Cryptografie is een techniek om informatie te versleutelen en kan worden gebruikt om documenten, e-mail en spraak te beveiligen of te voorzien van een digitale handtekening.

Vroeger werd cryptografie alleen gebruikt door overheden en militairen. Pas in de loop van de jaren zeventig kwam de technologie breder beschikbaar. Met de komst van internet en het programma Pretty Good Privacy (PGP) kreeg een breed publiek de mogelijkheid om cryptografie te gebruiken.

Begin jaren negentig, met de opkomst van internet, zijn in verschillende landen beperkingen voorgesteld op het gebruik en de export van crypto. Politie en inlichtingendiensten stelden ingrijpende maatregelen voor om de verspreiding en het gebruik een halt toe te roepen. In vrijwel alle westerse landen volgde een heftig debat tussen opspoorders en tegenstanders van restricties zoals burgerrechten organisaties en bedrijfsleven.

In 1994 werd in Nederland een ontwerp wetsvoorstel bekend waarin het gebruik van cryptografie vergunningplichting werd; een de-facto verbod. Het voorstel leidde tot een storm van kritiek en is nooit naar de Tweede Kamer gestuurd. Het maatschappelijk belang van cryptografie bij het beveiligen van informatie was te groot.

Eind jaren negentig is de discussie in de meeste westerse landen afgesloten met het vrijgeven van crpytografie. Exportbeperkingen op software blijken in de praktijk niet te handhaven en gelden in de meeste westerse landen daarom niet meer voor consumenten software. Ook het gebruik is in de meeste landen geheel vrij. Het belang van crypto voor economie en e-commerce en het recht op vertrouwelijke communicatie hebben de doorslag gegeven.

In Nederland is het gebruik van cryptografie op dit moment legaal en is iedereen vrij om zijn telecommunicatie of bestanden te versleutelen. Wel mag de politie iedereen (behalve een verdachte) dwingen om documenten te ontsleutelen, bijvoorbeeld tijdens een huiszoeking. Op de weigering daaraan mee te werken staat maximaal drie maanden gevangenisstraf. De AIVD kan op straffe van maximaal twee jaar gevangenisstraf medewerking afdwingen aan ontsleuteling.

In de praktijk hebben deze bevoegdheden slechts betrekking op derden die beschikken over wachtwoorden of sleutels van verdachten. Wanneer zo iemand die sleutels niet heeft vervalt de verplichting mee te werken.

Instellingen die faciliteren bij het gebruik van cryptografie (de zogenaamde Trusted Third Parties) stonden een tijd onder druk van de Nederlandse overheid om politie en inlichtingendiensten permanente toegang te geven tot de versleutelde informatie. De Trusted Third Parties (TTPs) hebben zich verzet tegen dergelijke key escrow plannen uit angst dat het vertrouwen in de geboden diensten beschadigd raakt. Eind 2002 besloot de overheid definitief dat de TTPs geen verplichting wordt opgelegd.

In de VS heeft de overheid in de jaren negentig ook geprobeerd om key escrow in te voeren. Alle bij de cryptografie gebruikte sleutels moesten op een centrale plaats worden opgeslagen. Politie en inlichtingendiensten konden in het plan de sleutels gebruiken tijdens onderzoek. De plannen zijn eind jaren negentig definitief afgeblazen omdat de oplossing te complex, duur en kwetsbaar was.

Zowel in Nederland als in Duitsland stelt de overheid zich op het standpunt dat het gebruik en de ontwikkeling van crypto software een positieve invloed heeft op de informatie samenleving. De research en productie van crypto software, met name open source, wordt zelfs gestimuleerd. In april 2002 zette de minister van Binnenlandse Zaken deze uitgangspunten op papier naar aanleiding van de Echelon discussie. Uit deze en andere stukken blijkt dat de Nederlandse overheid voorstander is van een brede verkrijgbaarheid van cryptografie.

Vlak na de aanslagen van 11 september 2001 heeft het Kabinet in het actieplan Terrorismebestrijding en Veiligheid het voornemen bekend gemaakt om te onderzoeken of beperkingen van cryptografie-gebruik mogelijk zijn. In de zesde voortgangsrapportage van 27 juni 2003 is de interdepartementale werkgroep die een evalutie van het cryptografie beleid moet uitvoeren nog steeds niet van start gegaan. Ook in andere landen hebben de aanslagen van 11 september geen effect gehad op het cryptografie beleid.

• Regelgeving: aftappen versus privacy: Dossier Cryptografie (april 2000). Dossier van buro Jansen & Janssen waarin het verband tussen crypto-regulering en aftappen wordt behandeld.

• PGP