Dinsdag 29 november 2011

Encryptie

Verdachte Robert M. had zijn bestanden zo goed beveiligd dat de code niet te kraken was. Pas nadat hij zelf had verteld hoe hij zijn bestanden had beveiligd was het mogelijk om hierin inzage te krijgen. In dit stuk worden verschillende encryptietechnieken behandeld. Daarna wordt de bestaande wetgeving met betrekking tot encryptie onder de loep genomen. Eveneens wordt besproken of het gevoel van veiligheid dat ontstaat door het inzetten van encryptie wel terecht is.

Werking van encryptie
Encryptie is kort gezegd het versleutelen van gegevens met behulp van wiskundige technieken. Een wiskundig algoritme zorgt ervoor dat gegevens worden versleuteld zodat deze niet inzichtelijk zijn voor derden. Als de gegevens belanden bij de ontvanger gebruikt deze een sleutel om de gegevens weer te ontsleutelen. In de praktijk worden er twee vormen van encryptie gebruikt: symmetrische en asymmetrische encryptie.

Symmetrische encryptie betekent dat er maar één sleutel is om de gegevens mee te versleutelen en te ontsleutelen. Personen die gegevens uitwisselen en deze met symmetrische encryptie versleutelen moeten dus allebei deze sleutel in bezit te hebben. Bij twee personen is dit niet zo’n groot probleem. Zodra men echter gegevens gaat uitwisselen in een groep wordt de veiligheid problematisch. Een groep mensen krijgt toegang tot dezelfde sleutel die alle communicatie kan ontsleutelen. Een andere optie is dan om voor ieder groepslid aparte sleutels uit te wisselen. Het gevolg hiervan is dat er bij een groep van twintig personen al 190 sleutels van hand tot hand moeten gaan. Omdat dit al snel te complex gaat worden gebruikt men in groepen vaker asymmetrische encryptie.
Bij asymmetrische encryptie maakt men gebruik van twee verschillende sleutels: een geheime en een publieke sleutel. Stel dat een persoon zijn e-mail wil beveiligen door middel van asymmetrische encryptie. Om gegevens op deze manier te beveiligen zal deze persoon een encryptieprogramma moeten gebruiken die deze twee sleutels genereert. Vervolgens publiceert hij de publieke sleutel, zodat anderen die aan hem een bericht willen sturen deze sleutel kunnen vinden en gebruiken om het bericht mee te versleutelen. Als hij dit bericht ontvangt gebruikt hij vervolgens zijn eigen geheime sleutel om de gegevens weer leesbaar te maken. Het gevolg is dat het uitwisselen van gegevens binnen een groep veel makkelijker wordt. Elk groepslid publiceert een sleutel en het gevolg is dat de hele groep beveiligd kan communiceren. Omgekeerd kan men deze methode gebruiken voor het gebruik van digitale handtekeningen. De geheime sleutel wordt gebruikt om een bericht mee te ‘signeren’ waarna de ontvanger deze keer de publieke sleutel gebruikt om zo vast te stellen dat het bericht authentiek is. Meer informatie hierover is beschikbaar in het onderwerp elektronische handtekening.
Maar hoe kan je nu zeker zijn van de identiteit van de andere partij? Op internet kan je je gemakkelijk als iemand anders voordoen. Daarom maakt men gebruik van gecertificeerde sleutels die worden gemaakt of gecertificeerd door certificatiebedrijven. Dit wordt Public Key Infrastructure (PKI) genoemd. Het idee hierachter is dat er een centrale autoriteit is die publieke sleutels certificeert. Men moet zijn of haar publieke sleutel bij deze centrale autoriteit aanmelden en zich daadwerkelijk identificeren zodat vastgesteld kan worden dat de publieke sleutel ook echt bij de juiste persoon hoort. Vervolgens wordt er een digitaal certificaat in de database van de publieke sleutels geplaatst waaruit blijkt dat de publieke sleutel ook echt bij de persoon hoort die hem heeft gepubliceerd. Men kan dit certificaat op echtheid controleren met weer een publieke sleutel van de centrale autoriteit zelf. Hoewel dit complex lijkt, is het een veel gebruikte en veilige manier van werken. Sinds de Diginotar zaak is duidelijk dat PKI niet 100 % waterdicht is. Via valse certificaten kan de gebruiker ten onrechte het idee krijgen dat hij verbinding maakt met de door hem beoogde website. Iedere website heeft een IP-adres, bestaande uit een reeks van getallen. De computer maakt verbinding met dit IP-adres. Als dit systeem wordt gehackt kan een IP-adres aan een verkeerde website worden gekoppeld. Dit probleem wordt ondervangen door een certificaat aan een IP-adres te koppelen. Hiermee is de garantie gegeven dat alleen de juiste partij data kan ontsleutelen. De certificaten die Diginotar verstrekte bleken echter vals te zijn. De “juiste” identiteit van het IP-adres was niet meer gegarandeerd. Bij Diginotar lag het probleem vooral bij de interne beveiliging van het bedrijf zelf. Als het certificerende bedrijf zijn zaken echter goed op orde heeft dan blijft PKI een zeer betrouwbaar systeem.

Wetgeving
Op het gebied van encryptie is niet veel wetgeving te vinden. Er bestaat wetgeving met betrekking tot de elektronische handtekening, zie art 3:15a Burgerlijk Wetboek (BW).  Bij deze bepalingen heeft de wetgever willen kiezen voor technologieneutrale wetgeving. In art. 3:15a lid 2 BW kan men vooral de gekwalificeerde handtekening vinden die gebaseerd is op asymmetrische encryptie. Daarnaast zijn er enkele artikelen met betrekking tot strafvordering. Men is in Nederland vrij om cryptografie in te zetten om met elkaar te communiceren. Dit betekent niet dat men niet kan worden bevolen om bepaalde berichten te ontsleutelen in het kader van strafrechtelijke opsporing. Als de politie tijdens een opsporingsonderzoek stuit op gegevens die beveiligd zijn maar waarvan wordt vermoed dat de inhoud ter bewijs kan dienen, kunnen diegenen die wel toegang hebben tot deze gegevens worden bevolen om deze te ontsleutelen. Dit kan op basis van artikel 125k van het Wetboek van Strafvordering. Dit geldt echter niet voor de verdachte zelf omdat in Nederland geldt dat een verdachte niet hoeft mee te werken aan zijn eigen veroordeling. De politie zal in dat geval zelf aan de slag moeten gaan om toegang te krijgen tot deze gegevens. Omdat e-mail niet onder het briefgeheim valt in Nederland (zie art. 13 Grondwet) is het formeel niet strafbaar om iemand anders zijn persoonlijke e-mails te lezen, zo blijkt uit art. 201 Wetboek van Strafrecht. Mogelijk is dit op grond van andere regelingen wel onrechtmatig. Zodra men echter beveiligde e-mails gaat openen door middel van het kraken van een beveiliging of raden van een wachtwoord zal er waarschijnlijk sprake zijn van computervredebreuk.

Encryptie en veiligheid
Zorgen encryptietechnieken voor daadwerkelijke veiligheid zodat iedereen in totale privacy kan communiceren of is het een schijnveiligheid omdat encryptietechnieken makkelijk te kraken zijn? Er wordt vaak gezegd dat een beveiliging zo sterk is als zijn zwakste schakel. Deze zwakste schakel is in de regel het wachtwoord dat wordt gebruikt om gegevens te beveiligen. Het is daarom raadzaam een sterk wachtwoord te gebruiken. Hiervoor geldt: hoe langer, des te beter. Een goed sterk wachtwoord bestaat uit letters, cijfers en symbolen. Verjaardagen en namen van huisdieren of gezinsleden zijn veel te zwak omdat ze makkelijk door een ander kunnen worden geraden.

Ook zijn er programma’s die via een virus of trojaans-paard op een computer alle toetsaanslagen registreren en terugsturen naar iemand die zo zelfs achter uw sterkste wachtwoord kan komen. Het is dus van belang de beveiliging van uw computer goed bij te houden. Encryptietechnieken kunnen gezien worden als een slot op een deur. De meest gebruikte encryptietechnieken zijn alleen te
kraken met heel veel rekenkracht en heel veel tijd. Het inzetten van encryptie alleen is echter niet
genoeg. Het computersysteem moet beveiligd zijn tegen virussen en andere schadelijke software. Ook de geheime sleutels moeten goed worden bewaard en niet makkelijk te raden zijn. Ten slotte moeten ook certificaat verlenende partijen hun beveiliging op orde hebben. De conclusie is dat encryptie alleen effectief is als het wordt ingezet binnen een systeem dat zo goed mogelijk is beveiligd.

Bronnen en verwijzingen

Arno Lodder e.a., Het recht rond elektronische handtekeningen: richtlijn 1999/93/EG en de omzetting in België en Nederland. Deventer, Kluwer 2005.
http://www.rijksoverheid.nl/documenten/diginotar.