Sleutelen aan sleutels verzwakt encryptie

21/09
Politici claimen soms de oplossing te hebben voor \`het probleem van encryptie\`. Ze vinden encryptie belangrijk, maar willen ook dat de politie mee kan lezen. Daarom stellen ze voor om \`alleen maar\` een extra sleutel toe te voegen om de \`encryptie ongemoeid te laten\`. Maar is dat dan ook zo?

Vertrouwen op wiskundeEncryptie is een manier om gegevens te beschermen door ze onleesbaar te maken voor ieder ander dan de beoogde ontvanger. Als je via WhatsApp een berichtje stuurt, wordt het berichtje op jouw telefoon versleuteld en is het alleen nog leesbaar te maken op de telefoon van de ontvanger. Dat onleesbaar maken gebeurt aan de hand van een wiskundig proces. De rekensom die je daarin moet maken noem je het algoritme. Een sterk algoritme is een rekensom die zo moeilijk is dat je die alleen kunt oplossen als je ook over de sleutels beschikt. Of over een onrealistische berg computerkracht. En dat maakt encryptie zo geschikt voor dagelijks gebruik.

Encryptie doorbrekenIn de publieke discussie over encryptie gaat het vaak over het al dan niet breken van dat onderliggende algoritme. Dat is ook niet zo gek. Kwaadwillenden en overheidsdiensten beschikken meestal niet over de sleutel die gebruikt is om berichtjes te versleutelen. Dan rest niets anders dan het doorbreken van dat algoritme. En omdat de ontwikkeling van computers hard gaat, kan het zijn dat een algoritme dat eerder onbreekbaar werd geacht, nu wel op te lossen is. Toch is dat algoritme niet waar het grootste risico ligt. Het gebruik van een algoritme is immers niets anders dan het geheel geautomatiseerd toepassen van een wiskundig principe.

Sleutelbeheer is een integraal onderdeel van het geheel van encryptie.

MensenwerkNee, het grootste risico zit in het beheer van de sleutels. Dat is namelijk waar de menselijke rol het grootst is. Want iemand moet die sleutels aanmaken, geheim houden en soms ook weer intrekken. En waar mensen een rol spelen, worden fouten gemaakt of kan iemand misleid of omgekocht worden. Dat weten we al heel lang. Het 25 jaar oude onderzoeksrapport \`Why Johnny Can\'t Encrypt\` beschrijft hoe gebruikers van een op dat moment onbreekbaar algoritme fouten maken bij de versleuteling van berichten. Daardoor wordt de informatie onbedoeld onversleuteld verzonden of delen de gebruikers onbedoeld de sleutels die ze juist geheim moeten houden. En denk niet dat dat alleen gebruikers zoals jij en ik dat soort fouten maken. Ook de bekendste Amerikaanse geheime dienst raakt van tijd tot tijd de gevoeligste informatie kwijt.

Wil je ook kunnen vertrouwen op encryptie? Steun ons en doneer!

SleutelbeheerKortom, als je het hebt over de veiligheid van encryptie, dan moet je het ook hebben over het beheer van de sleutels. Of misschien wel vooral. Een bekend gezegde (oké, oké, bij beveiligingsexperts) is dan ook: \`Hackers don\'t break encryption, they find your keys.\` We moeten ons minder zorgen maken over de breekbaarheid van het algoritme, en ons meer richten op de omgang met sleutels. Sleutelbeheer is een integraal onderdeel van het geheel van encryptie. Je kunt niet zeggen dat je de encryptie niet verzwakt (omdat je bijvoorbeeld niets aan het onderliggende algoritme doet) als je tegelijkertijd wél sleutelt aan het sleutelbeheer of -configuratie.

Waar mensen een rol spelen, worden fouten gemaakt.

Zwakste schakelLaat je dan ook niet misleiden door een politicus die zegt dat zij of hij \`alleen maar\` een extra sleutel toevoegt en daarmee encryptie niet verzwakt. Dat soort oplossingen zijn juist destructief voor het vertrouwen in de technologie. Dat is hetzelfde als wanneer je beperkingen zou opleggen aan de sterkte van het algoritme. Beide zijn verzwakkingen van het systeem als geheel. We kunnen encryptie, en daarmee de beveiliging van onze vertrouwelijke gegevens, alleen vertrouwen als het geheel van encryptie onaangetast is.

Datum: dinsdag 21 september 2021, 11:35
Bron: BitsOfFreedom
Categorie: Internet en ICT

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry