Een e-mail sturen met een vervalste afzender? Internetfraudeurs doen het intussen massaal. Veel bedrijven nemen namelijk geen enkele maatregel om e-mail te beveiligen, zelfs niet als ze facturen of andere gevoelige documenten naar hun klanten sturen. Dit zet de deur voor criminelen wijd open. Het zogenaamde phishing, dat de laatste jaren zeer veel voorkomt, is bijzonder gevaarlijk. Fraudeurs sturen e-mails namens bedrijven of andere zogenaamd betrouwbare verzenders om toegang te verkrijgen tot inloggegevens of betalingsinformatie van de ontvangers.
Hoe voorkom je misbruik van je e-mail? De beste manier is om een digitale handtekening te maken. Dat is een bewezen oplossing om dit te voorkomen. Met zo’n elektronisch ondertekende e-mail weet de ontvanger zeker dat de inhoud niet is gemanipuleerd en dat de afzender is wie hij of zij beweert te zijn.
Met een digitale handtekening waarborg je de integriteit van de gegevens en de afzender van een e-mail. Deze handtekening wordt meestal gebruikt om de herkomst van digitale informatie te verifiëren. Met een digitale handtekening beveilig je dus niet alleen e-mails, maar ook documenten of macro's. Een digitale handtekening maken vervult hetzelfde doel als een handtekening op papieren documenten te zetten: de handtekening is een waarborg voor de authenticiteit van de persoon of onderneming die als afzender is aangeduid.
Een digitale handtekening beveiligt ook de integriteit van de overgedragen gegevens. De ontvanger sluit namelijk via deze handtekening uit dat iemand de inhoud heeft veranderd of gemanipuleerd sinds de digitale ondertekening. Bij een geschil biedt de digitale handtekening ondubbelzinnige informatie over de herkomst van een e-mail. De ondertekenaar en de inhoud zijn aantoonbaar met elkaar verbonden.
De digitale handtekening mag niet worden verward met de handtekening (signature) die je in e-mailprogramma’s kunt instellen. Die signature is het deel dat onderaan de e-mailtekst staat – meestal de contactgegevens van de afzender. Vooral bij zakelijke e-mail is dit zeer gebruikelijk. De Nederlandse overheid onderscheidt twee types elektronische handtekeningen: de gewone elektronische handtekening en de gekwalificeerde elektronische handtekening.
Een gewone elektronische handtekening wordt vastgehecht aan andere elektronische gegevens, zoals een e-mail of een bestand. Een gekwalificeerde elektronische handtekening daarentegen wordt verstuurd met een gekwalificeerd certificaat. Een dergelijk certificaat wordt uitgegeven door daartoe bevoegde instanties, zogenaamde ‘certificatiedienstverleners’, die op hun beurt weer worden gecontroleerd door de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA). De Nederlandse overheid gebruikt een certificaat dat wordt verstrekt door Public Key Infrastructure (PKI) – overheid. Meer informatie hierover vind je op de site van de Nederlandse Rijksoverheid.
Als je voor jouw e-mail een digitale handtekening wilt maken, kun je twee standaarden gebruiken: S/MIME en OpenPGP. Beide werken volgens hetzelfde basisprincipe, maar ze hebben verschillende dataformaten. Slechts enkele softwareoplossingen ondersteunen beide formaten tegelijk.
Het basisprincipe achter het maken van een digitale handtekening is asymmetrische encryptie. De afzender heeft twee sleutels: een private sleutel en een publieke sleutel. Het e-mailprogramma van de afzender genereert automatisch een checksum (controlecijfer) van de mailinhoud, versleutelt de checksum met de geheime sleutel en voegt deze toe aan de e-mail.
De openbare sleutel wordt samen met de e-mail verzonden of via een openbare directory door de ontvanger verkregen. Het e-mailprogramma van de ontvanger decodeert de checksum, berekent deze opnieuw en controleert de resultaten. Zijn de resultaten identiek? Dan is het zeker dat de e-mail ondertekend is met de geheime sleutel die past bij de openbare sleutel. De authenticatie is dan voltooid: het is aangetoond dat de e-mail niet is gemanipuleerd.
Om een digitale handtekening te gebruiken, moet je e-mailsoftware hiervoor zijn geconfigureerd. Als dit het geval is, draaien de bovengenoemde processen automatisch op de achtergrond. Wil je gedetailleerde uitleg over hoe je jouw systeem configureert? Kijk dan bijvoorbeeld op de supportpagina's van Microsoft Outlook of Mozilla Thunderbird.
Hoe kun je de publieke sleutel toekennen aan de afzender?
De hierboven beschreven procedure is alleen zinvol als de ontvanger zonder twijfel kan verifiëren dat de openbare sleutel van de afzender afkomstig is. Een officiële certificeringsautoriteit (Certification Authority) geeft de sleutel dus pas af nadat de afzender is geïdentificeerd, ofwel: de sleutel wordt pas geldig nadat het CA-certificaat is afgegeven. Aangezien het ontvangende systeem de sleutel moet kennen om de authenticiteit van het certificaat te garanderen, moet het deze sleutel downloaden bij de certificeringsautoriteit en installeren. Het e-mailprogramma maakt er vervolgens automatisch gebruik van.
Het sleutelpaar dat wordt gebruikt om e-mails van een digitale handtekening te voorzien, moet dus worden geverifieerd door een officiële certificeringsinstantie. Deze instantie bevestigt de identiteit van de aanvrager. Er zijn drie kwaliteitsniveaus van certificaten, die verschillen in de mate van identiteitscontrole.
De hierboven beschreven certificaten worden meestal afgegeven voor één e-mailadres, dus voor een enkele afzender. Maar in principe heeft een bedrijf voor elke persoon een apart certificaat nodig.
Met gateway- of domeincertificaten wordt dit ondervangen. Een dergelijk certificaat is geldig voor alle e-mailadressen van één e-maildomein (@bedrijfsnaam.nl). Er is wel een probleem: hoewel het gebruik van gatewaycertificaten al lang internationaal gestandaardiseerd is, kunnen sommige e-mailprogramma’s ze nog steeds niet correct verwerken. Outlook Express kan bijvoorbeeld helemaal geen mails met gatewaycertificaten verzenden of ontvangen en Microsoft Outlook verklaart het certificaat ongeldig en geeft een foutmelding.
De zogenaamde teamcertificaten worden afgegeven voor e-mailadressen die niet voor een persoon zijn bedoeld, zoals info@bedrijfsnaam.nl of sollicaties@onderneming.nl. Er ontstaan hier geen problemen met ontvangen en verzenden, omdat de technische eisen identiek zijn aan persoonlijke certificaten. Alleen de verwerking via de certificeringsinstantie is anders.
Om de bovengenoemde voorwaarden van kracht te laten zijn, moet een handtekening aan bepaalde voorwaarden voldoen. De meeste programma's, inclusief Outlook, controleren deze voorwaarden automatisch bij het verzenden of ontvangen van e-mail met een digitale handtekening. Ze tonen een melding als niet aan alle voorwaarden is voldaan en wijzen er zo op dat de digitale handtekening misschien niet klopt.
Aangezien een digitale handtekening altijd is gekoppeld aan een certificaat, is het belangrijk om ervoor te zorgen dat dit certificaat actueel, geldig en beschikbaar is. Het moet zijn uitgegeven door een betrouwbare certificeringsinstantie. In Nederland controleert de OPTA welke instanties betrouwbaar zijn. Zo blijft de integriteit van de certificaten voor digitale handtekeningen ook voor juridische transacties gewaarborgd.
De bekendste instanties zijn:
Digitale handtekeningen worden vaak gebruikt in combinatie met een versleutelde e-mail, maar ze bestaan onafhankelijk van elkaar. Als je een e-mail digitaal ondertekent, bevestig je daarmee dat jij de e-mail hebt geschreven en verstuurd. De mail is beschermd tegen manipulatie, maar kan onderweg nog steeds worden ‘afgeluisterd’. Vergelijk het met een ansichtkaart van iemand anders die je in handen krijgt. Je kunt de kaart lezen, maar er is als het ware een ‘folie’ omheen geplakt zodat je de geschreven tekst wel kunt lezen, maar niet meer kunt wijzigen.
De encryptie van e-mails gaat nog een stap verder. Om bij onze metafoor te blijven: als je een e-mail versleutelt, is het alsof je de ansichtkaart in een doosje met een slot stopt en dan als pakketje verstuurt. De inhoud is verzegeld en alleen de persoon die het sleuteltje heeft, kan het doosje openen en de kaart lezen. De boodschap is vertrouwelijk en blijft onderweg volledig beveiligd. Uitgebreide informatie over het encrypteren van e-mails met PGP vind je in deze tutorial.