Joost Gadellaa
Ik ben technisch productmanager bij SURF waar ik diverse… Meer over Joost Gadellaa
Zoals je wellicht weet is de dienst SURFcertificaten een Europese aangelegenheid. Via GÉANT (het Europese samenwerkingsverband van SURF-achtigen) hebben we gezamenlijke dienstverlening van één certificaatautoriteit (CA). Hoewel het gebruik van servercertificaten voor HTTPS en de uitdagingen rondom automatisering in elk land ongeveer hetzelfde zijn, valt er iets op: in landen om ons heen worden certificaten niet alleen voor servers gebruikt, maar wordt ook e-mail cryptografisch ondertekenend en versleuteld met behulp van certificaten. Ondertussen heeft in Nederland bijna niemand hier ooit van gehoord. Ik neem je graag mee in de wondere wereld van e-mailencryptie.
E-mail is notoir onveilig. Zonder in te gaan op alle technische details is het voornaamste probleem dat het aan de ontvanger is om te bepalen hoe (on)veilig je mailt. De meeste mailservers communiceren versleuteld met behulp van STARTTLS en controleren of de verzender betrouwbaar is via SPF, DKIM en DMARC maar je kan dit moeilijk afdwingen. Al richt je nog zo’n mooie, moderne mailserver in om mee te verzenden, als de ontvangers antieke jaren 90 server je mail niet snapt wordt het beveiligingsniveau automatisch verlaagd naar het equivalent van een luid gesprek in de trein.
Daarbij kan een hacker in het midden van je verbinding zitten (een zogenaamde Man-in-the-Middle-aanval) en zich voordoen als een oude server die *helaas* geen moderne standaarden ondersteunt. De mail moet aankomen, dus dan maar onversleuteld. En dat terwijl niemand nadenkt over wat er gemaild wordt. Veel instellingen hebben wel beleid dat er niks gevoeligs via e-mail gestuurd mag worden, maar ondertussen gaan er 2FA codes, gegevens van studenten, details over ICT-inrichting en gevoelige onderzoeksprojecten over de lijn. Voor chat is end-to-end encryptie inmiddels redelijk standaard. Het zou best de moeite waard zijn om email ook te versleutelen zodat niet iedereen mee kan lezen...
Een tegenwoordig veelgebruikte standaard voor mailondertekening en -versleuteling is met S/MIME (Secure/Multipurpose Internet Mail Extensions) certificaten. Net zoals andersoortige certificaten gaat dit op basis van asymmetrische cryptografie. Om dat uit te leggen zou ik meerdere blogs nodig hebben dus hier is een leuk filmpje voor als je de basisconcepten van publieke en privésleutels nog niet kent: https://youtu.be/GSIDS_lvRv4.
Voor het ondertekenen van een e-mail gebruik je jouw privésleutel. De ontvanger, laten we haar Alice noemen, kan daarna met behulp van jouw publieke sleutel controleren dat alleen jij die mail hebt kunnen ondertekenen. Als extra bonus kan Alice nu de volgende mail naar jou met je publieke sleutel versleutelen zodat die alleen door jou, met jouw privésleutel te lezen is. Elegant en effectief! Dit is de basis van bijna alle moderne encryptie. Zie voor meer uitleg bijvoorbeeld dit artikel van ZOHO.
Er is echter nog één probleem: hoe weet Alice dat de publieke sleutel die ze initieel krijgt toegestuurd inderdaad van jou is? Daar zijn globaal twee tactieken voor:
Met S/MIME certificaten hebben we dus een schaalbare manier om het benodigde sleutelmateriaal voor e-mail te krijgen en valideren. Daarbij wordt het ondersteund door de grote emailclients zoals Apple Mail, Outlook, Thunderbird en Gmail (alleen voor Workspace-accounts). Microsoft biedt zelfs de mogelijkheid om de benodigde S/MIME certificaten automatisch aan gebruikers uit te delen. In bijvoorbeeld Duitsland is het gebruikelijk dat ICT-afdelingen dit voor hun gebruikers regelen zodat er geen omkijken naar is.
Maar daar hoef je niet op te wachten. Hoewel ik er niet op zou gokken dat een hele organisatie dit individueel gaat regelen, is het voor een beetje computeraar goed te doen hier nu al gebruik van te maken. Je doet het volgende:
En voila, vanaf nu stuur jij alvast al je mails met een cryptografische ondertekening. Ontvangers weten op die manier zeker dat jouw mail niet onderweg gewijzigd is, en als ze dat willen kunnen ze versleuteld terugmailen. Voor echte schaal moeten ICT-afdelingen hier mee aan de slag. Als je daar niet op wil wachten kan je binnen je team of een andere specifieke groep je emailgesprekken nu eindelijk een beetje 21ste-eeuws beveiligen.
Ik ben technisch productmanager bij SURF waar ik diverse… Meer over Joost Gadellaa
0 Praat mee