Waarom Apple de iPhone van terrorist Farook niét moet ontgrendelen

Kan God een steen maken die zo zwaar is dat hij hem zelf niet op kan tillen? Deze zogenaamde semantische paradox kent veel mogelijke antwoorden, en komt simpelweg neer op de vraag: geeft almacht ook de mogelijkheid tot onmacht, of is dat een inherente tegenstrijdigheid? Het conflict tussen Apple en de FBI over de beveiliging van de iPhone van San Bernardino-schutter Syed Rizwan Farook heeft veel weg van deze paradox.

Mag Apple een iPhone-beveiliging bouwen die Apple zelf niet kan breken? De FBI eist dat de Amerikaanse technologiegigant de opsporingsinstanties toegang geeft tot de iPhone. Apple stelt dat niet te kunnen, maar krijgt ongelijk van de rechter: kan Apple de beveiliging niet ontsleutelen, dan moet Apple simpelweg een manier verzinnen waarop dit wel mogelijk is. Met nieuwe software, bijvoorbeeld.

De techgigant meent de privacy te dienen door machtig te zijn in onmacht, terwijl de overheid juist eist dat Apple al zijn mogelijkheden aanwendt om die onmacht op te heffen. Nog niet eerder werd de krachtmeting tussen de waarden privacy en veiligheid gereduceerd tot de pincode van een smartphone.

Veiligheid
Laten we eens polsen hoe het met de waardering van privacy en veiligheid in de publieke opinie gesteld is. De uitslag lijkt, op het eerste gezicht, helder. 51 procent van de Amerikanen wil dat Apple de iPhone kraakt, zo geeft een onderzoek van Pew Research Center aan. 38 procent is tegen.

Toch geven de getallen mogelijk een vertekend beeld. Het voordeel van het breken van de beveiliging is duidelijk: dat levert direct een concreet resultaat op, namelijk een kans te achterhalen wat de motieven (en wie de kennissen) zijn van een zelfmoordterrorist. Mogelijke negatieve effecten blijven abstract. Een stem ‘voor’ (het ontgrendelen)) kan ook rekenen op een veel sterker emotioneel argument. Er valt iets voor te zeggen dat nabestaanden het recht hebben te weten hoe en waarom hun dierbaren zijn gestorven. Is hun gemoedsrust ondergeschikt aan een veilige iPhone?

Weigeren
Wettelijk gezien is de iPhone 5c van de terrorist Siyed Farook, inclusief alle data op het toestel, eigendom van de Amerikaanse overheid via de zogenaamde All Writs Act uit 1789. De iPhone beschikt over de beveiliging van besturingssysteem iOS 8, beschermd tegen zogenaamde brute force attacks, waarbij een computer automatisch een gigantisch aantal paswoorden invoert in korte tijd. Op Farooks smartphone resulteert zo’n poging – door bijvoorbeeld de FBI – in het permanent wissen van alle data op het toestel.

Hoewel Apple aangeeft deze beveiliging niet te kunnen breken of omzeilen, geeft het bedrijf ruiterlijk toe eventueel wél in staat is een geheel nieuw Operating System te bouwen, dat brute force attacks mogelijk zou maken. Apple is momenteel dus onmachtig, maar zou die onmacht met een flinke inspanning weer kunnen opheffen.

Waarom weigert Apple dan toch?

Deze week verscheen een kritisch stuk op het Amerikaanse The Daily Beast, waarin wordt gesteld dat de koppige houding van Apple vooral zou zijn vanuit imago-overwegingen. Apple zou al minstens 70 keer eerder een iPhone hebben gekraakt voor de overheid en zet pas nu, vanwege de media-aandacht, de hakken in het zand.

Nu heeft geen enkel bedrijf graag de reputatie zijn eigen klanten te verlinken, hun privacy te grabbel te gooien of op welke manier dan ook partij tegen hen te kiezen. Voor tech-bedrijven is dat niet anders; zie bijvoorbeeld de weigering van Nederlandse internetproviders om IP-adressen van piraten te verstrekken aan Stichting Brein. Meer in het algemeen: als een commerciële onderneming opzettelijk de eigen klanten benadeelt, dan is het ten gunste van de aandeelhouders of het management, maar niet ten gunste van de overheid. Niets nieuws onder de zon, dus.

Backdoor
De 70 ‘gekraakte’ iPhones waar de auteur van het Daily Beast-artikel naar verwijst verschillen op een cruciaal aspect van Farooks iPhone 5c. In eerdere zaken was Apple al in staat data aan de toestellen te onttrekken, zonder wijzigingen aan te brengen in de encryptie. Het huidige verzoek vraagt om de ontwikkeling van een zwakte in de beveiliging, een zogenaamde ‘back door’. Het gaat hier dus niet om een ‘slot’ dat geopend (en later wellicht vervangen) kan worden, of een ‘opening’ die weer kan worden gedicht. Is de zwakte in de beveiliging eenmaal gecreëerd, dan kan die in principe door iedereen en op elk moment worden geëxploiteerd.

Zelfs Bill Gates leek zich op dit punt te vergissen en stelde twee dagen geleden: “Dit is een specifiek geval waarin de overheid om informatie vraagt.” Gisteren leek hij al op dat standpunt terug te komen. Inmiddels houdt Gates het enigszins lafjes op een ‘balans’ tussen beveiliging en overheidsbevoegdheden, waarbij hij nog wel even noemt dat de overheid er een handje van heeft ‘informatie te gebruiken op onverwachte manieren, dat gaat helemaal terug tot de FBI onder J. Edgar Hoover.’

Inderdaad: we hebben verschillende keren in de geschiedenis gezien dat de (Amerikaanse) overheid, als het op privacy aankomt, geen onderscheid maakt tussen ‘iets kunnen’ en ‘iets mogen’.

Zeer relevant is daarom ook de juridische precedentswerking. Wat voor het creëren van de technologische mogelijkheid geldt, geldt ook voor de juridische: there’s no such thing as ‘just this one time’. Als Apple gehoor geeft aan de uitspraak van de rechtbank, dan wordt niet alleen een technologische, maar ook een juridische ‘loper’ gecreëerd waarmee toegang kan worden verkregen tot onze data. Daarom is het een goede zaak dat Apple het congres wil laten beslissen. Wil het Amerikaanse volk de overheid zo veel macht geven? Vooralsnog lijkt het daar wel op. Mijn punt is: die keuze is aan hen – en niet aan de rechter.