Weten zonder te kijken
Herbert Blankesteijn

Voor de versie met de downloadbare bestanden zie de site van NRC Handelsblad.

Deze maand is in Almelo een man veroordeeld voor het bezitten van kinderporno zonder dat de politie, justitie of de rechter zijn vieze plaatjes hebben gezien.

Het bewijsmateriaal dat de recherche heeft aangedragen bestond uit hashcodes. Met hashcodes kun je bewijzen dat bepaalde bestanden aanwezig zijn zonder ze te openen. Rechercheurs die kinderpornozaken 'doen' moesten zich in het verleden door grote bergen akelig beeldmateriaal worstelen. Dat was tijdrovend en onaangenaam en de betrokken agenten liepen er soms zelfs trauma's door op.

Hoe kun je bewijzen dat iemand kinderporno heeft zonder te kijken? Het sleutelbegrip is de checksum. Stel dat je een rij getallen hebt, bijvoorbeeld

28566
54585
89113
77868
86900

Stel bovendien je wilt die getallen versturen, en je wilt zeker zijn dat ze ongeschonden aankomen. Een manier is: alle cijfers bij elkaar optellen (uitkomst 135) en dit getal óók meesturen. Zou onderweg een getal verminkt raken, dan zou het wel erg toevallig zijn als de som hetzelfde bleef. Dus als de checksum niet klopt is óf de originele getallenreeks óf de checksum zelf verminkt. Dan is het verstandig de boel opnieuw te verzenden.

Checksums worden veel gebruikt. Het laatste cijfer van het Isbn op een boek is een controlenummer op basis van de overige cijfers. In de computertechniek komen ze voor, bijvoorbeeld bij het verzendprotocol Tcp (Transmission Control Protocol) dat op internet het verzenden van data controleert, en bij programma's als WinZip, die bestanden samenpersen en uitpakken.

Ook afbeeldingen kunnen een checksum krijgen. Digitale bestanden zijn uiteindelijk rijen getallen. Het Bureau Digitale Expertise Oost-Nederland heeft een methode ontworpen die in Almelo is geaccepteerd door de rechter. Het BDE noemt het een hashcode, maar het principe is hetzelfde: in het kinderpornocircuit worden afbeeldingen vaak onveranderd doorgegeven, via mail of via ruilprogramma's als Kazaa. Wanneer de methode van het BDE bestanden herkent, zijn het vrijwel zeker perfecte kopiën van nare plaatjes die in het archief van de recherche zitten.

Hoe een en ander in de praktijk werkt kunnen onderzoekende Beet-lezers zelf ervaren. Download en installeer het programma QuickSFV [http://www.smr-usenet.com/tutor/sfv.shtml]. Download daarna dit bestand [1SanFrancisco.zip] met vijf vakantiefoto's van Beet. Pak het uit door in Verkenner erop te dubbelklikken (hiervoor moet u óf uitpaksoftware als WinZip [www.winzip.com] hebben, óf Windows XP gebruiken). Zet de bestanden in een aparte map 'Test'. Een dubbele klik op het controlebestand 1SanFrancisco.SFV laat - hopelijk - zien dat alle bestanden ongeschonden zijn gearriveerd. U kunt dergelijke controlefiles ook zelf maken - zie daarvoor de downloadsite [http://www.smr-usenet.com/tutor/sfv.shtml].

Nu gaan we agentje spelen. Stel het pakket van deze vijf foto's is ons hele archief en we zoeken of iemand daarvan iets op zijn harde schijf heeft. Het volgende bestand [2Zomaar.zip] simuleert dat. Download het, pak het uit en dubbelklik weer op 1SanFrancisco.SFV (dit controlebestand is voor het gemak meeverpakt, maar eigenlijk zou u dit als rechercheur zelf moeten meebrengen). Het programma vindt één bekend plaatje. U mompelt misschien: 'Dat zie je zo ook wel,' maar als je tussen duizenden bestanden zoekt naar foto's uit een archief van nog eens duizenden, gaat dat niet.

Beet is niet zeker van de duurzaamheid van deze methode, juist omdat het BDE perfecte kopieën zoekt en niet naar de afbeelding zelf kijkt. Verander je een kleinigheid aan een plaatje, dan wordt het niet meer herkend. Hier is nogmaals het oorspronkelijke archief [3Frisco.zip] van vijf foto's, maar nu is één foto in negatief, één een fractie verkleind, één een klein beetje extra gecomprimeerd, in één is iets onbelangrijks aan de kleuren veranderd en één is gespiegeld. Dubbelklik op 1SanFrancisco.SFV: ze worden geen van alle meer geïdentificeerd.

Het is wat extra werk voor de verzamelaars van kinderporno, maar het valt met algemeen bekende software nog te automatiseren ook. En dan moeten de rechercheurs toch echt weer zelf kijken.