PGP: De ongekroonde koning van de e-mail encryptie-programma’s
Philip Zimmermann studeerde informatica aan de Atlantic University in Florida. Hij behaalde daar een bachelor of science, in 1978. De volgende 13 jaar was hij werkzaam in encryptie en andere beveiligingsprojecten, binnen de Amerikaanse strijdkrachten en voor commerciële instellingen. Rond 1990 raakte hij betrokken bij een project om e-mailberichtenverkeer te beveiligen, met een oog op toepassing als ondersteuning voor mensenrechtenorganisaties.
Het resultaat was de eerste versie van PGP (Pretty Good Privacy), in 1991. Het was ook meteen de eerste implementatie van asymmetrische cryptografie met gebruik van publieke sleutels die voor iedereen vrij verkrijgbaar was. In 1991 was de productie en export van cryptografische software vanuit de Verenigde Staten nog verboden. De publicatie van PGP als freeware op het internet leidde dan ook tot een drie jaar durend onderzoek tegen Zimmermann door de Amerikaanse douane. De Amerikaanse overheid besloot in 1996 echter om de zaak zonder aanklachten te laten varen, waarop Zimmermann het bedrijf PGP Incorporated oprichtte.
Wanneer een journalist mailt met een bron, wordt altijd gebruik gemaakt van mail-encryptie. Eén van de veel gebruikte vercijferingsmethodes is PGP. PGP wordt ook wel de ongekroonde koning van de e-mail encryptie-programma’s genoemd en is het meest toegepaste OpenSource crypto-programma ter wereld. Het comprimeert de tekst eerst en maakt dan een IDEA-sessiesleutel aan, met deze sessiesleutel wordt de tekst vercijferd. De sessiesleutel zelf wordt met de publieke sleutel van de beoogde ontvanger versleuteld, waarna beide delen verstuurd worden.
Bij asymmetrische cryptografie wordt gebruikgemaakt van twee aparte sleutels: één sleutel wordt gebruikt om de informatie te coderen of te ondertekenen, en de tweede sleutel om de informatie weer te decoderen of de identiteit van de afzender te verifiëren. Voordeel van de asymmetrische cryptografie is, dat men door het verstrekken van de ene dan wel de andere sleutel kan kiezen wie de versleutelde informatie kan lezen en ook wie allemaal informatie kan versleutelen. Stel voor dat je een sleutelpaar bezit. Door één sleutel gewoon in media te publiceren (bijvoorbeeld op een website of meegestuurd bij ondertekening van een e-mail) wordt die sleutel de publieke sleutel van jouw set sleutels. De andere sleutel is dan jouw geheime sleutel die jij zorgvuldig voor jezelf houdt.
Iedereen die je een bericht wil sturen dat geheim moet blijven kan nu jouw publieke sleutel gebruiken om de informatie te vercijferen. Vervolgens kan het vercijferde bericht worden verzonden. Alleen jijzelf kan het bericht ontcijferen, omdat jij als enige beschikt over de geheime privésleutel, nodig om het bericht te ontcijferen. Anderen hebben wel een sleutel om te vercijferen, maar niet om te ontcijferen. Hierdoor blijft het bericht voor iedereen onleesbaar, behalve voor jou.
Wanneer een journalist een bericht ook wil voorzien van een digitale handtekening, zodat de ontvanger van de email kan verifiëren wie de email verzonden heeft, dan voegt hij of zij een met zijn of haar geheime sleutel versleutelde tekst toe aan het bericht.
Een groot voordeel van publieke-sleutelcryptografie is dat het zorgt voor een systeem waarmee digitale handtekeningen kunnen worden gebruikt. Hierdoor kan een ontvanger zowel verifiëren of het bericht echt van de verwachte verzender afkomt als controleren of de data nog intact is. Daarnaast zorgt het er ook voor dat een verzender niet kan ontkennen dat hij of zij een bericht gestuurd heeft.
Mail-encryptie is een kwestie van oefenen, dus stuur je collega nu alvast een versleuteld mailtje, als je het dan een keer nodig hebt omdat een bron komt met kostbare informatie, weet je hoe je met hem of haar kunt communiceren.
NB: E-mail versturen op het Internet is per definitie onveilig omdat het Internet geen veilig medium is. Mail passeert tijdens de verzending allerlei tussenstations zoals routers en mail-servers en is kwetsbaar voor aangebrachte taps bij de verzender, de ontvanger of ergens op een knooppunt onderweg.
PGP-programma GPG4WIN: www.gpg4win.org/index.html
Bron: nl.wikipedia.org
Photo credit: zhouxuan12345678 / iWoman / CC BY-SA