Beheer van S/MIME sleutels en certificaat

Als je versleuteld mailt is het belangrijk dat je je sleutels en certificaat goed beheert. Hier leg ik uit wat sleutels zijn, waar ze voor dienen en hoe je ermee om kunt gaan. Indien je berichten en/of bestanden gaat versleutelen (bijvoorbeeld bij e-mail met S/MIME) is het beheren van de bijbehorende sleutelparen van groot belang.

In dit advies geven we uitleg wat de sleutels betekenen en geven we ideeën en tips hoe om te gaan met deze sleutelparen. Als begrip voor publieke en geheime sleutels wordt Public Key Infrastructure (PKI) gebruikt; dat is breder dan alleen S/MIME maar ik houd het in dit stuk puur  S/MIME gerelateerd.

In S/MIME komen 3 sleutels voor:

  • De publieke sleutel. Deze zit in het certificaat (crt file) en kan met iedereen gedeeld worden.
  • De geheime sleutel (ook wel privésleutel genoemd). Deze is alleen van jou. Het is belangrijk dat je deze geheim houdt. Deze zit in het P12 of PFX bestand en heeft ene wachtwoord
  • De sessie sleutel. Deze wordt door de software voor je gemaakt en wordt maar een keer gebruikt. In de praktijk zie je deze als gebruiker niet en hij is voor elk bericht weer anders.

In tegenstelling tot je huissleutels, waarvan je er maar een nodig hebt om de deur open en dicht te doen, heb je bij digitale sleutels twee verschillende nodig. Namelijk een publieke sleutel om iets te versleutelen (het slot dichtdraaien), en een geheime sleutel om het weer leesbaar te maken (het slot opendraaien).

Note: Verlies van sleutelparen, certificaat en je wachtwoord is definitief en kan niet worden teruggedraaid. Bij verlies van je geheime sleutel zijn alle versleutelde berichten voorgoed onleesbaar.

Publieke sleutel

De publieke sleutel zit in het certificaat en kun je onbeperkt aan iedereen geven. De publieke sleutel heeft twee belangrijke functies die hier worden uitgelegd.

De eerste functie is wat ingewikkeld. Bij elk bericht dat gestuurd wordt, wordt een sessiesleutel (zie uitleg verderop in dit bericht) gegenereerd. Deze wordt gebruikt om berichten en bestanden te versleutelen. Met de publieke sleutel wordt de sessiesleutel versleuteld en meegestuurd met het bericht. Alleen degene met de geheime sleutel kan het ontcijferen.

De tweede functie is het bepalen of het bericht wel is ondertekend door degene die zegt dat hij is. Dit is een soort van digitale tegenhanger van een handtekening op een papier. Hiermee kan de ontvanger bepalen of het bericht wel echt van de verzender afkomstig is en het niet door anderen is veranderd.

Geheime sleutel

Het geheime deel van jouw sleutelpaar is, zoals het al aangeeft, geheim. Dat moet je altijd zo houden. Deze geheime sleutel zit in het P12 bestand heeft twee belangrijke functies die hier worden uitgelegd.

De eerste functie is om de berichten weer leesbaar te maken. Jij kunt met jouw geheime sleutel de aan jou verstuurde versleutelde sessiesleutels weer bruikbaar maken en zo de berichten weer leesbaar. Op een geheime sleutel zit meestal een wachtwoord zodat je bij het ontsleutelen van het bericht een wachtwoord moet invoeren om de sleutel te kunnen gebruiken.

De tweede functie van de geheime sleutel is het digitaal ondertekenen van de e-mail. Alleen de eigenaar van de geheime sleutel kan het bericht ondertekenen. Er wordt een uniek kenmerk van het bericht gemaakt en dat kenmerk wordt versleuteld met de geheime sleutel. Het versleutelde kenmerk wordt meegestuurd met het bericht en iedereen die de publieke sleutel van jou bezit kan dan controleren of het bericht niet door anderen aangepast is en echt van jou afkomstig is.

Dit zijn twee functies die het enorm belangrijk maken dat je deze sleutel ook echt geheim houdt, zodat berichten alleen door jou gelezen of ondertekend kunnen worden. Zorg er voor dat de geheime sleutel alleen beschikbaar is op de plekken waar je hem nodig hebt, bijvoorbeeld op de computer waar je je e-mail op leest. Op deze computer installeer je de nodige applicaties en zorg je er voor dat er een goed wachtwoord op de sleutel zit.

Sessiesleutel

Om berichten te versleutelen wordt er voor elk bericht die je verstuurt een sessiesleutel gegenereerd. Van deze sessiesleutel zie je als gebruiker niets – dit wordt door de software afgehandeld. Je hoeft er ook niets mee te doen want deze sleutel wordt eenmalig gebruikt en wordt met de publieke sleutel van de ontvanger versleuteld.

De versleutelde sessiesleutel wordt meegestuurd naar de ontvanger en alleen de eigenaar van de geheime sleutel kan deze ontsleutelen en gebruiken.

Beheer van de sleutels

Het beheer van sleutelparen bestaat uit een paar belangrijke onderdelen. Sleutelparen genereren: het verzenden van je publieke sleutel, een backup maken en het wachtwoord opslaan. Deze stappen zijn belangrijk en het is te adviseren om de volgende stappen goed te begrijpen voordat je aan de slag gaat met versleuteld e-mailen.

Een sleutelpaar en certificaat hebben ook een uniek kenmerk, fingerprint genoemd. Dit is een verkorte, beter leesbare weergave van een sleutelpaar. Hiermee kun je makkelijker controleren of de sleutel die je van een persoon ontvangt de juiste is.

Sleutels genereren en aanvragen Certificaat

Het genereren van sleutels gebeurt in de applicatie of aanvraagprocess waar je de het S/MIME certificaat aanvraagd. Bij het genereren van de sleutels worden er twee sleutels gemaakt. Eén geheime en daarna één bijpassende publieke sleutel. Zonder de ene heeft de andere sleutel geen nut.

Op dit moment is sleutellengte van 2048 bits voldoende, maar als je klaar wilt zijn voor de toekomst kun je beter kiezen voor 4096 bits. Eenmaal een sleutelpaar en certificaat gegenereerd, kunnen de sleutels ook in andere applicaties gebruikt worden, mits deze voor S/MIME geschikt zijn.

Note: Aanvragen van het certificaat wordt in separaat Artikel behandeld.

Een back-up maken van je sleutels

Net als bij de sleutels van je huis, is verlies of diefstal funest. Bij verlies kom je je huis niet meer in en bij diefstal kan een ander jouw huis in. Datzelfde geldt voor digitale sleutels. Verlies van je geheime sleutel zorgt er voor dat je alle versleutelde berichten die aan jou geadresseerd zijn niet meer kunt lezen. En bij diefstal kan iemand anders jouw berichten lezen. En dat is ook niet wat je wilt.

Een goede back-up van je sleutels en het bijbehorende wachtwoord is daarom erg belangrijk. Hieronder vind je een aantal tips om dat goed uit te voeren. De geheime sleutel en het certificaat zit in het bestand met de extensie P12 of PFX en bij dit bestand hoort ook een wachtwoord die NIET te resetten is.

Zorg voor een back-up op een externe harde schijf van je P12/PFX bestand

  • Sla de back-up bestanden op op een systeem dat niet is aangesloten op het internet, bijvoorbeeld een usb-stick
  • Sla altijd je publieke en geheime sleutel gezamenlijk op (P12/PFX bestand)
  • Bewaar het bijbehorende wachtwoord veilig en niet samen met de sleutelbestanden
  • Controleer regelmatig of de bestanden nog leesbaar zijn (bijvoorbeeld eens per jaar)
  • Gebruik bv een wachtwoordmanager om de sleutels en het wachtwoord veilig op te slaan

Als je bovenstaande dingen gedaan hebt, kun je verder met het gebruik van de sleutels en certificaat. Hoe je dat moet doen, staat verderop in dit document uitgelegd.

Note: Wil je aan aan de slag met S/MIME en Outlook, ga dan naar de volgende stap Sleutels genereren en S/MIME certificaat aanvragen