wie niets te verbergen heeft, hoeft zich toch geen zorgen te maken over privacy? dat blijkt niet helemaal waar. zo bestaan er verschillende encryptiemethodes om allerlei communicatietoepassingen te beveiligen tegen luistervinken, maar wordt hun toepassing minder evident naarmate de groep gebruikers groeit. van overheidswege worden de principes van veilige communicatie vaak eerder geschonden dan gehonoreerd, bijvoorbeeld wanneer geheime diensten hun eigen burgers en bedrijven, of die van andere landen, bespioneren. even moeilijk is het om de vertrouwelijkheid te bewaken van informatie die lokaal op computers bewaard wordt, nu virussen zich zo onzichtbaar mogelijk proberen te maken. de lastigste opdracht is misschien wel ervoor te zorgen dat centrale gegevensbanken niet meer data bijhouden dan nodig is, en dat uit de informatie die ze vrijgeven geen individuele gegevens afgeleid kunnen worden. die bezorgdheid geldt zeker ook voor de recente ‘slimme’ toestellen.

De technische aspecten van privacy

Vincent Rijmen

Voor vele Belgen is het debat over privacy een ver-van-mijn-bedshow, voornamelijk gevoerd door en voor fanatiekelingen en complottheoretici. De nog steeds wijdverspreide gedachtegang is dat een gewone burger toch weinig of niets te verbergen heeft, dus wat is het probleem? Zeker wanneer we in aanmerking nemen hoeveel gegevens mensen elke dag over zichzelf achterlaten op sociale media en andere webtoepassingen, moeten we wel tot die conclusie komen.

De show wordt echter minder aangenaam wanneer men opmerkt dat de gepersonaliseerde reclame op Google naar exact die thema’s verwijst waarover men onlangs nog een discussie gevoerd heeft. Dat Google hiervoor via Google Assistant zou meeluisteren in de woonkamer is trouwens een fabeltje. Google hoeft zijn gebruikers helemaal niet af te luisteren om te weten waarover ze (waarschijnlijk) spreken of nadenken. Ook zonder spionage laten de meeste mensen voldoende digitale sporen na om een gedetailleerd profiel van hun gewoonten, behoeften en verlangens op te stellen.

Dat Google zou meeluisteren in de woonkamer is een fabeltje

Helemaal stil wordt het wanneer blijkt dat in grote webwinkels zoals Bol.com de prijs voor eenzelfde artikel blijkt te verschillen naargelang van de recente surfgeschiedenis en naargelang van het toestel waarmee men op dat moment de webstek van de winkel aan het bekijken is. Noteer dat dit soort profilering niet noodzakelijk impliceert dat de anonimiteit verbroken is. Google, Bol.com of een andere webdienst verbindt enkel de gegevens over de websites die recent vanop een bepaald toestel bezocht zijn en koppelt daar reclameboodschappen aan die bij voorkeur op dat toestel getoond worden, zonder dit aan een naam of identiteit te koppelen. In zekere zin fungeert het toestel of het IP-adres als een pseudoniem. Indien deze koppeling tussen surfgeschiedenis, type van het toestel en de getoonde prijs niet mogelijk is, dan spreken we over niet-traceerbaarheid, wat dus een sterkere eigenschap is dan enkel anonimiteit.

Behalve de voor de hand liggende commerciële redenen om gegevens in te zamelen zijn er ook een aantal technische en politieke redenen waarom het in onze huidige maatschappij moeilijk is om privacy of niet-traceerbaarheid te verzekeren. De term privacy is een vlag die vele ladingen dekt. Men kan een onderscheid maken tussen verschillende gerelateerde begrippen: vertrouwelijkheid van communicatie, vertrouwelijkheid van lokaal opgeslagen gegevens en vertrouwelijkheid van gegevens opgeslagen in centrale gegevensbanken.

Vanuit puur wetenschappelijk oogpunt is de vertrouwelijkheid van communicatie een opgelost probleem. Er bestaat een ruime keuze aan encryptiemethodes die gebruikt kunnen worden om alle vormen van communicatie te beveiligen tegen afluisteren. Bijvoorbeeld: de Belgische elektronische identiteitskaarten bevatten cryptografische sleutels die in principe gebruikt kunnen worden om een communicatiekanaal op te zetten zodat derden niet kunnen afluisteren, noch onopgemerkt wijzigingen kunnen aanbrengen in de berichten die uitgewisseld worden. Jammer genoeg wordt er in de praktijk weinig gebruik gemaakt van de mogelijkheden van onze identiteitskaarten. Hiervoor zijn verschillende redenen. Vanuit technisch oogpunt blijkt het niet evident om voldoende ondersteuning te voorzien voor het gebruik van de elektronische identiteitskaart in populaire programma’s die gebruikt worden om e-mails te versturen, te chatten… Men moet natuurlijk ook vertrouwen hebben in de Belgische overheid, enerzijds in het feit dat ze niet bewust achterpoortjes inbouwt in de cryptografische infrastructuur, anderzijds in het feit dat ze die infrastructuur goed onderhoudt en aanpast aan nieuwe ontwikkelingen.

Het internationale klimaat voor geheime communicatie is niet gunstig

De problemen van ondersteuning en van vertrouwen worden groter als we internationaal gaan kijken. Louter technisch is er het feit dat de uitdagingen groter worden naarmate het aantal gebruikers groeit. Veel doorslaggevender echter is het feit dat het internationale klimaat voor het principe van geheime communicatie voor en door burgers en bedrijven niet gunstig is. Zo weten we dat geheime diensten van de VS, Canada, het VK, Australië en Nieuw-Zeeland samengewerkt hebben om een computerinfrastructuur op te zetten om burgers en bedrijven van de hele wereld te bespioneren. Geheime diensten proberen er op allerlei manieren voor te zorgen dat moderne communicatiemiddelen geen goede encryptiemethodes gebruiken. In de VS waren er tot het jaar 2000 strenge beperkingen op de uitvoer van hard- en software die gebruikt kan worden om berichten geheim te houden. Handlangers worden in internationale standaardisatiecommissies geplaatst om de processen te saboteren of te vertragen. Duitse diensten ontwikkelden zelf een virus om toegang te krijgen tot computers en telefoons van personen en bedrijven die hun interesse opwekken, enzovoort.

Voor het verzekeren van de vertrouwelijkheid van lokale informatie, en meer algemeen de veiligheid van de computers van de gebruikers, is er zelfs nog geen aanzet tot een praktisch werkbare methode. De belangrijkste boosdoeners zijn de moderne varianten van computervirussen. Hierbij moeten we het beeld uit ons hoofd zetten van de oubollige virussen uit de 20ste eeuw, die gekenmerkt werden door hun duidelijke impact: blokkeren van de werking van programma’s, beschadigen van bestanden of verstoren van netwerktoegang, eventueel gepaard gaand met opzichtige aankondigingen op het beeldscherm. Moderne virussen opereren veel meer onder de radar. Ze zijn gemaakt om de gewone werking van de besmette computer zo weinig mogelijk te verstoren en komen enkel in actie om paswoorden te capteren en door te sturen, foto’s te stelen, productieprocessen te saboteren, verkiezingen in de war te sturen of andere zeer specifieke doelwitten te raken.

Hier is het moeilijk om tot sluitende oplossingen te komen. Zelfs in puur theoretische modellen waarin men aanneemt dat gebruikers zelf geen software installeren blijkt het moeilijk om functionaliteit en gebruiksgemak aan een redelijke prijs te verzoenen met veiligheid. In feite zijn we als gebruiker verwend en verwachten we heel veel functionaliteit aan een lage prijs, waardoor veiligheid te weinig aandacht krijgt van ontwikkelaars. Daarnaast speelt ook hier de invloed van geheime diensten, die ontwikkelingen ten gunste van veilige computers voor gewone burgers actief tegenwerken.

Moderne virussen opereren veel meer onder de radar dan de opvallende exemplaren van vroeger

Tot hiertoe beschreven we situaties waarbij, hoe moeilijk de praktische en theoretische problemen ook waren, er wel nog altijd een duidelijke scheidslijn was tussen enerzijds partijen die een volledig recht hebben op bepaalde informatie en anderzijds partijen die daar geen enkel recht op hebben. De grootste problemen in verband met privacy treden op wanneer deze scheidslijn vervaagt. We spreken dan over situaties waarin we bepaalde informatie moeten delen en deze typisch laten opslaan in centrale gegevensbanken om toe te laten dat bepaalde diensten efficiënt aan ons geleverd kunnen worden. Belangrijk in deze situaties is om een onderscheid te maken tussen gegevens en (geaggregeerde) informatie.

Zo moet een farmaceutisch bedrijf dat nieuwe medicijnen wil testen bijvoorbeeld bepaalde medische gegevens van de betrokken proefpersonen kunnen verwerken. De klassieke oplossing bestaat erin om zoveel mogelijk gegevens over de proefpersonen op te vragen en op te slaan in een centrale gegevensbank. Vervolgens zal men de toegang tot deze gevoelige gegevens trachten te beperken en enkel geaggregeerde informatie vrijgeven, zoals gemiddelde waarden, maximale waarden, statistische correlaties, enz. Omdat enkel statistische informatie vrijgegeven wordt, spreken we dan over een statistische gegevensbank. Hier kan echter het probleem van inferentie optreden wanneer de populatie waarover geaggregeerd wordt te klein is. Bijvoorbeeld: het gemiddelde van een populatie met slechts één waarde is gelijk aan deze waarde zelf. In dit geval kan men uit de ‘statistische informatie’ de gevoelige oorspronkelijke gegevens rechtstreeks afleiden. Een voor de hand liggende tegenmaatregel is om een minimale populatiegrootte vast te leggen. In praktische toepassingen hanteert men vaak het getal 3 als ondergrens. Uiteraard moet men dan ook een minimum opleggen voor het verschil tussen twee populaties waarover geaggregeerd wordt om te beletten dat gevoelige informatie afgeleid kan worden uit het verschil van de twee geaggregeerde waarden en zo verder. Helaas is het niet mogelijk om op deze manier volledige bescherming te bieden. Al in de jaren ’70 toonden onderzoekers als Dorothy E. Denning en Jan Schlörer namelijk aan dat voor bijna elke gegevensbank met een matige of hoge complexiteit een combinatie van geaggregeerde waarden gevonden kan worden die toelaat om de oorspronkelijke gegevens van een willekeurig individu uit de gegevensbank af te leiden. (Zo’n combinatie noemt men een tracker.)

Om energie en geld te besparen verwerken slimme toestellen niet zelf de gegevens die ze verzamelen

De problemen van centrale gegevensbanken worden reeds sinds decennia bestudeerd. Een meer moderne incarnatie van deze problematiek vinden we in het Internet der Dingen en de zogenaamde slimme toestellen. Ook in het Internet der Dingen is het vaak technisch veel eenvoudiger om te werken met een centralistisch model voor gegevens en berekeningen. Om de batterijen van slimme toestellen te sparen en om de prijs van de toestellen te drukken gebeurt de verwerking van de gegevens die de toestellen verzamelen en het bepalen van de besturing niet op het toestel zelf. In de plaats daarvan worden de gegevens doorgestuurd (al of niet beveiligd) naar een centrale server (al of niet beveiligd) die de gegevens verwerkt, instructies voor de besturing opstelt en deze terugstuurt.

Een pessimistisch uitgangspunt is dat, wanneer gegevens opgeslagen worden, ze uiteindelijk onvermijdelijk zullen lekken. De beste tegenmaatregel is dan om het probleem bij de bron aan te pakken en zoveel mogelijk te vermijden om gegevens door te sturen naar centrale gegevensbanken. Reeds in 1980 formuleerde de OESO acht principes voor de bescherming van gegevens van burgers, waarvan de eerste drie handelen over beperkingen op het verzamelen van gegevens.

Men kan ook vermijden om gegevens te versturen door een onderscheid te maken tussen noodzakelijke informatie en gegevens die opgevraagd worden om die informatie uit af te leiden. Bijvoorbeeld: via digitale meters vragen energieleveranciers momenteel gedetailleerde gegevens op over het verbruik van de klant tijdens dal- en piekuren om daaruit de totale prijs van het verbruik te berekenen en deze informatie vervolgens aan de klant mee te delen. Digitale meters laten echter toe om een meer privacybewuste oplossing uit te werken waarbij de meter zelf de prijs van het verbruik berekent en enkel deze informatie doorstuurt naar de energieleverancier. De gedetailleerde gegevens over het verbruik verlaten de meter niet, belanden nooit in een centrale gegevensbank en kunnen dus ook niet uitlekken. Wel heeft de energieleverancier garanties nodig dat de digitale meter de correcte prijs berekent en doorstuurt. Er bestaan cryptografische methoden die deze garantie kunnen bieden, en ze worden hier en daar reeds uitgetest.

Wanneer de gegevens zelf nooit ontcijferd worden, kunnen ze ook niet uitlekken

Cryptografie kan ook nog op een andere manier aangewend worden om het versturen van gegevens te vermijden. In dit geval worden alle gegevens vercijferd voordat ze verstuurd worden naar de centrale gegevensbank. Homomorfe encryptiemethodes laten toe om berekeningen uit te voeren door rechtstreeks met de vercijferde gegevens te werken. Enkel het eindresultaat van de berekeningen wordt ontcijferd. Omdat de gegevens zelf nooit ontcijferd worden, kunnen ze ook niet uitlekken. Deze technieken zijn reeds ingebouwd in softwarepakketten voor elektronische verkiezingen. Vanuit wiskundig oogpunt zijn verkiezingen relatief eenvoudig, omdat men enkel moet kunnen optellen. Het bestaan van homomorfe encryptiemethodes die willekeurige wiskundige bewerkingen toelaten werd pas aangetoond in 2009. Voorlopig zijn deze technieken echter nog zeer omslachtig en meestal te traag voor de praktijk. Ze vereisen vaak ook dat men bij de installatie van het systeem en de keuze van de encryptiemethode reeds weet welke berekeningen men later wil gaan uitvoeren. Er zijn dus geen aanpassingen mogelijk tijdens de levensduur van het systeem. Cryptografen onderzoeken volop of homomorfe encryptie versneld en meer praktisch gemaakt kan worden.

Hoewel er dus oplossingen bestaan, zien we in de praktijk toch nog dat er meestal geopteerd wordt voor het verzamelen en opslaan van (te veel) gegevens. Een eerste reden is gemakzucht en een zekere mate van straffeloosheid. Tot aan de invoering van de Algemene Verordening over de Gegevensbescherming (AVG, beter gekend onder de Engelse afkorting GDPR) in de EU werden organisaties die persoonlijke gegevens verzamelden en die vervolgens lieten uitlekken zelden gestraft. Men kon dus beter wat extra gegevens opvragen en mogelijk laten uitlekken dan het risico lopen om later te moeten vaststellen dat men nog extra gegevens had moeten opvragen. Hierin brengt de AVG nu mogelijk verandering.

Een tweede reden is dat het niet altijd makkelijk of zelfs mogelijk is om op voorhand in te schatten welke gegevens nodig of nuttig zullen blijken. Moderne analysetechnieken zoals data mining en artificiële intelligentie zoeken naar ongekende en vaak onvoorspelbare verbanden tussen gegevens. Beperkingen op de opslag van gegevens leiden tot beperkingen op de toepassing van deze technieken, zowel ten goede als ten kwade.

De opslag van gegevens beperken betekent ook de toepassing van nieuwe technieken beperken

De bescherming van de vertrouwelijkheid van communicatie en lokale gegevens, en het tegengaan van misbruik van centraal opgeslagen gegevens, is echter niet alleen de verantwoordelijkheid van de ontwikkelaars en aanbieders van systemen, maar ook van de burgers. Het ontwikkelen van webdiensten die de privacy niet schaden, van methodes om marktonderzoek te doen dat zoveel mogelijk de privacy respecteert enzovoort leidt tot grote technische uitdagingen. Zolang mensen echter persoonlijke gegevens publiceren op sociale media en bereid zijn om alle informatie over hun aankopen te delen met onbekenden in ruil voor enkele kortingsbonnen kunnen vertrouwelijkheid en privacy niet beschermd worden. Net zoals in moderne wagens de maatregelen om de fysieke veiligheid van bestuurder en passagiers te bevorderen ontwikkeld worden om effectief te zijn op voorwaarde dat iedereen een veiligheidsgordel draagt, zo zouden ook de ontwikkelaars van methodes voor informatiebeveiliging ervan moeten kunnen uitgaan dat burgers bereid zijn zich in deze materie bij te scholen en een waakzame houding te ontwikkelen en vol te houden.

Vincent Rijmen is gewoon hoogleraar aan het departement Elektrotechniek (ESAT) van de KU Leuven en deeltijds gastdocent aan de Universiteit van Bergen (Noorwegen). Zijn onderzoek is gesitueerd in het domein van cryptografie en computerbeveiliging. Hij is één van de twee ontwerpers van de Advanced Encryption Standard (AES), het beveiligingsalgoritme dat gebruikt wordt op het Internet, in gsm’s, betaalkaarten enz.