Home Onderwerpen Zoek Over ons Doneer Contact

Encryptie: privacy beschermen

—Vertrouwelijkheid van informatie—

dr. Albert Benschop
Universiteit van Amsterdam
rode_knop Toezicht op internet: Echelon & Prism
rode_knop Regulatie en zelfregulatie van internet
rode_knop Oorlog in Cyberspace: Zwaarden van Zwakkeren
rode_knop CyberTerrorisme
rode_knop Politiek op het internet

Wat is cryptografie?

Regulatie van elektronische communicatie
Internet en mobiele communicatie worden gebruikt voor het uitwisselen van zeer persoonlijke berichten en voor financiële of zakelijke transacties. De beveiliging van deze informatie-uitwisseling wordt hierdoor steeds belangrijker. Niemand wil dat zijn creditcardnummer, sollicitatie- of liefdesbrief in verkeerde handen valt en dat geldt in het bijzonder voor zakelijke transacties tussen bedrijven en voor geheime documenten van overheden.

Hoe kun je er zeker van zijn dat berichten of documenten die via internet of mobiele telefoon worden verstuurd afkomstig zijn van degene die zegt afzender te zijn, dat er niet door anderen geknoeid is met de inhoud van berichten en documenten die je ontvangt, en dat de verstuurde informatie niet in verkeerde handen valt? Kortom: hoe kan de veiligheid van elektronische communicatie via internet en mobiele netwerken worden gewaarborgd?

De beveiliging van elektronische communicatie draait om drie kernproblemen: de authenticiteit van berichten, de integriteit van verzonden berichten en de vertrouwelijkheid van berichten.

Om de authenticiteit en integriteit van informatie te garanderen wordt gebruik gemaakt van digitale handtekeningen. Dat zijn elektronische zegels die aan de over te brengen gegevens worden gehangen waardoor de ontvanger de mogelijkheid heeft de herkomst van de gegevens te controleren. In Europa en elders in de wereld worden initiatieven genomen die zich richten op juridische gelijkstelling van digitale en traditionele handtekeningen en op het oprichten van certificatie-instellingen. Voor het garanderen van vertrouwelijkheid is het van belang dat er voor iedereen die aan elektronische communicatie deelneemt encryptietechnieken beschikbaar zijn. De vraag is in hoeverre daarbij rekening gehouden kan worden met gerechtvaardigde belangen van strafvervolging van criminelen of terroristen die encryptietechnieken misbruiken voor misdadige doeleinden. Strafvervolgings- en veiligheidsautoriteiten vrezen dat zij door een uitgebreid gebruik van versleutelde communicatie gehinderd zullen worden bij de bestrijding van de misdaad.

Index


Encryptie en decryptie
Encryptie Cartoon Cryptografie moet ervoor zorgen dat communicatie tussen mensen privé blijft, dat wil zeggen dat gevoelige informatie niet terecht komt bij mensen waarvoor deze niet bedoeld is. Encryptie (coderen) is de transformatie van gegevens in een of andere onleesbare vorm. Het doel daarvan is de privacybescherming door de informatie verborgen te houden voor iedereen waarvoor deze niet bedoeld is, zelfs voor degenen die de gecodeerde gegevens kunnen zien. Decryptie (decoderen) is het omgekeerde van encryptie: het is de transformatie van versleutelde gegevens terug in een of andere intelligibele vorm. Alleen de zender en/of ontvanger hebben een sleutel waarmee de versleutelde document weer leesbaar gemaakt kan worden.

Encryptie en decryptie vereisen dat er gebruik gemaakt wordt van geheime informatie, meestal aangeduid als een sleutel. Al naar gelang het encriptie-mechanisme waarvan gebruik gemaakt wordt kan dezelfde sleutel worden gebruikt voor zowel encryptie en decryptie, terwijl voor andere mechanismen de sleutels voor encryptie en decryptie kunnen verschillen.

Cryptografie omvat tegenwoordig meer dan 'geheim schrijven', meer dan encryptie en decryptie. Een belangrijk onderdeel van ons privé-leven is authentificatie. We gebruiken authentificatie dagelijks, wanneer we onze naam onder een document schrijven, wanneer we een PIN-code of wachtwoorden invoeren, wanneer we ons identificeren met een paspoort of rijbewijs met pasfoto, of door het controleren van lichaamskenmerken zoals stem, of vingerafdruk). In een wereld onze persoonlijke berichten en zakelijke overeenkomsten elektronisch worden gecommuniceerd, moeten deze procedures op het internet worden gedupliceerd.

Cryoptografie biedt mechanismen voor dergelijke procedures. Een digitale handtekening koppelt een document aan de bezitter van een speciale sleutel, terwijl een digitaal tijdstempel een document koppelt aan zijn creatie op een bepaald tijdstip. Deze cryptografische mechanismen worden gebruikt om de toegang tot een gedeelde harde schijf te controleren, om de authenticiteit en integriteit van berichten of documenten te controleren, of om toegang tot een pay-per-view TV kanaal te beveiligen.

Met een paar basale instrumenten kunnen uitgebreide beveiligingsschema's en protocollen worden uitgewerk die het mogelijk maken om met elektronisch geld te betalen, om te bewijzen dat we bepaalde informatie kennen zonder de informatie zelf te onthullen, of om geheime informatie zodanig te delen dat niet minder dan drie van een groep van vijf personen het geheim kan reconstrueren.

De ontwikkeling van de informatietechnologie heeft het mogelijk gemaakt dat particulieren de beschikking krijgen over encryptietechnologieën (coderingsprogramma's) waarmee zij kun elektronische communicaties kunnen beschermen tegen ongewenste afluisteraars.

Index Pretty Good Privacy: twee sleutels
 

Cartoon van P. Steiner.
“On the internet, nobody knows you’re a dog.”
Wie een e-mail verstuurt via internet kan weten dat de inhoud daarvan nauwelijks is beveiligd. De elektronische post passeert meerdere systemen en systeembeheerders die allemaal de inhoud van e-mails en attachments kunnen lezen. Net als telefoonverkeer kan elektronisch dataverkeer worden afgeluisterd door geheime diensten, justitie of kwaadwillende particulieren, criminele bendes of illegaal opererende ondernemingen. Elektronische berichten kunnen zeer gemakkelijk worden gescanned en op inhoud gefilterd. Anders dan bij papieren brieven kun je bij e-mail niet ziet of deze door iemand anders is gelezen of gekopieerd.

Om het briefgeheim van e-mail te beschermen zijn diverse encriptieprogramma’s beschikbaar. Een van de bekendste daarvan is Pretty Good Privacy (PGP). Dit encryptieprogramma is vergelijkbaar met een envelop die de inhoud van een brief beschermd tegen ongewenste meelezers. Het is moeilijker om deze digitale envelop open te scheuren dan een papieren envelop, maar het wordt ook steeds eenvoudiger.

Berichten die met PGP zijn gecodeerd, zijn voor iedereen onleesbaar behalve voor diegene die de juiste sleutel bezit. Alleen deze persoon kan de gecodeerde tekst weer vertalen naar een leesbare tekst. Het grote voordeel van PGP is dat het werkt met twee sleutels: een publieke sleutel en een persoonlijke sleutel.

De publieke sleutel kun je aan iedereen geven of zelfs op internet zetten zodat iedereen hem kan kopiëren. Met een publieke sleutel kan iemand anders die het PGP-programma gebruikt een vercijferde brief sturen die alleen ontcijferd kan worden met de persoonlijke of geheime sleutel. De ontvanger van een vercijferde brief is de enige persoon die het bericht kan lezen. Met een persoonlijke sleutel is dus alleen een bericht of document te decoderen dat met de bijbehorende publieke sleutel is gecodeerd.

Met de publieke sleutel van de afzender kan de ontvanger controleren of de handtekening werkelijk met behulp van de persoonlijke sleutel werd geproduceerd. De ontvanger kan ook controleren of de gegevens wel of niet werden veranderd. Bij deze controle met een dubbele sleutelsysteem is het dus niet nodig een certificatie-instantie in te schakelen. De ontvanger kan zelf vaststellen of de publieke en persoonlijke sleutel van de afzender een complementair paar sleutels vormen en of de gegevens bij de overdracht werden veranderd.

Asymmetrische Encryptie

Door het gebruik van twee sleutels is het klassieke probleem van de symmetrische cryptografie opgelost. Bij symmetrische cryptografie maken zender en ontvanger gebruik van dezelfde geheime sleutel. De zender versleutelt het document dat hij wil beveiligen met een geheime sleutel en de onvanger moet diezelfde sleutel gebruiken om de versleutelde tekst in leesbare tekst om te zetten. De zwakte van dit systeem is dat er een geheime sleutel moet worden uitgewisseld. Wanneer personen elkaar niet kennen of ver uit elkaar wonen moet de geheime sleutel via post, fax, telefoon of internet worden uitegewisseld. In geen van deze gevallen is de veiligheid echter gegarandeerd.

Het gebruik van een encryptiesysteem met twee sleutels, asymmetrische cryptografie, biedt een elegante oplossing voor dit veiligheidsrisico omdat er helemaal geen geheime sleutels uitgewisseld hoeven te worden.

Vertrouwenswaarde
Het werken met twee sleutels is in principe erg veilig. Het risico zit in een klein, maar gevaarlijk hoekje. Iemand heeft een sleutel gemaakt en tekent daarmee berichten of laat mensen daarmee berichten encrypteren. Maar dit betekent niet automatisch dat deze sleutel ook toebehoort aan de persoon aan wie je denkt dat hij behoort. Daarom wordt er een vertrouwenswaarde toegevoegd aan publieke sleutels. Deze vertrouwenswaarde kan door de gebruiker worden gewijzigd nadat deze via een betrouwbaar kanaal (zoals een telefoongesprek of een persoonlijke ontmoeting) geverifieerd heeft dat de sleutel inderdaad van de vermoede persoon afkomstig is.

Het uitwisselen van de publieke sleutels kan op verschillende manieren gebeuren. De publieke sleutel kan worden uitgewisseld door hem op een usb-stick te zetten of rechtstreeks op het internet. Op internet gebeurt dit vaak via een keyserver, een online databank met publieke sleutels. In de praktijk wordt echter meestal gebruik gemaakt van de fingerprint. Een digitale vingerafdruk is een uitreksel van de publieke sleutel die uniek is voor iedere publieke sleutel en uit een korte reeks cijfers en letters bestaat. Omdat zo’n vingerafdruk veel korter is dan de echte publieke sleutel, kan deze gemakkelijk via e-mail, telefoon of visitekaartje worden uitgewisseld.

In PGP is het mogelijk om de digitale vingerafdruk te representeren als een reeks woorden, waardoor deze makkelijker is te onthouden. De vingerafdruk biedt een extra controlemogelijkheid waarmee kan worden nagegaan of de publieke sleutel die via internet gevonden is correspondeert met de vingerafdruk die uit de eerste hand werd verkregen. De digitale vingerafdruk is dus een makkelijke en veilige manier om publieke sleutels uit te wisselen.

PGP groeide uit een ad-hoc standaard. PGP wordt door zoveel mensen gebruikt dat het op eigen kracht een soort standaard is geworden. Voor privé-gebruik is PGP gratis verkrijgbaar voor vele platforms. Je kunt PGP op vele plaatsen vinden, maar haal het niet uit Amerika: dat is strafbaar.

Algoritmes van PGP
Bij het coderen van informatie wordt gebruikt gemaakt van algoritmes. Dat zijn instructies die vanuit eeen gegeven beginstoestand (versleutelde informatie) naar een beoogd doel leiden (leesbare informatie). PGP maakt voor de codering gebruik van twee algoritmes: RSA en IDEA.

RSA is een asymmetrisch encryptiealgoritme dat werd uitgevonden door Ron Rivest, Adi Shamir en Len Adleman. Dit algoritme maakt gebruik van het feit dat een vermenigvuldiging van twee grote priemgetallen uiterst moeilijk in factoren ontbonden kan worden.

IDEA is een afkorting van International Data Encryption Algorithm. Dit conventionele encryptie algoritme gebruikt maar één sleutel van 128 bits (het kent 2 tot de macht 128 verschillende mogelijkheden).

PGP gebruikt dus een samengesteld systeem van codering: het kiest een willekeurige 128 bits sleutel en codeert daar het bericht mee, vervolgens wordt deze sleutel met RSA gecodeerd. De uiteindelijke omvang van de RSA sleutel is hierdoor duizenden bits.

Index Vrijheid van communicatie

Burgers moeten er van uit kunnen gaan dat communicatie vertrouwelijk is. Maar dat is eenvoudiger gezegd dan gedaan. Dat komt vooral omdat er zo weinig controle is op de elektronische afluisterpraktijken van particuliere burgers, ondernemingen en overheden [dit wordt behandeld in: Toezicht op internet: Grootschalig afluisteren en surveillancestaat]. Overheden moeten niet alleen waarborgen scheppen tegen ongerechtvaardigde inbreuken op het recht van vrije communicatie. Zij moeten ook waarborgen scheppen voor het recht van burgers en bedrijven om zich met cryptografie optimaal te beveiligen tegen inbreuken op hun communicatievrijheid.

Daarom is het ongewenst wanneer overheden proberen de productie en verspreiding van cryptografische programma’s aan banden te leggen. Het is bovendien contraproductief. Het zal criminelen en terroristen er niet van weerhouden om zware cryptografische technologieën te gebruiken. Cryptografische onderzoekscentra zouden hierdoor direct naar andere landen verhuizen, waardoor tevens de expertise verdwijnt die nodig is om criminele of terroristische elektronische communicaties te lokaliseren en te ontsleutelen.

De vrijheid van communicatie is een fundamenteel burgerrecht. Het verdedigen van deze vrijheid op het internet is een zaak van alle democraten. Een democratisch overheid dient individuele burgers te beschermen tegen willekeurige inmenging in hun vrijheid van communicatie door welke overheid of andere ‘derden’ dan ook.

Index Bronnen over afluisteren en privacy

  1. SocioSite: Elektronische Informatiebronnen over veiligheid en encryptie

  2. Algemene Inlichtingen- en Veiligheidsdienst (AIVD)
    De voormalige Binnelandse Veiligheidsdienst (BVD) die sinds de nieuwe Wet op de inlichtingen- en veiligheidsdiensten van 29 mei 2002 haar naam heeft gewijzigd in de AIVD.

  3. Cryptome
    Uitgebreide informatie over Sigint, Comint en cryptografie.

  4. EU - Law & Commerce
    Een overzicht van alle Europese wetgeving en voorbereidende documenten over e-commerce. Geeft o.a. informatie over electronische handtekeningen, data protectie en cybermisdaad.

  5. EU - Naar een Europees kader voor digitale handtekeningen en encryptie [1998]
    In het verslag van de Commissie van juridische zaken en rechten van de burger van de EG.

  6. Surfnet: Public Key Infrastructure
    Informatie over de dienstverlening van SURFnet op het gebied van Public Key Infrastructure (PKI) en digitale certificaten.

  7. Wikipedia

Index


Home Onderwerpen Zoek Over ons Doneer Contact

19 June, 2015
Eerst gepubliceerd: September, 2003