Zo zet u een digitale handtekening onder uw mailtjes

Onder een gewone brief zetten we toch ook onze handtekening? Waarom is dat dan bij e-mail zo ongewoon? Veel moeite hoeft het nochtans niet te koasten.

Enkele maanden geleden kreeg ik een mailtje dat zich fors annonceerde met “—BEGIN PGP SIGNED MESSAGE—“. Dat was eens wat anders dan spam. Een brief met een echte, digitale handtekening. Onderaan stond heel precies “—END PGP SIGNATURE—“ en in de regels daarboven wat onzin en een webadres met de aanwijzing om de ” GPG Key” op te halen. Eindelijk iets spannends in de post.

PGP staat voor Pretty Good Privacy – ‘redelijk goede privacy’ – en werd oorspronkelijk geschreven door Philip R. Zimmerman in 1991. Het is de digitale handtekening van de contraire mens. Overheden en bedrijven als Certipost, Ubizen, Steria en Zetes doen momenteel reusachtige inspanningen om ons aan de elektronische identiteitskaart annex digitale handtekening te krijgen. Daarmee zullen we dan on line kunnen bewijzen dat wij onszelf zijn en een heleboel nieuwe diensten mogelijk maken. PGP doet dat ook, maar nu al, internationaal, voor noppes en – alles heeft zijn prijs – met veel minder zekerheid en juridische waarde.

De populairste afstammeling van PGP vandaag is vrije software volgens de OpenPGP-standaard, beschikbaar voor Windows, Mac en Linux/Unix. Hij staat bekend onder het acroniem GPG ( Gnu Privacy Guard). Als u GPG nog niet op uw pc heeft – soms bent u rijker dan u beseft – kunt u plug-ins voor de belangrijkste e-mailsoftware op het internet vinden, ook voor Microsoft Outlook (de installatie is iets moeilijker onder Suse Linux).

Twee sleutels

Het concept van GPG is hetzelfde als dat van de elektronische identiteitskaart. Het programma maakt een set van twee sleutels aan: een publieke en een geheime. Met de sleutels associeert u bij de aanmaak uw naam, uw e-mailadres en eventueel een commentaar. De twee sleutels vormen elkaars complement. Wat met de publieke sleutel is geëncrypteerd, kan alleen met de geheime worden ontcijferd.

De geheime sleutel zit veilig op uw eigen pc. U activeert hem met een paswoord en hij blijft daarna een instelbare tijd in het geheugen, zodat u niet bij elke mail paswoorden moet intypen. ‘Tekenen’ betekent meer dan alleen uw handtekening toevoegen. De software berekent een ‘waarde’ voor de tekst die u tekent, een hash. Als er iets aan de tekst wordt gewijzigd, zal dezelfde berekening een andere hash opleveren. De ontvanger – wiens software dezelfde berekening maakt – weet zo of de doorgestuurde tekst onderweg niet is gewijzigd. Zijn software verifieert ook de publieke sleutel van de afzender. Dat is de enige sleutel die bij de geheime sleutel past, zodat we bij succes weten dat de afzender wel degelijk de eigenaar van de publieke sleutel was.

Hoe komt u aan de publieke sleutel? U krijgt hem via e-mail toegestuurd, u vindt hem zoals in ons voorbeeld op een website en er bestaan ook speciale ‘sleutelservers’ (de adressen staan klaar in uw GPG-software) waar u publieke sleutels kunt posten en opzoeken. Een avontuurlijke ziel heeft het systeem in een uur in de vingers. Zodra het is ingesteld, verloopt alles automatisch.

Spammers krijgen het moeilijk

Biedt GPG dan zekerheid? Niet noodzakelijk. Ik krijg de mededeling dat de handtekening FOUT is. Maar hij is echt. Niemand heeft met de mail geknoeid, het e-mailsysteem heeft gewoon de formattering van de ondertekende tekst gewijzigd. De overlevers in security zien andere gevaren: er kan geknoeid zijn met de website met de publieke handtekening, u kunt een publieke handtekening via een vervalste mail krijgen, een hacker kan de handtekeningen van een pc hebben gegraaid, of de handtekening is herroepen – geheime sleutel gestolen, e-mailadres veranderd, weggegaan bij de firma – maar u wist het niet. GPG kent revocatiecertificaten, maar bij gebrek aan een centrale database van publieke sleutels is het onvermijdelijk dat er oude sleutels blijven rondzwerven.

Desondanks krijgen spammers en grappenmakers het veel moeilijker met digitale handtekeningen – zelfs van het niveau van GPG – terwijl het gebruik alles wel beschouwd zeer weinig omslachtig is en weinig – of helemaal niet – belastend voor uw correspondent. Bruno Leijnse

Reacties: e-trends@trends.be

Bruno Leijnse