Privacy Na 911 - Zoektocht Naar Een Juiste Balans

augustus 2008 nummer 5

special

Privacy

Milton Mueller stelt privacy en security op internet centraal Revocable privacy slaat brug tussen veiligheid en privacybelang

CAcert bouwt aan web-of-trust met X.509 certificaten Privacy na 9/11, zoektocht naar de juiste balans

INFORMATIEBEVEILIGING

Juridische aspecten van informatiebeveiliging vaak onderbelicht

http://creativecommons.org/licenses/by-sa/3.0/nl/

IB 5 2008.indd 1

28-08-2008 10:19:47

Post-9/11 privacy Auteur: Elisabeth de Leeuw > Elisabeth de Leeuw is management consultant bij Ordina. Zij is gespecialiseerd op het gebied van informatiebeveiliging, identity management en fraudebestrijding. Daarnaast is zij voorzitter van de IFIP Werkgroep 11.6 rondom het thema “Policies and research in identity management”. In 2005 won zij de Joop Bautz Security Award 2004-2005 voor haar thesis in het kader van de Masteropleiding Security in Information Technology aan de TU Eindhoven getiteld:“Risk and Threats attached to the application of Biometric Technology in National Identity Management”. E-mail: [email protected].

De toepassing van zowel privacy enhancing technologyy als privacy intruding technology is nodig om zowel veiligheid als privacy te versterken. Dit artikel reikt enkele instrumenten, inzichten en vragen aan, die in de zoektocht naar een oplossing voor problemen op beide vlakken kunnen ondersteunen. Nauwe, interdisciplinaire samenwerking tussen overheid, wetenschap en bedrijfsleven, wellicht in de vorm van Public Private Partnerships, is in dit verband gewenst. De democratische vrijheden binnen onze

door middel van privacy wetgeving en

In verband met de toenemende dreiging

samenleving dienen beschermd te worden

Privacy Enhancing Tools (PET);

van terrorisme en georganiseerde

tegen aantasting door ondemocratische

• Bescherming van de democratische

invloeden. In verband daarmee worden

rechtsstaat, onder meer door het

de bevoegdheden van het gezag om

van overheidswege twee soorten

inwinnen van inlichtingen met

inlichtingen te verzamelen over de

maatregelen genomen:

betrekking tot de persoonlijke

persoonlijke levenssfeer van burgers

• Bescherming van de persoonlijke

levenssfeer van burgers met behulp van

aanzienlijk uitgebreid. Deze bevoegdheden

Privacy Intrusion Tools (PIT).

staan op gespannen voet met het streven

levenssfeer van burgers, onder meer

criminaliteit zijn in de afgelopen jaren

Vertrouwen in vrije digitale X .509 certificaten

vervolg volgende pagina>>

26 •

heid is bij zowel CAcert als commerciële

een dienst die nodig is en waarvoor steeds

aanbieders gebaseerd op 1) statements van

meer belangstelling komt. Privacy is bij

tevreden eindgebruiker van CAcert. Geïnteresseerde lezers worden verwezen naar

de CA, 2) de overeenkomst tussen gebruikers

uitstek een persoonsgebonden onderwerp

[Schneier03] (over gebreken in certificaten)

en de CA, en 3) de claim voor de ‘lezers’ van

en het web-of-trust waarmerkingsmodel en

en [Schneier00] (over vertrouwen en schijn-

certificaten die zelf geen deel uitmaken van

privacyvriendelijke dienstverleningsmodel

veiligheid).

de PKI (Non-Related Persons).

van CAcert lijkt daar beter bij aan te sluiten

Met de kosteloze PKI-diensten voor per-

dan een hiërarchisch model van ‘opgelegd’

Met dank aan Teus Hagen voor zijn waarde-

soonlijke security en privacy levert CAcert

vertrouwen. Uw auteur is in elk geval zelf

volle suggesties en feedback.

Bronnen [CAcert] CAcert (website), www.cacert. org [Lioy06] “PKI past, present and future” (artikel); Lioy, Marian, Moltchanova en Pala; International Journal of Information Security (2006) 5: 18–29 [Oophaga] Oophaga Foundation (website), www.oophaga.nl [Schneier00] “Secrets and Lies” (boek), Bruce Schneier, 2000, John Wiley & Sons, ISBN 0-471-25311-1 [Schneier03] “Practical Cryptography” (boek), Niels Ferguson en Bruce Schneier, 2003, Wiley, ISBN 0-471-22357-3

• • • • • Informatiebeveiliging augustus 2008

IB 5 2008.indd 26

29-07-2008 11:08:32

tot bescherming van de persoonlijke

Last but not least - en elk nadeel heeft

• Duitse Bundes-trojan4,5

levenssfeer.

zijn voordeel - voor adviseurs op het

In “Der Stern” van 4 juni jongstleden

gebied van ICT en informatiebeveiliging

wordt aandacht besteed aan de nieuwe

De ontwikkelingen op het gebied van het

ligt hier een bijzonder uitgebreid en

wet van het Bundes Kriminal Ambt, die

inwinnen van inlichtingen over burgers

uitdagend werkveld.

de Duitse inlichtingendiensten in staat

stelt ons voor grote uitdagingen.

stelt telefoongesprekken van burgers Actuele ontwikkelingen

af te luisteren en internetverkeer te

Op het niveau van beleid en strategie

Overheidsinstanties in de Verenigde Staten

bespioneren. De maatregel maakt deel

dient een juiste balans te worden gezocht

en binnen de Europese Gemeenschap

uit van het “Programm zur Stärkung der

in de mate waarmee en wijze waarop

krijgen steeds meer bevoegdheden om,

Inneren Sicherheit (PSIS) ” en wordt

inlichtingen worden verzameld. Wet- en

zonder toestemming en medeweten van

gerechtvaardigd met een beroep op de

regelgeving ten aanzien van het inwinnen

de betrokkenen, informatie over burgers

voortdurende terroristische dreiging.

van inlichtingen over burgers dient

te verzamelen en te analyseren. Recente

In het kader van dit programma is een

proportioneel te zijn. Anders bestaat het

ontwikkelingen in de Verenigde Staten,

keylogger ontwikkeld in de vorm van

risico dat de democratie van binnenuit

de Europese Gemeenschap en Zweden

een Trojan Horse, ook wel bekend als

wordt uitgehold.

bevestigen deze trend.

Bundestrojan. “Erinnert an Systeme, die

Er is sprake is van een zware en

• Nieuw inlichtingenakkoord tussen

keine Rechtsstaaten sind”, aldus het waarschijnlijk langdurige informatiestrijd tegen terrorisme en georganiseerde

commentaar van stern.de.

Europese Gemeenschap en Verenigde Staten1

Historische achtergrond

criminaliteit. Een strijd die in het teken

In de NRC van 28 juni jongstleden een

• De beschutting van WO II

staat van paradoxen en daarom vraagt

artikel onder de kop “EU en VS bijna klaar

Het is algemeen bekend, of beter een

om een moment van bezinning. Het gaat

met privacyakkoord”. De Europese Unie

eufemisme, dat het Naziregime het niet zo

daarbij niet om het vinden van een direct

en de Verenigde Staten leggen de laatste

nauw nam met de persoonlijke levenssfeer

antwoord, maar misschien eerder om het

hand aan een overeenkomst waardoor

van burgers. Met het Naziregime nog vers

stellen van de juiste vragen.

de veiligheidsdiensten gegevens van

in het geheugen, ligt in Europa in de

elkaars burgers kunnen raadplegen, zoals

periode na WO II, tot ongeveer 1985, een

Op tactisch niveau zien overheid en

creditcardgegevens en internetgedrag.

sterke nadruk op de bescherming van de

bedrijfsleven zich voor de taak gesteld

Dit blijkt uit een uitgelekt intern

privacy van de burgers.

om hun processen in te richten in

document van een Europees-Amerikaanse

overeenstemming met een steeds

overleggroep. De term privacyakkoord lijkt

complexere wet- en regelgeving inzake

hier eigenlijk nauwelijks van toepassing,

de bescherming van privacy van burgers

de term inlichtingenakkoord lijkt hier

en de verplichting tot verstrekking van

meer op zijn plaats.

inlichtingen aan de overheid. Ook burgers zoeken, in weerwil van de nieuwe wet-

• Zweden tapt e-mail en internetverkeer2

en regelgeving, zelf naar mogelijkheden

Onder de titel “Zweden laat Big Brother

om hun persoonlijke levenssfeer te

toe” besteedt het Algemeen Dagblad

beschermen.

van 19 juni jongstleden aandacht aan een controversieel wetsvoorstel, dat

De toepassing van zowel Privacy Intrusion

onlangs is geaccepteerd door het Zweedse

Technology (PIT) en Privacy Enhancing

parlement. Door deze wet verwerft de

Technology (PET) kan van toegevoegde

overheid toegang tot het e-mail- en

waarde zijn, mits zorgvuldig afgewogen en

telefoonverkeer van Zweden naar het

in overeenstemming met de democratische

buitenland en vice versa, met als doel

businesscase.

het land te beschermen tegen terrorisme. Het wetsvoorstel riep fel protest op:

WO II – Misbruik van gevoelige gegevens bron: Pierre J. http://flickr.com/people/7969902@N07/

Dit artikel biedt geen kant-en-klare

demonstranten deelden exemplaren uit

oplossingen, maar reikt in plaats daarvan

van Orwell’s 1984³ . Overigens is niet

Aan maatschappelijke onrust was in die

enkele instrumenten, inzichten en

duidelijk op welke wijze onderscheid

periode geen gebrek6. Gekozen werd

vragen aan, die in de zoektocht naar een

gemaakt zal worden tussen ‘buitenlands’

om deze bedreigingen van de veiligheid

oplossing kunnen ondersteunen. Nauwe,

en ‘ binnenlands’ e-mailverkeer. Evenmin

van binnenuit met andere middelen te

interdisciplinaire samenwerking tussen

is duidelijk op welke wijze encrypted

bestrijden.

overheid, wetenschap en bedrijfsleven,

e-mail en pseudonieme communicatie

wellicht in de vorm van Public Private

doorgelicht en ontcijferd zullen worden.

Partnerships, is in dit verband gewenst.

• Toenemende controle vanaf 19857 Rond 1985 treedt er verandering op.

Informatiebeveiliging augustus 2008 • • • • • •

IB 5 2008.indd 27

27

29-07-2008 11:08:37

De technische mogelijkheden voor

Parlement een Europese Richtlijn goed

Daarnaast is de verhouding tussen de

surveillance en monitoring en de

waarin een bewaarplicht van internet- en

staat en de burgerlijke samenleving

maatschappelijke behoefte daaraan nemen

telefoniegegevens voor een bepaalde tijd

aan verandering onderhevig. In het

aanzienlijk toe. In deze periode wordt in

wordt voorgeschreven, met de bedoeling

verleden stelden staten, uitzonderingen

toenemende mate controle uitgeoefend,

deze gegevens ter beschikking te houden

daargelaten, over het algemeen

onder meer door de koppeling van

van politie- en veiligheidsdiensten. Het

vertrouwen in hun burgers, zolang de

bestanden, de vordering van gegevens,

motief van terrorismebestrijding speelt

wet werd gehoorzaamd. De sociale

het aftappen van telecommunicatie,

een belangrijke rol bij deze beslissing. In

interactie in de context van kleinere,

het bewaren van verkeersgegevens van

Nederland stemt de Tweede Kamer op 22

persoonlijke gemeenschappen stond borg

telecommunicatie, het uitoefenen van

mei 2008 in met het wetsvoorstel “Wet

voor de veiligheid van de maatschappij

cameratoezicht, het uitbreiden van

bewaarplicht telecommunicatiegegevens”

als geheel. De hedendaagse samenleving

bijzondere opsporingsbevoegdheden en de

waarin een verplichte bewaartermijn van

is in toenemende mate anoniem en

invoering van de identificatieplicht, om er

12 maanden werd voorgeschreven. Het

divers. Het vertrouwen tussen burgers

maar enkele te noemen.

wetsvoorstel moet nog behandeld worden

onderling en het vertrouwen dat de staat

in de Eerste Kamer.

stelt in haar burgers is afgenomen. Als

• Persoonlijke levenssfeer na 9/11

antwoord daarop neemt de staat een meer Kentering in de relatie burger -

controlerende houding aan. Edward Higgs11

ontwikkelingen rond de bescherming

overheid

spreekt in dit verband van “a fundamental

van privacy in een stroomversnelling.

Terrorisme en georganiseerde criminaliteit

shift in the relationship between the

De rook rond de Twin Towers was nog

zijn met elkaar verweven en de

government and the governed”.

De aanslagen van 11 september brengen

niet opgetrokken of de USA Patriot Act

8,9

terroristische dreiging is aanzienlijk

werd goedgekeurd. Tussen voorstel en

toegenomen. Maatregelen zijn nodig om

Paradoxen

goedkeuring lag slechts een periode

het hoofd te bieden aan deze toenemende

• Quis custodiet ipsos custodes?

van zes weken. Deze wet voorzag in

dreiging. Er is een algemene roep om

Maatregelen ter bescherming tegen een

een verruiming van bevoegdheden tot

de maatschappij tegen deze dreiging

ongrijpbare vijand zijn per definitie

het doorzoeken van telefoon- en e-mail

te bescherming. Eén van de methoden

generiek van aard. De staat ziet zich

communicatie. Droog commentaar van

om dit te bereiken is het verzamelen

daarom genoodzaakt om alle burgers aan

Diffie en Landau10 op deze reactie: “It is

van inlichtingen. In de afgelopen jaren

een onderzoek te onderwerpen in plaats

often easier to act than to analyze”.

zijn daarom de bevoegdheden van het

van een of enkele verdachten. De vraag

gezag om inlichtingen in te winnen

“Who will guard the guards?” is op deze

over de persoonlijke levenssfeer van

situatie van toepassing.

Ook in de Europese Gemeenschap worden 10

na 11 september de bakens verzet .

burgers aanzienlijk uitgebreid. Deze

Britse en Nederlandse leden van het

maatregelen trekken echter een wissel op

• Bestrijding - of schot in eigen voet?

Europese parlement verzetten zich

de vertrouwensrelatie tussen burger en

De uitbreiding van bevoegdheden tot

en tekenen bezwaar aan tegen een

overheid. Een tweetal motieven liggen aan

het verzamelen van inlichtingen staat op

onderhavig voorstel van het Civil

deze ontwikkeling ten grondslag.

gespannen voet met de rechten op privacy

Post-9/11 privacy

Liberties Committee, waarin wordt

28 •

en vrijheid die burgers in het kader van

aangedrongen op strikte regulering

Allereerst ligt aan de noodzaak tot

de democratische rechtsstaat genieten.

van toegang tot persoonlijke gegevens

het inwinnen van inlichtingen een

Maatregelen ter bestrijding van terrorisme

van burgers. In dezelfde periode dient

eeuwenoud onderscheid ten grondslag

en georganiseerde criminaliteit dienen op

James Foster, vertegenwoordiger van de

tussen een ‘veilig’ binnenland en een

de juiste wijze en in een juiste dosering

Verenigde Staten in de Europese Unie,

‘vijandig’ buitenland. In dit verband wordt

te worden toegepast. Lukt dat niet, dan

een voorstel in om de verplichting tot

gewoonlijk gesproken over spionage.

slaat de balans om en wordt de democratie

het bewaren van belangrijke gegevens

Diffie en Landau10 wijzen er op dat

van binnenuit uitgehold.

gedurende een ‘redelijke’ periode op

dit onderscheid tussen binnenland en

te nemen in de Europese Richtlijnen;

buitenland niet langer van toepassing

• Risk appetite van zelfmoordterroristen

in de Verenigde Staten is op dat

is. Recente ontwikkelingen, zoals

Een eerste stap bij het inrichten van

moment niet een dergelijke richtlijn

toenemende mobiliteit en elektronische

beveiliging is een risicoanalyse. Daarbij

van kracht. In december 2005 hecht de

communicatie hebben de grenzen doen

wordt gekeken naar de aard en omvang

Europese Commissie haar goedkeuring

vervagen. Als gevolg daarvan heeft de

van de dreigingen, de kans dat een

aan een richtlijn, waarin telefoon- en

staat, met het oog op het waarborgen van

dreiging zich realiseert en de mogelijke

internetbedrijven verplicht worden

de veiligheid, belang bij het verzamelen

schade als gevolg daarvan. Eén van de

alle verkeersgegevens te bewaren van

van inlichtingen, niet alleen in het

componenten van een risicoanalyse is

gesprekken en e-mails gedurende een

buitenland, maar ook over haar eigen

het maken van een daderprofiel. Aan

periode van 6 tot 24 maanden.

burgers.

de hand daarvan kan worden bepaald

Op 15 maart 2006 keurt het Europese

waartoe een dader al dan niet in staat is

• • • • • Informatiebeveiliging augustus 2008

IB 5 2008.indd 28

29-07-2008 11:08:42

en welke aanvalsscenario’s aantrekkelijk

maatschappelijke en technologische

fraude analyse, wetgeving op het gebied

zijn dan wel bijdragen aan zijn of haar

aspecten in het oog gehouden te worden.

van informatieverzameling, opsporing,

doelstellingen. Ook de mate waarin een dader bereid is om risico’s te nemen is van belang. Op een daderprofiel kan een attack 16

sancties, het volgen van individuen of • PET - óók voor terroristen (én hun bestrijders)

groepen, Global Positioning Systems (GPS), satellietbeelden en -communicatie,

tree analyse gebaseerd worden. Hieruit

Private partijen zijn niet gediend van een

trojan horses en log analyse. Ook

komt naar voren welke aanvalsscenario’s

inmenging van staatszijde. Terroristen

backdoors in software behoren tot het

het meest waarschijnlijk zijn. Aan de hand

evenmin. Op de markt verkrijgbare Privacy

instrumentarium van civil intelligence.

daarvan kunnen beveiligingsmaatregelen

Enhancing Technologies worden zowel

op maat genomen worden.

door burgers als terroristen toegepast

• Wetgeving

ter bescherming van hun zakelijke of

Wetgeving op het gebied van het gebruik

Kenmerkend voor terroristen is dat zij

persoonlijke actieradius. Het is daarom

van PET en PIT dient uitgebalanceerd

veelal bereid zijn om grote risico’s te

moeilijk om het gebruik van PET door

te zjin. Bij de toepassing van PIT is het

nemen. In veel gevallen vinden terroristen

middel van wettelijke maatregelen in

belangrijk de waarde van de door vorige

het geen bezwaar, in sommige gevallen

te perken zonder daarmee ook private

generaties bevochten democratische

zelfs een voordeel, om hun leven te

partijen in hun handelen te belemmeren

rechten niet uit het oog te verliezen. PIT

laten bij een aanslag. Dit creëert een

en daarmee indirect collectieve en

en PET staan van nature op gespannen

principiële asymmetrie in de bestrijding

economische belangen te schaden.

voet met elkaar. In de wetgeving zal

van terrorisme. Geweldsmiddelen of

Daar staat tegenover dat politie en

desondanks gezocht moeten worden

sancties zoals die in de conventionele

inlichtingendiensten PET kunnen benutten

naar een minimale harmonie, in ieder

criminaliteitsbestrijding gebruikelijk zijn,

om de vertrouwelijkheid van hun

geval moeten richtlijnen elkaar niet

zijn daarom niet per definitie geschikt in

communicatie te waarborgen.

tegenspreken. Zo kan het in een bepaalde

de bestrijding van terrorisme. Het niveau

Omgekeerd belemmert de toepassing van

situatie opportuun zijn om communicatie

van beveiliging – en de kwaliteit van de

PET het inwinnen van inlichtingen. Het

af te tappen, als echter het gebruik

inlichtingen die ingewonnen worden ter

ligt voor de hand dat juist partijen die

van sterke encryptie (zonder backdoor)

voorkoming van terrorisme - dient daarom

een groot belang hebben bij privacy, tot

is toegestaan is deze maatregel niet

hoog te zijn.

toepassing van PET zullen overgaan. De

effectief. Ten slotte is de technische

kans bestaat dat op die manier vooral

haalbaarheid van doelstellingen van

• Haast u langzaam

kleine boeven gepakt worden terwijl

belang. Het kan bijvoorbeeld wenselijk

Het directe, zichtbare effect van een

grote boeven vrijuit gaan. Jules Verne

zijn om alleen e-mail verkeer van en naar

terroristische aanslag is vaak een

vestigde al de aandacht op dit risico in

het buitenland te monitoren, technisch

13

enorme schade, zowel in menselijke als

zijn ‘Reis om de wereld in 80 dagen’ : ‘De

is het echter niet mogelijk om tussen

financiële zin en, op langere termijn,

paspoorten dienen immers nergens anders

binnenlands en internationaal e-mail

in economische zin. Het werkelijke,

toe dan om een fatsoenlijk man in zijn

verkeer te onderscheiden. Bij het maken

onzichtbare doel van terrorisme is, door

bewegingen te hinderen en een schurk bij

van afwegingen is het daarnaast van

angst en paniek te zaaien, de bevolking

zijn vlucht behulpzaam te zijn!’

belang te letten op de mogelijkheden

en daarmee de publieke opinie en de

die analoge, klassieke vormen van

politieke besluitvorming te beïnvloeden.

Inzichten en instrumenten in de strijd

inlichtingenwerk bieden. Ten slotte zijn

Princeton University licht de term

tegen terrorisme

andere beleidsterreinen van invloed. Zo

terrorisme als volgt toe12: “the calculated

De enorme dreiging die uitgaat van

kan gestreefd worden om te komen tot

use (or threat) of violence against

georganiseerde criminaliteit en terrorisme

meer persoonlijke gemeenschappen waar

civilians in order to attain goals that are

vormt een uitdaging voor beleidsmakers,

sociale controle (opnieuw) wordt ingebed.

political or religious or ideological in

civil intelligence én adviseurs. Het zijn

nature; this is done through intimidation

echter vooral de hierboven geschetste

or coercion or instilling fear”.

paradoxen die de bestrijding van

Bruce Schneier merkt in zijn blog14 op dat

terrorisme tot een schier onmogelijke

Door toepassing van meervoudige

het van belang is om standvastig en kalm

opgave maken. Desondanks zijn er een

beveiligingsmaatregelen met een

te blijven, oog in oog met (vermeende)

aantal inzichten en instrumenten die, mits

verschillend karakter, worden risico’s

terroristen. Het is de kunst, voor burgers,

met beleid toegepast, van toegevoegde

en mogelijke schade beperkt. Het idee

beleidsmakers én (informatie)beveiligers,

waarde kunnen zijn.

achter deze benadering is, dat als een

om zich niet door angst te laten regeren

• Weerbaarheid door middel van defence in depth

beveiligingsmaatregel faalt, een andere

maar weloverwogen te reageren. Het is

• PIT voor het inwinnen van inlichtingen

beveiligingsmaatregel het risico alsnog

belangrijk een breed blikveld te koesteren.

Privacy Intruding Technologies ofwel

afdekt. Een voorbeeld in de context van

Bij het nemen van maatregelen op het

PIT omvatten onder meer registratie,

de informatiebeveiliging is het plaatsen

gebied van (informatie)beveiliging

uitwisseling van gegevens, biometrie,

van meerdere firewalls van verschillende

dient ook voortdurend de relatie tussen

datamining, cameratoezicht, profilering,

productenten binnen dezelfde

Informatiebeveiliging augustus 2008 • • • • • •

IB 5 2008.indd 29

29

29-07-2008 11:08:43

beveiligingsinfrastructuur. Een zwak

• Doe niets, wees voorbereid

de Minimal Disclosure algoritmes van

punt in de firewall van een bepaald merk

En ten slotte, handelen is geen panacee.

Stefan Brands17, een vorm van cryptografie

wordt dan (in het algemeen) afgedekt

Soms is het beter om niets te doen. En

gebaseerd op de algoritmes van David

door een firewall van een ander merk die

voorbereid te zijn op wat komen kan.

Chaum, waarbij informatie stapsgewijs, op

die zwakheid niet vertoont. Voor fysieke

En damage control goed in te regelen.

beveiliging gelden dezelfde principes.

Ofwel, in de stijl van Diffie en Landau

10

basis van discrete rechten, gedeeld kan worden.

“Sometimes it is better to analyze than • Weerbaarheid door middel van decentrale

to act”.

infrastructuur

Vragen, eerder dan antwoorden Samenvattend kunnen wij stellen dat er

Door organisatie en technologie over een

De toekomst van PET -

sprake is van een zware en waarschijnlijk

groter aantal, zo mogelijk wisselende

voor good én bad guys

langdurige informatiestrijd tegen

locaties te spreiden kan de kans op

Diverse technologieën, onder de noemer

terrorisme en georganiseerde criminaliteit.

een succesvolle terreuraanslag worden

Privacy Enhancing Technologies, zijn sinds

Een strijd die in het teken staat van

verminderd en de mogelijke schade als

jaar en dag op de markt beschikbaar om

paradoxen en daarom vraagt om een

gevolg van een aanslag worden beperkt.

de privacy – ofwel vertrouwelijkheid van

moment van bezinning. Het gaat daarbij

In dit verband is de topologie van

informatie – te waarborgen. Cryptografie

niet om het vinden van een direct een

internet illustratief. Dertien Domain Name

en steganografie zijn beproefde middelen,

antwoord, maar misschien eerder om

System (DNS) servers, die zorgen voor de

ook in het analoge domein.

het stellen van de juiste vragen. Dit

routering van de communicatiepakketten,

artikel biedt dan ook geen kant-en-klaar

staan verspreid over de hele wereld. Dit

In het digitale domein worden momenteel

antwoord, maar reikt in plaats daarvan

maakt dat de topologie van internet,

door industrie en wetenschap nieuwe

enkele instrumenten, inzichten en vragen

tegen de verwachtingen van sommigen in,

instrumenten ontwikkeld. Voorbeelden

aan, die wellicht in de zoektocht naar een

bijzonder robuust is.

daarvan zijn de Onion Router, een

oplossing kunnen ondersteunen.

technologie voor anoniem surfen15; en

Post-9/11 privacy

Eindnoten 1. http://www.nrc.nl/europa/ article1148243.ece/EU_en_VS_ bijna_klaar_met_privacyakkoord 2. http://www.ad.nl/ buitenland/2382885/Zweden_ laat_Big_Brother_toe.html 3. Boek van George Orwell over een fictief autoritair regiem waar het Ministry of Truth regeert is en de thought police de burgers controleert. 4. http://www.stern.de/politik/ deutschland/:BKA-Gesetz-DieSchn%FCffelwut/622659.html 5. http://www.bmi.bund. de/nn_122688/Internet/ Content/Nachrichten/ Pressemitteilungen/2006/11/ Programm__zur__Staerkung__der__ Inneren__Sicherheit.html 6. Voorstanders van een zelfstandige republiek Molukken en het Japanse Rode Leger voerden gijzelingsacties uit, in Nederland pleegde de Revolutionaire Anti-Racistische Actie (RARA) aanslagen, in Duitsland

30 •

werden aanslagen gepleegd door de Rote Armee Fraction en in Italie door de Brigate Rosse. 7. http://www.rathenau.nl/showpage. asp?steID=1&item=2695&searching =privacyparadijs 8. http://frwebgate.access.gpo.gov/ cgi-bin/getdoc.cgi?dbname=107_ cong_public_laws&docid=f: publ056.107 9. USA Patriot Act is een afkorting van”Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001” 10. Whitfield Diffie and Susan Landau “Privacy on the line – The politics of wiretapping and encryption” (updated and expanded edition), 2007, Massachusetts Institute of Technology, pag. 280 e.v. 11. Edward Higgs, “Are State-Mediated Forms of Identification a Reaction to Physical Mobility? The case of England 1500 – 2007”, pag. 95 e.v., in: Policies and Research in Identity Management- First IFIP

WG 11.6 Working Conference on Policies and Research in Identity Management (IDMAN’07), RSM Erasmus University, Rotterdam, the Netherlands, October 11-12, 2007- Series: IFIP International Federation for Information Processing , Vol. 261 - de Leeuw, E.; Fischer Hübner, S.; Tseng, J.C.; Borking, J. (Eds.), 2008 12. Zie: http://wordnet.princeton.edu/ perl/webwn?s=terrorism, Cognitive Science Laboratory, Princeton University, 13. http://nl.wikipedia.org/wiki/ Jules_Verne 14. http://www.schneier.com/blog/ archives/2006/08/what_the_ terror.html 15. https://www.torproject.org/ 16. http://www.schneier.com/paperattacktrees-ddj-ft.html 17. http://idcorner.org/2007/06/19/ anonymous-credentials-no-minimaldisclosure-certificates

• • • • • Informatiebeveiliging augustus 2008

IB 5 2008.indd 30

29-07-2008 11:08:44