Wetten ruïneren cryptografie
Herbert Blankesteijn
Een streng wetsontwerp ter bescherming van het auteursrecht ligt bij de Tweede Kamer. De consument en de wetenschap van de cryptografie betalen het gelag.
Niels Ferguson uit Amsterdam is cryptograaf: hij heeft verstand van de coderingstechnieken die nodig zijn voor het beveiligen van mail, betalingen op internet, en van auteursrechtelijk beschermde werken zoals muziek en video. Vorig jaar vond hij op internet de specificaties van HDCP (High-bandwidth Digital Content Protection ), een methode van Intel om het kopiëren van videomateriaal te voorkomen. Deze gegevens zijn openbaar; ze staan nog steeds op internet. Sterk bleek de techniek niet. Zoals Ferguson het uitdrukt: 'Tijdens het lezen vielen er al gaten in.'
Eenmaal uitgewerkt kwamen zijn bevindingen hierop neer: een expert met vijftig weergaveapparaten voorzien van HDCP en vier computers, kan in twee weken de 'master key' vinden. Daarmee kan iedere met HDCP beschermde film worden gedecodeerd. Gezien het geld dat te verdienen valt met illegaal gekopieerd audiovisueel materiaal, zal dat vroeg of laat gebeuren. HDCP wordt inmiddels door Intel verkocht. Tientallen grote fabrikanten van electronica hebben licenties; 'high definition' tv-toestellen van bijvoorbeeld Sony en Hitachi zijn ermee uitgerust.
Ferguson wilde zijn resultaten publiceren, maar ontdekte dat hij daarmee de Amerikaanse Digital Millennium Copyright Act (DMCA) zou overtreden. Deze wet stelt het doorbreken van commerciële kopieerbeveiligingen strafbaar. Het openbaar maken van een gebrek in een kopieerbeveiliging valt daar ook onder, zelfs als dat buiten de VS wordt gedaan. Door het publiceren van zijn artikel zou Ferguson het risico lopen in de Verenigde Staten te worden gearresteerd zodra hij het land binnenkwam. Omdat hij vaak in Amerika moet zijn, koos hij eieren voor zijn geld en publiceerde niet.
Niet dat Intel hem heeft gedreigd met de rechter. Integendeel, Intel heeft publiekelijk verzekerd dat Ferguson niets te duchten heeft. Maar iedere belanghebbende, bijvoorbeeld een maker van videoapparatuur waarin HDCP is verwerkt, zou aangifte kunnen doen tegen Ferguson of een civiele zaak beginnen.
Het feit dat de DMCA zichzelf van toepassing maakt buiten het territorium van de VS, is volkenrechtelijk nogal vreemd. 'Je moet nu bij wat je thuis doet rekening houden met de wetten van alle landen waarheen je ooit zou willen reizen. Terwijl je die wetten vaak niet eens kunt lezen,' aldus Ferguson. Het steekt hem dat de wet hem dwingt zichzelf te censureren. In Amerika woedt nog altijd discussie over de vraag of de DMCA in strijd is met vrijheid van meningsuiting en dus met de grondwet. Volgens Ferguson staat vast dat de wet slecht is voor de bedrijfstak die ze probeert te beschermen. 'De DMCA beschermt een fabrikant door het illegaal te maken om aan te tonen dat zijn product niet werkt,' betoogt Ferguson. 'Volgens deze logica zouden we het testen van fietssloten moeten verbieden omdat die informatie door fietsendieven gebruikt kan worden. Zo blijven de kopieerbeschermingen slecht, en criminelen vinden dat prachtig.'
Vervolging op grond van het kraken van een kopieerbeveiliging is in de VS niet denkbeeldig. Edward Felten, hoogleraar in Princeton, durfde een defect in een voorgestelde bescherming van muziek maandenlang niet te publiceren omdat de muziekindustrie dreigde hem voor de rechter te slepen. De Rus Dmitri Sklyarov werd zelfs gearresteerd toen hij in de VS op een conferentie zijn kraak van de beveiliging van de elektronische boeken van Adobe kwam toelichten. Dit jaar werd het het hackersblad '2600' door de Amerikaanse rechter verboden een link te maken op zijn website naar een pagina met informatie over gebreken in een andere videobeveiliging, DeCSS.
Een wet met bepalingen die zo uit de DMCA lijken weggelopen, ligt op dit moment bij de Tweede Kamer. Ook deze wet, 'Aanpassing van de Auteurswet 1912', maakt het publiceren over gebreken in kopieerbeveiligingen strafbaar. Ook cryptografen die niet naar de VS plegen te reizen, zullen dan een slot op hun mond moeten doen.
Daarnaast tast het wetsontwerp verworven rechten van consumenten aan. Het maken van een extra kopie voor eigen gebruik van beveiligde muziek, video of software wordt illegaal. Dit geldt zelfs als de looptijd van de auteursrechtelijke bescherming is verstreken, omdat de beveiliging dan nog werkzaam is. Of de beveiliging goed of slecht is, maakt geen verschil. Ook kan de consument niet meer verhaal halen als een muziek-cd het niet doet op een pc. Volgens deskundigen gaat de wet verder dan de betreffende Europese richtlijn van de lidstaten eist.
In oktober heeft een groep van 31 vooraanstaande figuren uit de Nederlandse internetwereld een open brief geschreven aan Kamerleden die zich met Justitie of met ICT bezighouden. De groep wijst onder andere op de vooraanstaande positie die Nederland heeft in het wetenschappelijk onderzoek naar beveiliging en cryptografie.
Volgens Ferguson, een van de ondertekenaars, ligt het onderzoek naar kopieerbeveiligingen wereldwijd in feite al stil, door toedoen van de Amerikaanse wet. 'Het is te gevaarlijk geworden. Maar dat is nog geen reden om in Nederland een net zo slechte wet aan te nemen.'