Encryptie van communicatie bittere noodzaak, praktijk lastig
Bert Ernste
Oktober 2016
Het is inmiddels evident dat bedrijven en overheden op grote schaal hun klanten / burgers bespioneren. Wie zich een beetje verdiept in de informatie, die al die communicatiegegevens over ons bieden, schrikt zich lam. En het gaat steeds verder.
Dat is buitengewoon kwalijk, want privacy is van fundamenteel belang voor de democratie. Mensen moeten onbespied hun ideeën kunnen uitwerken en (afwijkende) meningen kunnen hebben zonder dat die meteen geregistreerd worden met alle mogelijke gevolgen van dien. Privacy versus veiligheid is dan ook een schijntegenstelling. Zonder privacy zijn we niet veilig. Het argument van de geheime diensten dat encryptie hun werk onmogelijk maakt snijdt nauwelijks hout.
Briefgeheim
Nog niet zo lang geleden was privacy bij onze communicatie gewoon de norm. We
plakten brieven dicht en die gesloten brieven waren beschermd door het briefgeheim.
Het was vanzelfsprekend. Het is eigenlijk vreemd dat we ons door de technologie
van het internet zo snel van dat idee hebben laten afbrengen en nu zo’n
beetje onze intiemste gedachten en grootste geheimen op een elektronische
briefkaart zetten, die overal ter wereld kan worden gelezen. Dus moeten we er
wat aan doen.
Aangezien versleuteling van onze communicatie via internet helaas niet standaard wordt aangeboden door de providers, moet je er zelf mee aan de slag en dat kost moeite. Principieel fout natuurlijk, de norm zou versleuteling moeten zijn en het zou net zo simpel moeten zijn als het dicht likken van een brief.
E-mail
Encryptie is dus niet altijd gemakkelijk. Met de
versleuteling van e-mail
had ik een tijd geleden niet veel succes. Ik kreeg het spel met publieke en
privésleutels niet goed voor elkaar, waarna ik mijn contacten er ook niet
mee lastig durfde te vallen. Kan dat niet eenvoudiger? Daar zit trouwens bij
vrijwel alle encryptie een teer punt: je kunt het niet alleen, je hebt ook de
ontvanger nodig, die de ‘encryptie-envelop’ open maakt.
Aanvulling november 2016: ik heb het nu wel voor elkaar. Het viel met het
e-mailprogramma Thunderbird mee. Mijn eerste poging was met Apple Mail.
Bestanden versleutelen
Gemakkelijker is het versleutelen van individuele files. Dat kan bijvoorbeeld met
AEScrypt (voor Windows, Mac,
Linux, Android, iOS, php en Java). De betreffende file openen met AEScrypt en er
wordt een versleuteld bestand aangemaakt, dat met een wachtwoord is beveiligd. Dat
wachtwoord dien je nog wel langs veilige weg aan de ontvanger te laten weten
(uiteraard niet in de e-mail of op dezelfde usb-stick, waarmee je het bestand
verstuurt). Laten we eerlijk zijn, het is toch uitermate vreemd dat de notaris
(concept)aktes, denk bijvoorbeeld aan testamenten, als onversleutelde pdf-bestanden
naar de klant stuurt, waar diezelfde notaris er niet over zou piekeren om die
aktes in een open envelop te verzenden.
Chat
Nu er zoveel gecommuniceerd wordt via chat, zoals het populaire Whatsapp, is het
van groot belang om die communicatie ook te versleutelen. Whatsapp doet dat ook,
maar ondertussen
tapt Facebook (de eigenaar van Whatsapp) wel talloze
gebruiksgegevens (metadata) van Whatsapp af en combineert die met de enorme
hoeveelheid data, die het op Facebook verzamelt. Dat combineren gebeurt ook als je
aangeeft de resultaten daarvan niet te willen.
Meer privacyproblemen met Whatsapp.
Wie een alternatief zoekt met meer respect voor privacy kan terecht bij Wire dat open source en volledig versleuteld is. Wire biedt naast chat ook audio- en videobellen en heeft zijn basis in Zwitserland.
Ook Signal is qua privacy een goed alternatief voor Whatsapp, al scoort die minder goed op audio en video dan Wire. Signal is in eerste instantie net als Whatsapp bestemd voor de smartphone, maar heeft ook een webapp, waarmee gechat kan worden vanaf de computer. Anders dan bij Whatsapp hoeft de telefoon bij Signal na de eerste keer niet meer in de buurt te zijn.
Critici wijzen er terecht op dat Wire en Signal gecentraliseerd zijn via het moederbedrijf dat de servers beheert, en dat een decentraal protocol voor privacy veel beter is. Denk aan e-mail, waarbij het protocol door iedereen gebruikt kan worden en er dus diverse aanbieders zijn.
Een voorbeeld van een decentraal chatprotocol is xmpp (ook wel jabber genoemd). Xmpp kan ook gebruikt worden voor audio- en video. Er zijn diverse xmpp-clients, waarmee je, na registratie bij een xmpp-provider, kunt gaan chatten. Zo is er bijvoorbeeld Pidgin voor Windows en Linux, voor MacOs heet die Adium. Jitsi is er voor alle drie die platfoms. Om de versleuteling aan te zetten moet er bij sommige clients een plugin worden geïnstalleerd.
Nog beter is het, als er helemaal geen provider meer aan te pas komt en de communicatie uitsluitend tussen de gebruikers gaat (distributed network). Een voorbeeld van een dergelijk protocol is Tox. Tox biedt ook audio- en videochat en is beschikbaar voor diverse platforms. Het ontbreken van een centrale server betekent wel dat je zelf je profiel moet exporteren naar andere apparaten.
Alternatieven voor sociale media
Ook de diverse sociale media zijn een
aanslag op
onze privacy. Ze halen vreselijk veel informatie over
ons uit onze activiteiten op die platforms. Facebook volgt via de deelknoppen op
webpagina’s zelfs mensen, die geen Facebookaccount hebben, tenzij je die
deelknoppen blokkeert via een plugin als
Privacy Badger.
Er zijn privacyvriendelijke alternatieven voor Facebook en consorten, zoals
bijvoorbeeld
Diaspora*, maar het is moeilijk om je vrienden mee te krijgen,
daarom is hun succes tot nu toe beperkt.
Na mijn experimenten met bovenstaande heb ik op mijn computers en smartphone naast e-mail nu protocollen voor (audio/video)chat van Skype, Wire, xmpp (jabber) en Tox. Zelfs zonder Facebook, Whatsapp, Twitter en andere dataverzamelaars begint dat wat veel te worden. De wereld was heel wat overzichtelijker in de tijd van louter post en telefoon.
De hamvraag: hoe overtuig ik mijn contacten?
Afgezien van meer of mindere gebruiksvriendelijkheid is het grote probleem bij
overstappen dat de meeste mensen die moeite niet willen nemen. Het is daarom
hondsmoeilijk om je contacten mee te krijgen naar een privacyvriendelijk
alternatief. Elke keer dat Facebook, Google, Yahoo en andere dataslurpers de
privacyvoorwaarden wijzigen, of in het geval van Facebook terugkomt op de plechtige
belofte de gegevens van Whatsapp en Facebook
nooit te zullen combineren, zijn er verontwaardigde reacties,
maar de storm gaat altijd snel weer liggen. Mensen zeggen wel dat ze privacy
belangrijk vinden, maar handelen er meestal niet naar. Toch zouden we dat wel
moeten doen, want we gaan vreselijks spijt krijgen van de
totalitaire informatiemaatschappij, die we (laten) optuigen.
De cruciale vraag is: hoe krijgen we mensen zover dat ze overgaan op privacy respecterende communicatie. Plak die brief weer dicht!
Meer over veilig internetten hier en hier.
Meer columns | Index artikelen | Contact