Encryptie voor dummies (en pizzaliefhebbers!)
Alles wat je wil weten over zero knowledge end-to-end encryptie: bescherm je data, je privacy en vergroot je online veiligheid, uitgelegd met pizza's.
Encryptie is een term die je steeds vaker hoort als het over gaat over veilig e-mailen en het beschermen van digitale informatie. Encryptie staat voor veel mensen gelijk aan veilig. Als iets ‘encrypted’ (versleuteld) is, dan kan niemand er meer bij toch? Helaas klopt dat niet helemaal, dat hangt namelijk af van welke vorm van encryptie er gebruikt wordt. Want naast standaard encryptie kun je ook kiezen voor end-to-end encryptie en zero-knowledge end-to-end-encryptie.
Voor het versturen van een uitnodiging voor een familiefeestje maakt de precieze vorm van encryptie niet uit. Die gegevens zijn waarschijnlijk niet zo belangrijk. Maar als je gevoelige gegevens per e-mail verstuurt, dan wil je dat niemand erbij kan, zeker geen hackers en liever ook de overheid niet. Wat encryptie precies inhoudt, hoe het werkt en waar je op moet letten als je encryptie wilt gebruiken, lees je in deze blog.
Encryptie wordt ook wel versleuteling genoemd. Je husselt de informatie in een e-mail zo door elkaar, dat je het niet mee kunt lezen. Met encryptie maak je digitale bestanden dusdanig onherkenbaar, dat alleen iemand met de juiste sleutel de inhoud kan zien. De versleutelde versie van een bericht wordt in vaktermen een ‘cyphertext’ genoemd.
Als je bijvoorbeeld de zin ‘Ik heb zin in pizza’ voorziet van encryptie, dan ziet die er versleuteld heel anders uit. Alsof je je tekst in een blender hebt gegooid én er ook nog eens een heleboel willekeurige letters en tekens bij hebt gedaan. Van die zin over een pizza kan encryptie bijvoorbeeld het volgende maken: ‘h2sLa=&J$ngYK oq^f.dy9s’. Hoe hard je ook probeert, je gaat nooit raden wat die versleutelde zin betekent.
Bij encryptie wordt een bericht door elkaar gehusseld met een algoritme. De oorspronkelijke inhoud is dan niet meer te achterhalen als je niet de juiste sleutel hebt.
Voor die versleuteling wordt een wiskundige formule (algoritme) gebruikt. En alleen als je weet hoe je het algoritme weer ongedaan kan maken, kun je de inhoud van de mails of bijlages zien. Daarom wordt het algoritme ook wel de sleutel genoemd. Einde verhaal? Nee, want er zijn verschillende vormen van encryptie.
Zo heb je encryptie waarbij je de sleutel meestuurt met het versleutelde bericht, er is encryptie waarmee je twee sleutels hebt, een openbare om het bericht mee te versleutelen en een privésleutel om het weer te openen. En dan is er nog een vorm van encryptie is er een waar je alleen bewijst dat je een sleutel hebt, maar die nooit laat zien. Dat laatste klinkt mysterieus, maar als je ziet welke vormen van encryptie er zijn en wat die precies doen, dan wordt het je hopelijk vanzelf duidelijk. We zetten hieronder de drie belangrijkste vormen van encryptie voor je op een rij.
Wil je meteen weten of je al goed bezig bent met encryptie of dat er nog verbeterpunten zijn voor jouw organisatie? Dat kan!
We beginnen met de basisvorm van encryptie. Bij standaard encryptie is een e-mail alleen versleuteld tijdens de verzending. Maar elke keer als de e-mail wordt opgeslagen, dan is dat een ontsleutelde versie. Elke server tussen de verzender en onvanger ontcijfert de e-mail en de gegevens om ze op te slaan. Pas als de server het bericht weer doorstuurt wordt het bericht weer versleuteld en naar de ontvanger verzonden.
Tegen de tijd dat de e-mail bij de ontvanger is aangekomen zijn er al een aantal servers geweest die de e-mail hebben gedecodeerd, opgeslagen en doorgestuurd. En elke server in dit proces is kwetsbaar. De servers kunnen bijvoorbeeld zijn gehackt, waardoor een hacker mee kan lezen. Ook iemand die de server beheert kan in principe de inhoud bekijken. En in sommige gevallen kunnen overheden zelfs toegang krijgen tot de informatie op een server.
Standaard encryptie is dus nooit voldoende als je gevoelige informatie deelt of als je gewoon alles wat je doet privé wilt houden.
Je gaat op vakantie en hebt iemand nodig die af en toe de brievenbus leegt en de planten water geeft. Het is maar een klein dorp en iedereen kent elkaar. Je vertrouwt iedereen wel met jouw post en huissleutel. En je weet dat je een veilige dienst gebruikt voor e-mail, want er staat bij dat alles versleuteld wordt. Je stuurt een mailtje naar alle buren en zegt dat de sleutel rechts van de voordeur achter het naamplaatje hangt. Geregeld!
Toch krijg je na een paar dagen aan de Frans Zuidkust vervelend nieuws; iemand heeft je huis leeggehaald. Ze hebben de sleutel gebruikt die achter het naamplaatje hing. Hoe kan dat nu?
Als je e-mailt zonder de juiste vorm van encryptie kan iemand de inhoud van je bericht onderscheppen zonder dat jij dat doorhebt.
Helaas is gewone encryptie niet voldoende als je gegevens wilt versturen die gevoelig of schadelijk kunnen zijn. Een van de servers die betrokken was bij het verwerken van jouw e-mail én de antwoorden van je buren bleek gehackt. De hacker zag haar kans en werd gelegenheidsinbreker. Ze wist precies wanneer je op vakantie was en waar je de sleutel had verborgen. Sommige buren hadden zelfs geantwoord met wanneer ze er zelf niet waren, dus de inbrekende hacker kon het ideale moment kiezen.
Dit voorbeeld zal je in de echte wereld echt niet zo snel overkomen, maar het laat je wel zien wat het zwakke punt is van standaard encryptie. Gelukkig wordt het met end-to-end encryptie al een heel stuk veiliger.
Wil je zekerheid dat niemand mee kan lezen met je bericht, zelfs als een server wordt gehackt of als je e-mail wordt onderschept? Of wil je zeker weten dat ook een overheid niet mee kan lezen? Dan is end-to-end encryptie onmisbaar. Waarschijnlijk gebruik je deze vorm van encryptie onbewust al elke dag. WhatsApp, Signal, Messenger, Telegram en bijna alle andere grote berichtenapps maken gebruik van end-to-end encryptie.
Als een bericht eenmaal versleuteld is, kan bij end-to-end encryptie alleen de ontvanger het bericht ontsleutelen.
Bij deze vorm van encryptie wordt een bericht (of e-mail) en eventuele bijlages versleuteld vóórdat ze worden verzonden. En de ontsleuteling gebeurt alleen op het apparaat van de bedoelde ontvanger. Van begin tot eind is het bericht versleuteld, ook als het ergens wordt opgeslagen. En de sleutel? Die heeft alleen de ontvanger. Niemand kan het bericht tussentijds ontgrendelen.
Zelfs iemand met toegang tot de servers die het e-mailverkeer afhandelen kan de inhoud van een bericht niet lezen omdat alles daar ook versleuteld is opgeslagen. Alleen de verzender en de ontvanger hebben op hun eigen apparaat de juiste sleutel om de berichten te kunnen openen. Om te controleren dat het om de juiste ontvanger gaat, wordt hier een slim systeem voor gebruikt met twee sleutels, de zogenaamde public en private keys.
De controle van verzenders en ontvangers bij end-to-end encryptie is op papier niet eens zo ingewikkeld. De verzender en de ontvanger hebben allebei 2 sleutels: een private key (privésleutel) en een public key (openbare sleutel). Belangrijk onderdeel van dit systeem is dat de public key en de private key van één persoon aan elkaar zijn gekoppeld.
Je private key is de enige manier waarmee je een e-mail kunt openen die met je eigen public key is versleutelt.
De public key is openbaar toegankelijk via het systeem waarmee je allebei werkt en vertelt precies hoe iemand informatie moet versleutelen zodat de ontvanger – en alleen de ontvanger - de informatie weer kan ontsleutelen met zijn of haar private key. Zo ben je er altijd zeker van dat alleen de ontvanger (die dus de juiste private key heeft) het bericht kan ontgrendelen.
Stel je wil een end-to-end encrypted bericht versturen naar Daniël. Je hebt de email getypt, het e-mailadres van Daniël ingetikt en klikt op verzenden. Voor verzending wordt de e-mail op jouw apparaat versleuteld met de public key van Daniël. Als Daniel het bericht heeft ontvangen, onsleutelt zijn private key de e-mail weer. En de servers die de e-mails doorsturen slaan het bericht ook versleuteld op. Ze kunnen niet anders, want ze hebben de private key van Daniël niet. Het bericht is nu met end-to-end encryptie verzonden!
Als Daniël je een versleuteld bericht terug wil sturen werkt het precies andersom. Zijn e-mailprogramma zoekt jouw public key op om het antwoord mee te versleutelen vóór het versturen. En aangezien alleen jij je eigen private key hebt, kun jij weer als enige het antwoord lezen!
Bij end-to-end encryptie wordt een e-mail versleuteld met de public key van de ontvanger. Dat gebeurt vóór verzending zodat de e-mail de hele reis versleuteld aflegt.
Met end-to-end encryptie is je informatie dus veilig, zelfs als een server gehackt wordt. Alleen als je slordig bent en bijvoorbeeld je computer niet vergrendeld als je er niet achter zit, kan iemand bij je versleutelde berichten komen.
End-to-end encryptie klinkt al erg veilig, maar hoe kun je dan berichten veilig versturen als je niet allebei van dezelfde dienst gebruik maakt? Dan kun je namelijk geen gebruik maken van de public key van de ontvanger en kun je de identiteit niet op die manier controleren. Gelukkig is ook daar een oplossing voor!
Bij deze sterkste vorm van encryptie wordt er zelfs niet meer gewerkt met de public en private keys. Je kunt de berichten die je hebt ontvangen nog steeds alleen ontsleutelen als je je identiteit kunt bewijzen aan de ontvanger. Maar hoe kan dat dan nog veiliger zonder die twee keys zoals bij standaard end-to-end encryptie?
Bij zero-knowledge end-to-end encryptie worden er geen wachtwoorden of keys naar de server gestuurd. Kort door de bocht kun je zeggen dat deze vorm van encryptie werkt met statistiek. De identiteit van de ontvanger wordt gecontroleerd door die een vraag te stellen die alleen beantwoord kan worden als diegene het juiste wachtwoord weet. Het wachtwoord zelf wordt niet verstuurd, alleen het antwoord.
Stel je twee grotten voor. De grotten zijn met elkaar verbonden via een lange gang. Je kunt de grot aan de linkerkant (A) of rechterkant inlopen (B). Midden in de gang tussen de grotten is een deur die alleen te openen is met het juiste wachtwoord. Het wachtwoord voor die deur weet alleen de ontvanger. Als je het wachtwoord niet weet, dan kun je dus nooit de ene grot in lopen en via de andere grot weer naar buiten komen.
Maar hoe controleer je daarmee dan de identiteit? Verrassend eenvoudig eigenlijk! Bekijk de vier plaatjes hieronder om te zien hoe zero-knowledge encryptie ongeveer werkt. Er zijn verschillende vormen van zero knowledge encryptie, maar het idee erachter is ongeveer hetzelfde.
De ontvanger loopt een van de twee ingangen in, zonder dat de verzender kijkt of ze de linker- (A) of rechteringang (B) hebben gekozen. De verzender zegt daarna uit welke uitgang de ontvanger moet lopen. Als dit dezelfde kant is als waar de ontvanger in liep, dan heeft die geluk. Maar als de verzender de andere uitgang kiest, dan moet de ontvanger de sleutel gebruiken om de deur in het midden te openen.
De verzender kan toevallig net de uitgang hebben gekozen die de ontvanger als ingang had gekozen. Als je dit spelletje maar één keer doet, dan is die kans zelfs 50 procent. Hoe kan dat dan veilig zijn? Om het veilig te maken spelen de verzender en ontvanger dit spelletje daarom niet een keer, maar honderden keren. De kans dat iemand 10 keer achter elkaar juist gokt is al kleiner dan 0,01% en bij 25 pogingen is dit al 0.003%. Bij 50 pogingen is dit inmiddels 0.000000000000089%! Zelfs met alle geluk van de wereld gaat je dat niet lukken. Alleen de ontvanger met de sleutel kan elke keer weer uit de juiste uitgang lopen.
Pas nadat de ontvanger vaak genoeg bewezen heeft de juiste identiteit te hebben, wordt het bericht leesbaar.
Na veel succesvolle pogingen weet de verzender zeker dat hij de juiste ontvanger heeft gevonden. Pas dan krijgt de ontvanger toegang tot het bericht. Gelukkig gaat dit spelletje achter de schermen razendsnel, zodat je als ontvanger amper iets merkt van deze vorm van encryptie.
Het zal je niet verbazen dat deze laatste vorm van encryptie de meest veilige is. Daarom maken we er bij Smartlockr standaard gebruik van. En wat voor veel organisaties ook goed is om te weten is dat je met Zero-knowledge end-to-end-encryptie je gegevens ook veilig kunt delen als je onder de Amerikaanse cloud act valt. Over die cloud act kunnen we ook weer een boek schrijven. In ons gratis webinar met AVG/GDPR- en databeveiligingsexpert Alexander Hanff leer je precies hoe je je data uit Amerikaanse handen kunt houden met zero-knowledge encryptie, ook als je in de cloud werkt.
In één minuut zien hoe encryptie zo ongeveer in zijn werk gaat? Bekijk de onze How-to YouTube hieronder:
Nu je weet wat encryptie is, vraag je je vast af of je encryptie echt nodig hebt. Het antwoord is kort: Ja! En als je met gevoelige gegevens werkt, zoals persoonsgegevens, financiële data of medische gegevens, dan al helemaal. Met de juiste vorm van encryptie kan namelijk niet niemand bij je berichten of bestanden.
Encryptie is essentieel om je data veilig te houden. Bij Smartlockr gebruiken we standaard zero-knowledge end-to-end-encryptie. Daar hoef je niet eens voor op een knop te drukken!
Waarschijnlijk heb je encryptie niet nodig voor al je e-mails. Maar je kunt het toch beter standaard gebruiken. Daarom staat encryptie altijd aan bij Smartlockr. Daarmee is Smartlockr erg geschikt voor organisaties en instanties die werken met privegegevens, zoals zorginstellingen, overheden en bijvoorbeeld de financiële en juridische sectoren.
Door te kiezen voor een platform waar zero-knowledge end-to-end encryptie standaard is, voldoe je aan de strengste privacywetten en -normen zoals de AVG, NTA 7516, WvGGZ. En je beschermt je data ook meteen tegen de gevolgen van de Cloud Act!
Versleuteling lijkt ingewikkeld, maar dit wordt bij Smartlockr voor de eindgebruiker allemaal achter de schermen afgehandeld. Maar het is voor iedereen een belangrijk onderdeel van online veiligheid. Het is goed om je er wel bewust van te zijn dat ergens wordt gezegd dat er encryptie of versleuteling wordt gebruikt, dat niet betekent de gegevens die je deelt voldoende zijn beschermd. Alleen met zero-knowledge end-to-end encryption weet je zeker dat je de beste beveiliging gebruikt.
Wil je weten of jouw organisatie volgens de regels encryptie moet gebruiken en welke vorm van encryptie geschikt is? Vraag een gratis en vrijblijvend adviesgesprek aan met een van onze adviseurs en je weet precies waar de dataveiligheid in jouw organisatie staat.
Alles wat je wil weten over zero knowledge end-to-end encryptie: bescherm je data, je privacy en vergroot je online veiligheid, uitgelegd met pizza's.
Met e-mail body encryption blijven zowel bestanden als berichten ontoegankelijk voor onbevoegden. Op deze manier maak je veilige communicatie...