Waarom WhatsApp de berichten van vermiste Théo Hayez niet zomaar kan vrijgeven

WhatsApp gaat samenwerken met de Australische politie in de zoektocht naar de vermiste Belg Théo Hayez. Kort voor zijn verdwijning zou hij nog berichtjes verstuurd hebben met zijn smartphone via WhatsApp. Maar Whatsapp benadrukt dat het de inhoud van de berichten niet kan vrijgeven, omdat die versleuteld zijn. Hoe werkt dat? Welke gegevens kan de politie dan wel in handen krijgen en waarom wordt er geen uitzondering gemaakt?

Sinds 2016 werkt de online berichtendienst WhatsApp met volledige end-to-endencryptie. Dat is een methode om ervoor te zorgen dat alleen jij en de ontvanger verstuurde berichtjes kunnen lezen, en dat er niemand anders kan meelezen. Dus ook WhatsApp zelf niet. 

"Elk bericht dat je verstuurt, wordt versleuteld", legt computerwetenschapper Jeroen Baert uit. "Dat gebeurt met een sleutel die alleen jij hebt en niemand anders. WhatsApp is dus technisch niet in staat om de inhoud van de berichten te lezen of vrij te geven."

WhatsApp kan wel andere gegevens van zijn servers halen en overdragen aan de politie. "Het gaat dan over telefoonnummers, met wie je berichten uitwisselt, de gebruikersnaam, wanneer je stuurt, hoe vaak en in principe ook van op welke locatie. Eigenlijk kan WhatsApp alles vrijgeven behalve de inhoud van de berichten", zegt Baert.

Hoe werkt die versleuteling precies?

Elke gebruiker van WhatsApp heeft twee sleutels: een publieke die met andere gebruikers wordt gedeeld, en een geheime die alleen maar op jouw toestel staat. Die twee sleutels worden gecombineerd tot een gedeelde sleutel. Ook de ontvanger heeft zo'n gecombineerde sleutel.

De twee gecombineerde sleutels zijn nodig om de code die de ene gebruiker verstuurt bij de ontvanger weer om te zetten naar tekst, beeld of klank. De sleutels zijn ook slechts tijdelijk en wijzigen voortdurend. Op die manier kunnen hackers jouw berichten misschien wel onderscheppen, maar nooit lezen. 

Ook iMessage, de berichtendienst van Apple, werkt zo, net als de apps Telegram en Signal.

In deze video van The Wall Street Journal wordt end-to-endencryptie nog eens mooi uitgelegd: (lees verder onder de video)

Waarom geen uitzondering bij (ernstige) misdaden?

De verdwijningszaak van Théo Hayez is niet het eerste incident waar familie, inlichtingendiensten of de overheid vragen om toegang te krijgen tot de online gegevens van een slachtoffer of verdachten. Telkens volgt de discussie of er geen uitzonderingen moeten worden gemaakt voor veiligheidsdiensten, zodat zij in bepaalde gevallen berichten wel kunnen onderscheppen en lezen.

"Het probleem is dat je op voorhand niet kan weten welk gesprek belangrijk kan zijn in een rechtszaak", zegt Jeroen Baert. "Je zou dus eigenlijk de communicatie van alle gebruikers ontsleutelbaar, en dus onveilig, moeten maken voor slechts enkele uitzonderingen. Alles op voorhand onveilig maken, is eigenlijk een slechte oplossing."

"In sommige landen, zoals Duitsland en Australië, gaan er ook stemmen op om de versleuteling zo te maken dat de veiligheidsdiensten een speciale sleutel hebben om de berichten toch nog te kunnen ontcijferen. Maar hackers zouden die speciale sleutel dan misschien ook kunnen namaken. Het is eigenlijk alles of niets. Ofwel heb je een veilig systeem, ofwel een onveilig systeem voor iedereen."