Code als strijdmiddel voor privacy van elektronische post

Pretty Good Privacy is een programma waarmee elektronische post kan worden gecodeerd. Cipherpunks van Internet en mensenrechten-activisten gebruiken het, maar ook criminele organisaties. Philip Zimmermann, de man die PGP maakte, werpt zich op als verdediger van de 'burgerlijke vrijheden' op de elektronische superhighway.

Tijdens de krachtmeting tussen Boris Jeltsin en het Russische parlement vorig jaar oktober, toen de vrijheid in Rusland op het spel stond, ontving programmeur Philip Zimmermann een bericht uit Letland in zijn elektronische brievenbus: “Als Rusland in handen van een dictatuur valt, is uw PGP wijd verbreid van de Oostzee tot de Beringstraat en zal het waar nodig democraten helpen. Bedankt.”

PGP - van Pretty Good Privacy - is de naam van een door Zimmermann geschreven programma waarmee men computerberichten kan coderen. Het wordt over de hele wereld door dissidenten gebruikt om hun elektronische post te beschermen tegen de pottekijkers van de (geheime) politie.

Maar PGP heeft ook een schaduwzijde: in het Californische Sacramento klaagt de politie dat vorig jaar het dagboek van een veroordeelde kinderlokker door 'encryptie' (zoals dat heet) met PGP onleesbaar was, waardoor essentiële informatie over connecties met een mogelijke kinderporno-bende verborgen bleef.

Het door vrijheidsminaars en criminelen hooggeprezen PGP heeft nóg een eigenschap: het is niet te kraken, althans moeilijker dan enige andere bestaande code. Zelfs de Amerikaanse federale recherche (FBI) is er niet in geslaagd. En dat dreigt Philip Zimmermann, een buikige, baardige veertigjarige computerdeskundige die hard op weg is een volksheld van de elektronische snelweg te worden, noodlottig te worden.

Voor het federale hof in het Californische San José is namelijk een rechtszaak aangespannen om vast te stellen of Zimmermann het verbod op de export van encryptie-middelen heeft overtreden. De FBI verdenkt hem ervan een rol te hebben gespeeld in de verspreiding van PGP via Internet, een wereldomspannend web van computernetwerken, waardoor buitenlandse regeringen en terroristen hun computer-communicatie nu op eenvoudige wijze 'immuun' kunnen maken voor Amerikaanse spionage.

Het mondiale gebruik van Zimmermanns programma verandert in een klap alle gangbare opvattingen over overheidscontrole, elektronisch briefgeheim en exportverboden op het gebied van cryptografie. Tot voor kort kon men moeilijke codes altijd nog kraken door de sleutel tot de coderingspuzzel te stelen. Maar PGP maakt, net als een toenemend aantal andere encryptie-programma's, gebruik van een nieuwe, wiskundig geavanceerde encryptie-technologie die met twee verschillende sleutels werkt, die beide nodig zijn om de puzzel op te lossen. De afzender heeft voor het verzenden van een bericht aan één sleutel genoeg. De onvanger decodeert het bericht met de tweede sleutel - die altijd in zijn computer kan blijven zitten, waar hij kan worden beschermd door wachtwoorden. Hoewel er indrukwekkende wiskundige berekeningen in het spel zijn, zorgt het programma voor een vlotte, eenvoudige afwerking.

In een tijd waarin computers in een oogwenk zulke duivels lastige codes kunnen aanmaken en de hele wereld rond kunnen sturen aan iedereen die een PC heeft, hebben de decoderings-instanties het moeilijk. Alleen al via Internet zijn 20 miljoen mensen met elkaar verbonden. “De geest is uit de fles,” aldus Leonard Mikus, directeur van ViaCrypt, een bedrijf in Phoenix (Arizona) dat voor honderd dollar een versie van PGP op de Amerikaanse markt brengt. “Deze technologie is op geen enkele manier meer een halt toe te roepen.”

De mondiale verkrijgbaarheid van encryptie-programma's maakt elke exportbeperking tot 'een lachertje', meent Stephen Walker, voormalig top-cryptoloog bij de Amerikaanse Nationale Veiligheidsdienst (NSA), die nu directeur is bij Trusted Information Systems, een research-firma in Glenwood (Maryland). Walker zegt Europese regeringsfuntionarissen te kennen die PGP gebruiken voor hun persoonlijke E-mail (elektronische post). “We zullen onder ogen moeten zien hoe de zaken ervoor staan.”

Philip Zimmerman, tweemaal gearresteerd als anti-kernwapenactivist, werd in 1990 'elektronisch vrijheidsstrijder'. Destijds werd door de FBI en de NSA aangedrongen op een wet die bepaalde vormen van encryptie zou verbieden en die computerfabrikanten zou verplichten hun produkten zo te bouwen dat politie en justitie altijd in staat zouden zijn om gebruikte codes te kraken. Op de voorstellen werd verbolgen gereageerd door zowel vertrouwelijk opererende ondernemingen als computergebruikers. Tenslotte werden ze ingetrokken.

Terwijl de kwestie nog in discussie was, besloot Zimmermann de regering de voet dwars te zetten en hij begon aan wat uiteindelijk PGP zou worden: een vrijwel onkraakbare code die door praktisch iedereen te gebruiken was. “Ik heb het gedaan om het volk in te enten tegen het gevaar van overheidsspionage,” zegt hij. Zimmerman gaf zijn consulentschap eraan, en sloot zich op in een achterkamer vol computers in een bungalow in Boulder (Colorado), waar hij woont met zijn vrouw en twee kinderen. Hij zegt dat een half jaar lang twaalf uur per dag aan het programma heeft gewerkt, het spaargeld van zijn gezin erdoor heeft gejaagd en vijf maanden hypotheekachterstand heeft opgelopen. In juni 1991 was het programma af.

Kort daarop gaf hij zijn encryptie-programma aan een paar vrienden. Een van hen, wiens naam hij niet wil noemen, heeft het volgens hem in juni of juli 1991 op Internet gezet. Eenmaal daar aangeland kon het programma worden gekopieerd door iedere computergebruiker ter wereld die toegang had tot Internet. En binnen de kortste keren deden veel mensen dat dan ook.

Maar de Amerikaanse wet op de handel in munitie verbiedt de uitvoer van encryptie-software zonder vergunning. Een jaar geleden vroeg de Amerikaanse douane Zimmermann hoe zijn programma de grens overging. In september kreeg hij van het bureau van de federale aanklager in San José, dat deskundig is inzake computercriminaliteit door de nabijheid van Silicon Valley, te horen dat er een onderzoek tegen hem liep. Zimmermann stelt dat hij PGP niet het land uit heeft verstuurd en het evenmin in een computernetwerk heeft geplaatst.

Ook RSA Data Security Inc. is boos op Zimmermann. Volgens deze computer-beveiligingsfirma heeft Zimmermann bij het schrijven van PGP zonder toestemming gebruik gemaakt van een van haar cryptografische algoritmen [rekenprocédé's], en wel nadat RSA hem het vrije gebruik daarvan had ontzegd.

“We zeggen wel eens bij wijze van grap dat PGP staat voor Pretty Good Piracy,” (piracy = piraterij) aldus James Bidzos, directeur van RSA. “Wat hij heeft gedaan was simpel. In deze branche ga je niet zomaar iemands intellectuele eigendom roven.” RSA dat zijn technologie en het encryptie-programma MailSafe verkoopt aan de meeste grote softwarebedrijven, heeft Zimmermann geen proces aangedaan. Maar een ieder die wordt betrapt op het gebruik van PGP krijgt wel een brief waarin RSA het auteursrecht voor zich opeist. PGP wordt in het bedrijfsleven dan ook weinig gebruikt, en veel universiteiten en commerciële databanken weren het van hun systemen.

Onder particulieren is PGP inmiddels min of meer een standaardcodering voor E-mail via het Internet geworden. Een student in Glendale (Californië) die zich op het Internet Monk laat noemen, schrijft: “Het is gratis; het is betrouwbaar; het bevordert de privacy. Wat kan iemand erop tegen hebben?” Terwijl de NSA controle op encryptie wil kunnen uitoefenen, hebben 'een bedrijfje van niks en een weergaloze held daar iets aan gedaan', aldus Thomas Lipscomb, president van InfoSafe Corp., dat beveiligingsmethoden voor CD-ROM-producenten ontwikkelt.

De vrees dat E-mail wordt onderschept door 'hackers' (computer-inbrekers) heeft een hausse in het gebruik van PGP onder 'gewone' Internet-abonnees teweeggebracht. Craig McKie, docent sociologie aan de Carleton-universiteit in Ottawa, onderwerpt hoofdstukken van een nieuw boek aan PGP voordat hij ze naar zijn uitgever zendt, uit vrees dat anders 'de kopieën bij miljoenen de wijde wereld in verdwijnen'. Lance Cottrell, astronoom aan de vestiging in San Diego van de Universiteit van Californië, zegt dat hij PGP gebruikt om ongepubliceerde waarnemingen uit te wisselen met medewerkers zonder het gevaar dat anderen hem voor zullen zijn met de publicatie van een ontdekking.

PGP helpt daarnaast het overigens nogal 'lekke' Internet veilig te maken voor handelsdoeleinden. Leden van de Electronic Frontier Foundation, een groepering die ijvert voor de 'elektronische vrijheid van meningsuiting', kunnen hun betalingen verrichten door met PGP versleutelde creditcard-nummers via computernetwerken te versturen. S. Soloway Inc., een accountantsbureau in Palo Alto (Californië) behandelt de reservekopieën van zijn bestanden met PGP, zodat cliënten niet bevreesd hoeven zijn dat vertrouwelijke informatie in verkeerde handen valt als de banden verloren raken of worden gestolen. Kenneth Bass, advocaat in Washington, correspondeert in PGP-code met sommige cliënten en met andere juristen.

Voor mensenrechten-activisten kan het desastreuze gevolgen hebben als hun bronnen onbetrouwbaar zijn. Daniel Salcedo, werkzaam bij het mensenrechtenproject van het Amerikaans Genootschap ter Bevordering van de Natuurwetenschap in Washington, leert activisten in El Salvador en Guatemala PGP te gebruiken. “In deze branche vallen erg veel doden,” aldus Salcedo.

Volgens de schrijver Alan Dawson, die in Thailand woont, gebruikt het georganiseerde verzet tegen het regime in het buurland Birma PGP om het berichtenverkeer tussen de groepen opstandelingen onderling te coderen. Voordat de toepassing van PGP wijd verbreid raakte, zo schrijft Dawson aan Zimmermann, “hebben in beslag genomen documenten rechtstreeks tot de arrestatie, marteling en dood van soms hele gezinnen geleid.”

Maar volgens misdaadbestrijders bevorderen PGP en andere encryptie-programma's de criminaliteit. William Spernow, deskundige op het gebied van computer-criminaliteit bij Search Group, een firma in Sacramento (Californië) die met overheidsgeld politiemannen opleidt, voorspelt dat criminelen binnen twee jaar al hun informatie zullen versleutelen met PGP. “Dat zou het eind van het gerechtelijk computer-onderzoek kunnen inluiden voordat het goed en wel van de grond is gekomen,” aldus Spernow.

James Bidzos van RSA zegt al meermalen door de politie in Miami te zijn gebeld om assistentie bij het ontcijferen van informatie in computers die in beslag zijn genomen tijdens invallen bij drugscriminelen. Volgens hem is de encryptie niet te kraken. Spernow heeft één geval bestudeerd waarin een fraudeur een dubbele boekhouding bijhield - de echte gecodeerd met PGP.

Zimmermann zegt het zorgelijk te vinden dat criminelen gebruikmaken van encryptie, maar meent dat het voordeel van algemeen beschikbare elektronische privacy zwaarder weegt: “Echte privacy is in het informatie-tijdperk niet te realiseren zonder goede encryptie.”

Ook binnen ondernemingen is encryptie aanleiding tot bedenkingen. Kenneth Bass, de advocaat in Washington, tekent aan dat de meeste ondernemingen zich het recht voorbehouden om de E-mail van hun employees te lezen, omdat die wordt geschreven op bedrijfscomputers en wordt verzonden via het bedrijfsnetwerk. “Wat zal men gaan doen wanneer werknemers onderlinge berichten van encryptie gaan voorzien?” vraagt hij zich af.

Zonder encryptie van E-mail zou controle op grote schaal gemakkelijker zijn. Theoretisch zouden computers van CIA, FBI en politie telefoonlijnen kunnen aftappen en scannen op woorden als 'projectiel' of 'bom' om zo mensen te ontdekken die in aanmerking komen voor nadere observatie. Zimmermann: “Dat is analoog aan vissen met een drijfnet.”

Computer-encryptie “is nu eens een technologie waarbij de burgerlijke vrijheden baat hebben,” vervolgt hij. “De sterke arm profiteert al van zoveel nieuwe technologie,” zoals telefoons die onmerkbaar af te tappen zijn. Zimmermann tracht dan ook financiers te vinden voor een nieuw project: een telefoon in combinatie met een PC, een microfoon en een luidspreker die encryptie van gesprekken mogelijk maakt, net zoals PGP dat doet met datacommunicatie.

Zimmermann staat al heel lang argwanend tegenover de overheid. Na zijn jeugd in Boca Raton (Florida), waar hij in codes geïnteresseerd raakte door een kinderboek over geheimschrift, verhuisde hij in 1978 naar Boulder waar hij werkte als computertechnicus. Nadat hij in 1985 met 3.000 anderen was ontslagen, vestigde hij zich als zelfstandig adviseur op het gebied van telecommunicatie en databeveiliging.

Zimmermann zegt nooit actief te zijn geweest op Internet en stelt: “Ik ben geen cipherpunk - ik trek een pak aan als ik cliënten bezoek.” Maar hij huldigt wel hetzelfde ideaal, elektronische vrijheid van meningsuiting, als de cipherpunks - Internet-habitués die de cyberspace vullen met verzengende kritiek op het voorstel van de regering in Washington om het gebruik van de zogeheten clipper-chip te stimuleren. Die chip zou encryptie van vertrouwelijk dataverkeer mogelijk maken, maar de overheid zou een sleutel bezitten waarmee ze - met toestemming van de rechter - berichten zou kunnen ontcijferen wanneer de wetshandhaving of de nationale veiligheid dat wenselijk maken.

Volgens Zimmermann bevestigt het clipper-chip-project nog eens de behoefte aan PGP, omdat eruit blijkt dat de overheid E-mail wil kunnen lezen: “Ze behandelen ons als de bevolking van een vijandelijk land.”

© Copyright: The Wall Street Journal