|
PGP
8: CRYPTOGRAFISCH KNUTSELEN VOOR IEDEREEN
Begin
deze maand kwam na lang wachten een nieuwe versie uit van Pretty
Good Privacy (PGP), het populairste cryptografiepakket op internet.
Nadat het programma na de aanslagen op het WTC door eigenaar McAfee
tot paria werd verklaard, kwam het in 2002 toch tot een zelfstandige
doorstart. Want beschikken over veilige communicatie is leuk, ook
al gebruikt niemand het.
 Als
er één softwarepakket is, dat al vanaf het allereerste begin omgeven
is door controverse, dan is het Pretty Good Privacy wel. Bedenker
van het programma was de politiek geëngageerde Phil Zimmermann.
Hij schreef
het programma in 1991, met als bedoeling cryptografie zo wijd
als mogelijk te verspreiden. Dit tot grote paniek van de Amerikaanse
regering. De gebruikte methode - gepikt van RSA - wordt namelijk
nog steeds onbreekbaar geacht. Hij kreeg het vrijwel direct met
RSA aan de stok, dat bepaalde patenten op public key encryptie
bezat. De rechtszaak eindigde uiteindelijk omdat de patenten inmiddels
verlopen waren. Maar nog steeds is RSA niet blij met Zimmermann,
hij verspreidde het programma immers gratis.
Afbeelding:
een stapel PGP sourcecode
tijdens World-Information te Amsterdam.
Foto:Ambroos Wiegers
PGP is een
handig programma om e-mailtjes en bestanden te versleutelen zodat
ze alleen gelezen kunnen worden door diegene voor wie ze echt
bedoeld zijn. Aftappen van de internetverbinding, of het afvangen
van het e-mailtje helpt niet. Geen wachtwoord? Dan is het mailtje
een onleesbare letterbrij. Experts zeggen dat PGP vooralsnog onkraakbaar
is.
PGP werkt
volgens het public key principe. Wie bijvoorbeeld een vriend een
versleutelde e-mail wil sturen, zoekt zijn of haar publieke sleutel
(public key) op, van een van de publieke keyservers. Met de nieuwe
versie van PGP gaat dit automatisch vanuit het mailprogramma.
De e-mail wordt versleuteld met de publieke sleutel van de ontvanger.
Vervolgens kan alleen de ontvanger deze mail weer leesbaar maken,
met zijn eigen geheime sleutel.
Uniek aan
PGP was het 'open source' karakter. Programmeurs konden het programma
zelf op de fouten nakijken, terwijl traditionele software gesloten
is. Network Associates, het bedrijf dat PGP korte tijd verkocht,
verloor veel krediet toen ze de broncode niet langer openbaar
maakte. Voor lieden die absolute garanties wilden, was PGP een
uitkomst. De denkbeeldige personen 'Bob en Alice' konden eindelijk
veilig met elkaar communiceren. Bob en Alice zijn de twee namen
die wiskundigen bij voorkeur gebruiken om principes van cryptografie
uit te leggen aan collega's en leken.
Maar ook
'Youssef en Mohammed' werden door Zimmermann in staat gesteld
om zonder tussenkomst van geheime diensten te communiceren: bij
de eerste bomaanslag op het World Trade Center in 1993 bleek
namelijk dat dader Ramsey Yousef PGP op zijn laptop had om
berichten en bestanden te versleutelen.
Met behulp
van PGPkey, het programma van PGP dat een database van publieke
sleutels kan doorzoeken is te zien dat PGP een wijd verbreid programma
is: werknemers en onderzoekers van Shell, KPN en Philips komen
in de publieke database voor, evenals defensiepersoneel van de
landmacht, luchtmacht en de marine. Ook e-mail adressen van het
Europees Parlement, komen veel voor. Maar ook in landen als China,
Iran en Joegoslavië, die tot voor kort in ieder geval exportbeperkingen
kenden, wordt PGP volop gebruikt. Verder zijn actiegroepen zoals
'cell 18' van het Animal Liberation Front ook op de hoogte van
PGP, om maar wat te noemen.
Afbeelding: PGPKey in actie.
Het daadwerkelijke
gebruik van PGP blijft waarschijnlijk mijlenver achter bij de
verwachting op basis van de reputatie. PGP is omgeven door een
aura van 'hacktivism' en vrijheidstrijders. Maar in het verleden
bleek PGP voor de gemiddelde gebruiker veel te complex en te tijdrovend.
Om PGP te kunnen gebruiken zal men zich toch minimaal 5 minuten
moeten verdiepen in het principe van 'public key'. Daarnaast moeten
er ontvangers zijn die de spannende versleutelde berichtjes kunnen
lezen. Versleutelingssoftware is, als gevolg van de drempel, een
nichemarkt.
PGP 8 is
geen gruwel om te gebruiken. Netkwesties deed een test met de
allerlaatste versie PGP
8 Personal. Er is ook een freeware-versie, die met een creditcardnummer
en een activatiecode kan worden omgezet naar PGP 8 personal. De
freeware-variant is beperkt, want de plug-ins voor Eudora, ICQ
en Outlook (Express) werken niet. Slechts het versleutelen van
bestanden vanaf de desktop is mogelijk.
We keken naar het gebruiksgemak van de professionele (basis-)
versie PGP 8 Personal, met name naar de integratie van PGP met
bestaande programma's. PGP
Office is speciaal bedoeld voor bedrijven die PGP willen integreren
met Novell Groupwise, Lotus Notus en een centraal managementsysteem
willen hebben voor digitale sleutels. Er zijn ook PGP-versies
voor mobiele handcomputers die lopen op Palm OS of Windows CE.
PGP Personal werkt ook met een handjevol verschillende typen smartcards,
hiervoor moet de computer zijn uitgerust met een smartcardlezer.
Enkele van de duurste laptops hebben dit al.
Afbeelding:de
installatie opties van PGP 8
Het pakket
De installatie
verloopt eenvoudig. Na het doorlopen van de procedure vraagt het
programma of er nieuwe sleutels moeten worden aangemaakt. Deze
sleutels, een publieke sleutel die openbaar gemaakt mag worden
en de geheime sleutel komen in de 'Mijn Documenten' map. Wie de
gebruiksaanwijzing heeft gelezen weet dat de geheime sleutel ook
echt geheim moet blijven, maar een back-up maken is verstandig.
Wie de geheime sleutel kwijt raakt, is ook alle versleutelde mail
kwijt. De 'corporate' versie bevat wel mogelijkheden om verloren
sleutels terug te halen, maar dat vergt een PGP-installatie op
een server en een 'sleutel management systeem'.
Functies
 De
functionaliteit en de mogelijkheden zijn grotendeels gelijk gebleven
aan de vorige versie, PGP 7.1 die nog door Network
Associates aan de man gebracht is. In tegenstelling tot PGP
7.1 werkt PGP 8 wel met Windows XP. PGP 8 is niet alleen maar
bedoeld voor veilige communicatie per e-mail. Voor laptopbezitters
die willen voorkomen dat boeven of kwaadwillenden na diefstal
bestanden kunnen lezen, is PGP erg handig. Het is mogelijk om
een versleutelde virtuele harddisk aan te maken. In een paar stappen
maakt PGP een bestand aan. Dit bestand kan vervolgens 'gemount'
worden zodat het besturingssysteem denkt dat er een extra harddisk
op de laptop staat (zie onderstaande afbeelding).
Afbeelding:virtuele
PGP-harddisk
Daarnaast
is het mogelijk om losse bestanden te versleutelen en er vervolgens
'zelfuitpakkende bestanden van te maken'. Een Word-document bijvoorbeeld,
wordt in zo'n geval door PGP versleuteld met een willekeurig te
kiezen wachtwoord. PGP maakt een .exe-programma van dit bestand,
zodat het ook zonder de PGP-programmatuur, op een andere computer,
weer uit te pakken is. Dit type programmabestand is echter niet
uitwisselbaar tussen Mac en Windows gebruikers.
Net als in
de vorige versie kan PGP de vrije diskruimte en bestanden veilig
wissen, op een manier die nergens op de harddisk fragmenten laat
overblijven. Windows wist namelijk alleen een klein stukje van
de bestandsnaam. Zelfs met simpele softwaregereedschappen is het
uit de prullenbak verwijderde bestand eenvoudig weer terug te
vinden. Met de wisfunctie van PGP is dit uitgesloten.
Integratie
 In
de Windows-versie is PGP door middel van plug-ins te vinden in
Outlook, Outlook Express, Eudora en ICQ. En dat lijkt de kracht
van het programma; met Outlook of Eudora is het aanklikken van
de speciale encryptieknop, en vervolgens op 'verzenden' genoeg
om een mailtje te versleutelen. De handelingen zoals het versleutelen
van de e-mail met de publieke sleutel van de ontvanger, gaan zeer
eenvoudig en snel. PGP zoekt de publieke sleutel zelf op in de
'persoonlijke sleutelring' of in de sleuteldatabase op internet.
Alle PGP
functies zijn niet alleen vanuit in de programma's zelf te benaderen,
maar ook vanaf de desktop, door rechts te klikken op een bestand
(zie afbeelding links) en vanuit de 'system tray', naast het klokje.
In de praktijk werkt dat razendsnel, het opstarten van een programma,
om dan pas een bestand te wissen of te versleutelen is niet nodig.(zie
afbeelding hieronder)
Als zowel
de ontvanger als de verzender PGP 8 gebruiken is het mogelijk
om het PGP-bericht als attachment te versturen. Het is mogelijk
om de ontvanger te dwingen om de 'secure viewer' te gebruiken:
een speciaal venstertje dat de tekst toont en geen sporen op de
harddisk achterlaat van deze tekst. Wie behept is met paranoëde
gedachten en vreest dat iemand een 'TEMPEST
aanval uitvoert op de computer, gebruikt de secure viewer
in de anti-TEMPEST-modus. TEMPEST is in 1995 voor het eerst beschreven
door de toenmalige PTT-er Wim van Eck. Hij beschreef dat het mogelijk
is om de elektromagnetische straling van een beeldscherm tot enkele
tientallen meters afstand af te vangen. Een geheime dienst met
een TEMPEST-antenne kan op het beeldscherm meekijken, maar PGP
aan alles. Met LCD-schermen bestaat dit 'probleem' niet.
Afbeelding: anti-TEMPEST in actie
Het nadeel
voor gebruikers van oudere versies is dat PGP 'default' al de
berichten als attachment verstuurd. Het vergt wat lastig handwerk
om deze attachments te lezen. Door de optie 'Use MIME' uit te
zetten komen de PGP-berichten als platte tekst in de mail. Voor
gebruikers van de nieuwste versie van PGP is het echter genoeg
om op het attachment te klikken: na het invullen van het wachtwoord
verschijnt de tijdelijk tekst in het mailprogramma. Na een bepaalde
- zelf in te stellen - tijd moet je echter opnieuw het wachtwoord
invullen voordat je de boodschap opnieuw kunt lezen.
Wie liever
gebruik maakt van MSN Messenger dan ICQ heeft pech gehad. PGP
heeft alleen een plug-in voor ICQ gemaakt. We gebruikten de nieuwste
versie van ICQ, maar ondanks dat de plug-in gemaakt is voor een
veel oudere versie werkte het goed. Natuurlijk moeten beide ICQ-ende
partijen over PGP 8 beschikken. Het ICQ-nummer wordt bij het allereerste
gebruik van ICQ-PGP automatisch in de publieke sleutel opgenomen,
zodat ICQ-berichtjes versleuteld worden.
PGP is een
veilige manier om berichten te versturen, geen anonieme manier.
Het product wordt op een zakelijke manier door PGP Corporation
verkocht. De verkoop van PGP geschiedt voor een belangrijk gedeelte
online, door het invullen van een creditcardnummer en het afgeven
van persoonlijke gegevens. Daarnaast moet PGP geactiveerd worden:
je moet een licentienummer invullen, de hoofdserver keurt de aanvraag
goed en alle functies van de software worden in werking gesteld.
Een van de
PGP-directeuren, Stephan Somogyi, legt uit hoe het zit: 'Onze
servers moeten het IP-adres van de client weten, om de autorisatie
voor de software terug te kunnen sturen. Om de aankoop zelf te
kunnen autoriseren bij de creditcardmaatschappij, gebruiken we
het minimaal benodigde aantal persoonlijke gegevens. Terroristen
en boeven zal dit waarschijnlijk afschrikken.
Volgens Somogyi
is de opzet van PGP nooit geweest om anoniem te gebruiken. In
het e-mailtje zelf zit namelijk al veel informatie over de afzender:
'In de headers van het bericht zitten normaal gesproken al het
e-mailadres van de afzender, ook al is de inhoud van de boodschap
versleuld, er zijn genoeg meta-data te vinden om te achterhalen
waar het berichtje vandaan komt. Ook al gebruik je een anonymizer,
iemand kan door het versleutelde bericht te analyseren toch achter
de ID-sleutel komen van diegene waarvoor het bericht bedoeld is.
De software
is Engelstalig. Nederlandse gebruikers kunnen de Europese website
van PGP PGPeurope.com
gebruiken om Engelstalige ondersteuning te krijgen. Via Pgpi.org
en via Cryptome.org
zijn alternatieve, gratis versies van PGP te verkrijgen.
[AW]
Zie ook:
- PGP Corporation
- De homepage
van Phil Zimmermann
- Brochure van Surfnet:
Veilig communiceren op het Internet
- Het
versluieren van data
|
