Welke gebruikersgegevens kan de Amerikaanse federale politie verkrijgen van aanbieders van versleutelde berichtendiensten?
Een onlangs openbaar gemaakt document van januari 2021 van het Federal Bureau of Investigation (FBI) geeft een beknopt overzicht van negen verschillende apps voor "beveiligd berichtenverkeer". Het laat zien dat de FBI met een gerechtelijk proces verschillende soorten metadata kan krijgen, en in sommige gevallen zelfs opgeslagen berichtinhoud. Wat er precies beschikbaar is, verschilt echter sterk per app. Het document van één pagina zou een nuttige leidraad moeten zijn voor privacybewuste mensen - waaronder journalisten, klokkenluiders en activisten - terwijl het ook helpt om misvattingen over de surveillancecapaciteiten van de FBI (of het gebrek daaraan) in de context van versleuteld berichtenverkeer uit de wereld te helpen. Felicitaties aan de non-profit Property of the People (POTP), geleid door "FOIA-goeroe" Ryan Shapiro en onvermoeibare advocaat Jeffrey Light, voor het verkrijgen van dit document onder de Freedom of Information Act.
Het document is gedateerd 7 januari 2021 en geeft de mogelijkheden van de FBI weer per november 2020. De apps in het overzicht zijn iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp (eigendom van Meta, ook bekend als Facebook) en Wickr (in juni overgenomen door AWS ). De meeste van deze apps - iMessage, Signal, Threema, Viber, WhatsApp en Wickr -versleutelen berichten standaard. Voor de rest gebruikt Telegram standaard end-to-end-encryptie (E2EE) in sommige contexten, maar niet in andere. E2EE is standaard ingeschakeld in nieuwere versies van LINE, maar is mogelijk niet ingeschakeld in oudere clients. En WeChat, eigendom van de Chinese gigant Tencent, ondersteunt helemaal geen end-to-end encryptie (alleen client-to-server encryptie). Dit verschil kan verklaren waarom het document naar de apps verwijst als "veilig" in plaats van "E2EE".
Welke gebruikersgegevens kan de FBI krijgen?
De grafiek laat de variatie zien in de hoeveelheid gegevens die verschillende diensten verzamelen en bewaren over gebruikers en hun communicatie - en dus ook welke gegevens ze verstrekken aan ordehandhavers met een geldig bevelschrift, dagvaarding of gerechtelijk bevel. (Denk bijvoorbeeld aan een bevelschrift waarin wordt gevraagd om "alle gegevens" die een provider in zijn bezit heeft over een gebruiker: hoe meer informatie hij over zijn gebruikers bewaart, hoe meer hij verplicht kan worden te verstrekken aan de wetshandhaving). Dit varieert van de minimale informatie die beschikbaar is van Signal en Telegram, tot de basis abonnee-informatie en andere metadata die verschillende diensten vrijgeven aan de FBI, en zelfs "beperkte" opgeslagen berichtinhoud van drie van de negen apps: LINE (dat, zoals gezegd, nog steeds niet-E2EE chats ondersteunt), iMessage en WhatsApp.
Dat laatste kan als een verrassing komen voor sommige iMessage- en WhatsApp-gebruikers, aangezien we het hier hebben over E2EE-berichten. E2EE zorgt er inderdaad voor dat berichten onderweg niet toegankelijk zijn voor wetshandhavers, maar voor cloudopslag is het een ander verhaal. Als een iMessage-gebruiker iCloud-back-ups heeft ingeschakeld, wordt een kopie van de versleutelingscode samen met de berichten opgeslagen (voor hersteldoeleinden) en wordt deze openbaar gemaakt als onderdeel van de teruggave van het bevel door Apple, waardoor de berichten kunnen worden gelezen. Van WhatsApp-berichten kan een back-up worden gemaakt in iCloud of Google Drive. Een huiszoekingsbevel voor een van deze cloudservices kan dus WhatsApp-gegevens opleveren, inclusief berichtinhoud (hoewel een huiszoekingsbevel voor WhatsApp geen berichtinhoud oplevert). (WhatsApp is onlangs begonnen met de uitrol van de optie om back-ups van berichten in de cloud te E2EE-en, waardoor de grafiek van de FBI enigszins verouderd is).
Hoewel het mogelijk is om een deel van de informatie in de tabel te achterhalen door de openbare documentatie van app-makers en de strafregisters van rechtbanken door te spitten, heeft de FBI het handig samengevat in één overzichtspagina. Het is misschien oud nieuws voor je, als je bekend bent met zowel de wet op de privacy van elektronische communicatie als de technische nuances van je versleutelde berichtenapp(s) naar keuze. Veel lezers van Just Security en journalisten die verslag doen van overheidssurveillance zijn misschien wel op de hoogte, maar het weerspiegelt waarschijnlijk niet het mentale model van de gemiddelde gebruiker van hoe een E2EE berichtendienst werkt.
De grafiek onthult ook details waar app-makers niet of nauwelijks over praten in hun openbare richtlijnen over verzoeken van wetshandhavers. Met een bevelschrift zal WhatsApp onthullen welke WhatsApp-gebruikers de beoogde gebruiker in hun adresboek hebben, iets wat niet wordt vermeld op de pagina met informatie over wetshandhaving van WhatsApp. En Apple geeft 25 dagen aan iMessage-opzoekingen van en naar het nummer van het doelwit, ongeacht of er een gesprek heeft plaatsgevonden. Dit wordt beschreven in de richtlijnen voor wetshandhaving van Apple, maar het is even graven om het te begrijpen omdat noch de FBI noch Apple in gewoon Engels uitlegt wat dit betekent. In elk geval geeft het bedrijf een lijst vrij van andere gebruikers die toevallig de contactgegevens van de doelgebruiker hebben, of het doelwit nu wel of niet met hen heeft gecommuniceerd. (Als andere berichtendiensten de gewoonte hebben om vergelijkbare informatie openbaar te maken, dan wordt dit niet weergegeven in de grafiek). Deze details onderstrepen de brede reikwijdte van de Amerikaanse wet op elektronisch toezicht, waarmee onderzoekers alle "gegevens of andere informatie met betrekking tot een [doel]abonnee" kunnen opeisen als reactie op een 2703(d) bevel of huiszoekingsbevel. Hoewel Apple en Meta beide hebben gestreden voor de privacy van gebruikers tegen overheidsvorderingen, maakt de wet een hoop gebruikersgegevens tot vrij spel.
Populaire misvattingen over berichtenprivacy
Kortom, het is voor de gemiddelde persoon niet eenvoudig om precies te begrijpen welke informatie van hun berichtenapps in handen kan komen van federale onderzoekers. Niet alleen hebben verschillende apps verschillende eigenschappen, maar app-makers worden ook niet echt gestimuleerd om eerlijk te zijn over dergelijke details. Zoals de grafiek van de FBI laat zien, is de markt van gratis, veilige berichtenapps een druk en competitief veld. Aanbieders willen huidige en toekomstige gebruikers de indruk geven dat hun app top is als het gaat om gebruikersveiligheid en privacy, of de gebruiker zich nu zorgen maakt over kwaadwillende hackers, overheden of de aanbieder zelf. Aanbieders hebben geleerd voorzichtig te zijn met het overdrijven van de beveiligingseigenschappen van hun service, maar ze gokken erop dat marketingteksten meer aandacht krijgen dan technische whitepapers of transparantierapporten.
In dit opzicht liggen de drijfveren van app-makers op één lijn met die van de FBI. Gezien de jarenlange campagne van de FBI tegen encryptie, is het een vreemde partner voor de aanbieders van versleutelde diensten die de FBI in openbare toespraken met naam en toenaam heeft veroordeeld. Maar zowel de dienstverleners als de FBI profiteren van een populaire misvatting die de gebruikersgegevens onderschat die beschikbaar zijn voor onderzoekers van bepaalde E2EE diensten. Dat misverstand houdt tegelijkertijd het imago van de providers in stand in de ogen van privacy-bewuste gebruikers en houdt het verhaal van de FBI in stand dat ze "op zwart gaan" in strafrechtelijke onderzoeken door encryptie.
Hoewel dit misverstand opsporingsambtenaren kan helpen, kan het aanzienlijke gevolgen hebben voor hun doelwitten. Niet alleen gewone criminelen, maar ook journalisten en hun bronnen, klokkenluiders en activisten hebben veel te winnen bij de keuze van hun communicatiedienst.
Zoals vermeld in het artikel van Rolling Stoneover de grafiek van de FBI, waren de metadata van WhatsApp essentieel voor de arrestatie en veroordeling van Natalie Edwards, een voormalige ambtenaar van het Amerikaanse ministerie van Financiën die interne documenten lekte naar een verslaggever met wie ze honderden berichten uitwisselde via WhatsApp. Edwards (en vermoedelijk ook de verslaggever, die Edwards een ethische plicht tot bronbescherming verschuldigd was) geloofde dat WhatsApp veilig was voor communicatie tussen journalisten en bronnen. Dat misverstand kostte Edwards haar vrijheid.
De realiteit achter de mythe
Dankzij de FOIA en haar ijverige volgelingen bij POTP kan het publiek nu het interne FBI-document inzien dat de werkelijkheid achter de mythe netjes samenvat. Het laat zien dat ondanks de "going dark" claims, de FBI een opmerkelijke hoeveelheid gebruikersgegevens kan verkrijgen van messaging apps die gezamenlijk enkele miljarden wereldwijde gebruikers hebben. (De mogelijkheid om de publieke beweringen van de overheid te toetsen aan haar interne verklaringen is een van de redenen waarom publieke toegang tot overheidsdocumenten, de raison d'être van POTP, zo cruciaal is). Het laat de rol zien die cloudopslag en metadata spelen in het verzachten van de impact van end-to-end encryptie op real-time communicatiebewaking. En het laat zien welke populaire E2EE berichtendiensten echt bijna niets weten over hun gebruikers.
Als gebruikers denken dat de versleutelde apps die ze gebruiken niet veel informatie over hen bijhouden, dan laat de FBI grafiek zien dat die overtuiging grotendeels onjuist is. Op enkele uitzonderingen na geven veel grote E2EE messaging diensten allerlei gegevens door aan de federale wetshandhaving, en cloud backups kunnen zelfs de openbaarmaking van opgeslagen berichten mogelijk maken die zijn verzonden op twee van de grootste E2EE messaging apps. Zelfs als weinig of niets van wat er in het document staat echt nieuws is, is het toch nuttig om het zo beknopt op één pagina te zien. Als je je zorgen maakt over de privacy van het berichtenverkeer, gebruik dan dit overzicht (samen met privacy- en beveiligingsgidsen die specifiek zijn voor jouw situatie, zoals voor journalistiek of protesten) om je te helpen beslissen welke app het beste bij je past - en deel het ook met de mensen met wie je chat. Op die manier kun je een beter geïnformeerde beslissing nemen over welke app(s) je moet houden (en welke je moet laten staan).
