Morrelen aan privacy

Om de handel via het Internet te bevorderen, moet men gegevens kunnen coderen. Jammer genoeg zijn de overheden bang van cryptografie en zijn de nationale wetgevingen niet op elkaar afgestemd.

“Het Internet is niet veilig.” Het wordt om de haverklap gezegd. Gegevens die via het Net worden verstuurd, kunnen op elke server die de informatie doorgeeft, worden onderschept. Dat is een rem op het potentieel van het Internet, vooral als het om financiële transacties gaat. De idee dat het nummer van de kredietkaart onderschept en misbruikt kan worden, is voor veel mensen een psychologische remming om goederen of diensten via het Net te kopen. De waarschijnlijkheid dat iemand met slechte bedoelingen het nummer van hun kredietkaart te pakken krijgt, is weliswaar klein, maar wel reëel.

Een eenvoudige beveiliging is het coderen van vertrouwelijke gegevens, zodat alleen “bevoegde” personen ze kunnen lezen. Die oplossing wordt toegepast, soms zelfs zonder dat de gebruiker het beseft. Verscheidene Webbrowsers maken automatisch beveiligde, gecodeerde transacties mogelijk. Wat nog geen absolute garantie is : de cyber-verkoper is mogelijk niet de persoon die hij pretendeert te zijn en is er misschien zelf op uit om het kredietkaartnummer te misbruiken. Maar het probleem van de identificatie op het Internet is een verhaal apart…

Codes en privacy

Nog afgezien van de handel is er het probleem van de uitwisseling van delicate informatie. Als twee samenwerkende bedrijven via Internet vertrouwelijke gegevens uitwisselen (offertes, bestellingen, ontwerpen), doen ze dat op eigen risico. Hier komen we dus op het terrein van de industriële spionage. De oplossing is dezelfde : de berichten coderen.

Meer algemeen beschouwd, beschermt de cryptografie de privacy van de Internet-gebruikers door het elektronisch briefgeheim te garanderen. Het is immers een weinig geruststellend idee dat de post die men verstuurt, hoe onschuldig ook, op de servers die ze overbrengen kan worden gelezen. Sommige mensen vergelijken het coderen van berichten met de enveloppe die een brief onleesbaar maakt voor degenen die hem bezorgen.

Cryptografie is natuurlijk geen wondermiddel. Net zoals boodschappen onderschept kunnen worden, bestaat er een weliswaar veel geringere mogelijkheid dat men gecodeerde berichten toch ontcijfert. Om dat te voorkomen, ontwerpt men steeds efficiëntere algoritmen. In de praktijk moet de gebruiker zich weinig zorgen maken : de codes zijn voldoende veilig.

Cryptografie lost veel problemen op, maar roept er ook andere in het leven. Om een boodschap te coderen en te ontcijferen, moet men met z’n tweeën zijn : de ene partij zet het bericht in code om en verzendt het, de andere ontvangt en decodeert het. Om dat te kunnen doen, hebben beide partijen één of meer sleutels (in de vorm van codes) nodig. Nu is het Internet internationaal, zodat het mensen van verschillende nationaliteiten met elkaar in contact brengt, terwijl de wetgeving van die landen inzake cryptografie allesbehalve uniform is.

Verbieden of toelaten ?

In Frankrijk is cryptografie gedeeltelijk toegelaten. In Duitsland geldt (voorlopig) geen enkele beperking, net als in Ierland en Griekenland. Indonesië en Pakistan hebben een verbod ingevoerd. In Rusland heeft men een vergunning nodig. In de VS is cryptografie niet verboden, maar wordt er wel een debat over gevoerd. Op de Belgische situatie komen we dadelijk terug.

De reden waarom bepaalde landen gekant zijn tegen cryptografie ligt voor de hand. Een gecodeerd bericht kan alleen ontcijferd worden door wie de sleutel bezit. Regeringen en gerechtelijke instanties kunnen dergelijke boodschappen dus niet lezen. Men denkt dan natuurlijk aan de min of meer paranoïde ideologieën uit de tijd van de hete of koude oorlogen, die bang zijn voor het uitlekken van staatsgeheimen of het Internet als een bedreiging voor de nationale veiligheid zien. Het Net wordt nu al vaak met de vinger gewezen omdat het extremistische ideeën verspreidt.

Bovendien kan de georganiseerde misdaad via het Internet communiceren. Crimineel gebruik van het Net bestaat wel degelijk, zoals uit bepaalde pedofiliezaken is gebleken. Men kan daar natuurlijk tegen opwerpen dat ook de gewone post of de telefoon voor dergelijke doeleinden kunnen worden gebruikt, maar in veel landen mag het gerecht post openen of telefoons afluisteren als er een vermoeden van misdaad bestaat, op voorwaarde dat het bepaalde procedures volgt die de privacy van de gewone burgers beschermen. Het is technisch heel goed mogelijk het Internet “af te luisteren”. Maar als de boodschappen gecodeerd zijn en de code niet gekraakt kan worden, levert het afluisteren niets op en wint de misdaad het pleit.

Gedeeltelijke oplossingen

Men kan op verscheidene manieren trachten de geit en de kool te sparen, met andere woorden de gerechtvaardigde privacy van de Internet-gebruikers te beschermen zonder criminelen carte blanche te geven. Zo zou men iedereen die zijn boodschappen codeert, kunnen verplichten om de codesleutel in te leveren bij een overheidsinstelling. In verdachte gevallen zou die dan de boodschappen kunnen ontcijferen waarbij men ervan uitgaat dat ze die mogelijkheid niet zou misbruiken. Deze oplossing roept al dan niet gerechtvaardigde bezwaren op. Wat zou er bijvoorbeeld gebeuren als misdadigers de sleutels zouden stelen en dus alle berichten zouden kunnen ontcijferen ? En zouden misdadigers hun sleutel wel inleveren ? Als ze het niet doen, zouden ze zich blootstellen aan vervolging… Het psychologische aspect is evenmin te verwaarlozen : zullen de Internet-gebruikers niet weigeren hun sleutels af te staan, uit angst dat hun privacy zal worden geschonden ? Daarnaast hebben weinig mensen bezwaar tegen het afluisteren van telefoongesprekken…

Men kan ook de “kracht” van de gebruikte sleutels afzwakken, zodat het mogelijk wordt boodschappen zonder al te veel problemen te ontcijferen, zelfs als men de sleutel niet kent. In dat geval verliest de cryptografie natuurlijk veel van haar aantrekkingskracht. Een echte oplossing is dit dus niet.

De Belgische wetgeving

Men begrijpt de bezorgdheid van de regeringen over het misdadige gebruik van codes waarop ze zelf geen vat hebben. In België laat een vrij recente wet (januari 1994) het gebruik van cryptografie toe. De codesystemen moeten echter goedgekeurd worden door het Belgisch Instituut voor Post en Telecommunicatie (BIPT). Cryptografie is niet verboden, maar er kan wel tegen worden opgetreden, want volgens artikel 95, alinea 1, kan het BIPT de goedkeuring intrekken indien “het systeem de middelen voor (…) de opsporing, kennisneming en opname van privé-telecommunicaties ondoeltreffend maakt”. Wat natuurlijk precies de bedoeling is van cryptografie…

Er zijn twee voorstellen ingediend om de wet, die volgens sommigen te arbitrair is, te wijzigen (het voorstel van senator Hatry wil onder meer het bovenvermelde artikel afschaffen). Het is de bedoeling de privacy en de veiligheid van transacties te garanderen, maar toch de mogelijkheid van een vorm van toezicht te behouden. Zo wil het wetsvoorstel van senator Bribosia onderzoeksrechters bevoegd maken om “assistentie bij het decoderen” in te roepen, assistentie die dan verplicht moet worden gegeven… eventueel door de makers van de code.

Het gevaar van ongeoorloofd gebruik is niet het enige probleem van het coderen van boodschappen. De cryptografie is immers een wetenschap waarin veel research wordt gedaan. Sommige landen hebben een voorsprong op andere, en in de oude context van de koude oorlog mocht de cryptografische technologie uiteraard niet in de handen van potentiële vijanden vallen. Die zouden dan immers niet alleen militaire boodschappen kunnen ontcijferen, maar misschien ook hun eigen berichten te goed kunnen coderen. Het Cocom ( Coordinating Committee for Multilateral Export Controls – een verbond van westerse staten) heeft indertijd de cryptografie als een gevoelige materie geklasseerd, net als wapens. Ze verbood de uitvoer naar bepaalde landen, onder meer naties die verdacht werden van steun of bijstand aan terroristen. Ook na de ontbinding van het Cocom (1 maart 1994) hebben de vroegere leden, waaronder de VS, de beperkingen in stand gehouden.

Gereglementeerde uitvoer

De regeringen leggen dus beperkingen op aan de uitvoer van cryptografie. Maar in tegenstelling met het internationale karakter van het Internet, lopen de verschillende nationale wetgevingen uiteen. Eén van de gevolgen grenst aan het belachelijke : wanneer twee bedrijven besluiten samen te werken en gegevens uit te wisselen, zullen ze dat in code willen doen, om lekken uit te sluiten. Als nu één van de bedrijven zijn eigen coderingssysteem ontwikkelt, is de kans groot dat het zijn code niet mag delen met de buitenlandse partner…

De Amerikaanse uitvoerbeperking geldt ook voor het programma PGP (Pretty Good Privacy), in de ogen van veel gebruikers de beste cryptografische software (bezoek de PGP-website op http://www.pgp.com). Het programma is door een Amerikaan gemaakt en valt dus onder de Amerikaanse uitvoerwet. Voor burgers van de VS zijn er geen problemen, maar buitenlanders kunnen slechts een “beperkte”, minder veilige versie opladen. De Verenigde Staten verbieden namelijk de uitvoer van coderingstechnieken die met sleutels van meer dan 50 bits werken, terwijl de veiligste systemen sleutels van 128 bits gebruiken. Er wordt aan een wetswijziging gewerkt, maar niemand weet voorlopig te vertellen of de nieuwe wet losser of strakker zal zijn…

Cryptografie is dus in veel gevallen noodzakelijk. Ze kan een commercieel gebruik van het Internet mogelijk maken. Wanneer de privé-sector brood ziet in deze technologie, zal het Internet zich kunnen ontwikkelen, aangezien de bedrijven er geld in zullen stoppen en het publiek zal volgen. En misschien hangt het overleven van het Internet daar wel van af…

FABRICE CLAES

OVERHEID WIL DE SLEUTEL Maar is ze daar wel mee te vertrouwen ?

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content