Je kunt nog onzichtbaar zijn op het internet

Er is hoop: niet het hele internet is aftapbaar door de geheime diensten. Dat is het goede nieuws. En het slechte nieuws? Het meeste is wel aftapbaar.

illustratie ruiter janssen

Niet het hele internet is stuk. Niet alles kan door geheime diensten worden afgeluisterd. Voor wie inmiddels murw is geslagen door de stroom onthullingen van Snowden en denkt dat privacy voorbij is – een fossiel uit de tijd van knipperende hyperlinks en bulletin boards: anonimiteit en privacy bestaan nog op het web. Een beetje.

Dat was de kerstboodschap van journalisten Laura Poitras, Jacob Appelbaum en collega’s van het Duitse weekblad Der Spiegel. Dit weekeinde presenteerden ze welke vormen van versleuteling niet of nauwelijks te kraken zijn door de Amerikaanse inlichtingendienst NSA en bondgenoten. Vooralsnog.

Want het zijn er inmiddels niet zo veel meer, blijkt uit documenten die door NSA-klokkenluider Edward Snowden zijn gelekt. Dat was de donkere rand rond het blijde nieuws dat de journalisten op de hackersconferentie van de Chaos Computer Club in Hamburg brachten, tegelijk met het artikel. Inlichtingendiensten kunnen al heel veel versleutelde communicatie wél ontcijferen. Dat was al bekend, maar nu is duidelijker wélke sleutels zijn gekraakt.

Oók VPN en https zijn onveilig

Met encryptie kun je je mail, gesprek of surfgedrag onleesbaar of onhoorbaar maken voor derden. Alleen wie de juiste sleutel heeft, kan de informatie ontcijferen. Heel vervelend voor inlichtingendiensten die graag meelezen. Encryptie kraken zit daarom standaard in de gereedschapskist van cyberspionnen, net als hacken, wachtwoorden stelen en zeekabels aftappen.

Wat de NSA en het Britse GHCQ al is gelukt: het afluisteren van internetverkeer via https, wat je gebruikt als je telebankiert of je creditcard bij een webshop invult. De NSA was van plan om eind 2012 tien miljoen https-verbindingen per dag te kraken.

Ook gelukt: het afluisteren van beveiligde VPN-verbindingen die je bijvoorbeeld opzet als je vanuit huis op het systeem van je kantoor inlogt. De NSA claimt VPN’s van luchtvaartmaatschappijen, telecombedrijven en diplomaten te hebben gekraakt.

Encryptie ontcijferen staat hoog op de agenda van de NSA en partners, nu iedereen het mag gebruiken. „Encryptie was altijd het domein van inlichtingendiensten”, zegt hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit. „Het komt uit oorlogsvoering. Eerst het kraken van Enigma van de Duitsers in de Tweede Wereldoorlog, toen het onderscheppen van communicatie in de Koude Oorlog.”

De crypto-oorlog duurt voort

In de jaren 70 gingen academici met versleuteling aan de slag. Jacobs: „Opeens gingen anderen met het speelgoed van inlichtingendiensten spelen. Dat gaf heftige reacties.” De crypto wars braken uit. Burgers wilden versleuteling waar niemand bij kan – niemand. Spionnen noemden dat een bedreiging voor de staatsveiligheid. De Amerikaanse overheid probeerde achterdeurtjes in encryptieprogramma’s te krijgen en eiste dat de FBI altijd een reservesleutel mocht opvragen.

In het begin van de eeuw leek de oorlog beslecht: iedereen kon en mocht sterke encryptie gebruiken. Maar in 2013 maakte The New York Times bekend dat de NSA al jaren actief versleutelstandaarden probeert te verzwakken door lobby, hacks en geheime achterdeurtjes in software van „industry partners”. Dat geeft inlichtingendiensten het voordeel, burgers en bedrijven die gevoelige informatie willen beschermen het nadeel. „Als de crypto-oorlog niet al verloren is”, zei Appelbaum, „dan is hij nog steeds gaande”.

Wat blijft er over? In documenten die in 2012 gelekt zijn, staat dat inlichtingendiensten TOR lastig vinden. TOR wordt volgens GHCQ gebruikt door „very naughty people” die anoniem willen surfen. Voor mails die met PGP zijn beschermd, een open-source-programma, is „no decrypt available”, vermelden documenten. Blijkbaar te moeilijk. ZRTP voor internettelefonie en OTR voor chat lijken ook veilig. En als die allemaal tegelijkertijd worden gebruikt, verliest de NSA helemaal het overzicht.

Een goede zaak, vindt Jacobs, die zelf TOR gebruikt als hij bijvoorbeeld iets medisch opzoekt en niet wil dat „de Googles der aarde” meekijken. „Encryptie verbieden is zoiets als burgers verbieden een brandkast te gebruiken”, zegt hij. „ Als je een agent vraagt: moeten mensen hun huis béter beschermen tegen inbraak, of mínder goed, voor het geval jullie een keer binnen willen vallen, wat zegt de agent dan? Beter beschermen, toch?”