GMail en Tor, mogelijk maar niet makkelijk

Afbeelding: Onions! [1058] van Brian J. Matis | Licentie: CC BY-NC-SA 2.0

En als je anonimiteit echt belangrijk is, komt er nog meer bij kijken. Echt privé communiceren via internet is ontzettend moeilijk.

Jaap-Henk Hoepman legt aan de hand van het verhaal van de generaal en het meisje kraakhelder uit hoe moeilijk het is om echt privé te communiceren. Een groot probleem voor klokkenluiders, dissidenten, activisten over de hele wereld. Hij schrijft:

Maar zo’n adres is lastig anoniem te houden. Iedere keer als je op een web account inlogt bewaren providers het IP adres van de PC waarmee je inlogt. Hiermee detecteren ze onder meer verdachte activiteiten op een account. (Dit is één van de redenen waarom je niet via Tor je GMail account kunt benaderen.)

Maar dat laatste ligt net iets genuanceerder.

Detectie misbruik door naar je locatie te kijken

Google doet zijn best om te detecteren wanneer iemand anders dan jijzelf inlogt op jouw GMail-account. Dat is natuurlijk erg prettig, want op die manier kan Google extra drempels opwerpen als iemand anders jouw e-mail probeert te lezen. Bovendien krijg jij een waarschuwing te zien.

Google kijkt daarvoor naar de IP-adressen en de apparaten waarvandaan je GMail benadert. Bijna iedereen logt in vanuit slechts een beperkt aantal locaties. Geografisch, maar ook netwerktechnisch. Het aantal verschillende IP-adressen waar vandaan je inlogt is beperkt, het aantal verschillende netwerken is nog lager en het aantal landen is al helemaal beperkt. En meestal maak je gebruik van dezelfde paar computers en mobiele telefoons. Het valt dus op als jouw account opeens gebruikt wordt vanaf een onbekende computer vanuit de andere kant van de wereld. En het is onmogelijk als dat binnen een uur een paar keer wisselt.

Hoe je wél via Tor je Gmail kunt benaderen

Toch maakt dat niet dat GMail niet te gebruiken is met Tor. Google gaat er vanuit dat als jij je account hebt aangemaakt zonder op dat moment ook Tor te gebruiken, je er kennelijk geen moeite mee hebt dat Google identificerende informatie van je heeft. Immers, je account is dan altijd te herleiden tot jouw IP-adres. Google gaat er dan vanuit dat je ook verder geen Tor zult gebruiken. Als in die situatie jouw account opeens vanaf heel andere locatie wordt benaderd, dan gaan er alarmbellen af.

Dat is anders als je wel Tor hebt gebruikt tijdens het aanmaken van je GMail account. In dat geval gaat Google er vanuit dat je bewust je identiteit wilt beschermen. Je krijgt dan dus ook geen meldingen meer als jouw account vanaf schijnbaar willekeurige IP-adressen is benaderd. Helemaal niets delen over jezelf blijft lastig, want tijdens het aanmaken van het account moet je nog wel een code opgeven die je via een telefoon wordt toegestuurd. Het hoeft niet persé jouw eigen telefoon te zijn, maar het moet dus wel een telefoon zijn waar je op zijn minst éven over kunt beschikken. In een land waar het regime ook de volledige controle over het telefoonnetwerk heeft, kan dat best lastig zijn.

En wat als je al een account hebt en je slechts eenmalig je geografische locatie wilt afschermen? Dan zou je ook van Tor gebruik kunnen maken, waardoor Google wel weet wie je bent, maar niet weet waar jij bent. Omdat in die situaties de alarmbellen wel afgaan, worden je bij het inloggen ter controle aanvullende vragen gesteld. Heel soms heb je je telefoon ook nodig. Kun je dat moment vooraf zien aankomen en blijf je op dezelfde computer werken, dan kun je het jezelf makkelijker maken. In dat geval kun je er ook voor kiezen om van te voren al eens in te loggen vanaf een plek voor jou gebruikelijke plek en in de tussentijd de cookies die je hebt gekregen niet te verwijderen. Google weet dan dat jouw laptop al eens eerder ingelogd is geweest.

Echt privé communiceren ontzettend moeilijk

Dat GMail en Tor wel degelijk samen te gebruiken zijn maakt niet dat de combinatie perfect is. De e-mail zelf is bijvoorbeeld niet versleuteld en dat betekent dat Google (en daarmee ook de overheid) kan meelezen. Maar ook moet je zelf ontzettend goed opletten en geen fouten maken. En dus bijvoorbeeld niet, zoals mevrouw Broadwell deed, vanaf die ene anonieme verbinding eerst inloggen op je anonieme account en direct daarna op je gewone account. Echt privé communiceren via internet is ontzettend moeilijk.