Waarom geen PGP?

 

English Dutch French German Russian Spanish Turks

Het PGP-Protocol, een Introductie

PGP wordt al decennialang gebruikt om gevoelige data te beschermen. De meeste mensen hebben wel eens gehoord van termen als AES 256 of debatten over minimale RSA sleutellengtes. PGP staat voor “Pretty Good Privacy”, oftewel Best Goede Privacy. Dit is een toepasselijke naam. Het is best goed, maar niet meer dan dat. Dit model heeft namelijk belangrijke nadelen:

  • Eén Sleutel:Elke gebruiker heeft één persoonlijke encryptiesleutel. Als de persoonlijke sleutel van een gebruiker wordt blootgesteld (gestolen, gehackt, of gedagvaard door autoriteiten) kan een overtreder alle eerder verstuurde berichten met die sleutel ontcijferen.
  • Onafwijsbaarheid:Elk bericht dat u stuurt wordt ondertekend met uw persoonlijke sleutel die de digitale identiteit van de verstuurder verifieert en blootstelt, waardoor het auteurschap van het bericht aangetoond wordt. Nu hangt de privacy van de verstuurder af van de acties van de ontvanger. In een geheim gesprek willen we niet dat onze berichten naar ons terug te leiden zijn. Sterker nog, we zouden het liefst de mogelijkheid hebben om elk contact met de ander te ontkennen.

Vanwege de infrastructuur van de sleutel moet een gebruiker een openbare sleutel hebben om deel te kunnen nemen aan privégesprekken zonder een gedeeld geheim te hebben; deze ene openbare sleutel staat ook de andere partij toe om de authenticiteit van hun berichten te verifiëren.

 

De werkelijke staat van PGP

PGP is het verkeerde protocol voor elke industrie die een elektronisch equivalent van een gewoon gesprek tussen twee mensen in een lege kamer nodig heeft. Het enkele sleutelpaar, de digitale handtekening en geen forward secrecy maakt dat PGP een verkeerde keuze is voor individuen die de volgende mogelijkheden nodig hebben:

  • Zeker weten met wie je praat.
  • Geen gesprekken die onderschept worden.
  • Elk gesprek kunnen ontkennen aan welke derde partij dan ook.
  • Niet met de dagelijkse angst leven dat je dagelijkse sleutel wordt blootgesteld, waardoor elk bericht dat je ooit met die sleutel geschreven hebt aan het licht komt.
  • Niet bang hoeven te zijn dat een persoonlijke sleutel gekloond wordt en gebruikt wordt om toekomstige berichten af te luisteren.
  • Zeker weten dat verwijderde berichten ook daadwerkelijk verwijderd worden.

Naast de gebreken van het PGP-protocol is de huidige markt voor het ‘veilig’ sturen van PGP-berichten een ratjetoe van sleutelservers, mailservers en verkopers, wiens enige methode om zich te onderscheiden van anderen het verspreiden van geruchten is, het kwaadspreken over anderen, belemmeren van concurrerende diensten door gerichte DDOS-aanvallen, of simpelweg zorgen dat verkopers geen contact met hen op kunnen nemen. Bij het opstarten hebben de meesten niet de technische kennis om hun infrastructuur te laten draaien; er zijn dan ook urenlange storingen omdat onjuiste configuraties en slechte infrastructuur de norm zijn. Die onbekwaamheid is ook te zien in berichten die over het internet reizen zonder ENIGE encryptie, of ook maar enige basisbeveiliging van metadata (van, aan, onderwerp, IP-adres, tijdstempel) van berichten die gestuurd worden naar andere verkopers. Al deze dingen vinden dagelijksplaats, zonder dat de eindgebruiker er wijzer van wordt. Eén van de grootste geheimen is het haast onbekende feit dat de meerderheid van bestaande PGP-verkopers een kopie van de persoonlijke sleutel van gebruiker op hun server hebben. Dat is natuurlijk belachelijk. Hoe kun je een beveiligingsdienst aanbieden en ondertussen de persoonlijke sleutel van je gebruikers op je server hebben staan, waar het mogelijk misbruikt kan worden?

 

Aangezien de PGP-handel stervende is, staan verkopers te springen om de geldstroom van een bedrijf waar ze topapplicaties zoals Rim’s Blackberry Enterprise Server (BES), Symantec’s PGP Universal Server, Microsoft’s Exchange Server applicatie en Microsoft Servers gebruiken, te behouden. Van al deze producten heeft een verkoper weinig tot geen verstand van de werking. Hoe zou dat ook kunnen, wanneer de producten allemaal closed source zijn en de verkopers geen idee hebben wat er achter de schermen gebeurt? We weten wel dat al deze bedrijven met overheidsinstellingen samenwerken wanneer ze gevraagd wordt om informatie over individuen te verschaffen. Al sinds 2009 kunnen NSA-specialisten sms’jes van Blackberry’s “zien en lezen”. Een NSA-presentatie getiteld “Your target is using a BlackBerry? Now what?” laat zien wat er bewerkstelligd kan worden. Het bevat een plaatje van een Mexicaanse overheidse-mail, waarvan de tekst verschijnt onder de titel “Post processed BES collection”. De afgelopen tijd zijn er veel artikelen gepubliceerd door gerenommeerde journalisten en beveiligingsexperts die laten zien dat PGP-berichten (inclusief de verwijderde berichten) ontcijferd worden op de toestellen van veel BlackBerry-gebruikers. Het Nederlands Forensisch Instituut (NFI) heeft bevestigd dat ze inderdaad Blackberry-berichten van verschillende toestellen kunnen ontcijferen.

 

De reactie van PGP-verkopers op het aan het licht komen van deze informatie is belachelijk. Eén bericht aan hun gebruikers suggereert dat er geen probleem is, als ze hun wachtwoord van vier tekens maar veranderen naar acht tekens. Een beleid dat een viercijferig wachtwoord op een Blackberry toestaat is al slecht genoeg, maar zeggen dat alles weer goed is als gebruikers een wachtwoord met acht tekens aanmaken (wat trouwens binnen zes uur gekraakt kan worden met moderne wachtwoordkrakers) slaat de plank volledig mis. Het punt is dat de NFI de PGP-berichten niet kon ontcijferen omdat de wachtwoorden te kort waren. Dat is een afleidingsmanoeuvre om gebruikers te laten geloven dat er niks aan de hand is met PGP Blackberry, en dat er een menselijke fout is gemaakt. Een andere grote verkoper heeft een lange kritiek geschreven, waarin hij gebruikers aanbeveelt om bij Blackberry te blijven, en in DATZELFDE bericht geeft hij aan dat ze met een nieuw platform zullen komen in het nieuwe jaar.

 

Een ander interessant punt aan al deze informatie over de ontcijfering van Blackberry-toestellen, is de leeftijd. De NFI Blackberry-gevallen die nu circuleren zijn meer dan een jaar oud. PGP-verkopers wisten van deze documenten, en veel van hen bezaten ze zelfs, maar ze bleven tot voor kort uit het zicht. Uiteraard zijn veel verkopers in verlegenheid gebracht nu de aap uit de mouw is. Eén van de vele duistere geheimpjes over de zaak is naar buiten gebracht.

 

Nu zien we dus dat verkopers zich maar al te graag willen onderscheiden op andere manieren. De nieuwe term die nu de ronde doet is “ECC”. Het klinkt kort, tech-achtig, en een beetje onheilspellend. We willen de pret niet bederven, maar ECC wordt door een groot deel van het internet al gebruikt voor communicatie. Het staat simpel gezegd voor Elliptical Curve Cryptography, wat een relatief nieuwe tak van wiskunde is die kortere sleutellengtes dezelfde, of zelfs een betere sterkte geeft dan lange sleutellengtes van andere algoritmes zoals RSA (al lange tijd een standaardalgoritme van PGP). Het huidige PGP gebruikt RSA 4096 voor asymmetrische encryptie (die gebruikt wordt om je openbare/persoonlijke sleutelpaar te maken) en AES 256 voor symmetrische encryptie. In de BES 10+ versie kun je nu ECC kiezen in plaats van RSA. De keuzes die je hebt zijn ECC curves die door NIST worden gepromoot (het National Institute of Standards and Technology), of kortweg National Security Agency (NSA). Van deze curves is bewezen dat ze niet veilig zijn (http://safecurves.cr.yp.to/). In de toekomst van deze sector zullen bestaande PGP-verkopers nog steeds PGP of een variatie daarop gebruiken, maar dan met een ECC-sleutel in plaats van een RSA-sleutel. Hetzelfde probleem blijft dan bestaan, maar ze veranderen nét genoeg om verwarring te scheppen met een technisch jargon waardoor het lijkt alsof er een nieuwer, veiliger product is. Meer hierover zal volgen in een nieuwe blog.