ECHT SNAPPEN DOEN journalisten Internet nog niet. De pers heeft zelden in de gaten welke zaken er spelen, en begrijpt niet goed dat sommig Internet-nieuws ook ‘echt’ nieuws is: met andere woorden, interessant voor meer mensen dan de direct betrokkenen. En ook voor mensen die zelf níet op het net zitten.
Internet-provider WorldOnline (WOL) had twee weken geleden een netelig probleem. De postbussen van hun abonnees bleken voor buitenstaanders eenvoudig te kraken: WOL kent haar abonnees automatisch een wachtwoord toe dat je nodig hebt om je mail op te halen, en buitenstaanders ontdekten met welke simpele logica die wachtwoorden werden aangemaakt. Van elke abonnee die zijn wachtwoord niet zelf had aangepast, lag de correspondentie derhalve voor het grijpen. Die situatie is vergelijkbaar met die waarin de PTT alle postbussen keurig netjes een slot geeft maar in de hoek van het postkantoor een sleutelbos laat slingeren, waarbij bovendien duidelijk is welk slot welke sleutel behoeft. Elke onverlaat kon erbij.
WOL maakte zich boos op degenen die met voor hen zo pijnlijke bericht kwamen – pijnlijk, omdat het bewees dat hun beveiliging knudde is – en stak voorts haar neus in de lucht: ze wisten van niets, zeiden ze, heus niet. Wel hadden ze vlak ervoor al hun abonnees een briefje gestuurd dat er een ‘probleempje’ was en dat het misschien handig was wanneer iedereen het automatisch aangeleverde wachtwoord zou veranderen. (Het werkelijk stompzinnige is dat WOLs aanpak niet deugt. Automatische wachtwoorden genereren (zoals bijvoorbeeld pincodes dat ook zijn) is een doodernstige zaak en vergt zwaar programmeerwerk. En het is raar om eerst zelf lekke wachtwoorden aan te maken en dan vervolgens van je cliëntèle te eisen dat die je fout verbeteren. Het is aanzienlijk slimmer abonnees meteen zelf een wachtwoord te laten kiezen; dan zit er tenminste geen systematiek achter.
Het raarste is echter dat de kranten niets in de gaten hadden. Op het Nederlandse deel van Internet was het redelijk groot nieuws, maar daarbuiten scheen niemand de portee van zulke berichten te doorgronden. “Ieders mail ligt op straat? Oh. Is dat erg, dan?”
Ja, dat is erg. Net zoals het normaal is dat de kranten berichten over een gezonken postschip met daarin duizenden brieven die van Nederland naar de Verenigde Staten verstuurd hadden moeten worden, dienen kranten het te melden wanneer digitale post open en bloot ligt. De veiligheid van chipcards en pincodes is een regelmatig terugkerend onderwerp in de gewone pers; de veiligheid van providers zou dat eveneens horen te zijn. Zeker nu steeds meer communicatie via Internet verloopt, dienen kapotte firewalls, lekke beveiliging, hacks op systeemniveau en dergelijke op eenzelfde manier behandeld te worden als nieuws over het vangen van stelende PTT-medewerkers, een uitval van een telefooncentrale of Girotel dat een week op z’n rug ligt. Wie dat niet begrijpt is een slecht journalist.
Dat minister Sorgdrager vindt dat op e-mail geen briefgeheim rust, zou met gemak de voorpagina’s van alle kranten hebben moeten halen. Dat was niet het geval: er zijn kennelijk teveel slechte journalisten. Er konden wat kleine berichtjes in de krant van af, dat was alles. Sorgdrager vindt dat alleen wie zijn e-mail volledig beveiligt – je kunt e-mail als het ware verzegelen, zodat alleen de geadresseerde de mail in kwestie kan lezen – zich mag beroepen op het briefgeheim. Al het andere, van kattebel en liefdesbrief tot zakelijke post, afspraken en andere belangrijke mededelingen, zou in de ogen van het ministerie van Justitie onbeschermd verkeer moeten zijn en mag in principe door anderen worden geopend.
Het wrange is dat ondertussen zowel de Nederlandse als de Europese wetgever erop aansturen om de programma’s die je nodig hebt om e-mail op die manier te versleutelen – zogeheten encryptie-programma’s – aan banden te leggen. Je mag encryptie alleen gebruiken, zo is het bedoeling, wanneer je een kopie van je sleutel bij de een of andere instantie afgeeft, zodat de overheid altijd de mogelijkheid in handen heeft om verzegelde e-mail te ontsluiten. Vanwege de criminaliteit, zeggen ze. Want mensen die slechte bedoelingen hebben, zouden hun digitale correspondentie kunnen beveiligen en dan kunnen wetshandhavers daar geen wijs meer uit.
Nu zal het best zo zijn dat criminelen encryptie gebruiken. Maar stapels nette mensen doen het ook, en wie garandeert mij dat justitie mij altijd bij de nette mensen indeelt en niet onderhands eens een sleuteltje weggeeft als een overijverige diender meent dat er wel eens rare dingen in mijn mail zouden kunnen staan? Iedereen heeft bovendien het recht om willekeurig welke codering te gebruiken die slechts door een selecte groep te begrijpen is – kinderen deden vroeger niet anders, en dat zal nog steeds gelden. Het is simpelweg spánnend om iets schrijven waar de meester of je ouders geen touw aan kunnen vastknopen, en daar een systeem voor te verzinnen. Het mag bovendien. Het is gepermitteerd geheimen te hebben, ook voor de overheid, en niemand hoeft aan de overheid te vertellen wat de sleutel is tot zijn of haar private systeem.
De overheid denkt daar anders over. E-mail is niet beschermd, tenzij je encryptie gebruikt – en wie encryptie gebruikt dient te worden verplicht de overheid de middelen in handen te geven om die verzegeling ongedaan te maken, de encryptie te breken.
Wat me zorgen baart is dat, mochten beide maatregelen doorgang vinden, het briefgeheim op het net effectief niet meer bestaat. Voeg daarbij dat steeds meer post via het net verstuurd zal worden in plaats van via de bodes der PTT (mensen sturen elkaar tegenwoordig nog zelden brieven, maar op het net gebeurt dat weer volop en heeft de schone kunst der correspondentie een enorme impuls gekregen), en dan kun je alleen maar constateren dat er weliswaar iets als briefgeheim bestaat maar dat het medium dat daaronder valt – de brief – in onbruik raakt en de moderne opvolger ervan vogelvrij is verklaard.
Binnen een paar jaar is het briefgeheim dood. En de kranten vinden dat tot mijn schrik geen belangrijk nieuws.