Bewijzen van vervalsing van e-mail

In september vorig jaar schreef ik over het bewijzen van de echtheid van e-mail. Het vervalsen en aanpassen van mails die als bewijs worden ingezet blijkt vaker te gebeuren, vandaar dat ik nog even terug wil komen op dit onderwerp.

Hoe kun je het beste reageren op een vervalste e-mail?

Allereerst is het belangrijkste dat je meteen protesteert bij de wederpartij. Ontken ten stelligste dat je die mail hebt verstuurd of dat je die mail in die vorm hebt ontvangen. Als je zo’n mail maanden laat liggen, wordt het moeilijk om achteraf nog te roepen dat deze vervalst zou zijn.

Kijk of je de originele mail nog hebt. Maak daar een printout van, inclusief alle headers. In ieder geval ligt er dan bewijs dat er iemand zit te rommelen met de mails, mocht het naar de rechter gaan.

Stond er iemand in CC op de mail? Die kan dan misschien als getuige wat zeggen.

Wie zijn mail niet op de eigen PC opslaat maar via IMAP of webmail leest, heeft wellicht nog het argument dat de mail buiten zijn bereik wordt opgeslagen. Het manipuleren van mails waar je alleen via een webinterface bij kunt, is bijzonder lastig. Een screenprint van de mail zoals hij daar in de mailbox zit, is dus mooi tegenbewijs. Je kunt ook een getuige laten inloggen of laten kijken op het scherm zodat die kan verklaren dat hij de mail in die vorm heeft gezien in de mailbox.

Inhoudelijk is er wellicht ook wat te zeggen, afhankelijk van wat er aangepast of vervangen is. Iedereen heeft zo zijn eigen taalgebruik. Zijn de aangepaste teksten in diezelfde stijl? Staan er typefouten in die jij nooit maakt, of ontbreken de fouten die je juist wel maakt?

Als laatste: de vervalste mail is over het algemeen nadelig voor jou (waarom wordt deze anders gemaakt). Kijk dus eens of je ander bewijs kunt vinden dat die inhoud weerlegt. Als er bv. tig mails van jou zijn waarin je zegt “ik weiger te betalen” en in die ene mail staat “ok ok ik zal betalen” dan maakt die stapel weigermails deze ene mail ongeloofwaardig.

Arnoud

15 reacties

  1. Mocht je een Mac gebruiken dan lijkt me de backup (elk uur) van het mailtje in Time Machine ook bruikbaar om te laten zien (of op z’n minst aannemelijk te maken) op welk moment in de tijd het mailtje binnenkwam of verzonden is en welke inhoud het had.

    (Er kan ongetwijfeld mee geprutst worden maar gemakkelijk is dat niet.)

  2. Dit is d? reden waarom ik vrijwel al mijn e-mails onderteken met gpg. Eenvoudig te gebruiken als plugin van Thunderbird (Enigmail), Outlook (winpt), mutt, etc. Daardoor is het (vrijwel) onmogelijk dat de ontvangende partij jouw e-mail wijzigt zonder dat dat gedetecteerd kan worden. Ervan uitgaande dat je je private key ook echt private houdt, is het ook niet mogelijk dat een ander gesigneerde e-mail verstuurt die van jou afkomstig lijkt. En kwade wil van jouw kant is ook bemoeilijkt: je kunt niet ontkennen dat een e-mail van jou afkomstig is, als die door jou ondertekend is. Het enig overblijvende probleem is nog dat de ontvanger kan ontkennen jouw e-mail te hebben ontvangen.

  3. Al je mail versturen via een provider die alle uitgaande email middels DKIM signeert is een andere, eenvoudigere en wellicht betere, optie. Zeker als de provider een onafhankelijke derde partij is (zoals Google, of Yahoo) kan de ontvanger niet met een ongesigneerde email komen en beweren dat jij ‘kennelijk’ niet alle email signeert; evenmin kun jij met een gesigneerde email komen die jij nooit verzonden hebt.

  4. Time Machine is een uurlijks backup mechanisme dat ge?ntegreerd is met de standaard MacOSX-toepassingen. Dus binnen je mail-programma (bijvoorbeeld) druk je op de knop en ga je vrolijk terug in de tijd om mailtjes die allang gewist zijn toch nog even weer in te zien. Of je kunt zelfs zoeken in de tijd naar het moment waarop een bepaald mailtje er nog wel was…

    http://www.apple.com/macosx/what-is-macosx/time-machine.html

    Dat kan natuurlijk met elke backup. Alleen wie maakt er nu regelmatig backups met een PC?

    Maar elke Mac heeft Time Machine. En aangezien er steeds meer mensen zijn met een Appeltje… Externe harde schijf eraan en het werkt. Geen enkel excuus meer om niet te backuppen. Eindelijk werkt backuppen echt. En mensen gebruiken het daardoor ook. Zeg maar eens op een Mac-forum dat je een file kwijt bent en kijk wat voor reacties je krijgt. 😉

    Daardoor zeker iets om even aan te denken als het er om gaat iets aannemelijk te maken rondom mail.

  5. @hans ongesigneerde digitale bestanden zijn altijd aan te passen, zo ook de kopietjes in time machine. die worden gewoon opgeslagen in een bestadn dat in elke tekst editor is aan te passen namelijk.

    eigenlijk zou aleen digitaal gesigneerde e-mail toelaatbaar moeten zijn in een rechtbank.

  6. @arnoud ja ok dat is waar, maar het ging hier om de gevallen waarbij de ‘echtheid’ werd betwist toch?

    het doet mij denken aan een recente Kassa uitzending waarbij kijkers werden aangezet om een screenshot van hun browser te maken die geen verbinding kan maken om in een evt. rechtszaak te bewijzen dat hun internet het niet deed. Dat gaat nergens over natuurlijk aangezien je om dat te bereiken ook gewoon de kabel eruit kunt trekken, of creatief kunt photoshoppen natuurlijk. maar ook daar zal wel gelden; als niemand er bezwaar tegen heeft…

  7. Akkoord maar ik viel over je “niet rechtsgeldig”. Dat klinkt als “dat mag de rechtszaal niet binnenkomen”. Ik vind het zeker een goed idee dat de rechter kritisch kijkt naar mails als ??n van de partijen zegt dat hij die nooit verzonden/ontvangen heeft in die vorm. Maar het moet ook weer niet zo makkelijk zijn dat de theoretische vervalsbaarheid van e-mail er automatisch toe leidt dat de rechter er nooit naar kijkt.

  8. Ik ben sowieso wat sceptisch over het zelf signeren van email. Los van het feit dat ik nooit in een situatie heb gezeten waarin ik echt zeker moest weten of de kennelijke verzender die email echt zelf had verstuurd, roept een veelgebruikt signeer-systeem allerlei problemen op, zoals malware die priv? sleutels steelt.

  9. Digitale handtekeningen zijn erg nuttig, maar er zitten wel wat nogal verborgen haken en ogen aan.

    DKIM zoals slim door Martijn aangegeven, is een mooie oplossing omdat hij volautomatisch is (geen wachtwoorden te typen enzo, de ISP doet het voor je). Maar als je preciezer kijkt, zie je dat daar de handtekening zo gezet kan zijn, dat spaties en andere whitespace niet of niet goed meegenomen zijn. DKIM RFC 4871 sectie 3.4.4 waarschuwt daar ook expliciet over. In praktijk zal dat wel loslopen (hoe vaak is whitespace nu relevant in de tijd van automatische layout en variable width fonts), maar toch. Wat problematischer is, is dat je voor het verifieren van DKIM het hele emailtje moet hebben, inclusief headers. En omdat je ISP die handtekening gezet heeft, heeft dus alleen de ontvanger dat emailtje zo met DKIM handtekening (of je moet jezelf een CC gestuurd hebben en dat is via die ISP gegaan en niet direct door jouw emailserver terug gestuurd).

    Voor PGP/GPG is het nog complexer. Grofweg kun je daar niet er van uit gaan dat de headers getekend zijn, het is de body die beschermd wordt. Dus de titel, ontvangers, tijd enzo zijn daar niet zo zeker getekend (of vercijferd). Een emailtje “zie subject” tekenen is dus niet zo slim 😉

    In het algemeen is met digitale handtekeningen wel aan te tonen dat (een deel van) het emailtje niet gewijzigd is (omdat de handtekening klopt), maar niet dat hij wel gewijzigd is. De aanvaller sloopt gewoon die handtekening eruit en zegt hem nooit met handtekening ontvangen te hebben. Een argument dat jij altijd met handtekening verstuurt lijkt me erg moeilijk te controleren (DKIM heeft hier inderdaad een voordeel), en vooral: hoe kan de ontvanger dat nu weten? En dat de ontvanger een ongetekende versie heeft en zender wel een getekende, kan ook naderhand door de zender zo opgezet zijn (wordt het belangrijk wie de tijd waarop die handtekening is gezet precies garandeert, als dat de mogelijk frauderende zender is, wat heb je er dan aan?).

    Wat digitale handtekeningen typisch niet of slecht doen, zijn zaken als aantonen dat iets is aangekomen, door een mens gelezen is, voor of na een bepaald tijdstip gestuurd is (en/of aangekomen), of niet door anderen is gezien. Het wordt helemaal leuk als het al een tijdje geleden is, dan krijg je problemen met het verkrijgen van die oude public keys om alles te verifieren.

    Een heel verhaal (en dat is maar een deel), maar ik denk dat het dus erg afhangt van welke aspecten van die email je wil aantonen.

  10. Over de backups: als de backups door de zender gemaakt worden en van de zender beweerd wordt dat hij aan de emails veranderd heeft, weet ik niet goed waarom die backups dan niet ook veranderd kunnen zijn.

    Goed, het is wat werk om uit te zoeken hoe de backups opgeslagen staan als je ze daarin wil veranderen, maar simpelweg de tijd terugzetten en dan een paar keer vooruit stappen en een backup maken, werkt ook om zo’n ‘paper trail by backup’ te creeeren. Om dat compleet consistent te doen is moeilijk (er glipt al snel een nieuwere update in de backups of zo), maar om dat te vinden moet iemand met een hoop forensische inzichten redelijk precies door een hoop data spitten, en dat lijkt me voor dit soort rechtzaken ver gaan.

    Ik denk dat het erg afhangt van wat voor een limiet er op de inspanning van de aanvaller (degene die de email gewijzigd zou hebben) zit. Als dat minutenwerk is, dan is een backup denk ik een goed bewijs. Als het dagen werk is, dan lijken backups in eigen beheer zoals time capsules me maar beperkt nuttig. Je zou juist een partij erin willen hebben die geen partij van het conflict is. Die online backups zouden een optie zijn (maar dan moet je hen er in betrekken) misschien, maar een expliciete derde partij is in ieder geval bijna nodig.

    Om de link naar de digitale handtekeningen te maken: als het maanden en voorbedachte rade is, dan zijn zelfs digitale handtekeningen mogelijk zo te gebruiken dat ze een verkeerd beeld geven.

  11. Ja, spaties en DKIM is een probleem, net zoals automatisch toegevoegde signatures (zoals reclame of ‘deze email is gescanned met..’). Een extra reden om het niet zelf te doen, want de grote email providers hebben daar wel goed over nagedacht.

    Het is vooral erg nuttig omdat de ontvanger zo niet met een email aan kan komen zetten waarvan hij/zij beweert dat jij ‘m gestuurd hebt, terwijl dat niet het geval was. Tenzij, zo ontdekte ik net, de emails van Gmail naar Gmail zijn gestuurd. Die hebben namelijk geen DKIM signatures!

  12. De backups van Time Machine zijn voor de gemiddelde gebruiker wat lastiger te manipuleren dan een gewone kopie. Maar natuurlijk kan er mee geknoeid worden.

    Het ging mij er slechts om dat backups (mits frequent en regelmatig gemaakt (elk uur in dit geval)) een extra tijdlijn toevoegen aan de gangbare datum/tijd velden die je in de mailjes zelf aantreft. Net als bijvoorbeeld de logs van de mailservers. En dat kan dan weer helpen om iets aannamelijk te maken.

    Ik bracht Time Machine slechts ter sprake omdat het onder Mac-gebruikers inmiddels behoorljk gangbaar is. (Wat traditioneel backuppen helaas nooit geweest is.)

  13. Ja, die Time Machine heeft backuppen inderdaad weer gangbaar gemaakt ;-). Als eindgebruiker is het ook heerlijk, je hangt zo’n doosje thuis ergens aan de stroom, je Mac vraagt je een keer, goh, zal ik het gebruiken en je hebt er letterlijk geen omkijken meer naar. Heerlijk spul, zo zou meer (backup)software moeten zijn.

    Waar ik met die backups mee zit qua bewijskracht, is dat het vastleggen dat die email met die inhoud er was in een bepaald tijdsframe, en het verifieren dat dat inderdaad zo is, helemaal op de integriteit hangt van juist een van de twee partijen waarvan tenminste een liegt. Immers, daar gaat het conflict over neem ik aan. Dus ik stel me voor dat ik als een van die partijen mijn MacBook en Time Machine naar de rechtzaak meeneem, daar aanzet en dan laat zien dat die email er zo en zo inzit? En dan komt die andere partij met een (eveneens mogelijk fake) log entry in hun zeg exchange server en hun backup. Technisch gezien is de sterkte tegen wijziging van dit soort mechanismen niet denderend.

    Constructief gezien, ik denk dat om dat op te lossen je er niet om heen komt om een of ander commitment protocol te implementeren waardoor een derde partij een anker levert voor je tijd/inhoud beweringen. Bijv. door een hash van je mail folder elke dag op usenet te posten. Technisch gezien is dat makkelijker te verifieren: haal van een willekeurige server die posts af, daarmee kun je aantonen dat het niet naderhand erin gezet is (datumstamp van die willekeurige server). Dan de hash van die (backup van) de folder er bij halen, en je hebt tijd+inhoud verankerd. Technisch gezien een stuk steviger in bewijskracht, maar of dat verschil goed duidelijk is voor een rechter? Bovendien, dat heb je niet zo maar geimplementeerd…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.