In de slipstream van de corona-pandemie plannen onze regeringsleiders samen met de industrie een totale bewaking van de samenleving. Wat we landen als China of Zuid-Korea verwijten, is hier al lang in ontwikkeling: het gebruik van mobiele telefoongegevens om bewegingsprofielen te maken en te volgen. De plausibele reden voor de Corona-app, die sinds kort door de regering is aangekondigd en door de mainstream media zal worden gepusht, komt volgens hun zeggen er om de bevolking te beschermen tegen de verspreiding van het corona-birus. Hoe dit "technisch" in korte tijd moet worden gerealiseerd is nog maar de vraag, maar gaat het ook niet om wat "technologie" kan, maar wat de staat en bedrijven met die technologie willen doen?
De Corona App
Het systeem, dat Microsoft en Accenture ontwikkelen als onderdeel van
ID2020, zou geschikt zijn om niet alleen een paar miljoen
vluchtelingen te volgen, maar ook miljarden mensen op aarde en om de
toegang tot hun gegevens te beheren. De identiteitsbewijzen van
individuen moeten die van de regering van hun eigen land kunnen
aanvullen en vervangen.
Alleen de toegangsgegevens voor de ID-informatie die in andere
databases zijn vastgelegd, mogen in de blockchain worden opgeslagen,
niet de gegevens zelf. De opslag van toegangsgegevens in een
blockchain moet er voor zorgen dat geen enkele overheid de toegang tot
het identiteitsbewijs kan blokkeren. In het witboek van 2020 over het
nauw verwante Known Traveller-project van Accenture staat echter dat
uitgevers van identiteitsbewijzen (overheden, banken, werkgevers,
verhuurders) ze vervolgens ongeldig moeten kunnen verklaren, ongeacht
de houder van het bewijs.
Identiteitsgegevens zijn alles wat iemand doet of lijdt onder een
geverifieerde identiteit, bijvoorbeeld alle bankgegevens,
gezondheidsgegevens en alles wat wordt gedaan met een smartphone die
biometrisch is gekoppeld aan de houder. Voor dit jaar heeft Accenture
een prototype aangekondigd dat over de hele linie kan worden getest.
Het nieuwe systeem moet uiterlijk in 2030 voor iedereen een digitaal
identiteitsbewijs verstrekken.
Het Known Traveler-project maakt duidelijk wat men kan denken van de
belofte van autonomie, mensen kunnen elke keer autonoom beslissen of
en aan wie ze welke data geven en voor hoelang. Als je wilt dat de
grenswachten je binnenlaten, moet je alle gegevens vrijgeven die ze
willen hebben. Deze machtskloof treedt regelmatig op wanneer een
persoon iets van een autoriteit of zelfs een grotere particuliere
sectororganisatie wil. Wie kan met Amazon of PayPal onderhandelen over
de leveringsvoorwaarden?
Vanaf het allereerste begin hebben degenen die de Self-Sovereign
Identity hebben gepropageerd als tegengif voor de toenemende macht van
bedrijven en regeringen over onze gegevens, de machtskloof genegeerd
en verzwijgen dat de autonomie van gegevens door zogenaamd vrijwillige
vrijgave tot een farce maakt en deze omkeert. Hier is sprake van
opzettelijke misleiding. Dit is al te merken in de basistekst "The
Path to Self-Sovereign Identity" van Christopher Allen uit 2016, die
wordt beschouwd als de uitvinder van de term self-sovereign identity.
Allen prijst de decentrale opslag en koppeling van data onder dit
concept als bijdrage aan het verzwakken van de positie van Microsoft.
In deze tekst leert men echter dat hij binnenkort zal vertrekken naar
een ID2020-top om daar te spreken. Microsoft is één van de
belangrijkste aanjagers van ID2020, die de Self-Sovereign Identity
enthousiast heeft omarmd.
Niet dat Allen dat kon vermoeden. In zijn tekst uit 2016 klaagde hij
dat alle even goed klinkende voorloperprojecten ter bescherming van de
autonomie, waaruit de Self-Soverign-Identity ontstond, door machtige
instellingen waren gekaapt en in het tegenovergestelde waren veranderd.
Maar de tijd staat niet stil. Een Duits consortium met medewerking van
het Amerikaanse adviesbureau Boston Consulting Group en een
dochteronderneming van Lufthansa is, in overeenstemming met ID2020,
begonnen met het opzetten van een digitaal epidemiepaspoort dat moet
worden gebruikt om toegang te krijgen tot uw werkplek, een groot
evenement of het vliegtuig. De informatie over tests moet toegankelijk
worden gemaakt via een blockchain en gepseudonimiseerd via een
identiteitsprovider en overeenkomstig GDPR worden opgeslagen in een
cloud, d.w.z. op servers van Amazon, Microsoft en Co. Alleen de houder
van het certificaat mag de blockchain-sleutel op de smartphone hebben
waarmee de gegevens toegankelijk zijn.
De basis hiervan is het Lissi-onderzoeksproject gefinancierd door het
Duitse federale Ministerie van Economische Zaken, waarin de
Bundesdruckerei de leiding heeft. Lissi staat voor "Let’s initiate
self-sovereign identity - Laten we zelf-soevereine identiteit
initiëren". Precies de termen en het spraakgebruik van Microsoft,
Accenture en het World Economic Forum. Net als bij ID2020 en KTDI
worden de open source frameworks Hyperledger Aries en Hyperledger Indy
gebruikt. Op de een of andere manier klinkt alles niet als onderzoek,
maar alleen over het implementeren van het concept van Accenture en
Microsoft in concrete toepassingsgebieden.
Voor mensen die niets moeten hebben van hun regering is het
begrijpelijk dat zij een identiteitsbewijs willen hebben dat
onafhankelijk is van de regering. Dit verlangen kan nog meer worden
begrepen van Amerikaanse zijde als het een regering is zoals de
Syrische waarmee men een oorlog voert. Maar met ID2020 zou het de norm
moeten worden dat identiteit gedeeltelijk of volledig onafhankelijk
wordt van de nationale overheden. Als gevolg hiervan worden "wereldburgers"
gedeeltelijk losgeweekt van nationale regeringen, op één na.... de
Amerikaanse regering.
Zij (de wereldburgers) zullen in dit concept maximaal afhankelijk zijn
van de Amerikaanse regering, die het standpunt inneemt en handhaaft
dat zij wetten kan uitvaardigen waaraan iedereen over de hele wereld
zich moet houden. Bijkomende omstandigheid is dat hun gegevens meestal
worden opgeslagen op servers van Amerikaanse bedrijven, met name de
twee toonaangevende cloudservices van Amazon en Microsoft. De
technische standaarden zijn bepaald door deze en andere Amerikaanse
bedrijven en de centraal beheerde toegang tot deze identiteitsgegevens
wordt beheerd door deze Amerikaanse bedrijven.
Niets zal de Amerikaanse regering ervan weerhouden Microsoft of
Amazon, of één van de Amerikaanse bedrijven die de
blockchain-architectuur van het programma bepalen, de opdracht te
geven de gegevens van individuen of bedrijven te lezen, te blokkeren
of te manipuleren zodat de betreffende personen handelingsonbekwaam
worden. Zelfs als ze dat zouden willen, kunnen de regeringen van hun
thuisland de getroffenen dan niet helpen. UDe wereldburger staat dan
feitelijk onder de soevereiniteit van de Amerikaanse regering zonder
enig Amerikaans staatsburgerschap, want één ding zal duidelijk zijn:
de Amerikaanse regering zal de touwtjes in handen zal hebben.
De ID2020-alliantie is een bijna puur Amerikaanse aangelegenheid. Het
startgeld was afkomstig van Microsoft en Accenture en van de
Rockefeller Foundation. De volgende deelnemers waren Mercy Corps,
Hyperledger en het International Computing Center van de Verenigde
Naties, evenals de door Gates gefinancierde vaccinalliantie Gavi.
Via hun Cloud-wetgeving hebben Amerikaanse beveiligingsinstanties
toegang tot gegevens op alle servers van Amerikaanse bedrijven,
ongeacht waar ze zich bevinden.
De 11 bestuursleden en de uitvoerend directeur komen uit of hebben een
langdurige dienstverband gehad met Gavi (2), Microsoft, Accenture, HP,
Lehman Brothers, JP Morgan, UBS, CCC (Derivate-Clearing) en de
denktank New America Foundation die nauw verbondn is met Google,
aangevuld met een Canadese professor en een Haïtiaan met een
VN-achtergrond.
Het zal u niet verbazen dat China, Rusland en enkele andere landen
zich hiertegen zullen verzetten, dus er zal een soevereiniteitsstrijd
komen over de wereldburgers. Europa doet echter ijverig mee met de
Amerikanen, net als andere geïndustrialiseerde landen in de
Amerikaanse invloedssfeer, en de ontwikkelingslanden die hoe dan ook
afhankelijk zijn van financiële hulp van de Wereldbank, het IMF en de
Gates Foundation.
Zodra het contant geld is afgeschaft (en "dankzij" de coronacrisis is
die stap al erg dichtbij gekomen), iets dat de in Washington
gevestigde Better Than Cash Allicance (Amerikaanse regering, Gates
Foundation, Mastercard, Visa, Citi) ook nastreeft onder de
instrumentalisatie van de Verenigde Naties, is de bewaking en
controle van mensen en bedrijven bijna voltooid, ongeacht hetzij in de
invloedssfeer van de VS of die van China, wat in dit opzicht veel
verder gevorderd is. Digitale betaling is één van de belangrijkste
toepassingsgebieden voor digitale identiteiten en het gebied waardoor
het gebruik ervan het meest effectief kan worden afgedwongen.
Deze monitoring en controle wordt geperfectioneerd met wat Apple en
Google medio maart hebben aangekondigd. Bijna alle smartphones draaien
wereldwijd op hun concurrerende besturingssystemen iOS en Android. Nu
werken ze samen, vanaf mei om zogeheten "contact tracing apps" van de
gezondheidsautoriteiten op beide besturingssystemen te laten werken.
Van de bewakingsapparatuur, die nog altijd telefoon (phone) wordt
genoemd, wordt decentraal o.a. informatie opgeslagen in de buurt van
welke andere bewakingsapparatuur de gebruiker de afgelopen twee weken
is geweest. Elk apparaat wordt geïdentificeerd door een constant
veranderend nummer. Als één van deze contacten binnen twee weken wordt
gemarkeerd als besmet, worden al degenen die in de buurt zijn geweest
geïnformeerd dat ze contact hebben gehad met een geïnfecteerd persoon
en moeten ze zich laten testen.
Over privacy
In de komende maanden zijn Google en Apple van plan deze
functionaliteit in de besturingssystemen te programmeren, wat de
prestaties zou moeten verbeteren en het energieverbruik zou
verminderen. De twee bedrijven benadrukken hoeveel aandacht ze daarbij
besteden aan gegevensbescherming en decentralisatie. Veel
gegevensbeschermers zijn ook redelijk overtuigd. Maar: "Elk
gedecentraliseerd systeem kan worden omgezet in een centraal systeem",
waarschuwt Jaap-Henk Hoepman, hoogleraar Privacy by Design aan de
universiteit van Nijmegen. Het enige dat nodig is, is een punt waarvan
de app de interface naar deze functionaliteit kan gebruiken,
bijvoorbeeld de politie of een geheime dienst, om het zó te
programmeren dat wanneer het in contact komt met een doelpersoon, een
centraal punt een bericht ontvangt in plaats van de contactpersoon.
Het is dan ook niet ondenkbaar, nee, zelfs voor de hand liggend, dat
deze functionaliteit, eenmaal geïmplementeerd, voor andere zaken wordt
gebruikt, bijvoorbeeld wanneer een kindermisbruiker moet worden gepakt
of de volgende grote terroristische aanslag moet worden voorkomen. De
beloften dat de gegevens niet voor bewaking zouden worden gebruikt,
duren dan slechts tot de eerste de beste gelegenheid zich voordoet om
bijvoorbeeld een verdachte vrachtwagenchauffeur op deze manier met
publieke informatie in te rekenen - of het klopt of niet. Beloften
door politici worden gemakkelijker gebroken dan nageleefd dat is
nooit anders geweest.
Op deze manier kunnen ook bronnen worden getraceerd van journalisten
die geheim materiaal hebben gepubliceerd. Als je Google Home hebt, kan
Google alle bezoekers van dit huis identificeren. Is er gerommel met
data geweest die digitale bedrijven als Google en Facebook, in
tegenstelling tot alle beloften, nog niet stiekem hebben gepleegd
omdat ze dachten dat het niet aan het licht zou komen?
Ross Anderson, hoogleraar beveiligingstechniek aan de universiteit van
Cambridge, is één van degenen die de National Health Service in het VK
adviseert over gegevensbeschermingsaspecten van de daar geplande app
voor het traceren van contacten. Tracering zou helemaal niet werken,
onder andere omdat trollen zo'n anoniem systeem onmiddellijk konden en
zouden saboteren, of als Jantje zichzelf besmet verklaart om de helft
van de school op vakantie te sturen, of dat een performancekunstenaar
een telefoon van een besmette persoon vastbindt aan een hond en hem
vervolgens door het park laat rennen.
Contacttracing-apps die als succesvol worden beschouwd, zijn redelijk
opdringerig voor de privacy. Er zijn geen evaluaties gedaan dat
automatische contactopsporing ècht helpt bij het bestrijden van de
corona-pandemie. U moet er rekening mee houden dat automatische
tracering veel meer vatbaar is voor fouten dan handmatige, waarbij
geïnfecteerde mensen om hun contacten wordt gevraagd en deze
vervolgens door echte mensen worden benaderd.
We verwachten verklaringen van onze regering en staatsinstellingen die
het zullen hebben over een hoog beschermingsniveau en absolute
anonimiteit. Het is echter onzin dat de "technologie" daarvoor zorgt.
De basis van welke corona-app dan ook is het volgen - dat wil zeggen
het volgen en opslaan van bewegingen en ontmoetingen van mensen. Dit
gebeurt via de infrastructuur van de telecomaanbieders (providers).
Elke mobiele telefoon zendt continu een radiosignaal uit, dat wordt
opgevangen door een radiomast en doorgegeven aan de datacenters van de
provider. Als een mobiele telefoon met de corona-app een andere
mobiele telefoon met dezelfde app ontmoet, communiceren ze met elkaar
door middel van een digitale handdruk. Deze gegevens blijven
aanvankelijk lokaal op de twee mobiele telefoons. Om een wederzijds
alarm te kunnen laten plaatsvinden, moeten deze echter worden
aangesloten via de centrale databases, waar alle gebruikers van
mobiele telefoons worden geregistreerd, anders kunnen de zogenaamde
alarmmeldingen (push-berichten) niet worden geactiveerd. De beheerder
van de app en de telecommunicatieproviders weten logischerwijs welke
smartphones zijn aangesloten, wie de eigenaar is en wie de "virusverspreider"
is en ze weten ook uit de geschiedenis van de radiocellen wanneer de
twee mobiele telefoons contact hadden.
Bluetooth gaat ook door de muur, een virus niet. Mensen die lange tijd
voor of achter een geïnfecteerde persoon hebben gestaan, zullen de app
waarschuwen als mogelijk geïnfecteerd. De waarschuwingen zouden zo
talrijk zijn dat mensen ze op een gegeven moment gewoon zouden negeren.
Alles wat u kunt bedenken om handmatige correcties door gebruikers
mogelijk te maken, gaat ten koste van gegevensbescherming en
anonimiteit.
Bluetooth wordt door veel deskundigen beschouwd als "chronisch
onveilig" en men wijst er terecht op dat in Android met Bluetooth
ingeschakeld, locatiediensten zijn geactiveerd. Dit kan leiden tot
flink wat nevenschade. Want als een app toegang heeft tot Bluetooth,
ontvangt het gratis de locatiegegevens van zijn gebruiker (die die
eerder kan hebben geweigerd) en kan het app-bedrijf de gegevens
evalueren en verkopen voor marketingdoeleinden. Bovendien werken apps
die puur op Bluetooth zijn gebaseerd gedurende een lange periode
nauwelijks. Ze zuigen de batterij van de smartphone snel leeg en
hebben teveel rekenkracht nodig.
We mogen politieke besluitvormers niet de illusie laten dat ze met
technische magie aan moeilijke beslissingen kunnen ontsnappen. Als
bijvoorbeeld toegang tot bedrijven of het opheffen van
bewegingsbeperkingen afhankelijk wordt gemaakt van het feit dat je je
smartphone laat zien en daarmee aantoont dat je de app regelmatig
gebruikt en dat deze geen gevaar vertoont, dan is het afgelopen met
vrijwilligheid en anonimiteit. De Bluetooth-protocollen van de
providers zijn ook berucht vanwege hun vele beveiligingskwetsbaarheden,
die erg relevant worden wanneer iedereen gedwongen wordt rond te lopen
met de bluetooth-functie ingeschakeld, of dit vrijwillig doet.
Zoals bij elk te downloaden programma moet de gebruiker akkoord gaan
met de voorwaarden. De "gebruiker" gaat dus min of meer akkoord met
het gebruik van diens gegevens en doent daarmee afstand van de eigen
rechten op de gegevens. Zelfs het feit dat communicatie gecodeerd is,
kan je niet echt geruststellen. Om het waarschuwingsbericht in te
stellen, moeten de gegevens worden verwerkt en dit betekent dat ze van
tevoren moeten worden ontsleuteld. De codering van de gegevens zelf is
ook geen echte bescherming - elke codering kan worden gekraakt. Het is
gewoon een kwestie van rekencapaciteit en de tijd en sleutel voor
decodering. Deze liggen o.a. bij de veiligheidsdiensten en de politie.
Niemand kan op dit moment inschatten of en hoe de gegevens van de
corona-app gebruikt zullen worden door overheidsinstellingen,
zorgverzekeraars en bedrijven.
Ondanks al deze bekende en soms zeer voor de hand liggende functionele
defecten en gevaren, wordt beweerd dat automatische contactopsporing
absoluut noodzakelijk is, waarbij een uitschakeling en
contactblokkering geleidelijk kunnen worden opgeheven. Dit is verdacht,
vooral omdat er onder vele anderen veel meer aarzeling is waarvan het
belang en het nut wordt overeengekomen, zoals méér testen en
systematische willekeurige tests om de verspreiding van het
corona-virus te bepalen.
Big Brother
Niemand hoeft de app te gebruiken omdat deze alleen naar een apparaat
wordt overgebracht wanneer de gebruiker deze downloadt - de regering
zegt dat het op basis van vrijwilligheid gaat. U kunt dat geloven,
maar de realiteit kan heel anders zijn, vooral als het tegenvalt met
die vrijwilligheid. Buiten dat: niemand kan met zekerheid controleren
welke beveiligingspatches en nieuwe versies de besturingssystemen van
mobiele telefoons dagelijks naar de pc en de smartphone overbrengen.
Het computermagazine "Chip" schreef begin april heel openhartig: zelfs
als de software via een update aan een bestaande app wordt toegevoegd,
zouden de app-gebruikers het met het gebruik van de software eens
moeten zijn. Er kan dus vanuit worden gegaan dat de app straks overal
automatisch wordt geïnstalleerd. Zal de app daadwerkelijk wachten tot
de eigenaren hem activeren met een "ja ik wil"? Een teken aan de wand
is dat de Duitse Bondsdag al in 2017 "trojaanse paarden" van de
overheid heeft goedgekeurd. Dit betekent dat programma's die
onopgemerkt de computers en mobiele telefoons van verdachten kunnen
bespioneren, bij onze oosterburen zijn toegestaan.
Dat het nog erger kan
zien we in Denemarken.
Daar is inmiddels al wettelijk geregeld dat er sprake kan zijn van
gedwongen tests, gedwongen vaccinaties en gedwongen behandeling -
desnoods met inzet van het leger. Het laat zien welke maatregelen door
westerse regeringen nu mogelijk zijn. Als het niet mogelijk is om
dergelijke maatregelen en structuren bekend te maken bij een breder
publiek, kan de samenleving in de huidige crisissituatie in een
politie- en bewakingsstaat terechtkomen, waarvan ze zich pas volledig
bewust wordt als de digitale handboeien al zijn gesloten.
(Zoals altijd zijn alle bronvermeldingen en -verwijzingen alleen
beschikbaar voor abonnee's)
[19 april 2020]