Encryptie, certificaten, HTTPS, SSL, ‘het groene slotje’: termen die u vast niet onbekend voorkomen. Termen die door onder andere banken, zorgverleners, webshops, uw verzekering, en de overheid actief worden gepromoot om u zo te laten zien dat zij zich inzetten voor een veilige gegevensoverdracht tussen u en hen. Een extra stapje om u veiliger zaken te laten doen op het grote boze internet, vol met hackers, virussen, en andere nare bedreigingen.
Nuttig, nietwaar? Immers, het leeuwendeel van al het verkeer op het internet vliegt in plain text (cq. niet versleuteld) de digitale snelweg over en is relatief simpel af te tappen en in te zien. En over ‘nare bedreigingen’ gesproken: de laatste jaren wordt het voor de wereld steeds duidelijker dat dit niet alleen de categorie ‘eenzame nerds op een zolderkamertje’ behelst.
Overheden en inlichtingendiensten hebben complete centra opgericht om non-stop zoveel mogelijk data te verzamelen, te archiveren en misschien – als dat zo eens uitkomt in de toekomst, bijvoorbeeld als u het etiketje ‘person of interest’ opgeplakt krijgt door de betreffende dienst – ook nog te analyseren.
Globale internet encryptie?
Terug naar de vraag uit het onderwerp: ‘waarom niet’? Een solide ingericht versleutelingssysteem maakt het niet onmogelijk – maar wel lastiger – voor partijen om uw internetverkeer te kunnen lezen. Waarom zit dit system eigenlijk niet ingebakken in het internetprotocol, zodat we niet afhankelijk hoeven zijn van de website die we bezoeken om ons enige mate van transportveiligheid te bieden? En als het toch in het protocol ingebouwd zou zijn, dan zou ook de rest van ons verkeer (denk bijvoorbeeld aan e-mails, chats) automatisch versleuteld worden. Duizenden vliegen in een klap!
Wij zien een aantal bezwaren die structureel worden opgeworpen tegen globale encryptie van al het internetverkeer.
Wat is er eigenlijk tegen het consequent versleutelen van al het internetverkeer? Encryptie vereist extra rekenwerk en routers, servers en andere endpoints kunnen dit niet aan.” Dit was misschien 15 jaar geleden een argument, maar inmiddels zijn computers dermate krachtig dat het toepassen van encryptie relatief weinig rekenkracht opeist.
Om het maar eens voor u in perspectief te plaatsen: smartphones hebben inmiddels een aantal maal zoveel rekenkracht als een zware server uit 1998, en diezelfde server kon toen ook al prima uit de voeten met duizenden versleutelingen per minuut.
Inzicht en controle over het netwerkverkeer
Een ander argument is: door encryptie verlies ik de controle over het netwerkverkeer van mijn gebruikers. Dat hangt er van af. Indien u een Next Generation Firewall met SSL-decryptie en een zogeheten endpoint security pakket gebruikt dan behoudt u het inzicht en de controle over dit verkeer. Als u al beschermingssoftware op het endpoint heeft staan ziet u immers toch al het verkeer al onversleuteld langskomen.
Het nut van endpoint security, zoals antivirus op uw laptop, staat de laatste tijd ter discussie. Wat mij betreft echter nog geen excuus om het helemaal niet te doen. Een goede verdediging blijft immers gelaagd.
Lang leve versleuteling
Natuurlijk hebben we ook nog de aloude dooddoener “ik heb niets te verbergen, dus wat kan mij het schelen”. Laat u thuis ook alle deuren van het slot? Nog sterker: u laat iedereen die bij u binnen loopt meekijken met hoe u eet, slaapt en mag het iets meer zijn? Ik denk van niet.
Al met al weinig overtuigende argumenten. Wat mij betreft is er dan ook niets dat ons tegenhoudt om en masse al het internetverkeer standaard te versleutelen. Waar wachten we nog op? Lang leve versleuteling!