PGP-bedenker: instant messaging veiliger dan e-mail
Vorige week liet Phil Zimmermann weten, de bedenker van Pretty Good Privacy (PGP), dat hij stopte met het aanbieden van versleutelde e-mail via zijn bedrijf Silent Circle. De beslissing kwam nadat e-mailprovider Lavabit had aangekondigd ermee op te houden. Bij dit bedrijf had NSA-klokkenluider Edward Snowden een e-mailaccount. Zeer waarschijnlijk hadden de Amerikaanse autoriteiten Lavabit om informatie van gebruikers gevraagd, waar het bedrijf niet aan wilde meewerken.
In de aankondiging van Silent Circle stelde CTO Jon Callas dat e-mail zoals het nu bestaat, met SMTP, POP3 en IMAP, niet veilig is. Iets wat Zimmermann in een interview met Forbes herhaalt. "Ik gebruik e-mail niet zoveel. Een van de redenen is dat PGP niet zo goed werkt op een Mac. Symantec heeft het niet bijgehouden, dus ik gebruik nog zelden PGP."
Instant Messaging
Als mensen Zimmermann een versleutelde e-mail sturen moet hij allerlei moeite doen om het te ontsleutelen. "Als het van een vreemde komt, vraag ik hem om het in platte tekst opnieuw te versturen. Wanneer ik iets veilig wil versturen, gebruik ik Silent Text." Dit is de versleutelde chatdienst van Silent Circle.
Zimmermann stelt dat instant messaging minder onhandig is dan e-mail. E-mail heeft wel zijn plek, merkt de PGP-bedenker op. Met name in het geval bedrijven een audit trail willen. "Maar als je iets veilig wil versturen, zijn er meer gestroomlijnde oplossingen.
Berichten headers van e-mail lijken mij niet zo'n probleem. Voor het onderwerp van je mailtje kun je gewoon iets onzinnigs invullen dat niets met je bericht te maken heeft. Of je zet er gewoon 'geheim' in of laat het leeg.
Blijft nog wel het probleem bij het gebruik van GnuPG hoe je de fingerprint van je publieke sleutel uitwisselt als je iemand alleen van internet kent...
Voor het fingerprint probleem heb je het Web of Trust. Niet per definitie WoT zelf, maar wel het idee er achter. Jij woont bij iemand in de buurt, dus jullie controleren elkaars identiteit mbv een officieel document en ondertekent dan de sleutel. Op keysigning parties gebeurt dit in het groot. Op grond van het aantal ondertekeningen kun je dan een inschatting maken hoe groot de kans is dat hij/zij het daadwerkelijk is. En misschien ken je wel een van de ondertekenaars, dan kun je daar contact mee opnemen. Ik geef toe, het is wel wat omslachtig, maar er naar toe reizen om zelf te controleren is ook omslachtig.
WoT is dus een model op basis waarvan je andere modellen kan implementeren, en beter dan het nu soms gedaan is. Dat WoT te lastig voor de doorsnee gebruiker is om goed mee om te gaan wil niet zeggen dat een besaler gebruik te lastig is of het te lastig is degenen die op basis daarvan bijvoorbeeld een CA-model implementeren. In plaats van als "leuk in theorie" zie ik het daarom als superieur. Niet om iedereen mee lastig te vallen, wel als basis om allerlei vertrouwensmodellen op te baseren die makkelijker te hanteren zijn voor de doorsnee-computeraar.
Maar officiële documenten zijn denk ik wel de te bewandelen weg om iemands identiteit vast te stellen. Toegegeven, een geheim of undercover agent, SF operator etc. hebben allemaal wel één of meerdere "officiële" valse identiteit. Er zijn ook wel andere manieren om aan een vals paspoort te komen. Maar die mensen zullen je ook in real-life kunnen overtuigen van hun valse identiteit. Je kunt moeilijk iemand bij een kennismaking eerst gaan waterboarden om vast te stellen of diegene liegt over zijn of haar identiteit. Dus of dat nu je argumentatie moet zijn om iets als WoT af te schieten. (Ik geef trouwens toe dat het in de prakijk niet echt wijdverbreid is.) Het gaat er maar om hoe zeker je er van wilt zijn dat degene aan de andere kant van de lijn is wie hij/zij zegt te zijn.
Bij elke beveiliging(smaatregel) moet je altijd voor ogen hebben wat je wilt bereiken en waar de bedreigingen vandaan komen. Dus voor het uitwisselen van vertrouwelijke data geldt dit ook.
Inderdaad GnuPG werkt prima met Apple mail en Mac.
Zo is SMIME en PGP/GnuPG goed cross platform te gebruiken (PGP is er ook voor iOS en Android naast Windows en Linux).
Het werkt nog niet zo eenvoudig als SMIME maar het begint er wel te komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Officier Specialist Cyber
Wil jij je inzetten voor de nationale en internationale veiligheid? Heb jij de kennis en de kunde om de digitale omgeving zo goed mogelijk te verdedigen?
Reservist Specialist Cyber
Online aanvallen, phishing, ransomware, APT’s: als cyberexpert weet jij alles over de huidige dreigingen in cyberspace. Word dan cyberreservist bij Defensie.
Challenge Developer
Wil je werken bij het beste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de latest en greatest security challenges? Solliciteer dan nu naar de functie van Certified Secure Challenge Developer.