Zal Apple in het Verenigd Koninkrijk achterdeurtjes creëren, waardoor overheidsinstanties toegang krijgen tot persoonlijke gegevens?

Apple: Britse tech-experts moeten adviseren over ‘verwoestende’ crypto-greep van het VK

Een tot nu toe onbekende Britse organisatie – die zelfs door de overheid misschien vergeten is – staat op het punt betrokken te raken bij een wereldwijde technische en financiële strijd, met dreigingen van Apple om zich uit het VK terug te trekken.

Deze maand wordt een obscuur Brits overheidscomité gevraagd om de Binnenlandse Zaken-minister Yvette Cooper te adviseren over de vraag of de regering moet doorgaan met haar eisen aan Apple om Britse agenten toegang te geven tot een geheim achterdeurtje in het iCloud Advanced Data Protection-systeem. Dit zou Britse spionnen in staat stellen om heimelijk gebruikersgegevens te kopiëren en te lezen.

Het overheidscomité, de Technical Advisory Board (TAB), is belast met het beoordelen van geheime juridische bevelen die aan internetcommunicatiebedrijven zijn gegeven om toezicht te houden op hun gebruikers, e-mails en bestanden te kopiëren, of om hun gesprekken en video’s te monitoren.

Uit onderzoeken door Computer Weekly deze week blijkt verbazingwekkend dat het Ministerie van Binnenlandse Zaken er niet in is geslaagd de contracten voor TAB-leden te verlengen. Volgens een lek naar de Washington Post heeft het Ministerie van Binnenlandse Zaken in januari een “Technical Capability Notice” aan Apple uitgevaardigd, waarin het bedrijf werd opgedragen om “elektronische bescherming te verwijderen” om “toegang te verlenen tot gegevens die anders door encryptie onbereikbaar zijn.” Apple heeft 28 dagen de tijd om de minister te verzoeken het bevel te heroverwegen.

Overheidsplannen ‘verwoestend’ voor innovatie in het VK

Na het indienen van een herzieningsverzoek is Cooper wettelijk verplicht om de adviesraad te vragen om de “financiële gevolgen” voor Apple te overwegen als het bedrijf aan de eisen voldoet. “Het verplichten van Apple om de integriteit en beveiliging van hun veiligste wereldwijde datastorage-systeem te vernietigen, zou verwoestend zijn voor de reputatie van het VK als centrum voor veilige digitale innovatie,” aldus EU- en beveiligingsconsultant professor Ian Brown. “Het zou ook ongelooflijk naïef en gevaarlijk zijn, gezien de recente onthullingen over China die soortgelijke achterdeuren in het Amerikaanse telecommunicatiesysteem gebruiken om ongehinderd door Amerikaanse gesprekken en telefoongegevens te navigeren.”

De Technical Advisory Board van het VK zou wettelijk de “belangen van personen die verplichtingen opgelegd kunnen krijgen” moeten vertegenwoordigen. Maar Apple is nooit vertegenwoordigd geweest in de TAB, net als Google, Meta of andere Amerikaanse en Europese bedrijven die vergelijkbare mogelijkheden bieden en die met soortgelijke geheime bevelen bedreigd kunnen worden. Apple heeft in een verklaring uit 2024 verklaard dat het bedrijf “nooit een achterdeurtje zou bouwen.” Als het onder juridische druk komt te staan, waarschuwde het bedrijf dat het “cruciale beveiligingsfuncties publiekelijk uit de Britse markt zou terugtrekken, waardoor Britse gebruikers deze bescherming zouden verliezen.” Deze verklaring van Apple werd gepubliceerd als tegenreactie op meerdere wijzigingen van de Investigatory Power Act (IPA) uit 2016 die toen in het Britse parlement werden overwogen.

Specialisten in industrie-regulering verwachten dat als het Ministerie van Binnenlandse Zaken volhardt, Apple zich uit het VK zou moeten terugtrekken. De gevolgen voor de “groei”-plannen van de Britse regering zouden enorm kunnen zijn.

Ministerie kan wereldwijde regulator voor encryptie worden

In een eerdere uitdaging aan het parlement verklaarde Apple dat de wetten die het VK wilde “effectief het Ministerie van Binnenlandse Zaken de wereldwijde regulator voor elk technologiebedrijf zouden maken met een enkele dochteronderneming (ongeacht of deze zich in het Verenigd Koninkrijk bevindt) die telecommunicatiediensten in het VK aanbiedt.” “Er is geen reden waarom het VK de autoriteit zou moeten hebben om voor burgers van de wereld te beslissen of zij gebruik kunnen maken van de bewezen beveiligingsvoordelen die voortvloeien uit end-to-end encryptie.”

De memo vroeg zich af of de Britse regering enige daadwerkelijke macht had om Amerikaanse bedrijven te controleren en merkte op dat “de IPA pretendeert extraterritoriaal van toepassing te zijn, waardoor het Ministerie van Binnenlandse Zaken kan beweren dat het geheime eisen kan opleggen aan aanbieders die zich in andere landen bevinden en die wereldwijd op hun gebruikers van toepassing zijn” (nadruk toegevoegd). Tot nu toe heeft Apple zich niet gehouden aan de claims van het VK dat het wettelijke rechten heeft om geheimhouding in het buitenland op te leggen.

Volgens de overheidswebsite heeft de Technical Advisory Board een “onafhankelijke” voorzitter, twee andere onafhankelijke leden, zes “industrievertegenwoordigers” en een onbekend aantal ambtenaren en medewerkers van inlichtingendiensten van organisaties zoals GCHQ en de National Crime Agency. De “onafhankelijke” voorzitter van de raad is Jonathan W Hoyle, een voormalige ambtenaar en adjunct-directeur van de GCHQ-signaalintelligentieagentschap. Tegelijkertijd met zijn herhaalde contracten als voorzitter van de TAB sinds 2015, is de heer Hoyle overgestapt van GCHQ naar de functie van Europese vice-president van Lockheed Martin, de belangrijkste leverancier van signalerings- en surveillancetechnologie aan de Britse en Amerikaanse regeringen.

Een tweede “onafhankelijke” TAB-lid, de heer Alan Burnett, is al die tijd Product Manager bij Roke Manor Research Ltd, een andere belangrijke Britse leverancier van signalerings- en surveillancetechnologie aan GCHQ. In 2011 pochte de heer Burnett samen met Roke Manor dat zij de eersten waren die “Aquila - de meest geavanceerde wettelijke afluister- en cyberonderzoeker” bouwden die werkte op 100 GHz en GCHQ en andere inlichtingendiensten in staat stelde “100 procent van de inhoud 100 procent van de tijd te inspecteren.”

Zes “industrievertegenwoordigers” worden ook vermeld, maar niemand van hen lijkt de training of ervaring te hebben die hen zou helpen de Binnenlandse Zaken-minister te adviseren over “financiële gevolgen”.

Contracten TAB-leden verlopen

Onderzoeken door Computer Weekly hebben onthuld dat het Ministerie van Binnenlandse Zaken niet nauwlettend heeft toegezien op de ondersteuning of het beheer van het lidmaatschap van de Raad. Volgens een persbericht van de overheid uit 2022 is het contract voor de voorzitter in augustus verlopen en zijn de contracten van alle TAB-leden, op twee na, vorige maand verlopen. Toen werd gevraagd of de contracten recentelijk door de Binnenlandse Zaken-minister waren verlengd, beweerde een persvoorlichter aanvankelijk dat TAB “een niet-departementaal overheidscomité” was. Ze verwees vervolgens onze vraag door naar een e-mailadres van het Ministerie van Binnenlandse Zaken voor de Raad, dat op de overheidswebsite staat vermeld.

De positie van het Ministerie van Binnenlandse Zaken veranderde echter nadat twee leden van TAB Computer Weekly vertelden dat zij zich niet bewust waren van het feit dat hun contracten waren verlopen. TAB-lid Neil Brown van Decoded Legal belde het Ministerie van Binnenlandse Zaken en kreeg te horen dat zijn contract “voor een verdere termijn zou worden verlengd.” “Ik ben u dankbaar dat u dat heeft aangegeven,” voegde hij eraan toe. De heer Brown zei verder dat hij niet in staat was om commentaar te geven op de vraag of TAB het concept van de Technical Capability Notice aan Apple had gezien, noch of het Ministerie van Binnenlandse Zaken TAB officieel had gevraagd om een herziening uit te voeren.

Een Britse achterdeur die aan Apple-gebruikers wordt opgelegd, zou de complexe beveiligingssystemen van Apple moeten ondermijnen en overwinnen. Deze systemen zijn in december 2022 geüpgraded, zoals het beveiligingshandboek van het bedrijf uitlegt. “Wanneer de gebruiker Advanced Data Protection inschakelt, initieert hun vertrouwde apparaat … de verwijdering van … service-sleutels uit de Apple-datacenters… Deze verwijdering is onmiddellijk, permanent en onherroepelijk. Nadat de sleutels zijn verwijderd, kan Apple geen toegang meer krijgen tot gegevens die worden beschermd door de service-sleutels van de gebruiker …” De gebruikersgegevens zijn dan “beschermd met de nieuwe sleutel, die uitsluitend door de vertrouwde apparaten van de gebruiker wordt beheerd en [is] nooit beschikbaar voor Apple.”

Om te functioneren, zal de Britse Technical Capability Notice moeten uitleggen hoe Apple een manier zou kunnen creëren voor het VK om op verzoek de sleutels van geselecteerde Apple-apparaten van doelgebruikers te stelen. De methoden die normaal worden gebruikt, vallen aan op zogenaamde “eindpunten” (individuele of meerdere apparaten) in plaats van de versleuteling zelf te verzwakken, zoals soms wordt verondersteld. Als Amerikaanse wetgevers nu eisen dat Apple de specifieke eisen onthult die het VK aan het bedrijf wil stellen, zal het mogelijk zijn voor Amerikaanse technische experts om te beoordelen of er iets aan de hand is.