f.b.brokken@rc.rug.nl
Frank Brokken is sinds oktober 2000 werkzaam als security manager bij het
RC. Met het instellen van deze functie probeert de RUG het ‘security
bewustzijn’ bij de gebruikers van de universitaire ICT-voorzieningen te
bevorderen. Met een column in Pictogram houdt Frank ons op de hoogte van de
stand van zaken met betrekking tot zijn missie.
Echt mooie sleutels zie je tegenwoordig eigenlijk niet meer. De meeste
sleutels zijn van het type kartelrandje-met-een-handvat-aan-het-einde: daarmee
open je dan je huisdeur, je fietsslot, je auto, of welk ander voorwerp dan ook
dat je wilt kunnen afsluiten voor onbevoegden. Toen ik ruim een jaar geleden
als ‘security manager’ in dienst kwam bij het RC, ontstond al snel de wens
om wat algemener beschikbaar te zijn voor ‘eventualiteiten’. En ja hoor:
ook ik moest aan het mobieltje. Om te voorkomen dat dat ding per ongeluk
begint te bellen kun je het toetsenbord uitschakelen: er verschijnt dan een
sleuteltje linksboven in het scherm van het soort dat je de doorsnee
sleutelbar niet meer zo snel zult zien maken.
Zoals ik al opmerkte: echt mooie sleutels zie je tegenwoordig eigenlijk
niet meer. Hoewel... In bijgaande afbeelding heb ik de sleutel van het
Oostumer kerkje afgedrukt: een prachtige sleutel van zo'n 12 cm. lengte, 5 cm.
breedte en ruim 1 cm. dikte. Wie bij gelegenheid de deur van ‘t kerkje eens
van nabij bekijkt (tijdens de Zomer-Jazz-Fiets-Tour of zo), zal het met mij
eens zijn dat een kartelrandje-met-handvat sleutel voor zo'n deur ook
misplaatst zou zijn: daar hoort gewoon iets stevigers bij.
Alweer enige tijd geleden beschreven Frans Velthuis en Anke Breeuwsma in
Pictogram eigenschappen en mogelijkheden van PGP, ‘Pretty Good Privacy’,
dat ook van alles met sleutels te maken heeft. Nog niet zo lang geleden werden
de leden van de Tweede Kamer opgeschrikt door het verhaal over ‘Echelon’:
beroeps‘luistervinken’, werkzaam bij deze of gene geheime dienst, die er
hun werk van maken om informatie die over het internet wordt verzonden te
onderscheppen om zo wellicht informatie boven tafel te krijgen die voor de
veiligheid van de Staat van belang zou kunnen zijn.
Nou maak ik zelf al geruime tijd gebruik van de mogelijkheden die door PGP
worden geboden. Ik vind het wat ‘overdone’ om elk e-mailtje dat ik
verstuur nu te gaan versleutelen; maar toch, soms is er eens iets bij waarvan
ik vind dat ‘t niet voor derden is bestemd. Dat kan een vertrouwelijke
notitie zijn, of een nieuw password voor een gebruiker van een computer die
zijn of haar password even was vergeten.
Ik ben PGP echter algemener gaan gebruiken: zo’n notitie staat meestal
ook nog op de harde schijf van mijn computer en je kunt je afvragen of dat dan
wel zo wenselijk is. Ik vind van niet, en versleutel daarom ook het document
dat in mijn eigen computer is opgeslagen. Tenslotte is de RUG geen fort en
hoewel het niet de bedoeling is dat ICT-inbrekers zomaar toegang krijgen tot
onze faciliteiten worden er per jaar toch altijd wel een paar computers
gekraakt. Wat kun je doen om te voorkomen dat zo’n hacker met je gevoelige
data, brieven, documenten of notities aan de haal gaat? Juist: encryptie.
Zoals toegelicht in het eerdere Pictogram-artikel van Frans en Anke, moet
iemand die een vertrouwelijk bericht wil sturen en gebruik wil maken van PGP
de openbare sleutel (public key) van de geadresseerde in zijn/haar bezit
hebben. Zo’n public key is als het ware een doosje, waarin je een bericht
kunt stoppen: alleen de eigenaar van de bij het doosje behorende sleutel
(inderdaad: de ‘private’ (of ‘secret’) key) kan het doosje openen om
daarna het bericht (als enige) te kunnen lezen.
Het bijzondere is, om de analogie nog even voort te zetten, dat die doosjes
dermate sterk zijn dat je ze niet met een breekijzer of snijbrander open kunt
breken. Dat maakt encryptie tot zo'n gevoelig onderwerp: niet alleen de ‘good
guys’ kunnen er gebruik van maken om hun gevoelige informatie te beschermen,
maar ook de ‘bad guys’ kunnen ‘t gebruiken. Da’s vervelend, maar het
onwettig verklaren van encryptie helpt niet, want daar trekken de schurken
zich toch niks van aan. Door encryptie te verbieden bereik je dat alleen het
gespuis onderling op veilige wijze informatie kan uitwisselen.
Maar goed, je hebt een public key nodig van de geadresseerde om een bericht
te kunnen versleutelen. Zo’n public key heeft een unieke vingerafdruk, een
‘fingerprint’ waarmee je kunt controleren of een openbare sleutel wel van
de juiste persoon is. Da’s niet triviaal. Verspreid over de wereld staan
zogenaamde ‘public key servers’ opgesteld, die de public keys opslaan en
beschikbaar maken. Ze zijn alle met elkaar gesynchroniseerd, dus welke je
gebruikt maakt weinig uit. Ik gebruik zelf regelmatig: http://www.cam.ac.uk.pgp.net/pgpnet/wwwkeys.html
Zoek hier eens naar de public key van Frank Brokken. Als fingerprint
verschijnt dan de titel van deze bijdrage: 8E36 9FC4 1DAA FCDF 1A0D B19F DAC4
BE50 38C6 6170
Hoe weet je nou dat dat inderdaad mijn fingerprint is? Tja.... Vraag ook
eens naar de public key van Bill Clinton: dan wordt meteen duidelijk waarom ik
deze vraag stel. Om het de gebruikers van mijn public key makkelijk te maken
heb ik mijn public key fingerprint op mijn visitekaartje laten drukken: wie
van mij persoonlijk mijn visitekaartje krijgt weet zeker dat deze public key
van mij is (want de fingerprint correspondeert) en kan mij nu vertrouwelijke
informatie versleuteld toesturen: Echelon en anderen hebben het nakijken.
De afgelopen weken hebben vrijwel alle RC-medewerkers een eigen PGP-keypaar
gekregen, en kunnen vrijwel alle RC-medewerkers vertrouwelijke mail ontvangen
en eenvoudig informatie op hun eigen pc beveiligen tegen spiedende ogen. We
zijn hard op weg PGP als standaard dienst binnen de RUG beschikbaar te maken.
Er is inmiddels een PGP-cursus (die eerder aan RC-medewerkers is aangeboden)
en er is software beschikbaar waarmee PGP min of meer eenvoudig kan worden
gebruikt. Kortom, verwacht binnenkort meer nieuws aan dit front. Wie zolang
niet wil wachten kan uiteraard voor meer informatie ook nu al contact met mij
opnemen. Er zijn ook diverse websites, zoals http://www.pgpi.org
Het lijkt me dat iedereen, die omgaat met informatie waarvan het
intellectuele niveau dat van de vakantiegroet-briefkaart te boven gaat, nuttig
gebruik kan maken van PGP.
Een vakantiegroet van jullie RC security manager,
Frank Brokken.
