Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

Anonimiteit en privacy op het internet

Alhoewel het internet een steeds belangrijker deel van het dagelijks leven wordt, blijven twee aspecten zwaar onderbelicht: het hebben of verkrijgen van anonimiteit, en het garanderen van privacy op het Internet. En als deze aspecten al aandacht krijgen, dan is het vaak in negatieve zin.

Nu steeds meer mensen gebruik gaan maken van dit netwerk, is het misschien goed om eens na te gaan op welke manieren derden zonder toestemming privé-bestanden kunnen inlezen, en hoe men zijn identiteit kan verbergen indien dat nodig is.

Inhoudsopgave

Anonimiteit op het Internet

Het lijkt een gewone advertentie in een krant. "40 jr. oude heer zoekt contact met jongere vrouw (25-30) om samen mee uit te gaan; rel. niet uitgesloten. Brieven onder nummer 50386." Het verschil is, dit bericht verscheen niet in een krant, maar is afkomstig van een van de discussiegroepen van het Internet, en het artikel werd gepost via een 'anonieme remailer (Engelstalig)', gesitueerd in Finland.

Anon.penet.fi

Deze Finse server, genaamd "anon.penet.fi", was de meest populaire op het Internet, wat waarschijnlijk komt door de eenvoudige manier van gebruiken. Op het hoogtepunt had de site meer dan 400.000 geregistreerde gebruikers, en werden er dagelijks zo'n 8.000 berichten verwerkt.

Wat is een remailer

Een 'remailer' is niets anders dan een computer met een grote database, die van elk inkomend e-mail bericht de afzender verwijdert, en vervangt door een uniek nummer, waarna het bericht doorverzonden wordt naar de ontvanger. In de database wordt bijgehouden welk adres hoort bij dat nummer, zodat een antwoord van de ontvanger doorgestuurd kan worden naar de oorspronkelijke verzender.

Het systeem stelt haar gebruikers ook in staat om berichten anoniem in de discussiegroepen te plaatsen, wat onder andere het bovenstaande bericht mogelijk maakte. Het is dus mogelijk om via dit systeem een correspondentie met iemand op te bouwen zonder dat je ooit te weten komt wie deze persoon nu werkelijk is.

Negatieve kijk op remailers

Wanneer systemen als deze in het nieuws komen, wordt deze kant van de zaak meestal niet tot nauwelijks bericht. De nadruk wordt meestal gelegd op de mogelijkheden tot misbruik van het systeem, doordat het bijvoorbeeld ook mogelijk is om iemand anoniem dreigbrieven te sturen, of doordat het mogelijk is om illegaal materiaal te versturen zonder dat de verzender opgespoord kan worden. Men vergeet echter dat dit soort dingen eerder uitzondering dan regel zijn, en bovendien wordt uit het oog verloren waarvoor deze systemen bedoeld zijn.

Het meest populair zijn remailers in discussiegroepen over zeer gevoelige onderwerpen, zoals seksueel misbruik, discriminatie, vervolgingen en recentelijk ook bij het discussi�ren over de Scientology sekte, die bekend staat om haar hardhandige aanpak van critici. Ook in discussiegroepen over taboe-onderwerpen of sociaal niet geaccepteerde afwijkingen komen dit soort berichten vaak voor. Zonder deze systemen zouden de gebruikers geen enkele mogelijkheid hebben om deel te nemen aan discussies.

Anonimiteit in de maatschappij

Een veel gehoord bezwaar tegen remailers is dat anoniem zijn nergens voor nodig is. "Als je iets wilt zeggen, waarom zou je er dan niet je naam onder willen zetten?" is een veelgehoorde opmerking wanneer iemand anoniem deelneemt aan een discussie. Ook wordt regelmatig de opmerking gemaakt dat een bericht van een anonieme gebruiker niet de moeite van het lezen waard is, zuiver en alleen omdat de afzender een "postbus" gebruikt in plaats van een "echt" adres.

Anonimiteit is normaal

In onze maatschappij is het echter wel geaccepteerd om anoniem te zijn in een groot aantal situaties. Niemand vraagt om legitimatie bij de supermarkt, er is geen enkele verplichting om uzelf te identificeren wanneer iemand u opbelt (Nederland is een van de weinige landen waar dit gebruikelijk is), en niemand controleert of u wel uw eigen adres als afzender op een brief vermeldt. Of sla eens een krant open. In verreweg de meeste gevallen is er geen enkele identificatie van de auteur, een tekst als "Van onze verslaggever" is alles. En toch protesteert niemand hier tegen.

Behoefte aan anonimiteit

Verder zal, naarmate het Internet belangrijker wordt in onze samenleving, de behoefte aan anonimiteit steeds groter worden. Is het werkelijk altijd nodig om een bericht op het Net te ondertekenen met je ware naam? Wat doe je dan als je als medewerker van een bedrijf informatie wil aanvragen over een ander bedrijf, omdat je overweegt over te stappen? In zo'n situatie is het misschien beter om dit verzoek niet onder je echte naam te doen, omdat daar meestal ook bijstaat bij welk bedrijf je werkt.

Een ander bekend voorbeeld is het zgn. 'whistle-blowing', het bekend maken van misstanden binnen het bedrijf. En natuurlijk is het altijd mogelijk dat je in een land leeft waar vrijheid van meningsuiting heel wat minder normaal is, waardoor het gebruik van anonimiteit een noodzaak is om een bezoek van de geheime politie te vermijden.

Een bekende persoonlijkheid kan bijvoorbeeld op deze manier meedoen aan discussies, zonder meteen bedolven te worden onder de fanmail. Ongeveer twee jaar terug, tijdens een discussie over dit onderwerp, berichtte iemand het verhaal van een wiskunde-leraar die moeite had met een bepaald onderdeel uit zijn nieuwe lesmateriaal, en anoniem een verzoek om hulp in een nieuwsgroep plaatste.

Hoe relevant is een identiteit

Op het Internet heerst bovendien ook de gedachte dat de werkelijke identiteit van een gebruiker er weinig toe doet. Tenslotte is het netwerk zo groot dat deze naam je toch weinig zal zeggen, dus wat voor verschil is er dan nog met een anoniem adres? Veel gebruikers maken nu al gebruik van een alias of bijnaam wanneer zij post versturen, en alhoewel het dan mogelijk is om de echte naam te achterhalen, wordt dat meestal niet gedaan. Als je iemand tenslotte kent als "Beowulf", wat schiet je er dan mee op als je te weten komt dat diens echte naam "John Smith" is? En doet het er dan nog toe of Beowulf's adres een adres is van een "echte" Internet provider, of een door een remailer toegewezen anoniem adres ("postbusnummer")?

Elektronische privacy

Anonimiteit is nuttig, maar systemen als de hierboven beschreven 'remailers' hebben weinig zin wanneer alle berichten voor iedereen leesbaar worden verzonden. Het Internet is een zeer robuust systeem, maar de beveiliging laat nogal eens te wensen over. Op een typisch Internet-systeem zullen bijvoorbeeld alle e-mail berichten op ��n computer bewaard worden. De systeembeheerder heeft toegang tot al die berichten (en natuurlijk ook tot alle bestanden in de priv�-directory van elke gebruiker), en hetzelfde geldt voor elke 'hacker' die erin slaagt het wachtwoord van de systeembeheerder te raden. En dit komt vaker voor dan je denkt!

Maar het is niet noodzakelijk om in te breken op het systeem waar een persoon zijn account heeft, om zijn e-mail te kunnen lezen. Wanneer ik een e-mail bericht verzend naar iemand anders, dan wordt dat als gewoon leesbare tekst over het Internet verstuurd. Op het Internet wordt een bericht namelijk als pakketje doorgegeven van computer naar computer, totdat het bericht op zijn eindbestemming is aangekomen. Het is met zeer eenvoudige middelen mogelijk om alle berichten die 'door' een systeem heen gaan te lezen, of automatisch te laten doorzoeken op bepaalde sleutelwoorden. Dit betekent dus dat een gebruiker met een beetje technische kennis op een van de computers die het bericht doorgeeft, het kan lezen.

En het kan nog erger. Het is namelijk nog eenvoudiger om een bericht onder de naam van iemand anders te versturen, zonder dat dat traceerbaar is. Meestal gebeurt dit als flauwe grap, maar er zijn gevallen bekend van mensen die in grote problemen zijn geraakt omdat iemand een nep-bericht van hen ontving waar zeer gevoelige dingen in stonden, of waarin de ontvanger voor rotte vis werd uitgemaakt.

Een oplossing: versleuteling

Gelukkig bestaat er een oplossing voor dit probleem. Door middel van encryptie kan een bericht zodanig versleuteld worden dat niemand het meer kan lezen zonder de sleutel, en er bestaan cryptografische systemen die tevens authenticatie mogelijk maken. Momenteel is op het Internet voor dit doel het programma PGP ("Pretty Good Privacy") (Engelstalig) zeer populair.

Publieke sleutels

Dit programma maakt gebruik van een zogenaamd publieke-sleutel algoritme. Hierbij is het niet langer nodig om in het geheim een sleutel af te spreken, maar kun je gewoon een 'publieke sleutel' aan iedereen sturen die er om vraagt, zonder je zorgen te hoeven maken dat die in handen valt van een meeluisterende derde. De publieke sleutel kan namelijk alleen maar worden gebruikt om berichten te versleutelen (en om een handtekening te controleren, zie onder), en niet om een versleuteld bericht weer te ontcijferen.

Hoe veilig is dit

Deze techniek maakt het dus mogelijk om versleutelde post te sturen naar iemand die je nog nooit ontmoet hebt. Je haalt gewoon de publieke sleutel uit een soort telefoonboek, en versleutelt hiermee de post. De ontvanger gebruikt zijn persoonlijke geheime sleutel om het bericht weer te ontcijferen. En aangezien hij de enige is met die geheime sleutel, kan niemand anders de post lezen, ook al breken ze in op de mailserver.

In theorie is het mogelijk om uit de publieke sleutel de geheime af te leiden; echter, met een sleutel van voldoende lengte zal dit op een snelle supercomputer vele duizenden jaren duren. Gelukkig kost het versleutelen van berichten met zo'n sleutel slechts enkele seconden.

Digitale handtekeningen

Het programma PGP biedt tevens de mogelijkheid om berichten van een elektronische handtekening te voorzien. Deze functie voegt aan een bericht een speciale code toe, die uniek is voor het bericht. Deze code is te vergelijken met een 'checksum' die bijvoorbeeld door anti-virusprogramma's wordt gebruikt. Als er nadien ook maar ��n teken in het bericht wordt veranderd, zal de code ongeldig worden.

Door middel van de geheime sleutel wordt de code zelf beschermd, en de ontvanger kan nu met de publieke sleutel de code weer terugkrijgen. Hij kan deze nu vergelijken met een zelf gegenereerde code van het bericht, en zo eventuele wijzigingen detecteren. In dit geval worden de sleutels dus in de "verkeerde" volgorde gebruikt; met de geheime sleutel wordt de code versleuteld, en met de publieke sleutel wordt de originele code weer verkregen. Bij "normale" uitwisseling van e-mail gebruik je juist de publieke sleutel om dingen te versleutelen, en de geheime sleutel om het origineel weer terug te krijgen. Een met een geheime sleutel versleutelde code wordt meestal aangeduid met 'digitale handtekening'.

Onkraakbaar

Het algoritme waar het hier over gaat heet RSA, en stamt uit de jaren zeventig. Ondanks de leeftijd wordt het door de experts nog steeds beschouwd als een onkraakbaar systeem. Dit in tegenstelling tot de 'versleutel' of 'wachtwoord' functie in populaire programma's als WordPerfect, Word, Excel of PK-ZIP, waarvoor speciale kraakprogramma's beschikbaar zijn die in enkele minuten de sleutel kunnen vinden.

De onkraakbaarheid van PGP is ook de reden dat de export van het programma uit de VS niet toegestaan is. Volgens een Amerikaanse wet vallen onkraakbare encryptie-programma's onder de wapenwet, die onder meer de export van nucleaire wapens en tanks verbiedt. Echter, het programma is al vrij beschikbaar buiten de VS, en er is momenteel een discussie gaande over dit onderwerp.

Veel bedrijven klagen over deze restrictie, die hen belemmert in het ontwikkelen van systemen om veilig transacties over het Internet af te handelen. Met name Netscape, de firma achter de populaire World Wide Web browser, ondervindt hier problemen door. Deze restrictie is overigens een van de redenen waarom de versleutel-functies van de bovengenoemde programma's zo zwak is. Zou het programma een beter algoritme bevatten, dan mocht het niet buiten de VS worden verkocht.

Conclusie

Het Internet zoals dat op dit moment bestaat is een zeer robuust systeem, maar de veiligheid laat nogal te wensen over. De behoefte aan anonimiteit zal alleen maar toenemen, net als de wens om priv�-correspondentie via e-mail te versturen, en om zichzelf tegen vervalsingen te beschermen. Alhoewel er ondertussen diverse wetgeving over privacy is, blijkt dit in de praktijk vaak tegen te vallen. Technische beveiliging, zoals via remailers (Engelstalig) of encryptie, lijkt dan ook de aangewezen weg.

Dit artikel verscheen eerder in Tekst[blad] jaargang 2 nummer 1, november 1995.

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
6 november 2018