woensdag 1 september 2010

Beveiliging van bestanden en email

Ooit kwam iemand op het idee om een paperless-office te bedenken. Dit in het kader van de opkomst van het ‘electronisch berichtenverkeer’. In de tussentijd is gebleken dat er geen paperless-office bestaat (bijna niet), maar dat we vooral steeds meer communiceren via ‘electronisch berichtenverkeer’ zoals email. De toegevoegde waarde daarvan lijkt heel duidelijk: minder papier, makkelijkere archivering, snellere distributie e.d. Maar wat doen we met ‘vertrouwelijke’ zaken. Of het nu gaat over adreslijsten van wanbetalers/donateurs, lijsten met telefoonnummers, communicatie met vertrouwenspersonen of iets dergelijks: soms willen we dat het alleen gelezen wordt door de persoon voor wie het bedoeld was.

Van beveiliging naar versleuteling

Het veilig stellen van ‘gevoelige gegevens’ kunnen we doen door toegang tot de systemen te ‘beveiligen’, bijvoorbeeld een wachtwoord op je computer zetten. Echter dat is te vergelijken met je voordeur op slot te doen: er kunnen inbrekers betrekkelijk eenvoudig bij je bestanden komen (zowel papier als electronisch). Voor beheerders van centrale computer servers, zoals bijvoorbeeld email servers is beveiliging echter geen obstakel. Zij moeten namelijk vanuit hun functie toegang hebben tot de gegevens. Het ‘versleutelen’ of ‘encrypten’ van de gevoelige zaken is de oplossing. Hiermee worden de gegevens onleesbaar als je niet de juiste ‘sleutel’ hebt.
In Word gemaakte bestanden kunnen worden beveiligd. Echter pas vanaf Word 2007 is de ‘encryptie’ die daarvoor wordt gebruikt ‘serieus’ te noemen. Daarvoor zijn de bestanden betrekkelijk eenvoudig te ‘kraken’. In Word 2007 wordt dit eenvoudig gedaan door: ‘Office button->Prepare/Voorbereiden->Encrypt’ en vervolgens een wachtwoord kiezen. 
Omdat er nog steeds eenvoudig gereedschap is wat wachtwoorden raad (brute force attack) is het advies om wachtwoorden minimaal 10 tekens lang te maken en bij voorkeur geen bestaande en voor de handliggende woorden te gebruiken. De volgende tabel geeft weer wat er mogelijk is bij een ‘brute force attack’ op wachtwoorden.

Wachtwoord
lengte
ComplexiteitBenodigde tijd om te breken
4a-zminder dan 1 seconde
4a-zA-Z0-9 + symbolen4.8 seconden
5a-zA-Z25 seconden
6a-zA-Z0-91 uur
6a-zA-Z0-9 + symbolen11 uren
7a-zA-Z0-9 + symbolen6 weken
8a-zA-Z0-95 maanden
8a-zA-Z0-9 + symbolen10 jaren
9a-zA-Z0-9 + symbolen1000 jaren
10a-zA-Z0-91700 jaren
10a-zA-Z0-9 + symbolen91800 jaren

Verschillende vormen van versleuteling

Zoals het begrip ‘versleutelen’ al doet vermoeden wordt er gebruik gemaakt van sleutels. Toen de romeinse keizer Julius Caesar zijn versleuteling bedacht had hij een heel eenvoudige tabel met welke ‘versleutelde’ letter voor welke ‘echte’ letter stond.

Een andere veelgebruikte ‘sleutel’ is een wachtwoord. Iemand met het wachtwoord, en het juiste programma kan als hij de geheime sleutel kent de ‘ontsleuteling’ opstarten.

Deze methode wordt ook wel een ‘shared secret encryption’ genoemd. Het geheim (bijvoorbeeld een password) wordt gedeeld tussen de partijen die het moeten lezen.

Zodra de sleutel bekend is, is de versleuteling geen beveiliging meer. Dus zijn er verschillende manieren om de sleutels veilig te houden. Bij banken worden hier speciale apparaten voor gebruikt, zogenaamde ‘Hardware Security Modules’. Veel gebruikers gebruiken papiertjes op hun toetsenbord of beeldscherm voor.

Een van de eenvoudigste manieren om aan de sleutel van iemand te komen, is door goed te (af)luisteren naar wat hij zegt(eavesdropping genoemd, uitgevoerd door bijvoorbeeld ‘sniffing’) of hem zelfs te vragen naar zijn sleutel(phising genoemd).

Aangezien ‘electronische berichtuitwisseling’ steeds vaker wordt gebruikt, beheerders van centrale computersystemen (potentieel) toegang hebben tot alle gegevens en wachtwoorden vaak eenvoudig kunnen worden achterhaald zijn er zeer veel verschillende vormen van encryptie.

Een van de meest bruikbare vormen van encryptie, voor natuurlijke personen is het gebruik van ‘Public-key cryptography’. Bij deze technologie heeft een gebruiker een sleutel die uit twee delen bestaat, een publiek (public) en een persoonlijk (private) deel bestaat. De publieke sleutel mag met iedereen worden gedeeld, de persoonlijke sleutel NOOIT. Als er een bericht versleuteld moet worden, wordt hiervoor het persoonlijke (private) deel van de verzender, en het publieke (public) deel van de ontvanger gebruikt. Op het moment dat de ontvanger het bericht wil ontsleutelen gebruikt hij zijn persoonlijke sleutel. Zie het plaatje wat dit toelicht, via http://en.wikipedia.org/wiki/Public-key_cryptography


PGP of Pretty Good Privacy, in 1991 ontwikkeld door Philip Zimmermann maakt gebruik van deze, en andere versleuteltechnologieën. Er zijn in de tussentijd verschillende ontwikkelingen geweest. OpenPGP is ontwikkeld als een standaard voor email, en onder de een speciale softwarelicentie constructie (GNU, voor vrije distributie van broncode en programma’s) is GnuPG of GPG ontwikkeld.

De ‘Portable’ uitdaging
De uitdaging is nu natuurlijk om deze theorie bruikbaar te maken voor dagelijks gebruik. Doordat de oplossing bruikbaar moet zijn voor ‘iedereen’, heb ik de volgende definitie gemaakt:
  • te gebruiken vanaf een USB stick
  • ondersteuning van verschillende mail-providers (zoals Hotmail, Gmail en lokale providers)
  • ook te gebruiken zonder installaties op de computer zelf
  • ook te gebruiken zonder volledige toegang tot het internet
  • zowel lokale opslag (bestanden) beveiliging als van mail
Oplossing voor email en volledige toegang tot internet
Deze oplossing werkt op de meeste thuiscomputers. Echter in zakelijke omgevingen en in ‘publieke’ omgevingen zoals een internetcafé of bibliotheek zal deze oplossing niet werken. Deze oplossing is de meest gebruiksvriendelijke oplossing, ook een Nederlandstalige versie van de programmatuur is beschikbaar.

Het instellen van deze oplossing staat beschreven op http://portableapps.com/support/thunderbird_portable#encryption. Het omvat de volgende stappen:

Download Portable Thunderbird en pak het uit naar de USB drive (http://downloads.sourceforge.net/portableapps/ThunderbirdPortable_3.0.1_Dutch.paf.exe?download)
Download GPG voor Portable Thunderbird en pakt het uit naar dezelfde map als Portable Thunderbird(http://downloads.sourceforge.net/portableapps/GPG_for_Thunderbird_Portable_1.4.10.paf.exe?download)
Start Portable Thunderbird op, en doe de benodigde instellingen voor jou mail (zeer eenvoudig, wellicht heb je gegevens nodig van je email-provider)
Ga binnen Thunderbird naar ‘opties -> Add-ons’ en zoek naar Enigmail
Wellicht moet ook de ‘webmail’ add-on worden geïnstalleerd voor toegang tot Hotmail en andere webmail providers.

Oplossing zonder lokale installatie
Oplossing voor versleutelen van berichten en bestanden, zonder een lokale installatie en zonder dat er volledige internet toegang is. Deze oplossing werkt bijna overal, zowel in een internetcafé, een zakelijke omgeving en bibliotheken.

http://ppgp.sourceforge.net/

Dit programma is direct te downloaden vanaf de site. Het programma werkt niet in het Nederlands.

Geen opmerkingen:

Een reactie plaatsen