Hoewel de boodschap van Nvidia’s CSO David Reber duidelijk en consistent is — geen backdoors, geen kill-switches, nu niet en nooit — blijft het statement vooral een publieke belofte, geen technisch verifieerbaar feit. In de hardwarewereld is “nooit” een riskante claim, omdat ontwerpkeuzes, toeleveringsketens en marktdruk in de toekomst kunnen veranderen. Zonder onafhankelijke, reproduceerbare audits van de chiparchitectuur en firmware blijft het voor buitenstaanders onmogelijk om de afwezigheid van verborgen functionaliteit met zekerheid te bevestigen.

Daarnaast richt Reber zijn kritiek terecht op de risico’s van backdoors en kill-switches als “single points of failure” en aanvalsvectoren voor kwaadwillenden. Maar hij laat onbesproken dat sommige overheden al decennia hard- en softwarevereisten opleggen (bijvoorbeeld Trusted Platform Modules en secure enclaves) die óók potentieel misbruikt kunnen worden, afhankelijk van de implementatie. Daarmee schuift Nvidia impliciet het debat over “wie mag de sleutel hebben” volledig terzijde, terwijl dat juist de kern van de politieke discussie is.

Een ander punt is dat de stellingname sterk leunt op vertrouwen in de intenties van Nvidia zelf, terwijl de supply chain van moderne AI- en GPU-chips meerdere lagen van externe IP-blokken, firmware-leveranciers en fabrieksprocessen bevat. Zonder diepgaande, externe validatie is het voor klanten en overheden onmogelijk om uit te sluiten dat kwetsbaarheden — opzettelijk of niet — in die keten sluipen.

Die chips hoeven ook helemaal geen backdoor te bevatten. De drivers zijn closed source dus daar zijn ze makkelijk te verbergen en je kan nog steeds het statement maken dat de chips geen backdoor bevatten ...

Het nieuwsbericht over de uitspraken van Nvidia's chief security officer (CSO) David Reber biedt een interessante kijk op de discussie rond de veiligheid van technologie en de rol van hardwarematige controls. Hier zijn enkele belangrijke overwegingen:

Beveiliging versus Controle.
Reber's standpunt dat het toevoegen van backdoors en kill-switches een risico vormt voor de digitale infrastructuur is begrijpelijk. Het idee dat dergelijke functies hackers en vijandige actoren een kans zouden geven om in te breken, is een valide zorg. Het is cruciaal dat bedrijven zich richten op het verhelpen van kwetsbaarheden in plaats van nieuwe risico's te introduceren. Dit benadrukt de noodzaak voor een evenwicht tussen beveiliging en controle, waarbij de focus moet liggen op het beschermen van gebruikers en systemen.

Vertrouwen in Technologie.
De uitspraak dat het toevoegen van deze functies het vertrouwen in Amerikaanse technologie zou schaden, raakt een belangrijk punt. In een tijd waarin consumenten steeds bezorgder zijn over privacy en beveiliging, kan het idee dat technologiebedrijven hun producten op deze manier verzwakken, leiden tot een afname van vertrouwen. Dit kan niet alleen invloed hebben op de verkoop van producten, maar ook op de bredere acceptatie van technologie in de samenleving.

Cybersecurity Principes.
Reber's argument dat kill-switches en backdoors "single points of failure" introduceren, is een belangrijke overweging in de cybersecurity-discussie. Het idee dat een enkele kwetsbaarheid kan leiden tot een grootschalige inbreuk, is een fundamenteel principe in de beveiliging. Het is essentieel dat technologiebedrijven deze principes in acht nemen bij het ontwikkelen van nieuwe producten en functies.

Politieke Druk en Regelgeving.
De vermelding van wetsvoorstellen van Amerikaanse senatoren die fabrikanten zouden verplichten om trackingtechnologie toe te voegen, illustreert de druk die politici uitoefenen op technologiebedrijven. Dit roept vragen op over de balans tussen nationale veiligheid en de rechten van consumenten. Het is belangrijk dat wetgeving niet ten koste gaat van de privacy en de veiligheid van gebruikers, en dat er een open dialoog is tussen de industrie en beleidsmakers.

Conclusie.
Het standpunt van Nvidia over het vermijden van backdoors en kill-switches is een belangrijke bijdrage aan de discussie over cybersecurity en technologie. Het benadrukt de noodzaak voor bedrijven om zich te concentreren op het verbeteren van de beveiliging zonder nieuwe risico's te introduceren. Tegelijkertijd is het cruciaal dat beleidsmakers en de industrie samenwerken om een veilige en betrouwbare digitale toekomst te waarborgen, zonder de rechten en privacy van consumenten in gevaar te brengen.

Wat heb je zelfs aan dit soort claims? De Amerikaanse overheid kan doen wat ze willen. Zolang een bedrijf zoals Nvidia actief is in Amerika moet je er van uitgaan dat Amerika het kan controleren en ze dit soort zooi kan laten zeggen. Zelfde geldt voor Chinese- en Russische bedrijven en hun overheid.

Er is (nog steeds) vrijheid van meningsuiting in de VS en Nvidia geeft in de blogpost duidelijk aan wat haar standpunt is.
Ik zie geen reden om aan te nemen dat deze blogpost gescript is, het lijkt me meer een schot voor de boeg van de Amerikaanse wetgever om geen wetten aan te nemen die dergelijke ongewenste functionaliteit verplichten.

Als Amerikanen dat zeggen weet je zeker dat het wel zo is omdat geen backdoor een vanzelfsprekendheid hoort te zijn, wat normaal geen aandacht krijgt.