Partner voor Ondernemers

  

en Kenniswerkers

Is e-mail betrouwbaar?
In andere artikelen wees ik al op het belang van goede malware en SPAM filters om te voorkomen dat e-mail een toegangsweg voor cyber-misdadigers tot uw systeem wordt. Hier gaat het om iets heel anders.

E-mail vervangt in veel gevallen de briefpost, en dat is een wenselijke ontwikkeling. Is het echter gerechtvaardigd aan een ontvangen bericht hetzelfde vertrouwen te geven als aan een briefpoststuk? wat zijn de juridische implicaties?

Een verontrustend voorbeeld

Hebt u al eens een kennelijk SPAM-bericht ontvangen over een onderwerp waar u nooit over zou schrijven, dat schijnbaar door uzelf is verzonden? Of van een postmaster een statusmelding dat een zogenaamd van u afkomstige mail niet bestelbaar was?

Het is inderdaad voor de "kenner" bijzonder eenvoudig om het even welk hem bekend "werkelijk" mail-account te misbruiken voor het versturen van zijn "brouwsels". Let wel: dit is geen kaping van uw computer. Met uw mail-account is niets aan de hand. Hij misleidt gewoon een SMTP-server op het Internet om te geloven dat zijn mail-pakketje van uw account afkomstig is.

Voor de expert is het wel degelijk mogelijk door een gedetailleerde analyse van de mail-header een dergelijke identiteitsdiefstal op het spoor te komen, maar wie neemt zich al bij elke binnenkomende mail die moeite?

Aanzienlijk moeilijker, maar niet onmogelijk, is het voor de cyber-crimineel om een "echte" mail van u op zijn weg naar de geadresseerde te onderscheppen, te lezen en zelfs te veranderen.

Hoe staat het dus met de betrouwbaarheid en de vertrouwelijkheid van verzonden informatie? Zolang niet beide problemen zijn weggeruimd, is terughoudendheid bij het gebruik van e-mail geboden. Dit was ook de oorzaak dat "standaard mails" voor wet en jurisprudentie niet als bewijsmiddel gelden, hoogstens als"begin van bewijs".

Er bestaan een tweetal methoden om deze problemen op te lossen. Hiermee wordt een e-mail zelfs betrouwbaarder dan een poststuk. En is zij ook ten volle bruikbaar als bewijsmiddel.

Certificaat van Authenticiteit

Bepaalde instellingen en organisaties leveren op aanvraag certificaten van authenticiteit. Heeft men deze geïnstalleerd, dan kan men dit certificaat met een uitgaande mail meezenden. Zowel in de maplijst als bij een open bericht (in de marge) verschijnt nu een symbooltje (lijkt op een akte met zegel). Is dit aanwezig en ongeschonden, dan betekent dit:

Operationeel
  • De ontvanger kan er zeker van zijn dat het bericht afkomstig is van de vermelde afzender, en niet onder zijn/haar naam is binnengesluisd.
  • De ontvanger kan er zeker van zijn dat de inhoud van het bericht en van alle eventuele bijlagen ongewijzigd is sinds het/zij de computer van de afzender verliet(en).
Juridisch
  • De ontvangen e-mail (met alle bijlagen) heeft dezelfde status als een aangetekende brief. De geadresseerde kan deze als bewijsmiddel gebruiken.
  • Vraagt de afzender bovendien een S/Mime bevestiging (en krijgt hij deze), dan heeft de e-mail dezelfde status als een aangetekende brief met ontvangstbevestiging. Beide partijen kunnen deze nu als bewijsmiddel inzetten

Encryptie (versleuteling)

In veel gevallen is het bovenstaande toereikend. Maar kan men er nu ook zeker van zijn dat niemand de in een bericht vervatte vertrouwelijke informatie (bijvoorbeeld: wachtwoorden, rekeningnummers, persoonlijke gegevens) kan "onderscheppen"? Jammer genoeg niet. Dit komt omdat de Internet mail-servers (SMTP en POP3/IMAP met elkaar via niet beveiligde kanalen communiceren en men dit als gebruiker niet kan veranderen.

Bij een gecertificeerd bericht kan de ontvanger er weliswaar zeker van zijn dat het authentiek en onveranderd is, hij kan er niet van op aan dat niemand het "onderweg" gelezen heeft en wederrechtelijk van de zo gewonnen kennis gebruik maakt. De kans daarop is wel zeer gering, maar niet 0.

Het antwoord is e-mail encryptie. Ik bespaar u de details. De techniek maakt gebruik van twee sleutels, een persoonlijke sleutel van de afzender en een openbare sleutel van de ontvanger. U kunt dergelijke sleutels "met de hand" instellen. U kunt dit ook overlaten aan dezelfde bovengenoemde instellingen.

Gevolg van encryptie

Een versleutelde e-mail is tijdens zijn reis van afzender naar ontvanger beschermd tegen alle pottenkijkers. Nu is geen enkele versleuteling onkraakbaar. Maar bij de huidige stand van de techniek heeft zelfs een supercomputer daarvoor tussen 2 en 4 jaar nodig, wat doorgaans voldoende veiligheid geeft (tenzij misschien voor geheime diensten). In elk geval kan het "traditionele" postverkeer hier niet tegenop.

Hoe krijgt u certificaten en/of sleutels?

Er zij een aantal op zich gecertificeerde "uitgevers". De wereldwijde marktleider is Verisign. Het nadeel hier zijn de hoge kosten. Gelukkig is de "nummer 2" een gelijkwaardig en gratis alternatief: Comodo. Dit is een vooraanstaande producent van beveiligingssoftware, die het hier geschetste gebied als een soort "klantentrekker" inzet.

Let wel: u hebt een certificaat en/of een sleutelpaar nodig voor elk mail account dat u voor "verzenden" gebruikt. Op de website kiest u voor "Free E-mail Security Certificate", en volgt U de dialoog (herhaal dit voor elk account). Dit geeft u zowel een authenticiteitscertificaat als een sleutelpaar.

N.B. Comodo biedt ook "Free Comodo SecureEmail". Van deze toepassing, hoe aanlokkelijk ook, raad ik uit eigen ervaring af.

Ga naar de website van Comodo om certificaten en sleutels te verkrijgen.

De procedure-beschrijving is op zich volledig. Ik heb zelf wel een paar probleempjes gehad bij het "installeren" van de certificaten op de eigen computer. Indien nodig help ik u graag via de "online dialoog" op deze site.

Certificaten in de praktijk

Eenmaal geïnstalleerd staan de certificaten aan uw e-mail cliënt ter beschikking (voor elk account het juiste). U kunt ze op twee manieren inzetten:
  • Individueel als verzendoptie bij door u daarvoor gedefinieerde mails
  • Globaal, automatisch bij elke uitgaande mail.
De tweede optie lijkt veruit de aantrekkelijkste. U certificeert weliswaar ook mails die dit misschien niet vereisen, maar u kunt essentiële berichten niet "vergeten". Bovendien voorkomt u voor eens en altijd dat uw relaties misbruik van uw account als van u afkomstig kunnen beschouwen. Toch raad ik hiervan af, aangezien deze praktijk voor de ontvanger soms minder handig is:
  • Enige e-mail cliënten (MS hotmail is het bekendste voorbeeld) tonen een gecertificeerd bericht als "leeg", maar voegen het als bijlage toe. De laatste is alleen leesbaar via een gratis maar speciaal te installeren programma. De meeste gebruikers zullen u hiervoor bij een "normale" mail niet dankbaar zijn, als zij de "lege mail" al niet door onwetendheid naar de prullenmand verwijzen.
  • De meeste e-mail cliënten (ook Outlook, Outlook Express en Windows Mail) proberen een antwoord op een binnengekomen mail dezelfde eigenschappen mee te geven, d.w.z. een gecertificeerd bericht weer te certificeren. Beschikt uw correspondent zelf niet over een certificaat, dan kan hij dus niet op uw mail antwoorden, tenzij hij bewust de elektronische handtekening afzet. En ook deze "kennis" is niet universeel aanwezig.
Naar mijn smaak is de beste praktijk om informatieve mails niet te certificeren, en aan sensitieve, formeel of juridisch belangrijke stukken individueel een certificaat als verzendoptie mee te geven. U kunt dan in de mail zelf (bijvoorbeeld in de "leesbare" ondertekening) een instructie plaatsen hoe de ontvanger eventuele problemen oplost.

Encryptie in de praktijk

Encryptie voegt altijd een zekere complexiteit toe. Dit is alleen gerechtvaardigd als de mail informatie bevat die absoluut niet in handen van derden mag vallen. Zoals al vermeld moeten voor dit doel zowel afzender als ontvanger "sleutels" bezitten.

Mijn aanbeveling:
  • Beperk versleutelde mails tot ontvangers waarvan u weet dat zij een sleutelpaar bezitten of met wie u overeenkomt dat zij dit eerst zullen installeren (overigens gaat het ophalen van de openbare sleutel wel automatisch)
  • Wilt u een andere adressant vertrouwelijke informatie sturen, gebruik dan briefpost of de telefoon.
Commentaar (0)Add Comment

Schrijf commentaar

busy
 

Uitgever

Willem Overbeeke
Overbeeke & Partners bv
Kudelstaartseweg 64A
NL-1433GK  KUDELSTAART

Contactinformatie

T: +31 297 368 275
F: +31 297 368 274
Skype: willem.overbeeke

url: www.itzakelijk.nl
e-mail: willem.overbeeke@itzakelijk.nl

Naar een interactieve
verbinding online

oo
                   © 2008 - 2010 ITzakelijk.nl  Overbeeke & Partners BV                                                                                                                                                       
Verwijzingen naar en links met met deze site zijn toegestaan (onder verwijzing naar auteursrecht)
RocketTheme Joomla Templates