De laatste weken hebben om bekende redenen in het teken gestaan van
beveiliging. Om het vertrouwen van de consument, c.q. burger, in het
leven weer te verhogen heeft het Nederlandse kabinet diverse, de
veiligheid bevorderende, maatregelen afgekondigd. Met betrekking tot
Internet worden in binnen- en buitenland maatregelen genomen of onderzocht
die moeten resulteren in een betere grip op informatiestromen.
Opvallend daarin is het aantal stemmen dat opgaat om de diverse soorten
van cryptografie bij de kop te nemen. In
een
bericht op security.nl worden de door het kabinet aangekondigde
maatregelen besproken (het
volledige plan is bij het Ministerie van Justitie te downloaden).

Netkwesties ging een drietal weken geleden ook al de discussie aan
over wel of geen encryptie.
En dan afgelopen week. Op
NU.nl wordt
een bericht geplaatst over het feit dat de terroristen groep van Osama Bin
Laden gebruik zou maken van steganografie voor het verbergen van hun
berichten. Het bericht verwijst naar de Amerikaanse nieuwszender ABC (real
video), die in hun reportage de Amerikaanse firma
WetStone
aanhalen en de CEO van dat bedrijf, Chet Hosmer, in beeld zijn trukje
laten uitvoeren.
WetStone Technologies, Inc. is een bedrijf dat in opdracht van het Air
Force Research Laboratory onderzoek uitvoert naar o.a. steganografie.
Hiertoe is bij het Utica college
een
onderzoeksafdeling opgericht. En het is tevens een firma met de nodige
media aandacht (exposure).
In februari van dit jaar, om precieser te zijn op 5 februari, werd door

USAtoday een artikel geplaatst (eigenlijk

twee) over het feit dat terroristen steganografie gebruiken voor het
uitwisselen van berichten. In beide berichten worden medewerkers van
Wetstone Technologies aangehaald.
Niks mis mee, zou je zo denken. Berichten uit februari die in november
nieuw leven worden ingeblazen omdat ze opnieuw actueel zijn geworden. Maar
waarom zijn ze dan actueel geworden? Het antwoord op die vraag is simpel.
Op 31 augustus, j.l., wordt door twee onderzoekers (Peter Honeyman en
Niels Provos) van de

Universiteit van Michigan een onderzoek gepubliceerd. In dit onderzoek
beschrijft men een methode waarmee men kan ontdekken of, en zo ja hoe,
steganografie wordt gebruikt op het internet. In de referenties wordt een
verwijzing gemaakt naar het artikel uit februari van USAtoday.
De conclusie van het rapport? "Even though we analyzed two million
images that we obtained from eBay auctions, we are unable to report
finding a single hidden message."
Steganografie bestaat. Steganografie wordt gebruikt. Wat blijkt is dat het eenvoudigweg aan computer rekenkracht ontbreekt
om alle mogelijke vormen van cryptografie te detecteren en te breken. In
het licht van deze conclusie lijkt het dan ook aannemelijk te
veronderstellen dat we ons moeten concentreren op het verbeteren van
opsporingsmethoden die wél zin hebben.
Het reguleren van cryptografische toepassingen is geen haalbare kaart.
De punten die betrekking hebben op cryptografie in het Nederlands
actieplan lijken dan ook alleen bedoeld als zoethoudertje. Niet als
oplossing of maatregel.
Oktober, 2001
Leon Kuunders
p.s. ik heb het bovenstaand scenario zo volledig als mogelijk in beeld
gebracht. Het is als
te downloaden als GIF. LET OP: de GIF is 350 KB, en groot!!