Beveiligde e-mail 9.1 Inleiding 232
E-mail autorisatie BEo RE 1G 1N G -7
onoss!NG
-7
9.2 De e-mail valt in de verkeerde handen 233 9·3 Het versleutelen van e-mail met PGP 235
9.3.1 Ontwikkeling PGP 235 9.3.2 Het proces 236 9.3.3 De sleutel 236 PRACT cuM -7
9.4 Sleutels genereren 237
9.4.1 9.4.2 9-4.3 9-4-4
Thunderbird installeren 237 GnuPG installeren 242 Enigmail installeren 246 Private en publieke sleutel genereren 247
oP toss 1NG -7 9.5 Distributie publieke sleutel 249 P RACT cuM -7
9.6 Mailen met PGP 250
9.6.1 Publieke sleutels importeren 251 9.6.2 De sleutel beoordelen 253 9.6.3 Versleutelde e-mail versturen 255 PRACT CUM ~-)
9·7 E-mail sniffen 259
9;7.1 Standaard e-mails bekijken met Wireshark 259 9.7.2 Versleutelde e-mails bekijken met Wireshark 262
E-mail authenticatie sE o RE 1G 1N c; -7
oPLossiNG
-7
PRAeneuM -7
9.8 De afzender is vervalst 264 9·9 E-mail signing 264 9.10 Signeren van e-mails 265
9.11 Samenvatting 267
9-1 Inleiding Elke dag maken we in het communicatieverkeer veel gebruik van e-mail: om even snel een boodschap te sturen naar vrienden, maar ook op professionele basis. Op het moment dat je een e-mail verstuurt ga je er van uit dat alleen de persoon voor wie de e-mail bestemd is de e-mail kan lezen. Maar wat nu als je per ongeluk het verkeerde adres intypt of als het netwerk waar de e-mail verstuurd of ontvangen wordt, afgeluisterd wordt met een sniffer? Op dat moment is de inhoudvan onse-mailbericht ineens openbaar. ~
i.
.
Het misbruiken van e-mail is te herleiden tot de twee stappen die we in paragraaf 2.3 in het toegangscontroleproces tegenkwamen: autorisatie en authenticatie.
Autorisatie We willen er zeker van zijn dat alleen de persoon voorwie het e:..rnailbericht bedoeld is, het bericht kan lezen. Authenticatie We willen er zeker van zijn dat het bericht dat we ontvangen ook daadwerkelijk verstuurd is door de persoon die als afzender genoemd staat. ·
Leerdoelen In dit hoofdstuk leer je hoe je e-mail kan versleutelen door gebruik te maken van speciale software en publieke en private sleutels. Tevens ·leer je vingerafdrukken te maken van e-mailberichten.
Vereiste voorkennis Om dit hoofdstuk goed te begrijpen en het practicum uitte kunnen voeren, is het noodzakelijk dat je de volgende voorkennis bezit: t> wat een publieke sleutel en wat een private sleutel is (hoofdstuk 5- Cryptografie); t> wat een digitale vingerafdruk is (hoofdstuk 6- Authenticatie); t> hoe een netwerksnifter werkt en hoe je deze moet gebruiken (hoofdstuk 8Netwerkverkeerbeveiliging).
232
I
ICT SECURITY
E-mail autorisatie 9.2 seo1u1GING -7
De e-mail valt in de verkeerde handen
Ten eerste: het standaa.rd e-mailprotocol communiceert in tekstformaat. Dit betekent dat wanneer er een e-mail bericht over het netwerk verstuurd wordt, deze in tekstformaat over het netwerk gaat. Indien iemand met een snifter het netwerkverkeer aan het bekijken is, kan hij eenvoudig het verstuurde e-maifbericht uitlezen. Ten tweede kan iemand een verkeerd e-mailadres intypen. Wanneer hete-mailbericht aan komt bij de verkeerde persoon, kan deze persoon hete-mailbericht lezen. Tot slot kan een ieder die toegang heeft tot jouw werkstation alle ontvangen e-mailberichten lezen.
Risico
Middel In het volgende voorbeeld zie je hoe de inhoud van een e-mail met een sniffer gelezen kan worden. Er wordt gebruik gemaakt van de Mozilla e-mail elient Thunderbird (Mozilla is voornamelijk bekend van de webbrowser Firefox). Onderstaande geheime e-mail wordt verstuurd:
Hierbij stuur ik. je alvast de vertrouwelijke boekhouding toe.
FIGUUR 9-1
E-mailbericht
9
BE V Elll G DE E- MA I l
I
233
Wanneer we het netwerk met Wireshark aan het sniffen zijn terwijl de bovenstaande e-mail wordt verstuurd, zien we het volgende:
FIGUUR 9-2 Wireshark verzonden e-mail
Als je hier naar kolom Protocol kijkt zie je een aantal SMTP (Simple Mail Transfer Protocol) pakketjes voorbij komen. We kunnen nu delen van de inhoud zien. Dit is nog eenvoudiger zichtbaar te maken door met de rechtermuisknop op een SMTP-pakketje te klikken en te kiezen voor
Follow TCP Stream. Op deze manier voegt Wireshark de desbetreffende pakketjes samen en laat zo de e-mail in z'n geheel zien.
FIGUUR
234
I
9-3 Wireshark inhoud e-mail uit samengevoegde pakketjes
I cT sEc u RIT y
9 opa.oss!NG
~
Het versleutelen van e-mail met PGP
Om er zeker van te zijn dat alleen de juiste persoon de e-mail kan lezen is het noodzakelijk om het e-mailbericht te versleutelen. Dit kan met een aantal softwareprogramma's dat gebaseerd is op het gebruik van publieke en private sleutels.
9.3.1 ~
Ontwikkeling PGP
In 1991 schreef Philip Zimmerman het programma PGP, dat staat voor Pretty Good Privacy. Dit gaf gebruikers de mogelijkheid om versleuteld data uit te wisselen. De eerste versie van PGP maakte nog gebruik van een symmetrische sleutel, huidige versies maken gebruik van asymmetrische sleutels (zie hoofdstuk 4- Cryptografie). De huidige PGP versie is eigendom van een commercieel bedrijf {PGP Corperation) dat een aantal commerciële producten verkoopt voor het versleutelen van data. Tijdens de groei van PGP is het protocol nog steeds beschikbaar gebleven als gratis variant onder de naam OpenPGP. Dit algoritme kan gratis aangepast worden, ook mag je zelf software schrijven dat gebruik maakt van het OpenPGP protocol.
9 BEVEILIGDE E-MAil
I
235
Om het OpenPGP protocol te kunnen gebruiken kun je gebruik maken van GnuPG. GnuPG is software die berichten versleutelt en entsleutelt en waarmee je private en publieke sleutels aan kan maken.
9.3.1
~
Het proces
De e-mail wordt dus versleuteld met de publieke sleutel van iemand en alleen de persoon met de bijpassende private sleutel kan het bericht ook weer ontsleutelen. Nog even het hele proces in een overzicht: Stap 1
StapS
Bob voert de publieke sleutel van Alice in zijn email programma
De (Open)PGP software entsleutelt het bericht met de private sleutel va Alice
l
Alice
Stap 2
Stap3
Stap4
Bob schrijft een email naar Alice
De (Open)PGP software versleutelt het bericht met de publieke sleutel vanAiice
De versleutelde e-mail komt aan bij Alice
FIGUUR
9·3·3
-7
9-4 Het proces van versleutelen en ontsleutelen van een e-mail
De sleutel
Er zijn veel verschillende toepassinge~ van PGP. Van de automatische versJeuteling van gehele e-mailservers, tot versleutelen van een enkel e-mailtje vanaf de command line. Welke oplossing je ook kiest, de sleutel is van het grootste belang. We moeten tijdens het versturen zeker zijn dat de publieke sleutel van de persoon aan wie we het mailtje willen versturen daadwerkeHjk de juiste sleutel is. Dit kan bijvoorbeeld door dat te controleren per telefoon, fax of op de website van die persoon.
236
I
ICT SECURITY
9·4 PRAcr•cuM
--7
Sleutels genereren
Dit is een practicum in vier delen: 1:> Eerst installeren we de e-mailclient Mozilla Thunderbird. 1:> Vervolgens installeren we GnuPG (GPG) zodat er een mechaniek is om publieke en private sleutels aan te maken. 1:> Daarna installeren we Enigmail zodat we de sleutels uit GPG in Mozilla Thunderbird kunnen gebruiken. 1:> Tot slot genereren we een publieke en private sleutel. De software is op de volgende manier geïntegreerd (figuur 9-5):
GnuPG Het mechaniek om sleutels te genereren en data te versleutelen
Enigmail
Mozilla Thunderbird
Een plugin die er voor zorgt dat GnuPG in Mozilla Thunderbird gebruikt kan worden
De elient om e-mail berichten mee te verzenden
FIGUUR 9-5 De software integratie
Voor dit practicum heb je nodig: 1:> een Windows XP werkstation, 1:> een internetverbinding, 1:> een e-mailaccount, 1:> het werkblad 'Werkblad Beveiligde Email.doc'. Tijdsduur:± 30 min.
9.4.1
--7
Thunderbird installeren ·
1.
log in op je werkstation.
2.
Open je favoriete internetbrowser, ga naar: http://www.mozilla-europe.org/nlfproducts/thunderbird/ en download op deze pagina Thunderbird.
3.
Voer de instalier uit. 9
BE VElll G D E E- MA ll
I
237
Indien Windows met een beveiligingswaarschuwing komt, kies dan voor Uitvoeren. Mozilla Thunderbird wordt vervolgens uitgepakt (figuur g-6).
FIGUUR 9-6 Thunderbird wordt uitgepakt
4.
Het wizardvenster Welcome verschijnt. Klik Next >.
s.
Het wizardvenster Licentieovereenkomst verschijnt. Selecteer Ik accepteer de voorwaarden in de licentieovereenkomst (figuur 9-7). Klik op Volgende> wanneer je kennis hebt genomen van de licentie-overeenkomst.
FIGUUR 9-7 De neentieovereenkomst van Mozilla Thunderbird
6.
Het wizardvenster Installatieonderdelen kiezen verschijnt. Laat deze op Standaard staan en klik op Volgende>.
7.
Het wizardvenster Voltooien versch,ijnt {figuur g-8). Klik op Voltooien.
238
I
ICT SECURITY
Voltooien van de wizard Mozilla Thunderbird installeren MozUia Thunderbird is op uw computer geïnstalleerd. Kflk op Voltooien om deze wizard te sluiten.
FIGUUR 9-8 Voltooiing Mozilla Thunderbird setup
8.
Nu gaan we een e-mailaccount instellen. Start Mozilla Thunderbird.
g.
De Importeerassistent verschijnt, selecteer Niets Importeren en klik op Volgende>.
10. De Accountwizard verschijnt, selecteerE-mailaccount (figuur 9-9). Klik
op
Volgende>. Atcountwizard
~
•
Nieuwe account aanmaken
FIGUUR 9-9 Accountwizard
11.
Het Identiteit-deel van de Accountwizard verschijnt. Vul hier je naam en e-mailadres in {figuur 9-10). Vul deze gegevens ook in op het werkblad 'Werkblad Beveiligde Email.doc'. Klik op Volgende>.
9
B EV EI L I G D E E- M A I L
I
239
FIGUUR 9-10
12.
Accountwizard Identiteit
De accountwizard vervolgt met de serverinformatie, vul hier de gegevens van je e-mail provider in (figuur 9-11). Vul deze gegevens ook in op het werkblad 'Werkblad Beveiligde Email.doc'. Klik op Volgende>.
FIGUUR 9-11
Accountwizard Serverinformatie
13. Het Gebruikersnamen-deel van de Accountwizard verschijnt. Vul hier de gebruikersnaam in (figuur 9-12). Klik op Volgende>.
------------------------------------------------------------240
I
ICT SECURITY
FIGUUR 9-12
Accountwizard Gebruikersnamen
14. HetA<:countnaam..,deel van de Accountwizard verschijnt. Vul hier de Accountnaam in (figuur 9-13}. Klik op Volgende>.
Accountnaam
FIGUUR 9-13
Accountwizard Accountnaam
15. Controleer de gegevens en klik op Voltooien (figuur 9-14}. 16. Test je e-mailaccount. Als alles werkt sluit je Mozilla Thunderbird.
9 BEVEILIGDE E-MAIL
I
241
FIGUUR
9-14 Accountwizard voltooien
We hebben Mozilla Thunderbird geïnstalleerd. Vervolgens installeren we GnuPG (GPG) zodat er een mechaniek is om publieke en private sleutels aan te maken.
GnuPG installeren
9 4.2 ~
17. Open je favoriete internetbrowser en ga naar: http://www.gnupg.org/download/ index.html.
18. Zoek op deze internetpagina de gecompileerde Windowsversie. Deze ziet er als volgt uit: GnuPG X.X.X compiled for Microsoft Windows {de x.x.x staat voor het versie numme"r). Download deze executabel middels de FTP link aan de rechterzijde. 19. Voer de instalier uit. Klik Next >in het welkomstvenster. '
20. Het wizardvenster Licence Agreement verschijnt. Klik op Next >wanneer je kennis
hebt genomen van de licentie-overeenkomst.
Choose Components verschijnt. Aangezien we een volledige installatie willen doen vinken we alles aan (figuur 9-15) en klikken op Next >.
21. Het wizardvenster
242
I
!CT SECURITY
FIGUUR 9-15 Welke onderdelen moeten er geïnstalleerd worden?
22. Nu verschijnt het wizardvenster lnstall Opti,ons waar we kiezen voor de Nederlandse taal door nl- te selecteren (figuur 9-16). K1ik op Next >.
FIGUUR 9-16 Welke taal moet er geïnstalleerd worden?
23. Bij het verschijnen van het wizardvenster Choose tnstall Location accepteren we de default folder C:\Program Files\GNU\GnuPG en klikken op Next >.
24. Klik op lnstall >om de installatie te starten en daarna op Next >bij het Installotion Complete-venster.
25. Vink de Show the REAOME fUe uit (figuur 9""17). Kli:k op Finish om de installatie te voltooien.
9
BE V EI Ll G D E E- MA I L
I
243
Completing the GNU Privacy Guard Setup Wizard GNU Privacy Guard has been instafled on your computer. dick Finish to close this wizard.
Visit the GnuPG website for latest news and support
FIGUUR
9-17 Voltooiing GnuPG setup
27. Omdat GnuPGP een tooi is die vanaf de Cammand Prompt gebruikt zal worden moet de Windows PATH variabele weten waar de gpg.exe staat. Open de Windows Verkenner en vraag de eigenschappen op van Deze Computer.
FIGUUR
9-18 De geavanceerde systeemeigenschappen
28. Ga naar het tabblad Geavanceerd (figuur 9'"18}. Klik op Omgevingsvariabelen. 29. In het venster Omgevingsvariabelen, in het onderdeel Systeemvariabelen, staat Path. Selecteer deze (figuur 9-19). Klik op Bewerken.
244
I
! cT s Ec u R I T y
FIGUUR
9-19 De omgevingsvariabelen
30. Ga naar het einde van de regel en voeg ;"c:\Program Files\GNU\GnuPG"; toe. Let op: de puntkomma aan het begin moet toegevoegd worden en in het PATH mogen geen spaties tussen de verschillende vermeldingen staan. Klik drie maal op OK om alle vensters te sluiten.
31. Controleer of GPG werkt. Open een Cammand Prompt venster en typ: gpg --version ENTER. Als de installatie goed is verlopen krijg je de versiegegevens te zien (figuur 9-20).
: RSA, RSA-E, RSA-S, ELG-E, DSA a.un>1'ume: 3DES, CASTS, BLOWFISH, AES, AES192, AES256, IWOFISH Ji::::~~~;:!l;~~g~ me: MD5, SHAL RIPEMD160, SHA256, SHA384, SHA512, SHA224 ~' gecomprimeerd, ZIP. ZLIB, BZIP2
;~er,sle11tel
i~:,,Doc11ments
and Settings,Administrator>_
FIGUUR 9-20
GPG versie informatie
Als je een foutmelding krijgt is er iets mis gegaan. Controleer dan eerst de padverwijzingen voordat je de installatie van GnuPG opnieuw uitvoert. We hebben GnuPG geïnstalleerd. Nu gaan we Enigmail installeren zodat we de sleutels uit GPG in Mozilla Thunderbird kunnen gebruiken.
9
BE VEI
u GD E E- MA ll
I
245
9·4 3 -j Enigmail installeren 32. Open je favoriete internetbrowser en ga naar: http://enigmail.mozdev.org/download.html 33. Selecteer het juiste besturingssysteem en de juiste e-mailclient. Klik vervolgens met de rechtermuisknop op de downloadlink en kies Doel opslaan als ... (figuur 9-21).
Openen in nieuw tabblad Openen in nieuw venster Doel qpslaaa als., , Doel afdrul
Kopiëren
Jt enigmail, please s ts reserved. Terms
Snelkoppeling kopiëren _PI_a_klce_n- - - - · - - · - - !
Aan Favorieten toevoegen .. ,
Eigenschappen
FIGUUR 9-21
Sla Enigmail op middels Doel opslaan als ...
34. Kies een locatie op de harde schijf en klik op Opslaan. 35. Start Mozilla Thunderbird. Ga naar het menu Extra en klik op Add-ons. 36. Het Add-ons venster verschijnt (figuur 9-22). Klik op Installeren ...
FIGUUR 9-22
Add-ons installeren
37. Browse naar het opgeslagen·Enïgmai/ programma, selecteer deze. Klik op Openen. 38. In het Programmatuurinstallatie-venster staat Nu installeren. Klik hier op.
246
I
I cT s Ec u R I T y
39. In het Add-ons-venster staat Thunderbird herstarten. Klik hier op. We hebben Enigmail geïnstalleerd. Nu,pan w:~ een publieke en ;private sleutet genereren.
9·4·4
-7
Private en publieke sleutel genereren
40. Voor de private sleutel hebben we een sterk wachtwoord nodig. (zie hoofdstuk 6 - Digitale authenticatie).
41. In Mozilla Thunderbird is het mem;J OpenRGPerbiJ;gekomen. Klik bi,erop en klik vervolgens op Key Management. 42. De OpenPGP Setup Wizard verschijnt. Annuleer deze door op Annuleren te klikken. Bevestig dat je de wizard wilt annuleren. 43. Klik op Generate in het OpenPGP Key Management venster. Klik vervolgens op New Key Pair. 44. Het Generate OpenPGP Key venster verschijnt. Vul bij Passphrase en bij Passphrase (repeat) het sterke wachtwoord in dat je bij stap 40 gedocumenteerd hebt. Vink Key does not expire aan onder Key expiry {figuur 9-23). Klik op Generate key.
FIGUUR 9-23 Sleutels genereren
9
BEVEILIGDE E-MAIL
I
247
45. Het OpenPGP Confirm venster verschijnt (figuur 9-24). Klik op ja.
FIGUUR 9-24 Sleutels genereren
46. Een nieuw OpenPGP Confirm venster verschijnt. We willen nu geen revocation certificate maken (figuur 9-25). Klik op Nee.
FIGUUR 9-25 Sleutels genereren
47. Het OpenPGP Key Management venster verschijnt. Ga naar Edit en kies dan Copy Pubtic Keys to Clipboard. Open het programma Kladblok en klik op Bewerken en vervolgens op Plakken (figuur 9-26). Plak de publieke sleutel tot slot in het werkblad 'Werkblad Beveiligde Email.doc' en sla dit werkblad op.
FIGUUR 9-26 De publieke sleutel
Gefeliciteerd: je hebt je eerste publieke PGP sleutel aangemaakt. 248
I
I cT s Ec u R I T y
Het practicum samengevat 1>
Mozilla Thunderbird is geïnstalleerd.
1>
GnuPG is geïnstalleerd.
Enigmail is geïnstalleerd. 1> je hebt een publieke sleutel en een private sleutel gegenereerd. 1>
9$5 oPLossiNG -7
Distributie publieke sleutel
Het versturen van een versleutelde e-mail gebeurt dus met gebruik van een publieke sleutel. Het verspreiden van deze publieke sleutel kan op drie manieren: 1.
Door gebruik te maken van een publieke sleutel server, ofwel Certificate Autho-
2.
rity. Door zelf de publieke sleutels van je afzenders in te voeren.
3.
Door gebruik te maken van een Web of Trust.
in de eerste variant wordt gebruik gemaakt van een publieke sleutelserver. Op een publieke sleutelserver staan duizenden publieke sleutels waar je gebruik van kunt maken. Het grootste voordeel van deze servers is dat je niet zelf je sleutels hoeft in te voeren. Het meest genoemde nadeel is dat we niet zeker weten dat de gegevens in de database de goede zijn. We beheren immers niet zelf de database. Het PKI principe waar de Certificate Authority onder valt wordt in het hoofdstuk 10- Beveiligd internet uitgebreid uitgelegd. In de tweede variant voeg je zelf de publieke sleutels van de mensen waarmee je mailt toe. Het voordeel van deze variant is dat je controle hebt over wie je wel en niet toevoegt en over de juistheid van de gegevens. Dit kan echter zeer veel werk zijn. Wanneer je met veel mensen mailt, moet je van al deze mensen de publieke sleutels blijven bijhouden. De derde variant is een uitbreiding op de tweede variant. Hierbij selecteer je per contactpersoon of je die persoon gewoon of zeer goed vertrouwt. Als je aangeeft dat je een persoon zeer goed vertrouwt, dan vertrouw je automatisch ook zijn directe contactpersonen. Zo hoef je niet zelf alle mensen toe te voegen die hij al heeft toegevoegd en andersom. Je kunt per contactpersoon aangeven in welke mate je deze persoon vertrouwt. Het overzicht hierna geeft de werking weer van een Web of Trust.
-------·--·-·--
9
B EV EI Ll G D E E··· M A I l
249
Boris Ik ken Bob en voeg zijn sleutel toe. Maar ik weet niet hoe verantwoordelijk Bob is.
Ik ken Alice en voeg haar sleutel toe. Ik weet ook dat
~
Bob
:lice ve~antwoordelijk
~enoeg1s.
Alice
Ca rol Ik accepteer de sleutel van Ca rol automatisch, omdat ik Alice vertrouw.
Ik accepteer de sleutel van Daniel niet automatisch, omdat ik Bob niet genoeg vertrouw.
Edward
FIGUUR
9-27 Het proces van een Web of Trust
9@6 PliAcncuM -7
Dit 1> 1> 1>
Mailen met PGP
is een practicum in drie delen: Eerst importeren we publieke sleutels. Vervolgens beoordelen we de publieke sleutel. Tot slot versturen we versleutelde e-mails.
Voor dit practicum heb je nodig: 1> 1> 1> 1> 1>
twee personen, een Windows XP werkstation, een internetverbinding, een e-mailaccount, het werkblad 'Werkblad Beveiligde Email.doc' .
Tijdsduur:± 30 min.
250
I
!CT SECUR!TY
Ik accepteer de sleutel van Edward niet automatisch. Ik accepteer alleen directe kennissen van Alice.
9.6.1
-7
Publieke sleutels importeren
1.
Voer beide alle handelingen uit op je eigen werkstation.
2.
Log in op je werkstation.
3.
In Mozilla Thunderbird klik je op het menu OpenPGP, en vervolgens op Key Management.
4. Het OpenPGP Key Management venster verschijnt. Selecteer jouw useraccount. Klik op Bestand en klik vervolgens op Send Pubtic Keys by Email.
s.
Het Nieuwe bericht-venster verschijnt. Vul bij Aan: hete-mailadres van je teamgenoot in. Vul bij Onderwerp: 'Mijn publieke sleutel' in. Vul in het berichtgedeelte een korte tekst in. Klik op Verzenden.
6. Wanneer beide personen hun publieke sleutel verstuurd en ontvangen hebben, openen we het e-mailbericht met de publieke sleutel. 7.
In de bijlage van het ontvangen bericht zit een bestand met de .asc extensie. Dit is de publieke sleutel. Open dit bestand met Kladblok en bekijk of het dezelfde opmaak heeft als figuur 9-26. Plak de publieke sleutel van je teamgenoot in het werkblad 'Werkblad Beveiligde Email.doc' en sla dit werkblad op. Sluit Kladblok.
8.
Indien de inhoud eruit ziet als een publieke sleutel, kunnen we deze gaan importeren. In het e-mail bericht klik je met de rechtermuisknop op het .asc bestand en vervolgens op Import OpenPGP Key (figuur 9-28).
.
9. Een popupvenster verschijnt met de melding 'The key(s) where succesfully lmported' 10.
Indien het OpenPGP Key Management-venster nog open is klik je op Bestand en vervolgens op Reload Key Cache. Indien deze al gesloten was klik je in Mozilla OpenPGP, en vervolgens op Key Management.
9
BEVEILIGDE E-MAIL
I
251
Bij deze
_ _ _ _ NOD32 2756 (20071230)
Informatie _ _ __
Dit bericht is gecontroleerd door het NOD32 Antivirus Systeem. http://www.nod32.nl
Verwijderen Alle~ opslaan ...
Alles ontkoppelen •.. Alles verwijderen ...
Qecrypt and Open Oeç_rypt and
A:;, ..
FIGUUR 9-28 Import OpenPGP Key
Hier zien we dat we de sleutel van onze teamgenoot hebben toegevoegd aan onze publieke sleutels (figuur 9-29).
Teamgenoot Beveiligde E-mail
FIGUUR 9-29 OpenPGP Key Management bevat een publieke sleutel.
11.
We hebben een publieke sleutel toegevoegd en we gaan met behulp van onze PGP sleutels een versleutelde e-mail versturen. '
We hebben een publieke sleutel geïmporteerd. Vervolgens gaan we de publieke sleutel beoordelen.
----·---252
I
ICT SECURITY
9. 6.1
-7
De sleutel beoordelen
12. klik op OpenPGP In Mozilla Thunderbird, en vervolgens op Key Management.
13. Het OpenPGP Key Management venster verschijnt. Selecteer het account van je teamgenoot. Klik op Edit en vervolgens op Sign Key.
14. Het OpenPGP- Sign Key venster verschijnt. Hier kunnen we aangeven of we zeker weten dat deze sleutel bij de persoon hoort die de sleutel heeft afgegeven. a. Onder Key tor signing selecteer je de sleutel die je wilt gaan beoordelen. b.
Daaronder moeten we aangeven hoe uitgebreid we hebben onderzocht of de sleutel daadwerkelijk bij deze persoon hoort. Als het goed is zit deze persoon naast je en kan je zijn sleutel op zijn eigen machine controleren, doe dit. Indien ze overeenkomen selecteer je I have
done very caretul check ing.
c. En tot slot geven we aan of we deze sleutel alleen beoordelen voor onszelf of dat we deze gegevens mee willen nemen in ons Web of Trust. Wij beoordelen deze sleutel alleen voor onszelf, dus selecteer Localsignature.
Key for signing<
How e<~r~fully have you v~i~ed'tt>anhe key.yp~, are abqut to SIQO il!ótO~fi;y,bolfcy1g$lo •lt!ie
0 0 0
.I '!'111 not onsw~
1mve no.t chè~kelt at ~11 I hall" done Ca$~al ç~e~I<JnQ
(§);.I l)àve doneVI!l'Y ·<~r~FuléheiWMQ
FIGUUR
d.
9-30 OpenPGP- Sign Key
Klik op OK.
15. Typ je private sleutelwachtwoord hî en klik op OK. 16. We komen weer terug in het OpenPGP- Sign Key venster en zien dat achter het user-account van onze teamgenoot de Key Validity op trusted staat. Met andere woorden: we vertrouwen er nu op dat de sleutel van onze teamgenoot valide is.
17. Selecteer het account van je teamgenoot In het OpenPGP Key Managementvenster. Klik op Edit en vervolgens op Set Owner Trust.
9
BEVEILIGDE E-MAIL
I
253
FIGUUR
9-31 OpenPGP Key Management
18. Het OpenPGP- Set Owner Trust venster verschijnt. Wanneer we gebruik willen maken van een Web of Trust kunnen we hier aangeven in hoeverre we deze persoon vertrouwen om sleutels van anderen voor ons te valideren. Kies in hoeverre je je teamgenoot vertrouwt en selecteer het bijbehorende niveau (figuur 9-32). Klik op OK.
10 l ;tru~t ;fQ!Iy
0
lttu$tli~i!ir~\éi';'
FIGUUR 9-32 OpenPGP Key Management
19. We komen weer terug in het OpenPGP- Sign Key venster en zien nu dat achter het u seraccount van onze teamgenoot de Owner Trust de trust-level staat die wij hebben toegekend aan onze teamgenoot (figuur 9-33).
254
I
!CT SECURITY
FIGUUR 9~33 OpenPGP Key Management
20. Maak een screenshot van het OpenPGP- Sign Key venster en plak deze in het
werkblad 'Werkblad Beveiligde Email.doc' en sla dit werkblad op. 21. Sluit het
OpenPGP- Sign Key venster.
We hebben de sleutel beoordeeld. We gaan nu een versleutelde e-mail versturen.
9.6.3
-t
Versleutelde e-mail versturen
22. Klik op Bestand in Mozilla Thunderbird, selecteer Nieuw, klik vervolgens op
Bericht. 23. PGP kan alleen platte tekst versleutelen. De meestee-mailberichten hebben echter een HTMl opmaak. Deze opmaak moeten we dus eerst veranderen. In het Nieuwe bericht-venster klik op Opties, vervolgens op Opmaak en ten slotte op Alleen platte tekst {figuur 9-34).
Platt1:1 en HTML ·tekst
FIGUUR
9-34 Zorg dat de e-mail in platte tekst wordt verstuurd.
9
BEVEILIGDE E-MAIL
I
255
24. Vul bij Aan: het e-maitadres van Je teamgenoot in. Vul bij Onderwerp: 'Versleuteld bericht' in. Vul in het berichtgedeelte een 'geheime' tekst in.
25. We moeten nog aangeven dat we het bericht willen versleutelen. In het Nieuwe bericht-venster klik je op OpenPGP, vervolgens op En crypt Messa ge. Het sleutelicoontje rechts onder in hete-mailbericht licht nu lichtgroen op om aan te geven dat het bericht versleuteld zal worden. Wanneer je met de muis over het sleuteltje gaat .zal de tekst' Message wi/1 be encrypted' verschijnen. 26. Klik op Verzenden.
27. Er verschijnt een waarschuwingsvenster dat aangeeft dat HTML berichten niet versleuteld worden (figuur 9-35). Klik op Ok.
FIGUUR 9-35
Waarschuwing dat de e-mail in platte tekst verstuurd moet worden.
28. Er verschijnt een OpenPGP Confirm venster. Vink Remember my answer and do not
ask me again aan (figuur 9-36). Klik op ja.
FIGUUR 9-36
Bevestig de encryptie
29. Klik wanneer beide personen hun'geheime bericht verstuurd hebben op E-mail ophalen. 30. Klik wanneer het geheime bericht van de teamgenoot binnen is op het bericht
om deze te bekijken. Er verschijnt dan een OpenPGP Promt venster, typ jouw wachtwoord die bij jouw PGP sleutelpaar past in en vink Remember for 5 idle
minutes uit (figuur 9-37). Klik op Ok.
256
I
ICT SECURITV
FIGUUR 9-37 Typ wachtwoord
31. We zien de inhoud van ons versleutelde bericht. De boodschap staat tussen het gedeelte met de sterretjes {figuur 9-38).
~~~******
*BEGIN EHCRYPTED or SIGDED PART* *********
Dit is mijn zeer geheime boodschap
********** *END ENCRYPTED or SIGNED PART* ********** __________ NOD32 2756 (20071230)
Informatie __________
Dit bericht is gecontroleerd door het NOD32 Antivirus Systeem. http: I ;'<;ww. nod32. nl
FIGUUR 9-38 Versleutelde e-mail
32. Klik op het sleutelicoontje rechts onderin om te zien of het bericht versleuteld of gesigneerd was. We zien aan Decrypted message dat deze versleuteld was {figuur 9-39).
FIGUUR 9-39 Versleutelde e-mail bevestiging
33. Maak een screenshot van het bericht en plak deze in het werkblad 'Werkblad Beveiligde Email.doc' en sla dit werkblad op. 34. Sluit het e-mailbericht.
9
BEVEILIGDE E-MAIL
I
257
35. Klik eenmaal op een ander bericht en vervolgens weer6pbet vérsleut~d1e bericht. Het OpenPGP Promt venster verschijnt wederom, klik nu drie maal op Annuleren.
36. We zien nu een e-mail bericht zonder leesbare inhoud (figuur 9-40).
-----BEGIN PGP BESSAGE----Cbarset: ISo-8859-1 Version: GnuPG v1.4.7 (HingW32) Comment: Using GnuPG with Hozilla- http://enigmail.mozdev.org hQIOAxZYrhLWytuqEAt/R92D8jj4y9E6xVgt4E019vfF01W1TgEDFJWKOEYuUCKj !qPQvNop9fpkUJbB3mTZByqqER3Hey8BNV1RgrlB/On~TUYgqEoZ1S315B6I
H/sJ3SgHoaqENILKXLB1PCE1oxyMF4bvwWJR6aNIO+zbnz44bgUILq9Qqldr006g KdpfliOXcS/7YSm5brcwgvCRpjyNEgloR2ZgS73x09b800Yb101DJol86adAGyli tZ+2Yzl1178XEoTypiRWqyp17+BGSN6hLLrc4+1107W162E6rruyfE9a3Bq1Be3b 6/Ke/8gDPd/93UelTIBNJjvYISOODNBjXQ2jbgbmewgAnpZ2+26sY4BPndz9Gd2x vhWVJ9rV/1gERoyMUWSBXZg3pJtY7hMlqmJ3zkNdnL/bAiqnRR2ADXUKDX4VGymh z8slOWOTePjNCa3ExN7XtCBLOs8vHPEQR3bA204BSO&IrtX9420yvrkZH/3K5TzL R3WU5AliJoZkkhKYN1EjafC6TxTzVyLYu+WcD+TAiqJjAXE40EFvaRnC3tXSV3TU OtT384t30kPo7XWNvv0cXAyTPp8gWP8tAgaT/2DNkupJUePm41H/zRJxJxjrDhWd xkNQi8RWjuEYPDdPHtnt13qCggpqraUCSkCg4oU8UC4ZUL7Najve8FbzhRJAoLQx
FIGUUR 9-40
ç
Onleesbare e-mail
37. Maak een screenshot van het bericht en plak deze in het werkblad 'Werkblad Beveiligde Email.doc' en sla dit werkblad op. We hebben een versleutelde e-mail verstuurd. We weten nu zeker dat als iemand anders dite-mailbericht in handen krijgt, hij deze niet kan tezen.
Het practicum samengevat
.
De publieke sleutels zijn uitgewisseld. 1> De sleutels zijn beoordeeld. 1> We hebben een versleuteld e-mailbericht verstuurd. 1>
258
I
ICT SECURITY
9 PRAeneuM
-7
E-mail sniffen
Dit is een practicum in twee delen: 1> Eerst bekijken we met Wireshark een standaard e-mail. 1> Vervolgens versturen we een versleutelde e-mail die we bekijken met Wireshark. Voor dit practicum heb je nodig: 1> twee personen, 1> een Windows XP werkstation, 1> een internetverbinding, 1> een e-mailaccount, 1> het werkblad 'Werkblad Beveiligde Email.doc'. Tijdsduur:± 30 min.
9.7 .I
-7
Standaarde-mails bekijken met Wireshark
1.
Voer beide alle handelingen uit op je eigen virtuele werkstation.
2.
log in op je werkstation.
3.
Open Wireshark, klik op Capture en vervolgens op Interfaces.
4.
Bepaal in het Wireshark Interfaces venster met welke interface we gaan sniffen. (zie hoofdstuk-8- Netwerkverkeerbeveiliging voor meer info) (figuur 9-41).
FIGUUR
5.
9-41 Wireshark Interfaces
Open Mozilla Thunderbird, klik op Bestand, selecteer nieuw, klik vervolgens op
bericht.
9
BEVEILIGDE E-MAIL
I
259
6. Het Nieuwe bericht-venster verschijnt. Vul bij Aan: hete-mailadres van je teamgenoot in. Vul bij Onderwerp: 'Test' in. Vul in het berichtgedeelte een korte tekst in (figuur 9-42).
FIGUUR 9-42 Test E-mail
7.
Maak een screenshot van het nieuwe bericht en plak deze in werkblad 'Werkblad Beveiligde Email.doc'.
8.
Ga naar Wireshark en klik in het Interfaces venster op Start bij de juiste interface.
9. Ga naar het nieuwe bericht in Mozilla Thunderbird en klik op Verzenden. 10. Zodra het bericht volledig is verzonden ga ja weer terug naar Wireshark. Klik op
Capture en vervolgens op Stop. 11. Zoek in de resultaten van Wireshark een pakketje van de verzonden e-mail. Deze
is te herkennen aan het SMTP protocol (figuur 9-43). 12. Laat Wireshark deze weer in elkaa'r puzzelen door met de rechtermuisknop op het
pakketje te klikken en vervolgens te klikken op Follow TCP Stream.
13. Het Follow TCP Stream venster verschijnt. Zoek de tekst van de zojuist verstuurde e-mail en selecteer deze met de muis (figuur 9-44). Maak een screenshot van het Follow TCP Stream venster en plak deze in werkblad 'Werkblad Beveiligde Email.doc'.
260
I
ICT SECURITY
FIGUUR
9-43 Wireshark resultaten
FIGUUR
9-44 Geselecteerde tekst uit de Wireshark Follow TCP Stream resultaten
14. Sluit Wireshark. We hebben redelijk eenvoudig onze eigen e-maH kunnen uitlezen. Nu gaan we bekijken wat de resultaten zijn als we proberen een PGP versleutelde e-mail uit te lezen.
9
BE V Elll GD E E- MA ll
I
261
9.7.2
Versleutelde e-mails bekijken met Wireshark
--7
15. Open Wireshark en Mozilla Thunderbird. 16. Ga in MozUia Thunderbird naar Postvak IN en seteeteer het bericht met de titel Versleuteld bericht. Klik op Beantwoorden.
17. Het Nieuwe bericht-venster verschijnt. Wanneer we naar het sleutelicoontje rechts onderin kijken, zien we dat deze licht groen gekleurd is. De versJeuteling staat automatisch aan wanneer we een versleuteld bericht beantwoorden. 18. Typ een kort antwoord op het bericht. Maak een screenshot van het antwoord en plak deze in werkblad 'Werkblad Beveiligde Email.doc'.
19. Ga naar Wireshark, klik op Capture en vervolgens op Interfaces. 20. Bepaal in het Wireshark lnterfaces~venster met welke interface we gaan sniffen.
Klik op Start bij de juiste interface. 21.
Ga naar het nieuwe bericht in Mozilla Thunderbird en klik op Verzenden.
22. Zodra het bericht volledig is verzonden ga je weer terug naar Wireshark, klik op
Capture en vervolgens op Stop.
23. Zoek in de resultaten van Wireshark een pakketje van de verzonden e-mail. Deze is, zoals je inmiddels weet, te herkennen aan het SMTP protocol. 24. laat Wireshark deze weer in elkaar puzzelen door met de rechtermuisknop op het pakketje te ktikken en vervolgens te klikken op Follow TCP Stream.
25. Het Follow TCP Stream venster verschijnt. Nu treffen we echter geen bericht aan, alleen versleutelde tekst {figuur 9~45). Maak een screenshot van het Follow TCP Stream venster en plak deze in werkblad 'Werkblad Beveiligde Email.doc'. 26. Sluit Wireshark en Mozilla Thunderbird.
We hebben nu gezien dat versleutelde e-mail berichten niet uit te lezen zijn met een snifter en dat deze berichten ook niet te lezen zijn als ze per ongeluk in de verkeerde handen vallen. 262
I
!CT SECURITY
FIGUUR
9-45 Geselecteerde tekst uit de Wireshark Follow TCP Stream resultaten
9
BE V Elll GD E E-MAIL
I
263
Het practicum samengevat We zijn in staat geweest de inhoud van een normale e-mail uit te lezen met een sniffer. t> We hebben gezien dat we de inhoud van een versleutelde e-mail niet uit kunnen lezen. t>
E-mail authenticatie 9. 8 sEoREIGINCi --7
De afzender is vervalst
Op het moment dat we een e-mail bericht lezen gaan we ervan uit dat dit bericht verstuurd is door de persoon die bij de afzender staat. In de meeste gevallen is dit ook zo. Er zijn echter een aantal scenario's te bedenken waarin dit niet het geval hoeft te zijn. Zo kun je bij de meeste e-mailclients bij de naam van de afzender elk willekeurig e-mailadres en naam invullen.
Risico
Middel
9·9 oPtossuNG --7
E-mail signing
Om zeker te zijn dat het bericht dat aankomt verstuurd is door de voor ons vertrouwde persoon kan het bericht voorzien worden van een publieke sleutel. Nog specifieker kan het bericht voorzien worden van deSHAl hashwaarde van de publieke sleutel. Wanneer we in het bezit zijn van de publieke sleutel van iemand kunnen we de hashwaarden vergelijken (zie paragraaf 6.3 De digitale vingerafdruk, hashing) en zo bepalen of het authentiek is. Dit proces noemen we het signen (Engels voor signeren) van een e-mailbericht. 264
I
I cT sEc u RIT y
9.10·
Signeren van e-mails
PRAcTicuM --1
In dit practicum gaan we een e-mail signeren, versturen en controleren: Voor dit practicum heb je nodig: t> twee personen, t> een Windows XP werkstation, t> een internetverbinding, t> een e-mailaccount, t> het werkblad 'Werkblad Beveiligde Email.doc'. Tijdsduur:± 5 min. 1.
Voer beide alle handelingen uit op twee verschillende werkstations.
2.
Log in op je werkstation.
3. Open MoziUa Thunderbird, klik op Bestand, selecteer Nieuw, klik vervolgens op bericht.
4. Het Nieuwe bericht venster verschijnt. Vul bij Aan: hete-mailadres van je teamgenoot in. Vul bij Onderwerp: 'gesigneerd bericht' in. Vul in het berichtgedeelte een willekeurige tekst in.
5. We moeten nu aangeven dat we het bericht willen signeren. In het Nieuwe bericht-venster klik je op OpenPGP. Klik vervolgens op Sign Message. Het pen-icoontje rechts onder in het e-mailbericht licht nu lichtgroen op om aan te geven dat het bericht gesigneerd zal worden. Wanneer je met de muis over de pen gaat zal de tekst' Message wil/ be signed' verschijnen. '
6.
Klik op Verzenden.
7.
Wanneer beide personen hun gesigneerde bericht verstuurd hebben, klik je op E-mail ophalen.
8.
Wanneer het gesigneerde bericht van de teamgenoot binnen is, klik je op het bericht om deze te bekijken.
9 BE V EI Ll G D E E- MA I L
I
265
9.
In tegenstelling tot het versleutelde bericht kan een ieder dit bericht lezen. Op de OpenPGP regel zien we nu dat het bericht gesigneerd is: Part of the message is
signed (figuur 9-46).
*~*******
*BEGIN EHCRYPTED or SIGDED PART* *********
Willekeurige tekst
FIGUUR
9-46 Gesigneerde e-man
10. Nu zien we echter dat het pen-icoontje rechts onder in het e-mail bericht licht-
groen is. Klik op het pen-icoontje. 11.
Hetpopup-venster OpenPGP Security Info verschijnt. Deze vertelt ons dat de signatuur goed is. Ook worden de {hash)waarden weergegeven (figuur 9-47).
FIGUUR
9-47 Signatuur klopt
12. Maak een screenshot van het OpenPGP Security Info venster en plak deze in werk-
blad 'Werkblad Beveiligde Email.doc'. Klik op OK.
13. Sluit Mozilla Thunderbird. We hebben gesigneerde e-mail verstuurd en gezien dat deze bevestigt dat de e-mail van de juiste afzender komt.
Het practicum samengevat 1>
We hebben gesigneerde e-mail verstuurd en ontvangen.
266
I
ICT SECURITY
9J1
Samenvatting In dit hoofdstuk heb je de volgende dingen geleerd: 1>
wat een publieke en private PGP sleutel is,
1> 1>
wat een Web of Trust is, hoe je OpenPGP installeert op je werkstation,
1>
hoe je publieke sleutels importeert,
1>
hoe je sleutels beoordeelt, hoe je versleutelde e-mail verstuurt, hoe je de inhoud van een standaard e-mail kan uitlezen met een sniffer,
1> 1> 1> 1>
wat het signeren van een e-mail is, hoe je de afzender van een e-mail verifieert.
9
B EV EI u G D E E- MA I L
I
267
