woensdag 1 september 2010

Beveiliging van bestanden en email

Ooit kwam iemand op het idee om een paperless-office te bedenken. Dit in het kader van de opkomst van het ‘electronisch berichtenverkeer’. In de tussentijd is gebleken dat er geen paperless-office bestaat (bijna niet), maar dat we vooral steeds meer communiceren via ‘electronisch berichtenverkeer’ zoals email. De toegevoegde waarde daarvan lijkt heel duidelijk: minder papier, makkelijkere archivering, snellere distributie e.d. Maar wat doen we met ‘vertrouwelijke’ zaken. Of het nu gaat over adreslijsten van wanbetalers/donateurs, lijsten met telefoonnummers, communicatie met vertrouwenspersonen of iets dergelijks: soms willen we dat het alleen gelezen wordt door de persoon voor wie het bedoeld was.

Van beveiliging naar versleuteling

Het veilig stellen van ‘gevoelige gegevens’ kunnen we doen door toegang tot de systemen te ‘beveiligen’, bijvoorbeeld een wachtwoord op je computer zetten. Echter dat is te vergelijken met je voordeur op slot te doen: er kunnen inbrekers betrekkelijk eenvoudig bij je bestanden komen (zowel papier als electronisch). Voor beheerders van centrale computer servers, zoals bijvoorbeeld email servers is beveiliging echter geen obstakel. Zij moeten namelijk vanuit hun functie toegang hebben tot de gegevens. Het ‘versleutelen’ of ‘encrypten’ van de gevoelige zaken is de oplossing. Hiermee worden de gegevens onleesbaar als je niet de juiste ‘sleutel’ hebt.
In Word gemaakte bestanden kunnen worden beveiligd. Echter pas vanaf Word 2007 is de ‘encryptie’ die daarvoor wordt gebruikt ‘serieus’ te noemen. Daarvoor zijn de bestanden betrekkelijk eenvoudig te ‘kraken’. In Word 2007 wordt dit eenvoudig gedaan door: ‘Office button->Prepare/Voorbereiden->Encrypt’ en vervolgens een wachtwoord kiezen. 
Omdat er nog steeds eenvoudig gereedschap is wat wachtwoorden raad (brute force attack) is het advies om wachtwoorden minimaal 10 tekens lang te maken en bij voorkeur geen bestaande en voor de handliggende woorden te gebruiken. De volgende tabel geeft weer wat er mogelijk is bij een ‘brute force attack’ op wachtwoorden.

Wachtwoord
lengte
ComplexiteitBenodigde tijd om te breken
4a-zminder dan 1 seconde
4a-zA-Z0-9 + symbolen4.8 seconden
5a-zA-Z25 seconden
6a-zA-Z0-91 uur
6a-zA-Z0-9 + symbolen11 uren
7a-zA-Z0-9 + symbolen6 weken
8a-zA-Z0-95 maanden
8a-zA-Z0-9 + symbolen10 jaren
9a-zA-Z0-9 + symbolen1000 jaren
10a-zA-Z0-91700 jaren
10a-zA-Z0-9 + symbolen91800 jaren

Verschillende vormen van versleuteling

Zoals het begrip ‘versleutelen’ al doet vermoeden wordt er gebruik gemaakt van sleutels. Toen de romeinse keizer Julius Caesar zijn versleuteling bedacht had hij een heel eenvoudige tabel met welke ‘versleutelde’ letter voor welke ‘echte’ letter stond.

Een andere veelgebruikte ‘sleutel’ is een wachtwoord. Iemand met het wachtwoord, en het juiste programma kan als hij de geheime sleutel kent de ‘ontsleuteling’ opstarten.

Deze methode wordt ook wel een ‘shared secret encryption’ genoemd. Het geheim (bijvoorbeeld een password) wordt gedeeld tussen de partijen die het moeten lezen.

Zodra de sleutel bekend is, is de versleuteling geen beveiliging meer. Dus zijn er verschillende manieren om de sleutels veilig te houden. Bij banken worden hier speciale apparaten voor gebruikt, zogenaamde ‘Hardware Security Modules’. Veel gebruikers gebruiken papiertjes op hun toetsenbord of beeldscherm voor.

Een van de eenvoudigste manieren om aan de sleutel van iemand te komen, is door goed te (af)luisteren naar wat hij zegt(eavesdropping genoemd, uitgevoerd door bijvoorbeeld ‘sniffing’) of hem zelfs te vragen naar zijn sleutel(phising genoemd).

Aangezien ‘electronische berichtuitwisseling’ steeds vaker wordt gebruikt, beheerders van centrale computersystemen (potentieel) toegang hebben tot alle gegevens en wachtwoorden vaak eenvoudig kunnen worden achterhaald zijn er zeer veel verschillende vormen van encryptie.

Een van de meest bruikbare vormen van encryptie, voor natuurlijke personen is het gebruik van ‘Public-key cryptography’. Bij deze technologie heeft een gebruiker een sleutel die uit twee delen bestaat, een publiek (public) en een persoonlijk (private) deel bestaat. De publieke sleutel mag met iedereen worden gedeeld, de persoonlijke sleutel NOOIT. Als er een bericht versleuteld moet worden, wordt hiervoor het persoonlijke (private) deel van de verzender, en het publieke (public) deel van de ontvanger gebruikt. Op het moment dat de ontvanger het bericht wil ontsleutelen gebruikt hij zijn persoonlijke sleutel. Zie het plaatje wat dit toelicht, via http://en.wikipedia.org/wiki/Public-key_cryptography


PGP of Pretty Good Privacy, in 1991 ontwikkeld door Philip Zimmermann maakt gebruik van deze, en andere versleuteltechnologieën. Er zijn in de tussentijd verschillende ontwikkelingen geweest. OpenPGP is ontwikkeld als een standaard voor email, en onder de een speciale softwarelicentie constructie (GNU, voor vrije distributie van broncode en programma’s) is GnuPG of GPG ontwikkeld.

De ‘Portable’ uitdaging
De uitdaging is nu natuurlijk om deze theorie bruikbaar te maken voor dagelijks gebruik. Doordat de oplossing bruikbaar moet zijn voor ‘iedereen’, heb ik de volgende definitie gemaakt:
  • te gebruiken vanaf een USB stick
  • ondersteuning van verschillende mail-providers (zoals Hotmail, Gmail en lokale providers)
  • ook te gebruiken zonder installaties op de computer zelf
  • ook te gebruiken zonder volledige toegang tot het internet
  • zowel lokale opslag (bestanden) beveiliging als van mail
Oplossing voor email en volledige toegang tot internet
Deze oplossing werkt op de meeste thuiscomputers. Echter in zakelijke omgevingen en in ‘publieke’ omgevingen zoals een internetcafé of bibliotheek zal deze oplossing niet werken. Deze oplossing is de meest gebruiksvriendelijke oplossing, ook een Nederlandstalige versie van de programmatuur is beschikbaar.

Het instellen van deze oplossing staat beschreven op http://portableapps.com/support/thunderbird_portable#encryption. Het omvat de volgende stappen:

Download Portable Thunderbird en pak het uit naar de USB drive (http://downloads.sourceforge.net/portableapps/ThunderbirdPortable_3.0.1_Dutch.paf.exe?download)
Download GPG voor Portable Thunderbird en pakt het uit naar dezelfde map als Portable Thunderbird(http://downloads.sourceforge.net/portableapps/GPG_for_Thunderbird_Portable_1.4.10.paf.exe?download)
Start Portable Thunderbird op, en doe de benodigde instellingen voor jou mail (zeer eenvoudig, wellicht heb je gegevens nodig van je email-provider)
Ga binnen Thunderbird naar ‘opties -> Add-ons’ en zoek naar Enigmail
Wellicht moet ook de ‘webmail’ add-on worden geïnstalleerd voor toegang tot Hotmail en andere webmail providers.

Oplossing zonder lokale installatie
Oplossing voor versleutelen van berichten en bestanden, zonder een lokale installatie en zonder dat er volledige internet toegang is. Deze oplossing werkt bijna overal, zowel in een internetcafé, een zakelijke omgeving en bibliotheken.

http://ppgp.sourceforge.net/

Dit programma is direct te downloaden vanaf de site. Het programma werkt niet in het Nederlands.

zaterdag 7 augustus 2010

Help elkaar op afstand

Als je ondersteuning nodig hebt kun je hiervoor specialisten inhuren. Echter heel vaak kunnen bekenden je ook helpen. Echter dat lukt niet altijd... Hiervoor is er een ‘uitvinding’ die heeft 'hulp op afstand'. Deze techniek wordt ook veel gebruikt door professionele (grote) organisaties waar het niet altijd handig is om naar de gebruiker toe te gaan.
De technologie is echter ook gratis te gebruiken

donderdag 5 augustus 2010

Stop het versturen van Ongewenste email of MSN berichten

Zeer regelmatig worden er Ongewenste emails of MSN berichten verstuurd door personen die dat zelf niet weten. Soms komen die berichten vanaf een ‘Smartphone’, vaak uitgerust met illegale software, maar nog vaker door een ‘normale’ computer.
Er zijn over het algemeen 2 manieren waarop kwaadwillenden deze ongewenste berichten in jouw naam kunnen versturen

vrijdag 25 juni 2010

Hoe certificaten te gebruiken voor email beveiliging

Om gebruik te maken van 'certificaten' moet je eerst een certificaat hebben. Die worden door een beperkt aantal 'Certificate Authorities' uitgegeven. Omdat de meeste computer installaties die 'Certificate Authorities' vertrouwen, worden de certificaten die door hun zijn uitgegeven vervolgens ook vertrouwd.

De meeste certificaten kosten geld. Sommige zijn zelfs zeer kostbaar, echter voor particulieren kan je een dergelijk certificaat gratis aanvragen. De 'Certificate Authorities' die dit mogelijk maakt heet 'Comodo'.

De stappen om met een certificaat te werken zijn betrekkelijk eenvoudig, en heel snel uit te voeren.

woensdag 2 juni 2010

Alternatieve manier van beveiligde email

Eerder heb ik een reeks berichten geschreven over het gebruik van PGP om email te beveiligen. Het gebruik van PGP vraagt soms wat gewenning, er is echter ook een andere eenvoudigere en zelfs gratis manier om email veilig te maken.

Veilig en veilig…
Email zal nooit veilig worden, het is altijd mogelijk dat

woensdag 21 april 2010

Is gegevens over internet versturen toch veilig?

In een rapport opgesteld voor het ‘Ministerie van Economische Zaken’ door een bedrijf genaamd ‘Stratix Consultancy’ wordt ingegaan over de mogelijkheden van ‘afluisteren’ van internetverkeer. Technisch is er behoorlijk wat mogelijk, maar gebruikers kunnen eenvoudig zelf acties ondernemen om het ‘onmogelijk’ te maken.
In de blog ‘bigwobber’ is een kopie van het ‘geheime’ rapport te vinden: www.bigwobber.nl/2010/04/14/problemen-bij-het-aftappen-van-internetverbindingen/

zaterdag 6 maart 2010

PDF documenten voorzien van commentaar

Persoonlijk ben ik steeds minder aan het doen met papier. M'n laptop is mijn schrijfblok, archief en rekenmachine. Steeds meer documenten kunnen in elektronische form gedeeld worden. Een uitdaging waren echter PDF documenten. Deze zijn er in prachtige uitvoeringen: plaatjes, mooie illustraties prachtige opmaak, maar moeilijk te voorzien van opmerkingen en markeringen. Maar...

vrijdag 5 maart 2010

Gebruik 'Portable PGP' om berichten en bestanden te coderen


Voordat deze stap-voor-stap handleiding gebruikt kan worden moet eerst 'Portable PGP' en de benodigde 'sleutels' beschikbaar zijn op de computer. Als dit het geval is, volg dan de onderstaande stap-voor-stap begeleiding.

Portable PGP klaar maken voor gebruik

Dit bericht hoe Portable PGP klaar gemaakt moet worden voor het eerste gebruik.
Via http://ppgp.sourceforge.net/ is Portable PGP te verkrijgen. Ik adviseer om de 'USB stick' versie te downloaden. Als deze is gedownload, moet het worden uitgepakt, bijvoorbeeld naar een USB stick.