A. Wat is een email certificaat?
B. Waarom zou ik het gebruiken?
C. Hoe werkt het?
D. Hoe kan ik het krijgen?
A. Wat is een email certificaat?
Een email (of digitaal) certificaat is een verklaring van echtheid
afkomstig van een onafhankelijke en betrouwbare derde partij. Die
verklaring
is meestal opgemaakt in een speciaal formaat, waarvan de bekendste
standaard
X.509 is. Deze wordt ondersteund door vrijwel alle gangbare
Internetbrowsers:
Netscape, IE, Outlook, Netmeeting, Opera, enzovoorts. Door toevoeging
van
een certificaat aan een email kan de echtheid van die email worden
gegarandeerd.
Personen die beschikken over elkaars certificaten kunnen bovendien
hun onderlinge emails versleutelen. Dat klinkt misschien erg
ingewikkeld.
Maar het installeren van een certificaat gaat vrijwel geheel
automatisch.
En het ondertekenen en versleutelen gebeurt eenvoudig door het
aanzetten
van een vinkje, of het aanklikken van een radioknop. Eventueel (extra
beveiliging)
kan er op het certificaat nog een wachtwoord zijn gezet.
Elk certificaat bevat drie elementen:
1. De persoonsgegevens.
Dat zijn dus de gegevens van degene die gecertificeerd wordt. Als het
om uzelf gaat, zou hier dus uw naam kunnen staan en/of uw emailadres.
Bij
(duur) betaalde certificaten kunnen hier ook zaken vermeld worden als
de
naam van het bedrijf of de afdeling in dat bedrijf waar u werkt. Of er
zou een foto in kunnen staan of een speciale codering van uw
vingerafdrukken,
het nummer van uw paspoort, enzovoorts.
2. De publieke sleutel.
Dit is de publieke sleutel van degene die gecertificeerd wordt. Het
certificaat is ook precies bedoeld om deze publieke sleutel te koppelen
aan de informatie over de persoon, zoals hierboven beschreven staat. De
publieke sleutel kan in een willekeurige (asymmetrische) code staan,
maar
is meestal een RSA (Rivest, Shamir en Adelman) sleutel.
3. De handtekening van de certificerende autoriteit.
De certificerende autoriteit tekent de onder 1 en 2 genoemde zaken
en geeft daarmee geloofwaardigheid aan het certificaat. Alwie het
certificaat
ontvangt controleert de handtekening en kan dus vertrouwen hebben in de
echtheid van het geheel als hij/zij vertrouwen heeft in die
certificerende
autoriteit.
B. Waarom zou ik zo'n certificaat gebruiken?
Email op Internet is niet echt veilig. Terwijl in de normale wereld
het briefgeheim gewoonlijk strikt gerespecteerd wordt, is het in
cyberspace
al jaren heel gewoon, dat in principe iedereen kan meelezen met
iedereen.
Nou ja ... dat is ook weer wat overdreven. Maar elke systeembeheerder
kan
(als hij dat wil) de post van elke gebruiker van zijn systeem meelezen.
Normaliter zal niemand daar echt wakker van liggen. Het gehalte van
de gemiddelde email zal het niveau van het vroegere 27mc verkeer wel
niet
overstijgen. Of kijkt u eens in een willekeurige chatbox op Internet. U
kunt rustig veronderstellen dat het peil van de conversatie daar
ongeveer
gelijk is aan het gewicht van de meldingen die per email over het net
gaan.
Nauwelijks de
moeite van het meelezen waard dus ... ;-)
Toch gaan er bij tijden wel meer gewichtige berichten voorbij. Het risico dat mensen daarbij lopen is des te groter, omdat ze niet echt het gevoel hebben dat Internet onveilig is. Je zit veilig en warm achter je computer. Je bent kalm en rustig bezig je teksten in te voeren. Niemand, die over je schouder meekijkt. Niemand, die met verrekijkers probeert je privacy te schenden. Je drukt op een knop en de tekst is onderweg naar de geadresseerde zonder dat er enige indruk van gevaar gewekt is. De gebruiker merkt er vervolgens ook niets van langs welke gevaarlijke wegen het bericht moet gaan voor het eindelijk bij de beoogde lezer is aangekomen. Overal onderweg kunnen copieen van het bericht gemaakt worden. Systeembeheerders kunnen logfiles aanleggen van alle binnenkomende en uitgaande berichten. Met zoekroutines kunnen die doorzocht worden. Big Brother (niet die malloot van Veronica, maar de echte van Orwell!) kan de hele samenleving in de gaten houden, terwijl die samenleving daar niets van merkt!
Dit alles is natuurlijk vooral gevaarlijk bij 'gevoelige' informatie. Dan kan gedacht worden aan persoonlijke geheimen (liefdesbrieven en zo ;-)), maar ook aan commerciele geheimen (dealerprijslijsten, koopcontracten, creditcard gegevens, enzovoorts). Maar het geldt tenslotte voor alles waarvan u niet wilt, dat onbevoegden het zullen meelezen. Al die zaken komen in aanmerking voor ondertekening en/of versleuteling via betrouwbare certificaten.
C. Hoe werkt het?
De werking is simpel. U vraagt een certificaat aan bij een CA
(Certificaat
Autoriteit). U zult dan uzelf aan die CA moeten identificeren met
identiteitsbewijs
en foto. En mogelijk zult u er ook een (forse) prijs voor moeten
betalen.
Zo vraagt KPN voor zijn keymail certificaten bijvoorbeeld 120 gulden.
Per
jaar. Ex BTW. En een organisatie als BelSign (een Belgische CA) vraagt
60 EURO per jaar. Gelukkig zijn er ook goedkopere CAen. Bij Thawte
kunt u voor een persoonlijk certificaat zelfs helemaal gratis terecht!
Na afhandeling van de identificatie perikelen kunt u bij de server
van de CA uw certificaat ophalen.
Dat wordt vervolgens softwarematig (automatisch) in uw Internetbrowser
gemonteerd. Bij het versturen van email kunt u via het aanklikken van
de
optie 'Ondertekening' het bericht van uw certificaat (a.h.w. uw
digitale
handtekening dus) voorzien.
Als u van de geadresseerde op uw beurt een certificaat hebt ontvangen
(wordt ook automatisch in de browser verwerkt) dan kunt u via het
aanklikken
van de optie 'Encryptie' uw bericht ook versleutelen.
D. Hoe kan ik het krijgen?
Schrijver dezes is 'Thawte Notary' van het Thawte Web of Trust,
een wereldwijde CA, die aan particulieren gratis certificaten
verstrekt.
Men maakt daarbij gebruik van een netwerk van vrijwilligers. Een aantal
daarvan zijn door Thawte zelf geverifieerd, zodat deze lieden
mogen
optreden als 'Thawte Notaries'. Een 'Thawte Notary' is gerechtigd om
aan diegenen van
wie hij de identiteit heeft vastgesteld punten te verstrekken. Naarmate
iemand meer punten verzamelt (wat alleen kan als hij/zij bij meerdere
'Thawte Notaries'
geverifieerd wordt) wordt zijn betrouwbaarheid groter geacht en kan
hij/zij
een certificaat op naam aanvragen. Dat laatste kan bij 50 punten. Heeft
iemand 100 punten verzameld, dan kan hij zelf op aanvraag 'Thawte
Notary' worden.
Voor het verkrijgen van een Thawte Web of Trust certificate dient
men
allereerst zelf een persoonlijk certificaat aan te vragen op
http://www.thawte.com. U dient
dan uw gegevens nauwkeurig in te voeren en een aantal controlevragen te
beantwoorden voor het terughalen van een onverhoopt kwijtgeraakt
wachtwoord.
Vervolgens dient u een ontmoeting in persoon te regelen met een 'Thawte
Notary'. U neemt dan een geldig identiteitsbewijs van uzelf mee,
alsmede
een copie daarvan. De 'Thawte Notary' zal uw gegevens en de copie van
het identiteitsbewijs
overnemen, en zal na controle op de juistheid ervan uw identiteit
bevestigen
op de Thawte site.
Na korte tijd krijgt u daarvan melding via email.
Hebt u 50 punten of meer, dan kunt u bij Thawte een certificaat op
naam aanvragen.
O ja ... mocht uw doopnaam (uw officiele naam dus) erg verschillen van uw roepnaam (uw naam in het dagelijks spraakgebruik) dan is het misschien een goed idee bij de invoering van uw gegevens bij Thawte die roepnaam te gebruiken en niet de officiele doopnaam in te vullen. Anders loopt u de kans dat uw certificaat uitgeschreven wordt op naam van (bijvoorbeeld) "Nicopolodomius" Jansen, in plaats van het gewone "Nico" Jansen. En verandering van de gegevens achteraf, daar doet men (terecht!) tamelijk moeilijk over! ;-)
Praktische tip: elke tweede en vierde woensdag van de maand zijn Jacco de Leeuw (een andere 'Thawte Notary') en mijn persoontje aanwezig op de bijeenkomst van de HCC in Zorgcentrum Bernardus, Nieuwe Passeerdersstraat 2, 1016 XP te Amsterdam (vlakbij het Leidseplein). Als u met de benodigde papieren en copieen daarheen gaat (tussen 20.00 en 22.30) dan kunt u in een keer 70 punten vergaren, zodat u onmiddellijk een certificaat op naam zou kunnen aanvragen. U moet dan natuurlijk al wel een inlognaam bij Thawte hebben. Neemt u van tevoren even per email (agheyden@dds.nl of Jacco's homepage) contact op om nadere regelingen te treffen.
Heeft u nog vragen?
Stuur ze naar een van bovengenoemde email adressen.
A.G. van der Heijden
DISCLAIMEROp geen enkele wijze wil ik met deze webpagina's suggereren dat een "Thawte Notary" een notaris is in de zin van de Wet op het Notarisambt. Wanneer u gebruik wenst te maken van de diensten van een notaris, dient u de volgende website te bezoeken: www.notaris.nl. Certificaten van Thawte en CAcert zijn GEEN "gekwalificeerde certificaten" in de zin der wet. Voor een "gekwalificeerd certificaat" kunt u terecht bij Diginotar of PinkRoccade. |