f.b.brokken@rc.rug.nl
Frank Brokken is sinds oktober 2000 werkzaam als security manager bij
het RC. Met het instellen van deze functie probeert de RUG het ?security
bewustzijn? bij de gebruikers van de universitaire ICT-voorzieningen te
bevorderen. Met een column in Pictogram houdt Frank ons op de hoogte van
de stand van zaken met betrekking tot zijn missie.
Echt mooie sleutels zie je tegenwoordig eigenlijk niet meer. De
meeste sleutels zijn van het type
kartelrandje-met-een-handvat-aan-het-einde: daarmee open je dan je
huisdeur, je fietsslot, je auto, of welk ander voorwerp dan ook dat je
wilt kunnen afsluiten voor onbevoegden. Toen ik ruim een jaar geleden
als ?security manager? in dienst kwam bij het RC, ontstond al snel de
wens om wat algemener beschikbaar te zijn voor ?eventualiteiten?. En ja
hoor: ook ik moest aan het mobieltje. Om te voorkomen dat dat ding per
ongeluk begint te bellen kun je het toetsenbord uitschakelen: er
verschijnt dan een sleuteltje linksboven in het scherm van het soort dat
je de doorsnee sleutelbar niet meer zo snel zult zien maken.
Zoals ik al opmerkte: echt mooie sleutels zie je tegenwoordig
eigenlijk niet meer. Hoewel... In bijgaande afbeelding heb ik de sleutel
van het Oostumer kerkje afgedrukt: een prachtige sleutel van zo'n 12 cm.
lengte, 5 cm. breedte en ruim 1 cm. dikte. Wie bij gelegenheid de deur
van ?t kerkje eens van nabij bekijkt (tijdens de Zomer-Jazz-Fiets-Tour
of zo), zal het met mij eens zijn dat een kartelrandje-met-handvat
sleutel voor zo'n deur ook misplaatst zou zijn: daar hoort gewoon iets
stevigers bij.
Alweer enige tijd geleden beschreven Frans Velthuis en Anke Breeuwsma
in Pictogram eigenschappen en mogelijkheden van PGP, ?Pretty Good
Privacy?, dat ook van alles met sleutels te maken heeft. Nog niet zo
lang geleden werden de leden van de Tweede Kamer opgeschrikt door het
verhaal over ?Echelon?: beroeps?luistervinken?, werkzaam bij deze of
gene geheime dienst, die er hun werk van maken om informatie die over
het internet wordt verzonden te onderscheppen om zo wellicht informatie
boven tafel te krijgen die voor de veiligheid van de Staat van belang
zou kunnen zijn.
Nou maak ik zelf al geruime tijd gebruik van de mogelijkheden die
door PGP worden geboden. Ik vind het wat ?overdone? om elk e-mailtje dat
ik verstuur nu te gaan versleutelen; maar toch, soms is er eens iets bij
waarvan ik vind dat ?t niet voor derden is bestemd. Dat kan een
vertrouwelijke notitie zijn, of een nieuw password voor een gebruiker
van een computer die zijn of haar password even was vergeten.
Ik ben PGP echter algemener gaan gebruiken: zo?n notitie staat
meestal ook nog op de harde schijf van mijn computer en je kunt je
afvragen of dat dan wel zo wenselijk is. Ik vind van niet, en versleutel
daarom ook het document dat in mijn eigen computer is opgeslagen.
Tenslotte is de RUG geen fort en hoewel het niet de bedoeling is dat
ICT-inbrekers zomaar toegang krijgen tot onze faciliteiten worden er per
jaar toch altijd wel een paar computers gekraakt. Wat kun je doen om te
voorkomen dat zo?n hacker met je gevoelige data, brieven, documenten of
notities aan de haal gaat? Juist: encryptie.
Zoals toegelicht in het eerdere Pictogram-artikel van Frans en Anke,
moet iemand die een vertrouwelijk bericht wil sturen en gebruik wil
maken van PGP de openbare sleutel (public key) van de geadresseerde in
zijn/haar bezit hebben. Zo?n public key is als het ware een doosje,
waarin je een bericht kunt stoppen: alleen de eigenaar van de bij het
doosje behorende sleutel (inderdaad: de ?private? (of ?secret?) key) kan
het doosje openen om daarna het bericht (als enige) te kunnen lezen.
Het bijzondere is, om de analogie nog even voort te zetten, dat die
doosjes dermate sterk zijn dat je ze niet met een breekijzer of
snijbrander open kunt breken. Dat maakt encryptie tot zo'n gevoelig
onderwerp: niet alleen de ?good guys? kunnen er gebruik van maken om hun
gevoelige informatie te beschermen, maar ook de ?bad guys? kunnen ?t
gebruiken. Da?s vervelend, maar het onwettig verklaren van encryptie
helpt niet, want daar trekken de schurken zich toch niks van aan. Door
encryptie te verbieden bereik je dat alleen het gespuis onderling op
veilige wijze informatie kan uitwisselen.
Maar goed, je hebt een public key nodig van de geadresseerde om een
bericht te kunnen versleutelen. Zo?n public key heeft een unieke
vingerafdruk, een ?fingerprint? waarmee je kunt controleren of een
openbare sleutel wel van de juiste persoon is. Da?s niet triviaal.
Verspreid over de wereld staan zogenaamde ?public key servers?
opgesteld, die de public keys opslaan en beschikbaar maken. Ze zijn alle
met elkaar gesynchroniseerd, dus welke je gebruikt maakt weinig uit. Ik
gebruik zelf regelmatig: http://www.cam.ac.uk.pgp.net/pgpnet/wwwkeys.html
Zoek hier eens naar de public key van Frank Brokken. Als fingerprint
verschijnt dan de titel van deze bijdrage: 8E36 9FC4 1DAA FCDF 1A0D B19F
DAC4 BE50 38C6 6170
Hoe weet je nou dat dat inderdaad mijn fingerprint is? Tja.... Vraag
ook eens naar de public key van Bill Clinton: dan wordt meteen duidelijk
waarom ik deze vraag stel. Om het de gebruikers van mijn public key
makkelijk te maken heb ik mijn public key fingerprint op mijn
visitekaartje laten drukken: wie van mij persoonlijk mijn visitekaartje
krijgt weet zeker dat deze public key van mij is (want de fingerprint
correspondeert) en kan mij nu vertrouwelijke informatie versleuteld
toesturen: Echelon en anderen hebben het nakijken.
De afgelopen weken hebben vrijwel alle RC-medewerkers een eigen
PGP-keypaar gekregen, en kunnen vrijwel alle RC-medewerkers
vertrouwelijke mail ontvangen en eenvoudig informatie op hun eigen pc
beveiligen tegen spiedende ogen. We zijn hard op weg PGP als standaard
dienst binnen de RUG beschikbaar te maken. Er is inmiddels een
PGP-cursus (die eerder aan RC-medewerkers is aangeboden) en er is
software beschikbaar waarmee PGP min of meer eenvoudig kan worden
gebruikt. Kortom, verwacht binnenkort meer nieuws aan dit front. Wie
zolang niet wil wachten kan uiteraard voor meer informatie ook nu al
contact met mij opnemen. Er zijn ook diverse websites, zoals http://www.pgpi.org
Het lijkt me dat iedereen, die omgaat met informatie waarvan het
intellectuele niveau dat van de vakantiegroet-briefkaart te boven gaat,
nuttig gebruik kan maken van PGP.
Een vakantiegroet van jullie RC security manager,
Frank Brokken.