- NL
|
41175
netweters
|
17748
gesprekken
|
|
19177
vragen
|
Onderwerpen die langer dan 6 maanden geen reactie krijgen, worden afgesloten. Heb je dezelfde vraag of wil je er toch meer informatie over?
Start dan een nieuw onderwerp op De Netweters. Hoe je dit kan doen, vind je hier
Opgelet! Denk eraan dat er in oude onderwerpen informatie kan staan die niet meer up to date is.
Wat is je eigen PC in de huidige tijd? Voor mij is dit mijn desktop, mijn laptop, mijn GSM en mijn vrouw haar gsm. Als ik bij kennissen ben en hun WiFi gebruik dan heb ik een volledig ander IP adres.
Als ik in het buitenland ben dan heb ik een buitenlands IP adres.
Jean (Janneke Dust) | 
Bjørn (sb) |
Welke krant? Heb je een link naar het artikel of een screenshot? Misschien dat zoiets kan als je een eigen mailserver (met eigen domein) draait, maar dan zal het waarschijnlijk beter zijn dat je via een VPN naar je eigen netwerk verbindt. Want anders gaat dat lastig zijn als je bijvoorbeeld met je smartphone inlogt via verschillende netwerken (= verschillende IP adressen). Via Telenet Webmail kan het in elk geval niet.
Hi BitByteNiet
TLDR: Het is vandaag mogelijk e-mails veilig te versturen, maar het is de ontvanger die erin interesse moet tonen. De mensen die het misbruik van hun adres willen voorkomen moeten maar hopen. Helaas tonen de meeste ontvangers geen interesse om de e-mailcommunicatie te beveiligen. Sommigen zijn wel bezorgd, maar dan aanvaarden ze geen e-mail maar meestal enkel een formulier op de webpagina.
Bijv. bij FOD Financiën werken sommige afdelingen uitsluitend via e-mail. Mijn verzoek om versleuteling te gebruiken was afgewezen met een antwoord dat een aangetekende brief het enige alternatief is, indien ik een e-mail niet veilig genoeg vind. En voor mogelijke spoofing geven ze toe dat ze geen oplossing hebben.
Laat me meer uitleg proberen te geven:
Zoals je wenst, een mailadres is wereldwijd uniek. Zo is ook een huisadres of de breedte- en lengtegraad.
De e-maildienst zoals vandaag meest gebruikt, komt uit de tijd voor het Internet zelf. Het is gemaakt volgens het voorbeeld van gewone briefwisseling. De gebruikers van vroeger konden e-mails alleen aan andere gebruikers van dezelfde computer sturen. Zoals de brievenbussen in een appartementsgebouw. De afzender plaatst zijn bericht in de bus van de bestemmeling en niemand anders raakt het aan. Later hebben eigenaars van verschillende computers afgesproken en toegang tot de brievenbussen verleend aan andere computers. De gebruiker moest weten welke weg zijn bericht aflegt en het adres zag er zo uit: computer1!computer2!gebruiker.
Wanneer een echt netwerk ontstond en verschillende computers met gebruik van DNS zich direct met elkaar konden verbinden, is de e-mailtoepassing niet veranderd. Er zijn ook andere systemen ontwikkeld (bijv. X.400) maar de oorspronkelijke e-mail werd al te veel verspreid.
Ik vind de vergelijking van e-mail met de traditionele briefwisseling heel doeltreffend. Een e-mailbericht werkt precies zoals een postkaart. Iedereen die ze in zijn handen heeft (meestal de postmedewerkers) kan het lezen, iets erbij schrijven of afknippen. E-mail is veel sneller, maar op het netwerk bestaan meerdere plaatsen waar de huidige postbodes ervoor zorgen dat het aankomt. En ze kijken ook na wat in het netwerk passeert, soms moeten ze een kopie maken, soms gebeurt een cyberaanval en worden de berichten gestolen.
Het oorspronkelijk probleem van dit topic (authentificatie) bestaat ook bij de gewone post. Iedereen die jouw naam, huisadres en RRN kent kan bijv. een belastingsaangifteformulier in jouw naam invullen en posten of aangetekend opsturen - de post kijkt niet naar de identiteit van de klanten.
Traditioneel wordt een envelop gebruikt om te verzekeren dat de berichten alleen door de bestemmeling gelezen kunnen worden. Soms wordt ook een zegel gebruikt. De geadresseerde kan dan zien of de brief niet beschadigd is, en indien hij jouw zegel herkent, kan hij ook vermoeden dat het bericht van jou komt en niet van iemand anders.
Die envelop is digitaal onmogelijk na te maken. Wat wel mogelijk is, en ook effectief gedaan wordt, zijn twee dingen:
– Om wijzigingen te voorkomen, neem je een doorzichtige envelop, die verzegeld kan worden. Iedereen kan jouw bericht altijd zien, maar kan door het waarmerk weten dat het van jou komt en elke wijziging zou de envelop beschadigen en dus herkenbaar blijven.
– Om te vermijden dat iemand het bericht kan lezen, stuurt de bestemmeling aan de afzender een afsluitbare doos, waar alleen hij (de bestemmeling) een sleutel van bezit. De afzender kan zijn bericht erin steken en dichtmaken. Het bericht kan eventueel eerst ook in de doorzichtige verzegelde envelop geplaatst worden. Daardoor wordt de afzender duidelijk en is dus verzekerd dat niemand de geopende doos heeft gestolen en een vals bericht stuurt.
In elk geval moet de bestemmeling zijn initiatief nemen om de integriteit van de boodschap na te gaan. Hij moet op voorhand weten hoe jouw zegel eruitziet of ten minste wie het voor jouw gemaakt heeft. Voor de vertrouwelijkheid moet hij zijn afsluitbare doos op voorhand overhandigen.
De twee beschreven handelingen heten in e-mailtermen digitale handtekening en encryptie. Er zit heel wat wiskunde achter op een wetenschappelijk gebied van cryptografie. Voor een gebruiker is het echter niet nodig alle details te kennen.
Indien twee partijen e-mail veilig willen gebruiken, zijn de instructies op internet te vinden. In de mailprogramma's moet men alleen de sleutel of certificaat laden en de juiste opties kiezen. Twee verschillende technologieën worden het meest gebruikt, namelijk PGP en S/MIME. Programma’s zoals Thunderbird of mutt werken met beide, Outlook of iPhone alleen met de laatste tenzij een addon is geïnstalleerd.
Een PGP sleutel of S/MIME certificaat hebben de functie van een zegel en bevestigen de identiteit van de afzender en de integriteit van het bericht. Ze dienen ook als een oneindige bron van beschermdozen die alleen de eigenaar kan openen.
Organisaties en mensen, die de e-mailveiligheid serieus nemen maken er ook gebruik van. Bijvoorbeeld Cisco moedigt klanten aan om berichten te beschermen op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html#roosfas...
Mijn bank stuurt rekeninguittreksels via e-mail sinds de vorige eeuw. Ze laten de klanten op internet banking hun PGP sleutel opladen en ook hun eigen sleutel is openbaar:
Iedereen kan gratis een PGP sleutel aanmaken, en ook openbaar zetten met zijn e-mail adres op https://keys.openpgp.org/ Door jouw adres daar te vinden, kunnen anderen weten dat jij PGP gebruikt en kunnen met jouw veilig mailen. In de praktijk wordt dat echter alleen gedaan door mensen die de risico’s begrijpen en willen beperken. Meestal spreken ze op voorhand af en handigen de sleutels aan elkaar over.
S/MIME certificaten zijn ingewikkelder en organisaties maken ze meestal voor hun intern gebruik. Men heeft een “Certificate Authority” nodig, dat komt overeen met een smidse werkplaats waar echte zegelstempels worden aangemaakt. Een eigen CA bouwen is ook mogelijk, programma’s en instructies zijn weer te vinden. Het probleem is dat de gemaakte zegels alleen worden herkend door de mensen die jouw CA zegel op voorhand aanvaarden. Er zijn ook mogelijkheden om commerciële CA te gebruiken, deze zijn door meesten al gekend. Die zijn meestal betaald, maar er is ook een gratis voorbeeld op https://www.actalis.com/s-mime-certificates.aspx
In jouw eID kaart zit ook een S/MIME certificaat dat gebruikt kan worden om een e-mail te tekenen. Dit handtekening bevestigt niet jouw e-mailadres maar wel jouw naam en het rijksregisternummer zoals ze op de kaart staan. Dit is een “gekwalificeerde elektronische handtekening” en de Europese verordening 910/2014 bepaalt dat deze legaal gelijk is gesteld met een legaliseerde handtekening. In tegenstelling tot een geschreven handtekening, die nagemaakt kan worden, is hier verzekerd dat de eID kaart en PIN werden gebruikt – de verrichting gebeurt in de chip van de kaart. Tijdens de validatie kan ook nagekeken worden of de eID niet werd ingetrokken bijv. gestolen. Praktisch:
https://albertclaesen.be/computer/outlook_digit_handtekening.php
https://www.stroobant.be/signing-emails-and-pdfs-with-belgian-eid-on-linux
Jammer genoeg is het niet mogelijk in de burgerprofieltoepassing te melden dat ik deze digitale handtekening wil gebruiken voor de communicatie met de overheid. Met zo een vermelding zouden ze elke e-mail met betrekking tot een burger zonder de handtekening moeten negeren, ongeacht van het e-mailadres van de afzender.
Bij de FOD Financiën moet ik met 2 diensten uitsluitend via e-mail werken. Administratie van Taks op beursverrichtingen en Cel buitenlands KI. Deze hebben beiden expliciet geweigerd beveiligde e-mail te gebruiken. Een TOB aangifte kan wel digitaal getekend worden, maar niet versleuteld. Ik heb ernaar gevraagd en dit is het officiële antwoord:
De administratie zich bewust is van de mogelijke gevaren en problemen van het e-mail gebruik maar dat er naast veiligheidsaspecten ook rekening moet gehouden worden met de toegankelijkheid. Voor veel contacten biedt de FOD Financiën een alternatief aan via de beveiligde MyMinfin-toegang en voor alle schriftelijke communicatie kan de burger die -om welke reden dan ook- geen gebruik wenst te maken van de e-mail een beroep doen op de diensten van de post.
Als iedereen PGP gaat gebruiken, dan is het toch opgelost? Zoals ik het begrijp biedt dat niet alleen encryptie (privacy), maar ook verificatie van de verzender (en ontvanger (?)).
De enige manier om ervan verlost te zijn is, GEEN mail meer gebruiken. Gebruik enkel nog een recenter ontwikkelt systeem om berichten te sturen en te ontvangen.
De echte mailproviders zijn meestal voldoende beveiligd om deze dingen te verhinderen. Maar iedereen kan en mag een mailserver maken en er niets of niemand die controleert of ge alles volgens de regels doet. Als ge een mailserver hebt dan communiseert ge volgens het oeroude protocol tussen mailservers en dit is onvoldoende beveiligd.
Deze piraat servers kan men blokkeren maar die wisselen sneller dan men ze kan opsporen.
Dit protocol wereldwijd verplicht aanpassen is onmogelijk en ook onbetaalbaar.
