Tientallen wetenschappers en hoogleraren van vooraanstaande Britse universiteiten die werken op het gebied van cryptografie en it-veiligheid hebben in een open brief gewaarschuwd voor het gevaar van client-side scanning en het ondermijnen van end-to-end encryptie om de chatberichten van burgers te lezen, zoals de Britse regering via een wetsvoorstel wil realiseren. "Het is onze zorg dat surveillancetechnologieën worden uitgerold in de geest van het bieden van online veiligheid. Dit wetsvoorstel ondermijnt privacygaranties, en ook de veiligheid op internet", aldus de wetenschappers (pdf).
De kritiek is gericht op de Online Safety Bill van de Britse regering die chatdiensten kan verplichten tot het controleren van de berichten die hun gebruikers verzenden. Het wetsvoorstel kwam eerder door experts en burgerrechtenbewegingen onder vuur te liggen omdat die encryptie zou ondermijnen en een bedreiging voor de vrijheid van meningsuiting zou vormen.
Vervolgens kwam de Britse regering met een aangepast wetsvoorstel. Dat zou volgens de beleidsmakers end-to-end encryptie niet verbieden. Ook op het aangepaste voorstel is inmiddels felle kritiek. Het zou namelijk nog steeds end-to-end encryptie kunnen ondermijnen en stelt nergens expliciet dat encryptie moet worden beschermd. Na eerdere kritiek van WhatsApp en Signal kwam laatst ook Apple met een waarschuwing tegen het voorstel.
De briefschrijvers stellen dat toegang tot chatberichten op twee manieren kan worden verkregen. De eerste is onderweg, als het bericht wordt verstuurd. Hiervoor zou de gebruikte encryptiemethode moeten worden gekraakt of worden voorzien van een backdoor, zodat de autoriteiten kunnen meekijken. Toegang die autoriteiten wordt geboden is echter ook voor andere partijen beschikbaar. "Alle technologische oplossingen die worden genoemd geven een derde partij toegang tot privégesprekken onder voorwaarden die door deze derde partij worden bepaald", stellen de wetenschappers.
De andere optie voor het controleren van de chatberichten van burgers is client-side scanning. Hierbij wordt de inhoud van het bericht voor het versturen geïnspecteerd. De wetenschappers vergelijken dit met het continu aftappen van burgers via een "politieagent in de broekzak". Het probleem is dat deze detectie nauwkeurig moet zijn om ongewenste content te detecteren en geen content te detecteren die niet wordt gezocht, als er al een duidelijke overeenkomst is van wat er moet worden gezocht.
De voorstellen voor client-side scanning zijn er in twee varianten. De eerste bestaat uit het detecteren van afbeeldingen die door een autoriteit worden bijgehouden. De wetenschappers stellen dat deze aanpak, waar ook het Nederlandse kabinet voorstander van is, meerdere problemen kent. Zo blijkt dat client-side scanning niet het beoogde doel haalt, namelijk het detecteren van bekend verboden materiaal. Daarnaast blijkt dat de gebruikte algoritmes zijn te gebruiken om verborgen mogelijkheden toe te voegen, zoals gezichtsherkenning van bepaalde individuen, waardoor geheime surveillance via client-side scanning mogelijk is.
De tweede optie voor de inzet van client-side scanning betreft het gebruik van AI-modellen die alle afbeeldingen op misbruik controleren. Volgens de wetenschappers zijn er echter geen betrouwbare modellen voor het detecteren van misbruikmateriaal. Daardoor lopen onschuldige burgers het risico dat hun foto's onterecht als misbruik worden aangemerkt en gevoelige afbeeldingen en berichten met derde partijen worden gedeeld.
Verschillende chatdiensten hebben aangegeven het Verenigd Koninkrijk te zullen verlaten als het wetsvoorstel wordt aangenomen, waardoor Britse burgers alleen nog van kwetsbare chatapps gebruik kunnen maken, merken de wetenschappers verder op. "Vanuit onze kant is het lastig om in te schatten hoe serieus die dreigementen zijn", liet minister Yesilgöz van Justitie en Veiligheid tijdens een overleg dat vorige week plaatsvond weten. "De verklaringen van WhatsApp en Signal zullen waarschijnlijk meer een poging tot beïnvloeding van de behandeling zijn, van het parlementaire proces voordat de Online Safety Bill wordt aangenomen, omdat dat nu echt onderwerp van gesprek is."
De in totaal 68 hoogleraren en wetenschappers sluiten hun open brief af met een waarschuwing. "Als onafhankelijke onderzoekers op het gebied van informatiebeveiliging en cryptografie ontwikkelen we technologieën die mensen op internet beschermen. In deze rol zien we de noodzaak om te benadrukken dat de veiligheid van deze essentiële technologieën door de Online Safety Bill wordt bedreigd."
Deze posting is gelocked. Reageren is niet meer mogelijk.