Encryptie: privacy beschermen

Wat is cryptografie?

Regulatie van elektronische communicatie
Het internet wordt steeds meer gebruikt voor de uitwisseling van zeer persoonlijke berichten en voor financiële of zakelijke transacties. De beveiliging van deze informatie-uitwisseling wordt hierdoor steeds belangrijker. Niemand wil dat zijn creditcardnummer, sollicitatiebrief in verkeerde handen valt en dat geldt in het bijzonder voor zakelijke transacties tussen bedrijven en voor geheime documenten van overheden. Hoe kun je er zeker van zijn dat de berichten of documenten die via het internet worden verstuurd afkomstig zijn van degene zegt de afzender te zijn, dat er niet door anderen geknoeid is met de inhoud van berichten en documenten, en dat de verstuurde informatie niet in verkeerde handen valt? Kortom: hoe kan de veiligheid van elektronische communicatie worden gewaarborgd?

De beveiliging van elektronische communicatie spitst zich toe op drie kernproblemen: de authenticiteit van berichten, de integriteit van verzonden berichten en de vertrouwelijkheid van berichten.

• Authenticiteit gaat over de vraag of een verzonden bericht kan worden toegeschreven aan een bepaalde persoon. Door authenticiteitscontrole kan zekerheid worden verkregen over de identiteit van de afzender. Authenticatie maakt het mogelijk om vast te stellen of degene waarmee je communiceert, is wie hij/zij zegt te zijn.
• Integriteit gaat over de vraag of de inhoud van een bericht tijdens de overbrenging door derden of abusievelijk niet is veranderd. Door integriteitscontrole kan worden vastgesteld of de gegevens wel of niet werden veranderd.
• Vertrouwelijkheid gaat over de vraag of de inhoud van een bericht tijdens de overbrenging niet door derden onderschept en gelezen kan worden. Door het encrypteren van gegevens kan ervoor gezorgd worden dat elektronische communicatie en elektronisch opgeslagen documenten vertrouwelijk blijven.

Encryptie en decryptie
Cryptografie moet ervoor zorgen dat communicatie tussen mensen privé blijft, dat wil zeggen dat gevoelige informatie niet terecht komt bij mensen waarvoor deze niet bedoeld is. Encryptie of codering is de transformatie van gegevens in een of andere onleesbare vorm. Het doel daarvan is de privacybescherming door de informatie verborgen te houden voor iedereen waarvoor deze niet bedoeld is, zelfs voor degenen die de gecodeerde gegevens kunnen zien. Decryptie (decoderen) is het omgekeerde van encryptie: het is de transformatie van versleutelde gegevens terug in een of andere intelligibele vorm. Alleen de zender en/of ontvanger hebben een sleutel waarmee de versleutelde document weer leesbaar gemaakt kan worden.

Encryptie en decryptie vereisen dat er gebruik gemaakt wordt van geheime informatie, meestal aangeduid als een sleutel. Al naar gelang het encriptie-mechanisme waarvan gebruik gemaakt wordt kan dezelfde sleutel worden gebruikt voor zowel encryptie en decryptie, terwijl voor andere mechanismen de sleutels voor encryptie en decryptie kunnen verschillen.

Cryptografie omvat tegenwoordig meer dan 'geheim schrijven', meer dan encryptie en decryptie. Een belangrijk onderdeel van ons privé-leven is authentificatie. We gebruiken authentificatie dagelijks, wanneer we onze naam onder een document schrijven, wanneer we een PIN-code of wachtwoorden invoeren, wanneer we ons identificeren met een paspoort of rijbewijs met pasfoto, of door het controleren van lichaamskenmerken zoals stem, of vingerafdruk). In een wereld onze persoonlijke berichten en zakelijke overeenkomsten elektronisch worden gecommuniceerd, moeten deze procedures op het internet worden gedupliceerd.

Cryoptografie biedt mechanismen voor dergelijke procedures. Een digitale handtekening koppelt een document aan de bezitter van een speciale sleutel, terwijl een digitaal tijdstempel een document koppelt aan zijn creatie op een bepaald tijdstip. Deze cryptografische mechanismen worden gebruikt om de toegang tot een gedeelde harde schijf te controleren, om de authenticiteit en integriteit van berichten of documenten te controleren, of om toegang tot een pay-per-view TV kanaal te beveiligen.

Met een paar basale instrumenten kunnen uitgebreide beveiligingsschema's en protocollen worden uitgewerk die het mogelijk maken om met elektronisch geld te betalen, om te bewijzen dat we bepaalde informatie kennen zonder de informatie zelf te onthullen, of om geheime informatie zodanig te delen dat niet minder dan drie van een groep van vijf personen het geheim kan reconstrueren.

De ontwikkeling van de informatietechnologie heeft het mogelijk gemaakt dat particulieren de beschikking krijgen over encryptietechnologieën (coderingsprogramma's) waarmee zij kun elektronische communicaties kunnen beschermen tegen ongewenste afluisteraars.

Pretty Good Privacy: twee sleutels

 

"On the internet, nobody knows you're a dog"

Wie een e-mail verstuurt via internet kan weten dat de inhoud daarvan nauwelijks is beveiligd. De elektronische post passeert meerdere systemen en systeembeheerders die allen de inhoud van e-mails en attachments kunnen lezen. Net als telefoonverkeer kan elektronisch dataverkeer worden afgeluisterd door geheime diensten, justitie of kwaadwillenden. Elektronische berichten kunnen zeer gemakkelijk worden gescanned en op inhoud gefilterd. Anders dan bij papieren brieven kun je bij e-mail niet ziet of het door iemand anders is gelezen of gekopieerd.

Om het briefgeheim van e-mail te beschermen zijn er diverse encriptieprogramma's geschreven. Een van de bekendste daarvan is Pretty Good Privacy', meestal afgekort tot PGP. Dit encryptie-programma is vergelijkbaar met een envelop die de inhoud van een brief tegen ongewenste meelezers moet beschermen. Deze digitale envelop is echter heel wat moeilijker open te scheuren dan een papieren envelop.

Berichten die met PGP gecodeerd zijn, zijn voor iedereen onleesbaar behalve voor diegene die de juiste sleutel bezit. Alleen deze persoon kan de gecodeerde tekst weer vertalen naar een leesbare tekst. Het grote voordeel van PGP is dat het werkt met twee sleutels: een openbare sleutel ('public key') en een persoonlijke sleutel. De openbare sleutel kun je aan iedereen geven of zelfs op het internet zetten zodat iedereen hem kan kopiëren. Met deze openbare sleutel kan iemand anders die het PGP-programma gebruikt een versleutelde brief sturen die alleen ontcijferd kan worden met de persoonlijke of geheime sleutel. De ontvanger van de versleutelde brief is op dat moment de enige persoon die het bericht kan lezen. Met een persoonlijke sleutel is dus alleen een bericht of document te decoderen dat met de bijbehorende publieke sleutel is gecodeerd.

Met behulp van de openbare sleutel van de afzender kan de ontvanger niet alleen controleren of de handtekening werkelijk met behulp van de persoonlijke sleutel werd geproduceerd, maar ook of de gegevens wel of niet werden veranderd. Bij deze controle door het dubbele sleutelsysteem is het dus niet nodig een certificatieinstantie in te schakelen. De ontvanger kan zelf vaststellen of de openbare en persoonlijke sleutel van de afzender een complementair paar sleutels vormen en of de gegevens bij de overdracht werden veranderd.

Door het gebruik van twee sleutels is het klassieke probleem van de symmetrische cryptografie opgelost. Bij symmetrische cryptografie maken zender en ontvanger gebruik van dezelfde geheime sleutel. De zender versleutelt het document dat hij wil beveiligen met een geheime sleutel en de onvanger moet diezelfde sleutel gebruiken om de versleutelde tekst in leesbare tekst om te zetten. De zwakte van dit systeem is dat er een geheime sleutel moet worden uitgewisseld. Wanneer personen elkaar niet kennen of ver uit elkaar wonen moet de geheime sleutel via post, fax, telefoon of internet worden uitegewisseld. Maar in geen van deze gevallen is de veiligheid geragandeerd. Het gebruik van een encryptiesysteem met twee sleutels (asymmetrische cryptografie) biedt een elegante oplossing voor dit veiligheidsrisico omdat er helemaal geen geheime sleutels uitgewisseld hoeven te worden.

Het uitwisselen van de publieke sleutels kan op verschillende manieren gebeuren. De publieke sleutel kan worden uitgewisseld door hem op een diskette te zetten of rechtstreeks op het internet. Op internet gebeurt dit vaak via een 'keyserver', een online databank met publieke sleutels. In de praktijk wordt echter meestal gebruik gebaakt van de 'fingerprint'. Een fingerprint is een uitreksel van de publieke sleutel dat uniek is voor iedere publieke sleutel en dat bestaat uit een korte reeks cijfers en letters. Omdat zo'n fingerprint veel korter is dan de echte publieke sleutel, kan deze gemakkelijk via e-mail, telefoon of visitekaartje worden uitgewisseld. In PGP is het nu ook mogelijk om de fingerprint te representeren als een reeks woorden (waardoor de fingerprint gemakkelijk kan worden onthouden). De fingerprint biedt een extra controlemogelijkheid waarmee kan worden nagegaan of de publieke sleutel die via internet gevonden is correspondeert met de fingerprint die uit de eerste hand verkregen is. De fingerprint is dus een makkelijke en veilige manier om publieke sleutels uit te wisselen.

PGP is uitgegroeid tot een ad-hoc standaard. Hoewel het niet officieel is vastgelegd wordt PGP door zoveel mensen gebruikt dat het op eigen kracht een soort standaard is geworden. Voor privé-gebruik is PGP gratis verkrijgbaar voor vele platforms. Je kunt PGP op vele plaatsen vinden, maar haal het niet uit Amerika: dat is strafbaar.

Algoritmes van PGP Bij het coderen van informatie wordt gebruikt gemaakt van algoritmes. PGP maakt voor de codering gebruik van twee algoritmes: RSA en IDEA. RSA is een algoritme dat werd uitgevonden door Rivest, Shamir en Adleman. Dit algoritme maakt gebruik van het feit dat een vermenigvuldiging van twee grote priemgetallen uiterst moeilijk in factoren ontbonden kan worden. IDEA is een afkorting van International Data Encryption Algorithm. Dit conventionele encryptie algoritme gebruikt maar één sleutel van 128 bits (het kent 2 tot de macht 128 verschillende mogelijkheden).     PGP gebruikt dus een samengesteld systeem van codering: het kiest een willekeurige 128 bits sleutel en codeert daar het bericht mee, vervolgens wordt deze sleutel met RSA gecodeerd. De uiteindelijke omvang van de RSA sleutel is hierdoor duizenden bits.

Vrijheid van communicatie

 

Burgers moeten er van uit kunnen gaan dat communicatie vertrouwelijk is. Maar dat is eenvoudiger gezegd dan gedaan. Dat komt vooral omdat er zo weinig controle is op de elektronische afluisterpraktijken van particuliere burgers, ondernemingen en overheden [dit wordt behandeld in: Toezicht op internet: Echelon]. Overheden moeten niet alleen waarborgen scheppen tegen ongerechtvaardigde inbreuken op het recht van vrije communicatie. Zij moeten ook waarborgen scheppen voor het recht van burgers en bedrijven om zich met cryptografie optimaal te beveiligen tegen inbreuken op hun communicatievrijheid.

Daarom is het ongewenst wanneer overheden proberen de productie en verspreiding van cryptografische programma's aan banden te leggen. Het is bovendien contraproductief. Het zal criminelen en terroristen er niet van weerhouden om zware cryptografische technologieën te gebruiken. Cryptografische onderzoekscentra zouden hierdoor direct naar andere landen verhuizen, waardoor tevens de expertise verdwijnt die nodig is om criminele of terroristische elektronische communicaties te lokaliseren en te ontsleutelen. De vrijheid van communicatie is een fundamenteel burgerrecht. Het verdedigen van deze vrijheid op het internet is een zaak van alle democraten. Een democratisch overheid dient individuele burgers te beschermen tegen willekeurige inmenging in hun vrijheid van communicatie door welke overheid of andere 'derden' dan ook.

Bronnen over afluisteren en privacy

 

1. SocioSite: Elektronische Informatiebronnen over veiligheid en encryptie

2. Algemene Inlichtingen- en Veiligheidsdienst (AIVD)
   De voormalige Binnelandse Veiligheidsdienst (BVD) die sinds de nieuwe Wet op de inlichtingen- en veiligheidsdiensten van 29 mei 2002 haar naam heeft gewijzigd in de AIVD.

3. Cryptome
   Uitgebreide informatie over Sigint, Comint en cryptografie.

4. EU - Law & Commerce
   Een overzicht van alle Europese wetgeving en voorbereidende documenten over e-commerce. Geeft o.a. informatie over electronische handtekeningen, data protectie en cybermisdaad.

5. EU - Naar een Europees kader voor digitale handtekeningen en encryptie [1998]
   In het verslag van de Commissie van juridische zaken en rechten van de burger van de EG.

6. Surfnet: Public Key Infrastructure
   Informatie over de dienstverlening van SURFnet op het gebied van Public Key Infrastructure (PKI) en digitale certificaten.

7. Surfnet: Veilig communiceren op het Internet
   

dr. Albert Benschop Sociale en Gedragswetenschappen Sociologie & Antropologie Universiteit van Amsterdam Gepubliceerd: September, 2003 Laatst gewijzigd: 28 December, 2005