Haagse zeven

Alle kranten wisten het maandag al: in een nog vertrouwelijk rapport van het Ministerie van Binnenlandse Zaken dat vrijdag, gisteren, in de ministerraad besproken zou worden, stond dat alle rijksambtelijke e-mail op slot zou gaan. De titel `Communiceren in vertrouwen' ten spijt was de inhoud van het rapport dus al vijf dagen eerder gedeeltelijk bij het journaille bekend geraakt. Zulke ruimhartige openheid was kennelijk alleen buiten het Haagse betracht, want de website van het ministerie wist zelfs donderdag nog van niets. Die hield het qua actualiteiten bij de burgemeestersvacatures in Littenseradiel (waar zou dat liggen, en wie verzint toch al die Intratuin-achtige namen?) en Ambt Montfort.

Hoe het rapport precies was uitgelekt viel niet meer te achterhalen, maar als het per e-mail gebeurde, was er zeker sprake van opzet. Immers, de eerste journalist die het flauwste benul heeft van hoe je andermans e-mail kunt onderscheppen, moet ik nog tegenkomen. Maar het zou wel toepasselijk zijn.

In het rapport wordt namelijk voorgesteld om het e-mailverkeer van alle ongeveer honderdduizend rijksambtenaren in Nederland te gaan versleutelen, om ongewenste pottekijkers buiten te houden. Alle mail zou ook digitaal gesigneerd gaan worden, zodat de ontvanger zeker weet met wie hij van doen heeft. Het schijnt namelijk nogal eens voor te komen dat `derden' zich als ambtenaar voordoen, om zo informatie los te krijgen waar ze geen recht op hebben.

Een verstandige gedachte, zou je zeggen. En op zichzelf is het coderen en digitaal signeren van e-mail ook niets nieuws en goed uitvoerbaar. Maar afgaande op de uitgelekte informatie rijzen er toch heel wat vragen. Vragen, waarvan waarop je mag hopen dat het rapport goede antwoorden geeft.

Honderdduizend mensen wiens berichtenverkeer voor onbevoegden binnen en buiten de groep onleesbaar gemaakt moet worden, dat is geen kattepis. Domweg met zijn allen een code afspreken helpt niet. Onderling biedt dat helemaal geen bescherming, en een door zo veel mensen gedeeld geheim heeft een levensduur die slechts meetbaar is in nanoseconden.

Een betere manier is de decentrale methode. Die komt erop neer dat je elke ambtenaar zijn eigen code en sleutels geeft en laat beheren. Dat lijkt idioot, maar met public-key methoden is zo'n systeem in principe wel uitvoerbaar.

Bij public-key encryptie pakt de verzender zijn bericht in met behulp van een openbare sleutel die de bedoelde ontvanger van te voren bekend gemaakt heeft. Eenmaal versleuteld kan het bericht niet meer met diezelfde sleutel ontward worden. Dat kan alleen met de bijbehorende persoonlijke sleutel van de ontvanger. Kortom, iedereen kan met uw publieke sleutel berichten onleesbaar maken, maar alleen u kunt ze daarna nog ontcijferen. Zolang de persoonlijke sleutel maar geheim blijft, is vertrouwelijkheid verzekerd. Geef dus elke ambtenaar zijn eigen paar sleutels, zet de bijbehorende publieke sleutels in een openbaar register, klaar! In theorie, dan wel, want er zijn een paar nare praktische sta-in-de-wegs.

Om te beginnen zijn bestaande public-key codeerprogramma's voor e-mail zo gebruikersvriendelijk als een heimachine. Van de gemiddelde rijksambtenaar kun je echt niet vragen dat hij er zomaar effectief mee kan omgaan En zelfs dan blijft het gedoe. Dat leidt onvermijdelijk tot irritatie en ontwijkingsgedrag. Steeds vaker zullen mailtjes toch weer open en bloot verstuurd worden. De gaten vallen in zo'n systeem waar je bij staat.

Dat is misschien op te lossen door een nieuw, volkomen onopgemerkt werkend programma te bouwen. Maar het feit dat zoiets niet al bestaat is veelzeggend. Met de drie tot tien miljoen gulden die voor het project zijn uitgetrokken kom je in elk geval nergens.

Weerbarstiger is het probleem dat, alle waterdichte procedures ten spijt, dingen nu eenmaal zoekraken. Denk aan de verdwenen dossiers van de Zuidhollandse `treasurer' Baarspul. Er zullen op honderdduizend ambtenaren dus heel wat persoonlijke sleutels zoekraken. Ze zullen oplossen in computercrashes, in het ongerede raken als iemand naar een andere afdeling verhuist, of het om onverklaarbare redenen `ineens niet meer doen'. Niet alleen moet dan al diegenen wiens post onderweg voor eeuwig onleesbaar geworden is, gevraagd worden om hun hartekreten opnieuw te coderen en op te sturen (wel eens geprobeerd in ambtenarenland? Vragen om een kopietje?), ook blijven nog heel lang mensen die niet dagelijks contact hebben onleesbare letterbrei aan elkaar sturen, omdat ze een verouderde openbare sleutel gebruikt hebben. Dat betekent opnieuw irritatie, misverstanden, en uiteindelijk ontwijkingsgedrag. Grootschalige decentrale encryptie lekt als een zeef.

Er is nog een andere aanpak denkbaar, die van zulke problemen minder last heeft: centrale encryptie. De ambtenaren merken niets, maar een centrale instantie zorgt dat mailtjes voor ze de computer verlaten worden versleuteld, en bij aankomst op de juiste ontvangende computer weer ontsleuteld. Of mooier nog: pas bij vertoning op het scherm worden gedecodeerd, zodat ook het hele postarchief automatisch onleesbaar is. En waarom niet meteen ook alle andere elektronische archieven?

Ook zo'n systeem bouw en installeer je gegarandeerd niet voor maximaal tien miljoen gulden (dat is een snip per ambtenaar!), maar het is wel de bureaucratische natte droom bij uitstek: alle informatie volautomatisch perfect beschermd! Een ragfijne, precies doseerbare informatiezeef, waarbij niets onbedoeld meer naar buiten kan komen.

Maar zo wordt externe controle op overheden effectief onmogelijk. Het bestuur, van hoog tot laag, krijgt als vanzelf een BVD-achtig gesloten karakter waartegen geen Wet Openbaarheid Bestuur meer helpt. Ook intern, want een ambtenaar kan zelfs zijn eigen berichten niet meer nazien, of bewijzen dat ze überhaupt bestaan, tenzij de sleutelbewaarder, zijn hoogste baas, dat toestaat.

In Amerika is ten behoeve van opsporingsinstanties als FBI en NSA encryptie van overheidsberichten compleet verboden. Dat vinden wij onzin. Maar vervang NSA en FBI door Democratische Controle, en er valt ineens heel wat voor te zeggen.