Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

E-mail en encryptie

E-mail is na Websurfen waarschijnlijk de meest populaire toepassing van het Internet. Wat veel mensen zich echter niet realiseren, is hoe makkelijk het is voor een e-mailtje om bij een ander te belanden dan de bedoelde ontvanger. Een tikfoutje in het adres, een foutje in de configuratie van een server, of de verkeerde naam uit het adresboek zijn allemaal simpele dingen waardoor een mailtje bij de verkeerde persoon terechtkomt. Ook bestaat er altijd het risico van hackers die de mailserver van een provider weten te kraken en zo toegang hebben tot de e-mail van alle gebruikers van dat systeem. De enige manier om te voorkomen dat de verkeerde personen een e-mailtje kunnen lezen is door encryptie te gebruiken.

Inhoudsopgave

Wat is encryptie?

Encryptie is een techniek om berichten met behulp van wiskundige technieken onleesbaar te maken. Alleen diegenen die beschikken over de juiste sleutel kunnen het oorspronkelijke bericht terugkrijgen. Dit betekent in het geval van e-mail dat zender en ontvanger vantevoren een sleutel moeten afspreken om berichten mee te versleutelen. Aangezien dit nogal onpraktisch is, wordt bij e-mail gebruik gemaakt van een systeem met twee sleutels. De eerste is de publieke sleutel, die openbaar is en door iedereen gebruikt kan worden om berichten mee te versleutelen. De tweede is de geheime sleutel, die de ontvanger gebruikt om de berichten mee te ontsleutelen. Deze sleutel moet hij dus strikt geheim houden als hij zijn berichten geheim wil houden.

De publieke sleutel kan bijvoorbeeld op een homepage worden geplaatst, of via een zogeheten keyserver worden gepubliceerd. Hierdoor kan iedereen die een bericht wil versleutelen, gemakkelijk aan de juiste publieke sleutel komen. Niet alle keyservers controleren de identiteit die bij een sleutel vermeld staat, dus iemand die een sleutel wil gebruiken moet zelf nagaan of het de juiste is. Sommige mensen vermelden hierom het serienummer van hun sleutel in hun ``signature'' onderaan elke e-mail die ze versturen.

Deze publieke en geheime sleutels zijn ook te gebruiken voor authenticatie van de afzender, waardoor het vrijwel onmogelijk wordt om een e-mail onder andermans naam te versturen. Hierover volgende maand meer.

Encryptie en PGP

E-mail is lange tijd een pure tekstapplicatie geweest. Het was niet eenvoudig om bestanden zoals plaatjes, filmpjes of versleutelde berichten per e-mail te versturen. De meeste e-mailprogramma's hadden ook geen ondersteuning voor versleuteling, en als ze dat wel hadden, was de gebruikte versleuteling vaak zeer eenvoudig te kraken. Dit maakte het erg moeilijk om e-mail berichten goed te beveiligen.

Met de komst van het gratis programma PGP (Engelstalig) (Pretty Good Privacy), geschreven door Phil Zimmermann, veranderde dit. Het bood niet alleen een onkraakbare manier om berichten te versleutelen, maar het legde ook een standaard neer voor het opnemen van die versleutelde berichten in een e-mail. Het is met PGP mogelijk om een e-mail te versleutelen voor meerdere personen tegelijk, om berichten te voorzien van digitale handtekeningen en om plaatjes en andere binaire bestanden te versleutelen.

Omdat het gratis en met broncode werd verspreid, kon iedereen het op zijn computer installeren en met behulp van een script of plug-in vanuit zijn e-mailprogramma bedienen. Hierdoor groeide het al snel uit tot de de facto standaard voor beveiliging van e-mail. De nieuwste versies zijn direct onder Windows te gebruiken en voor vrijwel alle e-mailprogramma's zijn gratis plug-ins beschikbaar. PGP is overigens beschikbaar op tientallen platforms, tot en met de Amiga toe.

Inmiddels is PGP is waarschijnlijk het bekendste encryptie-programma ter wereld. Inmiddels is er ook een versie voor bedrijven en is een wereldwijd netwerk van keyservers opgezet, waar mensen hun publieke sleutel kunnen aanbieden en de publieke sleutels van anderen kunnen opvragen.

Export van encryptie-software

Het programma kent een lange voorgeschiedenis. Aangezien het in de Verenigde Staten is ontwikkeld, valt het onder de Amerikaanse exportwetgeving voor encryptie-software. Dit betekende dat het programma niet uitgevoerd mag worden, omdat de gebruikte encryptie niet te kraken is. De eerste versies werden via het Internet illegaal naar andere landen gestuurd. Hiervoor liep er jarenlang een gerechtelijk onderzoek tegen de auteur, wat uiteindelijk werd afgeblazen omdat niet te bewijzen was dat hij zelf verantwoordelijk was voor deze export.

Om aan deze situatie een einde te maken, werd de broncode van de nieuwste versies in boekvorm gepubliceerd. Boeken vallen onder vrijheid van meningsuiting in de VS en mogen dus vrij uitgevoerd worden, dit in tegenstelling tot broncode of uitvoerbare bestanden in electronisch formaat. Een team van vrijwilligers in Europa kocht het boek en scande de pagina's stuk voor stuk weer in, waarna met behulp van OCR de broncode weer verkregen werd. Om dit te vergemakkelijken, waren de pagina's afgedrukt in een gemakkelijk te scannen lettertype en waren ze voorzien van checksums om het resultaat snel te kunnen controleren. Hiermee was het mogelijk om in enkele maanden het boek terug te vertalen naar broncode in electronisch formaat, waarna het programma ook legaal beschikbaar was in de rest van de wereld.

Achterdeur in PGP?

Al vanaf het eerste moment dat PGP beschikbaar werd, doen de geruchten dat er een achterdeur in zit de ronde. Omdat de broncode van het programma beschikbaar is voor iedereen, kan iedereen die het niet vertrouwt deze zelf controleren of er geen fouten of achterdeuren in zitten. In de zes jaar dat het programma nu beschikbaar is, hebben duizenden ervaren programmeurs het programma onderzocht en slechts enkele kleine programmeerfoutjes gevonden, die geen van allen de sterkte van de encryptie beinvloedden.

De versie van PGP voor bedrijven bevat wel een achterdeur, maar deze is alleen te gebruiken door het bedrijf zelf en staat duidelijk uitgelegd in de handleiding. Wanneer een medewerker zijn geheime sleutel kwijtraakt, of ontslag neemt of een ongeluk krijgt, kan het bedrijf de informatie in het versleutelde bericht niet langer achterhalen. Als dit bericht een order of belangrijke bedrijfsgegevens bevat, is dit een groot probleem. Het bedrijf kan nu PGP zodanig instellen dat elk bericht ook versleuteld wordt met de publieke sleutel van het bedrijf. In geval van een calamiteit kan de verantwoordelijke manager nu toch de inhoud van het bericht achterhalen, met de bijbehorende geheime sleutel.

Deze achterdeur is echter alleen te gebruiken als het bedrijf vantevoren het programma zodanig heeft ingesteld dat het de bedrijfssleutel gebruikt, en dan werkt het alleen voor de kopie-en van PGP die binnen het bedrijf zijn geinstalleerd. De versies van PGP voor individuele gebruikers hebben deze achterdeur niet.

S/MIME

Het enige nadeel van PGP is dat de versleutelde berichten niet als attachment worden verstuurd, maar als de tekst van een e-mail. Dit maakt automatische verwerking van versleutelde berichten iets moeilijker. Alhoewel er inmiddels tientallen programma's zijn die automatisch het bericht kunnen versleutelen, ontstond er toch een behoefte aan een meer gestandaardiseerde manier voor gebruik van encryptie in e-mail.

Als uiteindelijke oplossing werd gekozen voor een uitbreiding van MIME (Multipurpose Internet Mail Extensions), het systeem dat gebruikt om attachments aan berichten toe te voegen. Deze uitbreiding heet S/MIME (Secure MIME). S/MIME is geen programma, maar een standaard die vastlegt op welke manieren een versleuteld bericht opgenomen wordt in een e-mail en welke algoritmen er gebruikt zijn. Hierdoor wordt het mogelijk voor elk e-mailprogramma om direct ondersteuning te bieden voor encryptie, zodat twee partijen versleutelde berichten kunnen uitwisselen zonder dat ze hetzelfde programma hoeven te gebruiken.

Op dit moment (januari 2001) is de ondersteuning voor S/MIME nog niet universeel. Microsoft Outlook biedt volledige ondersteuning van encryptie via S/MIME, maar Eudora heeft gekozen voor encryptie via PGP. Vrijwel alle e-mailprogramma's onder Unix hebben ondersteuning voor PGP.

Welk encryptie-programme te kiezen?

S/MIME belooft de mogelijkheid om met elk e-mailprogramma versleutelde e-mail te kunnen versturen en ontvangen. Helaas is het op dit moment nog te vroeg om te kunnen zeggen of S/MIME een succes wordt. Wie met veel mensen over de hele wereld correspondeert, kan dus nu het beste PGP gebruiken voor prive-mail. Voor het downloaden, installeren en gebruiken van PGP zijn tientallen handleidingen en webpagina's beschikbaar.

Export van cryptografische software

In de Verenigde Staten is de export van cryptografische software streng gereguleerd. Elk programma dat gebruik maakt van cryptografie, moet een vergunning aanvragen om buiten de VS verspreid of verkocht te worden. Een dergelijke vergunning wordt alleen verstrekt als de gebruikte encryptie kraakbaar is door de NSA, de Amerikaanse contraspionage-dienst. De reden voor deze controle is om te voorkomen dat buitenlandse overheden of terroristische organisaties kunnen communiceren zonder dat de NSA hen af kan luisteren.

Een Amerikaans bedrijf heeft, wanneer zij haar produkt ook in het buitenland wil verkopen, dus twee keuzen: maak een tweede versie met zwakkere encryptie voor de rest van de wereld, of verzwak de encryptie in het programma, zodat iedereen hetzelfde programma kan gebruiken. Veel software-leveranciers onderhouden liever geen twee verschillende versies, vanwege het extra werk en de extra controles die nodig zijn. Bij elke verkoop zou dan namelijk moeten worden gecontroleerd of de koper een Amerikaans burger is.

Er is de laatste jaren veel kritiek gekomen op deze Amerikaanse wet, aangezien ze de concurrentie-positie van Amerikaanse beveiligingsbedrijven verzwakt. Een Europees bedrijf kan immers zonder problemen onbreekbare encryptie gebruiken in haar e-mailprogramma, en heeft daarmee een belangrijk verkoopargument in handen. Bovendien zijn de algoritmen en de broncode van deze onbreekbare systemen al lang in de rest van de wereld te krijgen.

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
6 november 2018