post

In een eerder artikel is reeds toegelicht dat de mail geen veilig communicatiemiddel is. In dit artikel zal ik een schets geven van plug-and-play opties om veiliger te mailen, met als belangrijkste toevoeging dat er methoden zijn die geen installaties van de ontvangende partij vergen.

1.0 Plug-and-play is de standaard

Om het mailen veiliger te maken, kan van een PGP-versleuteling gebruik worden gemaakt. Ondanks de vele voordelen die een PGP-versleuteling biedt, behoort PGP-versleuteling nog niet tot de standaard. Het ontbreken van een plug-and-play optie voor PGP-versleuteling, kan een belemmering zijn voor de ingebruikneming ervan. Beide partijen (verzender en ontvanger) moeten sleutels activeren, wachtwoorden onthouden en naar elkaars publieke adressen verwijzen. Met andere woorden: versleutelt mailen kost tijd en energie. Daarnaast zijn er steeds meer mailaanbieders die een end-to-end encryptie aanbieden, waardoor de nut en noodzaak van PGP-versleuteling kan vervagen.

Toch is end-to-end encryptie niet geheel effectief: als de mail naar een ander maildomein wordt verzonden, is het mogelijk dat deze end-to-end encryptie niet kan worden geactiveerd. Dit heeft tot gevolg dat het bericht alsnog zonder versleuteling de mailserver(s) van de wederpartij benadert. Daarnaast is het van belang om goed uit te zoeken wie de sleutels van de end-to-end encryptie beheert; het is bijvoorbeeld mogelijk dat de maildienst zelf een kopie van de sleutel opslaat, waardoor de vertrouwelijkheid ter discussie kan worden gesteld.

PGP-versleuteling en end-to-end encryptie hebben in ieder geval één belangrijke overeenkomst: de effectiviteit hangt af van de wederpartij. Heeft de wederpartij een onveilige mailserver of geen PGP-sleutels, dan komen de beveiligingsmaatregelen van de verzender op losse schroeven te staan.

2.0 PGP-versleuteling

2.1 Vereisten voor PGP-versleuteling

Een mailgebruiker dient twee sleutels aan te maken voor het mailadres: een privé- én publieke sleutel. De publieke sleutel is een soort postadres waarop de mailgebruiker versleutelde mails kan ontvangen en naar toe kan zenden. De privé sleutel is juist om de mails die via (het postadres van) de publieke sleutel zijn verzonden, te ontcijferen óf om deze voor verzending te versleutelen.

Voor het aanmaken van de sleutels zijn meerdere diensten/programma’s beschikbaar. Een gebruiker van Thunderbird (een e-mailprogramma dat op de computer draait) kan bijvoorbeeld het hulpprogramma Enigmail installeren en zodoende sleutels aanmaken, maar er zijn ook plugins voor webbrowsers (Firefox, Chrome, Internet Explorer e.d.) die voorzien in dergelijke versleutelprogramma’s, bijvoorbeeld Mailvelope.

2.2 Verzenden en ontvangen met een PGP-versleuteling

Als de PGP-sleutels eenmaal zijn geïnstalleerd, dient de verzender het publieke postadres van de ontvanger te weten. Door dit publieke postadres aan de mail toe te voegen en de mail te versleutelen met de privé sleutel, wordt de inhoud van het bericht versleuteld.

De ontvanger ziet dat er via het publieke postadres een mail is ontvangen en ontcijfert vervolgens de inhoud met diens privé sleutel.

3.0 Plug-and-play versleuteling

De korte schets van de PGP-versleuteling toont aan dat het plug-and-play principe niet helemaal toepassing vindt: pas als iedereen PGP-sleutels zou hebben, zal het versleuteld mailen plug-and-play worden. En in de “pas als” zit de kern van de uitdaging: hoe beweeg je iedere mailgebruiker PGP-sleutels aan te maken?

De relevantie uitleggen van PGP-versleuteling is wellicht één van de opties: er wordt veel via e-mail verzonden, dus zijn er ook steeds meer mails met een vertrouwelijke inhoud. De vertrouwelijkheid van die inhoud, inhoudende dat een onbevoegde derde deze lastiger kan waarnemen, wordt door PGP-versleuteling vergroot.

3.1 Het afdwingen van beveiligde mails

Als het uitleggen onvoldoende effect sorteert, kan een andere optie worden bekeken: het afdwingen dat de mails beveiligd worden verzonden. Voor deze methode (het afdwingen) zijn inmiddels ook steeds meer initiatieven, denk bijvoorbeeld aan ProtonMail en TutaNota. Een goede verdieping in de bedrijfsprofielen, werkwijze en jurisdictie van deze initiatieven is uitermate verstandig, maar de afgedwongen beveiligde mails werken min of meer als volgt:

  1. Als de verzender van het bericht waarde hecht aan de vertrouwelijkheid van de mails én de ontvanger geen gebruik maakt van beveiligde (PGP) mailopties, kan de verzender het bericht met een wachtwoord beveiligen.

  2. De ontvanger krijgt dan een notificatie in de mailbox met de volgende strekking: “U hebt een bericht ontvangen. Klik op deze link om de mail te openen.”

  3. Door op de link in de notificatiemail te klikken, opent een scherm in de webbrowser. Dit scherm bevat niet de inhoud van het verzonden bericht, maar vraagt om het wachtwoord dat door de verzender is ingesteld.

  4. Als de verzender het wachtwoord meedeelt (bijvoorbeeld door deze per telefoon, SMS, App of brief kenbaar te maken aan de ontvanger), kan de ontvanger het wachtwoord invoeren en de inhoud van de mail waarnemen.

// Het ingestelde wachtwoord is trouwens voor de verdere mailcommunicatie aan te houden, zodat niet iedere keer een nieuw wachtwoord moet worden doorgegeven.

  1. De ontvanger wordt – door vele van deze maildiensten – óók in staat gesteld om via de maildienst een antwoord te versturen. Dat antwoord wordt dan automatisch – door de maildienst – versleuteld overgebracht.

Deze initiatieven maken het dus mogelijk om versleuteld te mailen, zonder dat de ontvangende partij een PGP-installatie hoeft te realiseren. Met de ingebruikneming van dergelijke diensten is de gebruiker uiteraard niet helemaal vrij van het noodzakelijke vertrouwen in de maildienst. Maar door de codes door te nemen (veelal open-source) en de routes van de mail te bekijken, kan wel enige zekerheid over de betrouwbaarheid worden verkregen.

4.0 Versleuteld mailen en privacywetgeving

In Nederland is momenteel de Wet bescherming persoonsgegevens (Wbp) van toepassing en per mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) gelden. Eén van de bepalingen uit deze regelgeving is dat verwerkers van persoonsgegevens (bijvoorbeeld bedrijven en overheidsinstellingen) passende technische en organisatorische maatregelen moeten treffen. Mails met vertrouwelijke inhoud bevatten veelal persoonsgegevens, dus het versleuteld mailen kan in meerdere mate conformering aan deze regelgeving opleveren.

Wilt u hier meer over weten of één van onze IT-juristen spreken?

Neem dan vrijblijvend contact op via info@exlege.nl (PGP-key: 0x2F850214) of 050 – 205 33 22.

IT-juridische activiteiten Ex Lege B.V.
Dinsdag 18 juli 2017 (20.00 – 22.00u)
Informatiebijeenkomst Blockchain
Meer informatie >>>
Aanmelden >>>

Laatst gewijzigd: 11 juni 2017
Dit artikel is geschreven door Derya.

Wilt u de bijeenkomst over Blockchain bijwonen?


Telefoon
050 205 33 22
Ma-Vr: 09.00 – 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 – 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres