Peters Blog

on Security and More

Beveiligde communicatie

4/Feb 2005 By P. Peters
Internet Access Facilities Achterkrant Universiteit Twente security

Zoals in de vorige Achterkrant aangegeven kijk ik dit jaar regelmatig terug op Internet en IAF (stichting en BV) met de Achterkranten als leidraad. Deze keer doe ik dat a.d.h.v. de Achterkrant van juli 1997.

Het onderwerp van die Achterkrant is ook tegenwoordig nog steeds actueel. Wie kan en mag e-mail lezen? Het is duidelijk dat de afzender en de ontvanger dat mogen. Of ze dat ook kunnen is een ander hoofdstuk waar ik aan het eind nog even op terug wil komen.

SMTP, POP, IMAP

Standaard versleutelen deze protocollen de gegevens niet. Voor POP en IMAP zijn echter wel versies beschikbaar die het transport versleutelen. Maar dat is er eigenlijk alleen op gericht om te voorkomen dat de inloggegevens voor iedereen, die op dezelfde verbinding zit, zichtbaar zijn.

Voor SMTP, het protocol dat voornamelijk gebruikt wordt voor het uitwisselen van e-mail tussen servers, is er ook een veilige versie. Die wordt echter bijna nooit gebruikt. Voor een betrouwbare keten in de versleuteling moet die wel goed op elkaar afgestemd worden en dan moet iedere mailserver de certificaten van de andere server herkennen.

Prive

Waar kan het verkeer allemaal afgeluisterd worden en is versleuteling dus interessant? In de meeste gevallen is afluisteren niet mogelijk op het traject tussen uw aansluiting en onze servers. Het grootste deel van het verkeer gaat over apparatuur in ons eigen beheer. En wij zijn degenen die u de inloggegevens hebben verstrekt. Wij hanteren intern zwaardere regels t.a.v. de privacy dan wettelijk verplicht is.

Het meest gevoelige deel dat wel kwetsbaar is voor afluisteren, is uw eigen netwerk. Hoe veilig is uw netwerk? Kunnen uw medewerkers (of gezinsleden) zonder problemen het verkeer binnen uw netwerk afluisteren of heeft u hier maatregelen tegen genomen? Hoe zit het met uw draadloze netwerk? Misschien hebt u al wel WEP of WPA geconfigureerd, maar heeft u toen ook het standaard wachtwoord gewijzigd?

Pretty Good Privacy

Met het versleutelen van de overdracht bent u er echter nog niet. Nog steeds staat de e-mail onversleuteld op uw harde schijf. En tijdens de overdracht ook op de schijven van de mailservers die mee doen aan het transport. Om nog maar niet te spreken over de ontvanger. Weet u zeker dat de e-mail (alleen) bij de juiste ontvanger aankomt? In de meeste gevallen natuurlijk wel, maar er kan altijd iets mis gaan.

Hiervoor bestaat al jaren een oplossing in de vorm van PGP (en zijn broertje GnuPG). PGP is een vorm van asymmetrische versleuteling. Dat wil zeggen dat er twee verschillende sleutels zijn, die elkanders tegenhanger zijn. Als je iets versleuteld met de ene sleutel, kan hij alleen met de andere sleutel ontsleuteld worden. Als iemand PGP wil gebruiken, maakt hij dan ook een sleutelpaar aan. De ene sleutel houdt hij geheim en de andere wordt op een zogenaamde publieke keyserver geplaatst. Iedereen die dat wil, kan die publieke sleutel hier dan ophalen voor gebruik.

s/MIME

Naast PGP is er ook een andere manier om teksten versleuteld te versturen. Bij PGP wordt meestal het blok versleutelde tekst gewoon in het mailtje geplakt. Wil je meer doen dan is s/MIME aan te raden. Hierbij wordt de versleuteling als MIME-bijlage opgenomen in het bericht. Dit biedt de mogelijkheid ook andere bijlagen dan alleen het tekstdeel van de e-mail te versleutelen. Voor s/MIME wordt veel gebruik gemaakt van zogenaamde x.509 certificaten. Dergelijke certificaten worden ook gebruikt voor versleutelde toegang en voor authenticatie bij bijvoorbeeld websites. Het oude bezwaar van de kosten van dergelijke e-mail certificaten is de laatste tijd ook verdwenen door allerlei gratis alternatieven. Denk hierbij aan Thawte's Web of Trust of CAcert.

Is versleuteling niet nodig, maar wil je wel zeker weten dat de e-mail goed en ongewijzigd overkomt, dan kun je beide manieren ook gebruiken om je e-mail alleen maar te ondertekenen. Er wordt dan een code toegevoegd op basis van een combinatie van de inhoud van het bericht en de sleutel. Als er ook maar iets aan het bericht wordt gewijzigd, zal dat er bij een controle uitkomen. Dat duidt dus op een wijziging van de inhoud. Dit is niet foutloos omdat sommige mailsoftware (client en server van Microsoft) het bericht aanpassen nadat de gebruiker het heeft ondertekend en verstuurd.

ICTruimte Universiteit Twente

De oplevering is geweest. Net als bij de oplevering van een huis, zijn er nog een aantal zaken die afgemaakt moeten worden. Maar ik kan er nu eindelijk "zelf" in om de netwerkinrichting aan te brengen.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.

More Reading
Newer// Verhuizing
Older// Tweede lustrum

Copyright; 1995 - 2015 Peter Peters. All rights Reserved.