Aanbieders van VPN diensten leggen graag en vaak een link met anonimiteit, die link is onterecht zoals die voorbeeld uit India laat zien.
Doel van VPN
Een VPN is ooit bedoeld om het verkeer tussen twee punten te beveiligen. Toen doordrong dat daarmee voor de buitenwacht onzichtbaar was wie precies het verkeer veroorzaakte kwam het idee voor een nieuwe businesscase. Sinds dat moment zijn er tientallen bedrijven ontstaan die zich nadrukkelijk op de enduser markt richten.
Endusermarkt
In de enduser markt zijn veel verkeersstromen waarvan de gebruiker niet wil dat die in een bredere kring bekend wordt. Daarbij kan het gaan om data die op gespannen voet staat met het auteursrecht of van waarmee men niet publiekelijk geassocieerd wenst te worden. Natuurlijk zijn er ook datastromen die volkomen legaal en onomstreden zijn die men niet bekend wil maken.
In al die gevallen is de anonimiteit van de gebruiker belangrijk. Precies dat punt wordt door het gros van de VPN bedrijven die zich op de endusermarkt richten keer op keer onderstreept. Commercieel een navolgbare zet, maar technisch is het volkomen onzin. Om een VPN verbinding tot stand te brengen is er een username, wachtwoord combinatie mogelijk. Het onversleutelde IP adres is bij het inloggen zichtbaar. Van de gebruiker zijn ook gegevens beschikbaar voor de billing.
Anoniem?
Kortom het idee dat een VPN user anonimiteit geniet klopt niet. Dat de aanbieder de logfiles niet doorspit of zelf maar een minimale periode bewaart maakt dat niet anders. Die aanbieder is compleet in staat de identiteit van zijn klanten te achterhalen.
Maar waarom zou hij dat doen? Commercieel is het volkomen onverstandig. Dan rennen de klanten weg. Een reden om dat te doen is omdat de overheid het vereist. In landen als Rusland en China is het gebruik van VPN’s aan banden gelegd en elke dienst die daar op lijkt moet naar de overheid toe volkomen transparant zijn.
India
India kan aan dat lijstje enge landen worden toegevoegd. Daar vereist CERT-In dat alle VPN aanbieders per juni de klantgegevens tot vijf jaar bewaren. De scope van de oekaze is breed. Ook echt zakelijk VPN aanbod (met hardware componenten) valt hieronder. Datacenters en cloudopritten idem.
Interessant is dat de periode “tot vijf jaar” alleen geldt voor diensten die voor cryptogeld faciliteren. De andere partijen moeten de data 180 dagen opslaan. Hoe kan een VPN aanbieder weten dat zijn gebruikers iets met crytpogeld doen? Dat kan toch alleen als hij de logs van die klanten bijhoudt en doorspit, dus hoezo anonimiteit?
