“Wat betekent veilig?”, vraagt hij. “Als ik zeg dat mijn huis beveiligd is, dan is het niet beveiligd tegen bommen. Als een Chinese dissident in leven wil blijven, dan vertrouwt hij ze niet, maar voor heel veel andere toepassingen zijn ze waarschijnlijk goed genoeg.”
Het echte ‘vuurwerk’ komt volgens de NYT van apps als TexstSecure, dat, net als WhatsApp, sms omzeilt en standaard versleutelt. Gliph is een app die e-post en berichten versleutelt, met een mogelijkheid tot versleuteld gebabbel via het web. Aan bitcoins is ook gedacht. Telegram is heel populair. De app komt uit Rusland (zou argwanend moeten maken) en de makers hebben er zo veel vertrouwen in dat ze € 150 000 beloven aan degene die de sleutel kan kraken. Die beloning is niet uitgekeerd (inzending op 1 maart gesloten).
Wickr is er al een tijdje en heeft het over beveiliging op militair niveau. De versleuteling werkt op tekstberichten, foto’s en video. Heml.is is nog in ontwikkeling en Redact belooft versleuteling van toestel tot toestel zonder “centrale servers aan te doen”.
Dan heb je de wat ‘lichter’ beveiligde apps, maar die als feitelijke beveiliging hebben dat het bericht, na lezing (hoop ik), spoorloos verdwijnt. Snapchat had, uiteraard, zoiets voor foto’s, maar er zijn er meer: Confide, Frankly, Ansa en CyberDust. De maker van de laatste app, Mark Cuban, zegt dat zijn toepassing – en waarschijnlijk ook andere ‘lichtgewichten’ – niet gemaakt zijn om de NSA buiten te houden, maar eerder een manier om je sporen uit te wissen. “Het is nogal stom dat we de controle over een bericht kwijt zijn zodra dat verstuurd is”, zegt hij. “Zelfs de onschuldigste tekst kan mettertijd verkeerd begrepen worden.”
Maar ja, ook hier kun je je afvragen of de apps doen wat de maker belooft. Schneier: “Snapchat kwam in de beklaagdenbank omdat het zei berichten te vernietigen, maar dat bleek niet zo. De berichten worden versleuteld. Laten we veronderstellen dat ze dat goed doen, dan kan niemand onderweg de berichten lezen, maar dat wil niet zeggen dat ze die niet op je computer kunnen lezen en dat wil ook niet zeggen dat niemand een gerechtelijk bevel kan uitvaardigen om berichten van servers te plukken.” Dat laatste is gebeurd met het inmiddels opgeheven Lavabits. Niemand gaat voor de veiligheid van jouw berichten de bak in, zegt Schneier. Toch denkt hij dat voor de meeste mensen veilige apps veilig genoeg zijn.
“We doen de deur op slot, terwijl we weten dat inbrekers door het raam kunnen komen. Dat is goed genoeg. Inbrekersalarm beschermt ons niet tegen een militaire invasie.”
Uiteraard is het handig er voor te zorgen dat we diensten gebruiken die servers hebben die niet onder de Amerikaanse jurisdictie vallen (al is dat geen garantie dat de NSA daar niet inbreekt). Een reageerder is zelf op zoek gegaan naar een multiplatform app met voor-tot-achter-versleuteling. Hij kwam uit bij SecureHaze. Dat werkt voor berichten, stem, video en bestanden. De communicatie verloopt altijd via niet-Amerikaanse servers (zelfs al woon je in de VS). Ik vrees dat je er toch zelf op uit zult moeten.