Waarom Jan zijn e-mail niet versleutelt?

/ Martijn Brinkers

We mailen er lekker op los!

Hoewel er al jaren wordt geroepen dat e-mail zijn beste tijd heeft gehad, is e-mail nog altijd springlevend. E-mail wordt voor alles en nog wat gebruikt en bevat vaak privacy gevoelige informatie of andere informatie die een zekere mate van beveiliging vereist (zoals een accountantsrapport of patiëntinformatie). Ik denk dat de meeste e-mail gebruikers niet meer verrast zullen zijn om te horen dat e-mail niet zomaar beveiligd is tegen uitlekken.

Hoe zit dat met veiligheidsnormen en de rol van de auditor?

Wat mij echter wel verrast, is dat er ondanks deze kennis vaak gevoelige informatie onbeveiligd wordt verstuurd zonder er bij na te denken wat de gevolgen kunnen zijn als de e-mail uitlekt. In veel beroepsgroepen zijn er specifieke regels die verbieden om privacy gevoelige gegevens over het Internet te versturen als er geen gebruik wordt gemaakt van additionele beveiligingsmaatregelen. In de zorg is dat bijvoorbeeld de NEN 7510. Helaas is de praktijk vaak anders dan de theorie en wordt er door Jan en alleman naarstig op los gemaild. Dat een individuele gebruiker denkt, "het mag niet, maar het is zo handig", daar kan ik mij nog wel wat bij voorstellen. Waar ik mij meer over verbaas, is dat auditors een oogje lijken toe te knijpen. Organisaties geven jaarlijks een vermogen uit om hun infrastructuur te laten "keuren". De auditors produceren dikke rapporten en de klant geeft vervolgens weer een vermogen uit om de digitale "Fort Knox" beter te beveiligen. Soms gaat het zelfs zo ver dat er firewalls van verschillende fabrikanten moeten worden aangeschaft. Wordt er een lek gevonden in een firewall van fabrikant A, dan heb je altijd nog een firewall van fabrikant B. Op zich allemaal begrijpelijk. Waar zit dan nu mijn verbazing? Mijn verbazing zit daarin dat het lijkt dat de verantwoordelijkheid van de auditor eindigt wanneer een e-mail het Internet is opgegaan. Ik schrijf bewust lijkt, want een auditor is natuurlijk ook niet gek. Toch lijkt het hier wel op. Op het moment dat een e-mailbericht de e-mail server heeft verlaten, ben je de controle over dat bericht kwijt. Je kunt niet meer controleren wie toegang heeft tot dat bericht en of het mogelijk onderweg is aangepast. Hoewel ik geen auditor ben, kan ik mij in ieder geval voorstellen dat je moet concluderen dat er hier sprake is van een audit technisch probleem.

Is jouw e-mail geld waard?

Pakweg 10 jaar geleden sprak ik na afloop van een presentatie over e-mail versleuteling met de eigenaar van een IT security bedrijf en zijn conclusie was toen al: "eigenlijk moet je e-mail als compromised beschouwen op het moment dat je het onversleuteld en ongetekend hebt verstuurd". Ik denk eigenlijk dat als e-mail nu uitgevonden zou worden, een auditor het waarschijnlijk niet meer zou toestaan om gevoelige informatie via e-mail te versturen. Nu kun je je afvragen hoe groot de kans is dat e-mail wordt onderschept. Daar heb ik niet direct een antwoord op. Wat ik wel weet, is dat als er geld kan worden verdiend met duistere zaakjes dat dan de kans dat iemand dat gaat doen één is. Hierbij een hypothetisch voorbeeld van hoe je geld zou kunnen verdienen als je iets weet wat anderen niet behoren te weten. Vorig jaar werd duidelijk dat D.E. Master Blenders overgenomen zou worden door een groep van Duitse investeerders. Toen deze informatie publiekelijk werd, schoot de beurskoers van D.E. Master Blenders met ruim 27% omhoog. Hoewel ik dat uiteraard niet zeker weet, zou het natuurlijk best zo kunnen zijn dat de concept verslagen en contracten over deze overname al menig keer over en weer over het Internet zijn verstuurd. Ik neem aan dat bij zulke overnames advocaten en accountants worden betrokken. Als je in staat bent deze berichten te onderscheppen, kun je daar mogelijk veel geld mee verdienen. Natuurlijk zullen er in de praktijk additionele middelen zijn om misbruik van voorkennis te ontdekken maar als je het subtiel aanpakt kom je er waarschijnlijk wel mee weg.

Iedereen veilige e-mail gebruiken en opgelost...

Nu is het zo dat er al jaren oplossingen bestaan om e-mail te versleutelen. De vraag is dan ook waarom dit zo weinig wordt toegepast. Ik denk dat daarvoor een aantal oorzaken zijn. In het in 1999 verschenen artikel "Why Johnny can't encrypt: a usability evaluation of PGP 5.0" wordt beschreven waarom PGP software voor het versleutelen van e-mail zo lastig is in het gebruik en waarom versleuteling van e-mail zo weinig wordt toegepast. De twee belangrijkste conclusies van het artikel zijn naar mijn mening:

  1. Individuele eindgebruikers zoals Jan zijn niet gemotiveerd genoeg om e-mail te versleutelen
  2. Het is daarnaast allemaal te complex voor de eindgebruikers.

Dat eindgebruikers niet gemotiveerd genoeg zijn om hun e-mail te versleutelen heeft waarschijnlijk te maken met de urgentie. "Dat heb ik nog nooit gedaan dus waarom zou ik dat nu ineens moeten doen" is een veel gebruikt argument. Het heeft natuurlijk ook ten dele te maken met de tweede conclusie. Als het heel eenvoudig zou zijn om je e-mail te versleutelen, zouden meer mensen gemotiveerd zijn om dat te doen. Toch denk ik niet dat dat de volledige verklaring is. Mensen zijn heel creatief om elke vorm van beveiliging te omzeilen als dat hun leven een stukje eenvoudiger maakt. Recentelijk nog plaatste een SP Kamerlid met trots een bericht op Twitter dat hij de beveiliging van zijn USB-stick met begrotingsstukken had omzeild door de stukken te mailen naar zijn Gmail account zodat hij de stukken tenminste kon uitprinten. Je zou van een Kamerlid toch iets meer verantwoordelijkheid verwachten. Ik denk dat je de eindgebruiker zo min mogelijk moet lastigvallen met beveiligingstechnische vraagstukken. Het wordt al snel te complex voor de gemiddelde eindgebruiker en als iets te complex is, dan wordt het niet gebruikt. Hoewel het beveiligingstechnisch gezien het meest veilig is om te versleutelen op de desktop (bijvoorbeeld met Outlook), zal dat in de praktijk meestal niet goed werken. Het is namelijk te complex.

Hoe kan het beter?

Ik denk dat de beste oplossing is om alle e-mail op infrastructureel niveau te versleutelen. Dus gebruik te maken van e-mail "gateways" die onderling e-mail berichten versleutelen. Het grote voordeel hiervan is dat je centraal een beveiligingsbeleid kan afdwingen. Je kunt bijvoorbeeld instellen dat e-mail naar een bepaald domein altijd versleuteld moet worden. Aangezien het beveiligingsbeleid centraal wordt afgedwongen, kan de verzender zich hieraan niet onttrekken. De verzender kan gewoon blijven e-mailen zonder lastig gevallen te worden met moeilijke beslissingen. De administrator is verantwoordelijk voor het beheer van de sleutels en het beveiligingsbeleid. Een bijkomend voordeel van het centraal versleutelen van e-mail is dat de e-mail nog steeds centraal kan worden gecontroleerd op virussen. Dit in tegenstelling tot versleuteling op de desktop aangezien in dat geval een centraal geplaatste virus-scanner de berichten niet meer kan controleren op virussen. Er zijn ook hybride oplossingen mogelijk. Je kunt er bijvoorbeeld voor kiezen om e-mail op de desktop digitaal te ondertekenen, eventueel met een smartcard, en vervolgens centraal te versleutelen.

Transport Layer Security de oplossing?

Nu zullen velen van u denken, "maar dit kan toch allemaal al met TLS (SSL)?". Dit is maar ten dele waar. Zonder in te gaan op alle details, zal ik kort aangeven waarom een TLS verbinding niet altijd voldoende is. Een TLS verbinding versleutelt wel het kanaal maar niet de individuele berichten. Dus als een e-mail tijdelijk wordt opgeslagen, bijvoorbeeld op een tussenliggende e-mail server, dan is de e-mail in principe leesbaar. Een ander nadeel van TLS is dat je alleen kan afdwingen dat de verbinding naar de eerstvolgende server beveiligd is met TLS. Nadat een e-mail is ontvangen door een e-mail server, heb je geen controle meer over die e-mail. Het zou zo kunnen zijn dat er daarna helemaal geen gebruik meer wordt gemaakt van TLS. Vaak zijn er meerdere tussenliggende mail servers betrokken bij het versturen van e-mail. Een ander probleem is dat TLS, en dan vooral in combinatie met SMTP, gevoelig is voor een "man in the middle attack". Bij een "man in the middle attack" komt het er grofweg op neer dat je niet met zekerheid weet of je verbonden bent met de juiste server. Een probleem met e-mail is dat er geen duidelijke relatie is tussen het e-mail adres van een ontvanger en de e-mail server die verantwoordelijk is voor de afhandeling van deze e-mail. Hoewel het mogelijk is je te beschermen tegen een "man in the middle attack", bijvoorbeeld door de "fingerprint" van het certificaat te controleren, wordt dat in de praktijk vaak achterwegen gelaten.

De standaard is S/MIME en OpenPGP

Om e-mail versleuteling tussen e-mail servers onderling succesvol te laten zijn moet er gebruik worden gemaakt van open standaarden. Dit verkleint ook het risico op een "vendor lock-in". Op dit moment zijn er twee officiële e-mail versleutelingsstandaarden: S/MIME and OpenPGP. Deze twee standaarden worden door verschillende fabrikanten ondersteund. Tevens zijn er verschillende open-source producten die deze standaarden ondersteunen. Nadat een versleutelings "gateway" geïnstalleerd en geconfigureerd is, is het beheer hiervan overzichtelijk. Zeker als je het vergelijkt met het beheer dat nodig is wanneer er wordt versleuteld op de desktop. Toekomstige standaarden, zoals DANE in combinatie met S/MIME, zullen ervoor zorgen dat de uitwisseling van sleutels min or meer automatisch zal plaatsvinden waardoor het beheer hiervan eenvoudiger wordt.

Dus hoe kunnen we zorgen dat eindgebruikers zoals Jan veilig e-mailen? Door te zorgen dat e-mail op infrastructureel niveau versleuteld wordt zodat eindgebruikers e-mail kunnen blijven gebruiken zoals ze gewend zijn.

Dit artikel verscheen eerder op het Cqure Kennisplatform.