1 > Retouradres Postbus 20011 2500 EA Den Haag Directie Cyber Security
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG
Turfmarkt 147 2511 DP Den Haag Postbus 20011 2500 EA Den Haag www.nctv.nl
Ons kenmerk 659369 Bij beantwoording de datum en ons kenmerk vermelden. Wilt u slechts één zaak in uw brief behandelen.
Datum
2 juli 2015
Onderwerp Antwoorden Kamer Kamervragen over het bericht dat kwetsbaarheden in encryptiesoftware door Amerikaanse inlichtingendiensten zijn gebruik
Hierbij bied ik u, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Defensie, de antwoorden aan op de schriftelijke Kamervragen die zijn gesteld door het lid Oosenbrug (PvdA) en de leden Verhoeven en Hachchi (beiden D66) over het gebruik van kwetsbaarheden in encryptiesoftware door Amerikaanse inlichtingendiensten (met respectievelijk kenmerk 2015Z09552 en kenmerk 2015Z10034 van 27 mei 2015).
De Staatssecretaris van Veiligheid en Justitie,
K.H.D.M. Dijkhoff
Pagina 1 van 8
Directie Cyber Security
Antwoorden op Vragen van de leden Verhoeven en Hachchi (beiden D66) aan de staatssecretaris van Veiligheid en Justitie, de ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie over het bericht dat kwetsbaarheden in encryptiesoftware door Amerikaanse inlichtingendiensten zijn gebruikt (ingezonden 2 juni 2015, nr. 2015Z10034)
Datum 2 juli 2015 Ons kenmerk 659369
Vraag: 1 Kent u het wetenschappelijk artikel over kwetsbaarheden in het DiffieHellman-sleuteluitwisselingsprotocol? 1) Antwoord: 1 Ja. Vraag: 2 Deelt u de mening van de wetenschappers dat het zeer aannemelijk is dat de National Security Agency (NSA) via deze kwetsbaarheden toegang heeft verkregen tot VPN- (Virtual Private Network), SSH- (Secure Shell) en TLS (Transport Layer Security) verkeer? Zijn er bij u signalen bekend dat ook inlichtingendiensten van andere landen of niet-statelijke actoren deze kwetsbaarheden hebben gebruikt? Antwoord: 2 Zoals ook aangegeven in de beantwoording op de vragen van het lid Oosenbrug (PvdA) wordt in het wetenschappelijk artikel, naast een uitleg van de Logjam bug, gespeculeerd over de mogelijkheden van de NSA of andere statelijke actoren om als passieve aanvaller (die het internetverkeer tussen een server en een klant uitsluitend registreert en probeert te ontcijferen) het verkeer te kraken. De onderzoekers stellen dat in veelgebruikte communicatieprotocollen (voor beveiligde internetverbindingen, voor geauthentiseerde toegang tot afgeschermde netwerken, of voor mailsystemen) een vercijfermethode gebruikt wordt die gezien de huidige stand van de techniek niet meer veilig geacht wordt, zeker niet als men bescherming tegen grote statelijke actoren nastreeft. Inlichtingen- en veiligheidsdiensten geven geen inzicht in de wijze waarop zij hun inlichtingen verzamelen in verband met de bescherming van bronnen, modus operandi en actueel kennisniveau. Om die reden is het niet mogelijk een oordeel te geven of de hypothese van de wetenschappers correct is. In zijn algemeenheid kan ik u wel aangeven dat, dit in lijn met eerdere adviezen van het NCSC, het van belang is om cryptografische producten op de juiste wijze in te stellen en te gebruiken en dat deze instellingen naar de stand der techniek dienen te worden bezien. Het NCSC heeft reeds eerder geadviseerd om van langere sleutellengtes gebruik te maken dan in het artikel worden genoemd.
Pagina 2 van 8
Directie Cyber Security
Vraag: 3 Bent u van mening dat de Nederlandse overheid toegang zou moeten hebben tot versleutelde data via bestaande kwetsbaarheden of door het (laten) inbouwen van kwetsbaarheden? Vraag: 4 Is er sprake van een eenduidig kabinetsbreed beleid ten opzichte van onbekende kwetsbaarheden, oftewel 0-days, of worden in verschillende ministeries verschillende afwegingen gemaakt? Worden alle door de overheid ontdekte, of via het Nationaal Cyber Security Centrum (NCSC) gemelde, 0-days bij de maker van de software gemeld?
Datum 2 juli 2015 Ons kenmerk 659369
Vraag: 5 Maken defensie, inlichtingendiensten, politie of andere overheidsinstanties ook gebruik van 0-days of alleen van reeds bekende kwetsbaarheden? Vraag: 6 Deelt u de mening dat vertrouwen in veilige digitale communicatie en infrastructuur essentieel is voor een goed functionerende digitale economie? Hoe verhoudt zich dat tot een overheid die actief gebruik maakt van kwetsbaarheden in software? Antwoord vraag 3 t/m 6 De ingezette acties, zoals gesteld in de Nationale Cyber Security Strategie 2, richten zich op het vinden van een balans tussen veiligheid, vrijheid en economische en maatschappelijke groei. Beveiligde verbindingen en encryptie zijn waardevolle hulpmiddelen voor vertrouwelijke communicatie en opslag van gegevens, met veel gebruiksmogelijkheden. Ook overheden en bedrijven maken gebruik van beveiliging en encryptie om gegevens vertrouwelijk te houden. Het gebruik van adequate beveiliging vermindert de kans slachtoffer te worden van criminaliteit of spionage. Het kabinet steunt het gebruik van beveiliging en encryptie voor legale doeleinden. Ter versterking van de digitale veiligheid van Nederland en het beperken van de criminaliteit stimuleert het ministerie ook het melden van kwetsbaarheden, onder meer met het beleid voor responsible disclosure. Ter beantwoording van de resterende vragen verwijs ik u, gezien de overeenkomsten met de door het lid Oostenbrug (PVDA) gestelde vragen, graag naar de in deze bijlage weergegeven antwoorden op de betreffende vragen. Zoals toegezegd door minister Kamp in het Algemeen Overleg van 10 juni 2015 inzake de Telecomraad op 12 juni 2015, Den Haag, zal door het kabinet nader worden ingegaan op de thematiek van het gebruik van encryptie. 1) https://weakdh.org/imperfect-forward-secrecy.pdf Toelichting: Deze vragen dienen ter aanvulling op eerdere vragen terzake van het lid Oosenbrug (PvdA), ingezonden 27 mei 2015 (vraagnummer 2015Z09552).
Pagina 3 van 8
Directie Cyber Security
Antwoorden op Vragen van het lid Oosenbrug (PvdA) aan de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties over het gebruik van een softwarefout door de Amerikaanse inlichtingendiensten (ingezonden 27 mei 2015, nr. 2015Z09552)
Datum 2 juli 2015 Ons kenmerk 659369
Vraag: 1 Heeft u kennisgenomen van het bericht 'Het grootste deel van veilige internetverbindingen is kapot"? 1) Bent u op de hoogte van de berichtgeving over de 'LogJam bug', die ervoor zorgt dat belangrijke versleutelingsprotocollen te omzeilen zijn? Antwoord: 1 Ja. Vraag: 2 Heeft u kennisgenomen van het wetenschappelijk artikel, waarin aannemelijk wordt gemaakt dat de National Security Agency (NSA) de kwetsbaarheden in belangrijke versleutelingsprotocollen heeft gebruikt om beveiligde communicatie af te luisteren? 2) Vraag: 3 Onderschrijft u de waarneming van de wetenschappers dat gebruik van de nu onthulde kwetsbaarheden in versleutelingsprotocollen een zeer aannemelijke verklaring biedt voor de beveiligde informatie, waarvan afgelopen jaar duidelijk is geworden dat de NSA erover beschikt? Zo nee, waarom niet? Antwoord 2 en 3 In het wetenschappelijk artikel wordt, naast een uitleg van de Logjam bug, gespeculeerd over de mogelijkheden van de NSA of andere statelijke actoren om als passieve aanvaller (die het internetverkeer tussen een server en een klant uitsluitend registreert en probeert te ontcijferen) het verkeer te kraken. De onderzoekers stellen dat in veelgebruikte communicatieprotocollen (voor beveiligde internetverbindingen, voor geauthentiseerde toegang tot afgeschermde netwerken, of voor mailsystemen) een vercijfermethode gebruikt wordt die gezien de huidige stand van de techniek niet meer veilig geacht wordt, zeker niet als men bescherming tegen grote statelijke actoren nastreeft. Inlichtingen- en veiligheidsdiensten geven geen inzicht in de wijze waarop zij hun inlichtingen verzamelen in verband met de bescherming van bronnen, modus operandi en actueel kennisniveau. Om die reden is het niet mogelijk een oordeel te geven of de hypothese van de wetenschappers correct is. In zijn algemeenheid kan ik u wel aangeven dat, dit in lijn met eerdere adviezen van het NCSC, het van belang is om cryptografische producten op de juiste wijze in te stellen en te gebruiken en dat deze instellingen naar de stand der techniek dienen te worden bezien. Het NCSC heeft reeds eerder geadviseerd om van langere sleutellengtes gebruik te maken dan in het artikel worden genoemd.
Pagina 4 van 8
Directie Cyber Security
Vraag: 4 Erkent u het belang van betrouwbare vormen van informatiebeveiliging voor een goed functionerende digitale samenleving? Hoe verhoudt zich dat tot het gebruik of zelfs het actief aanbrengen van kwetsbaarheden door overheden?
Datum 2 juli 2015 Ons kenmerk 659369
Vraag: 5 Deelt u de mening dat overheden de veiligheid van de digitale samenleving ondermijnen door kwetsbaarheden niet te melden, maar te gebruiken om zich toegang tot informatie en systemen te verschaffen? Zo nee, waarom niet? Zo ja, hoe verhoudt dit gedrag zich tot internationale afspraken om de veiligheid van de digitale samenleving te vergroten? Vraag: 6 Maken de Nederlandse inlichtingendiensten en de politie ook gebruik van onbekende kwetsbaarheden? Zo ja, hoe beoordeelt u de ondermijning van de veiligheid die door dit gebruik veroorzaakt wordt? Antwoord 4, 5 en 6 Zoals in de tweede Nationale Cyber Security Strategie (NCSS-2) is aangegeven is cybersecurity, of informatiebeveiliging als onderdeel daarvan, een randvoorwaarde voor privacy en economische en maatschappelijke groei. De in de NCSS-2 ingezette acties richten zich dan ook op het vinden van een balans tussen veiligheid, vrijheid en economische en maatschappelijke groei. Zoals eerder in de Eerste Kamer, naar aanleiding van de motie van het lid De Vries (PvdA) (Kamerstuk CVIII nr. N), aangegeven, hecht het kabinet aan het delen van informatie met belangendragers om de impact van kwetsbaarheden te vermijden. Ik steun het gebruik van beveiliging voor legale doeleinden. Daar waar de overheid in de persoonlijke levenssfeer van burgers treedt, dient dit altijd van een wettelijke basis en solide waarborgen voorzien te zijn. Ter versterking van de digitale veiligheid van Nederland en het beperken van de criminaliteit stimuleer ik ook het melden van kwetsbaarheden, onder meer met het beleid voor responsible disclosure. Ook internationaal hecht het kabinet hier sterk waarde aan en zal het belang van responsible disclosure dan ook blijven uitdragen. Zoals eerder is aangegeven in de beantwoording op de vragen van het lid Gesthuizen (SP) over het gebruik van omstreden spionagesoftware door de politie (kenmerk 566118), brengt het verstrekken van informatie over welke specifieke software de opsporingsdiensten beschikken, testen en gebruiken grote risico’s met zich mee voor de inzetbaarheid van die middelen. De verwerving van dergelijke middelen vindt bij de politie onder geheimhouding plaats. Zoals reeds aangegeven, is het gebruikelijk dat inlichtingen- en veiligheidsdiensten geen inzicht geven in de wijze waarop zij inlichtingen verzamelen in verband met de bescherming van bronnen, modus operandi en het actueel kennisniveau. Ik kan hier derhalve geen nadere informatie over verstrekken.
Pagina 5 van 8
Bij de uitvoering van hun wettelijke taken kunnen de inlichtingen- en veiligheidsdiensten stuiten op onbekende kwetsbaarheden op het internet. Indien zij stuiten op significante kwetsbaarheden die de belangen van gebruikers op het internet kunnen schaden, dan zullen belangendragers geïnformeerd worden.
Directie Cyber Security
Indien de politie bij de uitoefening van haar taken op kwetsbaarheden stuit, waarvan bekend is dat het nog niet eerder onderkende kwetsbaarheden betreft en die de belangen van gebruikers op het internet kunnen schaden, dan zal in samenwerking met het NCSC worden bezien op welke wijze en welke termijn de informatieverstrekking plaatsvindt.
Ons kenmerk 659369
Datum 2 juli 2015
Er kunnen echter wettelijke bepalingen (de wettelijke plicht tot het beschermen van bronnen of actueel kennisniveau) of operationele redenen zijn, die openbaarmaking van kwetsbaarheden (tijdelijk) in de weg staan. Geconstateerde kwetsbaarheden hoeven overigens niet noodzakelijkerwijs betrekking te hebben op alle gebruikers van het internet, maar kunnen ook specifieke doelgroepen betreffen. Belangendragers zijn dan ook niet per definitie alle gebruikers van internet, dit verschilt per casus. Daarbij wordt het belang van informatieverstrekking afgewogen tegen het belang van geheimhouding en bronbescherming. De diensten werken nauw samen met het Nationaal Cyber Security Centrum (NCSC) en dragen zo vanuit hun expertise bij aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein. Vraag: 7 Op welke wijze gaat de Nederlandse overheid om met al dan niet bewust aangebrachte kwetsbaarheden in software en hardware? Ondersteunt u de actieve opsporing van dergelijke kwetsbaarheden? Wordt er in aanbestedingen rekening gehouden met de mogelijke aanwezigheid van kwetsbaarheden? Worden kwetsbaarheden, die ontdekt worden, altijd gemeld zodat andere gebruikers zich hiertegen kunnen beveiligen? Antwoord: 7 De Nederlandse overheid is er zich van bewust dat hard- en software kwetsbaarheden kan bevatten. Vanuit het NCSC worden, conform haar reguliere rol, partners en achterban van Rijk en vitale sectoren op dagelijkse basis geadviseerd over kwetsbaarheden in hard- en software en de wijze waarop deze kunnen worden verholpen, bijvoorbeeld door uitvoeren van updates. In Nederland, wordt middels de ontstane praktijk van responsible disclosure, ofwel het op verantwoorde wijze openbaar maken van kwetsbaarheden actief door overheid, bedrijfsleven en beveiligingsonderzoekers en ethische hackers samengewerkt aan het opsporen en verhelpen van kwetsbaarheden. Bij inkooptrajecten wordt onder meer gewerkt met de beveiligingsrichtlijnen voor webapplicaties van het NCSC. Thans worden deze geactualiseerd, waarbij aandacht zal zijn voor het opnemen van het onderwerp responsible disclosure in deze beveiligingsrichtlijnen. De geactualiseerde versie zal nog dit jaar worden gepubliceerd.
Pagina 6 van 8
Zoals reeds aangegeven zullen belangendragers worden geïnformeerd over significante kwetsbaarheden die de belangen van gebruikers op het internet kunnen schaden. Er kunnen echter wettelijke bepalingen (de wettelijke plicht tot het beschermen van bronnen of actueel kennisniveau) of operationele redenen zijn, die openbaarmaking van kwetsbaarheden (tijdelijk) in de weg staan. Vraag: 8 Hoe informeert het Nationaal Cyber Security Centrum (NCSC) bedrijven en burgers bij de ontdekking van ingrijpende kwetsbaarheden als bij deze 'LogJam bug'? Welke mogelijkheden zijn er om de risico’s van deze kwetsbaarheid te minimaliseren?
Directie Cyber Security Datum 2 juli 2015 Ons kenmerk 659369
Vraag: 9 Voert het NCSC of een andere partij onderzoek uit naar de mate waarin de Nederlandse digitale infrastructuur, in het bijzonder die van de overheid, getroffen is door deze kwetsbaarheid? Zo nee, wilt u hiertoe opdracht geven? Antwoorden 8 en 9 Het NCSC heeft direct na de publicatie van het wetenschappelijke artikel d.d. 20 mei jl. over kwetsbaarheden in: VPN (Virtual Private Networks, ofwel beveiligde tunnels bv ten behoeve van thuiswerken), TLS (Transport Layer Security, bv voor de beveiliging van web en mailverkeer) en SSH (Secure Shell, bv voor het op afstand beheren van servers) conform haar reguliere rol contact gelegd met haar partners en haar achterban van Rijk en vitale sectoren en deze geïnformeerd over de in het paper genoemde kwetsbaarheid. Dit sluit aan op eerdere adviezen over kwetsbaarheden in deze protocollen. Indien het bij kwetsbaarheden noodzakelijk is om burgers van handelingsperspectief te voorzien dan wordt gebruik gemaakt van de samen met de Minister van Economische Zaken en ECP 1 ingerichte website www.veiliginternetten.nl. Uiteraard blijft het NCSC deze problematiek nauwgezet volgen en zal indien noodzakelijk gepaste actie ondernemen. Het is belangrijk om hierbij aan te geven dat de staande beveiligingsadviezen, zoals de ICT-beveiligingsrichtlijnen voor Transport Layer Security, ofwel TLS, hiermee onverminderd van kracht blijven. Door het toepassen van deze richtlijnen, wordt de impact van de kwetsbaarheid geminimaliseerd. Deze richtlijnen zijn voor een ieder te vinden op www.ncsc.nl. In deze richtlijnen is reeds ingegaan op de in het paper genoemde soort kwetsbaarheden en het advies is dan ook om producten consequent in te stellen volgens een hoge standaard van beveiliging. Specifiek ten aanzien van Open VPN NL, het door de AIVD (NBV) goedgekeurde product voor beveiligd thuiswerken (tot en met het niveau Departementaal Vertrouwelijk), kan aangegeven worden dat het conform het inzetadvies niet vatbaar is voor de genoemde kwetsbaarheid.
1
ECP is een neutraal platform van bedrijfsleven, overheid en maatschappelijke organisaties en heeft tot doel het gebruik van ICT in de Nederlandse samenleving te versterken. Pagina 7 van 8
Dit in combinatie met het feit dat de ICT-beveiligingsrichtlijnen voor webapplicaties, zoals gebruikt bij de DigiD-assesments, thans worden aangevuld met de ICT-beveiligingsrichtlijnen voor TLS, geeft geen aanleiding om te veronderstellen dat de kwetsbaarheden een majeure impact op de overheid hebben. Een aanvullend onderzoek wordt daarom niet noodzakelijk geacht. 1) http://politiek.thepostonline.nl/2015/05/25/het-grootste-gedeelte-van-veiligeinternetverbindingen-is-kapot/ 2)https://weakdh.org/imperfect-forward-secrecy.pdf
Directie Cyber Security Datum 2 juli 2015 Ons kenmerk 659369
Pagina 8 van 8