Print:

Is cryptografie nog wel veilig?

Lex Borger, Consultant Information Security

LinkedIn profiel

Ik heb het al eerder gehad over de afluisterpraktijken van de Amerikaanse geheime dienst NSA. In recente nieuwsberichten werd ook duidelijk dat de NSA ook versleutelde informatie kraakt. Recente krantenkoppen zijn: ‘NSA maakte gebruik van hack IT-bedrijf DigiNotar’ en ‘NSA en Britse GCHQ kraken beveiligde verbindingen’. Voeg dit toe aan een kop als ‘Eerder vermoedens NSA interne lekken – dienst betaalt bedrijven voor aftappen’. Daar waar we eerder ons nog veilig konden voelen zolang we encryptie toepassen, lijkt ook dat niet langer van toepassing te zijn.

Dan wordt nu bekend dat cruciaal onderdeel van cryptografie, het vermogen om een willekeurige waarde te genereren, ook ondermijnd is: de zgn. random-number-generator (RNG). Er is een specificatie met een twijfelachtige origine in de standaarden terecht gekomen. Het eerste bericht was dat dit door niemand gebruikt werd, nu blijkt dat dit de RNG van keuze was in de RSA beveiligingssoftware. Dit wordt nu gecorrigeerd, maar de toon is gezet en het wantrouwen in gewekt.

Waar kunnen we nog op vertrouwen? Het korte antwoord is ‘weinig’. Een heleboel elementen van de vertrouwensinfrastructuur hebben een flinke erosie meegemaakt. Omdat een bedrijf solide is, klantgericht en een goede reputatie heeft is geen onderscheidende factor meer. Bedrijven delen met de overheid en bedrijven maken fouten. Juist de kleinere bedrijven, meer gedreven door ethiek dan door aandeelhouders en met een goed overzicht over hun hele keten zijn meer te vertrouwen. Kijk naar Lavabits. Die besloot de eer aan zichzelf te houden en te stoppen met dienstverlening. Daar is dus nu geen zaken meer mee te doen.

Theoretisch is encryptie nog steeds veilig. Maar standaarden en implementaties kunnen dus falen. Als je voldoende technische kennis hebt, kun je jezelf vertrouwen: end-to-end encryptie met je eigen web-of-trust. Ik schreef al eerder over openPGP. Bedrijven die dit als uitgangspunt hebben staan ook in een goede positie, de knagende vraag blijft of hun code dan ook doet wat ze zeggen, want de NSA zou wel eens zich ingekocht kunnen hebben om toch een zijlijntje te hebben.
Eigenlijk verkeert de samenleving nu in een shock-fase. Het nieuws moet verwerkt worden, nieuwe verwachtingen over vertrouwen vormen zich, nieuwe regels voor bescherming kunnen worden opgesteld en reputaties op basis daarvan gaan zich vestigen. Star Wars IV: ‘A New Hope’…

Lex Borger

Lex is een redacteur voor het vakblad ‘Informatiebeveiliging’, wat gepubliceerd wordt door het PvIB (‘Platform voor Informatiebeveiliging’). Daarnaast is hij ook trainer bij IIR van o.a. de praktijktraining Security Architectuur.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten