British flag  Bandeira brasileira
Plaatje familiewapen De Munnick


 

Foto'tje kop uil Encryptie van communicatie bittere noodzaak, praktijk lastig

Bert Ernste

Oktober 2016

Logo van httpseverywhere

Het is inmiddels evident dat bedrijven en overheden op grote schaal hun klanten / burgers bespioneren. Wie zich een beetje verdiept in de informatie, die al die communicatiegegevens over ons bieden, schrikt zich lam. En het gaat steeds verder.

Dat is buitengewoon kwalijk, want privacy is van fundamenteel belang voor de democratie. Mensen moeten onbespied hun ideeën kunnen uitwerken en (afwijkende) meningen kunnen hebben zonder dat die meteen geregistreerd worden met alle mogelijke gevolgen van dien. Privacy versus veiligheid is dan ook een schijntegenstelling. Zonder privacy zijn we niet veilig. Het argument van de geheime diensten dat encryptie hun werk onmogelijk maakt snijdt nauwelijks hout.

Briefgeheim
Nog niet zo lang geleden was privacy bij onze communicatie gewoon de norm. We plakten brieven dicht en die gesloten brieven waren beschermd door het briefgeheim. Het was vanzelfsprekend. Het is eigenlijk vreemd dat we ons door de technologie van het internet zo snel van dat idee hebben laten afbrengen en nu zo’n beetje onze intiemste gedachten en grootste geheimen op een elektronische briefkaart zetten, die overal ter wereld kan worden gelezen. Dus moeten we er wat aan doen.

Aangezien versleuteling van onze communicatie via internet helaas niet standaard wordt aangeboden door de providers, moet je er zelf mee aan de slag en dat kost moeite. Principieel fout natuurlijk, de norm zou versleuteling moeten zijn en het zou net zo simpel moeten zijn als het dicht likken van een brief.

E-mail
Encryptie is dus niet altijd gemakkelijk. Met de versleuteling van e-mail had ik een tijd geleden niet veel succes. Ik kreeg het spel met publieke en privésleutels niet goed voor elkaar, waarna ik mijn contacten er ook niet mee lastig durfde te vallen. Kan dat niet eenvoudiger? Daar zit trouwens bij vrijwel alle encryptie een teer punt: je kunt het niet alleen, je hebt ook de ontvanger nodig, die de ‘encryptie-envelop’ open maakt.
Aanvulling november 2016: ik heb het nu wel voor elkaar. Het viel met het e-mailprogramma Thunderbird mee. Mijn eerste poging was met Apple Mail.

Bestanden versleutelen
Gemakkelijker is het versleutelen van individuele files. Dat kan bijvoorbeeld met AEScrypt (voor Windows, Mac, Linux, Android, iOS, php en Java). De betreffende file openen met AEScrypt en er wordt een versleuteld bestand aangemaakt, dat met een wachtwoord is beveiligd. Dat wachtwoord dien je nog wel langs veilige weg aan de ontvanger te laten weten (uiteraard niet in de e-mail of op dezelfde usb-stick, waarmee je het bestand verstuurt). Laten we eerlijk zijn, het is toch uitermate vreemd dat de notaris (concept)aktes, denk bijvoorbeeld aan testamenten, als onversleutelde pdf-bestanden naar de klant stuurt, waar diezelfde notaris er niet over zou piekeren om die aktes in een open envelop te verzenden.

Chat
Nu er zoveel gecommuniceerd wordt via chat, zoals het populaire Whatsapp, is het van groot belang om die communicatie ook te versleutelen. Whatsapp doet dat ook, maar ondertussen tapt Facebook (de eigenaar van Whatsapp) wel talloze gebruiksgegevens (metadata) van Whatsapp af en combineert die met de enorme hoeveelheid data, die het op Facebook verzamelt. Dat combineren gebeurt ook als je aangeeft de resultaten daarvan niet te willen. Meer privacyproblemen met Whatsapp.

Wie een alternatief zoekt met meer respect voor privacy kan terecht bij Wire dat open source en volledig versleuteld is. Wire biedt naast chat ook audio- en videobellen en heeft zijn basis in Zwitserland.

Ook Signal is qua privacy een goed alternatief voor Whatsapp, al scoort die minder goed op audio en video dan Wire. Signal is in eerste instantie net als Whatsapp bestemd voor de smartphone, maar heeft ook een webapp, waarmee gechat kan worden vanaf de computer. Anders dan bij Whatsapp hoeft de telefoon bij Signal na de eerste keer niet meer in de buurt te zijn.

Critici wijzen er terecht op dat Wire en Signal gecentraliseerd zijn via het moederbedrijf dat de servers beheert, en dat een decentraal protocol voor privacy veel beter is. Denk aan e-mail, waarbij het protocol door iedereen gebruikt kan worden en er dus diverse aanbieders zijn.

Een voorbeeld van een decentraal chatprotocol is xmpp (ook wel jabber genoemd). Xmpp kan ook gebruikt worden voor audio- en video. Er zijn diverse xmpp-clients, waarmee je, na registratie bij een xmpp-provider, kunt gaan chatten. Zo is er bijvoorbeeld Pidgin voor Windows en Linux, voor MacOs heet die Adium. Jitsi is er voor alle drie die platfoms. Om de versleuteling aan te zetten moet er bij sommige clients een plugin worden geïnstalleerd.

Nog beter is het, als er helemaal geen provider meer aan te pas komt en de communicatie uitsluitend tussen de gebruikers gaat (distributed network). Een voorbeeld van een dergelijk protocol is Tox. Tox biedt ook audio- en videochat en is beschikbaar voor diverse platforms. Het ontbreken van een centrale server betekent wel dat je zelf je profiel moet exporteren naar andere apparaten.

Alternatieven voor sociale media
Ook de diverse sociale media zijn een aanslag op onze privacy. Ze halen vreselijk veel informatie over ons uit onze activiteiten op die platforms. Facebook volgt via de deelknoppen op webpagina’s zelfs mensen, die geen Facebookaccount hebben, tenzij je die deelknoppen blokkeert via een plugin als Privacy Badger. Er zijn privacyvriendelijke alternatieven voor Facebook en consorten, zoals bijvoorbeeld Diaspora*, maar het is moeilijk om je vrienden mee te krijgen, daarom is hun succes tot nu toe beperkt.

Na mijn experimenten met bovenstaande heb ik op mijn computers en smartphone naast e-mail nu protocollen voor (audio/video)chat van Skype, Wire, xmpp (jabber) en Tox. Zelfs zonder Facebook, Whatsapp, Twitter en andere dataverzamelaars begint dat wat veel te worden. De wereld was heel wat overzichtelijker in de tijd van louter post en telefoon.

De hamvraag: hoe overtuig ik mijn contacten?
Afgezien van meer of mindere gebruiksvriendelijkheid is het grote probleem bij overstappen dat de meeste mensen die moeite niet willen nemen. Het is daarom hondsmoeilijk om je contacten mee te krijgen naar een privacyvriendelijk alternatief. Elke keer dat Facebook, Google, Yahoo en andere dataslurpers de privacyvoorwaarden wijzigen, of in het geval van Facebook terugkomt op de plechtige belofte de gegevens van Whatsapp en Facebook nooit te zullen combineren, zijn er verontwaardigde reacties, maar de storm gaat altijd snel weer liggen. Mensen zeggen wel dat ze privacy belangrijk vinden, maar handelen er meestal niet naar. Toch zouden we dat wel moeten doen, want we gaan vreselijks spijt krijgen van de totalitaire informatiemaatschappij, die we (laten) optuigen.

De cruciale vraag is: hoe krijgen we mensen zover dat ze overgaan op privacy respecterende communicatie. Plak die brief weer dicht!

Meer over veilig internetten hier en hier.

Meer columns | Index artikelen | Contact