Waarom cloudback-ups je versleutelde berichten ondermijnen

Je gebruikt een berichten-app met end-to-end encryptie. Je berichten zijn versleuteld met het Signal Protocol. Niemand behalve jij en je gesprekspartner kan ze lezen. Toch liggen diezelfde berichten mogelijk onversleuteld op de servers van Apple of Google, beschikbaar voor het bedrijf zelf en voor elke overheid met een gerechtelijk bevel. De oorzaak: cloudback-ups.

1. De back-upparadox

Cloudback-ups bestaan om een goed doel te dienen: als je je telefoon verliest, breekt of vervangt, wil je je gegevens niet kwijt zijn. Automatische back-ups naar iCloud of Google Drive zorgen ervoor dat je foto's, contacten, app-gegevens en berichtgeschiedenis veilig in de cloud zijn opgeslagen.

Het probleem ontstaat wanneer deze back-ups gegevens bevatten die end-to-end versleuteld zijn binnen een app, maar onversleuteld worden opgeslagen in de back-up. De encryptie die je berichten beschermt tijdens transport en op je apparaat, wordt volledig tenietgedaan wanneer dezelfde berichten onversleuteld in een cloudback-up terechtkomen.

Dit is niet een theoretisch risico. Het is de manier waarop opsporingsdiensten wereldwijd regelmatig toegang krijgen tot "versleutelde" berichten. Ze vragen de berichten niet op bij de berichten-app (die ze niet kan lezen). Ze vragen ze op bij Apple of Google, uit de cloudback-up.

2. Hoe cloudback-ups werken

Wanneer je een iPhone gebruikt met iCloud-back-up ingeschakeld, maakt je telefoon regelmatig een back-up van je gehele apparaat naar Apple's servers. Deze back-up bevat je foto's, app-gegevens, berichten, contacten, instellingen en meer. Op Android werkt het vergelijkbaar met Google Drive.

Standaard worden deze back-ups versleuteld tijdens transport (tussen je apparaat en de server) en versleuteld opgeslagen op de server. Maar, en dit is cruciaal, Apple en Google bezitten de encryptiesleutels. Dit wordt "server-side encryptie" genoemd, in tegenstelling tot end-to-end encryptie waarbij alleen de gebruiker de sleutel bezit.

Het verschil is fundamenteel. Bij end-to-end encryptie kan zelfs het bedrijf dat de dienst beheert je gegevens niet lezen. Bij server-side encryptie kan het bedrijf op elk moment je gegevens ontsleutelen, bijvoorbeeld in reactie op een gerechtelijk bevel.

3. Hoe back-ups encryptie omzeilen

Het mechanisme waarmee back-ups encryptie omzeilen is eenvoudig maar verontrustend. Wanneer je een versleuteld bericht ontvangt in WhatsApp, Signal of een andere berichten-app, wordt het bericht ontsleuteld op je apparaat zodat je het kunt lezen. Op dat moment bestaat het bericht in leesbare vorm in het geheugen en de lokale database van de app.

Wanneer je telefoon vervolgens een back-up maakt naar de cloud, wordt de lokale database van de app, inclusief de ontsleutelde berichten, meegenomen in de back-up. De back-up wordt versleuteld met een sleutel die Apple of Google beheert, maar niet met de end-to-end encryptiesleutels van je berichten-app.

Het resultaat: je berichten zijn end-to-end versleuteld in de berichten-app, maar leesbaar in de cloudback-up. De encryptieketen is gebroken op het punt waar het apparaat de back-up maakt.

4. iCloud: wat Apple bewaart

Apple biedt twee niveaus van iCloud-bescherming. Standaard iCloud-back-up versleutelt je gegevens, maar Apple beheert de sleutels. Apple kan je back-up ontsleutelen in reactie op gerechtelijke bevelen en doet dit regelmatig. Volgens het transparantierapport van Apple voldeed het bedrijf in de eerste helft van 2023 aan meer dan 90% van de overheidverzoeken om accountgegevens.

Sinds eind 2022 biedt Apple "Geavanceerde gegevensbescherming" (Advanced Data Protection), die end-to-end encryptie biedt voor bijna alle iCloud-gegevens, inclusief back-ups. Met deze functie ingeschakeld kan zelfs Apple je gegevens niet lezen. Maar deze functie is niet standaard ingeschakeld. De overgrote meerderheid van iPhone-gebruikers heeft standaard iCloud-back-ups die Apple kan lezen.

5. Google Drive: wat Google bewaart

Google versleutelt Android-back-ups in Google Drive, maar Google beheert de encryptiesleutels voor de meeste gegevens. Google kan back-upgegevens ontsleutelen in reactie op gerechtelijke bevelen.

Sinds Android 9 worden sommige back-upgegevens versleuteld met een sleutel die is afgeleid van het schermvergrendelingswachtwoord van de gebruiker, wat Google verhindert om deze specifieke gegevens te lezen. Maar niet alle gegevens vallen onder deze bescherming, en de implementatie varieert per apparaatfabrikant.

Bovendien back-uppen veel apps hun gegevens apart naar Google Drive. WhatsApp back-upt chatgeschiedenis naar Google Drive als een losse back-up, buiten de standaard Android-back-up om. Deze WhatsApp-back-up is standaard niet end-to-end versleuteld.

6. WhatsApp-back-ups als voorbeeld

WhatsApp illustreert het back-upprobleem perfect. Alle WhatsApp-berichten zijn end-to-end versleuteld met het Signal Protocol. Maar WhatsApp biedt de optie om chatgeschiedenis te back-uppen naar Google Drive (Android) of iCloud (iOS). Standaard is deze back-up niet end-to-end versleuteld.

Dit betekent dat je volledige WhatsApp-gespreksgeschiedenis, inclusief berichten, foto's en video's, in leesbare vorm op de servers van Google of Apple staat. Meta kan je berichten niet lezen, maar Google of Apple kan dat wel via de back-up.

WhatsApp heeft in 2021 end-to-end versleutelde back-ups geintroduceerd als optionele functie. Gebruikers moeten dit handmatig inschakelen en een wachtwoord of 64-cijferige sleutel kiezen. De meeste gebruikers weten niet dat deze optie bestaat en back-uppen hun gesprekken nog steeds onversleuteld.

7. Overheidstoegang tot cloudback-ups

Opsporingsdiensten zijn zich terdege bewust van de mogelijkheden die cloudback-ups bieden. Wanneer end-to-end versleutelde berichten niet rechtstreeks bij de berichten-app kunnen worden gevorderd, wenden opsporingsdiensten zich tot Apple of Google om de cloudback-up op te vragen.

In de Verenigde Staten is een rechterlijk bevel of een bevel onder de Stored Communications Act voldoende om cloudback-ups op te vragen. Apple en Google voldoen routinematig aan deze verzoeken. In de EU gelden vergelijkbare juridische mechanismen.

FBI-documenten die in 2021 openbaar werden, bevestigden dat cloudback-ups een van de belangrijkste methoden zijn voor opsporingsdiensten om toegang te krijgen tot versleutelde WhatsApp-berichten. De documenten beschreven in detail hoe de FBI iCloud-back-ups van WhatsApp kon opvragen bij Apple.

8. Hoe je jezelf kunt beschermen

Er zijn verschillende manieren om het cloudback-uprisico te beperken:

• Schakel versleutelde back-ups in: Op iOS: activeer Geavanceerde gegevensbescherming in iCloud-instellingen. Op WhatsApp: schakel end-to-end versleutelde back-ups in via Instellingen, Chats, Back-up, End-to-end versleutelde back-up.
• Schakel cloudback-ups uit voor gevoelige apps: Je kunt per app bepalen of deze wordt meegenomen in de back-up. Schakel de back-up uit voor berichten-apps als je de risico's wilt minimaliseren.
• Gebruik een berichten-app zonder cloudback-ups: Signal biedt geen cloudback-upfunctie. Hashe evenmin. Dit is door ontwerp: er is niets om te lekken.
• Gebruik lokale, versleutelde back-ups: Maak lokale back-ups op je computer met versleuteling ingeschakeld, in plaats van te vertrouwen op cloudback-ups.

9. Conclusie

Cloudback-ups zijn een van de meest over het hoofd geziene privacyrisico's in versleutelde communicatie. Ze ondermijnen stilletjes de end-to-end encryptie waar je op vertrouwt, door ontsleutelde berichten op te slaan op servers die beheerd worden door grote techbedrijven en toegankelijk zijn voor overheden.

De veiligste aanpak is een berichten-app die geen cloudback-ups aanbiedt en berichten na aflevering van de server verwijdert. Wanneer er niets is om te back-uppen, is er niets om te lekken. Dat is het verschil tussen encryptie als functie en encryptie als architectuur: een werkelijk privacyvriendelijk systeem laat geen achterdeurtjes open, ook niet via de achterdeur van cloudback-ups.