Hoofdstuk 12
Inhoud
Cryptografie
Het toepassen van cryptografie, voor het beveiligen van telematica toepassingen, is nationaal en
zeker internationaal slecht geregeld, in die zin dat organisaties die dit willen gebruiken nauwelijks kunnen achterhalen wat wel en wat niet is toegestaan. Im- en exportcriteria zijn vaak
moeilijk te doorgronden en stammen meestal nog uit de tijd dat de digitale snelweg niet veel
meer dat een 'digitaal karrepad' was. Op het Internet komt echter steeds meer informatie over
deze materie on-line en dat maakt het voor betrokkenen in
ieder geval eenvoudiger om er kennis van te nemen en er eventueel tegen te ageren.
Door middel van wet- en regelgeving inzake cryptografie bij computers en netwerken willen
overheden controle blijven uitoefenen over het reilen en zeilen van de burger. Deze controle
wordt bij traditionele communicatiemiddelen, zoals het postverkeer, ook al uitgevoerd en dat is
bij wet geregeld. Zo is er de mogelijkheid om het briefgeheim te schenden en kunnen indien
gewenst telefoongesprekken worden afgetapt. Uiteraard zijn deze mogelijkheden terecht aan
strenge voorwaarden gebonden.
Het gebruik van cryptografie met behulp van computers stelt de overheid nu voor een 'nieuw'
probleem. Hoe kan men, indien men bijvoorbeeld staatsgevaarlijke activiteiten op het spoor is,
gegevens ontcijferen, of met andere woorden, hoe komt men in het bezit van de sleutel? Het
probleem is hier vele malen groter dan bij traditioneel postverkeer, aangezien dit slechts
beschermd wordt door een envelop. Er zijn twee mogelijkheden. De eerste is dat de wetgevers
de vercijferingssleutel opeist (indien men tenminste de persoon kent die de gegevens heeft
vercijferd). De tweede is door de vercijferde gegevens te gaan analyseren. In de praktijk betekent deze laatste optie dat men met bruut geweld (brut force), een krachtige computer, vercijferde gegevens probeert te ontcijferen. Beide methodes zijn niet eenvoudig uit te voeren en
leiden zeker niet altijd tot succes.
Internationale wet- en regelgeving op dit vlak is er niet of nauwelijks en binnen het Internet
wordt er over het algemeen gekozen voor een pragmatische, in plaats van een formele aanpak.
Ook nationale initiatieven van overheden komen maar moeizaam van de grond. In 1993 werd
het Clipper-initiatief in de Verenigde Staten als standaardoplossing voor het beveiligen van gegevens door de overheid aangedragen. Het werd echter met
scepsis ontvangen (Blaze, 1994). In de voormalige Sovjet-Unie stelde Jeltsin op 3 april 1995
per decreet met als titel 'On the measures of law enforcement in design, production, implementation and use of encrypting tools, and also in offering services of information encyption'
(Rossijskaja Gazeta, 1995), dat ongeveer 'alles', mits niet expliciet goedgekeurd, verboden is.
Igor V. Semenyuk noemde het decreet in een internationale elektronische discussiegroep over
beveiliging 'the worst re-incarnation of Clipper case'. In Frankrijk kiest men nog steeds voor
een recht-toe-recht-aan oplossing. Het gebruik van cryptografie is daar bij wet verboden, alleen
in uitzonderingsgevallen zoals voor bancaire transacties is het gebruik toegestaan.
In Nederland leverde in 1994 een voorontwerp van 'de Wet op Cryptografie' een storm van
protest op. Vanuit de juridische hoek stelde prof. Corien Prins: 'De overheid gaat bij het
voorontwerp uit van een zeer negatief vijandsbeeld'. Richard de Mulder, hoogleraar te Rotterdam, over de haalbaarheid: 'In het wetsontwerp cryptografie is het hebben van een programma
voor encryptie of
decryptie in een bruikbare vorm verboden. Dit is vragen om overtreding, handhaving zal nooit
lukken' (Geerlings, 1994).
De overheid stelde voor om een 'centraal beheerorgaan' in te richten waar alle toegepaste
vercijferingssleutels dienen te worden ingeleverd en opgeslagen. De overheid als goede herder,
een mooi ideaalbeeld, maar helaas ver buiten de realiteit. Internationaal opererende banken,
multinationals, belangengroeperingen zoals Greenpeace en Amnesty International zullen nooit
hun bestaan afhankelijk laten zijn van de integriteit van een externe partij.
Dergelijke wetsvoorstellen lijken soms ook niet geheel consistent met reeds bestaande wetten op dit punt. De Wet Computer Criminaliteit (1993) eist van een houder van een informatiesysteem dat dit voorzien is van een minimale beveiliging en de Wet op de Persoonsregistratie (WPR, 1989) eist een adequaat beveiligingniveau. Voor beide kan worden gesteld dat het gebruik van vercijferingstechnieken het enige afdoende hulpmiddel is om je echt veilig te voelen. Een stimulerend beleid ten aanzien van het gebruik van vercijferingstechnieken zou beter aansluiten bij deze wetgeving.
Recht op privacy
Wetsvoorstellen als hiervoor beschreven weerspiegelen niet de enige verschijnselen binnen het
Internet die mensen zorgen baren. In de Verenigde Staten is op 14 juni 1995 door de senaat een
amendement gegekeurd met als titel 'The Communications Decency Act of 1995' (Amendment
No. 1362). Als doel wordt omschreven: 'To provide protections against harrassment, obscenity
and indecency to minors by means of telecommunications devices'. In dit amendement wordt
onder andere voorgesteld om iedereen die op een of andere manier betrokken is bij het ontsluiten van 'obscene informatie' strafbaar te stellen. Dit betekent dat een Internetaanbieder gestraft
kan worden indien via zijn netwerk obscene informatie wordt verspreid. Consequentie hiervan
zou kunnen zijn dat een Internetprovider informatiestromen moet gaan bestuderen, om dergelijke berichten te onderscheppen. Het recht op privacy van de gebruikers komt hierdoor direct in
gevaar.
De reactie van Internetactivisten, onder leiding van de Electronic
Frontier Foundation, was dat er in het amendement op geen enkele wijze werd duidelijk
gemaakt hoe die bescherming zou moeten worden gerealiseerd, met als gevolg dat de vrijheid
van menigsuiting hierdoor in gevaar zou kunnen komen.
Een Nederlandse variant van de EFF is de in juni 1994 opgerichte Digitale Burgerbeweging Nederland. Deze profileert zich als
volgt: 'Informatie- en communicatietechnologie biedt de samenleving kansen. De Digitale
Burgerbeweging Nederland wil die kansen grijpen en de dreigingen tegengaan'. Een van hun
acties betroft het ageren tegen de verkoop van Kabeltelevisie Amsterdam (KTA) aan US West
en Philips.
Eén van de gevoeligheden lag ook op het punt van censuur. Het Parool van 21 juni
1995 daarover: 'Het is onduidelijk of de koper US West zich moet houden aan
de Amerikaanse wetgeving, en dus aan de zojuist aangenomen Communications Decency Act,
die censuur pleegt op het Internet. Als dat laatste het geval is, mag niet aan US West verkocht
worden'. De verkoop is begin juli 1995 afgerond en hoewel de auteurs van dit boek geen
juristen zijn, lijkt het hun zeer onwaarschijnlijk dat er zich Amerikaanse taferelen in Amsterdam zullen gaan afspelen.
Het privacy aspect komt soms op onverwachte momenten naar voren. Bijvoorbeeld bij het gebruik van WWW. Het populaire netsurfen met WWW-clients gaat in de praktijk niet zo anoniem als menig gebruiker denkt. Er wordt namelijk door sommige servers bij elke WWW-pagina die wordt geraadpleegd een aantal kenmerken van de gebruiker geregistreerd. Deze informatie, waarvan in tabel 9 een voorbeeld is weergegeven, kan zeer bruikbaar zijn voor marketingdoeleinden. Zo wordt precies weergegeven vanaf welke werkplek 'duoez.surfnet.nl' en met welke hard- en software 'Mozilla/1.1N (Macintosh; I; 68K)' een gebruiker informatie heeft geraadpleegd.
Tabel 9: Registratie van gebruik
GATEWAY_INTERFACE:CGI/1.1
HTTPS:OFF
HTTP_ACCEPT:*/*, image/gif, image/x-xbitmap, image/jpeg
HTTP_USER_AGENT:Mozilla/1.1N (Macintosh; I; 68K)
PATH:/usr/sbin:/usr/bin
REMOTE_ADDR:192.87.108.62
REMOTE_HOST:duoez.surfnet.nl
REQUEST_METHOD:GET
SCRIPT_NAME:/cgi-bin/printenv
SERVER_NAME:www.uiuc.edu
SERVER_PORT:80
SERVER_PROTOCOL:HTTP/1.0
SERVER_SOFTWARE:Netscape-Commerce/1.1b2
SERVER_URL:http://www.uiuc.edu
TZ:US/Central
Tabel 9 is het resultaat van raadplegen via http://www.uiuc.edu/cgi-bin/printenv.