Het kabinet steunt het gebruik van encryptie voor legale doeleinden, zo heeft staatssecretaris Klaas Dijkhoff van Veiligheid en Justitie op Kamvragen van D66 en de PvdA laten weten. Aanleiding voor de vragen was het mogelijk gebruik van de Logjam-aanval door de Amerikaanse geheime dienst NSA.

Via de Logjam-aanval kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden. Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen en aanpassen. De onderzoekers die het probleem ontdekten stelden dat de NSA de kwetsbaarheid mogelijk heeft gebruikt om toegang tot VPN-verbindingen te krijgen.

Volgens Dijkhoff kan er niet gezegd worden of de NSA de kwetsbaarheid ook daadwerkelijk heeft gebruikt. "Inlichtingen- en veiligheidsdiensten geven geen inzicht in de wijze waarop zij hun inlichtingen verzamelen in verband met de bescherming van bronnen, modus operandi en actueel kennisniveau. Om die reden is het niet mogelijk een oordeel te geven of de hypothese van de wetenschappers correct is."

Encryptie

Zowel D66 als de PvdA wilden weten of defensie, inlichtingendiensten, politie of andere overheidsinstanties van zero day-kwetsbaarheden of alleen van reeds bekende kwetsbaarheden gebruik maken. Volgens de vraagstellers is veilige digitale communicatie en infrastructuur essentieel voor een goed functionerende digitale economie. Het gebruik van onbekende kwetsbaarheden zou de veiligheid echter ondermijnen.

Dijkhoff stelt dat beveiligde verbindingen en encryptie waardevolle hulpmiddelen zijn voor vertrouwelijke communicatie en opslag van gegevens. "Ook overheden en bedrijven maken gebruik van beveiliging en encryptie om gegevens vertrouwelijk te houden. Het gebruik van adequate beveiliging vermindert de kans slachtoffer te worden van criminaliteit of spionage", merkt de staatssecretaris op. Hij laat verder weten dat het kabinet het gebruik van beveiliging en encryptie voor "legale doeleinden" steunt.

Kwetsbaarheden

Als het gaat om het gebruik van onbekende beveiligingslekken schrijft de staatssecretaris in zijn antwoord dat inlichtingen- en veiligheidsdiensten bij de uitvoering van hun wettelijke taken op onbekende beveiligingslekken kunnen stuiten. "Indien zij stuiten op significante kwetsbaarheden die de belangen van gebruikers op het internet kunnen schaden, dan zullen belangendragers geïnformeerd worden."

In het geval politie tegen onbekende kwetsbaarheden aanloopt die de belangen van internetgebruikers kunnen schaden, dan zal in samenwerking met het Nationaal Cyber Security Center (NCSC) worden gekeken op welke wijze en welke termijn dit naar buiten wordt gecommuniceerd. "Er kunnen echter wettelijke bepalingen of operationele redenen zijn, die openbaarmaking van kwetsbaarheden (tijdelijk) in de weg staan", voegt Dijkhoff toe.