"The times are A-changin", zong Robert Zimmerman (Dylan) in 1964. Dat is zeker het geval voor die andere Zimmermann (inderdaad, met twee ‘ennen’). Tot voor kort was Phil Zimmermann (43), de auteur van het encryptieprogramma Pretty Good Privacy (PGP), voor de Amerikaanse justitie een verdachte.
Zijn misdaad bestond eruit dat hij zulke goede versleutelingssoftware had geschreven dat de geheime dienst er bezwaren tegen maakte. Met PGP gecodeerde berichten zouden niet te kraken zijn. Officieel luidde de aanklacht dat Zimmermann de Amerikaanse exportwetten voor ‘zware’ encryptiesoftware ontdook. Omdat het PGP-programma via Internet te verkrijgen is – iets waarvoor hij overigens niet zelf verantwoordelijk zou zijn – wordt het wereldwijd toegepast. De overtreder van die wetten riskeert tot maar liefst 52 maanden onvoorwaardelijke celstraf.
Een schare bewonderaars zag in Zimmermann een voorvechter van de mensenrechten, de vrijheid van meningsuiting en het recht op privacy. Hij was een martelaar, aan de schandpaal genageld door de Amerikaanse inlichtingendienst. Iemand die niets anders voorstond dan dat mensen elkaar iets in het oor kunnen fluisteren, ook als dat oor toebehoort aan iemand die duizenden kilometers ver weg woont.
Miljonair
De tijden veranderen. Anno 1997 is Zimmermann mede-eigenaar van een bedrijf dat zijn wereldberoemde encryptieproduct op de markt brengt. PGP Inc, opgericht in het voorjaar van 1996, trok een grote hoeveelheid durfkapitaal, kreeg een paar doorgewinterde managers (waaronder een ex-Novell-bestuurder) en heeft inmiddels vier producten gereed, waaronder natuurlijk PGPmail 4.5. Daarnaast biedt de onderneming PGPfone 2.0, waarmee telefoongesprekken te versleutelen zijn, PGPdisk 1.0 (digitale handtekeningen) en PGPcookie cutter 1.0, waarmee de cookies op het Web omzeild worden.
"Als ik er miljonair mee word", zegt Zimmermann, "dan ben ik de eerste entrepreneur in Silicon Valley die zijn fortuin heeft behaald omdat hij een mensenrechtenactivist was." De straatarme (hij was al vijf termijnen achter met de hypotheek) idealist en encryptieconsultant werkte zo’n zeven jaar geleden furieus aan PGP. In de elfduizend regels code gebruikte hij de beste wiskundige algoritmen die uit de literatuur bekend waren. De ontwerper beknibbelde niet op de lengte van de sleutel (het aantal bits van de zogenoemde sleutel is een maat voor de ‘sterkte’ van de encryptie). Als dank voor zijn geploeter kreeg Zimmermann een onderzoek van het Amerikaanse ministerie van Justitie te verduren, dat pas in het voorjaar van 1996 werd gestaakt. Om aan geld te komen voor zijn verdediging gingen andere activisten met de pet rond.
De Amerikaanse regering heeft inmiddels aangekondigd het exportverbod voor sterke encryptiesoftware te verruimen. Zimmermann wordt een held voor een aantal activisten, omdat hij zich principieel blijft opstellen. Hij is onder geen beding bereid een achterdeurtje in PGP in te bouwen zodat de CIA toch berichten kan onderscheppen. "Ik ontwikkelde PGP om politiek redenen, maar nu blijkt de software interessant te zijn voor zakelijke toepassingen", zegt Zimmermann. "Er bestaat volgens mij geen inconsistentie in het verdienen van geld en het zich inzetten voor mensenrechten."
Omkoopbaar
Encryptie kent allerlei goede toepassingen, bijvoorbeeld voor de versleuteling van pincodes voor creditcards of bankpas-toepassingen. Verder is het zinvol voor vertrouwelijke e-mail (bijvoorbeeld tussen advocaat en verdachte of in het zakenleven, bij correspondentie over bedrijfsovernames). Ook is het nuttig voor virusonderzoekers; die kunnen dan virussen versleuteld naar collega’s versturen, zodat deze geen kwaad kunnen aanrichten.
Zimmermann laat niet na te benadrukken dat PGP van groot belang is voor dissidenten in dictatoriaal geregeerde landen. Mensenrechtengroepen in Birma gebruikten PGP om met elkaar te communiceren. Voordien werden leden van de dergelijke groepen, als belastende documenten werden gevonden, gearresteerd, gemarteld en soms geëxecuteerd. Volgens Zimmermann verandert PGP de machtsverhouding tussen overheid en burger.
Aan de basis van PGP ligt een twintig jaar oude uitvinding, publieke sleutel-encryptie genaamd. Iemand waarmee je in de toekomst wilt corresponderen, stuur je jouw publieke sleutel. De sleutel of code bestaat uit een reeks bits, meestal meer dan vierhonderd. Met de sleutel (en de PGP-software) kan de voor jou bedoelde tekst worden gecodeerd en alleen jijzelf kunt die tekst lezen. Daarmee wordt een eeuwenoud beveiligingsprobleem opgelost: hoe kan men ervoor zorgen dat een wachtwoord veilig op de plaats van bestemming komt. Immers, een boodschapper kan omkoopbaar zijn en een brief kan worden onderschept.
Worstelen
De eerste, vrij verkrijgbare uitvoeringen van PGPmail waren lastig in het gebruik. De jongste versie, 4.5, uitgebracht in januari, is een stuk eenvoudiger. Versleutelen en decoderen vergt niet veel meer dan een simpele druk op de muisknop. Dat maakt de weg vrij voor massaal gebruik. De markt voor encryptiesoftware lijkt daarmee een potentiële goudmijn.
Volgens marktonderzoek zullen na de eeuwwisseling 270 miljoen mensen gebruik maken van e-mail. Naar men mag aannemen zal de prijs voor encryptiesoftware nog aanzienlijk kunnen dalen, maar dan nog zal er in 2001 een markt ontstaan ter waarde van 500 miljoen dollar, aldus marktonderzoekers. PGP kan die markt niet zomaar voor zich opeisen. Waarschijnlijk zal zowel Microsoft als Netscape eigen encryptiestandaarden in hun e-mail-client inbouwen. Die standaard zal niet compatibel zijn met die van PGP, zodat een PGP-gebruiker berichten gecodeerd met de Netscape of Microsoft niet kan lezen.
Waarschijnlijk zal dus de encryptiemarkt voor consumenten niet naar PGP gaan. Vandaar dat Zimmermanns bedrijf kortgeleden drastisch de strategie wijzigde. Men richt zich nu op de zakelijke markt, op de vijfhonderd grootste Amerikaanse bedrijven. De koop door PGP Inc van Zoomit, een bedrijf dat zich bezighoudt met beveiliging van bedrijfsbrede computersystemen, bewijst dat men het serieus meent en snel resultaten wil boeken.
Zoals ooit de onkraakbaar geachte Enigma-codeermachine van de Duitse Wehrmacht werd gebroken door een Brits team, waar ook de aartsvader van de kunstmatige intelligentie Turing deel van uitmaakte, zo zal eens mogelijk PGP ontrafeld worden. In 1994 lukte het een groep samenwerkende wetenschappers om een sleutel met een lengte van 426 bits te kraken (evenwel van een ander systeem). Het duurde acht maanden en vergde de hulp van 1600 computerexperts. Gelukkig heeft PGP de mogelijkheid om sleutels met een lengte tot 2048 bits te gebruiken. Met zo’n lange sleutel zullen ook de snellere computers van de volgende eeuw zo lang worstelen dat dat alleen al een praktische hinderpaal moet zijn om e-mail-berichten te ontrafelen.
Dat grote bedrijven zitten te springen om versleutelsoftware voor interne e-mail-netwerken, ondervond onlangs Larry Ellison, de dynamische president-directeur van Oracle, aan den lijve. Een gênante e-mail-correspondentie tussen Ellison en een voormalige geliefde kwam tijdens een rechtszitting ter tafel als bewijsstuk. n