PKI in Roaming User Networks: Vergelijking tussen centraal- en decentraal ingerichte PKI

Transcriptie

1 PKI in Roaming User Networks: Vergelijking tussen centraal- en decentraal ingerichte PKI Door: Maarten Engels Auteur: Maarten Engels ( ) Begeleiders: dr. mr. ir. ir. L.M.M. Royakkers, dr. ir. L.A.M. Schoenmakers Opleiding: Techniek en Maatschappij Technologie en Innovatiebeleid Faculteit: Technologie Management Instelling: Technische Universiteit Eindhoven 1

2 Samenvatting In dit onderzoek staat de vraag centraal wat beter geschikt is voor de beveiliging van communicatie in Roaming User Networks: centraal- of decentraal ingerichte PKI. Deze twee vormen worden met elkaar vergeleken worden op de aspecten Trust en de verantwoordelijkheid die ze bij de gebruikers leggen. Communicatie bestaat uit het overdragen van berichten. Beveiliging van communicatie gebeurt door het afwenden van een viertal mogelijke bedreigingen die tijdens transport van berichten plaats kunnen vinden: afluisteren, berichten blokkeren, berichten aanpassen en versturen van spook berichten. Om deze bedreigingen tegen te gaan dient aan de volgende drie voorwaarden voldaan te zijn: Confidentialiteit: een bericht kan alleen door de beoogde ontvanger gelezen worden; Authenticiteit: een bericht is afkomstig van diegene die claimt de zender te zijn; Integriteit: een bericht komt zonder wijzigingen tijdens transport bij de ontvanger aan. Aan deze voorwaarden kan in informatiesystemen met behulp van encryptietechnologie (versleutelingstechnieken) voldaan worden. Hierbij kan gekozen worden voor conventionele encryptie of het modernere public key encryptie. Conventionele encryptie heeft als nadeel dat deze lastig in te richten is voor grote groepen gebruikers. Public key encryptie heeft dit nadeel niet. Public key encryptie heeft echter wel als nadeel dat het lastig is om de identiteit van gebruikers vast te stellen. De oplossing hiervoor is om de public key encryptie uit te breiden met een mechanisme wat de identiteiten van gebruikers vast kan stellen. Wanneer er zo n mechanisme aanwezig is, spreekt men van een Public Key Infrastructure (PKI). Deze PKI s bestaan er in twee soorten: centraal- en decentraal ingerichte. Centraal ingerichte PKI s gebruiken een centrale autoriteit die bepaalt wat de identiteit van de verschillende gebruikers is (een zogenaamde certificate authority). In een groot centraal ingericht PKI kan er ook een hiërarchie van zulke certificate authorities zijn. Belangrijk is in ieder geval dat er altijd één certificate authority aan de top van de piramide staat. Decentraal ingerichte PKI s gebruiken geen centrale autoriteit die bepaalt wat de identiteit van de verschillende gebruikers is. In een decentraal ingericht PKI kan elke gebruiker uitspraken doen over de identiteit van anderen. Door gebruik te maken van anderen die een gebruiker kent, kan deze de identiteit van andere gebruikers bepalen. Roaming user networks zijn die netwerken waarbij mobiele devices gebruik maken van publieke netwerken om met elkaar en het centrale organisatie netwerk te communiceren. De grote risico s met betrekking tot beveiliging van deze communicatie ligt in het feit dat de publieke netwerken die gebruikt worden buiten de directe fysieke invloedssfeer van de organisatie liggen. Hiervoor is dus extra beveiliging nodig. Veel publieke netwerken bieden beveiligingsvoorzieningen, maar deze zijn vaak niet voldoende. Om deze reden is het belangrijk dat berichten, wanneer ze een mobiel device verlaten, al voldoende sterk beveiligd zijn. Public Key Infrastructure is hiervoor zeer geschikt. De vergelijking tussen centraal- en decentraal ingerichte PKI s gebeurd op de aspecten Trust en de verantwoordelijkheid die ze bij de gebruikers leggen. Trust is een begrip dat in dit onderzoek gedefinieerd wordt als de verzameling voorzieningen die in een netwerk getroffen worden om vertrouwen mogelijk te maken in de relaties die een rol spelen in het netwerk. Trust is compleet wanneer in het vertrouwen van alle relaties die in het netwerk bestaan voorzien wordt. Dit wil zeggen dat om Trust te bepalen naar alle relaties die in het roaming user network plaats vinden, onderzocht moeten worden. 2

3 De relaties die een rol spelen zijn privacy, misbruik voorkomen, identiteit, vertrouwen en echtheid van informatie. Trust wordt voor deze relaties voor een drietal verschillende verkeersstromen bepaald. De verkeersstromen die onderscheden worden zijn: Conversatie: communicatie tussen individuele gebruikers; Consultatie: communicatie waarbij een individu informatie opvraagt bij een centrum; Registratie: communicatie waarbij een centrum informatie opvraagt bij een individu. Het blijkt dat het steeds de partij is die informatie bezit zich dient te authenticeren. Uit de vergelijking van Trust blijkt voor decentraal ingerichte PKI s dat deze met name geschikt zijn voor conversatie en centraal ingerichte PKI s voor consultatie en registratie. Decentraal ingerichte PKI s hebben moeite met de hiërarchische verschillen die in een organisatie voor zouden kunnen komen. Dit kan echter in theorie opgelost worden met behulp van de toepassing van kennis uit Multi Actor Netwerken. Dit is een netwerkvorm waarbij individuele actoren zelf beslissingen kunnen nemen en het onderzoek richt zich er dan ook op welke manier deze het beste kunnen handelen. Deze oplossing is echter in theorie aantrekkelijk, maar de praktijk dient nog getoetst te worden. Gebruikers zijn mede verantwoordelijk voor de beveiliging in een PKI. Het is echte de vraag hoe groot deze (morele) verantwoordelijkheid is. Dit is met name relevant wanneer er rechtsgeldigheid gekoppeld wordt aan ondertekening van berichten (bewijzen de zender te zijn). In dat geval is een gebruiker namelijk verantwoordelijk voor wat er onder diens naam ondertekend wordt. Echter door onvolkomenheden in de PKI kan het zijn dat een bericht ondertekend wordt zonder dat de gebruiker hier de intentie toe had. Als zo n bericht dan schade veroorzaakt, is het de vraag wie opdraait voor de schade. Deze (juridische) verantwoordelijkheid dient gelijk te zijn aan de morele verantwoordelijkheid van gebruikers. Deze is zo dat een gebruiker in principe altijd verantwoordelijk is voor wat er onder diens naam ondertekend wordt, tenzij deze kan bewijzen niet de intentie te hebben gehad het desbetreffende bericht te ondertekenen. De verantwoordelijkheid van gebruikers is in een decentraal ingerichte PKI groter dan in een centraal ingericht PKI. Uiteindelijk blijken centraal- en decentraal ingerichte PKI s elk voor en nadelen te hebben. Het is dan ook niet mogelijk om aan te geven wat beter geschikt is voor Roaming User Networks. Centraal ingerichte PKI s zijn goed in consultatie en registratie, decentraal ingerichte PKI s zijn meer geschikt voor conversatie. Voor decentraal ingerichte PKI s geldt wel dat ze een aantal interessante mogelijkheden hebben doordat ze een dynamischer karakter hebben. Daarnaast is het wellicht goed voor gebruikers dat ze een grotere verantwoordelijkheid hebben. Tenslotte, omdat de meeste PKI s die momenteel geïmplementeerd worden centraal zijn, wordt aangeraden om voor Roaming User Networks te kiezen voor decentraal ingerichte PKI. 3

4 Inhoudsopgave SAMENVATTING...2 INHOUDSOPGAVE...4 VOORWOORD...7 HOOFDSTUK 1: INLEIDING AANLEIDING VOOR HET ONDERZOEK DOEL- EN PROBLEEMSTELLING DEELVRAGEN ONDERZOEKSOPZET...10 HOOFDSTUK 2: CRYPTOGRAFIE INLEIDING BEVEILIGEN VAN COMMUNICATIE Bedreigingen op berichtniveau Bedreiging van verkeersstromen CONVENTIONELE ENCRYPTIE EN HASH-FUNCTIES Confidentialiteit met behulp van conventionele encryptie Authenticiteit met behulp van conventionele encryptie Integriteit met behulp van Hash-functies INFORMATIEBEVEILIGING, TIJD EN KOSTEN ANDERE ASPECTEN VAN INFORMATIE BEVEILIGING CONCLUSIE...20 HOOFDSTUK 3: ROAMING USER NETWORKS INLEIDING ROAMING USER NETWORKS Waarom een nieuwe term? INFORMATIEBEVEILIGING IN ROAMING USER NETWORKS PSTN GPRS Wireless LAN (WLAN of Wireless Local Area Networks) UMTS DVB-t Openbare ruimte END-TO-END VERSUS LINKBEVEILIGING Linkbeveiliging End-to-end beveiliging CONCLUSIE...27 HOOFDSTUK 4: PUBLIC KEY INFRASTRUCTURE (PKI) INLEIDING ASYMMETRISCHE ENCRYPTIE EN DECRYPTIE Confidentialiteit Authenticiteit in asymmetrische encryptie Integriteit Conclusie CERTIFICATEN EN PKI Voorbeeld van inbreuk in communicatie tussen twee gebruikers Certificaten: een soort identiteitsbewijzen Certificate Authorities: Hiërarchie of Trust Certificate Authorities: Web of Trust CONCLUSIE...37 HOOFDSTUK 5: TRUST

5 5.1 INLEIDING VOORBEELDEN VAN TRUST IN NETWERKEN Voorbeeld van een centraal ingericht PKI: Secure Socket Layer Voorbeeld van een decentraal ingericht PKI: Pretty Good Privacy VOORBEELDEN VAN TRUST IN PEER-TO-PEER NETWERKEN Peer-to-peer en autonomie van peers Voorbeeld van een peer-to-peer netwerk met lage autonomie van peers: Voorbeeld van een peer-to-peer netwerk met hoge autonomie van peers: Space Drives relatie tussen PKI en peer-to-peer VERTROUWEN VANUIT FILOSOFISCH OOGPUNT Inleiding Vertrouwen: een diffuus begrip De relatie tussen vertrouwen en risico s Risico s in informatiesystemen Conclusie TRUST IN (PKI) NETWERKEN Definitie van Trust Uitbreiding van de begrippenruimte CONCLUSIE...64 HOOFDSTUK 6: VERSCHILLEN TUSSEN CENTRAAL- EN DECENTRAAL INGERICHTE PKI S INLEIDING RELATIES IN PKI NETWERKEN Tussen mobiele devices onderling: Conversatie Tussen mobiel device en centrum: consultatie en registratie Allocutie Samenvatting VERTROUWEN IN PKI NETWERKEN Conversatie Consultatie Registratie Conclusie TRUST IN PKI Afhankelijkheid tussen relaties Relaties waar PKI s moeite mee hebben Conclusie HIËRARCHIE IN DECENTRAAL INGERICHTE PKI...81 HOOFDSTUK 7: MORELE ASPECTEN INLEIDING BESCHRIJVING MOREEL VRAAGSTUK Casus: De eigen verantwoordelijkheid van gebruikers Voorlopige probleemstelling Motivatie keuze moreel vraagstuk BETROKKEN EN DE VOOR HEN RELEVANTE WAARDEN Betrokken actoren Voordelen van het toekennen van juridische waarde aan ondertekening van berichten Nadelen van het toekennen van juridische waarde aan ondertekening van berichten Relevante waarden voor de betrokkenen HANDELINGSMOGELIJKHEDEN Definitieve probleemstelling Vier handelingsmogelijkheden BEOORDELING HANDELINGSMOGELIJKHEDEN OP BASIS VAN DE COMMON-SENSE BENADERING Relevantie waarden voor de probleemstelling Relatie tussen handelingswijzen en waarden Keuze handelingswijze BEOORDELING HANDELINGSMOGELIJKHEDEN OP BASIS VAN HET UTILISME Gevolgen handelingsmogelijkheden Klassiek utilisme

6 7.6.3 Pareto-verbetering BEOORDELING HANDELINGSMOGELIJKHEDEN OP BASIS VAN DE THEORIE VAN KANT Eerste en derde formulering van de categorische imperatief Tweede formulering van de categorische imperatief REFLECTIE OP DE ANALYSE Uiteindelijke keuze handelingsmogelijkheid Vergelijking uiteindelijke keuze met resultaten morele benaderingen Reflectie op de gebruikte ethische benaderingen AFSLUITING HOOFDSTUK 8: CONCLUSIE INLEIDING KEUZE TUSSEN CENTRAAL- EN DECENTRAAL INGERICHTE PKI AANBEVELINGEN VOOR VERDER ONDERZOEK LITERATUURLIJST BIJLAGE BIJ HOOFDSTUK 5: TRUST EQUIVALENTIERELATIES BIJLAGEN HOOFDSTUK 6: VERGELIJKING TUSSEN CENTRAAL- EN DECENTRAAL INGERICHTE PKI A KOSTEN VODAFONE WIRELESS WEB Vodafone WirelessWeb in combinatie met Vodafone 60, 120, 180, , 500 en Vodafone Corporate GPRS Access in combinatie met zakelijke abonnementen Vodafone Corporate GPRS Access in combinatie met GPRS-only B KOSTEN KPN INTERNET EVERYWHERE BIJLAGEN BIJ HOOFDSTUK 7: MORELE ASPECTEN A. BESCHRIJVING UTILISME Problemen met betrekking tot het Autonomie principe Ongewenste resultaten Het pareto-criterium B BESCHRIJVING THOERIE VAN KANT Eerste formulering van de categorische imperatief Tweede formulering van de van de categorische imperatief Derde formulering van de categorische imperatief C EXCEL SHEETS BEHORENDE BIJ UTILISME Centraal ingericht PKI Decentraal ingericht PKI

7 Voorwoord En na een vijftal jaren werd het ook voor mij tijd om eens aan afstuderen te gaan denken. Het resultaat daarvan heeft U nu in handen. Makkelijk was het niet, maar uiteindelijk was het wel de moeite waard. Tijdens mijn studie werd ik geboeid door een tweetal technische aspecten: informatiebeveiliging en peer-to-peer technologie. Ik wist dan ook dat ik daar voor mijn afstudeeronderzoek iets mee wilde doen. Ik ben dan ook blij dat dat gelukt is. Mijn interesse informatiebeveiliging is mogelijk door dit onderzoek alleen maar groter geworden. Daarnaast wist ik dat ik met name iets wilde gaan doen met een begrip uit de peer-to-peer technologie wat mij erg interesseert: Trust. Ook hiervan is het gelukt om het een centrale plaats in dit onderzoek te geven. Gedurende het onderzoek werd ik bijgestaan door twee begeleiders. In de eerste plaats door Lambèr Royakkers. Ik ben blij dat hij in zijn drukke schema nog tijd vond om steeds weer alles door te lezen, te bekritiseren en mee te denken over het onderzoek. Mijn dank daarvoor is dan ook erg groot. Mijn tweede begeleider, Berry Schoenmakers, heeft de beschrijvingen van de informatiebeveiligingstechnologie die in dit onderzoek aan bod komen gecorrigeerd. Bij mijn gesprek bij hem bleek hoe breed, maar vooral ook hoe diep deze technologie gaat. Het is alleen helaas niet mogelijk geweest om die diepte toe te passen in dit onderzoek, gewoon omdat het voor de vraagstelling die in dit onderzoek centraal staat niet noodzakelijk was. Het was echter wel erg prettig om eens een keer te proeven van de complexiteit van deze technologie. Daarvoor wil ik hem dan ook graag hartelijk bedanken. En naast dit onderzoek was er zelfs nog tijd om een studentenvereniging te besturen (de Eindhovense Studenten Dansvereniging Footloose). Mijn dank gaat dan ook uit naar mijn medebestuursleden die het begrip konden opbrengen voor mijn soms gebrek aan tijd. Ook wil ik graag mijn danspartner Tiki bedanken voor het doorlezen en becommentariëren van de eerste hoofdstukken. Rest mij verder weinig dan U de lezer erg veel plezier te wensen met het doorlezen van deze scriptie. Maarten Engels Juli

8 Hoofdstuk 1: Inleiding 1.1 Aanleiding voor het onderzoek In de toekomst zal steeds meer behoefte komen aan (bedrijfs)computernetwerken waarbij gebruikers zich vrij kunnen aanmelden en afmelden, waar ze maar willen en wanneer ze willen. De jaren 70 en 80 kenmerkten zich door mainframes (grote centrale computers die altijd aan stonden), waarbij individuele gebruikers zich aan- en afmeldden. De gebruikers hadden dus geen eigen computer, maar deelden allemaal die ene grote mainframe. Uitvoer van programma s en opslag van gegevens gebeurde op de mainframe. De jaren 80 en 90 kenmerkten zich door de opkomst van de Personal Computer (PC). Microsoft s mission statement: a PC on every desk and in every home is ruwweg uitgekomen. Deze periode kenmerkte zich door de situatie dat gebruikers op een PC werkten. Uitvoer van programma s en opslag van gegevens gebeurde op de individuele PC s. Aan het einde van de jaren 90 is er een situatie ontstaan waarbij individuele PC s nog wel de programma s uitvoerden maar waarbij gegevensopslag veelal een mix is van lokale opslag en opslag op het netwerk. De meest vergaande vorm hiervan is de netwerk computer 1. Mobiele hardware Nu staan we voor een nieuwe ontwikkeling: hardware die steeds persoonlijker (en mobieler) wordt. Deze hardware zullen we mobiele devices noemen. Deze mobiele devices hebben bepaalde kenmerken van computers. Zo kunnen ze gegevens opslaan, verwerken en zijn ze in staat tot communicatie met andere devices en netwerken. Voorbeelden van dit soort devices zijn GSM s, PDA s (digitale zakagenda s) en Laptops. Deze devices zullen een onderdeel vormen van het centrale organisatie netwerk en voor de communicatie hiermee met name gebruik maken van draadloze netwerken. Hierdoor zal mobiel dataverkeer sterk toenemen. Vanwege het mobiele karakter van de hardware zal het aantrekkelijk zijn om deze niet alleen binnen de fysieke grenzen van de organisatie gebruiken ( binnen zeg maar) maar ook erbuiten. Bijvoorbeeld bij klanten of bij leveranciers. Om toegang te krijgen tot het centrale organisatie netwerk zijn hiervoor nieuwe netwerkstructuren nodig en daarmee ook nieuwe beveiligingsstructuren. Convergentie van computer en mobiele telefoon In het voorgaande zijn al enkele voorbeelden van mobiele devices gegeven. Er is echter nog een tweede ontwikkeling: de convergentie tussen computer en mobiele telefoon. Het resultaat van deze convergentie is een device wat een onderdeel zal willen zijn van het (bedrijfs)netwerk of meer precies van een Virtual Private Network 2. Deze devices zullen voor toegang tot het bedrijfsnetwerk gebruik maken van publieke packet switched 3 draadloze netwerken waarvan het General Packet Radio Service protocol (GPRS) momenteel al een voorbeeld is. GPRS wordt al door imode en Vodafone Live! Gebruikt om meer Internetachtige voorzieningen voor mobiele telefoons mogelijk te maken. In de toekomst zal 1 Aan het einde van deze periode is er nog een korte periode sprake geweest van een opkomst van de netwerk computer : een computer die zelf geen gegevens bevat, maar deze van het netwerk ophaalt. Hierdoor maakt het niet uit op welke computer een gebruiker inlogt. 2 Een Virtual Private Network is een voorziening die ervoor zorgt dat op een publiek netwerk zoals het Internet een soort virtueel lokaal netwerk (LAN) geconstrueerd kan worden. Hierdoor kunnen gebruikers toegang krijgen tot het centrale organisatie netwerk alsof zij zich binnen de fysieke grenzen van de organisatie bevinden. 3 Een packet switched netwerk is een netwerk waarbij communicatie opgedeeld wordt in kleine stukjes (packets). Omdat er tussen niet alle delen van het netwerk steeds gegevens uitgewisseld worden, kan hetzelfde gegevenspad gebruikt worden voor meerdere gebruikers. [techtarget.com I] 8

9 de opvolger hiervan, UMTS, deze mogelijkheden nog verder uitwerken. Daarnaast kunnen ook overlappende draadloze bedrijfsnetwerken de mogelijkheid tot publieke toegang bieden. Ook de opkomst van digitale televisie via de ether (DVB-t), biedt de mogelijkheid om netwerkvoorzieningen aan mobiele devices toe te kennen. DVB-t zal hierbij echter vanwege de specifieke oriëntatie op broadcasting (hetzelfde uitzenden naar meerdere ontvangers) vooral geschikt zijn voor specifieke toepassingen waarbij dezelfde gegevens naar verschillende ontvangers gestuurd kunnen worden. Het is niet mogelijk om gegevens naar één specifieke gebruiker te versturen. Hierdoor is het niet zo geschikt voor communicatie tussen verschillende gebruikers onderling. Daarnaast is het ook minder geschikt voor communicatie waarbij informatie van en naar het centrale organisatie netwerk gestuurd wordt waarbij deze voor slechts één gebruiker relevant is: de informatie zou naar alle gebruikers verstuurd moeten worden. Een voorbeeld van een toepassing waar DVB-t wel geschikt voor zou kunnen zijn is het verspreiden van nieuwsberichten. Kenmerkend voor deze netwerken is dat ze publiek toegankelijk zijn: bijvoorbeeld het GPRS netwerk wordt gedeeld door alle gebruikers hiervan. Dit stelt nieuwe eisen aan beveiliging 4. De nieuwe netwerkstructuur van vele mobiele devices die gebruik maken van publieke netwerken om toegang te krijgen tot een bedrijfsnetwerk en om met elkaar te communiceren, zullen we roaming user networks noemen. Public Key Infrastructure Hierbij zal met name vanwege het mogelijk erg grote aantal devices in het netwerk, een Public Key Infrastructure (PKI) aantrekkelijk zijn. Een Public Key Infrastructure is een vorm van informatiebeveiliging die gebruik maakt van cryptografie waarbij gegevens versleuteld worden met een openbare sleutel (public key), maar alleen gelezen kunnen worden met een geheime sleutel (private key) 5. Dit in tegenstelling tot meer conventionele cryptografie, die altijd gebaseerd is op het delen van een bepaald geheim tussen de gebruikers die beveiligd willen communiceren (een soort geheimtaal ). Conventionele cryptografie heeft als grote nadeel dat het geheim altijd eerst tussen de partijen die willen communiceren uitgewisseld dient te worden. Met name bij grote groepen gebruikers is het uitwisselen van deze geheime informatie een lastige (en risicovolle) opgave. Gebruikers van de PKI kunnen hun eigen geheime sleutel bewaren en hun openbare sleutel verdelen over de andere gebruikers. Het grote voordeel is dat er geen geheimen uitgewisseld hoeven te worden, alleen maar openbare informatie. PKI s zijn er in vormen: centraal- en decentraal ingerichte. Het gaat er hierbij om op welke manier bepaald wordt welke public key bij welke gebruiker hoort. Een centrale oplossing gebruikt een hiërarchie van instanties die deze informatie bewaren, een decentrale oplossing gaat uit van gebruikers die elkaar kennen en elkaar informatie omtrent de identiteit van de eigenaren van public keys kunnen geven. 1.2 Doel- en probleemstelling Dit onderzoek wil bepalen wat voor raming user networks geschikter is: een centraal ingericht PKI of een decentraal ingerichte PKI. Het begrip Trust zal hierbij als kern van de analyse gebruikt worden, maar ook de ethische gevolgen van implementatie voor gebruikers en maatschappij zullen bij de afweging tussen centraal- en decentraal gebruikt worden. Trust is 4 Hierbij gaat het niet alleen om beveiliging van de communicatie, maar ook om de beveiliging van de gegevens op het apparaat zelf, gezien de huidige ontwikkeling van diefstal van mobiele telefoons, PDA s en laptops. 5 Dit proces lijkt op een soort kluis waarvan twee verschillende sleutels zijn: als de kluis geopend is kan er iets in gestopt worden waarna deze met de eerste sleutel gesloten wordt. Hierna kan alleen de tweede sleutel gebruikt worden om de kluis weer open te maken. 9

10 een begrip wat vaak gebruikt wordt bij de analyse van netwerken, maar waarover geen consensus bestaat over haar exacte betekenis. Voor de leesbaarheid van de inleiding is het mogelijk om Trust nu te zien als de mate waarin het netwerk doet wat het moet doen. Het gaat er met andere woorden om of het PKI doet wat het moet doen : informatie beveiligen 6. Deze omschrijving is echter te vaag om te gebruiken voor de analyse van het probleem, daarom wordt er in dit onderzoek ook een definitie van Trust gegeven. In dit onderzoek staan de volgende doel- en probleemstelling centraal: Doelstelling: door middel van een op Trust en ethische gevolgen van implementatie voor gebruikers gebaseerde vergelijking tussen centraal- en decentraal ingerichte PKI s, bepalen welke het meest geschikt is voor roaming user networks. Probleemstelling: Hoe scoren centraal- en decentraal ingerichte PKI s op geschiktheid voor roaming user networks wanneer Trust en ethische gevolgen van implementatie als uitgangspunt van de analyse gekozen worden? 1.3 Deelvragen 1. Wat is de relevante informatiebeveiligingstechnologie? 2. Wat is een roaming user network? 3. Wat is een PKI? 4. Wat is Trust? 5. Wat zijn de verschillen tussen centraal- en decentraal ingerichte PKI s? 6. Wat zijn de ethische gevolgen voor de verantwoordelijkheid van gebruikers? 7. Welke vorm van PKI is beter geschikt voor roaming user network? 1.4 Onderzoeksopzet De eerste deelvraag wordt in hoofdstuk twee behandeld. Hierbij gaat het om het verduidelijken van de relevante begrippen en van de toegepaste technologie. Hier zal blijken dat de basis voor moderne informatiebeveiliging eigenlijk al heel erg lang bestaat. In hoofdstuk drie wordt het begrip van een roaming user network geïntroduceerd. Er wordt ingegaan op de vraag wat er zo nieuw aan zo n netwerk is en met name waarom het zo n belangrijke ontwikkeling gaat worden in de toekomst. Hoofdstuk vier bevat een beschrijving van wat PKI precies is. Voor velen zal dit bekende kost zijn, voor vele anderen echter niet. Daarnaast worden hier de technische verschillen tussen centraal- en decentraal ingerichte PKI s uitgelegd. De volgende twee hoofdstukken zijn de kern van dit verslag. Deelvraag vier, die in hoofdstuk vijf behandeld wordt, gaat in op wat Trust is. Trust is een vrij lastig begrip, met name omdat het een vaag en ambigue begrip is. In hoofdstuk vijf wordt eerst aan de hand van voorbeelden van technische implementaties getracht het begrip te verduidelijken 7. Ook wordt in dit hoofdstuk het verkeersstromen model geïntroduceerd waarmee communicatie in verschillende soorten kan worden onderverdeeld. Dit model zal ook op Trust worden toegepast. Uiteindelijk zal er een definitie van Trust gegeven worden. Omdat Trust vanuit een niet puur technisch oogpunt bekeken wordt en daarnaast gezien kan worden als een waarde, zal later in het verslag ook reflectie plaatsvinden op de vergelijking tussen centraal- en decentraal ingerichte PKI s. 6 Met informatie beveiliging wordt in dit onderzoek met name bedoelt het beveiligen van communicatie tussen gebruikers of devices. 7 Hierbij zal ook een aanverwante technologie behandeld worden: peer-to-peer technologie. 10

11 In hoofdstuk zes komen alle vorige hoofdstukken samen. Hier wordt deelvraag vijf behandeld. Centraal- en decentraal ingerichte PKI s worden met elkaar vergeleken in de manier waarop ze met Trust omgaan in roaming user networks. Hierbij wordt het verkeersstromen model gebruikt als raamwerk om de vergelijking te doen. Deelvraag zes wordt behandeld in hoofdstuk zeven. Het gaat hier om de verantwoordelijkheid die gebruikers hebben voor de gevolgen van het gebruik van PKI s. Daarbij gelden een viertal handelingsmogelijkheden als uitgangpunt die elk gepaard gaan met een andere mate van verantwoordelijkheid van gebruikers. De analyse van deze handelingsmogelijkheden gebeurd vanuit verschillende moraalwetenschappelijke benaderingen. Uiteindelijk wordt een handelingsmogelijkheid aanbevolen en daarmee vastgesteld wat de verantwoordelijkheid van gebruikers is. De laatste deelvraag tenslotte, wordt in het laatste hoofdstuk behandeld. Hierbij wordt uiteindelijk een aanbeveling gedaan voor een centraal ingericht of een decentraal ingericht PKI voor roaming user networks. De eerdere analyses uit hoofdstuk zes en zeven vormen hierbij het uitgangspunt. Daarnaast worden er nog technologische veranderingen en maatschappelijke voorzieningen voorgesteld om de negatieve effecten (voorzover aanwezig) tegen te gaan. 11

12 Hoofdstuk 2: Cryptografie 2.1 Inleiding Public Key Infrastructure is een technologie die gebruikt kan worden voor Informatiebeveiliging. Dit onderzoek richt zich met name op beveiliging van communicatie tussen partijen. Hiervoor wordt bij Public Key Infrastructuren gebruik gemaakt van cryptografie. Dit hoofdstuk legt in het kort de grondslagen van cryptografie uit. PKI wordt in hoofdstuk vier behandeld. In paragraaf 2.2 wordt behandeld wat er aan informatie beveiligd dient te worden. In de context van roaming user networks, waar het gaat om communicatie, gaat het er in het bijzonder over waartegen deze communicatie beschermd moet worden en wat hiervoor ruwweg de voorwaarden zijn. Deze paragraaf en de volgende zijn gebaseerd op de uitleg van informatiebeveiliging zoals deze genoemd zijn in Stallings 2002 (voor een wiskundige uitleg), Damen e.a. (voor een bedrijfskundige uitleg) en Benantar 2002 (voor een programmeurtechnische uitleg). Voor meer informatie over dit onderwerp wordt dan ook verwezen naar deze werken. Paragraaf 2.3 behandelt hoe in het verleden informatie beveiligd is. Conventionele encryptie wordt hier in het kort uitgelegd zodat er een algemeen beeld ontstaat over hoe communicatie beveiligd wordt. In paragraaf 2.4 wordt behandeld wat het verband is tussen de kosten van encryptie en de sterkte ervan. Paragraaf 2.5 behandelt welke aspecten uit het voorgaande in dit onderzoek het meest behandeld zullen worden en waarom. Paragraaf 2.6 tenslotte bevat een samenvatting en conclusie van dit hoofdstuk, alsmede een aanloop naar het volgende hoofdstuk. Lezers die al bekend zijn met wat er in paragraaf 2.2 en 2.3 behandeld is, worden aangeraden in ieder geval deze laatste twee paragrafen door te lezen. 2.2 Beveiligen van communicatie Bij de analyse van de voorwaarden voor beveiliging van communicatie gaat men meestal uit van de analyse van de verschillende bedreigingen die erop kunnen worden uitgevoerd. Deze bedreigingen vinden plaats op verschillende niveau s. Deze komen overeen met de mogelijke bedreigingen waar zo n niveau mee te maken heeft. Hier wordt uitgegaan van twee niveaus: berichtniveau en verkeersstroomniveau Bedreigingen op berichtniveau Er wordt uitgegaan van een eenvoudig model van een zender die een bericht naar een ontvanger wil sturen (zie figuur 1). De bedreigingen komen van een derde partij die één en ander aan deze communicatie wil verstoren, door het uitvoeren van zogenaamde aanvallen. Zender (A) Bericht (M) Ontvanger (B) Figuur 1 Model voor communicatie tussen twee partijen In het algemeen kan er gesteld worden dat er vier soorten aanvallen zijn. Deze zullen hier één voor één behandeld worden. De aanvallen zijn in twee groepen te verdelen: actieve en passieve aanvallen. Het verschil tussen deze twee is dat bij actieve aanvallen de berichtenstroom wel gemanipuleerd wordt en bij passieve aanvallen niet. Aanval I - Passieve aanval: afluisteren van communicatie De eerste soort is een zogenaamde passieve aanval en bestaat uit het afluisteren van de communicatie tussen twee partijen. De aanvaller onderschept de berichten die uitgewisseld 12

13 worden, maar doet verder niets om de communicatie tussen de twee partijen te veranderen (zie figuur 2). Aanvaller (X) Zender (A) Bericht (M) Ontvanger (B) Figuur 2 Afluisteren van communicatie Aanval II - Actieve aanval: blokkeren van berichten In figuur 3 ontvangt de aanvaller het bericht en laat het niet door naar de ontvanger. De aanvaller blokkeert hier de communicatie. Omdat er hier sprake is van manipulatie van de berichtenstroom is dit een vorm van een actieve aanval. In veel gevallen zal de aanvaller hierbij niet alle berichten willen blokkeren, maar bepaalde berichten willen blokkeren om de communicatie te kunnen manipuleren. Aanvaller (X) Zender (A) Bericht (M) X Ontvanger (B) Figuur 3 Blokkeren van berichten Aanval III Actieve aanval: veranderen van berichten De derde aanval gaat een stap verder dan het blokkeren van een bericht (zie figuur 4). Hier verandert de aanvaller het onderschepte bericht en stuurt het hierna door naar de ontvanger alsof het het originele bericht betreft. Aanvaller (X) Zender (A) Bericht (M) Bericht (M ) Ontvanger (B) Figuur 4 Veranderen van berichten Aanval IV Actieve aanval: versturen van spookberichten De laatste aanval richt zich op het sturen van spookberichten: berichten waarvan de aanvaller zich voordoet alsof deze van iemand anders afkomstig zijn (zie figuur 5). 13

14 Aanvaller (X) Zender (A) Bericht (M ) Ontvanger (B) Figuur 5 Het versturen van spookberichten Uit deze aanvallen is af te leiden welke voorwaarden er aan beveiligde communicatie gesteld kunnen worden. Deze voorwaarden dienen de mogelijke aanvallen af te schermen. Uit de mogelijke aanvallen volgen drie voorwaarden die de kern van de communicatiebeveiliging vormen: 1. Authenticiteit Spookberichten (zie figuur 5) kunnen tegengegaan worden als het van een bericht vast staat dat degene die claimt de afzender te zijn ook daadwerkelijk de afzender is. Het bericht dient met andere woorden authentiek te zijn. Het vaststaan wie de zender van een bericht is noemt men authenticiteit. 2. Integriteit Om verandering van berichten tegen te gaan is het belangrijk dat het vast te stellen is of een bericht tussen zender en ontvanger veranderd is. Dit noemt men integriteit. 3. Confidentialiteit Om afluisteren tegen te gaan is het noodzakelijk dat de uitwisseling van het bericht geheim is. Deze voorwaarde noemt men confidentialiteit. Voor elk van deze voorwaarden zijn er voorzieningen in de informatiebeveiliging en deze zullen in de volgende paragraaf behandeld worden. De genoemde voorwaarden zelf kunnen echter nog niet het blokkeren van berichten tegengaan. De zekerheid dat een verzonden bericht aankomt, kunnen ze namelijk nog niet garanderen. Toch is ook het blokkeren van berichten enigszins tegen te gaan door gebruik te maken van één van de voorwaarden die genoemd zijn, te weten confidentialiteit. Het is namelijk zo dat in veel gevallen een aanvaller niet alle berichten tegen zal willen houden, omdat de zender en ontvanger waarschijnlijk vrij snel door zullen hebben wanneer berichten niet aankomen. Als een aanvaller alle berichten tegenhoudt, zullen de zender en ontvanger waarschijnlijk snel overstappen naar een ander medium omdat ze er vanuit gaan dat het systeem defect is. Aanvallers kunnen manipulatiever te werk gaan door specifieke berichten tegen te houden. Wanneer zender en ontvanger echter gebruik maken van confidentialiteit, is het voor een aanvaller moeilijker te bepalen welke berichten zinvol zijn om tegen te houden en welke niet. Het kan hierdoor minder aantrekkelijk worden om de communicatie tussen zender en ontvanger te verstoren en de aanvaller wellicht verleiden om een ander, makkelijker doelwit, te kiezen Bedreiging van verkeersstromen De vier genoemde vormen van aanvallen richten zich allemaal op de berichten die uitgewisseld worden. Het is echter ook nog mogelijk dat een aanvaller niet zozeer in de berichten geïnteresseerd is, maar meer in de vraag wie met wie communiceert en hoe vaak, de zogenaamde verkeersstroom. Hierbij is confidentialiteit, integriteit en authenticiteit niet voldoende omdat deze zich allemaal richten op het bericht, maar het nog steeds duidelijk is wie met wie communiceert omdat voor de uitwisseling van berichten bepaalde informatie publiek moet zijn (het adres van de geadresseerde bijvoorbeeld). Deze vorm van aanvallen is tegen te gaan door middel van het sturen van vele nepberichten over het netwerk naar willekeurige ontvangers. Dit noemt men Traffic Padding: het opvullen 14

15 van de netwerkcapaciteit met nepberichten. Als het lastig voor een aanvaller is om te bepalen welke berichten echt zijn en welke niet, dan kan de aanvaller niet bepalen wie met wie communiceert. Deze oplossing heeft echter wel een prijs: er dient netwerkcapaciteit voor opgeofferd te worden en dit kan kostbaar zijn. Wanneer een gebruiker bijvoorbeeld met zijn GSM en laptop via GPRS verbinding tot het Internet maak, dient deze te betalen voor elke verzonden en verstuurde hoeveelheid data. Het sturen van nepberichten is wat dat betreft een vrij kostbare oplossing. Echter voor toepassingen waarbij het beschermen van verkeersstroomdata erg belangrijk is (het kan bijvoorbeeld voor bedrijven in geheime fusie onderhandelingen interessant zijn om te maskeren met wie deze onderhandelingen plaats vinden), kunnen de baten opwegen tegen de kosten. 2.3 Conventionele encryptie en hash-functies Deze paragraaf gaat in op de technische implementaties van de voorwaarden die in de vorige paragraaf behandeld zijn. Het gaat hierbij dus om implementaties van de voorwaarden confidentialiteit, authenticiteit en integriteit van een bericht. In computersystemen wordt hiervoor gebruik gemaakt van encryptie. Encryptie is het proces waarbij een bericht omgezet (vercijferd) wordt in een onleesbare vorm, in een soort geheimschrift als het ware. Om het bericht weer te kunnen lezen is het noodzakelijk om het bericht te ontcijferen. Het ontcijferen van een bericht wordt decryptie genoemd. In deze paragraaf gaat het eerst over conventionele encryptie en daarna over hash-functies. Public key encryptie wordt in dit hoofdstuk niet behandeld, dit gebeurt in hoofdstuk vier. Deze technologie wijkt namelijk dermate veel af van conventionele encryptie dat een apart hoofdstuk nodig is om deze vorm van encryptie te behandelen. Daarnaast wordt in hoofdstuk vier meteen het verband tussen public key encryptie en public key infrastructure uiteengezet Confidentialiteit met behulp van conventionele encryptie De behandeling van conventionele encryptie is met name belangrijk omdat het eenvoudiger is dan public key encryptie en daardoor ideaal is om uit te leggen hoe implementatie van de voorwaarden op de computer werkt. Conventionele encryptie wordt gebruikt voor het verkrijgen van authenticiteit en met name confidentialiteit. Het gaat hierbij om het creëren van een soort geheimschrift. In deze paragraaf concentreren we ons op het bereiken van confidentialiteit met behulp van conventionele encryptie. Conventionele encryptie bestaat eigenlijk al heel erg lang: Julius Caesar gebruikte al een geheimschrift om bevelen aan soldaten door te geven. Zijn geheimschrift bestond uit het vercijferen van een bericht met behulp van het omwisselen van letters in het alfabet. Voor elke letter in het bericht, nam hij de letter die er drie plaatsen verder weg van stond. Bijvoorbeeld, A werd dan D, B werd E, C werd F etc. Het spreekt voor zich dat deze conversie eenvoudig uit te voeren is en het ontcijferen, voor wie het geheim wist, ook eenvoudig was. Deze vorm van vercijfering noemt men substitutie. Het spreekt voor zich dat op de computer veel moeilijkere substituties mogelijk zijn. Een andere oplossing tot het creëren van een geheimschrift is om de volgorde van letters in een bericht te veranderen. Hierbij gaat het om bijvoorbeeld alle woorden achterstevoren te schrijven of om de eerste twee letters van een woord achter het woord te plaatsen. Deze bewerkingen noemt men transposities. Op de computer kunnen deze bewerkingen heel erg complex zijn. Alle vormen van conventionele encryptie berusten op combinaties van substituties en transposities. De kern van de beveiliging is dat alleen de twee communicerende partijen weten hoe ze berichten moeten vercijferen en hoe deze weer terug in de originele staat gebracht 15

16 kunnen worden. Partijen die dit niet weten, kunnen de berichten niet lezen waardoor confidentialiteit geboden wordt. De bewerkingen om een bericht te vercijferen en ontcijferen zijn wat geheim blijft tussen de partijen. De kracht van de beveiliging is afhankelijk van hoe lastig het is om dit geheim te achterhalen. Dit geheim kan op verschillende plaatsen aanwezig zijn: 1. de combinatie van substituties en transposities kan geheim gehouden worden (bijvoorbeeld dat Julius Caesar letters substitueerde met een letter k plaatsen verderop in het alfabet); 2. de operatoren van de transposities en substituties kan geheim gehouden worden (bijvoorbeeld dat Julius Caesar s k = +3). Implementaties van conventionele encryptie zijn in het verleden vaak gericht geweest op het geheim houden van de bewerkingen en daardoor ook van de operatoren van de bewerkingen. De enigma machine is hiervan een voorbeeld. Implementaties van conventionele encryptie op de computer gaan meestal uit van het tweede systeem. Het is bekend welke bewerking uitgevoerd wordt, maar niet welke operatoren er gebruikt worden. Dit maakt het mogelijk om systemen zo te maken dat één programma door vele verschillende gebruikers gebruikt kan worden doordat er gevarieerd kan worden in de operatoren. De kracht van de beveiliging is hierdoor uiteraard zwakker omdat bekend is dat het geheim ligt in de operatoren en dus ook alleen operatoren afgezocht hoeven te worden. Aan de andere kant is het mogelijk om deze operatoren heel erg groot en moeilijk te vinden te maken. Deze operatoren hebben in de informatiebeveiliging een eigen naam: sleutels of keys. Een voorbeeld van zo n sleutel of key is gegeven in figuur Figuur 6 Een voorbeeld van een DES key met een lengte van 56 bits Het betreft hier een DES 8 sleutel met een lengte van 56 bits (een bit heeft de waarde één of nul en is de kleinste dataeenheid die op computers bestaat). Deze sleutel wordt gebruikt door het DES algoritme om een bericht om te zetten in een onbegrijpelijke rij tekens (de zogenaamde cypher). Hierbij dient opgemerkt te worden dat het DES algoritme altijd hetzelfde doet en alleen de sleutels variëren (zie figuur 7). ) Bericht (M) Sleutel (K s ) DES Figuur 7 Versleutelen van een bericht met DES Cypher (C M ) Meestal is één sleutel voldoende en deze is dan ook het geheim tussen communicerende partijen. Omdat deze partijen dezelfde sleutel gebruiken, heet deze vorm van encryptie ook wel symmetrische encryptie. De ontvanger kan het vercijferde bericht met behulp van de sleutel en het DES algoritme weer omzetten in de oorspronkelijke tekst. Tijdens het transport is het bericht confidentieel gebleven omdat het in een onleesbare vorm omgezet was. 8 DES is nog steeds één van de meest gebruikte conventionele beveiligingsstandaarden ter wereld en er bestaan implementaties van voor nagenoeg elk soort computer, maar ook voor smartcards zoals een ChipKnip of Chipper. Langzaam begint DES echter wel aan terrein te verliezen omdat de (vaste) sleutellengte van 56 bits nu niet groot genoeg meer is (zie ook paragraaf 2.4). 16

17 2.3.2 Authenticiteit met behulp van conventionele encryptie Zoals uit de vorige paragraaf is gebleken kan conventionele encryptie gebruikt worden om confidentialiteit mogelijk te maken. Aan de voorwaarde van confidentialiteit wordt voldaan omdat het bericht getransformeerd is in een niet te herkennen vorm. Alleen die personen die het geheim kennen, kunnen het bericht ontcijferen. Authenticiteit is echter ook aanwezig omdat alleen personen die het geheim kennen, het bericht in zo n vorm om kunnen zetten dat het terugveranderen met behulp van het geheim leidt tot iets betekenisvols Integriteit met behulp van Hash-functies Conventionele encryptie kan naast confidentialiteit en authenticiteit ook een zekere mate van integriteit bieden omdat door de onherkenbaarheid van het bericht, het niet mogelijk is om er zomaar iets aan te veranderen zodat het bericht betekenisvol blijft. Wanneer een bericht ontvangen wordt wat geen betekenis heeft na decryptie kan dit erop wijzen dat het tijdens transport veranderd is. Het nadeel van hierop vertouwen is wel dat het niet mogelijk is om te bepalen of een bericht veranderd is of dat het om een spookbericht gaat. Authenticiteit en integriteit gebruiken namelijk hetzelfde middel: de eigenschap dat ontcijferen met behulp van het geheim iets betekenisvols oplevert. Daarnaast is het mogelijk dat een kleine aanpassing (ook in de versleutelde tekst) nog leidt tot iets met een zekere betekenis. Dit geldt bijvoorbeeld voor beeld en geluidsbestanden. Omdat een aanvaller het bericht niet kan ontcijferen (conventionele encryptie biedt tenslotte confidentialiteit), kan een aanvaller geen gerichte aanpassingen aan het bericht doen. Echter, willekeurige aanpassingen kunnen in ieder geval bepaald ongemak veroorzaken. Zo kan er tijd en moeite geïnvesteerd worden in het ontcijferen van een bericht, wat geen waarde meer heeft omdat het veranderd is. Vertrouwen op louter conventionele encryptie voor integriteit is dan ook niet altijd verstandig. Hier bieden hash-functies een uitkomst. Hash-functies zijn eigenlijk een kleiner onderdeel van een technologie die zich bezighoudt met het samenvatten van een bericht. Hierbij gaat het om een functie die een bepaald bericht weet om te zetten in een kleiner bericht. In tegenstelling tot compressie (het voor transport zo klein mogelijk maken van een bericht zonder dat er essentiële informatie verloren gaat) mag er ook informatie verloren gaan. De samenvatting heeft dan ook zelf geen betekenis meer, het is alleen maar belangrijk dat er uit een specifiek bericht maar één samenvatting mogelijk is. Het basisidee is om bij het verstuurde bericht ook een samenvatting (een zogenaamd digest 9 ) te sturen. Wanneer het bericht zou veranderen onderweg, zou het digest niet meer bij het bericht passen. De ontvanger dient uiteindelijk het bericht zelf ook samen te vatten en deze samenvatting te vergelijken met het digest dat bij het bericht geleverd werd (zie figuur 8). Wanneer deze overeenkomt, is het waarschijnlijk dat het bericht niet veranderd is. 9 De term digest wordt hier verder gebruikt omdat het gebruik van het woord samenvatting zou kunnen impliceren dat het digest nog betekenisvolle informatie bevat. Een samenvatting van een stuk tekst bevat namelijk normaal gesproken een deel van de betekenis van het stuk tekst. Dit is bij een digest echter niet zo: op basis van het digest is het niet mogelijk uitspraken te doen over de inhoud van het verstuurde bericht. 17

18 Zender (A) Bericht (M) Samenvatter Bericht (M) en Digest Ontvanger (B) Digest Samenvatter Bericht (M) Bericht (M) en Digest Ontvanger (B) Vergelijker Digest Figuur 8 Integriteitscontrole m.b.v. digests Voor het maken van deze digests zijn verschillende oplossingen. Een mogelijkheid is bijvoorbeeld de checksum die nog steeds vaak gebruikt wordt bij het uitwisselen van bestanden. Hierbij worden alle onderdelen van het bericht (alle bits en bytes) op een speciale manier bij elkaar opgeteld, wat uiteindelijk resulteert in een getal. Dit getal wordt meegestuurd met het bericht. De ontvanger kan de optelling ook uitvoeren en daarmee het bij het bericht behorende getal berekenen. Uiteindelijk kan dit vergeleken worden met het verstuurde bericht. Het getal zelf is veel kleiner dan het originele bericht en uit dit getal kan het originele bericht niet meer bepaald worden. Het is echter wel zo dat een verandering in het bericht onderweg, zal leiden tot een vergelijking bij de ontvanger die niet meer klopt, als niet ook de checksum die meegestuurd werd op de juiste manier veranderd is. De kans dat bij toevallige (dus willekeurige) fouten tijdens de overdracht van het bericht ook de checksum op een dusdanige manier verandert dat deze bij de veranderingen in het bericht past, is nihil. Checksums zijn met name bruikbaar om fouten die ontstaan bij transport van het bericht te ontdekken, maar aangezien het heel erg eenvoudig is om een bericht moedwillig aan te passen en hierbij de checksum opnieuw te berekenen, is deze optie minder geschikt om aanpassing door derden (aanval III) tegen te gaan. Hiervoor zijn hash-functies meer geschikt. Hash-functies zijn ingewikkelder, maar hebben meer mogelijkheden. In de eerste plaats zijn hash-functies zo geconstrueerd dat een kleine verandering in het bericht al tot een grote verandering in de digest leidt. Dit betekent dat de kans dat de digest van een bericht dezelfde blijft na aanpassing heel erg klein is. Belangrijk om op te merken is dan alle digests die met een specifieke hash-functie gemaakt zijn van een vastgestelde lengte zijn. Omdat deze lengte vastligt en kleiner is dan het originele bericht, is het uiteraard zo dat verschillende berichten kunnen leiden tot dezelfde digest. Een eigenschap van hash-functies is echter dat het erg moeilijk is om twee verschillende berichten 18

19 te vinden die tot dezelfde digest leiden. Naarmate de digest groter wordt, neemt de kans om zo n bericht te vinden af. In de vorige paragraaf werd al opgemerkt dat conventionele encryptie al een zekere mate van integriteit biedt. Het combineren daarvan met een hash-functie versterkt dit nog meer. De combinatie van gebruik van hash-functies en conventionele encryptie leidt tot een grote mate van integriteit. 2.4 Informatiebeveiliging, tijd en kosten Eigenlijk is elke vorm van conventionele encryptie aan te vallen. Het is namelijk vaak bekend welke vorm van encryptie gebruikt wordt en is alleen de gebruikte sleutel onbekend. Het is dan echter wel mogelijk om deze sleutel te zoeken, in ieder geval door alle mogelijkheden van deze sleutel te proberen (de zogenaamde brute kracht aanval). Wanneer deze sleutel gevonden is, is de beveiliging gebroken. Het zoeken van deze sleutel kost tijd, tijd die toeneemt naarmate de lengte van de sleutel (vaak gemeten in bits) groter is. Wanneer deze tijd zo groot is dat de investering die nodig is om de sleutel te breken onrendabel wordt (met andere woorden groter dan de baten van het breken van de beveiliging), is de beveiliging voldoende. Wanneer de tijd die nodig is zelfs zo lang is dat het met de huidige computerkracht op aarde bijvoorbeeld 100 jaar zou duren om de beveiliging te breken, spreekt men van computational infeasible. Helaas neemt ook de tijd die nodig is om een bericht te vercijferen toe naarmate de sleutels groter worden. Dit is belangrijk omdat sleutels vaak grote getallen zijn en de bewerkingen die in encryptie gebeuren erg ingewikkeld zijn. Encryptie (en daarmee informatie beveiliging) zijn dus vrij rekenintensief. Het is echter wel zo dat de tijd die nodig is om een sleutel te breken vele malen groter is dan die om de vercijfering te doen. Het verschil tussen deze twee tijden dient voldoende groot te zijn (de investering om het bericht te vercijferen mag niet groter zijn dan de baten van het beveiligen). Het is dan ook niet zinvol om met sleutels die groter zijn dan nodig is te werken. Dit impliceert wel dat naarmate de waarde van de beveiligde informatie toeneemt, er toch gekozen zal moeten worden voor grotere sleutels. Door de steeds sneller wordende computers dienen sleutels vanuit veiligheidsoogpunt steeds groter te worden: waar sleutels van 40-bits en 56-bits enkele jaren geleden nog voldoende groot waren, is heden ten dage 80-bits noodzakelijk. Omdat de toename van snelheid ook zorgt voor het sneller kunnen vercijferen van berichten blijft het verschil in tijden tussen het breken van de sleutel met een brute kracht aanval en het vercijferen van een bericht ongeveer gelijk als op tijd voor grotere sleutels gekozen wordt. Communicatiebeveiliging zal dus altijd tijd kosten. Het punt dat ook het vercijferen van berichten tijd kost (en altijd tijd zal blijven kosten) is voor conventionele encryptie niet zo n probleem: vercijferen met sleutels van 80 of 128 bits is iets wat een gebruiker op een moderne computer waarschijnlijk niet eens merkt. Public Key Infrastructuren gebruiken echter veel grotere sleutels en daar gaat deze tijd wel tellen (zie hoofdstuk vier). 2.5 Andere aspecten van informatie beveiliging Uiteraard is wat in paragraaf 2.2 tot en met 2.4 verteld is over informatiebeveiliging slechts een klein deel van dit vakgebied. Dit onderzoek richt zich echter met name op de punten die genoemd zijn in de voorgaande onderdelen. Deze paragraaf behandelt enkele belangrijke punten op het gebied van informatiebeveiliging die niet uitgebreid aan bod zullen komen. Ze worden in het kort beschreven en er wordt uitgelegd waarom deze niet uitvoeriger behandeld worden. 19

20 Bij informatiebeveiliging gaat het veelal om het afschermen van informatie voor personen die niet gerechtigd zijn tot deze informatie. Dit noemt men autorisatie. Hierbij gaat het veelal om toegang tot informatie op een computer die bij een bepaalde identiteit hoort. Autorisatie is dan ook de relatie tussen een identiteit en de rechten van die identiteit op een computer. Dit heeft te maken met authenticiteit, maar is niet hetzelfde. Authenticiteit moet bij autorisatie altijd vastgesteld worden omdat het anders mogelijk is van een valse identiteit te bedienen. Autorisatie is echter iets wat zich afspeelt bij datgene wat de gewenste informatie bezit. Dit onderzoek richt zich echter op communicatie tussen onderdelen die informatie bezitten, waarbij de genoemde voorwaarden voor berichten veel belangrijker zijn. Voor roaming user networks zouden verkeersstromen interessant kunnen zijn om te beveiligen. Echter, vanwege de eigenschappen van communicatie in deze netwerken lijkt dit niet noodzakelijk (zie hoofdstuk 3). Daarnaast wordt communicatie in publieke draadloze netwerken nog per tijdseenheid of per bit afgerekend. Het versturen van nepberichten kost daardoor geld (zie paragraaf 2.2.2). 2.6 Conclusie In dit hoofdstuk zijn de drie belangrijkste voorwaarden voor informatiebeveiliging behandeld: authenticiteit (het weten dat een bericht afkomstig is van diegene die claimt het verstuurd te hebben), confidentialiteit (het bericht is niet leesbaar voor derden) en integriteit (als het bericht tijdens transport veranderd wordt, kan dit door de ontvanger opgemerkt worden). Het is aantrekkelijk dat conventionele encryptie deze drie voorwaarden kan leveren. Daarnaast is het erg efficiënt te implementeren op de computer. Er is echter wel een nadeel en dat betreft het uitdelen van de sleutels. Om beveiligd te kunnen communiceren is het noodzakelijk dat zowel zender als ontvanger de sleutel bezitten. Het uitwisselen van deze sleutel dient dan ook zo veilig mogelijk te gebeuren. Dit is het grootste risico. Confidentialiteit, authenticiteit en integriteit worden het sterkst door conventionele encryptie geïmplementeerd wanneer zo min mogelijk gebruikers het geheim kennen. Met andere woorden: elk paar van gebruikers dient een eigen sleutel te delen. In een situatie van n gebruikers leidt dit tot maximaal (n-1) n / 2 sleuteluitwisselingen ofwel een kwadratisch groeiend aantal sleuteluitwisselingen. Bij grote groepen gebruikers leidt dit tot erg veel sleuteluitwisselingen (bijvoorbeeld bij 100 gebruikers, zijn er 4950 sleuteluitwisselingen nodig). Aangezien elk van deze uitwisselingen veilig dient te gebeuren is dit proces in het beste geval omslachtig. Met name omdat een roaming user network nogal veel gebruikers kan kennen, is dit een probleem. Public key encryptie biedt hiervoor een oplossing (die in hoofdstuk vier behandeld wordt). Met de in dit hoofdstuk geschetste concepten van communicatiebeveiliging wordt het mogelijk in het volgende hoofdstuk de beveiligingsaspecten in roaming user networks te behandelen. Hiervoor wordt eerst het begrip roaming user networks gedefinieerd waarna de beveiligingsaspecten behandeld worden. 20