4.4 Het voorontwerp bezien vanuit technologisch perspectief
Aan accountantsbureau Moret Ernst & Young werd een gelijkluidende opdracht verstrekt als aan professor In 't Veld, maar nu met de nadruk op de technologische aspecten.
De conclusies van Moret Ernst & Young zijn verschenen op 1 maart 1994, onder de titel Eindrapport Ontwerpregeling Encryptie, van de hand van drs. A. van den Berg en Prof. Ir. E.F. Michiels.28
De auteurs zeggen in hun inleiding dat de nadruk is gelegd op de technologische aspecten en de handhaafbaarheid van de voorgestelde regeling. De juridische aspecten van de ontwerpregeling zijn bij het onderzoek buiten beschouwing gelaten. Ook wordt geen standpunt ingenomen met betrekking tot bijvoorbeeld ethische aspecten.
Na een overzicht van de technologische mogelijkheden en
beschikbare cryptografische hard- en software, gevolgd door een analyse
van de regelgeving in de Verenigde Staten en Frankrijk, wordt het
concept wetsvoorstel zelf onder de loep genomen. Dit onderzoek levert
vijf problemen op:
1) Vanwege de hoge beschikbaarheid van "niet toegestane"
cryptografie, zal handhaafbaarheid en controle op de uitvoering van het
wetsvoorstel praktisch onmogelijk zijn.
2) Het in stand houden van een beheersorgaan is, vanwege de grote
omvang zeer duur. Het is de vraag of de kosten tegen de baten
opwegen.
3) Aftappen van verbindingen waarbij gebruik gemaakt wordt van
tijdelijke sessie-sleutels is zinloos.
4) De kwetsbaarheid van een beheersorgaan is groot.
5) Het onmogelijk maken van niet toegestane cryptografie door het staken
van telecommunicatie tussen bepaalde aansluitpunten kan niet bij
mobiele eindstations.
ad 1) Het hier genoemde probleem wordt het hoofdprobleem genoemd en er wordt geen bevredigende oplossing of een alternatief voor gegeven. Criminelen zullen er niet van weerhouden kunnen worden om, al dan niet illegale, cryptografische voorzieningen te gaan gebruiken. Dit probleem zal met het verstrijken van de tijd alleen maar groter worden. De verspreiding en beschikbaarheid van software is nu al een onbeheersbaar probleem en er zullen altijd voldoende wegen openblijven voor criminelen om aan illegale cryptografische programma's te komen.
Voor de overige gesignaleerde problemen worden alternatieven gesuggereerd:
ad 2) Een beheersorgaan kan goedkoper opgezet worden, als gebruik gemaakt wordt van een key-escrow systeem dat vergelijkbaar is met dat van de Verenigde Staten. Het is echter weer de vraag of het ontwikkelen van een dergelijke technologie niet te hoog gegrepen is voor Nederland alleen. Op Europese schaal zou het kunnen, maar dan moeten de Europese landen een gezamenlijk standpunt innemen.
ad 3) Uiteraard kan het gebruik van deze vorm van cryptografie totaal verboden worden, maar omdat deze techniek juist vanwege zijn extra beveiliging al veel gebruikt wordt, lijkt selectief toestaan de enige uitweg. Dat heeft als consequentie dat de op deze manier versleutelde informatie niet ontcijferd kan worden door daartoe bevoegde instanties.
ad 4) Kwetsbaarheid van één beheersorgaan kan verkleind worden door verschillende beheersorganen in te richten.
ad 5) Een mogelijk oplossing is om telecommunicatie te staken voor geïdentificeerde gebruikers. Om misbruik te voorkomen, zal onder meer het verhuren van mobiele telefoons en dergelijke aan banden moeten worden gelegd.
De conclusie van dit onderzoek kan samengevat worden met de zin: "Het legale gebruik van cryptografie kan wel aan banden worden gelegd, maar voorkomen van illegaal gebruik is vrijwel onmogelijk."