Share
Afbeeldingen credits: Email Self Defense - de Free Software Foundation.
Na de onthullingen van Snowden in 2013 begon ik de privacy van mijn e-mailcommunicatie te verbeteren. Aanvankelijk ging ik op zoek naar het installeren van mijn eigen privé e-mailserver (Tuts +). Uiteindelijk heb ik geleerd dat het beveiligen van je e-mailserver moeilijk is en dat het belangrijk is om je nu toe te leggen op codering per bericht.
Dit is de eerste zelfstudie van een serie waarin ik me zal concentreren op het coderen van je e-mail. In deze zelfstudie introduceer ik de algemene concepten van codering en hoe deze kunnen worden gebruikt om onze e-mails te beveiligen en te verifiëren. In de tweede zelfstudie begeleid ik u bij het installeren van coderingssoftware op uw computer en begin ik met het verzenden van uw eerste berichten.
We zullen ook de codering van browsergebaseerde e-mail onderzoeken en het "web of trust" versterken, en dan zullen we een beetje van onderwerp veranderen om uw internetactiviteiten met behulp van een VPN te versleutelen. Eindelijk, als onderdeel van de serie over het beheren van uw digitale assets na uw overlijden, zullen we gebruik maken van wat we hebben geleerd om een veilige cache met belangrijke informatie voor uw nakomelingen te maken in geval van nood.
In deze serie zal ik herhaaldelijk verwijzen naar een geweldige bron die is opgezet door de Electronic Frontier Foundation (EFF) genaamd The Surveillance Self-Defense Guide. Misschien wil je ook een van hun uitleggers lezen, Een inleiding tot Public Key Cryptography en PGP, die deze specifieke tutorial evenaart. Ik heb geprobeerd deze tutorial een beetje eenvoudiger te maken te maken.
Eerlijk gezegd is de architectuur van ons wereldwijde e-mailsysteem niet gebouwd voor privacy of authenticatie. Sterker nog, ik zou zeggen dat het fundamenteel gebroken is op manieren die we moeten herzien voor het moderne digitale communicatietijdperk. Tot die tijd is Pretty Good Privacy, ook bekend als PGP, de beste manier om onze privacy te beschermen en onze communicatie te verifiëren.
Activist en technologiedeskundige Phil Zimmerman vond PGP uit in 1991. De Amerikaanse overheid vervolgde hem voor zijn werk en het is de moeite waard om te lezen over zijn werk en de geschiedenis.
In deze tutorial ga ik de basisprincipes van PGP uitleggen en hoe je het kunt gebruiken om de vertrouwelijkheid van je communicatie in een surveillancemaatschappij te waarborgen en ook hoe je de identiteit van mensen waarmee je communiceert moet authenticeren.
Houd in gedachten dat ik wel deelneem aan de onderstaande discussies. Als je een vraag of een suggestie voor een onderwerp hebt, plaats dan een commentaar hieronder. Je kunt me ook volgen op Twitter @reifman of mij rechtstreeks een e-mail sturen.
PGP is een systeem van codering dat werkt met een paar toetsen die symmetrisch werken. Een paar sleutels wordt een privésleutel en een openbare sleutel genoemd. Mensen moeten hun persoonlijke sleutel te allen tijde veilig en beveiligd houden en niet met anderen delen. Ze kunnen echter hun publieke sleutel delen op betrouwbare openbare sleuteluitwisselingen en persoonlijk.
Doorgaans installeren PGP-gebruikers een of andere commerciële of opensource-versleutelingssoftware die compatibel is met de OpenPGP-standaard. GnuPG is een veel voorkomende implementatie van OpenPGP. Sommige afbeeldingen die ik gebruik in de zelfstudie zijn afkomstig van de GnuPG e-mail zelfverdedigingsinfrastructuur van de Free Software Foundation.
U kunt uw PGP-software gebruiken om gecodeerde berichten te verzenden. Uw software codeert het uitgaande bericht met de openbare sleutel van uw ontvanger.
Het bericht zelf kaatst rond op het internet als wartaal, onleesbaar voor iedereen zonder de privésleutel van de ontvanger.
Elke bewakingsinstantie die het bericht onderschept, kan de inhoud niet ontcijferen.
Wanneer uw ontvanger de wuftboodschap ontvangt, zullen zij hun PGP-software gebruiken met hun privésleutel en uw openbare sleutel om het bericht te decoderen.
Als u toestaat dat uw privésleutel in verkeerde handen valt, kunnen andere mensen u nabootsen door namens u versleutelde berichten te verzenden. Ze kunnen ook vertrouwelijke berichten lezen die met codering naar u zijn verzonden.
Uw privésleutel kan worden gestolen zonder dat u het merkt. Als malware bijvoorbeeld op uw computer wordt geplaatst, kunnen criminelen of spionnen van de overheid het illegaal verkrijgen. Je zou het nooit weten.
Het is erg belangrijk om je privésleutel te beschermen met een ongelooflijk sterk wachtwoord. Wanneer Edward Snowden zijn wachtwoord invoert onder een deken in Citizenfour, beschermt hij zijn privésleutelwachtwoord tegen mogelijke videobewaking.
Als uw privésleutel, misschien opgeslagen op een laptop of een USB-stick, wordt gestolen, zal uw wachtwoord daders ervan weerhouden toegang te krijgen tot het wachtwoord. Maar uiteindelijk zullen ze er toegang toe hebben.
Als u ooit ontdekt dat uw privésleutel is aangetast, kunt u anderen op de hoogte stellen om het web van vertrouwen te behouden. We bespreken dit hieronder verder..
PGP codeert de onderwerpregel niet of naar: adresregel van gecodeerde berichten, soms de berichtenvelop genoemd. Daarom zal PGP niet verbergen wie je kent, tenzij je een manier hebt om anonieme openbare sleutels uit te wisselen met mensen die anonieme e-mailadressen gebruiken die alleen hun e-mail gebruiken via Tor om hun IP-adres te verbergen..
Digitale handtekeningen kunnen verifiëren dat een bericht is verzonden door de persoon die de privésleutel van de afzender vasthoudt en controleren of er met het bericht niet is geknoeid.
Meestal gebeurt dit door een cryptografische hash van het oorspronkelijke bericht te genereren en vervolgens de hash te coderen met de privésleutel van de afzender (het omgekeerde van wat wordt gedaan om het bericht te coderen). Dit wordt het ondertekenen van het bericht genoemd. De afbeelding hieronder is van Wikipedia.
Zelfs kleine veranderingen in het bericht veranderen de hash radicaal.
Wanneer de ontvanger het bericht ontvangt, decoderen ze de hash met de openbare sleutel van de afzender en verifiëren ze het resultaat. Als de hash correct is, bewijst het dat de persoon die de privésleutel van de afzender heeft het bericht heeft verzonden. Als de hash niet klopt, is er met het bericht geknoeid of is het niet verzonden door de vermeende afzender.
Uw vermogen om PGP te vertrouwen, is afhankelijk van de betrouwbaarheid van de openbare sleutel die u van de afzender hebt ontvangen. Als ik bijvoorbeeld mijn openbare sleutel naar u heb gemaild - en de NSA het bericht onderschept en het met hun openbare sleutel heeft vervangen - kunnen zij beginnen gecodeerde berichten naar u te verzenden waarvan u denkt dat ze van mij zijn. Of, als je gecodeerde berichten hebt uitgewisseld met je vriend en hun privésleutel is aangetast, kunnen andere mensen je privéberichten lezen.
Dit kan heel belangrijk zijn als je een spion of een activist bent.
De betrouwbaarheid van sleutels staat bekend als het Web of Trust.
Als je over PGP leest, zie je de genoemde mythologische 'key parties' (waarschijnlijk georganiseerd door Jake Applebaum). Je zult waarschijnlijk nooit voor iemand worden uitgenodigd. (Ik heb Jake een paar keer ontmoet, maar ik ben niet cool genoeg om te worden uitgenodigd voor zijn belangrijkste feestjes.)
De meesten van ons kleine mensen gebruiken sleutelservers om onze sleutels in te ruilen. Gebruikers die we vertrouwen, mogen de openbare sleutels van andere mensen die we willen berichten digitaal ondertekenen en hierdoor hebben we enige zekerheid over de geldigheid van specifieke openbare sleutels.
Uiteindelijk is de enige manier om er zeker van te zijn dat je de echte openbare sleutel van iemand hebt, deze persoonlijk in te wisselen.
Er zijn echter een aantal interessante nieuwe services die proberen het web van vertrouwen te verbeteren, dat ik in komende afleveringen zal bespreken.
Ik hoop dat je je geïnspireerd voelt om je e-mail te beveiligen. Ik kom in de volgende tutorial en begeleid je bij het installeren van versleutelingssoftware op je computer, maak je eerste sleutelpaar en begin met het verzenden van je eerste beveiligde berichten.
Aarzel niet om uw vragen en opmerkingen hieronder te plaatsen. Je kunt me ook bereiken via Twitter @reifman of mij rechtstreeks een e-mail sturen. Je kunt mijn andere tutorials vinden door te bladeren op mijn Tuts + instructeur-pagina.
Accentsconagua