|
Privacy TECHNOLOGIE Encryptie
Door MARIE-JOSÉ KLAVER
Het Witte Huis en de FBI zijn bang dat criminelen misbruik zullen maken van sterke encryptieprogramma's om onontcijferbare berichten uit te wisselen. De EU wil het gebruik van encryptie juist in heel Europa legaliseren om de elektronische handel te bevorderen. Internet kent zoveel beveiligingslekken dat iedereen in staat moet worden gesteld e-mails en financiële transacties te beveiligen, is de gangbare opvatting in Brussel. Dat encryptie geen overbodige luxe is, bleek begin vorige week toen bekend werd dat twee 16-jarige hackers er in geslaagd zijn de Duitse onlinedienst T-Online, eigendom van Deutsche Telekom, te kraken. T-Online heeft 2 miljoen klanten die via dit netwerk elektronisch bankieren en van commerciële Internetdiensten gebruik maken. De Duitse scholieren konden bij alle gegevens van klanten, zoals surfgedrag en rekeningen. Als deze documenten met encryptiesoftware versleuteld waren geweest, was de informatie onleesbaar en dus nutteloos geweest. Nu waren de jeugdige computerkrakers in staat om miljoenen DM te ontvreemden en gebruikers te chanteren door te dreigen gegevens over bezoeken aan sekssites openbaar te maken. Dit hebben ze overigens niet gedaan omdat ze met hun hack slechts wilden aantonen dat T-Online, volgens hun eigen grootscheepse reclamecampagne zo 'sicher wie die Bank von England', zeer slecht beveiligd is. Afgelopen jaar werd wereldwijd voor ongeveer 2 miljard dollar aan versleutelingssoftware omgezet. Naarmate electronic commerce een steeds grotere rol gaat spelen, wordt de markt voor encryptieprogramma's ook aantrekkelijker. Het Economic Strategy Institute (ESI) heeft vorige week berekend dat de encryptiebeperkingen de Amerikaanse economie de komende vijf jaar 96 miljard dollar gaat kosten. Hoewel in de Verenigde Staten de beste versleutelingssoftware wordt gemaakt, wordt de internationale markt bepaald door Europese bedrijven. Het ESI pleit voor afschaffen van het exportverbod van versleutelingsprogramma's. De strenge Amerikaanse exportbeperkingen op het gebied van encryptie worden overigens al op grote schaal omzeild. De wet verbiedt namelijk alleen de uitvoer van kant en klare programma's. De broncode waaruit software bestaat, valt niet onder het exportverbod. Vorig jaar heeft een Amerikaanse rechter besloten dat de broncode van computerprogramma's onder de vrijheid van meningsuiting valt en gewoon uitgevoerd mag worden Een van de nieuwste Amerikaanse encryptieprogramma's, PGP 5.0, wordt sinds kort ook in Europa officieel verkocht door het Nederlandse bedrijf Network Associates International BV. Een andere (gratis) versie van PGP, wat staat voor Pretty Good Privacy, is al langer legaal buiten de Verenigde Staten verkrijgbaar: ruim zeventig mensen uit verschillende Europese landen zijn vorig jaar zomer meer dan duizend uur bezig geweest met het scannen, corrigeren en compileren van PGP 5.0i. PGP is een handig programma om e-mails en andere documenten te versleutelen zodat niemand, behalve de betrokkenen die de juiste sleutel hebben, ze kan lezen. Het bestaat voor vrijwel alle platformen: Windows, Macintosh, Unix, Linux, Atari. De Windows-versie van PGP is heel eenvoudig te bedienen. Terwijl de vorige versies van PGP alleen in een ms-dos venster of onder Unix werkten en een nogal uitgebreide serie commando's vergden, kan tegenwoordig iedere computergebruiker die op veiligheid en privacy is gesteld met een paar muisklikken zijn elektronische post en andere documenten versleutelen. Voor de meeste populaire e-mail programma's, zoals Eudora en Microsoft Outlook, bestaat tegenwoordig een plug-in (hulpprogramaatje) die de PGP-software naadloos in het mailprogramma integreert. Met een paar buttons kan de uitgaande post versleuteld en de binnenkomende ontsleuteld worden. Er bestaat overigens ook een PGP-programma dat spraak via Internet versleutelt. PGP is gebaseerd op een encryptietechnologie die 'public key' cryptografie heet. Je hebt twee sleutels, een openbare (public key) en een geheime (secret key). Na het installeren van PGP kun je die aanmaken. Ze worden, versleuteld, op de harde schijf opgeslagen. De public key is gekoppeld aan het e-mail adres van de gebruiker (meerdere e-mail adressen per public key mag ook) en moet op zoveel mogelijk plekken openbaar gemaakt worden. Direct na het aanmaken van deze sleutel vraagt het programma of het de sleutel naar een Nederlandse key server van Surfnet, het landelijke computernetwerk voor onderzoek en onderwijs in Nederland, moet sturen. Als ik aan een collega een versleuteld e-mailtje wil sturen, zoek ik in zo'n public key server haar openbare sleutel op, waarmee ik het bericht encrypt. Omdat zij de enige is die haar secret key kent, is zij ook de enige die de mail kan ontsleutelen. Als ik mijn bericht met mijn secret key 'onderteken', weet zij ook zeker dat het van mij afkomstig is. De secret key genereert namelijk een unieke 'finger print'. Omgekeerd moet zij mijn public key gebruiken als ze mij veilig wil mailen en met haar secret key ondertekenen. Met mijn geheime sleutel kan ik haar bericht ontcijferen.
PGP 5.0i is vanuit Europa gratis te downloaden op www.pgpi.com Op deze site staat ook een plug-in voor het e-mail programma Eudora Light. De commerciële versie van PGP kost $ 80 en is te verkrijgen op www.pgpeurope.com. Een uitstekende site over encryptie en privacy is die van de Eindhovense informatica-student Arnoud Engelfriet: www.stack.nl/~galactus.
|
NRC Webpagina's 10 april 1998
|
Bovenkant pagina |
|