Het bericht dat kwetsbaarheden in encryptiesoftware door Amerikaanse inlichtingendiensten zijn gebruikt

Vragen

1. V1Kent u het wetenschappelijk artikel over kwetsbaarheden in het Diffie-Hellman-sleuteluitwisselingsprotocol? 1

2. V2Deelt u de mening van de wetenschappers dat het zeer aannemelijk is dat de National Security Agency (NSA) via deze kwetsbaarheden toegang heeft verkregen tot VPN- (Virtual Private Network), SSH- (Secure Shell) en TLS (Transport Layer Security) verkeer? Zijn er bij u signalen bekend dat ook inlichtingendiensten van andere landen of niet-statelijke actoren deze kwetsbaarheden hebben gebruikt?

3. V3Bent u van mening dat de Nederlandse overheid toegang zou moeten hebben tot versleutelde data via bestaande kwetsbaarheden of door het (laten) inbouwen van kwetsbaarheden?

4. V4Is er sprake van een eenduidig kabinetsbreed beleid ten opzichte van onbekende kwetsbaarheden, oftewel 0-days, of worden in verschillende ministeries verschillende afwegingen gemaakt? Worden alle door de overheid ontdekte, of via het Nationaal Cyber Security Centrum (NCSC) gemelde, 0-days bij de maker van de software gemeld?

5. V5Maken defensie, inlichtingendiensten, politie of andere overheidsinstanties ook gebruik van 0-days of alleen van reeds bekende kwetsbaarheden?

6. V6Deelt u de mening dat vertrouwen in veilige digitale communicatie en infrastructuur essentieel is voor een goed functionerende digitale economie? Hoe verhoudt zich dat tot een overheid die actief gebruik maakt van kwetsbaarheden in software? Toelichting: Deze vragen dienen ter aanvulling op eerdere vragen terzake van het lid Oosenbrug (PvdA), ingezonden 27 mei 2015 (vraagnummer 2015Z09552 ). X Noot 1 https://weakdh.org/imperfect-forward-secrecy.pdf