Versleutelde berichten voor militair veldgebruik

Militaire veldberichten hebben een dreigingsmodel dat consumenten-berichtenapplicaties niet zijn ontworpen om te adresseren. Een verloren apparaat mag vroegere berichten niet compromitteren. Een gecompromitteerde server mag berichtinhoud niet blootleggen. Een netwerkmeeluisteraar mag niet kunnen vaststellen wie met wie communiceert. Operaties moeten doorgaan wanneer de server onbereikbaar is. En een apparaat dat in vijandelijke handen valt, mag zijn berichtgeschiedenis of cryptografische sleutels niet onthullen.

Deze vereisten — End-to-End Encryption (E2EE), Perfect Forward Secrecy (PFS), offline werking, synchronisatie tussen meerdere apparaten, wis-op-afstand en fraudebestendigheid — definiëren de technische architectuur voor militaire veldberichten. Begrijpen welke cryptografische protocollen deze vereisten adresseren, en hoe ze interageren met de operationele beperkingen van veldinzet, is essentieel voor iedereen die tactische communicatiesystemen bouwt of evalueert.

Kernvereisten: E2EE, PFS en offline werking

End-to-End Encryption betekent dat berichtinhoud wordt versleuteld door het apparaat van de verzender en alleen kan worden ontsleuteld door het apparaat van de ontvanger. De server die berichten doorstuurt — de synchronisatie-infrastructuur — bevat alleen cijfertekst en heeft geen toegang tot leesbare tekst. Dit is de basisvereiste; elk systeem dat E2EE niet kan garanderen, mag niet worden gebruikt voor gevoelige militaire communicatie.

Perfect Forward Secrecy betekent dat het compromitteren van de langetermijn-identiteitssleutel van een deelnemer geen ontsleuteling van vroegere berichten mogelijk maakt. PFS wordt bereikt door vluchtige sessiesleutels te gebruiken — sleutels die vers worden gegenereerd voor elk gesprek (of elk bericht) en na gebruik worden weggegooid. Als een tegenstander een apparaat inneemt en zijn langetermijnsleutel extraheert, kan hij de gebruiker in de toekomst imiteren, maar kan hij historische berichten die zijn versleuteld met reeds weggeworpen vluchtige sleutels niet ontsleutelen.

Offline werking betekent dat de berichtenapplicatie moet functioneren wanneer de server onbereikbaar is. Dit vereist lokale opslag van de berichtenwachtrij, lokaal cryptografisch sleutelmateriaal, en een synchronisatiemechanisme dat berichten in de wachtrij aflevert wanneer verbinding wordt hersteld. Lokale opslag van sleutelmateriaal introduceert het probleem van apparaatinname: als het apparaat wordt ingenomen, kan het sleutelmateriaal dat het bevat ontsleuteling van opgeslagen berichten mogelijk maken. Beveiligde hardware-enclaves (Android Keystore ondersteund door StrongBox, iOS Secure Enclave) verzachten dit door sleutels op te slaan in fraudebestendig hardware dat niet kan worden geëxtraheerd zelfs met fysieke toegang.

Signal Protocol: Double Ratchet voor militaire analyse

Het Signal Protocol is het meest geanalyseerde en ingezette E2EE-berichtenprotocol. De twee kerncomponenten zijn X3DH (Extended Triple Diffie-Hellman) voor sessie-oprichting en Double Ratchet voor lopende berichtversleuteling.

X3DH sleuteluitwisseling stelt twee partijen in staat een gedeeld geheim te vaststellen met behulp van vooraf geladen sleutelmateriaal — specifiek publiceert elke gebruiker een set ondertekende pre-sleutels naar de server. Wanneer gebruiker A een gesprek wil starten met gebruiker B, downloadt A een van de pre-sleutels van B en voert de X3DH-berekening offline uit, zonder dat B online hoeft te zijn. Deze eigenschap — asynchrone sessie-oprichting met behulp van vooraf geladen sleutelmateriaal — is specifiek waardevol voor militair gebruik waar netwerkbeschikbaarheid intermittent is.

Double Ratchet biedt de per-bericht sleutelafleiding die zowel PFS als herstel na inbreuk bereikt (ook wel toekomstige geheimhouding of post-compromise-beveiliging genaamd). De "dubbele" verwijst naar twee ratels die gelijktijdig werken: een Diffie-Hellman-ratel (die vordert wanneer de partijen nieuwe DH publieke sleutels uitwisselen) en een symmetrische sleutelratel (die vordert bij elk bericht). Elke voortgang van een van beide ratels leidt een nieuwe berichtsleutel af en maakt de vorige onherroepbaar. Als een aanvaller een berichtsleutel verkrijgt, kan hij dat bericht ontsleutelen maar niet toekomstige berichten zodra de ratel heeft gevorderd.

Voor militaire inzet passen de eigenschappen van het Signal Protocol goed bij het dreigingsmodel: PFS beschermt tegen apparaatinname, asynchrone sessie-oprichting werkt bij intermittente verbinding, en het protocol is onderworpen aan formele cryptografische analyse en uitgebreide openbare beoordeling. De beperking is dat de referentie-implementatie is ontworpen voor een gecentraliseerde serverarchitectuur met persistente gebruikersaccounts — aanpassing voor volledig gedecentraliseerde of serverloze werking vereist aanpassingen op protocolniveau.

Matrix/Element: gefedereerd versus Signal voor militaire inzet

Matrix is een open gefedereerd communicatieprotocol dat E2EE ondersteunt (via de Megolm/Olm-protocollen, zelf gebaseerd op Double Ratchet). Element is de primaire Matrix-client. Het kritische architecturale verschil met Signal is federatie: in plaats van één gecentraliseerde server stelt Matrix meerdere onafhankelijk beheerde homeservers in staat die met elkaar communiceren. Voor militaire inzet betekent dit dat elke organisatie zijn eigen Matrix-homeserver kan draaien binnen zijn eigen infrastructuur, zonder afhankelijkheid van externe diensten.

De groepsberichtversleuteling van Matrix (Megolm) gebruikt een andere sleutelstructuur dan de groepsberichten van Signal: in plaats van paarsgewijze Double Ratchet-ketens tussen elk paar deelnemers, gebruikt Megolm één uitgaande ratel per verzender per ruimte, gedeeld met alle ruimteleden. Dit is rekenkundig veel efficiënter voor grote groepen (een ruimte met 100 leden die Signal-stijl paarsgewijze versleuteling gebruikt, vereist 99 versleutelingsbewerkingen per bericht; Megolm vereist er één). De afweging zijn zwakkere beveiligingseigenschappen: Megolm biedt geen herstel na inbreuk op de manier waarop Double Ratchet dat doet.

Voor militaire tactische berichten — typisch kleine groepen (sectie tot compagnieniveau) met hoge beveiligingsvereisten — zijn de sterkere per-berichtbeveiligingseigenschappen van het Signal Protocol te verkiezen. Voor grotere coördinatiecontexten (bataljonsniveau en hoger) wordt het efficiëntievoordeel van Megolm operationeel relevant.

Sleutelbeheer bij verbroken operaties

Het X3DH pre-sleutelmechanisme van het Signal Protocol behandelt het geval waarbij een gebruiker tijdelijk offline is: hun pre-sleutels worden van tevoren geüpload naar de server, en gesprekken kunnen asynchroon worden gestart. Maar deze architectuur gaat uit van serverbeschikbaarheid voor pre-sleuteldistributie. Bij volledig air-gapped of verbroken operaties — waarbij er helemaal geen server is — moet pre-sleuteldistributie plaatsvinden via een alternatief mechanisme.

De standaardbenadering voor vooraf geladen sleutelmateriaal bij verbroken operaties is out-of-band sleuteldistributie: een apparaatbeheerder genereert en distribueert sleutelpakketten (met de X3DH publieke sleutels voor elke deelnemer) vóór de inzet, via een vertrouwd offline kanaal zoals een beveiligd apparaatbeheersysteem, USB met cryptografisch geverifieerde overdracht, of directe apparaat-naar-apparaat sleuteluitwisseling terwijl apparaten fysiek bij elkaar zijn vóór de operatie.

Apparaatbeveiliging: Secure Enclave en wis-op-afstand

Sleutelmateriaal opgeslagen in de Android Keystore (ondersteund door een StrongBox-gecertificeerd beveiligd element) of iOS Secure Enclave kan niet van het apparaat worden geëxtraheerd zelfs door een aanvaller met fysieke toegang en root-niveau OS-toegang. Bewerkingen op sleutels (versleuteling, ondertekening) vinden plaats in het beveiligde element; de sleutelbytes komen nooit in toepassingsgeheugen terecht. Dit is de hardware-basis voor zowel fraudebestendigheid als wis-op-afstand: een wis-op-afstand-opdracht, afgeleverd wanneer het apparaat verbinding herstelt, verwijdert de secure-element-ondersteunde sleutels, waardoor alle opgeslagen versleutelde berichten permanent onherroepbaar worden.

De effectiviteit van wis-op-afstand hangt af van het apparaat dat verbinding herstelt. Voor het venster vóór verbinding — de periode tussen apparaatinname en levering van de wisopdracht — is de enige bescherming de niet-extraheerbaarheid van de secure enclave sleutel. Voor berichten opgeslagen als cijfertekst op het apparaatbestandssysteem met sleutels in de secure enclave is deze bescherming effectief tegen hardware-niveau aanvallen. Het is niet effectief tegen een aanvaller die de controle heeft overgenomen van een actief, ontgrendeld apparaat voordat de wisopdracht aankomt.