Internetbeveiliging zonder privacycompromissen?

Transcriptie

1 Universiteit Antwerpen Departement Wiskunde-Informatica Internetbeveiliging zonder privacycompromissen? Andy Zaidman Proefschrift ingediend tot het behalen van de graad van Licentiaat in de Wetenschappen. Promotor: Prof. Dr. Serge Demeyer Begeleider: Bernard De Ruyck

2 Internetbeveiliging zonder privacycompromissen? Andy Zaidman 31 mei 2002 II

3 Woord van dank Een eindwerk maken is een heel karwei en de afgelopen maanden hebben een heleboel mensen me hierbij enorm geholpen. Mensen die me een steuntje in de rug hebben gegeven wanneer ik er behoefte aan had en die nu zeker een schouderklopje verdienen. Ik wil mijn promotor, Professor Serge Demeyer, bedanken voor me op het goede pad te zetten en voor de lange babbels die me altijd terug op weg hebben geholpen. Ook Bernard De Ruyck en de mensen van Kava verdienen een bedankje voor de goede ontvangst en de mogelijkheden die ze Bart, Kris en mezelf hebben gegeven tijdens de stage. Mijn moeder en vader, Marion en Serge: alle lof voor jullie eindeloos geduld de laaste maanden. Jullie zijn ongelofelijk, echt waar! Mijn vriendin Wendy verdient een pluim: ze heeft ervoor gezorgd dat ik me goed in mijn vel voel en heeft me gestimuleerd om steeds weer net dat beetje verder te gaan in mijn thesis. Al mijn medestudenten en Kris, jij in het bijzonder, bedankt voor alle tips. Bedankt iedereen! III

4 Inhoudstafel Abstract... 1 Hoofdstuk 1 Inleiding Inleiding Het algemene beeld De situatie Mogelijke consequenties Wordt beveiliging als cruciaal ervaren? Een haalbaarheidsstudie De omgeving De stage De studie zelf De thesis Een aantal inleidende begrippen Privacy Beveiliging... 6 Hoofdstuk 2 Ingrediënten voor veilige communicatie Inleiding Doel van beveiliging Encryptie gedecrypteerd Inleiding Symmetrische encryptie Asymmetrische encryptie Symmetrisch versus asymmetrisch Message digest Digitale handtekening Message Authentication Code (MAC) Een overzicht van de elementaire bouwstenen Hoofdstuk 3 Technologie-overzicht Inleiding Secure Socket Layer (SSL) Inleiding Secure Socket Layer Private Communication Technology Transport Layer Security Aanverwante protocollen Gebruiksscenario SSL getoetst Secure Electronic Transaction (SET) Inleiding Gebruiksscenario IV

5 3.3.3 SET getoetst Secure HTTP (S-HTTP) Inleiding Technisch Afwegingen HTTP-S getoetst IP Secure Protocol (IPSec) Inleiding Structuur van IPSec Security Association (SA) Sleutelmanagement en connectieparameters Authentication Header Encapsulating Security Payload (ESP) Tunnel modus IP Secure getoetst Conclusie Hoofdstuk 4 Inleiding tot Secure Socket Layer (SSL) Inleiding Handshake Algemeen Downgrade to export Replay attack SSL Record Protocol Algemeen Truncatie aanval Replay aanval Sleutel-afleidingsprincipes Even recapituleren Sessies hernemen Sessies versus connecties In de praktijk Client authenticatie Hoofdstuk 5 SSL onder de loep genomen Inleiding Wat verstaan we onder performantie van een beveiligingsprotocol? Het netwerk De eindstations Performantie van de handshake Simpele handshake Sessie hernemen handshake Handshake met client authenticatie Overzicht Gegevenstransfer Invloed van het netwerk Theoretisch standpunt Het algoritme van Nagle Reële situatie Wat weten we over beveiliging? Veiligheid van de handshake Ciphersuite rollback of downgrade to export aanvallen ChangeCipherSpec wordt niet opgenomen in de MAC Authenticatie: het Principe van Horton Het record protocol De hanshake: het ChangeCipherSpec bericht Hortoniaans genoeg? Veiligheid van de gegevenstransfer Luistervinken Verkeersanalyse Replay aanvallen V

6 5.11 Halen we de vooropgestelde criteria? Performantie Beveiliging Hoofdstuk 6 Publieke Sleutel Infrastructuur Inleiding Digitale certificaten Certificaat Authoriteiten Certificaat revocatie Certificate Revocation List (CRL) CRL s partitioneren Delta Certificate Revocation List (Delta-CRL) CRL Distribution Points (CDP) Online Certificate Status Protocol (OCSP) Nieuwe mechanismen Conclusie Hoofdstuk 7 Een kwestie van privacy Inleiding Het kader Juridisch Zelfregulering De situatie in België De keerzijde van digitale certificaten Privacy kwesties In een ideale wereld Anonimiteit Onverenigbaarheid Integratie met smartcards Smartcards Smartcards integreren met software-oplossingen Privacy: welles of nietes? Hoofdstuk 8 Conclusie Appendix A Performantiegegevens van cryptografische algoritmen A.1 Algemeen A.2 Performantie van symmetrische algoritmen A.3 Performantie van asymmetrische algoritmen A.4 Performantie van message digest algoritmen A.5 Opmerkingen Appendix B SSL traces B.1 Algemeen B.2 Traces B.2.1 Simpele SSL handshake B.2.2 Handshake d.m.v. session resumption B.2.3 SSL handshake met client authenticatie Appendix C Beveiliging voor de IT manager C.1 Algemeen C.2 Verschillen tussen regio s...96 C.3 Verschillen per industrie C.4 Privacy C.5 Beveiliging in het kader van e-business C.6 Informatiebeveiliging: een top issue Bibliografie Lijst van figuren Aantekeningen VI

7 Abstract De huidige trend van verhoogde interconnectiviteit tussen individuen en bedrijven onderling enerzijds en tussen beide groepen anderzijds, heeft het elektronische berichtenverkeer de afgelopen jaren sterk doen stijgen. Parallel neemt de hoeveelheid privacygevoelige gegevens die over het Internet stroomt, enorm toe. Deze thesis bekijkt een aantal hedendaagse beveiligingstechnologieën: zo wordt Secure Socket Layer (SSL) getest op het gebied van performantie en geanalyseerd op mogelijke zwaktepunten voor hacks. Als tegengewicht wordt gekeken wat de mogelijke consequenties zijn van het overgebruik van een certificaatgebaseerd identificatiemechanisme met betrekking tot de privacy van de gebruikers van de infrastructuur. 1

8 Hoofdstuk 1 Inleiding The world is moving so fast these days that the man who says it can't be done is generally interrupted by someone doing it. E. Hubbard 1.1 Inleiding De oorsprong van het Internet gaat terug tot Het Advanced Research Projects Agency (ARPA), een onderdeel van het Amerikaanse Department of Justice, liet onderzoek doen naar een netwerk dat communicatie zou blijven mogelijk maken als een aantal knooppunten verwoest zouden worden bij een (nucleaire) oorlog. In 1969 waren er welgeteld 4 computers met elkaar verbonden d.m.v. dit netwerk dat toen de naam ARPANET kreeg. Tijdens de jaren 70 en 80 werd het netwerk voornamelijk gebruikt voor militaire en academische doeleinden, het aantal gebruikers steeg gestaag, maar de grote doorbraak kwam er pas in de jaren In 1992, toen het Internet werd vrijgegeven voor het grote publiek, begon het aantal gebruikers explosief te stijgen. Sinds het begin van de jaren negentig is de manier waarop mensen het Internet beschouwen drastisch veranderd: van een puur informatief netwerk waar enkel techneuten hun weg op vinden tot een open forum dat voor iedereen toegankelijk is. Vandaag de dag wordt Internet gebruikt voor ontspanning, om in contact te blijven met vrienden en kennissen via , voor het opzoeken van informatie, voor zakendoen, Ondertussen zijn mensen die zich online wagen of bedrijven die hun goederen en diensten via het Internet verkopen al lang geen pioniers meer. Totzelfs het kopen van boeken en CD s via Internet raakt ingeburgerd en ook het kopen van veel duurdere artikels begint door te breken. Bedrijven zien meer en meer de mogelijkheden van het Internet in: niet alleen proberen ze hun producten via het Internet te verkopen, hun informaticasystemen maken volop gebruik van Internet. Enterprise Resource Planning (ERP) pakketten worden aangepast voor e-business zodat werknemers en klanten via het Internet in contact kunnen komen met de databank van het bedrijf. De gigantische groei van het Internet maakt ook dat de hoeveelheid informatie die dagelijks over dit publieke netwerk vloeit, onvoorstelbaar groot is. Het grootste deel van deze informatie is redelijk banaal, een andere deel kan omschreven worden als gevoelige informatie, informatie die niet iedereen zomaar zou mogen inkijken. Als het over gevoelige informatie gaat, hebben we het enerzijds bijvoorbeeld over de klant van Amazon 1 die met zijn kredietkaart een boek of CD bestelt, en anderzijds over vertrouwelijke informatie die bedrijven via het Internet doorsturen naar hun klanten en/of leveranciers. De enorme concentratie van gevoelige informatie maakt dat het Internet een geliefkoosd doel is voor individuen die op zoek zijn naar vertrouwelijke informatie. 1 Amazon, zie 2

9 1.2 Het algemene beeld De situatie Het laatste decennium heeft de informatietechnologie een hoge vlucht genomen: enerzijds door de steeds goedkoper wordende technologie, anderzijds door een steeds grotere drang tot interconnectiviteit. Informatie kan nu sneller dan ooit opgezocht en verstuurd worden. Niet enkel de snelheid waarmee gegevens verstuurd worden, maar ook de hoeveelheid data neemt voordien ongeziene proporties aan. De openbaarheid van Internet laat toe dat een groot deel van de bevolking van de westerse landen toegang heeft tot dit immense publieke netwerk. Maar niet alleen individuen hebben zich laten verleiden, ook bedrijven hebben hun weg gevonden naar het Internet. Als we het over de aanwezigheid van bedrijven op Internet hebben, is Amazon zeker een van de eerste bedrijven waar we aan denken. Het is immers het typische voorbeeld van e-commerce (electronic commerce of elektronisch zakendoen): een klant bestelt via Internet een boek of CD, betaalt m.b.v. zijn kredietkaart en ontvangt de goederen via een pakjesdienst. Niettemin hebben we ons ook allemaal wel eens afgevraagd of het zomaar vrijgeven van onze kredietkaartgegevens wel veilig is: Kunnen de kredietkaartgegevens onderweg niet zomaar onderschept worden door derden, die dan de kredietkaart plunderen? Bedrijven kunnen ook in een andere context aanwezig zijn op het Internet. Ze kunnen het Internet opnemen in hun bedrijfsstrategie en legacy systemen vervangen door nieuwe softwareproducten die gebruik maken van de mogelijkheden van het Internet. Klanten kunnen tegenwoordig inloggen op de systemen van een fabrikant en online bestellingen verrichten, hun orders opvolgen, etc. Werknemers kunnen over ter wereld in contact blijven met hun bedrijf d.m.v. het Internet. We mogen er dan ook vanuitgaan dat dit berichtenverkeer tussen gepriviligeerde partners gevoelige informatie bevat die niet zomaar ten prooi mag vallen aan derden. Bovendien zijn bedrijven in grote mate afhankelijk geworden van hun informatiesystemen. Misbruik van gegevens en/of de systemen van een organisatie kunnen aanleiding geven tot grote financiële verliezen en zelfs tot het failliet van de onderneming Mogelijke consequenties Computerbeveiliging is de wetenschap/kunst om kwaadaardige bedoelingen en kwaadaardig gedrag inzake informatie- en communicatietechnologie in kaart te brengen en te beperken. Wat moeten we nu echter verstaan onder kwaadaardige bedoelingen en kwaadaardig gedrag? Een aantal motieven: Fraude en/of diefstal: individuen krijgen op onrechtmatige wijze toegang tot geld, goederen of diensten waarvoor zij geen vergoeding aanbieden. Ook buiten de informaticawereld worden producten hiertegen beschermd, denk maar aan geldkoffers, (on)zichtbare chips op CD s of kleding, Vandalisme: het toebrengen van schade om persoonlijke redenen zoals frustratie, haat, wraak, negatief zelfbeeld, Het zou hier bijvoorbeeld kunnen gaan om een ontslagen werknemer die wraak wil nemen op zijn voormalige werkgever. Terrorisme: schade toebrengen en terreur zaaien voor politieke doeleinden. Spionage: ongeoorloofde toegang proberen te krijgen tot informatie om een competitief voordeel te verkrijgen. Sabotage: schade toebrengen aan een concurrent om een competitief voordeel te verkrijgen. En waarom is het nu zo belangrijk? Op economisch vlak: verlies van competitief voordeel, juridische vervolging, verlies aan imago bij uitlekken van inbraak, verlies van intellectueel eigendom, Op medisch vlak: vertrouwelijkheid en integriteit van patiëntgegevens, Op sociaal vlak: het recht op vrije meningsuiting, het recht op privacy, 3

10 1.2.3 Wordt beveiliging als cruciaal ervaren? Hoewel investeringen voor IT-beveiliging duur zijn en soms achterwege gelaten worden, is het ondertussen toch wel zo dat een heleboel mensen en ook IT-managers zich er terdege van bewust zijn. Tijdens een onderzoek van 1996 staat IT beveiliging zelfs op een 6de plaats qua IT-kernpunten voor IT-managers. [VanGrembergen1996]. Gartner Research, onderdeel van de Gartner Group [Gartner2002] specialiseert zich in het bestuderen van de meest kritieke problemen waar informatietechnologie mee geconfronteerd wordt. Elk jaar publiceren ze een top 10 van punten die IT-managers als essentieel beschouwen voor hun business. Security en privacy staan reeds enkele jaren in deze top 10 en bovendien schat Gartner in dat mede door het verhoogde budget van de Amerikaanse diensten voor staatsveiligheid naar aanleiding van de terroristische aanslagen op 11 september 2001, security en privacy de komende jaren een steeds belangrijkere rol gaan spelen voor IT-managers. Appendix C geeft een samenvatting weer van het Critical Issues of Information Systems Management rapport, editie Hierin staat cijfermateriaal dat bevestigt dat beveiliging en privacy nog steeds belangrijke kwesties zijn voor IT-managers. Bovendien geeft het ook goed weer hoe de situatie veranderd is na de gebeurtenissen van 11 september 2001, hoe de aanpak van beveiliging verschilt tussen de werelddelen, 1.3 Een haalbaarheidsstudie De omgeving Deze thesis is begonnen als een haalbaarheidsstudie bij Kava (Koninklijke Apotekersvereniging van Antwerpen). Kava is de grootste beroepsvereniging voor apotheken in België. Bovendien biedt Kava de apothekers een tariferingsdienst aan. Tarifering is het principe waarbij apothekers verschillende prijzen aanrekenen voor medische producten, naargelang het sociale zekerheidsstatuut van de patiënt. De sociale verzekering voor een militair verschilt bijvoorbeeld drastisch van die van een arbeider of bediende. De apotheker moet op basis van de combinatie van product en patiënt onmiddellijk de tarifering kunnen toepassen. Bovendien moet de apotheek minstens 1 keer per maand zijn tariferingsgegevens doorsturen naar de tariferingsdienst, zodat deze kan instaan voor de verdere terugbetaling. Tarifering is typisch voor een apotheek en maakt dus dat de boekhouding van een apotheek moeilijk vergeleken kan worden met een klassieke boekhouding. Een groot percentage van de aangesloten apothekers heeft reeds een hoge informatiseringsgraad bereikt: de klassieke oplossing van een stand-alone PC-infrastructuur met specifieke apothekerssoftware is goed ingeburgerd. De tarifering gebeurt lokaal. De verkoopsprijs van een medicijn, waarvoor een doktersvoorschrift is ingediend, wordt in real-time bepaald aan de hand van de verzekerbaarheid van de persoon. De verzekerbaarheidsstatus wordt met behulp van een smartcardlezer uit de SIS (Sociaal Informatie Systeem) kaart gelezen. Een belangrijk nadeel van deze stand-alone architectuur is dat er regelmatig updates nodig zijn voor de software. Wekelijks komen er immers nieuwe producten op de markt en iedere maand kunnen de prijzen voor getarifeerde producten wijzigen. Ook het programma zelf moet af en toe worden geupdate. Bovendien moet op het einde van elke maand een grote hoeveelheid tariferingsgegevens naar de tariferingsdienst worden verzonden. Vaak gebeurt dit nog via het uitwisselen van een magnetische opslagdrager (diskette), hoewel meer en meer apothekers voor kiezen. Wat wel duidelijk is: de manier van werken zorgt voor piekmomenten in de verwerking van de tariferingsgegevens door Kava. 4

11 Figuur 1.1: SIS-kaart zoals deze reeds enkele jaren is ingeburgerd in België De stage De stage richt zich op de haalbaarheid van een systeem waarbij de tarifering via het Internet verloopt. De primaire opslagplaats van data zou niet meer de apotheek zelf zijn, maar de tariferingsdienst. De haalbaarheidsstudie kan je opsplitsen in 2 componenten: de technische component waarbij gekeken moet worden naar factoren zoals performantie en veiligheid van een systeem dat via Internet werkt een eerder functionele kant, waarbij de gebruikers van het systeem moeten overtuigd worden van een zekere meerwaarde van het systeem t.o.v. het klassieke systeem Uiteraard zijn we als informatici eerder geïnteresseerd in de technische kant, maar we mogen de functionele kant zeker niet uit het oog verliezen, daar we vertrekken vanuit een real-life situatie in een bedrijf De studie zelf Tijdens de studie werd al gauw duidelijk dat een systeem waarin het Internet een centrale rol speelt, moet voldoen aan een aantal criteria: de performantie van het systeem moet vergelijkbaar zijn met het klassieke stand-alone systeem. de infrastructuur voor de gebruiker moet minimaal zijn, een klassieke PC met minimale softwarevereisten moet de apotheker in staat stellen om te tariferen. beveiliging en privacy. En het systeem moet door middel van zijn connectiviteit een meerwaarde zien te creëren De huidige software laat toe om een patiëntenhistoriek bij te houden: de apotheker kan m.b.v. de software het geneesmiddelengebruik van een patiënt op korte termijn inkijken en op die manier visueel of d.m.v. de ingebouwde kennis in het systeem oordelen over de compatibiliteit van bepaalde medicijnen. Bestanddelen van een bepaald medicijn kunnen nevenwerkingen vertonen in combinatie met bestanddelen van een product dat de patiënt eerder heeft aangeschaft. Indien de historiek een gebruiksconfict weergeeft, kan de apotheek de patiënt inlichten om af te zien van het gebruik van één van beide producten. Momenteel blijft deze patiëntenhistoriek uiteraard apotheekgebonden. Een meerwaarde van een sterk geïntegreerd systeem zou uiteraard kunnen zijn om deze patiëntenhistoriek globaal te maken en dus beschikbaar te stellen voor alle apotheken waarbij de patiënt klant is. Evenwel het is niet moeilijk om in te zien dat zowel de tarifering als het bijhouden van een globale patiëntenhistoriek leidt tot het versluizen van grote hoeveelheden gevoelige informatie. De wetgever schrijft dan ook duidelijk voor dat gezondheidsinformatie zeer goed beveiligd moet worden en er heel voorzichtig moet worden omgesprongen met dergelijke informatie. De Belgische overheid heeft daartoe de Kruispuntenbank 2 opgericht, die deze informatiestroom voor het grootste deel beheert. Hiermee wordt onmiddellijk duidelijk dat beveiliging een topprioriteit vormt voor een dergelijk systeem 2 De Belgische Kruispuntenbank: 5

12 1.4 De thesis Deze thesis heeft als hoofddoel na te gaan wat de huidige stand van zaken is qua technieken om beveiligde communicatie over een publiek netwerk zoals het Internet mogelijk te maken. We bekijken welke protocollen er zijn en welke principes essentieel zijn om ons doel te bereiken. Als rode draad doorheen het verhaal gebruiken we Secure Socket Layer of SSL. Bovendien gaan we na hoe een efficiënte infrastructuur voor sleuteluitwisseling eruit ziet, welke mogelijke valkuilen er op het vlak van privacy ontstaan bij het op grote schaal toepassen van deze zogenaamde publieke sleutel infrastructuur. De hypothese waar deze thesis om draait, is: De huidige methoden voor Internetbeveiliging voldoen om adequate beveiliging en privacy aan te bieden. 1.5 Een aantal inleidende begrippen Hoewel deze thesis uitgaat van een aantal begrippen en technieken uit de informaticawereld, worden bepaalde principes getoetst aan minder strikt gedefinieerde begrippen zoals privacy en beveiliging: begrippen die buiten de informaticawereld soms een andere definitie krijgen, vandaar dat we ze hier even kort bespreken Privacy Definitie: Privacy (van informatie) is het recht dat natuurlijke personen, groepen van personen of instituten hebben om voor zichzelf uit te maken wanneer, hoe en in welke mate informatie over de betrokken individuen overgedragen wordt aan derden. Deze definitie van Alan Westin [Westin1967] wordt vaak geciteerd in de academische literatuur en in juridische documenten. Bovendien vormt ze de basis van de Privacy Act (1967) van de Verenigde Staten van Amerika. Niet enkel de Verenigde Staten vinden privacy belangrijk, want het recht op privacy werd ook opgenomen in: artikel 22 van de Belgische Grondwet omschrijft privacy als een grondrecht van alle individuen. artikel 8 van het Europees Verdrag ter Berscherming van de Rechten van de Mens. artikel 17 van het Internationaal Verdrag Inzake Burgerrechten en Politieke Rechten Beveiliging Beveiliging wordt vaak als één groot monolitisch blok gezien, niettemin bestaat beveiliging uit een aantal afzonderlijke maar soms sterk gerelateerde concepten. Beveiliging van gegevens onder transmissie impliceert dat we volgende eigenschappen moeten kunnen garanderen [DeSchutter]: Vertrouwelijkheid: berichten kunnen niet door onbevoegden worden ingekeken. Deze eigenschap noemen we ook wel confidentialiteit. Integriteit: gegevens kunnen onderweg niet ongemerkt aangepast worden. Continuïteit: berichten kunnen niet onopgemerkt verloren gaan of geheel of gedeeltelijk worden vernietigd. Authenticiteit: berichten die we ontvangen zijn afkomstig van diegene met wie gecommuniceerd wordt en berichten die we versturen komen aan bij de persoon met wie we wensen te communiceren. 6

13 Deze begrippen worden verder besproken in het volgende hoofdstuk. Dat beveiliging een hot topic is, bewijst de nieuwe wet op informaticacriminaliteit, die op 28 november 2000 in voege is getreden. Een fragment [PISA]: Hij die valsheid pleegt, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in te voeren in een informaticasysteem, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, waardoor de juridische draagwijdte van dergelijke gegevens verandert, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen. 7

14 Hoofdstuk 2 Ingrediënten voor veilige communicatie First, figure out what you are trying to do (this is good advice under most cirumstances, and it is especially apropos here) NNTP Installation Guide 2.1 Inleiding Om te kunnen redeneren over de stappen die je moet zetten om een informatica-architectuur te beveiligen, moet je je eerst bewust worden van de gevaren die op de loer liggen. Een eerste stap die je moet zetten is een zogenaamde risico-analyse uitvoeren, een opsomming van interne en externe risico s met hun mogelijke impact op het systeem. Een volledige risico-analyse is veel te uitgebreid binnen het kader van de studie van een Internetprotocol dat beveiligde communicatie aanbiedt, maar we zijn wel geïnteresseerd in 1 onderdeeltje ervan, het threat model. Een cruciale fase voor een ontwikkelaar van beveiligde internetprotocols is het definiëren van mogelijke bedreigingen. Het threat model specifieert juist van welke types van inbraken we s nachts wakker moeten liggen en welke types van inbraken we links mogen laten liggen. We moeten dus een aantal realistische scenario s bekijken om te voorkomen dat de ontwikkelaars zich onnodig concentreren op situaties die weinig voorkomen of die een onredelijk groot aantal toevalligheden veronderstellen. Op die manier voorkomen we dat het protocol overdreven ingewikkeld wordt gemaakt, wat de begrijpbaarheid van het mechanisme en de (computationele) efficiëntie van het protocol ten goede komt. Een standaard informeel Internet Threat Model ziet er als volgt uit [Rescorla2000]: We stellen dat de aanvaller quasi volledige toegang heeft tot het communicatiekanaal tussen eindstations: het netwerk is niet te vertrouwen. We gaan ervan uit dat de eindsystemen waarop het protocol wordt toegepast veilig zijn: immers, beveiligen tegen een infrastructuur waar een eindsysteem onder de controle is van een aanvaller is extreem moeilijk. Hierop zijn 2 uitzonderingen: 1) Eén enkel gecompromitteerd eindsysteem mag de beveiliging van de hele infrastructuur niet in het gedrang brengen. Als de beveiliging tussen A en B gecompromitteerd is, mag dit niet als gevolg hebben dat ook de beveiliging tussen B en C gevaar loopt, deze eigenschap noemt men no single point of failure. 2) Het systeem dat de aanvaller gebruikt kan zich voordoen als een legaal eindstation van het systeem, de aanvaller mag enkel niet over een legaal eindsysteem beschikken. We gaan er met andere woorden vanuit dat de aanvaller pakketjes kan injecteren in het netwerk (zich voordoende als de zender of de ontvanger), pakketjes uit de netwerkstroom kan halen en bovendien elk pakketje in de netwerkstroom kan inkijken. 8

15 Op basis van wat we nu weten, kunnen we een eerste onderscheid maken tussen aanvallen: een actieve aanval is een bedreiging waarbij de aanvaller zelf informatie naar het netwerk schrijft. een passieve aanval daarentegen houdt in dat de aanvaller enkel gegevens van het netwerk leest. Een heel bekende aanval is de denial-of-service (DOS) aanval. Voortbouwend op de veronderstelling dat de aanvaller de inhoud van berichten tussen 2 machines kan aanpassen, kan de aanvaller net zo goed alle pakketjes tussen 2 machines uit het netwerk verwijderen en daardoor de communicatie onmogelijk maken. Een andere vorm van denial-of-service aanval is dat de aanvaller op korte tijd een groot aantal connecties probeert te maken met een eindstation, waardoor deze een enorme hoeveelheid verwerkingskracht (CPU-tijd) moet besteden aan de inkomende connecties zodat de bereikbaarheid van het eindstation in het gedrang komt. Over het algemeen houden protocoldesigners geen rekening met denial-of-service aanvallen, niet omdat ze niet belangrijk zijn, maar omdat ze heel moeilijk te voorkomen zijn. Deze soort aanvallen komen dus meestal niet voor in een threat model. Een van de belangrijkste functies van een threat model is om ervoor te zorgen dat beveiliging niet duurder wordt dan ze eigenlijk waard is: beveiligingsmaatregelen moeten geïmplementeerd worden tot aan het punt waarop de implementatie ervan duurder wordt dan het risico van een inbraak. Een slechte afweging kan leiden tot een situatie waarbij geen enkel overgelaten risico aanvaardbaar lijkt en geen enkel acceptabel systeem kan geïmplementeerd worden. Bovendien is geen enkele vorm van beveiliging waterdicht voor elke mogelijke aanval. De functie van een threat model is juist te bepalen op welke aanvallen we ons moeten richten. 2.2 Doel van beveiliging Meestal wordt beveiliging als één monolitisch concept beschouwd, als één enkele eigenschap van een protocol. Maar afhankelijk van de mogelijkheden die aan de aanvaller geboden worden, kan je verschillende risico s voor de data in transit onderscheiden. Communicatiebeveiliging bestaat uit een aantal verschillende, soms relateerde eigenschappen [Rescorla2000]: 1. Vertrouwelijkheid (confidentialiteit) De inhoud van berichten die onderschept worden, kan niet zomaar worden ingekeken door onbevoegden, m.a.w. de privacy van de gegevens wordt beschermd. 2. Integriteit De inhoud van een bericht kan onderweg niet onopgemerkt gewijzigd worden. 3. Authenticiteit Berichten die worden ontvangen zijn afkomstig van de partij waarmee men wenst te communiceren, m.a.w. we hebben zekerheid over de oorsprong van het bericht. 4. Continuïteit [DeSchutter] Berichten in transit kunnen niet onopgemerkt geheel of gedeeltelijk verloren gaan of vernietigd worden. 5. Onweerlegbaarheid [DeSchutter] In juridisch opzicht belangrijk omdat men ten aanzien van derden een aantal hoedanigheden van het bericht kan bewijzen. Deze eigenschap heeft o.a. tot gevolg dat een partij achteraf niet kan ontkennen iets verstuurd te hebben. Zoals blijkt, is de partitionering van de eigenschappen niet voor elke auteur eender. Eigenschappen 1 tot en met 4 zijn duidelijk technologische eigenschappen; sommige auteurs brengen eigenschap 4, continuïteit, onder bij de integriteit van een bericht, maar integriteit dekt niet helemaal de lading van een bericht dat geheel verloren gaat. Eigenschap 5, onweerlegbaarheid of non-repudiation is duidelijk niet van technische aard, maar heeft een sterke juridische connotatie. Onderstaande tabel probeert weer te geven hoe een klassiek systeem zoals De Post kan vergeleken worden met een beveiligd communicatiekanaal. 9

16 De Post Beveiligde verbinding Confidentialiteit Briefgeheim Encryptie van de boodschap. Integriteit Een zegel of handtekening op de Echtheidsbewijs (zie later bij sluiting van de enveloppe Message Authentication Codes Authenticiteit Handtekening onderaan de brief + Certificaten, publieke en private eventueel handschrift bij handgeschreven tekst. sleutels. Continuïteit Aangetekende brief Wordt opgelost door TCP (Transmission Control Protocol) als we het hebben over SSL boven een TCP/IP verbinding. TCP vraagt een acknowledgement van ieder pakket. Onweerlegbaarheid Aangetekende brief Juridische erkenning van digitale handtekeningen. Figuur 2.1: Vergelijking De Post versus beveiligde verbinding (technische aspecten) De overige paragrafen van dit hoofdstuk behandelen een aantal technische aspecten van encryptie. Begrippen zoals symmetrische encryptie, asymmetrische encryptie, message authentication codes (MAC s) en digitale handtekeningen worden verder toegelicht. Lezers die op de hoogte zijn van deze begrippen kunnen de volgende paragrafen overslaan en terug inpikken bij sectie 2.7 genaamd Elementaire bouwstenen. Voor wat betreft de technische uitleg van volgende paragrafen hebben we ons gebaseerd op: [Rescorla2000], [OPT1997] en [DaviesEtAl1989]. 2.3 Encryptie gedecrypteerd Cryptology is de theorie van het ontwerpen van algoritmen die we gebruiken voor beveiligingsdoeleinden. Cryptografie bestudeert het gebruik van deze algoritmen met als doel systemen en protocols te beveiligen Inleiding Het concept van het beveiligen van berichten door cryptografie bestaat al een hele tijd. Julius Caesar is een van de eersten die cryptografische beginselen toepaste om militaire gegevens naar zijn generaals te sturen. Het ging hier dan vaak over verschuivingen van letters: A C B D Y A Z B (verschuiving van 2 letters) Waarbij het geheim, de sleutel, dan voorstelde hoeveel plaatsen de letters in het alfabet opschuiven. Doorheen de geschiedenis staat één probleem centraal dat de mogelijkheden van cryptografie drastisch beperkt heeft, het zogenaamde sleutelmanagementprobleem: hoe kan je het geheim veilig overbrengen naar de communicerende partij? Publieke sleutel cryptografie, ook wel bekend als asymmetrische encryptie, biedt hier een aantal oplossingen voor aan. In moderne systemen staat de sleutel voor een numerieke waarde die door het algoritme gebruikt wordt om de informatie te veranderen, waardoor de informatie enkel leesbaar wordt voor mensen die een sleutel in hun bezit hebben. Deze situatie wordt afgebeeld in Figuur

17 Een thesis geschreven in het kader van privacy & beveiliging. Plaintext @~!<} =- Ciphertext Figuur 2.2: Plaintext versus ciphertext (geëncrypteerde data) Symmetrische encryptie Symmetrische encryptie, ook wel geheime sleutel cryptografie (Secret Key Cryptography) genoemd, gebruikt dezelfde sleutel voor encryptie en decryptie. Het is dus belangrijk dat de sleutel enkel gekend is door gemachtigde gebruikers. Het idee is simpel: een encryptie-algoritme krijgt als input gegevens (de zgn. plaintext) en zet die om in ciphertext met behulp van een sleutel. De ciphertext ziet eruit als willekeurige data en op de lengte van de tekst na, kan je niks van de plaintext afleiden uit de ciphertext Plaintext Encrypteren met Decrypteren met Ciphertext sleutel A sleutel A Plaintext Figuur 2.3: Symmetrische encryptie Om de ciphertext dan weer om te zetten in de plaintext, kan de bestemmeling gebruik maken van dezelfde sleutel. Er bestaan een aantal verschillende symmetrische encryptie algoritmen, die kunnen geclassificeerd worden in 2 groepen: Stream ciphers Deze algoritmen werken byte-geörienteerd. De encryptiesleutel wordt intern eerst omgezet tot een zogenaamde keystream. Daarna combineer je telkens 1 byte van de keystream met 1 byte van de plaintext en zo bekom je een byte ciphertext. De combinatie-operatie wordt in dit voorbeeld voorgesteld door de XOR-operatie. C[i] = KS[i] M[i] Waarbij C[i] staat voor de i-de byte ciphertext, KS[i] staat voor de i-de byte uit de keystream (omdat de keystream vaak beperkt is in lengte moet de index i hier vaak modulo de lengte van de keystream worden gedaan) en M[i] staat voor de i-de byte van het bericht (de plaintext). De omgekeerde operatie ziet er dan uit als volgt: M[i] = KS[i] C[i] Merk wel op dat bovenstaand voorbeeld een vereenvoudigde voorstelling is van een stream cipher: meestal hangt het resultaat van een bewerking af van de geschiedenis van de berichtstroom, m.a.w. de waarde van C[i] hangt niet enkel af van M[i], maar ook van bepaalde elementen uit de sequentie M[0,,i-1]. RC4 is het meest verspreide stream cipher. De sleutellengte ervan mag variëren tussen 8 en 2048 bits. Ongeacht de lengte van de sleutel, wordt de sleutel intern omgezet naar een keystream aan de hand van een statetable. Dit zorgt ervoor dat of je nu gebruik maakt van een sleutel van 40 bit (exporteerbaar) of van 128 bit de snelheid van het algoritme niet verandert naargelang de sleutellengte. 11

18 Block ciphers Een block cipher daarentegen werkt met blokken data: 64 bits (8 bytes) plaintext worden geëncrypteerd tot 64 bits ciphertext. 8 bytes is een veel gebruikte blokgrootte, maar er bestaan ook blokgroottes van 64, 256, 1024 en 8192 bytes. Block ciphers kan je eenvoudig voorstellen d.m.v. 2 functies: een functie E (voor encryptie) en een D (voor decryptie). Elk van de 2 functies heeft 2 parameters: de sleutel (K) enerzijds en het te encrypteren/decrypteren datablok anderzijds (resp. voorgesteld door M en C). C = E(K, M) M = D(K, C) Meestal willen we echter berichten encrypteren die groter zijn dan 1 datablok. Vandaar dat we sequenties van datablokken gaan beschouwen. De meest eenvoudig manier om een sequentie datablokken te encrypteren is de zogenaamde Electronic Codebook (ECB) modus: C[i] = E(K, M[i]) M[i] = D(K, C[i]) Dit op zich is vrij eenvoudig, maar het heeft 1 groot nadeel: stel dat 2 datablokken M[j] en M[k] hetzelfde zijn (voor i j), dan zijn C[j] en C[k] eveneens hetzelfde. Als dit patroon vaak voorkomt, dan kan een aanvaller hieruit iets leren over de plaintext. Deze eigenschap zouden we liever niet hebben. Cipher Block Chaining (CBC) modus lost dit probleem op: de encryptie van een blokje plaintext hangt af van de ciphertext van het vorige geëncrypteerde blokje. C[i] = E(K, M[i] C[i 1]) M[i] = D(K, C[i]) C[i-1] Op deze manier zullen 2 identieke blokjes plaintext normaal gezien niet tot eenzelfde blokje ciphertext leiden. Wat moeten we nu echter doen met het eerste blokje plaintext dat we willen encrypteren? We kunnen hier immers niet terugvallen op C[i-1] Om dit eerste blokje te encrypteren gebruiken we daarom een random gegenereerd datablokje, de zogenaamde initialization vector (IV). ECB en CBC zijn niet de enige modi voor gebruik met block ciphers. Enkele andere zijn: Output Feedback (OFB) en Cipher Feedback (CFB). Maar in het kader van de algoritmen die SSL ondersteunt, is CBC de meest relevante. Laten we nu nog even kort kijken naar een aantal veel gebruikte block ciphers: Veruit het meest gebruikte symmetrische cipher is de Data Encryption Standard (DES). Analytisch gezien zijn er geen zwakheden bekend voor DES, niettemin wordt DES vandaag de dag als vrij zwak beschouwd, in zekere zin door de beperkte sleutellengte (56 bit). Met een klein gedistribueerd systeem van commercieel beschikbare computers kan een DES sleutel vandaag te dag in minder dan 24 uur teruggevonden worden. Vandaar dat DES enkel gebruikt mag worden voor gegevens met een beperkte waarde of een beperkte levensduur. Omdat DES op zich geen zwakheden vertoonde, maar enkel de sleutellengte te beperkt werd geacht, dacht men eraan om de data meer dan 1 keer door het algoritme te sturen, een proces dat superencryptie heet. Echter, 2 keer DES toepassen bleek niet veel krachtiger te zijn dan DES één enkele keer toepassen, met als gevolg dat men ging kijken naar 3 keer DES toepassen. Triple DES (3DES) heeft een effectieve sleutellengte van 112 bits (de sleutel is wel 128 bits groot, maar voor elke 7 bits bestaat een parity check bit). In 1997 schreef het NIST (National Institute of Standards and Technology) een opdracht uit voor een nieuw symmetrisch encryptie-algoritme uit, dat op termijn de opvolger wordt van DES. Sindsdien is bekend geworden dat uit een tiental inzendingen het Rijndael algoritme 12

19 van Vincent Rijmen en Joan Daemen uitgekozen is. Deze nieuwe encryptiestandaard is bekend onder de naam Advanced Encryption Standard (AES) Asymmetrische encryptie Het grootste probleem van symmetrische encryptie is dat voordat enige beveiligde verbinding tot stand kan komen, beide partijen eerst een gemeenschappelijke geheime sleutel moeten bekomen. Voor kleinschalige systemen (bv. binnen een organisatie) vormt dit geen probleem, maar in een publiek netwerk waar miljoenen mensen met elkaar willen communiceren is deze oplossing duidelijk ontoereikend. Een grote vooruitgang werd geboekt toen in 1976 de zogenaamde publieke sleutel cryptografie (Public Key Cryptografie) werd uitgevonden. Dit principe werd voor het eerst beschreven in New Directions in Cryptography [Diffie1976]. Het basisidee is dat je aparte sleutels gebruikt voor de encryptie en de decryptie van berichten. De sleutel waarmee je encrypteert stel je ter beschikking van iedereen de publieke sleutel terwijl je de decryptiesleutel geheim houdt de private sleutel. Omdat je met 2 verschillende sleutels werkt, wordt deze vorm van cryptografie ook wel asymmetrische encryptie genoemd. Publieke sleutel partij B Private sleutel partij B Plaintext Encryptie Ciphertext Decryptie Plaintext Partij A Partij B Figuur 2.4: Asymmetrische encryptie Beschouwen we Figuur 2.4: als partij A met partij B wil communiceren, kan A de publieke sleutel van B opvragen en hiermee de berichten versleutelen. Verondersteld wordt dat B de enige is die in het bezit is van de private sleutel die aan hem werd toegekend: enkel partij B kan het bericht ontcijferen. Het gevolg hiervan is dat iedereen jou een versleuteld bericht kan versturen, zonder dat je de persoon in kwestie ooit hebt moeten ontmoeten (of er op een veilige manier een sleutel mee hebt moeten uitwisselen). Deze techniek lost het sleutelmanagementprobleem dus op. Een kleine anekdote over publieke sleutel cryptografie: In 1998 is bekend geworden dat een van de agentschappen van de Britse geheime dienst, meer bepaald de Communications-Electronics Security Group (CESG) tussen 1970 en 1974 onderzoek heeft gedaan naar publieke sleutel cryptografie. In 1974 hadden ze hun non-secret encryption of NSE op punt gesteld. De resultaten hiervan bleven tot 1998 geheim en de academische wereld heeft de technieken heruitgevonden (New Directions in Cryptography verscheen in 1976 [Diffie1976]). Interessant is wel dat de technieken van NSE in grote mate overeenkomen met het Diffie-Hellman algoritme en een variant van RSA. Laten we nog even kort kijken welke asymmetrische algoritmen we zoal kunnen tegenkomen: RSA is ongetwijfeld het meest bekende asymmetriche algoritme. Het werd in 1977 uitgevonden door Ron Rivest, Adi Shamir en Len Adelman. Volgens het RSA systeem bestaan publieke sleutels uit 2 getallen: de modulus (n) en de publieke exponent (e). De modulus is het product van 2 heel grote priemgetallen, voorgesteld door p en q (p en q blijven allebei geheim). De veiligheid van RSA bestaat eruit dat het computationeel gezien heel moeilijk is om n te factoriseren in p en q. De private sleutel is een ander getal, aangeduid met d, dat enkel berekend kan worden als je p, q en e kent. Als we over de sleutellengte van de RSA sleutel spreken, dan hebben we het over de 13

20 lengte van de modulus. De RSA publieke exponent moet relatief priem zijn t.o.v. e en (p-1)(q-1). Gemakkelijkheidshalve wordt e meestal gekozen uit een beperkte aantal priemgetallen (3, 17 of 65637). Een kleine waarde voor e maakt de publieke sleutel operaties aanzienlijk sneller. Als e gekozen is, kan men d als volgt berekenen: d = e -1 mod ((p-1)(q-1)) Om een bericht M te encrypteren met een publieke sleutel (e, n), bereken je: C = M e mod n Om de decrypteren: M = C e mod n Afzender Publiek Bestemmeling Priemgetallen: p en q n e n e n = p q Sleutels: d, e (priem t.o.v. p-1 en q -1) d = e -1 mod ((p-1)(q-1)) Bericht M C = M e (mod n) Versleuteld C Ontcijferd M = C e (mod n) Figuur 2.5: Overzicht van RSA Volledigheidshalve vermelden we ook het 2de meest gebruikte asymmetrische algoritme, nl. Diffie-Hellman (DH). Dit was het eerste publieke sleutel algoritme dat ooit gepubliceerd werd [Diffie1976]. In het kader van onze technische analyse van SSL vallen we meestal terug op RSA, vandaar dat we geen technische details van DH zullen bespreken Symmetrisch versus asymmetrisch Asymmetrische encryptie wordt meestal in tandem gebruikt met symmetrische encryptie. Publieke sleutel cryptografie biedt het voordeel dat het een goede oplossing biedt voor het sleutelmanagementprobleem. Echter, enkel asymmetrische encryptie toepassen is duidelijk ook niet de oplossing, want symmetrische encryptie is veel efficiënter (computationeel gezien minder zwaar) [Rescorla2000, p.41]. Vaak wordt asymmetrische encryptie dan ook enkel gebruikt om een bepaald geheim over te brengen naar een correspondent met wie je geen gemeenschappelijke geheime sleutel hebt. Zodra dit geheim is overgebracht, kan er worden overgeschakeld op symmetrische encryptie. Een extra opmerking is hier misschien wel aan de orde: de sleutellengtes voor asymmetrische algoritmen zijn absoluut niet vergelijkbaar met die voor symmetrische encryptie. Sleutellengtes voor asymmetrische encryptie liggen typisch tussen 512 en 2048 bits, terwijl deze voor symmetrische encryptie algemeen genomen tussen 40 en 192 bit liggen. Dit wil zeker niet zeggen dat symmetrische algoritmen zwakker zijn, integendeel, asymmetrische algoritmen zijn over het algemeen zwakker. Voor een performantie-overzicht van symmetrische en asymmetrische algoritmen verwijzen we naar Appendix A. 14

21 2.4 Message digest Message digests worden voornamelijk gebruikt voor digitale handtekeningen en message authentication codes (MACs): deze 2 technieken bespreken we in de volgende 2 secties. Een message digest is een functie die een string van variabele lengte omzet in een string met constante lengte (= de message digest); meestal wordt getracht om de message digest redelijk kort te houden. De output van de functie noemt men karakteristiek voor het oorspronkelijke bericht. Een goed algoritme voor message digests voldoet aan de volgende 2 eigenschappen: De belangrijkste eigenschap is onomkeerbaarheid. Hiermee wordt bedoeld dat het heel erg moeilijk moet zijn om het oorspronkelijke bericht terug te vinden als je enkel de message digest kent. Intuïtief begrijpen we dat de message digest niet genoeg informatie meer bevat om het oorspronkelijke bericht te recreëren (door de beperkte lengte van de digest). Een digest algoritme is veilig als het moeilijk is om eender welke van de oorspronkelijke berichten van een gegeven digest te achterhalen. Een tweede kenmerk van een digest algoritme is dat het moeilijk moet zijn om 2 berichten M en M te vinden die resulteren in dezelfde digest: dit noemt men de botsweerstand van het algoritme. Algemeen genomen kan je stellen dat voor een 128-bit digest, er 2 64 operaties nodig zijn om een botsing tegen te komen. De meest gebruikte message digest algoritmen zijn Message Digest 5 (MD5) en Secure Hash Algorithm 1 (SHA-1), deze 2 algoritmen produceren een output die respectievelijk 128 bit en 160 bit lang is. De term hash algoritme wordt vaak in dezelfde context gebruikt als message digest algoritme: de 2 technieken zijn gelijkaardig. 2.5 Digitale handtekening In paragraaf 3 hebben we het verschil gezien tussen symmetrische en asymmetrische encryptie. Symmetrisch encryptie is gebaseerd op het feit dat de communicerende partijen op de hoogte zijn van een gemeenschappelijk geheim en daaruit volgt onmiddellijk dat ze elkaar dermate vertrouwen dat authenticatie eigenlijk geen probleem vormt. In het publieke sleutel cryptografie verhaal is er echter geen sprake van automatische authenticatie, immers iedereen kan over de publieke sleutel van een correspondent beschikken (het certificaat dat de publieke sleutel bevat, wordt immers gepubliceerd) en daarmee een bericht versleutelen je hebt op die manier geen enkel idee van wie het bericht versleuteld heeft. Vreemd genoeg vormt asymmetrische encryptie toch het antwoord op het authenticatieprobleem! Laten we eens kijken hoe In het normale schema wordt het bericht versleuteld m.b.v. de publieke sleutel, zodat enkel de bestemmeling die beschikt over de corresponderende private sleutel het bericht kan ontcijferen. Als het bericht nu echter versleuteld wordt d.m.v. de private sleutel, dan kan iedereen weliswaar het bericht ontcijferen m.b.v. de publieke sleutel, maar je kan wel vaststellen wie het bericht versleuteld heeft en op die manier onomstotelijk de authenticiteit van het bericht vaststellen. 15

22 Let op de volgorde! Private sleutel partij A Publieke sleutel partij A Plaintext Encryptie Ciphertext Decryptie Plaintext Partij A Partij B Figuur 2.6: Schematische voorstelling van een digitale handtekening In bovenstaand denkproces zitten echter nog een aantal lacunes: Als je enkel encrypteert met je private sleutel, dan kan iedereen het bericht lezen, want de overeenkomstige publieke sleutel is vrij verkrijgbaar. Als we Figuur 2.6 volgen zouden we eerst de publieke sleutel van Partij B moeten gebruiken om te encrypteren, waarna we nog eens encrypteren met de private sleutel van Partij A. Aangekomen bij Partij B kunnen we dan het bericht ontcijferen door de omgekeerde operaties uit te voeren op de ciphertext. Bovendien zijn publieke sleutel cryptografische operaties duur: computationeel gezien zijn ze veel zwaarder dan symmetrische encryptie-operaties, vandaar dat we de grootte van de berichten die we wensen te encrypteren d.m.v. asymmetrische encryptie willen beperken Wat betreft de gebruikte algoritmen kunnen we stellen dat RSA vaak gebruikt wordt, evenals de Digital Signature Standard (DSS; vroeger ook wel bekend onder Digital Signature Algorithm (DSA)). DSS is gebaseerd op Diffie-Hellman principes. 2.6 Message Authentication Code (MAC) Als 2 partijen op een beveiligde manier met elkaar willen communiceren, volstaat het niet om de gegevens simpelweg te encrypteren. Een geëncrypteerde gegevensstroom kan onderweg op redelijk eenvoudige wijze worden aangepast. Hierdoor verandert uiteraard ook de betekenis van de plaintext die de bestemmeling verkrijgt na decryptie van het verknoeide bericht. Wat we eigenlijk nodig hebben is zekerheid dat er onderweg niet met het bericht geknoeid werd, i.e. we willen de integriteit van het berichten verzekeren. Bovendien zouden we ook een efficiëntere manier willen voor digitale handtekeningen om de authenticiteit van het bericht te verzekeren. Een message authentication code of MAC is eigenlijk precies wat we zoeken. Een MAC combineert twee technieken die we net hebben besproken, namelijk de message digest en de digitale handtekening. de message digest zorgt ervoor dat het oorspronkelijke bericht verkleind wordt tot 128 of 160 bits. de digest kan je onversleuteld versturen, het is immers heel moeilijk om het oorspronkelijke bericht af te leiden als je enkel de digest kent. je kan de digest voorzien van een digitale handtekening, dit heeft als voordeel dat kostelijke private sleutel operatie beperkt blijft qua omvang (een digest is typisch 128 of 160 bits lang) 16

23 Afzender Bericht Hash functie Message Digest Handteken functie Private sleutel verzender Bericht MAC Bestemmeling Bericht MAC Hash functie Verificatie functie Publieke sleutel verzender Message Digest Gelijk? Gelijk Niet gelijk Aanvaarden Niet aanvaarden Figuur 2.7: Message authentication code (MAC) schema Figuur 2.7 laat alle stappen zien van het MAC mechanisme. Aan de hand daarvan kunnen we duidelijk zien hoe de MAC zijn werk doet: Als er onderweg geknoeid werd met het bericht en/of de MAC, dan zal aan de zijde van de bestemmeling de test falen, immers de message digest van het bericht en de message digest uit de MAC zullen verschillend zijn. Hiermee wordt de integriteit bevestigd. Als het bericht niet van de bedoelde afzender komt, dan zal de gelijkheidstest ook falen, want de digest uit de MAC zal niet overeenkomen wegens het gebruik van een verkeerde publieke sleutel. Hiermee wordt de authenticiteit gegarandeerd. 2.7 Een overzicht van de elementaire bouwstenen In de vorige subsecties hebben we een aantal elementaire cryptografische technieken besproken. De vraag is nu: kunnen we met deze principes voldoen aan de 5 vereisten die we in sectie 2.2 voorop hebben gesteld? 1) Vertrouwelijkheid Aan deze eigenschap kunnen we voldoen door (a)symmetrische encryptie te gebruiken. Enkel de personen die op de hoogte zijn van de geheime (of private sleutel in het geval van asymmetrische encryptie) kunnen het bericht ontcijferen. 2) Integriteit Hier kan de MAC voor zorgen door na te gaan of de message digest van het verstuurde bericht en die van de MAC wel hetzelfde zijn. 3) Authenticiteit Ook dit kan de MAC verzorgen: is de message digest van het verzonden bericht identiek aan die van de MAC als we de juiste publieke sleutel toepassen voor verificatie? 4) Continuïteit Voor wat betreft de continuïteit hebben we geen specifieke techniek gezien. Als we ons 17