Oh no! Wikileaks is going dark!

Hoe gaan we nu dan nog weten wat de bovenonsgestelden van de NAVO en de EU nu weer uitvreten?!?

Want als de FBI stennis over encryptie mag maken, dan mag ik het ook.

Er, Werner Koch is begonnen met GnuPG en nog steeds "core components maintainger". Om nu te zeggen dat'ie "uitvinder is" van GnuPG... het is geen originele software. Het is een GPL-kloon van PGP en een implementatie van OpenPGP.

Dat is maar de helft van het verhaal. Aanvankelijk (in mei 2019) was er een goedkeuring voor het gebruik van gnupg (aldus https://www.heise.de/security/meldung/BSI-zertifiziert-GPG-fuer-vertrauliche-Dokumente-4416766.html), maar die is begin augustus vorig jaar weer ingetrokken (zie https://www.heise.de/newsticker/meldung/BSI-zieht-Zulassung-von-GnuPG-fuer-vertrauliche-Dokumente-zurueck-4489547.html en, achter een pay-wall, https://www.heise.de/select/ct/2019/17/1565963543654159).

Op dit moment zie ik in https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/ZugelasseneProdukte/Liste_Produkte/Liste_Produkte_node.html uitsluitend staan (van een horizontale rij omgezet naar verticaal):
De tabel suggereert nu dat EU/NATO RESTRICTED al mag sinds eind agustus, en lijkt BSI er dus nogal te hebben gezwalkt.

VS-NfD is overigens het laagste niveau en staat voor "VerschlussSache-Nur für den Dienstgebrauch", vermoedelijk vergelijkbaar met het door onze overheid gehanteerde laagste niveau "Departementaal vertrouwelijk".

De vele fakes op public key servers, en de laatste tijd zoveel "gespamde" signatures op geldige public keys dat gnupg erdoor vastliep of crashte, hebben deze manier van geauthenticeerd signeren en/of decrypten geen goed gedaan.

Belangrijker, een groot en onopgelost probleem bij PGP/gpg/Gnupg is de wijze waarop public keys worden uitgewisseld. Iedereen roept dat je altijd via een ander kanaal moet verifiëren dat een public key daadwerkelijk van een gegeven persoon (of evt. organisatie) is, maar in de praktijk doet bijna niemand dat. M.i. vormt dat een onderschat risico.

Dat om bovengenoemde redenen key servers minder bruikbaar zijn dan vroeger, is misschien maar goed ook. Want dat je een public key samen met een identifier (zoals een e-mail adres) kunt uploaden naar een keyserver, betekent niet dat die identifier (zoals e-mail adres) van jou is. Met andere woorden, een key op een keyserver bewijst op geen enkele manier dat iemand is wie hij zegt te zijn, en van dat misplaatste vertrouwen wordt gewoon misbruik gemaakt. Altijd goed en verstandig checken dus, en mailtjes (niet ondertekend met de vorige (private) key) met daarin de tekst "bijgaand mijn nieuwe public key" flink wantrouwen dus!

Je moet wel bedenken dat je de keyservers niet hoeft te gebruiken. Je haalt er data "van elders" mee binnen dus strikt genomen is het de taak van GnuPG om zich er niet gek door te laten maken; de keyservers zijn het transport, net als dat een http-server het niet kan schelen of'ie een legitieme pagina of malware opserveert, het zijn bitjes en je vroeg erom.

Dat is waarom keysigning parties worden gehouden. Je komt bijelkaar en je kijkt iedereen eens in het gezicht en of ze wel bij hun sleutel horen (hoe? government ID, slim jongons, slim) en vervolgens ga je naar huis en signeert alle sleutels die je op je lijstje hebt afgestreept als "die heb ik gezien".

Om dat niet te hoeven doen, maar ook niet blind de sleutels die je op de keyserver vindt te hoeven vertrouwen, vertrouw je op anderen wier sleutels jij gesigneerd hebt (en hopelijk nagekeken), die dan hopelijk de sleutel die je wil gebruiken gesigneerd hebben. Het vriend-van-mijn-vriend idee.

Die methode is best een en ander op aan te merken maar het is vooral in de cryptonerdsfeer blijven hangen. Het grote publiek vertrouwt op een stapeltje vage bedrijven ("PKI CAs"), en dat is net zo goed vragen om problemen ("Honest Achmed Used Cars and Certificates").

Dit is een vrij fundamenteel probleem waar PGP/GnuPG/OpenPGP een antwoord op verzonnen hebben dat alleen cryptonerds bruikbaar vinden. Daar doe je vrij weinig aan want het is een naar probleem. Het is gewoon niet zo dat je hier even een technisch ding neer kan plempen en je problemen verdwijnen. Het is hetzelfde probleem als wat spionnen hebben: Wie kan je nog vertrouwen? En dat is keihard een mensenprobleem.

Je grote onopgeloste probleem is dus niet specifiek aan PGP/GnuPG/OpenPGP maar inherent aan dat er hier informatieveiligheid expliciet in het spel komt. Net als dat je in de echte wereld moet oppassen dat je niet genept wordt. Dat je dus ook niet blind moet vertrouwen op "ik gebruik gpg dus het is wel goed". Nee, je hebt nu nuttig gereedschap in handen maar het goede gebruik daarvan komt nog steeds op jouw bordje terecht. Dus moet je wel weten hoe je er veilig mee omgaat.

Dat wil niet zeggen dat de software an sich (dus het programma "GnuPG") onbruikbaar is voor het versleutelen van documenten. Zou zelfs best kunnen dat die certificatie helemaal niet naar het sleuteluitwisselingsverhaal gekeken heeft, maar alleen naar de deugdelijkheid van de encryptie. Mischien zelfs niet eens naar de uitwisselbaarheid, maar alleen naar of het voor een enkele gebruiker werkt. Wie zin heeft kan het nakijken in de certificatiedocumenten.

@Anoniem 17:14: ik ben het grotendeels met je eens, behoudens:
Te vaak wordt een key simpelweg automatisch gedownload en de user niet of onvoldoende gewaarschuwd dat er geen validatie heeft plaatsgevonden.

Keysigning parties schalen niet, dus vallen de meeste gebruikers terug op plan B - het vertrouwen dat een vriend van een vriend is wie hij tegen zijn vriend heeft gezegd dat hij is, en die "tussenvriend" dat hopelijk gecontroleerd heeft. Maar dat gebeurt nou net te weinig; garanties heb je niet.

Hoewel je het waarschijnlijk goed bedoelt is het een slecht voorbeeld. Dat een digitale handtekening of het bezit van een decryption key zou kunnen betekenen dat de zetter/bezitter ook betrouwbaar is, mocht je willen, maar is onmogelijk te realiseren want dat is totaal onvoorspelbaar.

Het doel van gnupg en dergelijke is dat je zeker weet om wie het gaat (of ze betrouwbaar zijn denk je wellicht te weten, maar gnupg e.d. zeggen daar helemaal niets over en kunnen dat ook nooit).

Maar als software zelfs de eis van zekerheid om wie het gaat niet goed kan vervullen, heb je er niet zoveel aan - sterker, het kan een behoorlijk vals gevoel van veiligheid geven. Het allerminste dat je dan kunt doen is er aan bijdragen dat alle gebruikers zo goed mogelijk doordrongen zijn van de risico's. Iets wat nerds (en vooral eerste-uur PGP/gnupg gebruikers) m.i. te vaak nalaten om zelfs maar te benoemen.

Niet (willen) snappen hoe asymmetrische encryptie werkt helpt hier ook niet echt bij, te veel mensen denken dat het een soort onfeilbare magie is.

@Erik van Straten: Web of Trust en Public Keyservers zijn misschien waardeloos, maar S/MIME is nog ongeschikter voor bijvoorbeeld de NAVO.

Als Iran een root certificaat krijgt voor S/MIME (De Staat der Nederlanden heeft deze al), dan accepteert Outlook doodleuk dat certificaat als je een encrypted mail ontvangt of verzendt. Daar gaat je 'Restricted' informatie.

Dus wat is het alternatief voor WoT in PGP wat je aanraadt?
Erik-crypt? ;-)

Geef toe. GnuPG is best goed en Gpg4win is heel makkelijk om te installeren en te gebruiken (onder Windows). En het is niet 'Secret' wat je ermee mag doen als militair. https://en.wikipedia.org/wiki/Classified_information#NATO_classifications

Nieuwe Anoniem.

Validatie moet je zelf doen. Je kent die keyservers verder niet dus dat moet je toch.

Nouja, dan kijk je het zelf na en als je de wereld wil verbeteren dan publiceer je jouw signatuur op die nagekeken sleutel en iedereen die wil kan er van meegenieten. Maar inderdaad, het blijft een vertrouwenskwestie.

Ik vind hoe ze het nu gedaan hebben geen goede opzet, maar zeer zeker wel beter dan bv. PKI, en al helemaal dan hoe PKI in browsers gedaan wordt. Hoe het beter kan weet ik zo snel even niet.

Dat probleem hebben spionnen net zo goed. Daar ging het over. Dat er een laag cryptografie tussen zit geeft je meer mogelijkheden maar lost het fundamentele vertrouwensprobleem niet op.

Het voorbeeld klopt wel. Voorheen waren het vooral de spionnen die met informatie en dus ook informatiebeveiliging bezig waren, en nu moet ongeveer iedereen het kunnen. Dat spionnen ook nog "onder de radar" moeten blijven komt daar nog bij, maar dit is onderdeel van hun doen. Tegenwoordig moet iedereen die nog een beetje privacy wil ook proberen onder de radar te blijven, trouwens.

Bijzaak, maar het valt op dat je de spionagediensten niet of nauwlijks hoort in het achterdeurtjes-in-encryptie-gejengel (ik wil het geen debat noemen); het zijn de wetshandhavers die heel graag bevoorrechte toegang willen, tegen alle wiskunde in.

Nee. Dit is een misverstand. Het is geen identiteitssysteem zoals overheden dat wel makkelijk plegen te vinden. Ze bieden middelen om je te helpen maar uiteindelijk is het mensenwerk. Een sleutel is geen overheidsfiat "dit is deze persoon". Want gpg kan je niet helpen als iemand anders je maat z'n geheime sleutel te pakken krijgt. Dus de aanname dat een bericht gesigneerd door een zekere sleutel dus ook van een zeker persoon afkomt is precies dat, en of je die doet is een menselijke inschatting.

Dat maakt hoe gpg het doet met z'n waarschuwingen als er signaturen op sleutels missen tegelijkertijd terecht en misleidend. Zo vaak dat ik toch niets anders kan dan zeggen "nou als deze sleutel op hun website staat dan gebruik ik die dan maar" en dat is geen signatuur waard. Maar dus ook "oh ik krijg geen waarschuwing dus het zit wel snor", en, eh, dat is een softwarematige inschatting die staat of valt met dat zowel jij als iedereen wiens signaturen je vertrouwt hun werk goed (genoeg) gedaan hebben.

Dat veiligheidsgevoel is vals als je jezelf voor de gek houdt door aan te nemen dat "naam op sleutel is gelijk eigenaarschap sleutel", en dat was nu net het punt: Die aanname kun je niet zomaar maken dus moet je 'm nakijken of dat je vertrouwde vriendjes laten doen. De software kan alleen maar vertellen of de signaturen goed zijn. Wat ze betekenen moet je zelf meebrengen. (En daar is gpg dan weer onflexibel in, te onflexibel naar niet alleen mijn idee.)

Het hoort thuis in een introductiecursus informatieveiligheid cq. encrytpiegebruik. Maar er zijn genoeg gebruikers die het niet echt snappen, dat klopt wel. En van proberen de GnuPG-documentatie over het onderwerp te lezen wordt je ook niet echt blij.

Maargoed tegelijkertijd is het niet een uitgekristalliseerd onderwerp. Ook jij komt met verwachtingen die ik onrealistisch vind.

Dat is jezelf voor de gek houden, maar tegelijkertijd een fundamenteel probleem met cryptografie en informatieveiligheid in het algemeen. Het is vrij bekend in de spionnenwereld maar daarbuiten zijn er nog veel mensen die "encryptie" zien als een drop-in-fix, "zo, nu is het veilig", en dat is niet.

Op zorgvuldig voor dit doel geconfigureerde PC's horen uitsluitend root-certificaten van vertrouwde uitgevers bruikbaar te zijn. Ik ben daar niet bij betrokken, maar ik ga ervan uit dat uitgevers zoals CNNIC en TürkTrust daar niet onder vallen.

Ik vermoed dat je in veel gevallen niet onder een TTP (Trusted Third Party) uitkomt (een vriend van een vriend is dat uiteindelijk ook). Of de huidige certificaatuitgevers en het onderliggende systeem voldoende betrouwbaar zijn voor dit doel, betwijfel ook ik. Niet voor niets gebruikt het Amerikaanse ministerie van defensie een geheel eigen CA zonder andere uitgevers te vertrouwen.

Anders dan je misschien denkt ben ik geen tegenstander van welke software of methode dan ook. Maar mijn ervaringen met PGP en Gpg4win onder Outlook zijn niet bepaald positief. Overigens gebruik ik Thunderbird voor mijn privé mail, maar heb zo weinig vertrouwen in software voor digitale handtekeningen en de vaardigheden van ontvangers om fakes van echte mails van mij te kunnen onderscheiden, dat ik er nog niet aan begonnen ben. Ellende gegarandeerd als je later dit soort grappen aan bestaande en vooral oude protocollen toevoegt, waarbij slechts ergens naar wijzen vaak al tot compatibiliteitsproblemen leidt. Dan gebruik ik liever een communicatiemiddel als Threema. Als er geen fatsoenlijk fix mogelijk is voor een veilige variant van SMTP, zal het -vroeger of later- dezelfde dood sterven als telnet, rcp, rsh, ftp en http.

Correctie: Degene die aan jou een mail verstuurt met S/MIME moet controleren of zijn CA lijst betrouwbaar is. En die moet niet één CA vertrouwen. Die moet ze allemaal vertrouwen. Want zodra er maar één uit Iran bij zit kan die in je berichtenverkeer gaan zitten. Iran heeft dit al een keer geflikt met de webmail van gmail. Dit werd gedetecteerd met certificate pinning, wat om onduidelijke reden nu weer uit chrome gehaald is. Maar daar weet jij meer van als ik als ik je topics lees :-)

Turkije valt verder nog steeds onder de NAVO. Dus die zullen ook berichten met een Nederlandse NAVO militair moeten kunnen uitwisselen. Maar ondertussen hebben ze vorig jaar luchtdoelraketten van Rusland gekocht en heeft Amerika haar JSF vliegtuigen daarom weg gehaald uit Turkijke. Onze politici maken er wel een zooitje van. Maar in Duitsland nemen ze altijd toch wel goede beslissingen. Zoals het goedkeuren van S/MIME en PGP/MIME voor bepaalde classificaties.

Anoniem 11:14

Beide partijen, zowel verzender als ontvanger, moeten alle certificaatuitgevers van alle root- en intermediate certificaten in hun PC (of ander device) kunnen vertouwen. Want voor minder (of geheel niet) vertrouwelijke informatie is het vaak (altijd) belangrijker dat je zeker weet wie de afzender is, dan dat je zeker weet wie kan decrypten - als versleuteling al wordt gebruikt. M.a.w. onderschat de noodzaak van digitale handtekeningen niet.

Daarbij zie ik niet in waarom de NAVO niet een eigen CA zou kunnen hebben, waarbij deelnemers aan communicatie met hoge vertrouwelijkheids- en authenticiteitseisen, uitsluitend het rootcertificaat van die uitgever op hun device hebben. Bij alles daarbuiten zullen er hopelijk protocolen zijn aan de hand waarvan de authenticiteit van verzenders wordt gecontroleerd, en bij versleuteling, wordt ge-dubbel-checked of de certificaten van de kennelijke ontvangers daadwerkelijk de bedoelde ontvangers zijn.

Iran heeft dat niet geflikt, iemand (wel mogelijk een Iraniër) heeft "onze" Diginotar gehacked, valse certificaten voor o.a. gmail gemaakt en die (samen met private key natuurlijk, anders heb je er niks aan) aan Iraanse autoriteiten gegeven. Die hebben een of meer van die certificaten ingezet tegen de eigen bevolking. Doordat de aanvaller vergeten was om de CRL en/of OCSP URL's uit het certificaat te verwijderen of wijzigen, kon worden waargenomen vanaf welke IP-adressen er revocation-checks werden uitgevoerd (waarbij dat in een deel van de gevallen via Tor gebeurde, met IP-adressen van endpoints daarvan all over the world).

De reden dat Google certificate pinning heeft verwijderd, is hoogstwaarschijnlijk dat veel organisaties en particulieren zichzelf MitM-en op firewall-devices of in lokale virusscanners, waardoor zij allemaal alarmen zouden krijgen. Immers, zij krijgen niet het echte certificaat voorgeschoteld, maar een vervalsing.

Ja, maar het zou me niet verbazen als sowieso de meeste Europese landen er allerlei lijstjes op na houden met daarop welke informatie wel en niet met welk ander land gedeeld mag worden. Denk maar aan Brexit, maar ook aan andere buitenbeentjes waaronder Hongarije en, in toenemende mate, Polen.