De aankondiging klonk als een ware “onafhankelijkheidskreet” in de wandelgangen van Parijs: de premier beval de regering WhatsApp en Signal te verlaten ten gunste van Olvid, een messaging-app die als “inheems” werd gepresenteerd. Het doel was duidelijk: staatsgeheimen beschermen tegen buitenlandse inlichtingendiensten.
Er ontstond echter al snel een bittere ironie: het hart van Olvid — de serverinfrastructuur — klopt binnen Amazon Web Services (AWS), een Amerikaanse reus.
Voor het grote publiek lijkt dit een eenvoudige technische hostingkwestie. Maar voor architecten van soevereine cyberbeveiliging is het een politieke kwetsbaarheid van de eerste orde.
Extraterritorialiteit en Botsing van Soevereiniteiten
Door te vertrouwen op de infrastructuur van Amazon, komt Olvid automatisch in de baan van de Amerikaanse CLOUD Act.
De juridische analyse van deze zaak onthult een scenario van jurisdictionele onzekerheid dat door het simpelweg adopteren van een nationale “app” absoluut niet wordt opgelost. Het omslagpunt ligt in het concept van “controle” versus “lokalisatie”.
De CLOUD Act veranderde het juridische paradigma radicaal door te bepalen dat de fysieke locatie van de server er niet toe doet. De verplichting van de dienstverlener (hier AWS) om mee te werken komt uitsluitend voort uit zijn jurisdictionele band met de VS.
Juridisch gezien creëert dit een frontaal conflict met de AVG (GDPR). Het Hof van Justitie van de EU heeft al vastgesteld dat Amerikaanse toezichtswetten geen beschermingsniveau bieden dat gelijkwaardig is aan dat van Europa.
Digitale soevereiniteit is geen eigenschap van software, maar een eigenschap van de integriteit van de bewakingsketen.
Het Spook van FISA en de Valse Belofte van Encryptie
Erger nog, deze afhankelijkheid van Amerikaanse infrastructuur plaatst deze data onder de schaduw van de Foreign Intelligence Surveillance Act (FISA).
Geconfronteerd met deze dreigingen, beweert Olvid dat de end-to-end-encryptie een voldoende schild vormt. Vanuit het perspectief van privacy-engineering is deze verdediging gevaarlijk partieel.
Zelfs als de inhoud van een bericht versleuteld is, stelt de gecentraliseerde infrastructuur van AWS metadata bloot. Weten wie met wie praat, wanneer, hoe vaak en vanwaar, is vaak veel waardevoller voor inlichtingendiensten dan de inhoud van het bericht zelf.
Encryptie beschermt de tekst, maar de gecentraliseerde server verraadt het netwerk van contacten.
Het Echte Gevaar Moet Nog Komen
Zolang de Europese infrastructuur afhankelijk blijft van entiteiten die onderworpen zijn aan extraterritoriale statuten, zal de juridische veiligheid van onze communicatie puur tijdelijk en illusoir blijven.
Nationale veiligheid in de 21e eeuw vereist totale onafhankelijkheid van infrastructuur en hardware. De strategie “Verzamel nu, ontsleutel later” is de meest verwoestende dreiging van het komende decennium.
Een staatsgeheim dat vandaag wordt onderschept, is niets anders dan een wiskundige tijdbom.
(Lees de rest van onze analyse in Deel 2: De Tijdbom en de Zero-Knowledge Imperatief)