Print:

Versleutelde email in het slop

Lex Borger, Consultant Information Security

LinkedIn profiel

Recentelijk zijn twee emaildiensten gestopt, Lavabit en Silent Circle. Lavabit is duidelijk gezwicht voor de druk van de Amerikaanse geheime diensten, Silent Circle lijkt de eer wat meer aan zichzelf te houden, maar toch wel geleid door het gevoel als medeplichtig gezien te worden aan het lekken van gevoelige informatie. Het bekend worden van het bereik van het afluisterprogramma van de Amerikaanse geheime dienst, PRISM, heeft twee feiten op de kaart gezet:

Alles kan worden afgeluisterd en de geheime diensten schuwen niet om hier grote investeringen in te doen.
Als je end-to-end encryptie gebruikt is dat al verdacht op zich.

Over dat eerste punt is al veel geschreven en kan nog meer geschreven worden, maar het tweede punt wil ik wat dieper op ingaan. End-to-end encryptie is versleuteling waarbij de verlener van de dienst geen mogelijkheid heeft om de encryptie te omzeilen, alleen een brute-force kraak is mogelijk. Dit is anders dan email met SSL beveiligen, want dat versleutelt de email alleen tijdens transport naar de emailprovider.

Bankovervallers hebben auto’s gebruikt en valsemunters drukpersen, maar dat maakt niet dat auto’s en drukpersen illegaal zijn. Waarom is op deze manier versleutelde email dat dan wel? Briefgeheim is altijd gezien als een groot goed en we bewaren waardevolle spullen in kluizen. Dat is ook niet illegaal of verdacht. De basis ligt in het feit dat geheime diensten het niet kunnen lezen, los van het feit of ze dat wettelijk mogen of niet.

Dat maakt ons, gebruikers van versleutelde email, kennelijk verdacht. Net zoals Trayvon Martin verdacht was. En, zoals we in dat geval gezien hebben, onterechte verdachtmakingen kunnen aardig uit de hand lopen.

De tegenbeweging is ook al begonnen: Mega’s Kim Dotcom heeft plannen om zijn eigen versleutelde emaildienst op te zetten. Kim schuwt niet om de Amerikaanse overheden tegen zichzelf in het lijf te jagen en heeft daar in het verleden al flink last mee gehad. Ik heb hier een dubbel gevoel over, omdat dit eigenlijk versterkend kan werken voor het imagoprobleem dat versleutelde email nu krijgt.

Wat kunnen we dan doen? Generaal Petraeus dacht veilig te zijn door met zijn minnares geen email uit te wisselen, maar alleen conceptberichten achter te laten in een gezamenlijk Gmail account. Was dit gewoon de filmwereld na-apen of slim zijn, in zoverre dat hij waarschijnlijk uitgezocht had dat hij de triggers in PRISM daarmee omzeilde? Het heeft in ieder geval niet gewerkt voor hem, het is uitgelopen op het bekende schandaal. Dit is dus niet het pad om te bewandelen.

Wat het pad wel is, is een product dat al heel lang bestaat. Alleen is het opvallend stil rondom dat product. Een teken dat de gebruikers doorhebben dat ze nu even beter niet al te hard op de trom moeten roffelen? Het product is PGP (Pretty Good Privacy). In 1991 geschreven door Phil Zimmermann in een tijd dat encryptie niet geëxporteerd mocht worden. Toen was het een schandaal dat PGP de exportregels had omzeild. Inmiddels is het een standaard (OpenPGP – RFC 4880) en zijn er meerdere implementaties, zoals het open GPG (GNU Privacy Guard). Het voordeel is dat je het met iedere emailprovider kunt gebruiken, het nadeel is dat het bewerkelijk blijft: Je moet zelf sleutels uitwisselen met je emailvrienden, het is zeker geen gemeengoed. En zolang als versleutelde email een crimineel stigma heeft zal het dat ook niet worden.

Lex Borger

Lex is een redacteur voor het vakblad ‘Informatiebeveiliging’, wat gepubliceerd wordt door het PvIB (‘Platform voor Informatiebeveiliging’). Daarnaast is hij ook trainer bij IIR van o.a. de praktijktraining Security Architectuur.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten