Digitale certificaten en encryptie

Beveiligde verbindingen met een webserver, geëncrypte gegevens, versleutelde e-mails: stuk voor stuk technieken die met digitale certificaten (kunnen) werken. Wat moet je daar precies onder verstaan en hoe pak je dat in de praktijk aan?

Een digitaal certificaat bevat verschillende brokjes informatie, waaronder de geldigheidsperiode en de identiteit van de eigenaar (zijn e-mailadres bijvoorbeeld) en van de autoriteit die het heeft uitgevaardigd (de certificeringsautoriteit, kortweg CA). Zo’n certificaat kun je dus min of meer vergelijken met een paspoort, maar deze elektronische variant zit toch wel complexer in elkaar.

In deze workshop leggen we het allemaal uit waar we meteen met twee concrete toepassingen van digitale certificaten aan de slag gaan: dataversleuteling met EFS en e-mailbeveiliging met behulp van CA GlobalSign.

Dataversleuteling

De ‘zakelijkere’ varianten van Windows (Professional, Business, Ultimate, Enterprise) bieden volledige ondersteuning voor ‘encrypting file system’, kortweg EFS. Hiermee kun je gegevens veilig encrypten (versleutelen) en weer decrypten.

Dat doe je als volgt: rechtsklik in de Windows Verkenner op de map die je wil encrypten en kies Eigenschappen. Op het tabblad Algemeen klik je vervolgens op Geavanceerd en plaats je een vinkje bij Inhoud versleutelen (of coderen) om gegevens te beveiligen. Bevestig met OK. Beslis of je alleen de gegevens uit deze map of ook die uit onderliggende mappen wilt versleutelen. Zodra je nogmaals op OK klikt, worden de gevraagde data geëncrypt. Dat maakt Windows duidelijk door de map- en bestandsnamen (standaard) groen te kleuren in de Verkenner.

Alle gegevens die je vanaf nu in deze map(pen) creëert of kopieert, worden automatisch ook versleuteld. Zolang je met hetzelfde Windows-account bent aangemeld, kun je deze versleutelde data probleemloos benaderen: efs zorgt ervoor dat die 'on the fly' worden ontsleuteld.

Certificaat opvragen

Het hele proces van encryptie en decryptie met EFS mag dan volledig transparant naar de – legitieme – gebruiker toe verlopen, maar alles staat of valt met je digitale certificaat en je persoonlijke (private) sleutel. Raken die corrupt of verloren, dan ben je meteen ook de toegang tot je versleutelde data kwijt. Snel even een ander Windows-account (met dezelfde naam) creëren, helpt je in dit geval niet uit de nood!

Nu geeft Windows zelf wel aan een backup van je certificaat te maken, maar je kunt dat op elk moment ook zelf doen. Dat kan zowel vanuit Internet Explorer als vanuit de module voor certificatenbeheer, die je opstart door de in het Uitvoeren veld (Windows-toets + R op je toetsenbord) het commando certmgr.msc uit te voeren.

In Internet Explorer bereik je deze informatie via ExtraInternetopties, tabblad InhoudCertificaten. Normaliter vind je het certificaat dat door EFS is aangemaakt op het tabblad Persoonlijk. Als je dit selecteert en op Weergeven klikt, lees je wanneer het certificaat is gecreëerd, waarvoor het dient, aan en door wie het werd verleend (in dit geval speel je je eigen CA, aangezien het om een zelf ondertekend certificaat gaat) en hoelang het geldig is. Nog meer (technische) informatie krijg je op het tabblad Details.

Certificaat backuppen en herstellen

Je certificaat backuppen doe je via de knop Exporteren. Klik op Volgende in het welkomstvenster van de wizard en vink in het volgende venster bij voorkeur Ja, de persoonlijke sleutel exporteren aan. Klik op Volgende en scherm het exportbestand met een wachtwoord af. Bevestig opnieuw met Volgende, klik op Bladeren en kies een geschikte naam en locatie voor de backup. Nog even bevestigen met OK en Voltooien en je backup is klaar.

Stel dat je certificaat of persoonlijke sleutel op de één of andere manier verloren raken, dan kun je die op nagenoeg dezelfde manier herstellen. Alleen kies je deze keer voor de wizard Importeren en verwijs je naar je backupbestand. Kies in het uitklapmenu bij Bestandsnaam dan wel eerst even het juiste formaat – gebruikelijk met extensie .pfx.

Achter de schermen van EFS

Zodra je EFS activeert, creëert Windows automatisch voor jou een digitaal certificaat. Tegelijk worden 2 sleutels op je pc aangemaakt: een publieke en een persoonlijke (private) sleutel, waarbij de publieke sleutel in je digitale certificaat wordt opgenomen. Je digitale certificaat (inclusief publieke sleutel) mag gerust je pc verlaten. Wel belangrijk is dat niemand je persoonlijke sleutel in handen krijgt.

Nu gebruikt EFS weliswaar een eigen sleutel(paar) om je data te encrypten/decrypten, de file encryption key (fek), maar deze sleutel wordt door EFS wel eerst met je publieke sleutel geëncrypt.

Als je nu weet dat data die met je publieke sleutel zijn geëncrypt enkel en alleen met je persoonlijke sleutel te decrypten zijn (!), dan weet je meteen dat EFS je persoonlijke sleutel nodig heeft om de fek te kunnen gebruiken en zodoende ook je gegevens te kunnen decrypten. Je raadt het al: deze sleutel wordt angstvallig op je schijf bewaard en is uitsluitend toegankelijk voor wie zich met jouw (wachtwoordbeveiligd) Windows-account weet aan te melden.

E-mailbeveiliging

E-mail is best handig, maar bepaald veilig kun je dit medium niet noemen. Zo heb je als verzender geen zekerheid dat je bericht niet door derden (operators van de mailservers, bijvoorbeeld) wordt gelezen of zelfs aangepast. Als ontvanger kun je bovendien alleen maar vermoeden dat de afzender is wie hij beweert te zijn. Hij kan hoe dan ook altijd nog ontkennen dat hij degene is die het bericht heeft verstuurd. Een digitaal ondertekend en gecodeerd bericht maakt een eind aan al die twijfels. In deze workshop gebruiken we een certificaat dat is uitgereikt door CA GlobalSign en dat je gedurende dertig dagen gratis kunt gebruiken.

Certificaat aanvragen

Surf naar de website van GlobalSign. Deze site voert je naar een pagina op GlobalSign, waar je meteen kunt intekenen voor een proefversie van PersonalSign – je eigen digitale certificaat voor e-mail. In feite hoef je hier maar de instructies te volgen en de gevraagde informatie in te vullen.

Belangrijk is wel dat je het e-mailadres dat je invult effectief gebruikt om digitaal ondertekende berichten te versturen (je krijgt ook een paar bevestigingsmails op dat adres). Wellicht verkies je het vinkje te verwijderen bij Yes, opt in to receive important GlobalSign notices and offers.

Wat verderop in de registratie (bij Product Details) plaats je gemakshalve een vinkje bij Yes, use PKCS#12 Option: dan worden je publieke en persoonlijke sleutels vooraf gecreëerd. Een venster verder dien je nog een pickup password in te vullen, die nodig is om straks je certificaat op te kunnen halen. Nog even bevestigen en je mailbox in de gaten houden.

Certificaat importeren

Als alles goed is verlopen, rollen bijna onmiddellijk 2 mails binnen. Neem die even door, maar het is eigenlijk vooral (eventjes) wachten op de derde mail. Daarin vind je namelijk een link die bevestigt dat jij de eigenaar van het e-mailadres bent: een klik op I approve volstaat.

Enkele minuten later ontvang je dan een vierde mail. Die bevat een link waarmee je het eigenlijke installatieproces start. Vul je pickup password in, evenals een stevig certificate password, verklaar je akkoord met de licentieovereenkomst en klik op Download My Certificate. Voor zover het installeren nu niet automatisch gebeurt, kies je Opslaan (als Internet Explorer je vraagt wat je met het .pfx-bestand wilt aanvangen).

De wizard Certificaat importeren duikt op (zie ook Certificaat backuppen en herstellen). Vul nogmaals het certificate password in. Laat de optie Automatisch het certificaatarchief selecteren […] aangevinkt en rond de importprocedure af. Controleer of je certificaat correct geïnstalleerd is (zie ook Certificaat opvragen).

Mail digitaal ondertekenen

Nu kun je het certificaat in je e-mailprogramma gebruiken. Als voorbeeld nemen wij Outlook 2010. Open het tabblad Bestand en kies Opties. Selecteer de rubriek Vertrouwenscentrum en klik op Instellingen voor het Vertrouwenscentrum. Open E-mailbeveiliging. Klik in het rechterpaneel op Instellingen.

Je ziet nu het venster Beveiligingsinstellingen wijzigen. Klik op Kiezen bij Handtekeningcertificaat en selecteer het GlobalSign PersonalSign Certificate. Datzelfde certificaat selecteer je ook bij Versleutelingscertificaat. De andere instellingen laat je ongemoeid. Verzin nog even een gepaste naam voor je beveiligingsinstellingen en sluit af met OK.

Je bent nu klaar om je mail digitaal te ondertekenen. Open het venster voor een nieuwe e-mail en ga naar het tabblad Opties. Hier tref je onder meer de knoppen Versleutelen en Ondertekenen aan. Klik op Ondertekenen en verstuur een testberichtje naar jezelf.

Als je het ontvangen bericht opent, zie je rechtsboven een rood zegelicoontje. Wanneer je hierop klikt, krijg je meer informatie: de ontvanger weet nu met zekerheid dat het van de vermelde ontvanger – of althans van dat e-mailadres – afkomstig is en dat er onderweg niet met het bericht werd geknoeid.

Mail versleutelen

Een digitaal ondertekend bericht voorkomt echter niet dat iemand het bericht onderweg onderschept en het zelf ook leest. Om dat tegen te gaan, moet je het bericht encrypten. Dat doe je met de publieke sleutel van de beoogde ontvanger. Alleen hij kan het versleutelde bericht dan lezen, aangezien daar zijn persoonlijke sleutel voor vereist is (en die is veilig op diens pc opgeslagen).

De vraag is nu: hoe krijg je de publieke sleutel van die ontvanger te pakken? Dat is niet zo moeilijk: immers, wanneer die ontvanger jou al een ondertekend bericht heeft opgestuurd, bevat dat bericht zowel zijn digitale certificaat als zijn publieke sleutel!

Voordat je die persoon nu (op basis van zijn publieke sleutel) een versleuteld bericht kunt versturen, moet je wel een kopie van zijn digitaal certificaat in je lijst met contactpersonen opnemen. Rechtsklik op het verzendadres van die persoon en kies Toevoegen aan Outlook contactpersonen. Er verschijnt een nieuw dialoogvenster waar je voor alle zekerheid even op Certificaten klikt: het digitale certificaat van die persoon zou nu te zien moeten zijn. Kies Opslaan en Sluiten.

Voortaan kun je die persoon versleutelde berichten toesturen: het volstaat bij het opstellen van het bericht op het tabblad Opties de knop Versleutelen aan te klikken. Alleen hij kan die berichten (en bijlagen) – in leesbare vorm – openen!

Houd er wel rekening mee dat niet alle e-mailclients (zoals webclients) even goed overweg kunnen met ondertekende of versleutelde berichten.

Comodore Secure Email

Via de dienst van Comodore kun je eveneens een persoonlijk digitaal certificaat ophalen, bedoeld om e-mails te ondertekenen en te versleutelen. Dit certificaat is gratis en kun je gedurende één jaar gebruiken. Je dient er echter wel ook een (beheer)tool voor te installeren (Comodo SecureEmail). Deze tool werkt normaliter samen met Outlook (Express), ThunderbirdWindows (Live) MailEudoraIncrediMail en in principe ook met andere pop/smtp-mailclients.

Deel dit artikel
Voeg toe aan favorieten