Wat is PGP en waarom zou je het moeten gebruiken?

Sinds Edward Snowden een enorme stapel geheime NSA-documenten onthulde, weten we dat onze communicatie grootschalig wordt afgetapt. We denken steeds meer na over privacy, maar hoe e-mail je eigenlijk veilig?

Tekst versleutelen doen mensen al eeuwenlang, op verschillende wijzes. Een van de simpelste en bekendste manieren is het Caesarcijfer, een encryptiemethode die is vernoemd naar de Romeinse keizer omdat hij hier al gebruik van maakte. Het idee is simpel: je 'verschuift' alle letters, zodat 'a' een 'b' wordt en 'b' een 'c'. 'Sleutel' schrijf je dan dus als 'tmfvufm'.

Sinds de tijd van Caesar heeft cryptografie grote stappen vooruit gemaakt, maar is het idee lange tijd hetzelfde gebleven: je bedenkt een zo ingewikkeld mogelijke manier om tekst om te zetten naar een onbegrijpelijke code, en deelt de ontsleutelmethode alleen met degene voor wie de tekst bedoeld is. De kracht van de encryptie rust dus in het feit dat een sleutel geheim blijft.

Dat is ook de zwakte van zulke encryptie. Geheimen blijven niet altijd geheim, en bovendien loop je het risico dat iemand anders je ontsleutelmethode uitvogelt. 

Omdat versleutelde tekst waardevolle informatie kan bevatten, hebben inlichtingendiensten als de NSA hele afdelingen vol codekrakers die proberen uit te vogelen hoe ze beveiligde teksten kunnen lezen. En niet voor niets speelden mensen als Alan Turing, een wiskundige die medeverantwoordelijk was voor het breken van de Duitse Enigma-code, een grote rol in de Tweede Wereldoorlog.

Public Key Cryptography

In de jaren '70 kwam er verandering in de manier van versleutelen. Onderzoekers aan de universiteiten Stanford en Berkeley in de VS begonnen te werken aan public key cryptography, ofwel cryptografie waarbij een sleutel juist openbaar wordt gemaakt.

Dit is een asymmetrische techniek: voor elke openbare sleutel bestaat ook een bijbehorende privésleutel. De verzender van een bericht gebruikt de openbare sleutel van de ontvanger als hij hem een mail gaat sturen. Op dit moment wordt het bericht onleesbaar voor de verzender. De tekst kan alleen weer leesbaar worden gemaakt met de bijbehorende privésleutel, die als het goed is alleen in handen is van de ontvanger.

De meest bekende asymmetrische encryptie heet RSA, vernoemd naar de bedenkers Ron Rivest, Adi Shamir en Len Adleman. De techniek gebruikt een enorm groot getal, dat wordt gecreëerd door twee priemgetallen met elkaar te vermenigvuldigen. Computers kunnen bij grote getallen vrijwel onmogelijk achterhalen uit welke priemgetallen deze zijn ontstaan, dus de encryptie is bestand tegen aanvallen met brute rekenkracht.

PGP

In 1991 besloot de Amerikaan Phil Zimmerman om dit systeem in te zetten voor de beveiliging van digitale communicatie, met name e-mails. Hij noemde zijn systeem Pretty Good Privacy (PGP).

PGP combineert traditionele encryptie met asymmetrische cryptografie om berichten onleesbaar te maken. Met een wachtwoord - of liever gezegd een passphrase, een langere code die je goed geheim kan houden en niet te raden is - creëer je een openbare en geheime sleutel die is gekoppeld aan je e-mailadres.

Die openbare sleutel verspreid je, zodat mensen weten hoe ze berichten specifiek voor jou moeten versleutelen. De privésleutel sla je zo veilig mogelijk op. Wil je écht veilig zijn, dan kan je deze bijvoorbeeld weer versleutelen, op een usb-stick plaatsen en in een kluis bewaren. 

Als iemand jou een PGP-e-mail stuurt, dan moet je de passphrase die je privésleutel bewaakt weer intypen. Deze privésleutel maakt het bericht vervolgens leesbaar. Je kan PGP ook gebruiken om bestanden te versleutelen en naar anderen te sturen, maar het systeem wordt het meest gebruikt voor het beveiligen e-mails.

PGP kan ook omgekeerd werken: je kan een bericht van een digitale handtekening voorzien. Je gebruikt dan je privésleutel om wat versleutelde tekst aan een bericht toe te voegen. Met jouw openbare sleutel kan de ontvanger deze tekst lezen en controleren dat jij inderdaad het bericht hebt verstuurd.

Waarom is encryptie nodig?

Het is dus mogelijk om je e-mail goed te versleutelen, al is het nog steeds niet het makkelijkste proces. Maar is het eigenlijk wel nodig?

Ja, zegt Rejo Zenger van burgerrechtenbeweging Bits of Freedom. De onthullingen over NSA-spionage hebben volgens hem duidelijk aangetoond dat het een fluitje van een cent is om mee te lezen met onze e-mails. Niet alleen inlichtingendiensten kunnen dat, maar ook de politie kan je mail opvragen en Google scant je berichten om advertenties te tonen.

"Een brief doe je ook in een envelop die je dichtplakt", zegt hij. Zenger zelf probeert zo veel mogelijk versleuteld te communiceren. Wie PGP alleen gebruikt voor écht vertrouwelijke e-mails, singaleert daarmee juist dat er interessante informatie in die berichten zit.

"In het meest ideale geval zou iedereen PGP gebruiken en kun je aan het geval dat PGP gebruikt is niet afleiden dat het belangrijk is."

Volgens Zenger is er steeds meer interesse in versleutelde communicatie. "Als ik nu met willekeurige jongeren praat, kijken ze me niet meer vreemd aan, maar vinden ze het logisch dat je daar over nadenkt." Hij zegt dat er vooral nog een gebrek is aan gebruiksvriendelijke programma's om beveiligd te mailen.

Lees hier hoe je Mailvelope kan gebruiken om makkelijk binnen je browser versleuteld te e-mailen

Is het helemaal veilig?

In principe wel. Ook klokkenluider Edward Snowden vertrouwt op PGP-e-mails om te communiceren. Hij weet uit de eerste hand dat de NSA dan niet mee kan lezen. Eigenlijk is het enige risico dat je zelf je privésleutel en bijbehorende wachtwoord kwijtraakt. Zonder sleutel en wachtwoord is het onmogelijk om de encryptie te kraken.

Ook is het met PGP onmogelijk om 'metadata' te versleutelen. Zelfs als de inhoud van je bericht niet kan worden afgetapt, is het wel mogelijk om te zien dát je met iemand communiceert. Zoals we weten uit onthullingen van Snowden kan de NSA ook met metadata een behoorlijk gedetailleerd profiel van personen schetsen.

Dat encryptie desalniettemin een krachtig middel kan zijn om spionnen buiten de deur te houden, blijkt ook wel uit de reactie van de Amerikaanse overheid toen Zimmerman PGP begin jaren 90 bedacht. In 1993 werd hij namelijk aangeklaagd voor het "exporteren van wapens". 

De overheid wilde controle houden over de versleuteling van digitale gegevens en de Amerikaanse Senaat kwam in 1991 zelfs met een wetsvoorstel dat programmeurs zou verplichten om een achterdeur in hun beveiliging te bouwen, zodat de overheid mee kon blijven kijken.

Zimmerman wist uiteindelijk aan een veroordeling te ontkomen door zijn code in een boek te publiceren. De export van gedrukte code was wel legaal, en de overheid liet zijn rechtszaak vallen. Rond de eeuwwisseling werden de regels rond de uitvoer van encryptie versoepeld.

Lees meer over:
PGP
Tip de redactie