Geheim!
door Jacco de Leeuw
Geheimschrift is al zo oud als de weg naar Rome. Maar wat niet
iedereen
weet is dat e-mailprogramma's tegenwoordig vaak een moderne variant
ervan
ingebouwd hebben. Je kunt je eigen e-mails dan ondertekenen met een
digitale
handtekening. Tenminste, wanneer je in het bezit bent van een zogenoemd
certificaat. Aan de hand van een certificaat kan de ontvanger van een
e-mail
controleren dat deze daadwerkelijk van jou afkomstig is.
Hoe werkt het?
Stel, je stuurt een e-mail naar iemand waarin je je bankrekeningnummer
vermeldt. Het ondertekenen gaat heel eenvoudig door een speciaal vinkje
aan te zetten bij de e-mail opties. Optioneel kun je ook nog een
wachtwoord
invoeren. Mocht na het versturen van de e-mail een of andere overlaat
onderweg
er stiekem een wijziging in aanbrengen -- al is het maar 1 cijfer of
letter
-- dan krijgt de ontvanger direct een melding dat de digitale
handtekening
ongeldig is. Hij kan dus controleren of er aan een bericht gerommeld
is.
Wanneer een geadresseerde een geldige e-mail van jou heeft ontvangen,
kan
hij op zijn beurt weer versleutelde berichten naar jou sturen, die
niemand
anders kan lezen. Geheimschrift dus! Ook dit gaat weer door simpelweg
een
vinkje te zetten. Het mooiste is natuurlijk als beide partijen een
digitale
handtekening hebben. Dan kun je namelijk onderling ondertekenen en
versleutelen.
"Ik doe niks!"
Nu vraag je je misschien af, "waarom zou ik mijn e-mail willen
versleutelen,
ik heb helemaal niks te verbergen, behalve mijn PIN code!". Dat zou
heel
goed kunnen. Maar er zijn zo van die dingen die je liever niet op een
briefkaart
schrijft. Je bankafschriften krijg je toch ook in een envelop? En
misschien
wil je ook wel eens een e-mailtje vanaf je werk of school naar huis
sturen
zonder dat iedereen zomaar kan meelezen. Dat kan, als je maar encryptie
gebruikt!
Wat heb je nodig?
Goed, je wilt dus een digitale handtekening, oftewel een certificaat.
Hoe
kom je er aan? Allereerst heb je een POP3 e-mail account nodig. Het kan
geen "webbased" account zijn, zoals Hotmail. Verder een van de volgende
e-mailprogramma's: Netscape 4.x of hoger, Outlook Express 4.x of hoger,
Outlook 97 of hoger, Mozilla, of Opera. Deze programma's bevatten
standaard ondersteuning
voor digitale handtekeningen volgens de S/MIME (X.509) standaard. Voor
andere e-mailprogramma's zoals Lotus Notes en Eudora bestaan er wel
plugins
maar daarvoor moet betaald worden. Er bestaan ook andere standaarden
die
zelfs beter zijn, zoals PGP (http://www.pgpi.org),
maar daarvoor moet je iets meer werk verrichten.
Opkrikken!
Tot voor kort had de Amerikaanse overheid allerlei eisen gesteld aan de
export van encryptiesoftware. De exportversies van o.a. Netscape en
Internet
Explorer moesten expres zwakker gemaakt worden, waarschijnlijk op
instigatie
van de Amerikaanse geheime dienst. Hoe kun je controleren of je browser
de zwakke 40-bits of de veel sterkere 128-bits encryptie ondersteunt?
Heel
simpel, even surfen naar:
https://www.fortify.net/sslcheck.html
Outlook Express gebruikt dezelfde encryptiesterkte als Internet
Explorer.
Outlook 97, 98 en 2000 over het algemeen ook, maar het beste kun je dat
even controleren bij het menupunt "Over (About) Microsoft Outlook". Zit
je inderdaad opgescheept met 40-bits encryptie? Dan kan kun je deze
beter
opkrikken naar 128-bits. Kijk in de tabel wat je hiervoor moet doen.
Versie | Advies
--------------------------------------------------------------------
Netscape 4.76 of hoger | is al 128-bits
--------------------------------------------------------------------
Mozilla | is al 128-bits
--------------------------------------------------------------------
Netscape lager dan 4.76 | upgrade naar 4.76 of hoger 1)
(waaronder alle Nederlands- | (alleen is er op dit moment
talige versies tot nog toe) | geen Nederlandstalige versie)
| of:
| download Fortify patch 2)
--------------------------------------------------------------------
IE/Outlook op Windows 2000 | download "Win2000 High Encryption
| pack" + kijk nogmaals in tabel 3)
--------------------------------------------------------------------
IE 5.5, 5.01SP1 of hoger | is al 128-bits
--------------------------------------------------------------------
IE 5.01, 5.0, 4.01 | upgrade naar 5.01SP1 of hoger 4)
| of:
| download "128-bits
| high encryption pack" 6)
| of:
| download 128-bits patch 8)
--------------------------------------------------------------------
IE 4.0 of lager | upgrade naar 4.01 + "pack" 5)+6)
| of:
| upgrade naar 5.01SP1 of hoger 4)
| of:
| download 128-bits patch 8)
--------------------------------------------------------------------
Outlook 97, 98 of 2000 in | kijk in tabel voor IE instrukties
combinatie met een IE versie | en herinstalleer Outlook 7)
| of:
| download "Outlook Domestic
| Security Patch" 8)
--------------------------------------------------------------------
Lotus Notes, Eudora | koop plugin 9)
--------------------------------------------------------------------
Opera | is al 128-bits, want komt uit
| Noorwegen en niet uit Amerika!
--------------------------------------------------------------------
1) http://home.netscape.com/download/
2) http://www.fortify.net
3) http://www.microsoft.com/windows2000/downloads/recommended/encryption/
4) http://www.microsoft.com/windows/ie_intl/nl/
5) http://www.microsoft.com//msdownload/iebuild/ie4sp2_win32/nl/ie4sp2_win32.htm
6) http://www.microsoft.com/msdownload/iebuild/highenc/nl/highenc.htm
7) Mocht je de Office 2000 SR1 of SP2 geïnstalleerd hebben, moet ook
de encryptie DLL geupdate worden: http://office.microsoft.com/2000/downloaddetails/Out128.htm
8) ftp://ftp.zedz.net/pub/mirrors/ftp.microsoft.com
9) B.v. http://www.sse.ie of http://www.baltimore.com (MailSecure)
Controleer na het installeren van een nieuwe versie of patch dat je
nu inderdaad met 128-bits encryptie werkt!
Waar te verkrijgen?
Een digitale handtekening (oftewel certificaat) krijg je van een
instantie
die certificaten uitdeelt, een "Certificate Authority" (CA). Er zijn er
diverse: Diginotar, Globalsign, InstantSSL, Thawte, VeriSign, WEB.DE
enz.
In je browser (en dus ook je e-mailprogramma) staan er meestal nog veel
meer, maar de meeste daarvan geven geen certificaten uit aan
particulieren.
Hoe moet je nu kiezen uit al deze CA's? Belangrijke criteria zijn: de
"dekking",
de kosten en de controle van je identiteit.
Criterium: "dekking"
Dit moet ik even uitleggen, bij gebrek aan een betere omschrijving.
Niet
iedere browser/e-mailprogramma heeft namelijk dezelfde lijst
goedgekeurde
CA's. Hoe een bedrijf als potentiële CA in die lijst van de
browser komt
is een beetje schimmig. Er moet fors betaald worden voor een 'audit'
(b.v. door KPMG) waarna browserfabrikanten zoals Netscape en Microsoft
bereid zijn het certificaat 'gratis' op te nemen. Nieuwere browser
versies
herkennen
vaak meer CA's, maar soms vallen er ook CA's af. Het beste kun je dus
kiezen
voor een CA die in zoveel mogelijk verschillende browsers zit. Anders
kan
het bijvoorbeeld gebeuren dat je je e-mail ondertekent met Outlook en
dat
de Netscape van de geadresseerde erover klaagt dat de handtekening
ongeldig
is. Of beter gezegd, dat diens CA niet (h)erkend wordt. WEB.DE en
CAcert zitten in geen enkele browser, Diginotar en InstallSSL (via GTE
Cybertrust) zijn meestal wel beschikbaar. Thawte en VeriSign waren er
het vroegste bij en
hebben
de beste "dekking".
Criterium: prijs
Niet onbelangrijk zijn natuurlijk de kosten van een certificaat. Die
van
CAcert, InstantSSL, WEB.DE en Thawte zijn gratis, de overigen kosten
enkele tientjes per
certificaat.
Let op, een certificaat is meestal maar 1 jaar geldig! Vroeger kostten
e-mail certificaten ettelijke tientallen euro's, maar tegenwoordig is
dat gelukkig een stuk minder.
De
kosten van Diginotar zijn mij niet bekend, maar ik weet wel dat er een
echte notaris aan te pas moet komen. Eenieder die wel eens met een
notaris
te maken heeft gehad weet dat ze een forse gage kunnen rekenen!
Criterium: controle van je identiteit
In een certificaat staat altijd een e-mail adres. Maar hoe kom je er
nou
achter wat de echte naam is van ene "donald_duck@dds.nl" die
jou
een ondertekend mailtje heeft gestuurd? Heel eenvoudig: CA's kunnen
namelijk
ook echte namen in een certificaat stoppen. Maar dat doen ze alleen als
ze je naam hebben kunnen verifieren. WEB.DE stuurt een formulier naar
je
huisadres.
Globalsign wil dat je een kopie van je paspoort of rijbewijs opstuurt.
Voor Diginotar moet je langs bij een van de deelnemende notarissen en
Thawte
en CAcert werken met vrijwilligers. Uiteraard heeft iedere methode zijn
voor- en
nadelen,
en zijn weerslag op het prijskaartje. Voor VeriSign maakt het overigens
niet uit op wiens naam ze het certificaat moeten zetten, zolang je maar
betaalt(!). Natuurlijk kun je via je creditcard eventueel nog door
VeriSign terug getraceerd worden. Ook voor InstantSSL maakt het totaal
niet uit welke naam je opgeeft. "Donald Duck" als naam in je
certificaat is geen enkel probleem (het enige waaruit moet blijken dat
InstantSSL je naam niet heeft gecontroleerd is dat in in het
certificaat het volgende staat: "Comodo Trust Network - PERSONA NOT
VALIDATED"). Persoonlijke e-mail certificaten van
InstantSSL zijn gratis (geen tracering via creditcard mogelijk) en
worden binnen enkele minuten zonder enige controle uitgegeven. Het is
duidelijk dat je weinig waarde kunt hechten aan de naam in een
dergelijk certificaat, in tegenstelling tot de certificaten van CAcert,
DigiNotar en Thawte.
Thawte / CAcert
CAcert heeft als grote voordeel dat je niet alleen certificaten
voor e-mail maar ook certificaten voor webservers gratis kunt
verkrijgen. Bovendien
is CAcert geheel gebaseerd op vrijwilligers. De kans dat je opeens geen
nieuwe certificaten meer kunt aanvragen of zult moeten betalen is dus
klein.
Thawte is waarschijnlijk een van de interessantere CA's. Dat komt
doordat
ze in vrijwel iedere browser zitten en hun certificaten gratis zijn. Ze
hebben twee typen certificaten: Thawte Freemail (bevat alleen je e-mail
adres) en Thawte Web of Trust (bevat ook je echte naam). Voor beiden
moet
je je aanmelden op de Thawte website, bij het onderdeel Personal
Certification
System. Als je je eenmaal hebt aangemeld kun je certificaten aanvragen.
Als je meerdere computers hebt, thuis of op het werk of school, kun je
ook meerdere aanvragen. Thawte wil als tegenprestatie wel erg veel van
je weten, om toch enige controle te kunnen uitvoeren over de te
verstrekken
certificaten. Thawte belooft deze informatie nooit aan anderen te
verstrekken,
of je lastig te vallen met andere aanbiedingen. Mijn ervaringen met ze
zijn in ieder geval prima.
Web of Trust
Wil je doorgaan voor de ijskast, ik bedoel, een certificaat met je
eigen
naam erin, dan kun je meedoen aan het Thawte Web of Trust. Het komt
erop
neer dat je je legitimatie laat controleren bij een "Thawte Notary".
Dit is een vrijwilliger en géén
echte notaris (d.w.z. een die beëdigd is volgens de Wet op het
notarisambt) zoals bij Diginotar. Deze Thawte Notary is op zijn beurt
gecontroleerd door andere Thawte Notaries of door medewerkers
van Thawte zelf. Het is gebaseerd op een puntensysteem. Voor je eigen
naam
in je certificaat heb je 70 punten nodig. Thawte Notaries kunnen
afhankelijk
van hun ervaring tussen de 10 tot 35 punten verstrekken. Je moet dus
altijd
door minstens 2 verschillende personen "gecertificeerd" worden. Adrie van der Heijden
en ondergetekende zijn onbezoldigd Thawte Notary. Wij kunnen je dus op
clubavonden gratis
certificeren voor ieder 35 punten.
Jezelf laten certificeren
Allereerst moet je je aanmelden op de Thawte website voor Thawte
Freemail.
Vervolgens maak je met ons een afspraak (zie e-mail adressen
hierboven),
onder vermelding van je Thawte ID. Je neemt dan mee: je legitimatie
(paspoort,
rijbewijs of Europese identiteitskaart) en 2 kopieen daarvan. Wij nemen
dan een formulier mee dat we invullen, en na het zetten van wat
handtekeningen
krijg je van ons je punten. Wanneer je thuis inlogt op de Thawte
website
zul je merken dat je nu certificaten op naam kunt aanvragen. Mocht je
daarvoor
al Thawte Freemail certificaten hebben aangevraagd, dan kun je die het
beste laten zitten in je e-mailprogramma. Nog een tip: bij het
aanmelden
op de Thawte website vragen ze om je volledige officiele
voorna(a)m(en).
Deze zouden dan ook in je certificaat komen te staan. Maar misschien
vind
je dat wat te formeel. Geen probleem, vul gewoon je roepnaam in, en
Adrie
en ik zullen daar absoluut geen punt van maken bij het certificeren.
Dus:
wellicht tot kijk op een HCC clubavond!
Jacco de Leeuw