Email Privacy

Het is misschien nog eens tijd iets op te rakelen dat eigenlijk algemene kennis zou moeten zijn:

Als je mails stuurt over het internet dan kunnen die onderweg op meerdere plaatsen worden gelezen. Zij zijn niet beveiligd.

Hoe werkt e-mail?

Net zoals een "echt" postkantoor.

Wie een brief met de post stuurt, steekt die gewoonlijk in de postbus. De postbode haalt de brief uit de postbus en gaat ermee naar het sorteercentrum.

Daar wordt er gekeken waar de brief juist heen moet en zo wordt die brief naar het gepaste postkantoor gestuurd. Afhankelijk van waar de brief heen moet gaat die door meerdere sorteercentra tot uiteindelijk de postbode bij de ontvanger langs komt en de brief in de brievenbus steekt.

Brieven die niet door iedereen gelezen mogen worden verstuur je in een dichtgeplakte envelop. Het is dan ook verboden voor post-beampten om die brieven te lezen. Normaal gezien ga je ook zien wanneer zo'n brief toch is geopend. Alhoewel niks onfeilbaar is, blijft het principe dat je ervan uit gaat dat die brief enkel door jou en de ontvanger wordt gelezen.

Wat wel gelezen wordt - uiteraard - is het adres van de ontvanger.

Een e-mail verzenden werkt eigenlijk op dezelfde manier. Je klikt op "verzenden" en dan gaat de mail van jouw pc (of vanop je webmail zoals hotmail of gmail) naar een "SMTP Server" (een sorteercentrum). Die server gaat de mail openen om te zien waar hij naartoe moet. De server gaat die dan doorsturen naar andere servers tot hij uiteindelijk in jouw mailbox terecht komt.

Net zoals bij echte brieven gaat jouw mail door verschillende "postkantoren" gaan.

Eén verschil is wel dat niet enkel de bestemmeling leesbaar is, maar de volledige e-mail (inclusief bijgevoegde documenten).

Elke server (elk "sorteercentrum") waar jouw e-mail langskomt kan de volledige e-mail lezen. Bovendien is het niet ongewoon dat deze servers kopies bijhouden van jouw mails.

Denk dus nooit dat een e-mail enkel door jezelf en de bestemmeling leesbaar is.

Slechte voorbeelden

Onlangs kreeg ik van mijn bank (denk ik) een e-mail met de vraag of ik me wou inschrijven om vanaf nu alle communicatie via e-mail te doen inplaats van via de fysieke post.

Ten eerste: het is erg moeilijk te bewijzen dat die mail écht van de bank kwam.

Maar dat is op zich niet het probleem. Het is gek dat juist een bank dit voorstel zou doen. Zij zijn het toch die in al hun enveloppen die ze opsturen een extra laag hebben zodat tekst niet door de envelop heen kan gelezen worden?

Ze lijken dus te beseffen dat mensen niet willen dat iedereen zomaar hun communicatie met de bank kan lezen.

En toch gaan ze met e-mails werken, zonder voorzieningen voor beveiliging.

Ook facturen en dergelijke, zoals bijvoorbeeld jouw telefoonrekening, kunnen via mail binnen komen. Deze zijn dan ook netjes ingelezen en mogelijk zelfs bewaard door verschillende mailservers onderweg.

Aan jou om te beslissen of dit OK is. Als je dat niet wenst, vraag je best om op een andere manier geïnformeerd te worden.

Beveiliging

Let op, wanneer een e-mail van jouw pc naar de mailservers gaat, of wanneer hij van server naar server, gaat is die gewoonlijk niet leesbaar.

Tijdens het verzenden is deze meestal beveiligd. Maar telkens als hij aankomt bij een tussenpunt moet de mail terug open gemaakt worden.

Het is dus niet omdat de verbinding tussen jou en de mailserver is beveiligd dat jouw e-mail privé is.

Gesloten Enveloppe

Er is gelukkig een mogelijkheid om je "envelop dicht te plakken". Maar helaas vraagt die enige inspanning.

Je moet dan vóór het verzenden de e-mail versleutelen op zo'n manier dat enkel de ontvanger ervan het bericht terug kan ontrafelen. Voor de tussenliggende mail servers (de "sorteercentra") bevat de mail wel nog de gegevens van de ontvanger maar de eigenlijke inhoud van de mail is onleesbaar.

Helaas is het niet zo eenvoudig om een mail versleuteld door te sturen. Dit werkt, heel oppervlakkig, als volgt:

• De ontvanger geeft jou de helft van een "sleutel" die uit twee delen bestaat:
  • het publiek gedeelte: dit krijg jij en is géén geheim
  • het private gedeelte: dit is in het bezit van de ontvanger van jouw e-mail en is geheim (ook voor jou)
• Door middel van het publieke deel van de sleutel kan jij (met de gepaste software) de e-mail "coderen" en onleesbaar maken
• Bij ontvangst kan de ontvanger met het tweede deel van de sleutel de mail decoderen

Die sleutel is trouwens gewoon een heel erg groot willekeurig getal. In de orde van 2^4096. Het is dus moeilijk te raden.

De details van de werking van zo'n versleuteling zijn nogal wiskundig, maar de methode is zeer goed gekend en is relatief betrouwbaar (niets is onfeilbaar uiteraard).

Enkel met deze methode is het mogelijk e-mails te verzenden die enkel door jou en de ontvanger kunnen worden gelezen. Tenzij de ontvanger zijn private deel van de sleutel te grabbel gooit uiteraard.

De meeste mail clients voorzien hier wel opties voor, maar het is duidelijk niet zo eenvoudig:

• De ontvanger moet jou eerst een deel van de sleutel bezorgen (dat mag eventueel via een gewone e-mail)
• Jij moet in jouw email programma de juiste opties vinden
• De ontvanger zal ook van jou een sleutel moeten krijgen om op dezelfde manier te antwoorden
• De kans bestaat ook dat jouw ontvanger zonder beveiliging antwoordt en daardoor jouw originele e-mail toch terug onbeveiligd het internet op gooit.

Beide partijen moeten dus op de hoogte zijn van deze werkwijze.

Hoe ga je te werk?

Ik was van plan hier een uitgebreide beschrijving te plaatsen van hoe je beveiligde e-mails kunt maken met de meeste courante e-mail systemen zoals gmail, hotmail, ... maar mijn conclusie is dat je sowieso web-based mails al kunt laten vallen als optie.

Tenslotte, als je de web applicatie de functionaliteit laat verzorgen om mails te coderen dan moet je die eigenlijk al je private sleutel toevertrouwen. Het hele probleem komt er net omdat je je "postkantoor" niet 100% wilt vertrouwen.

De beste optie is om een mail programma op je computer te installeren, zoals Thunderbird of eventueel als het moet outlook. Daarnaast installeer je dan Gnu PG en een add-in voor je e-mail programma. Nadat je die geconfigureerd hebt voor jouw Gmail of Hotmail, ...

Zo krijg je vanaf dan je mails op je PC toegezonden en kan je - als je de publieke sleutel van de tegenpartij hebt - gecodeerde mailtjes verzenden én gecodeerde mailtjes ontvangen, als de tegenpartij jouw publieke sleutel heeft.

In het kort, wat je nodig hebt is:

• Een applicatie om mails te verzenden en te ontvangen (Gnu PG)
• Een applicatie om mails te coderen / decoderen (Mozilla Thunderbird)
• Een plugin om die twee applicaties met elkaar te integreren (Enigmail)
• Een publieke sleutel van de tegenpartij (beheerd in Gnu PG of Enigmail)

En een ontvanger die op een gelijkaardige manier kan omgaan met gecodeerde mails.

Ik zie het de doordeweekse e-mail gebruiker nog niet doen. Ik zie het eerlijk gezegd mijn bank nog niet meteen doen. Je moet er dan ook nog eens in slagen jouw private sleutel geheim te houden en nooit te verliezen ...

Er zijn wel makkelijkere manieren, bijvoorbeeld als een groep mensen elk een sleutel krijgt toebedeeld - zoals bijvoorbeeld op kantoor. Dan heeft iedereen sowieso een publieke en private sleutel (bijvoorbeeld op een persoonlijke smart card). Op zo'n smart card staat dan een certificaat dat vrij makkelijk kan gebruikt worden met standaard e-mail software zoals outlook of thunderbird om e-mails te beveiligen.

Ironisch genoeg krijgen we in België wel zo'n smart card in de vorm van onze identiteitskaart, maar deze bevat enkel een sleutel om documenten digitaal te ondertekenen. Geen sleutel die gebruikt kan worden om gegevens te coderen.

Bij dit systeem mogen we wel niet vergeten dat het bedrijf - of de overheid - sowieso volledige toegang heeft, aangezien zij OOK in het bezit zijn van jouw private sleutel. Bij een systeem als Gnu PG is het zo dat normaal gezien énkel jij toegang hebt tot je private sleutel (zolang je erin slaagt deze geheim te houden).

Waarom is dit belangrijk?

Ik weet niet of dat nog moet uitgelegd worden. Maar ik denk dat we ondertussen wel door hebben dat het internet het wel erg gemakkelijk maakt om ons volledig hebben en houden voor de hele wereld kenbaar te maken. Die wereld bevat niet enkel brave burgers maar ook criminelen die door middel van die informatie munt zullen proberen slaan uit jouw gegevens (bijvoorbeeld door chantage, bedreigingen, inbraken, identiteitsdiefstal, ...). We doen met z'n allen erg geheimzinnig over ons loon en we vinden het normaal dat we bepaalde documenten versnipperen. Maar bij e-mails gaan we ervan uit dat er niemand mee kijkt.

Terwijl het véél makkelijker zou zijn een e-mail te lezen en bij te houden dan het is om door iemands afval te snuisteren.

Beeld je in dat elke briefwisseling die in jouw brievenbus komt gekopieerd en gearchiveerd wordt. Niet alleen de afzender en ontvanger, maar ook de inhoud. Dit is wat er met alle e-mails gebeurt, op dit moment.

Conclusie

Ik denk dat het vooral belangrijk is te onthouden dat een gewone e-mail absoluut onbeveiligd is en moet worden beschouwd als een brief / document dat zonder envelop in de postbus is gestoken.

Als we dit begrijpen dan kunnen we ook begrijpen waarvoor e-mail wel of niet geschikt is. Waar e-mail dus niet echt voor geschikt is, is om zeer persoonlijke gegevens, zoals die van de bank, mee te verhandelen.

De hoeveelheid confidentiele gegevens die we met z'n allen dagelijks en wereldwijd via e-mail doorsturen laat mij echter vermoeden dat dit besef amper aanwezig is.

Wil je toch je mails beveiligen dat is er een inspanning nodig van zowel de verzender als de ontvanger die niet te verwaarlozen is. Het is dus weinig realistisch dat we dit binnenkort gaan beginnen doen.