Van beveiliging naar versleuteling
Het veilig stellen van ‘gevoelige gegevens’ kunnen we doen door toegang tot de systemen te ‘beveiligen’, bijvoorbeeld een wachtwoord op je computer zetten. Echter dat is te vergelijken met je voordeur op slot te doen: er kunnen inbrekers betrekkelijk eenvoudig bij je bestanden komen (zowel papier als electronisch). Voor beheerders van centrale computer servers, zoals bijvoorbeeld email servers is beveiliging echter geen obstakel. Zij moeten namelijk vanuit hun functie toegang hebben tot de gegevens. Het ‘versleutelen’ of ‘encrypten’ van de gevoelige zaken is de oplossing. Hiermee worden de gegevens onleesbaar als je niet de juiste ‘sleutel’ hebt.
In Word gemaakte bestanden kunnen worden beveiligd. Echter pas vanaf Word 2007 is de ‘encryptie’ die daarvoor wordt gebruikt ‘serieus’ te noemen. Daarvoor zijn de bestanden betrekkelijk eenvoudig te ‘kraken’. In Word 2007 wordt dit eenvoudig gedaan door: ‘Office button->Prepare/Voorbereiden->Encrypt’ en vervolgens een wachtwoord kiezen.Omdat er nog steeds eenvoudig gereedschap is wat wachtwoorden raad (brute force attack) is het advies om wachtwoorden minimaal 10 tekens lang te maken en bij voorkeur geen bestaande en voor de handliggende woorden te gebruiken. De volgende tabel geeft weer wat er mogelijk is bij een ‘brute force attack’ op wachtwoorden.
Wachtwoord lengte | Complexiteit | Benodigde tijd om te breken |
4 | a-z | minder dan 1 seconde |
4 | a-zA-Z0-9 + symbolen | 4.8 seconden |
5 | a-zA-Z | 25 seconden |
6 | a-zA-Z0-9 | 1 uur |
6 | a-zA-Z0-9 + symbolen | 11 uren |
7 | a-zA-Z0-9 + symbolen | 6 weken |
8 | a-zA-Z0-9 | 5 maanden |
8 | a-zA-Z0-9 + symbolen | 10 jaren |
9 | a-zA-Z0-9 + symbolen | 1000 jaren |
10 | a-zA-Z0-9 | 1700 jaren |
10 | a-zA-Z0-9 + symbolen | 91800 jaren |
Verschillende vormen van versleuteling
Zoals het begrip ‘versleutelen’ al doet vermoeden wordt er gebruik gemaakt van sleutels. Toen de romeinse keizer Julius Caesar zijn versleuteling bedacht had hij een heel eenvoudige tabel met welke ‘versleutelde’ letter voor welke ‘echte’ letter stond.
Een andere veelgebruikte ‘sleutel’ is een wachtwoord. Iemand met het wachtwoord, en het juiste programma kan als hij de geheime sleutel kent de ‘ontsleuteling’ opstarten.
Deze methode wordt ook wel een ‘shared secret encryption’ genoemd. Het geheim (bijvoorbeeld een password) wordt gedeeld tussen de partijen die het moeten lezen.
Zodra de sleutel bekend is, is de versleuteling geen beveiliging meer. Dus zijn er verschillende manieren om de sleutels veilig te houden. Bij banken worden hier speciale apparaten voor gebruikt, zogenaamde ‘Hardware Security Modules’. Veel gebruikers gebruiken papiertjes op hun toetsenbord of beeldscherm voor.
Een van de eenvoudigste manieren om aan de sleutel van iemand te komen, is door goed te (af)luisteren naar wat hij zegt(eavesdropping genoemd, uitgevoerd door bijvoorbeeld ‘sniffing’) of hem zelfs te vragen naar zijn sleutel(phising genoemd).
Aangezien ‘electronische berichtuitwisseling’ steeds vaker wordt gebruikt, beheerders van centrale computersystemen (potentieel) toegang hebben tot alle gegevens en wachtwoorden vaak eenvoudig kunnen worden achterhaald zijn er zeer veel verschillende vormen van encryptie.
Een van de meest bruikbare vormen van encryptie, voor natuurlijke personen is het gebruik van ‘Public-key cryptography’. Bij deze technologie heeft een gebruiker een sleutel die uit twee delen bestaat, een publiek (public) en een persoonlijk (private) deel bestaat. De publieke sleutel mag met iedereen worden gedeeld, de persoonlijke sleutel NOOIT. Als er een bericht versleuteld moet worden, wordt hiervoor het persoonlijke (private) deel van de verzender, en het publieke (public) deel van de ontvanger gebruikt. Op het moment dat de ontvanger het bericht wil ontsleutelen gebruikt hij zijn persoonlijke sleutel. Zie het plaatje wat dit toelicht, via http://en.wikipedia.org/wiki/Public-key_cryptography
PGP of Pretty Good Privacy, in 1991 ontwikkeld door Philip Zimmermann maakt gebruik van deze, en andere versleuteltechnologieën. Er zijn in de tussentijd verschillende ontwikkelingen geweest. OpenPGP is ontwikkeld als een standaard voor email, en onder de een speciale softwarelicentie constructie (GNU, voor vrije distributie van broncode en programma’s) is GnuPG of GPG ontwikkeld.
De ‘Portable’ uitdaging
De uitdaging is nu natuurlijk om deze theorie bruikbaar te maken voor dagelijks gebruik. Doordat de oplossing bruikbaar moet zijn voor ‘iedereen’, heb ik de volgende definitie gemaakt:
- te gebruiken vanaf een USB stick
- ondersteuning van verschillende mail-providers (zoals Hotmail, Gmail en lokale providers)
- ook te gebruiken zonder installaties op de computer zelf
- ook te gebruiken zonder volledige toegang tot het internet
- zowel lokale opslag (bestanden) beveiliging als van mail
Deze oplossing werkt op de meeste thuiscomputers. Echter in zakelijke omgevingen en in ‘publieke’ omgevingen zoals een internetcafé of bibliotheek zal deze oplossing niet werken. Deze oplossing is de meest gebruiksvriendelijke oplossing, ook een Nederlandstalige versie van de programmatuur is beschikbaar.
Het instellen van deze oplossing staat beschreven op http://portableapps.com/support/thunderbird_portable#encryption. Het omvat de volgende stappen:
Download Portable Thunderbird en pak het uit naar de USB drive (http://downloads.sourceforge.net/portableapps/ThunderbirdPortable_3.0.1_Dutch.paf.exe?download)
Download GPG voor Portable Thunderbird en pakt het uit naar dezelfde map als Portable Thunderbird(http://downloads.sourceforge.net/portableapps/GPG_for_Thunderbird_Portable_1.4.10.paf.exe?download)
Start Portable Thunderbird op, en doe de benodigde instellingen voor jou mail (zeer eenvoudig, wellicht heb je gegevens nodig van je email-provider)
Ga binnen Thunderbird naar ‘opties -> Add-ons’ en zoek naar Enigmail
Wellicht moet ook de ‘webmail’ add-on worden geïnstalleerd voor toegang tot Hotmail en andere webmail providers.
Oplossing zonder lokale installatie
Oplossing voor versleutelen van berichten en bestanden, zonder een lokale installatie en zonder dat er volledige internet toegang is. Deze oplossing werkt bijna overal, zowel in een internetcafé, een zakelijke omgeving en bibliotheken.
http://ppgp.sourceforge.net/
Dit programma is direct te downloaden vanaf de site. Het programma werkt niet in het Nederlands.