Recent verstuurde Follow The Money e-mails zogenaamd namens leden van de Tweede Kamer. Dit was gemakkelijk te voorkomen geweest. Hoe? Door een digitale handtekening te gebruiken!
Afgelopen oktober verstuurde Dieuwertje Kuijpers van het platform Follow The Money e-mails namens leden van de Tweede Kamer. Althans, zo leek het. Het was mogelijk omdat de domeinserver van de Tweede Kamer niet beveiligd was tegen e-mail spoofing.
De fout van de Tweede Kamer werd gelukkig snel hersteld. We leven in een tijd dat digitale leugens zich snel over sociale netwerken verspreiden en zich nestelen. Fake news is weerbarstig. Daarom is het belangrijk om goede gereedschappen te hebben om de herkomst en authenticiteit van informatie te controleren. Is een document echt of is het vervalst?
Het afzenderbedrog van Follow The Money betrof de bezorging van e-mail. Die vorm van spoofing is relatief makkelijk te voorkomen door het digitale transport te beveiligen. Is de e-mail eenmaal bezorgd, dan is zonder digitale handtekening niet meer eenvoudig te bewijzen dat de e-mail door de geclaimde afzender gestuurd is. De zender kan beweren een andere e-mail of geen e-mail verstuurd te hebben. Met digitaal ondertekende e-mail is deze verwarring niet mogelijk, iets dat we al in 1999 wisten.
Een digitale handtekening is geautomatiseerd te controleren en heeft een sterke bewijskracht. De digitale handtekening is het echtheidskenmerk van een e-mail, vergelijkbaar met de handtekening onder een papieren brief. Een brief ondertekenen is vrij gewoon, maar de meeste van ons versturen e-mail zonder echtheidskenmerk.
Sinds een jaar onderteken ik mijn persoonlijke e-mail digitaal. Ik heb er lang mee gewacht omdat het activeren daarvan best nog lastig is. Voor digitaal ondertekenen heb je namelijk een publieke en geheime sleutel nodig. Die geheime sleutel kun je zelf maken en goed bewaren. Je publieke sleutel publiceer je. Met de publieke sleutel controleert de ontvanger de echtheid van een document. Iedereen kan zelf beginnen met digitaal ondertekenen van zijn of haar e-mail. Handiger is het als dit organisatiebreed wordt geregeld. Belgen kunnen sinds 2003 met hun elektronische identiteitskaart documenten digitaal ondertekenen.
Valse informatie
Naast e-mails kan ook informatie van websites vervalst worden, hoewel dat wel steeds lastiger wordt. Het datatransport wordt beter en veilige verbindingen met websites (HTTPS) worden de norm. Zo weet je dat je praat met de website waarmee je denkt te praten. Maar van documenten die zijn gedownload en opgeslagen, kun je zonder digitale handtekening de herkomst en authenticiteit niet aantonen. Webpagina’s kunnen vervalst worden zonder op de webserver in te breken: het is kinderlijk eenvoudig om een gemanipuleerd screenshot van een webpagina te maken. Hoe bewijs je dat een document echt zo op een site stond? Het goede nieuws: ook webpagina’s kun je digitaal ondertekenen.
Op dit moment worden al veel bestanden digitaal ondertekend. Denk aan apps van Debian, Ubuntu, Google en Apple, informatie uit het Publicatieblad van de Europese Unie, The Gazette of Londen en het Estse Riigi Teataja, accountantsverklaringen, et cetera. Een van de problemen is dat niet alle gangbare bestandsformaten een digitale handtekening kunnen bevatten. Als alternatief kan de handtekening dan los worden meegeleverd en op dat moment heeft die handtekening dezelfde bewijskracht.
Veel gereedschappen om digitaal te ondertekenen zijn breed beschikbaar of kunnen met bescheiden investeringen beschikbaar komen. Met LibreOffice (een open variant van Microsoft Office) kun je bijvoorbeeld documenten ondertekenen. Het ministerie van Defensie heeft kortgeleden LibreOffice laten uitbreiden met de mogelijkheid om bestaande PDF-documenten te ondertekenen, iets dat nog niet kon. Dankzij deze lage, eenmalige investering kan dit binnenkort op alle rijkswerkplekken.
Open data
Echt interessant is de publicatie van open data. Kruisverbanden leggen tussen data uit verschillende bronnen kan veel meerwaarde bieden. De overheid zet in op open data en hoopt er maatschappelijk voordeel uit te halen. Het kan alleen als data niet gemanipuleerd zijn. Digitale handtekeningen maken informatie betrouwbaar en bieden kansen voor hoogwaardig hergebruik. Brede inzet van digitale ondertekening door de overheid verhoogt het vertrouwen van de burger in de overheid en geeft een goed voorbeeld aan bedrijven en burgers in onze digitale samenleving.
De volgende e-mail spoof kunnen we voorkomen met digitale handtekeningen. Tijd voor actie dus. Waar kan ik de publieke sleutel van de premier vinden?
Jos van den Oever is expert in vrije software en open standaarden en ambtenaar bij het ministerie van Binnenlandse Zaken. De blogs voor iBestuur schrijft hij op persoonlijke titel.
Terechte constatering dat het beter zou moeten en beter kan. Aandachtspunt daarbij is dat mechanismen wel laagdrempelig bruikbaar moeten zijn omdat ze anders in de praktijk niet of nauwelijks worden gebruikt. N.a.v. “Waar kan ik de publieke sleutel van Mark Rutte vinden?” is het feit dat Jos van de Oever een publieke sleutel een goede stap 1 maar geldt even zo goed nog: “Waar kan ik de publieke sleutel van Jos van de Oever vinden?”
Mijn sleutel kun je hier vinden: http://www.vandenoever.info/jos_van_den_oever.asc Als je mijn het SSL certificaat van mijn website vertrouwt, kun je dat vertrouwen doortrekken naar mijn publieke sleutel die je van die site kunt halen.
Er zijn een aantal manieren om sleutels te delen. Sommige methodes zijn decentraal andere centraal. Een centrale methode, bijvoorbeeld PKI, werkt net als het web via een aantal vertrouwde partijen die de sleutels ondertekenen.
Een decentrale methode is het ‘web of trust’ ( nl.wikipedia.org/wiki/Web_van_vertrouwen ) waar je via een of meerdere ad-hoc partijen die je vertrouwt een sleutel ophaalt.
In levende lijve sleutels uitwisselen, bijvoorbeeld via visitekaartjes, gebeurt veel.
De overheid gebruikt PKI via PKIoverheid.