Wachten tot Robert M. wachtwoord gaf

Twintig eeuwen. Zo lang kan het duren om een ‘versleuteld’ wachtwoord van tien tekens op een computer te ontcijferen. En versleutelen is makkelijk.

Het beveiligen van computergegevens is een fluitje van een cent. Het programma Truecrypt, dat Robert M. zou hebben gebruikt om zijn kinderpornobestanden te camoufleren, is gratis te downloaden op de website truecrypt.org.

En het is niet alleen handig voor criminelen. Ook wie niet wil dat zijn laptop of usb-stick bij verlies alle gegevens zomaar prijsgeeft, kan zijn informatie beschermen. Regelmatige alarmberichten over verloren informatiedragers tonen aan dat zelfs bedrijven dit nogal eens nalaten. Ook de auteur van dit artikel gebruikt Truecrypt.

Hoe werkt zo’n programma?

Zoals bij geheimschrift elke letter van een woord vervangen kan worden door een andere letter, zo worden bij het coderen van computerinformatie getallen vervangen door andere getallen. Voor het ‘terugrekenen’ is een wachtwoord of sleutel nodig. Dat is in essentie ook weer een getal dat bij het rekenproces wordt gebruikt.

Encryptie kan zwakheden hebben. Bij de geheimtaal die iedereen op de basisschool wel heeft toegepast, zijn dat de spaties en de frequenties van de letters. Bij encryptie op computers kunnen zwakheden bijvoorbeeld zitten in flarden informatie die tijdens normaal gebruik terechtkomen op niet-gecodeerde delen van de computer.

De gebruiker die deze valkuilen kent, kan ze vermijden. Robert M. was waarschijnlijk meer dan de gemiddelde kantoorwerker gemotiveerd om zijn informatie te beveiligen.

Een mogelijke zwakke plek zit in het gekozen wachtwoord. Als dat kort is, is het makkelijk te raden door alle mogelijkheden te proberen: de ‘brutekrachtaanval’. Als het bestaat uit normale woorden is het vatbaar voor de ‘woordenboekaanval’, waarbij gewone woorden of combinaties daarvan worden geprobeerd. Door het geringere aantal mogelijkheden kost deze aanval minder tijd.

Maar als een wachtwoord hoofdletters, kleine letters, cijfers en leestekens bevat en maar lang genoeg is, is het raden van alle mogelijkheden niet uitvoerbaar. Met elk extra teken in het wachtwoord wordt het aantal mogelijkheden honderd keer zo groot. Voor het raden van een wachtwoord van slechts acht tekens heeft een supercomputer maximaal twaalf weken nodig (maximaal omdat de eerste poging raak kan zijn); bij tien tekens is dat veel meer: twintig eeuwen.

Het mooie van encryptie is dat het coderen en decoderen van de informatie door bevoegde personen relatief weinig rekentijd kost. In het normale gebruik van de computer is er niets van te merken. Ook niet als tijdens het werken bestanden worden gelezen en opgeslagen op een gecodeerde schijf. En zelfs niet als bijvoorbeeld muziek wordt afgespeeld van een gecodeerde bron.

Maar het onbevoegd decoderen vereist een buitensporige inspanning door het grote aantal mogelijkheden. In het geval van Robert M. zat er mogelijk niets anders op dan te wachten tot het de betrokkene behaagde het wachtwoord te geven.

Doordat computers steeds sneller worden, zijn er wel telkens nieuwe cryptografische technieken en langere wachtwoorden nodig. Kortom: iedereen die dat echt wil, kan zijn informatie beveiligen. Perfect bestaat niet, goed genoeg wel. Het is vervelend dat een crimineel dit in zijn voordeel kan gebruiken. Maar de keerzijde van de medaille is dat encryptie ook een krachtig instrument is om belangrijke informatie tégen criminelen te beschermen.