Het tijdperk van het privacy-charme-offensief is aangebroken

Facebook's berichten zijn 'for your eyes only'

Herrie in de Europese privacykeuken!
DOSSIER: Versleuteling

Onlangs werd bekend dat Facebook ondersteuning voor OpenPGP heeft toegevoegd. Wat is dat eigenlijk en waar is het goed voor? En ook niet onbelangrijk: waar zorgt het niet voor? Vragen en nog meer vragen. We geven je graag de antwoorden.

Wat is dat Facebook? En OpenPGP?

Oké, wat Facebook is hoeven we je niet uit te leggen. Maar het kan goed zijn dat je niet bekend bent met OpenPGP. Dat is een methode voor het veilig versleutelen van bestanden en berichten. Voor iemand die het bericht onderschept is de inhoud ervan onleesbaar. Die inhoud ziet er dan uit als een schijnbare willekeurige brei aan gegevens. Wij gebruiken dat bij Bits of Freedom zelf ook, voor zoveel mogelijk communicatie.

Het systeem werkt met een sleutel, waarvan je één deel voor jezelf houdt en één deel met anderen deelt. Met die tweede helft van je sleutel kan iemand een bericht aan je versleutelen. Met de geheime sleutelhelft kun je, in combinatie met het bijbehorende wachtwoord, het versleutelde bericht weer leesbaar maken.

Wat doet Facebook ermee?

Sinds kort kun je bij Facebook de publieke helft van je sleutel aan je profiel toevoegen. Dat is handig om een paar redenen. Ten eerste stelt het Facebook in staat om notificaties die zij jou stuurt te versleutelen. Niemand kan die notificaties lezen, behalve jijzelf. Facebook zet met haar sleutel bovendien een digitale handtekening onder het bericht. Daarmee kun je controleren dat het bericht ook écht van Facebook afkomstig is. Verder toont Facebook je sleutel als iemand jouw profiel bekijkt.

Waar is het goed voor?

Facebook zegt het belangrijk te vinden dat gebruikers zich veilig voelen bij het gebruik van de dienst en dat ook de communicatie die niet op het platform zelf is, beveiligd moet zijn. Maar wat deze stap precies doet, beschrijft Facebook niet precies. We leggen het je graag uit.

Als het bericht dat Facebook aan je verstuurt versleuteld is, kan iemand die het bericht onderweg onderschept niet lezen. En hoewel steeds meer verbindingen tussen mailservers versleuteld zijn, zijn ze dat nog lang niet allemaal. Ook Google publiceert daarover statistieken: grofweg een vijfde van alle verbindingen die Google’s mailservers initiëren gaan naar mailservers die geen encryptie snappen. En in al die gevallen zorgt Facebook’s stap voor bescherming.

Maar misschien nog veel belangrijker dan tijdens het transport, is het moment dat zo’n bericht in je mailbox zit. Als een kwaadwillende toegang tot je mailbox heeft, bijvoorbeeld door je voor de gek te houden of je wachtwoord te raden, kan hij al je e-mail lezen. Maar niet zo’n versleuteld bericht van Facebook. Om die te lezen heeft die kwaadwillende de geheime helft van je sleutel en het bijbehorende wachtwoord nodig – en die heeft ‘ie als het goed is niet.

Dat een kwaadwillende, die toegang tot je mailbox heeft, die berichten niet kan lezen is natuurlijk sowieso al prettig. Maar het zorgt er ook voor dat zo iemand niet ook makkelijk toegang kan krijgen tot je hele Facebook-account. Want, als je bij Facebook aangeeft dat je je wachtwoord bent vergeten, krijg je via e-mail een speciale link om je wachtwoord te herstellen. En als die e-mail versleuteld is, kan iemand die toegang heeft gekregen tot je mailbox niet ook meteen je wachtwoord bij Facebook veranderen.

En dat anderen niet mee kunnen lezen is om nóg een reden wel zo fijn. Want ook al ben je ontzettend voorzichtig met je wachtwoord, als je een e-mailaccount bij Google hebt lezen de scanners van Google mee. Maar ook Google kan versleutelde e-mails niet openen en meelezen.

Facebook heeft ook aangekondigd de e-mails die zij verstuurt digitaal te ondertekenen. Daarmee kun je zien of een e-mail die van Facebook afkomstig lijkt te zijn, ook écht van Facebook is. Criminelen kunnen je dan dus geen e-mail kunnen sturen die lijkt alsof die van Facebook is, maar in werkelijkheid niets anders is dan een poging je om de tuin te leiden (bijvoorbeeld om je je wachtwoord te ontfutselen).

Het sociale netwerk maakt het ook makkelijker om snel te achterhalen welke sleutel iemand anders heeft. In plaats van dat je dat moet opzoeken op een speciale website, kun je gewoon even op iemands Facebookprofiel kijken. Als het om levensbedreigende zaken gaat is dit niet het enige waar je op moet vertrouwen, maar voor dagelijks contact is het goed genoeg.

En tenslotte helpt het ook om OpenPGP toegankelijker te maken. Meer mensen komen in aanraking met de software en hopelijk volgen andere diensten Facebook’s voorbeeld. En met een beetje mazzel is het een aanjager voor betere interfaces van andere tools.

En waar is het niet goed voor?

Het is goed om te weten wat deze stap van Facebook allemaal betekent, maar het misschien nog belangrijker om te bedenken wat het niet doet. Het is end-to-end encryptie, maar het andere eind is wel Facebook. Facebook verstuurt de berichten en kent dus ook de inhoud en Facebook zal je profiel te pas en te onpas blijven gebruiken voor whatever zij wil. En ook opsporings- en geheime diensten zullen er nul komma nul hinder van ondervinden. Als zij willen weten wat je uitvreet op Facebook hoeven ze hooguit een vordering naar Facebook te sturen om een kopietje van je profiel te krijgen.

En net zo voor de hand liggend is het dat Facebook (en de rest van de wereld) weet dat die sleutel van jou is. Het is dus niet slim om een sleutel die je in een andere context hebt gebruikt en waar je je identiteit geheim wilt houden aan je profiel bij Facebook toe te voegen. Een nieuwe sleutel is natuurlijk zo aangemaakt.

Wie moet er nu wat mee?

Bedrijven en overheden moeten dit voorbeeld volgen. Het is onbegrijpelijk dat je bij de aanvraag van een hypotheek de meest gevoelige documenten onversleuteld naar de bank mailt. Of op dezelfde manier vragen over je polis aan je ziektekostenverzekeraar stelt. En dat onze overheid je in een e-mail die niet ook digitaal ondertekend is, vertelt dat er weer een nieuw bericht bij Mijn Overheid klaar staat – de site waar je met je DigiD moet inloggen. En dat het ministerie van Veiligheid en Justitie digitaal ondertekende berichten van burgers domweg weigert.

Welk bedrijf of overheidsinstantie in Nederland heeft het lef om als eerste Facebook’s stap te volgen en de communicatie met zijn klanten of burgers écht te beschermen? Inzetten kan in de comments hieronder.

  1. sam

    Mijn publieke sleutel op FB. No Way. Ik vind het een enorme schijnveiligheid en jullie hebben zelf omschreven waarom:

    1. End-to-end encryptie, maar het andere eind is wel Facebook.
    2. En ook opsporings- en geheime diensten zullen er nul komma nul hinder van ondervinden
    3. En net zo voor de hand liggend is het dat Facebook (en de rest van de wereld) weet dat die sleutel van jou is

    En dan ben ik vast nog wat vergeten.

    • Rejo Zenger

      Ondanks dat er zorgen zijn die het niet oplost, lost deze andere zorgen wél op – en voegt het niet of nauwelijks nieuwe zorgen toe.

      Van de punten die je noemt is alleen de derde een mogelijk “nieuw” probleem, in die zin dat Facebook makkelijk een koppeling kan maken die het nu misschien niet kan maken. Maar, als je de sleutel nu al aan je e-mailadres hebt gekoppeld en je met dat adres je Facebook-profiel hebt aangemaakt, kan Facebook nu ook al die koppeling maken. En zelfs als die koppeling niet al te maken is: er staat je natuurlijk niets in de weg om specifiek voor je Facebook-notificaties een sleutel aan te maken.

  2. Lev

    Het is denk ik goed dat encryptie zo meer aandacht krijgt, wat helpt tegen digitale misdaad (veiligheidsdiensten/regeringen uitgesloten!) maar het probleem is dat we zo Facebook legitimiteit blijven geven. Dit bedrijf (of in ieder geval de richting die ze kiezen) is ‘part of the problem’ Als een bedrijf geen privacy garandeert dan zouden we het massaal moeten dumpen! Let’s be honest, we houden van gratis maar gratis bestaat niet dus we kiezen zelf voor deze privacy schendingen!

  3. ReindeR Rustema

    En dat onze overheid je in een e-mail die niet ook digitaal ondertekend is, vertelt dat er weer een nieuw bericht bij Mijn Overheid klaar staat – de site waar je met je DigiD moet inloggen.

    Maar als ik een dergelijke e-mail krijg, dan staan er geen links in. Ik moet zelf naar de Mijn Overheid-site gaan en die vertrouwen:

    Er is een nieuw bericht in uw Berichtenbox bij MijnOverheid. Ga naar MijnOverheid om dit te lezen.

    Vanaf november 2013 stuurt MijnOverheid geen notificaties meer met een link naar de website. Dit is om te voorkomen dat u met valse e-mailnotificaties naar een namaak-website wordt geleid (zogenaamde phishing). Neem daarom het webadres van MijnOverheid op in uw Favorieten en ga altijd van daaruit naar de website. Ontvangt u toch een e-mailnotificatie met daarin een link, dan is deze dus nooit van MijnOverheid.

    MijnOverheid

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.