Wat zou u ervan vinden om te horen dat de Nederlandse overheid tot en met 25 maart 2020 de mogelijkheid heeft om al uw bankzaken, creditcardbetaling en noem zo maar op te kunnen inzien? Dit kan zij sinds het faillissement van DigitNotar.
Sinds dat faillissement is de Staat der Nederlanden namelijk een zogenaamde “Trusted Root Authority” geworden. Dit betekent dat hetgeen wat Iran had weten te bereiken met het hacken van DigiNotar, namelijk het inzien van mensen hun Gmail en dergelijke zaken, inmiddels bijzonder gemakkelijk is geworden voor onze eigen overheid. Uiteraard beweer ik hier mee niet dat de overheid dit ook daadwerkelijk doet, ik zeg alleen dat het technisch gezien mogelijk is.
Hoe dan? Om een vrij lang en technisch verhaal zo kort mogelijk te maken zal ik het vergelijken met een postbode, een kist en sleutels. Normaal als u uw bankzaken doet is deze verbinding versleuteld. Dit betekent dat alles wat u opvraagt bij de site van uw bank en weer terugkrijgt van uw bank in de kist zit waarvan alleen u en uw bank de sleutel bezitten en dus kunt u de kist in al het vertrouwen meegeven aan de postbode.
Maar in de realiteit bezit nog iemand de sleutel ook, degene die de sleutels gemaakt heeft, de “Trusted Root Authority”. Normaliter hebben deze partijen geen enkele macht die ze hiermee uit kunnen oefenen en zullen ze ook vrij weinig baat hebben van misbruik van deze sleutels. Nu moeten we even een kleine sprong maken: mogelijk heeft u met het hele gedoe om The Pirate Bay al gehoord van Proxy Servers, dit zijn servers die namens u verzoeken doorgeven aan een website en het antwoord van de website weer doorgeven aan u. Dit stelt u over het algemeen bewust in, maar er is ook manier om zogenaamde “Transparante Proxy Servers” in te stellen waar u geen zeggenschap over heeft of u ze gebruikt of niet omdat u nou eenmaal via het netwerk van uw aanbieder het internet op moet en zij bepaalt hoe dit technisch mogelijk gemaakt word (mobiele telefoonaanbieders doen dit bijvoorbeeld om plaatjes van internet op uw mobieltje ‘kleiner’ te maken zodat hun netwerken minder worden belast).
Dit is echter waar het verhaal bij onze overheid terecht komt. Delen van onze regering, (zoals de AIVD, defensie of de politie) hebben namelijk wél baat bij het kunnen onderscheppen van communicatieverkeer: afluisteren. Hier komt onze postbode weer om de hoek. U geeft namelijk uw kist mee aan de postbode die hem, zo denkt u, alleen maar naar de bank kan brengen. Echter kan de postbode nu dus ook onderweg, bij de proxy server, uw kistje bij de overheid afgeven, die de inhoud kan bekijken en vervolgens de kist weer op slot doet om hem te laten afleveren bij de bank alsof er nooit iets is gebeurt.
Zoals ik al eerder zei is dit echter een puur hypothetische schets van wat mogelijk is, echter is de vraag of wij als burger willen dat onze overheid met dit gemak in onze privé gegevens kan komen.