Waarom een Britse backdoor de beveiliging van alle iCloud-gebruikers bedreigt
De Amerikaanse techreus Apple ligt op ramkoers met de Britse overheid over de beveiliging van iCloud. De Britse wet vereist dat onlinediensten toegang verlenen tot versleutelde gegevens, om zo terrorisme of kindermisbruik te kunnen bestrijden. Maar Apple weigert een geheim achterdeurtje in zijn software te bouwen; dat zou alle anderhalf miljard iCloud-gebruikers ter wereld kunnen schaden, stelt het bedrijf.
Apple maakte in 2023 bezwaar tegen aangescherpte Britse regels, die diensten als GCHQ en MI6 volgens de iPhonemaker „ongekende en ingrijpende surveillancemogelijkheden” zouden geven. Dat protest had echter geen effect. Begin februari berichtte The Washington Post dat Apple een dwangbevel had gekregen om Britse overheidsdiensten toegang te geven tot data die geüpload worden naar iCloud. Zulke ‘orders’ mag Apple niet publiek maken. Maar dát het bedrijf onder druk gezet wordt, is duidelijk sinds Apples ongebruikelijke reactie afgelopen vrijdag: het bedrijf schrapt de extra beveiligde versie van iCloud voor Britse gebruikers.
1
Wat zit er achter het conflict?
De Britse Investigatory Powers Act (IPA) geeft opsporingsdiensten in het Verenigd Koninkrijk verregaande bevoegdheden om de beveiliging van versleutelde diensten te omzeilen.
De inlichtingendiensten willen techbedrijven dwingen om een ‘achterdeurtje’ of backdoor in hun software te bouwen. Een andere maatregel: als techbedrijven nieuwe lekken of onvolkomenheden in hun software ontdekken en die proberen te dichten, dan moeten ze daar eerst de Britse overheid van op de hoogte stellen. Die zou zulke ‘gaten’ kunnen gebruiken om stiekem mee te kijken. Het bezwaar is dat dit soort achterdeurtjes in de regel uitlekken en zo in handen van kwaadwillenden belanden. Het afbreken van versleuteling verzwakt de beveiliging voor alle gebruikers wereldwijd en ondermijnt het algemene vertrouwen in digitale infrastructuur. Vandaar dat Apple weigert tegemoet te komen aan de Britse oekaze.
2
Waarom is Apple het mikpunt?
In tegenstelling tot de online opslagdiensten van Google en Microsoft biedt Apples dienst iCloud de mogelijkheid om bestanden te beveiligen met end-to end-encryptie. Dat is een wijze van versleuteling waarbij de beheerder – Apple in dit geval – zelf geen sleutel heeft; alleen de gebruiker kan bij zijn of haar eigen bestanden.
Apple heeft geen sleutel tot de bestanden, alleen de gebruiker kan erbij
Apple biedt deze optie sinds 2023 aan onder de noemer ‘Advanced Data Protection’ (ADP). Als opsporingsdiensten willen meekijken bij gebruikers met ADP, moet Apple dus ‘nee’ verkopen. Diensten als WhatsApp, Signal of iMessage hebben al enkele jaren standaard end-to-end-encryptie ingebouwd. Het gebruik van deze versleutelingstechniek is sterk toegenomen na de Snowden-affaire, genoemd naar de Amerikaanse klokkenluider Edward Snowden die in 2013 aantoonde hoe Amerikaanse geheime diensten op grote schaal meeluisterden en -keken bij onlinediensten.
3
Zijn nu alle Britse iCloud-data minder beveiligd?
Nee, veel Apple-diensten zijn nog voorzien van end-to-end-encryptie. Denk aan FaceTime, Apple Pay of wachtwoorden. Maar het is volgens Britse privacyvoorvechters een kwestie van tijd voordat meer diensten op de korrel worden genomen.
Voor Apple (beurswaarde 3.700 miljard dollar) is het een principekwestie: elk vermoeden van een backdoor zou het vertrouwen in het bedrijf ondermijnen.
Apple trok in 2021 voortijdig de stekker uit een detectiesysteem dat foto’s van gebruikers zou scannen voordat ze in de iCloud bewaard werden. Dat systeem was opgetuigd om kindermisbruik tegen te gaan, maar riep te veel vragen op over de privacy van de gebruikers.
4
Wat merk je hiervan in de EU?
Het VK staat niet alleen in de wens om end-to-end-encryptie kunnen omzeilen. Ook binnen de EU proberen politici en opsporingsorganisaties grip te krijgen op kindermisbruik via besloten appgroepen, zodat in ieder geval de webdiensten zelf kunnen meekijken. Daarvoor moet ook de versleuteling verbroken worden, en dat ondermijnt de veiligheid van alle gebruikers. Het Europees Parlement is kritisch op dit voorstel van de Europese Commissie. Het Europees Hof voor de Rechten van de Mens oordeelde vorig jaar, in een zaak tegen de Russische geheime dienst, dat het ontwrichten van end-to-end versleutelde berichten indruist tegen de Europese mensenrechtenstandaarden.
