Mocht de Amerikaanse overheid beslissen om Amerikaanse bedrijven te verplichten encryptie-backdoors aan hun producten en diensten toe te voegen, dan zal dit niet effectief zijn en zelfs nadelige gevolgen voor de Amerikaanse concurrentiepositie hebben, zo stellen onderzoekers van Harvard.

De Harvard-onderzoekers herhaalden een onderzoek uit 1999, waarbij onderzoekers van de George Washington Universiteit de wereldwijde markt van encryptieproducten in kaart brachten. Destijds was er ook een debat over een verbod op het exporteren van bepaalde encryptietechnologie. Deze onderzoekers kwamen tot de conclusie dat gezien de wereldwijde beschikbaarheid van encryptieproducten een dergelijk Amerikaans verbod geen effect zou hebben en nadelig voor de concurrentiepositie van Amerikaanse beveiligingsbedrijven zou zijn.

Die conclusie lijkt nog steeds van toepassing. De Harvard-onderzoekers (pdf) telden 865 encryptieproducten uit 55 verschillende landen. Amerikaanse bedrijven zijn nog altijd de voornaamste leverancier van encryptie-oplossingen, maar 546 encryptieproducten zijn afkomstig van leveranciers buiten de VS. Het gaat dan voornamelijk om Duitse bedrijven, die 112 producten voor het versleutelen van data aanbieden. De onderzoekers erkennen dat ze niet alle producten in kaart hebben gebracht.

Beschikbaarheid

Toch laten de cijfers zien dat een eventuele verplichting voor Amerikaanse bedrijven geen effect zou hebben op de beschikbaarheid van encryptieproducten, aangezien de Amerikaanse wet alleen in de VS geldt. Daarnaast is het eenvoudig voor gebruikers om op niet-Amerikaanse encryptieproducten over te stappen. "Iedereen die een encryptie-backdoor in de VS of Groot-Brittannië wil omzeilen, kan uit allerlei buitenlandse producten kiezen om hun harde schijven, gesprekken, chatsessies, vpn-links en wat dan ook te versleutelen. Een verplichte backdoor zal dan ook niet effectief zijn, aangezien de markt zo internationaal is", zo stellen de onderzoekers.

Ze erkennen dat criminelen die te stupide zijn om te beseffen dat hun beveiligingsproducten een backdoor bevatten of te lui zijn om op een alternatief over te stappen zullen worden gepakt. "Maar die criminelen zullen waarschijnlijk ook allerlei andere fouten in hun beveiliging maken en toch het risico lopen om te worden opgepakt." Aan de andere kant vormt een encryptie-backdoor een risico voor mensen die zich geen zorgen over overheidssurveillance maken of niet op een alternatief overstappen, aangezien cybercriminelen en andere overheden deze backdoors kunnen gebruiken om hen aan te vallen.

"Wetten die producteigenschappen reguleren zijn nationaal, en hebben alleen invloed op de mensen die in de landen leven waar ze worden gehandhaafd. Het is eenvoudig om producten aan te schaffen, met name softwareproducten, die in het buitenland worden verkocht. Encryptieproducten zijn wereldwijd verkrijgbaar. Elke nationale wetgeving die encryptie-backdoors verplicht zal dan ook voornamelijk de onschuldige gebruikers van die producten raken. Slimme criminelen en terroristen kunnen eenvoudig op veiligere alternatieven overstappen", zo concluderen de onderzoekers dan ook.