uitoefenen en wat hierbij de randvoorwaarden zijn.

Voor het EHRM weegt de eis van voorzienbaarheid extra zwaar in het geval van heimelijk onderzoek. Dit in verband met het risico van misbruik van bevoegdheden. De omstandigheid dat technologie steeds geavanceerder wordt draagt hier volgens het EHRM aan bij.

Samenhang tussen de search- en selectiebevoegdheid

De CTIVD heeft in verschillende toezichtsrapporten problemen geconstateerd in het proces van de verwerving en verwerking van satellietcommunicatie. Deze problemen zagen onder meer op het ontbreken van een wettelijke basis voor bepaalde vormen van search en het ontbreken van een regeling voor metadata-analyse. In beide gevallen kan sprake zijn van een inbreuk op de persoonlijke levenssfeer. In het concept-wetsvoorstel zijn deze bevoegdheden opgenomen in artikel 34 resp. artikel 35. Er is daarmee een wettelijke basis voor deze vormen van search en een regeling voor metadata-analyse gecreëerd. De inhoudelijke waarde hiervan komt later aan de orde.

De CTIVD heeft daarnaast in haar toezichtsrapporten bij herhaling geconstateerd dat de selectiebevoegdheid in de praktijk minder specifiek of gericht is dan waar de huidige wet van uitgaat. Dit komt onder meer tot uiting in het gebruik van (te) generiek geformuleerde verzoeken om toestemming aan de minister. Hierbij worden zogeheten generieke identiteiten gebruikt. Daaronder vallen bepaald ‘soorten’ personen of organisaties. Wanneer een persoon of organisatie in beeld komt die onder een generieke identiteit valt, kunnen selectiecriteria met betrekking tot die persoon of organisatie direct in selectie worden gezet zonder dat nadere toestemming wordt verkregen. De toestemming voor de generieke identiteit is immers al verkregen. Deze werkwijze is niet in overeenstemming met de Wiv 2002. Naar het oordeel van de CTIVD lopen de huidige wettelijke regeling en de noodzakelijke praktijk op dit punt echter uiteen.36 Daarnaast is sprake van een grote mate van ‘uitproberen’: selectie wordt breed ingezet aan de hand van criteria (persoonsgegevens) waarvan de relevantie niet altijd vaststaat. Als gevolg van deze praktijk, wordt selectie in veel gevallen onvoldoende (concreet) gemotiveerd door de diensten. Dit is een al jarenlang aanwezig en door de CTIVD geconstateerd (structureel) probleem.

De bevoegdheid tot selectie is in het concept-wetsvoorstel opgenomen in artikel 35 (rode blok in schema). Het verschil met de huidige regeling is dat de selectiecriteria (technische kenmerken als een telefoonnummer of e-mailadres) aan de hand waarvan selectie plaatsvindt niet langer gemotiveerd aan de minister moeten worden voorgelegd. Deze selectiecriteria betreffen persoonsgegevens. De toestemming van de minister voor de inzet van selectie moet worden verkregen aan de hand van, voor zover van toepassing, een omschrijving van het onderwerp, de identiteit van de persoon of organisatie. In de memorie van toelichting wordt uitgelegd dat hier de systematiek van de huidige trefwoorden selectie wordt toegepast voor het onderwerp (bijvoorbeeld het onderzoek naar organisatie X) wordt toestemming gevraagd, maar voor de concrete selectiecriteria (nummers die toebehoren aan targets A, B en C) niet. Deze selectiecriteria kunnen in mandaat worden vastgesteld, maar moeten (intern) wel worden voorzien van een toereikende motivering in relatie tot het onderzoek, volgens het concept-wetsvoorstel. Het vaststellen van selectiecriteria wordt gezien als een uitvoeringshandeling.

Deze wijze waarop volgens het concept-wetsvoorstel toestemming dient te worden verkregen voor selectie (artikel 35 van het concept-wetsvoorstel) en de wijze waarop de toestemming dient te worden gemotiveerd biedt op zichzelf nauwelijks een oplossing voor de geconstateerde problemen. Het lijkt de diensten een juridische basis te geven voor het hanteren van generiek geformuleerde (dat wil zeggen weinig specifieke of begrensde) aanvragen aan de minister. (In de fictieve casus zou het bijvoorbeeld gaan om een verzoek om toestemming voor de inzet van de selectiebevoegdheid ten aanzien van de communicatie van personen gerelateerd aan organisatie X). Een ministeriële toestemming is noodzakelijk voor het inzetten van de selectiebevoegdheid in een onderzoek maar niet voor de selectiecriteria die gerelateerd zijn aan dit onderzoek. Er wordt meer flexibiliteit bewerkstelligd bij het toevoegen van selectiecriteria aangezien de gang naar de minister hiervoor niet noodzakelijk is.

Aan het eerder door de CTIVD geconstateerde motiveringsprobleem verandert het concept-wetsvoorstel echter weinig. Volgens het concept-wetsvoorstel moet ieder selectiecriterium intern immers nog steeds worden voorzien van een toereikende motivering. Het verschil is enkel gelegen in het niveau waarop toestemming dient te worden verkregen. In het verleden heeft de CTIVD geconstateerd dat een deugdelijke motivering bij veel selectiecriteria (te gebruiken persoonsgegevens) ontbrak en dat deze in veel gevallen ook niet mogelijk is. (Bijvoorbeeld wanneer telefoonnummers in selectie worden gezet waarvan op dat moment nog niet duidelijk is of en op welke wijze deze relevant zijn voor het onderzoek. In de fictieve casus zou het kunnen gaan om de kring van personen met wie targets A, B en C in contact staan). Dit probleem zal zich ook voordoen indien de selectiecriteria intern worden vastgesteld. Ook dan is een toereikende motivering immers terecht vereist. Volgens de CTIVD moet de oplossing voor dit probleem overigens niet gezocht worden in het loslaten van deze motiveringseis.

Het concept-wetsvoorstel biedt in artikel 34 (blauwe blok in schema) de diensten de mogelijkheid de relevantie van selectiecriteria door middel van de searchbevoegdheid te onderzoeken (lid 2 van artikel 34, rode stippellijn in schema). Door middel van deze bevoegdheden kunnen de diensten vooraf uitzoeken of selectiecriteria waarvan de relevantie nog niet vaststaat inderdaad relevant zijn, onder meer door personen te identificeren die in aanmerking komen voor onderzoek. Selectiecriteria die op basis hiervan niet relevant worden beoordeeld, dienen volgens de CTIVD niet in selectie te worden geplaatst. Selectiecriteria die wel relevant zijn, kunnen vervolgens afdoende gemotiveerd worden bij het in selectie plaatsen. Een dergelijk onderzoek op basis van artikel 34 kan als noodzakelijk “vooronderzoek” dienen voor toepassing van de selectiebevoegdheid. Het ten onrechte achterwege laten van deze stap zal volgens de CTIVD van invloed zijn op de rechtmatigheid van de selectie. De CTIVD wijst erop dat een minder grote inbreuk wordt gemaakt op de persoonlijke levenssfeer bij toepassing van de searchbevoegdheid dan bij de selectiebevoegdheid. In beide gevallen wordt weliswaar kennisgenomen van de inhoud van communicatie, maar het toegestane doel bij de searchbevoegdheid is beperkt tot de identificatie van bekende en nieuwe onderzoekssubjecten. Dit leidt ertoe dat een beperkte inbreuk op de persoonlijke levenssfeer mag worden gemaakt zodat een verdergaande inbreuk zoveel als mogelijk wordt voorkomen.

De CTIVD merkt op dat het voorgestelde artikel 34 op onderdelen hieronder wordt besproken. Zij ziet op verschillende punten aanleiding het voorgestelde artikel 34 aan te passen dan wel te verduidelijken, onder meer op het punt van de voorzienbaarheid van de bepaling. In de huidige vorm biedt artikel 34 naar het oordeel van de CTIVD onvoldoende waarborgen om betiteld te kunnen worden als minder inbreukmakend vooronderzoek.

Onderscheid technisch en inhoudelijk onderzoek aan gegevens

Het concept-wetsvoorstel en de memorie van toelichting maken onvoldoende duidelijk wat het onderscheid is tussen de verschillende vormen van technisch en inhoudelijk onderzoek aan gegevens. Zo lijkt sprake te zijn van een overlap tussen technische analyse (artikel 33, lid 1; groene blok in schema) en search gericht op interceptie (artikel 34, lid 1, onder a; linker paarse lijn in schema). Beide bevoegdheden geven ruimte voor de technische verkenning van gegevens, bijvoorbeeld het vaststellen van de aard van het verkeer of de geografische afbakening daarvan, eventueel door het inhoudelijk kennisnemen van de verworven communicatie. Het wordt niet duidelijk waarin deze bevoegdheden van elkaar verschillen. Het mogen verrichten van technische analyse onder artikel 33 ligt besloten in de toestemming voor interceptie. Voor technische analyse onder artikel 33 hoeft geen separate toestemming te worden verkregen van de minister. Dit volgt in ieder geval niet uit het concept-wetsvoorstel of de memorie van toelichting. In het geval van search gericht op interceptie (artikel 34, lid 1) dient hier wel expliciet toestemming voor te worden verkregen. Hierin ligt een extra waarborg besloten die bij artikel 33 ontbreekt.

Advies

De CTIVD adviseert duidelijkheid te bieden over het onderscheid tussen technische analyse (artikel 33) en search gericht op interceptie (artikel 34).

Bij selectie op “generieke identiteiten” kan volgens toezichtsrapport 44 (.pdf, genummerde p.13, voetnoot 17) worden gedacht aan “piraten actief in de territoriale wateren van Somalië”. Hoe zo’n selectie wordt geoperationaliseerd is niet bekend. (Theoretische mogelijkheden zijn bijvoorbeeld selectie op tijdstip en (geo)locatie; selectie op delen van een persoonsnaam; selectie van telefoongesprekken op netnummer; selectie op kenmerkend taalgebruik, zoals benoeming van een organisatienaam of verwijzing naar een plaats die wordt geassocieerd met terroristische activiteiten; selectie op domeinnaam of IP-adres(reeks); etc.)

Ten aanzien van de gegevens die mogen worden vastgelegd tijdens searchactiviteiten, waarin geen sprake mag zijn van dossiervorming, merkt de CTIVD op pagina 36-37 het volgende op:

Functiescheiding bij search

Aan het vastleggen van de resultaten van onderzoek aan gegevens (search, artikel 34 lid 3, blauwe blok in schema) moeten, in het verlengde van de functiescheiding, duidelijke beperkingen worden gebracht. De waarborg van de functiescheiding is essentieel bij de uitvoering van de searchbevoegdheid. Dit dient ook zijn weerslag te krijgen in de wettelijke bepaling over het vastleggen van de searchresultaten. In voorgesteld artikel 34 lid 3 is opgenomen dat van de resultaten van search aantekening mag worden gemaakt indien dat noodzakelijk is voor de goede taakuitvoering. In de memorie van toelichting wordt aangegeven dat deze resultaten verder gebruikt kunnen worden voor het doel waarvoor deze zijn opgetekend. Dat betekent dat kennisneming van de resultaten door medewerkers van de dienst is beperkt volgens het need-to-know-principe. Er worden geen verdere beperkingen aangebracht op het vastleggen van de resultaten. Het is onvoldoende duidelijk welke gegevens wel en niet mogen worden vastgelegd. Noodzakelijkheid voor de taakuitvoering is daarin een te algemeen begrip en geeft te veel ruimte. Het gevaar bestaat dat de waarborg van functiescheiding in de praktijk wordt uitgehold door uitgebreide vastlegging van de resultaten van search.

Advies

De CTIVD adviseert in het concept-wetsvoorstel adequate waarborgen in te bouwen voor het vastleggen en (nader) verwerken van de searchresultaten.

De CTIVD merkt op pagina 13 van de reactie overigens ook iets op over rubber-stamping-effecten:

De CTIVD onderschrijft de in het concept-wetsvoorstel neergelegde waarborg van toestemmingsverlening door de minister voor de inzet van bepaalde bijzondere bevoegdheden. Hierbij onderkent de CTIVD overigens dat op dit punt alleen sprake kan zijn van een waarborg indien het vereiste van ministeriële toestemming niet in zoveel gevallen wordt gesteld, dat een aanvraag vooral een administratieve invuloefening voor de diensten wordt en de inhoudelijke toets van de minister aan waarde verliest. Hierbij is het van belang dat sprake is van duidelijke toetsbare elementen, die de noodzakelijkheid, proportionaliteit en subsidiariteit van de inzet van de bevoegdheid inzichtelijk maken.

Want naast de searchbevoegdheid, komen ook de (bestaande) hackbevoegdheid en de (nieuwe) metadata-analyse-bevoegdheid onder Ministeriële toestemming te vallen, naast o.a. gerichte interceptie en selectie na ongerichte interceptie. Mede daarom wordt ook voorgesteld de Minister van ondersteuning te voorzien bij de afhandeling van toestemmingsverzoeken.

EOF

Hoofdstuk 13 van KPN’s reactie op het Wiv20xx-wetsvoorstel (24 pagina’s) onderzoekt enkele praktische implicaties van de voorgestelde ontsleutelplicht voor aanbieders van communicatiediensten:

13. Netwerkbeveiliging versus medewerkingsplichten

Het uitgangspunt van het voorontwerp is de (mede in par. 8 hierboven al besproken) medewerkingsplicht tot ontsleuteling en/of de methode te delen van versleuteling. Deze medewerkingsplicht is voor aanbieders van communicatiediensten niet goed na te leven en zeker niet zonder hun overige verplichtingen ten aanzien van de beveiliging van netwerken, diensten en persoonsgegevens, die zij hebben ‘naar de stand van de techniek’. De medewerkingsplichten maken de mogelijkheden om hieraan te voldoen onmogelijk of onredelijk complex. Daarmee wordt het primaire doel van telecommunicatiediensten ten behoeve van de economische voortuitgang en de ontwikkeling naar een te vertrouwen ‘e-economy’ geweld aangedaan. Het wetsvoorstel lijkt de ‘veiligheidsfunctie’ van communicatienetwerken te zeer boven de primaire functie ervan te stellen.
Dit geldt ook voor de taak die wordt aangegeven voor de diensten tot het beschermen tegen digitale aanvallen. Zoals in par. 1 al aangegeven kan hierin worden gelezen dat de diensten bij aanvallen daadwerkelijk zouden mogen ingrijpen in netwerkverkeer. Technische toegang tot kabelgebonden telecommunicatie zou echter op zo’n manier moeten gebeuren zodat de diensten geen mogelijkheid hebben op welke manier dan ook om het verkeer te kunnen manipuleren of daarop zelf in te grijpen. De verantwoordelijkheid van de telecom aanbieders mag niet beïnvloed worden, om te voorkomen dat buiten hun invloed om zij niet meer de kwaliteit en continuïteit van hun dienstverlening zelf kunnen garanderen.

Hiervoor gelden mede technische redenen die zich als volgt laten samenvatten.

(a) Voor transportsleutels is de informatie onmogelijk op televeren:

• Transportsleutels zijn per definitie sessie-gebonden en in veel gevallen vluchtige informatie die enkel tijdelijk in het geheugen leven van de end-to-end oplossing. Daarna zijn ze weg. Dit is de moderne internationale standaard hiervoor (Elliptic Curve) Diffie-Hellman Key Exchange met Emphimeral (=vluchtige) sleutels.
• Oudere transport versleuteltechnieken (RSA key exchange) kunnen met een capture van de data worden teruggerekend te samen met de private key van het certificaat.
  • Dit veronderstelt dat er een volledige unsampled capture bestaat van een sessie en dat de private key opgeleverd kan worden. Deze captures kunnen alleen op selectieve momenten gemaakt worden om het netwerk te debuggen. Er is geen enkele voorziening getroffen om hier meer mee te doen.
  • Dit vereist dat er selectieve specifieke nieuwe oplossingen gemaakt worden, omdat er geen enkele noodzaak is voor de aanbieder van communicatiediensten om hierin te moeten voorzien. Dit zou betekenen dat alle netwerkverkeer opgeslagen moet worden. De kosten hiervoor zijn buiten proportioneel hoog en in strijd met de wettelijke regels voor de verwerking van persoonsgegevens.
• Private keys delen, in welke vorm van door, is volgens de internationale standaarden per definitie gelijk aan een ‘key-compromise’.
  • Appliances met en zonder Hardware Security Module (HSM) oplossingen bieden geen private key exportfunctie, maar alleen importfuncties. Dit is een veel voorkomende bescherming. Bij een HSM oplossing is een private key zelfs ‘tamper-proof’ opgeslagen en zijn er buiten dit systeem enkel mogelijkheden om de key’s te vervangen, niet te exporteren.
  • Operationeel gericht beleid eist dat een beheerder in een appliance, HSM en op het uiteindelijke doelsysteem de sleutels aanmaakt en nergens anders. Transport van een private key wordt hiermee uitgesloten om de privacy, security en soevereiniteit van de aanbieder te kunnen handhaven.

(b) Storage gerelateerde keys:

• Er zijn sleutels voor systemen en gebruikers die betrekking hebben op disk-volumes,
  databases, tabellen in databases, rijen en data-velden.
  • De keys zijn van verschillende typen, omvang, techniek, en hebben betrekking op
    uiteenlopende toepassingen.
  • Er is geen peil op te trekken hoe alle verschillende oplossingen op verschillende
    deelgebieden en verschillende implementaties met sleutels werken en in welke vorm. Aanbieders pentesten per oplossing of dit goed gebeurt en letten op de certificeringen wanneer het interne systemen/back-end systemen zijn. Dit zijn de waarborgen die aangeven hoe de status van de beveiliging is. De oplevering van een key is in al deze kwesties geen onderdeel van de vraagstelling geweest, behalve dan hoe te voorkomen dat anderen bij de sleutels zouden kunnen. Dit is in het belang van de soevereiniteit van de aanbieder.

(c) Algemene toevoegingen ten aanzien van geheime sleutels, zoals private keys of andere geheime sleutels:

• Het delen van een private key zou de privacy en security zorgplicht van aanbieders schenden. Het delen van een private key staat gelijk het delen van de identiteit van de aanbieder met de partij die de key heeft. De partij die de private key krijgt kan zich voordoen als de aanbieder. Dit is een aanvalsscenario van hackers en cyber-criminelen om ongezien man-in-the-middle attacks uit te voeren. Zoals in de volgende par. nader uitgewerkt acht KPN het uiterst onwenselijk dat de diensten deze rol zou kunnen vervullen zonder transparantie naar de aanbieders toe.
• Als collateral damage zou het mogelijk moeten maken van het delen van de private key betekenen dat alle beheerders moeten worden geïnstrueerd om met cryptografisch materiaal te moeten omgaan. Dit is specialistisch werk en het cryptografisch materiaal moet met diverse waarborgen worden getransporteerd. Iedere beheerder binnen een aanbieder zal een key ceremonie cursus moeten krijgen om dit te kunnen uitvoeren.
  • Het mogelijk maken van de oplevering van cryptografisch materiaal, zelfs tussen afdelingen binnen een aanbieder, zorgt ervoor dat de security en privacy zorgplicht wordt ondermijnd.

(d) Algemene toevoeging voor ‘one-way’ encryptie technieken:

• Volgens industry-best practices zijn er vele one-way encryptie technieken om bijvoorbeeld wachtwoorden op te slaan. Deze zijn nooit meer terug te halen, omdat er alleen een hash/digest wordt gemaakt van een wachtwoord en deze wordt dan vaak nog een aantal malen complexer opgeslagen om decryptie door aanvallers die de gehele database of harddisk zouden stelen te kunnen voorkomen.
  • Deze techniek wordt ook gebruikt om data te anonimiseren.
  • Deze techniek wordt ook gebruikt om cryptografische bewijslasten te vormen wanneer er challenge-response technieken of digitale handtekeningen moeten worden gezet.
  • Het gebruik van deze techniek is fundamenteel voor onze digitale samenleving.
  • In lekentermen betekent dat simpelweg: ‘wij (de aanbieder) weten meestal ook niet wat het wachtwoord is en wat er als data staat opgeslagen’. Dit is volledig aan de verantwoordelijkheid van de eindgebruikers overgelaten.

De conclusie hieruit is dat de primaire functie van adequaat beveiligde communicatiediensten in alle gevallen zonder inbreuk in stand moet blijven. Daarbij past het niet om aan aanbieders van die diensten verplichtingen op te leggen die daaraan afbreuk zouden kunnen doen. Als het gaat om doorbreken van beveiligde communicatie dient dat veelal niet gezocht te worden bij de aanbieders van de communicatiediensten, maar bij aan de zijde van de gebruikers zelf, omdat die veelal aan zet zijn, zowel wanneer data versleuteld is als voor het ontsleutelen hun wachtwoorden.

De bevoegdheden van de diensten dienen dan ook primair gericht te worden op de doorbreking van de beveiliging op het niveau van te onderzoeken eindgebruikers en niet op die van de diensten waarvan ook talloze ‘niet targets’ beveiligd gebruik maken. Alleen in zoverre in het kader van het bevoegd gerichte aftappen ontsleutelde communicatie kan worden geleverd zouden aanbieders daartoe gehouden moeten zijn, maar dat is in het huidige wettelijke kader al geregeld.

EOF

UPDATE 2015-11-14: om verwarring te voorkomen: met “belast” wordt geen dwang bedoeld. Een agent die op instructie van de dienst een strafbaar feit (mede)pleegt, doet dat op vrijwillige basis. (Informanten zijn personen die informatie verschaffen waarover zij reeds beschikken; agenten zijn personen die een opdracht krijgen bepaalde informatie te achterhalen. Een agent kan zowel een externe zijn als een medewerker van een dienst. Bron.)

Op 3 september publiceerde de CTIVD haar reactie op het concept-wetsvoorstel voor de nieuwe Wiv. Die reactie is veelomvattend, scherp, kritisch en erg leeswaardig. In hoofdstuk 3.8 reageert de CTIVD op artikel 61 van het wetsvoorstel:

“In het concept-wetsvoorstel krijgen de diensten een separate bijzondere bevoegdheid tot het bevorderen en treffen van maatregelen ter bescherming van de door de diensten te behartigen belangen (artikel 61). Dit betreft een uitbreiding ten opzichte van de huidige wet, want deze bevoegdheid is nu enkel onderdeel van de bevoegdheid tot het inzetten van een agent (artikel 21 lid 1 aanhef en onder a Wiv 2002).”

Dat artikel luidt als volgt:

Artikel 61

1. De diensten zijn bevoegd tot het bevorderen of treffen van maatregelen ter bescherming van door de desbetreffende dienst te behartigen belangen, al dan niet met behulp van een technisch hulpmiddel.
2. Bij het bevorderen of treffen van een maatregel wordt slechts die maatregel bevorderd of getroffen, die gelet op de omstandigheden van het geval, waaronder de ernst van de bedreiging van de door een dienst te beschermen belangen, voor de betrokkene het minste nadeel oplevert. De artikelen 43, derde en vierde lid, en 44 zijn van overeenkomstige toepassing.
3. Het bevorderen of treffen van maatregelen als bedoeld in het eerste lid kan bij een instructie als bedoeld in artikel 26, eerste lid, worden opgedragen aan een natuurlijke persoon als bedoeld in dat artikel.
4. In het geval dat het bevorderen of treffen van maatregelen wordt opgedragen aan een andere persoon als bedoeld in het derde lid, is artikel 26, derde tot en met zevende lid, van overeenkomstige toepassing, met dien verstande dat onder “de natuurlijke persoon” of “persoon” in de desbetreffende artikelleden wordt verstaan: de persoon die door de dienst wordt belast met de feitelijke uitvoering van de in het eerste lid bedoelde handelingen.

De CTIVD merkt op dat dit artikel lijkt toe te staan dat iedereen op basis van het vierde lid zou kunnen worden belast met het plegen van een strafbaar feit — dus niet alleen een agent of medewerker van de dienst:

“Ten eerste wordt met deze uitbreiding mogelijk gemaakt dat behalve agenten ook andere personen belast kunnen worden met handelingen die (medewerking aan) een strafbaar feit kunnen inhouden. Het ligt in de rede, zoals ook in de memorie van toelichting wordt aangehaald, dat het hier (naast agenten) gaat om reguliere medewerkers van de diensten. Artikel 61 (in samenhang met artikel 26) van het concept-wetsvoorstel beperkt zich echter niet daartoe; strikt genomen kan iedereen in beginsel door de dienst worden belast met het plegen van strafbare feiten zonder dat er sprake is van het zijn van agent of medewerker van de dienst.”

Als dit een onvolkomenheidje is in het wetsvoorstel, dan wel een opmérkelijke.

De CTIVD merkt verder op dat het bevorderen en treffen van maatregelen ook van preventieve aard kan zijn:

“Volgens de memorie van toelichting bij het concept-wetsvoorstel ziet de bevoegdheid bovendien niet alleen op het verstoren van activiteiten, maar ook op maatregelen in de preventieve sfeer. Als voorbeelden worden genoemd het onder controle houden en krijgen van targets en het scheppen van voorwaarden om op een effectievere manier bijzondere bevoegdheden te kunnen toepassen. Uitdrukkelijk wordt gesteld dat deze bevoegdheid niet bedoeld is als ultimum remedium. Blijkens de memorie van toelichting bij artikel 21 van de huidige wet is deze bevoegdheid (oorspronkelijk) wel zo bedoeld.”

Het laatste punt dat de CTIVD over artikel 61 maakt heeft betrekking op de inbreukmakendheid (of niet) van een “technisch hulpmiddel” dat mag worden ingezet bij het bevorderen en treffen van maatregelen:

Tot slot wordt in het eerste lid van artikel 61 van het concept-wetsvoorstel bepaald dat het bevorderen en treffen van maatregelen kan plaatsvinden met behulp van een technisch hulpmiddel. In de memorie van toelichting bij het concept-wetsvoorstel wordt hierover slechts vermeld dat het feit dat van deze hulpmiddelen gebruik mag worden gemaakt buiten kijf wordt gesteld. Het concept-wetsvoorstel geeft hiermee onvoldoende duidelijk aan of de inzet van een dergelijk hulpmiddel op grond van deze bevoegdheid kan leiden tot een inbreuk op grondrechten van personen zoals het recht op bescherming van de persoonlijke levenssfeer.

Kortom, waar moeten we aan denken bij “technisch hulpmiddel”? Welke technische hulpmiddelen kunnen helpen bij het onder controle houden en krijgen van targets? Of voor het scheppen van voorwaarden om op een effectievere manier bijzondere bevoegdheden te kunnen toepassen? Kan bij dat laatste worden gedacht aan het laten plaatsen van implants, keyloggers, QUANTUM-achtige servers (voor MitM-aanvallen), audio bugs en rogue access points door informanten om de hack-, ontsleutel- en interceptiebevoegdheden (na toestemming van de Minister) op een effectieve manier te kunnen uitoefenen?

Het advies van de CTIVD over al het bovenstaande luidt als volgt:

Gezien het afbreukrisico van het op instructie van de diensten plegen van handelingen die (medewerking aan) een strafbaar feit kunnen inhouden, adviseert de CTIVD de kring van personen die hiervoor in aanmerking komt in de wet te beperken. Daarnaast adviseert de CTIVD in de memorie van toelichting bij het concept- wetsvoorstel aan te geven waarom het noodzakelijk wordt geacht de toepassing van de bevoegdheid tot het bevorderen of treffen van maatregelen niet langer slechts als ultimum remedium te kunnen inzetten en in hoeverre de inzet van een technisch hulpmiddel al dan niet kan leiden tot een inbreuk op het recht op bescherming van de persoonlijke levenssfeer.

Voorlopig is het wachten op de volgende versie van het wetsvoorstel.

EOF

Hieronder volgen twee fragmenten over afluisteren via elektromagnetische (EM) straling:

1. een fragment uit ‘Kluiters deel 2′ (1995, Sdu Uitgeverij, ISBN 9012081793), het supplement dat Kluiters op zijn eerste werk schreef;
2. een fragment uit Spycatcher (1989, Random House Value Publishing, ISBN 0517014378), de autobiografie van voormalig MI5-medewerker Peter Wright.

Het eerste fragment vertelt over het op (beperkte) afstand onderscheppen van teletype-communicatie via elektromagnetische (EM) “echo’s” van (onversleutelde) toetsaanslagen, die afkomstig zijn van een teleprinter waarop de klare tekst werd ingevoerd en onbedoeld aanwezig zijn in het signaal dat een vercijfermachine op de kabelverbinding plaatste. Die echo’s konden zich voordoen indien de vercijfermachine geen EM-afscherming had van de teleprinter waarop de klare tekst werd ingevoerd.

Nadat de Nederlandse academicus Wim van Eck in 1985 openbaar publiceerde over een methode om op afstand op basis van EM-straling beelden van CRT-beeldschermen te reconstrueren, wordt naar dit soort afluistermethoden — die in overheidskringen in meer of mindere mate reeds bekend waren — ook wel verwezen als Van Eck-phreaking. In Nederland is Van Eck-phreaking in 2006 nog gedemonstreerd tegen stemcomputers tijdens de Wij Vertrouwen Stemcomputers Niet-campagne.

Het geheel aan procedurele en technische maatregelen om kwetsbaarheid voor dit soort afluistermethoden te mitigeren — in voornoemd geval RED/BLACK-scheiding — wordt ook wel aangeduid met TEMPEST, een codewoord van de Amerikaanse overheid. Disseminatie van TEMPEST-kennis voor defensieve doeleinden staat op gespannen voet met het belang te voorkomen dat de vijand die kennis in handen krijgt en zichzelf beschermt (meer).

Enfin, hier volgen de twee fragmenten.

Ten eerste het fragment uit Kluiters (p.122):

Gedurende een niet nader omschreven periode werd al in het tijdvak 1946-1964 de berichtenwisseling tussen de Franse ambassadeur en het Franse Ministerie van Buitenlandse Zaken geregistreerd en meegelezen. Ook elders werd Frans diplomatiek berichtenverkeer geïntercepteerd. In zijn autobiografie vertelt Wright over de mogelijkheid, bij onvoldoende afscherming van teletype/vercijferapparatuur, echo’s — zwakke pulsjes — van klare tekst geproduceerd bij de elektromechanische vercijfering van een tekst via telefoonlijnen op (beperkte) afstand te registreren. Dankzij dat principe was de Britse veiligheidsdienst MI5 in staat gedurende bijna drie jaar (tussen 1960 en 1963) de berichtenwisseling zonder cryptoanalyse mee te lezen tussen Parijs en de Franse ambassadeur te Londen. Onafhankelijk van MI5 had Carl Nelson van de Amerikaanse veiligheidsdienst FBI hetzelfde principe ontdekt in de eerste helft van de jaren vijftig en vervolgens succesvol toegepast bij het aftappen van Sovietrussisch berichtenverkeer van en naar Wenen.

Ook in Nederland gebeurde iets dergelijks. Het Physisch Laboratorium TNO ontdekte onafhankelijk van anderen dat de bij verbindingen veel gebruikte Siemens telex, type T-100, aan eenzelfde gebrek aan afscherming leed. Nadat TNO op basis van die ontdekking bij een ministerie een hoog gerubriceerd vercijferd bericht intercepteerde en via de nog aanwezige zwakke pulsjes van de klare tekst de oorspronkelijke tekst kon reconstrueren, werd in 1962 op aandrang van de gealarmeerde Nederlandse overheid bij TNO de groep Cryptostraling gevormd. Deze groep hield zich tot 1975 bezig met het ontwerpen van maatregelen voor het stralingsvrij maken van bij vercijfering gebruikte apparatuur. Hierbij werd veel samengewerkt met de Duitse instantie die zich voor de drie Duitse krijgsmachtdelen gezamenlijk bezighield met onder andere stralingsbeveiliging.

Volgens Sheykmov — een KGB-comsecdeskundige die in 1980 overliep naar de Verenigde Staten — begon de Soviet-Unie in de eerste helft van de jaren zeventig met het treffen van maatregelen tegen elektromagnetische straling — direct en via telefoon- en netspanningsleidingen — van hun communicatie-apparatuur.

Ten tweede het fragment uit de door Kluiters gerefereerde autobiografie van voormalig MI5-medewerker Peter Wright (~1200 woorden):

I had the germ of an idea. Any cipher machine, no matter how sophisticated, has to encipher the clear text of the message into a stream of random letters. In the 1950s, most advanced ciphers were produced by typing the clear text into a teleprinter, which connected into a separate cipher machine, and the enciphered text clattered out on the other side. The security of the whole system depended on thorough screening. If the cipher machine was not electromagnetically screened from the input machine carrying the clear text, echoes of the uncoded message might be carried along the output cables along with the enciphered message. With the right kind of amplifiers it was theoretically possible to separate the “ghosting” text out and read it off.

Of course, we had no way of knowing which countries screened their cipher rooms thoroughly, and which did not, and any operation along the lines I suggested would take up to two years to reach fruition. There was little point expending vast effort trying to break the Russian cipher, when we knew it was almost certain to be well protected. It was a question of picking targets which were important, and against which we stood some chance of success.

The French cipher stood out from all the rest as the most suitable target for further ENGULF experiments. Both MI6 and GCHQ were under pressure from the Foreign Office to provide intelligence about French intentions with regard to the pending British application to the European Economic Community. Moreover, GCHQ had studied the French system in London. They used two ciphers — a low-grade one which sent traffic along a telex line to the Quai d’Orsay, and a high-grade cipher for Ambassadorial communications which was generated independently of the cipher machine for additional security. Hugh Alexander’s view was that the high-grade cipher was unbreakable, but that the low-grade one might be vulnerable to the type of attack I had outlined. Cooper gave his approval, and Operation STOCKADE began.

The first task in this joint MI5/GCHQ operation was to make a detailed technical reconnaissance of the layout of the French Embassy and, in particular, locate the area of the cipher room. I arranged to have the rating drawings sent over from the local council, and contacted the Post Office Research Unit. John Taylor had retired by this time, and had been replaced by H.T. Mitchell. Mitchell was paralyzed down one side as a result of a stroke, but although his speech was poor, his mind remained crystal clear. Mitchell gave me full diagrams of all telex and telephone cables going into and out of the Embassy, and by comparing these with the rating drawings we were able to establish the likely location of the cipher room.

We asked the Post Office to fault the telephones, and went in to make a visual inspection of the cipher room area. Unlike the Egyptians, the French security staff watched our every move, but we got the information we required. There was no telephone in the cipher room. It was tucked away down a corridor. The cipher and telex machines were in adjoining rooms, separated only by a plasterboard partition.

Using the Post Office charts, we traced the output cables back to the street, and into the footway box at the end of Albert Gate entrance to Hyde Park. I arranged with Mitchell to place a reasonably broad band radio frequency tap on the cable inside the footway box, and the captured signal was relayed into a special operations room we had taken in the Hyde Park Hotel. The hotel telephone system was faulted to give us cover while the cables were laid up through the hotel to the fourth-floor room we had commandeered. Special blocking condensers were placed on the circuit to ensure it was one-directional, and nothing could leak back into the Embassy to give away the operation. GCHQ routinely intercept radio and telex traffic coming in and out of every London embassy, from their premises in Palmer Street. We arranged for a line containing the French Embassy traffic to be fed from Palmer Street to our operations room in the Hyde Park Hotel. Using that line as a guide, we could check whether the signal we were getting on our radio frequency tap was the correct one.

The first morning we found the low-grade cipher and matched it with the Palmer Street traffic. The tap was connected to our own teleprinter, and the intercepted French cipher began to clatter out in front of us. It was clear straightaway that more than one signal was traveling down the cable we were tapping. It was just a matter of sitting down with a pencil and marking off the EN CLAIR text from the coded message, and the cipher could be read straight off.

I began to pick out a translation, and found traces of another signal on the teleprinter. I checked on the sonargram to make sure I was not mistaken, and called over the GCHQ technicians. The steady peaks and troughs of the signal blipped across the screen silently. The line from the low-grade cipher was strong, and its ghost was easily identifiable. But at each pinnacle there was a murmur as another signal crossed.

“Good God,” the GCHQ man murmured, “that’s the high-grade cipher as well’. We must be picking it up through the partition wall.”

I hastily contacted Palmer Street and got them to relay the high grade cipher down the line so that we could compare the signals. The GCHQ technicians reset the amplifiers so that the traffic was sufficiently strong to print out, and using the Palmer Street feed as a guide, I marked off the EN CLAIR text. Within ten minutes I had a rough translation of a cable from the French Ambassador in London to President De Gaulle’s private office.

For nearly three years, between 1960 and 1963, MI5 and GCHQ read the French high grade cipher coming in and out of the French Embassy in London. Every move made by the French during our abortive attempt to enter the Common Market was monitored. The intelligence was avidly devoured by the Foreign Office, and verbatim copies of De Gaulle’s cables were regularly passed to the Foreign Secretary in his red box.

In fact, STOCKADE was a graphic illustration of the limitations of intelligence. De Gaulle was determined to thwart our application, and no amount of high-grade intelligence could change that fact. We did pass on to the Americans details of French deliberation over their independent nuclear “FORCE DE FRAPPE.” It helped encourage American suspicions about De Gaulle, but the advantage we gained as a result was slight.

Nevertheless, STOCKADE was considered a major triumph inside the Foreign Office. I was sent for by the Permanent Secretary, who congratulated me on the ingenuity of the operation. “Priceless material,” he said, beaming, “simply priceless,” leaving me in no doubt that “reading the Frog’s traffic” was a worthy successor to Agincourt, the burning of Calais, and other ancient blows against the perfidious French.

EOF