Security (b)log: Veilig mailen

Rolf wilde een bestand met vertrouwelijke inhoud naar Dolf sturen. Nou was Rolf bepaald geen digibeet en hij had wel eens iets gelezen over de gevaren die helaas gepaard gaan met het gebruik van computers. Daardoor wist Rolf dat je ervan moet uitgaan dat mail niet beveiligd is. In de analogie met gewone, papieren post moet je e-mail op gelijke hoogte positioneren als een briefkaart: iedereen die de briefkaart ziet langskomen, kan lezen wat erop staat.

Omdat Rolf dit allemaal wist, en bovendien besefte dat hij een vertrouwelijk bestand ging mailen, beveiligde hij het bestand met een wachtwoord. Als je dat wachtwoord niet weet, dan kun je de inhoud van het bestand niet lezen. Zo gezegd, zo gedaan: het mailtje met versleutelde bijlage zocht zijn weg naar Dolf en niemand die het zag langskomen kon het lezen.

Ook Dolf niet, trouwens. Dat laatste snapte Rolf ook wel, en dus stuurde hij er gauw een mailtje achteraan: “Beste Dolf, het wachtwoord voor het bestand, dat ik je zojuist stuurde, is gY6lw3#p[F).” Oei, dat is nou jammer.

Rolf snapte zo’n beetje hoe e-mail werkt, maar hij was niet consequent in zijn handelen. Want dat tweede mailtje is net zo transparant als het eerste. En als je het eerste beveiligt, waarom zou je dan denken dat je met het tweede mailtje wél zomaar vertrouwelijke informatie kunt versturen?

Stel, hacker Harry onderschept het mailtje met het versleutelde bestand. Er is dan geen enkele reden om te veronderstellen dat Harry niet ook het mailtje met het wachtwoord onderschept. En dus kan Harry gniffelend kennis nemen van wat er in dat bestand staat. Vervolgens kan hij daarmee doen wat hij wil, bijvoorbeeld laten uitlekken, of iemand ermee afpersen.

Misschien dacht je zonet: “Ja, nogal wiedes dat je dat niet zo moet doen!”, of in een moderner jasje: “Duh!” Dan moet ik je toch teleurstellen. Bovenstaand verhaal is namelijk niet tot stand gekomen doordat ik zat te mijmeren over wat gebruikers zoal fout zouden kunnen doen. Nee, iemand ‘van de werkvloer’ vertelde mij dat de geschetste werkwijze daar schering en inslag is. En dat de meeste van zijn collega’s ervan overtuigd zijn dat ze de boel op deze wijze goed beveiligen.

Hoe moet het dan wel? Door het wachtwoord via een ander kanaal door te spelen, zoals dat heet. Als de beveiligde informatie per mail is verstuurd, dan geef je het wachtwoord langs een andere weg door – dat is alles behalve e-mail. Dus bijvoorbeeld telefonisch, per sms, WhatsApp, desnoods huur je een postduif. Waar het om gaat is dat het wachtwoord niet dezelfde route aflegt als het bestand. Om dezelfde reden bewaar je in je laptoptas ook geen briefje waar je wachtwoord op staat.

Er zijn tegenwoordig allerlei mooie afkortingen waar technologie achter schuilgaat die ervoor moet zorgen dat e-mail wél veilig is: STARTTLS, DNSSEC en DANE moeten samen je e-mail beschermen tegen afluisteren. Maar al dat moois werkt alleen als de hele keten, van verzender tot ontvanger, eraan meedoet. Als jouw organisatie of jouw provider dat niet doet, dan werkt het niet. En omdat deze standaarden voor veilige e-mail nog niet overal zijn ingevoerd, moeten we helaas nog stellen: ga ervan uit dat je e-mail kan worden afgeluisterd.

Binnen bedrijfsnetwerken kan e-mail trouwens wel prima beveiligd zijn. Als je bij ons in een intern mailtje het vakje ‘Versleutelen’ aanvinkt, dan mag je erop vertrouwen dat alleen de geadresseerden jouw mailtje kunnen lezen. Zelfs collega’s, die gemachtigd zijn voor de mailbox van een geadresseerde, kunnen deze mail niet lezen.

Gelukkig begrijpen steeds meer mensen het belang van informatiebeveiliging. Vertrouwelijkheid van gegevens, waar het hierboven om gaat, is waarschijnlijk het aspect dat het gemakkelijkst te begrijpen is. Het is mooi dat veel mensen het snappen, maar nog mooier is het natuurlijk als ze ook weten hoe ze moeten handelen. Maar dan wel graag van A tot Z, want anders pleeg je schijnveiligheid. Je schrijft per slot van rekening ook niet je pincode op je pinpas. Toch?