Geheim!

door Jacco de Leeuw

Geheimschrift is al zo oud als de weg naar Rome. Maar wat niet iedereen weet is dat e-mailprogramma's tegenwoordig vaak een moderne variant ervan ingebouwd hebben. Je kunt je eigen e-mails dan ondertekenen met een digitale handtekening. Tenminste, wanneer je in het bezit bent van een zogenoemd certificaat. Aan de hand van een certificaat kan de ontvanger van een e-mail controleren dat deze daadwerkelijk van jou afkomstig is.

Hoe werkt het?

Stel, je stuurt een e-mail naar iemand waarin je je bankrekeningnummer vermeldt. Het ondertekenen gaat heel eenvoudig door een speciaal vinkje aan te zetten bij de e-mail opties. Optioneel kun je ook nog een wachtwoord invoeren. Mocht na het versturen van de e-mail een of andere overlaat onderweg er stiekem een wijziging in aanbrengen -- al is het maar 1 cijfer of letter -- dan krijgt de ontvanger direct een melding dat de digitale handtekening ongeldig is. Hij kan dus controleren of er aan een bericht gerommeld is. Wanneer een geadresseerde een geldige e-mail van jou heeft ontvangen, kan hij op zijn beurt weer versleutelde berichten naar jou sturen, die niemand anders kan lezen. Geheimschrift dus! Ook dit gaat weer door simpelweg een vinkje te zetten. Het mooiste is natuurlijk als beide partijen een digitale handtekening hebben. Dan kun je namelijk onderling ondertekenen en versleutelen.

"Ik doe niks!"

Nu vraag je je misschien af, "waarom zou ik mijn e-mail willen versleutelen, ik heb helemaal niks te verbergen, behalve mijn PIN code!". Dat zou heel goed kunnen. Maar er zijn zo van die dingen die je liever niet op een briefkaart schrijft. Je bankafschriften krijg je toch ook in een envelop? En misschien wil je ook wel eens een e-mailtje vanaf je werk of school naar huis sturen zonder dat iedereen zomaar kan meelezen. Dat kan, als je maar encryptie gebruikt!

Wat heb je nodig?

Goed, je wilt dus een digitale handtekening, oftewel een certificaat. Hoe kom je er aan? Allereerst heb je een POP3 e-mail account nodig. Het kan geen "webbased" account zijn, zoals Hotmail. Verder een van de volgende e-mailprogramma's: Netscape 4.x of hoger, Outlook Express 4.x of hoger, Outlook 97 of hoger, Mozilla, of Opera. Deze programma's bevatten standaard ondersteuning voor digitale handtekeningen volgens de S/MIME (X.509) standaard. Voor andere e-mailprogramma's zoals Lotus Notes en Eudora bestaan er wel plugins maar daarvoor moet betaald worden. Er bestaan ook andere standaarden die zelfs beter zijn, zoals PGP (http://www.pgpi.org), maar daarvoor moet je iets meer werk verrichten.

Opkrikken!

Tot voor kort had de Amerikaanse overheid allerlei eisen gesteld aan de export van encryptiesoftware. De exportversies van o.a. Netscape en Internet Explorer moesten expres zwakker gemaakt worden, waarschijnlijk op instigatie van de Amerikaanse geheime dienst. Hoe kun je controleren of je browser de zwakke 40-bits of de veel sterkere 128-bits encryptie ondersteunt? Heel simpel, even surfen naar:

https://www.fortify.net/sslcheck.html

Outlook Express gebruikt dezelfde encryptiesterkte als Internet Explorer. Outlook 97, 98 en 2000 over het algemeen ook, maar het beste kun je dat even controleren bij het menupunt "Over (About) Microsoft Outlook". Zit je inderdaad opgescheept met 40-bits encryptie? Dan kan kun je deze beter opkrikken naar 128-bits. Kijk in de tabel wat je hiervoor moet doen.

Versie | Advies
--------------------------------------------------------------------
Netscape 4.76 of hoger | is al 128-bits
--------------------------------------------------------------------
Mozilla | is al 128-bits
--------------------------------------------------------------------
Netscape lager dan 4.76 | upgrade naar 4.76 of hoger 1) (waaronder alle Nederlands- | (alleen is er op dit moment talige versies tot nog toe) | geen Nederlandstalige versie) | of: | download Fortify patch 2) -------------------------------------------------------------------- IE/Outlook op Windows 2000 | download "Win2000 High Encryption | pack" + kijk nogmaals in tabel 3) -------------------------------------------------------------------- IE 5.5, 5.01SP1 of hoger | is al 128-bits -------------------------------------------------------------------- IE 5.01, 5.0, 4.01 | upgrade naar 5.01SP1 of hoger 4) | of: | download "128-bits | high encryption pack" 6) | of: | download 128-bits patch 8) -------------------------------------------------------------------- IE 4.0 of lager | upgrade naar 4.01 + "pack" 5)+6) | of: | upgrade naar 5.01SP1 of hoger 4) | of: | download 128-bits patch 8) -------------------------------------------------------------------- Outlook 97, 98 of 2000 in | kijk in tabel voor IE instrukties combinatie met een IE versie | en herinstalleer Outlook 7) | of: | download "Outlook Domestic | Security Patch" 8) -------------------------------------------------------------------- Lotus Notes, Eudora | koop plugin 9) -------------------------------------------------------------------- Opera | is al 128-bits, want komt uit | Noorwegen en niet uit Amerika! --------------------------------------------------------------------

1) http://home.netscape.com/download/ 2) http://www.fortify.net 3) http://www.microsoft.com/windows2000/downloads/recommended/encryption/ 4) http://www.microsoft.com/windows/ie_intl/nl/ 5) http://www.microsoft.com//msdownload/iebuild/ie4sp2_win32/nl/ie4sp2_win32.htm 6) http://www.microsoft.com/msdownload/iebuild/highenc/nl/highenc.htm 7) Mocht je de Office 2000 SR1 of SP2 geïnstalleerd hebben, moet ook
de encryptie DLL geupdate worden: http://office.microsoft.com/2000/downloaddetails/Out128.htm 8) ftp://ftp.zedz.net/pub/mirrors/ftp.microsoft.com 9) B.v. http://www.sse.ie of http://www.baltimore.com (MailSecure)

Controleer na het installeren van een nieuwe versie of patch dat je nu inderdaad met 128-bits encryptie werkt!

Waar te verkrijgen?

Een digitale handtekening (oftewel certificaat) krijg je van een instantie die certificaten uitdeelt, een "Certificate Authority" (CA). Er zijn er diverse: Diginotar, Globalsign, InstantSSL, Thawte, VeriSign, WEB.DE enz. In je browser (en dus ook je e-mailprogramma) staan er meestal nog veel meer, maar de meeste daarvan geven geen certificaten uit aan particulieren. Hoe moet je nu kiezen uit al deze CA's? Belangrijke criteria zijn: de "dekking", de kosten en de controle van je identiteit.

De belangrijkste CA's:
CAcert
http://www.cacert.org
DigiNotar http://www.diginotar.nl
Globalsign http://nl.globalsign.net
InstantSSL http://www.instantssl.com
WEB.DE http://www.web.de
Thawte http://www.thawte.com
VeriSign http://www.verisign.com

Criterium: "dekking"

Dit moet ik even uitleggen, bij gebrek aan een betere omschrijving. Niet iedere browser/e-mailprogramma heeft namelijk dezelfde lijst goedgekeurde CA's. Hoe een bedrijf als potentiële CA in die lijst van de browser komt is een beetje schimmig. Er moet fors betaald worden voor een 'audit' (b.v. door KPMG) waarna browserfabrikanten zoals Netscape en Microsoft bereid zijn het certificaat 'gratis' op te nemen. Nieuwere browser versies herkennen vaak meer CA's, maar soms vallen er ook CA's af. Het beste kun je dus kiezen voor een CA die in zoveel mogelijk verschillende browsers zit. Anders kan het bijvoorbeeld gebeuren dat je je e-mail ondertekent met Outlook en dat de Netscape van de geadresseerde erover klaagt dat de handtekening ongeldig is. Of beter gezegd, dat diens CA niet (h)erkend wordt. WEB.DE en CAcert zitten in geen enkele browser, Diginotar en InstallSSL (via GTE Cybertrust) zijn meestal wel beschikbaar. Thawte en VeriSign waren er het vroegste bij en hebben de beste "dekking".

Criterium: prijs

Niet onbelangrijk zijn natuurlijk de kosten van een certificaat. Die van CAcert, InstantSSL, WEB.DE en Thawte zijn gratis, de overigen kosten enkele tientjes per certificaat. Let op, een certificaat is meestal maar 1 jaar geldig! Vroeger kostten e-mail certificaten ettelijke tientallen euro's, maar tegenwoordig is dat gelukkig een stuk minder. De kosten van Diginotar zijn mij niet bekend, maar ik weet wel dat er een echte notaris aan te pas moet komen. Eenieder die wel eens met een notaris te maken heeft gehad weet dat ze een forse gage kunnen rekenen!

Criterium: controle van je identiteit

In een certificaat staat altijd een e-mail adres. Maar hoe kom je er nou achter wat de echte naam is van ene "donald_duck@dds.nl" die jou een ondertekend mailtje heeft gestuurd? Heel eenvoudig: CA's kunnen namelijk ook echte namen in een certificaat stoppen. Maar dat doen ze alleen als ze je naam hebben kunnen verifieren. WEB.DE stuurt een formulier naar je huisadres. Globalsign wil dat je een kopie van je paspoort of rijbewijs opstuurt. Voor Diginotar moet je langs bij een van de deelnemende notarissen en Thawte en CAcert werken met vrijwilligers. Uiteraard heeft iedere methode zijn voor- en nadelen, en zijn weerslag op het prijskaartje. Voor VeriSign maakt het overigens niet uit op wiens naam ze het certificaat moeten zetten, zolang je maar betaalt(!). Natuurlijk kun je via je creditcard eventueel nog door VeriSign terug getraceerd worden. Ook voor InstantSSL maakt het totaal niet uit welke naam je opgeeft. "Donald Duck" als naam in je certificaat is geen enkel probleem (het enige waaruit moet blijken dat InstantSSL je naam niet heeft gecontroleerd is dat in in het certificaat het volgende staat: "Comodo Trust Network - PERSONA NOT VALIDATED"). Persoonlijke e-mail certificaten van InstantSSL zijn gratis (geen tracering via creditcard mogelijk) en worden binnen enkele minuten zonder enige controle uitgegeven. Het is duidelijk dat je weinig waarde kunt hechten aan de naam in een dergelijk certificaat, in tegenstelling tot de certificaten van CAcert, DigiNotar en Thawte.

Thawte / CAcert

CAcert heeft als grote voordeel dat je niet alleen certificaten voor e-mail maar ook certificaten voor webservers gratis kunt verkrijgen. Bovendien is CAcert geheel gebaseerd op vrijwilligers. De kans dat je opeens geen nieuwe certificaten meer kunt aanvragen of zult moeten betalen is dus klein.

Thawte is waarschijnlijk een van de interessantere CA's. Dat komt doordat ze in vrijwel iedere browser zitten en hun certificaten gratis zijn. Ze hebben twee typen certificaten: Thawte Freemail (bevat alleen je e-mail adres) en Thawte Web of Trust (bevat ook je echte naam). Voor beiden moet je je aanmelden op de Thawte website, bij het onderdeel Personal Certification System. Als je je eenmaal hebt aangemeld kun je certificaten aanvragen. Als je meerdere computers hebt, thuis of op het werk of school, kun je ook meerdere aanvragen. Thawte wil als tegenprestatie wel erg veel van je weten, om toch enige controle te kunnen uitvoeren over de te verstrekken certificaten. Thawte belooft deze informatie nooit aan anderen te verstrekken, of je lastig te vallen met andere aanbiedingen. Mijn ervaringen met ze zijn in ieder geval prima.

Web of Trust

Wil je doorgaan voor de ijskast, ik bedoel, een certificaat met je eigen naam erin, dan kun je meedoen aan het Thawte Web of Trust. Het komt erop neer dat je je legitimatie laat controleren bij een "Thawte Notary". Dit is een vrijwilliger en géén echte notaris (d.w.z. een die beëdigd is volgens de Wet op het notarisambt) zoals bij Diginotar. Deze Thawte Notary is op zijn beurt gecontroleerd door andere Thawte Notaries of door medewerkers van Thawte zelf. Het is gebaseerd op een puntensysteem. Voor je eigen naam in je certificaat heb je 70 punten nodig. Thawte Notaries kunnen afhankelijk van hun ervaring tussen de 10 tot 35 punten verstrekken. Je moet dus altijd door minstens 2 verschillende personen "gecertificeerd" worden. Adrie van der Heijden en ondergetekende zijn onbezoldigd Thawte Notary. Wij kunnen je dus op clubavonden gratis certificeren voor ieder 35 punten.

Jezelf laten certificeren

Allereerst moet je je aanmelden op de Thawte website voor Thawte Freemail. Vervolgens maak je met ons een afspraak (zie e-mail adressen hierboven), onder vermelding van je Thawte ID. Je neemt dan mee: je legitimatie (paspoort, rijbewijs of Europese identiteitskaart) en 2 kopieen daarvan. Wij nemen dan een formulier mee dat we invullen, en na het zetten van wat handtekeningen krijg je van ons je punten. Wanneer je thuis inlogt op de Thawte website zul je merken dat je nu certificaten op naam kunt aanvragen. Mocht je daarvoor al Thawte Freemail certificaten hebben aangevraagd, dan kun je die het beste laten zitten in je e-mailprogramma. Nog een tip: bij het aanmelden op de Thawte website vragen ze om je volledige officiele voorna(a)m(en). Deze zouden dan ook in je certificaat komen te staan. Maar misschien vind je dat wat te formeel. Geen probleem, vul gewoon je roepnaam in, en Adrie en ik zullen daar absoluut geen punt van maken bij het certificeren. Dus: wellicht tot kijk op een HCC clubavond!

Jacco de Leeuw