IT Beveiliging. Thomas Van De Steene Pieter Sijmons Nils Van Butsel

Transcriptie

1 IT Beveiliging Thomas Van De Steene Pieter Sijmons Nils Van Butsel PROJECT eid SCH ICT2 25/03/2010

2 Inhoudsopgave Overzicht 3 Toepassingen 3 Structuur en organisatie 4 Structuur 4 Organisatie 4 Certificaten 5 Velden 5 Versie 5 Serienummer van het certificaat 5 Algoritme voor handtekening 5 Verlener 5 Geldigheid 5 Onderwerp 5 Openbare sleutel (Public Key) 5 Beveiliging handtekening algoritmes 6 Sleutel paren 6 Hashing algoritmes 7 Beveiligingslekken 8 C#.NET Project 15 Gebruikte technologieën: 15 SHA AES (Advance Encryption Standard) 16 Programma 17 Algemeen 17 Authenticatie 18 Encryptie 18 Decryptie 19 2

3 Overzicht De e ID, eid of elektronische identiteitskaart is de nieuwe Belgische elektronische identiteitskaart. Op de kaart zit een chip, die allerlei extra informatie en functionaliteiten bevat. De elektronische identiteitskaart heeft het formaat van een bankkaart en bevat een chip. De kaart is vijf jaar geldig en draagt volgende visueel zichtbare informatie: nationaliteit van de houder identiteitskaartnummer naam incl. voornamen pasfoto, zowel gewoon afgedrukt als verwerkt tot watermerk geboortedatum en plaats (in feite geboortegemeente) geslacht identificatienummer van het rijksregister plaats van afgifte en handtekening van afgevende instantie uiterste geldigheidsdatum handtekening van de houder Het adres van de houder staat niet op de kaart vermeld, maar zit wel in de ingebouwde chip opgeslagen. Op kaarten die voor 1 januari 2004 zijn verstrekt, staat het adres wél afgedrukt. Op de chip staan, naast alle zichtbare informatie, ook nog: adres speciale status (verlengde minderjarigheid, gele of witte stok) adellijke titel (koning, prins, graaf, baron, etc.) X.509 PKI certificaten van de gebruiker voor de twee RSA sleutelparen: o een RSA sleutelpaar voor authenticatie (bewijs van identiteit d.m.v. een elektronische handtekening) o een RSA sleutelpaar voor wettelijk geldige elektronische handtekening X.509 PKI certificaten van de uitgever (Belgische staat) foto (JPEG formaat) Toepassingen Aan de identiteitskaart zijn een aantal certificaten gekoppeld, die kunnen gebruikt worden voor het authenticeren van de kaarthouder, om documenten elektronisch te ondertekenen met eenzelfde juridische waarde zoals een gewone handtekening, in te loggen op beveiligde sites van de overheid, belastingaangifte online invullen, etc. 3

4 Structuur en organisatie Structuur De eid hiërarchie is een hybride hiërarchie welke bestaat uit een combinatie van 2 en 3 lagermodellen. De hiërarchie dat beschikbaar is op de kaart bestaat uit 2 lagers, een zelf tekenende Belgium Root CA en een operationeel Citizen CA certificaat. De extensies die in het end user certificaat profiel zitten, zullen ook andere hiërarchieën ondersteunen om hergeconstrueerd te worden op een vertrouwde root welke aanwezig is op de meeste browsers (3 lagerhiërarchie). Organisatie Het Belgium Root CA is de identiteit die aangewezen is door de regering als primaire CA voor het beheer van andere eid CA s. Het Belgium Root CA is root gesigneerd door de GlobalSign Top Root onder de voorwaardes van het RootSigning contract. De CA operator zal het Belgium Root CA beheren en de eid CA sleutel paren en geassocieerde certificaten voorzien in samenwerking met het sleutel beheer beleid. Belgium Root CA, Citizen CA en citizen certificaten zijn bepaald door verschillende eid CPS documenten. 4

5 Certificaten De verschillende CA s zijn geprofileerd volgens het PKIX certificaat profiel, en bestaan uit 3 delen volgens het RFC 2459:tbs certificaat, handtekening algoritme en handtekening waarde. Velden We onderscheiden enkele velden die we aantreffen bij het certificaat. Versie Versie nummer van de X.509 aanbeveling. In het eid project wordt enkel V3 gebruikt. Serienummer van het certificaat Uniek serienummer voor het certificaat (lengte van maximaal 16 bytes) Wanneer een CA operator een check wil doen op de uniekheid van het certificaat, zal die dat moeten door vóór de certificatie request. Algoritme voor handtekening Dit veld specificeert welk cryptografisch algoritme gebruikt wordt door de CA om het certificaat te ondertekenen. Het algoritme wordt aangeduid door een internationaal uniek algoritme. In het geval van eid wordt SHA 1 gebruikt, met bijhorend nummer: Verlener Dit veld identificeert de instantie die het certificaat heeft verleend. Er wordt gebruikt gemaakt van bepaalde attributen, waaronder een serienummer en het attribuut C (country) en CN (Common Name). Het serienummer wordt toegekend door het RRN om de CA te identificeren. Geldigheid Toont de duur aan waarin de gebruiker het certificaat kan gebruiken, tenzij het certificaat is ingetrokken of opgeschort is. De geldigheid bepaald m.a.w. of een transactie als veilig kan beschouwd worden of niet, indien de geldigheid overschreden is. Onderwerp Dit veld toont de entiteit aan die de PK (Private Key) in handen heeft, die correspondeert met de gebruikte Public Key voor het certificaat. Openbare sleutel (Public Key) Toont aan welk algoritme gebruikt werd om de Public Key te genereren, bv RSA (1024 bits). 5

6 Beveiliging handtekening algoritmes Sleutel paren De sleutel paren in deze hiërarchie worden gegenereerd door gebruik te maken van RSA cryptografische algoritmes. De lengte van het Belgische Root CA en het Citizen CA certificaat bedraagt 2048 bits. Dit is ruim voldoende om veilige versleuteling te garanderen, we weten immers dat vanaf 128 bit het al zeer moeilijk is om de beveiliging te omzeilen. De Citizen certificatiesleutel paren zijn daarentegen slechts 1024 bit. De levensduur van de sleutels is gespecificeerd, net zoals de periode van geldigheid van de certificaten geassocieerd met de sleutels. De wiskundige details van de algoritmes die gebruikt worden voor het aanvragen van de publieke en private sleutel zijn beschikbaar op de RSA website. In het kort is dit het vermenigvuldigen van 2 grote priemgetallen en door extra operaties worden sets van 2 nummers (welke de publieke en private sleutel bevatten) verkregen. Eenmaal de sleutels aangemaakt zijn, zijn de originele priemgetallen niet langer belangrijk en worden deze vernietigd. De publieke en private sleutel worden gebruikt voor versleuteling en ontcijfering maar enkel de eigenaar van de private sleutel moet dit weten. Door dit systeem te gebruiken moet de private sleutel nooit over het Internet verstuurd worden. De private sleutel is gebruikt om de tekst te ontcijferen die versleuteld was met de publieke sleutel. Als men een bericht verstuurd naar een bepaald persoon, dan kan men de publieke sleutel (niet de private) van een centrale administrator terugvinden, een bericht hiermee versleutelen en dan versturen naar deze persoon. Als deze dit ontvangt, dan wordt het versleuteld bericht ontcijferd met de private sleutel van de persoon. Als toevoeging van berichtversleuteling (welke privacy garandeert), kan men zichzelf ook authentificeren aan iemand (zodat deze weet dat het zeker die persoon is die het bericht verstuurde) door de private sleutel te gebruiken om een certificaat te versleutelen. Wanneer dit bericht ontvangen is, kan door de publieke sleutel te gebruiken, het certificaat ontcijferd worden. 6

7 In deze tabel wordt nog eens alles overlopen: Om dit te doen Gebruik welke Soort sleutel Zend een versleuteld bericht Gebruik ontvangers Publieke sleutel Zend een versleutelde signatuur Gebruik zenders Private sleutel Ontcijfer een versleuteld bericht Gebruik ontvangers Private sleutel Ontcijfer een versleutelde signatuur en authentificeer de verzender Gebruik zenders Publieke sleutel Hashing algoritmes Een hashfunctie h converteert om het even welke grootte van invoer naar een vaste (kleinere) grootte van uitvoer. Er zijn zes benodigdheden voor een hash functie. Het moet alle lengtes accepteren van invoer Het moet een kleine, vaste grootte van uitvoer produceren (ongeveer 100 bits) Het moet eenvoudig en snel werken voor elke invoer Het moet een eenrichtingsfunctie zijn of onmogelijk om te inverteren. Zo is het dat als h(m) gegeven is, het enorm moeilijk is om m terug te vinden. Het moet zwakke botsingen weerstaan. Een botsing komt voor wanneer 2 verschillende invoerwaardes dezelfde uitvoerwaarde uitkomen. Het moet weerstand bieden aan sterke botsingen, wat wil zeggen dat het bijna onmogelijk moet zijn om 2 berichten m1 en m2 te hebben waarbij h(m1) = h(m2). Het hashing algoritme dat gebruikt wordt op de eid is SHA 1. Verder meer hierover. 7

8 Beveiligingslekken Welke de vele voordelen van de eid ook mogen zijn, vanzelfsprekend zijn er ook een hoop nadelen aan verbonden. Het grootste nadeel is dat op het vlak van privacy. Door het ter beschikking stellen van onze persoonlijke gegevens op een kaart (welke door vele lezers rechtstreeks kan gelezen worden) stellen we deze sterk ten vraag. Echter niet alleen de privacy kan geschonden worden, het kan ook aanleiding geven tot bedrog en dit kan vertrekkende gevolgen hebben voor de kaarthouder. Enkele problemen die onze aandacht vragen: Aangezien de twee certificaten in de kaart het rijksregisternummer bevatten, kunnen alle transacties waarbij de kaart gebruikt wordt, gelinkt worden aan de kaarthouder en aan elkaar. Wettelijk gezien mag men dit nummer niet gebruiken, maar de oplossing die door vele bedrijven wordt aangewend is het hashen van dit nummer. Er zijn echter slechts een beperkt aantal hash functies beschikbaar, zodat er nog steeds een uniek nummer geassocieerd wordt met elke persoon. Via dit nummer kunnen records uit verschillende gegevensbanken (van verschillende organisaties) met elkaar verbonden worden, wat aanleiding kan geven tot zeer uitgebreide gebruikersprofielen. Merk ook op dat de ontvanger van het certificaat uit het rijksregisternummer de geboortedatum en het geslacht van de houder kan afleiden. Bij het ondertekenen van een document zal de ontvanger van de handtekening zowel de handtekening zelf als het certificaat moeten opslaan, om in geval van betwisting te kunnen bewijzen dat de handtekening authentiek is. Bijgevolg moet het rijksregisternummer in leesbare vorm opgeslagen worden. Ook bij het ondertekenen van e mails is dit dus het geval. Een groot probleem van de kaart is dat er geen toegangscontrole voorzien is op de kaart zelf. In principe kan elke toepassing, zonder toestemming van de burger, de drie bestanden (digitale foto, identiteitsgegevens en adres) en de twee certificaten uitlezen. Fedict heeft dit probleem proberen op te lossen via een programma, de privacy service, die de kaartlezer vergrendelt en toepassingen verplicht gebruik te maken van de Fedict software. De Fedict software zal bij "sommige" uitleesoperaties de toelating aan de gebruiker vragen. Dit is echter niet waterdicht. In bepaalde gevallen kan het stiekem uitlezen van de kaart tot gevaarlijke situaties leiden. Aangezien de kaart geen toegangscontrole uitvoert, wordt het problematisch wanneer de burger zijn eid kaart op een andere (vreemde) computer moet gebruiken. Daar heeft men helemaal geen controle over welke software1 er al dan niet draait. Voor authenticatie voorziet de kaart "single sign on" (SSO), dit betekent dat men slechts eenmaal zijn PIN code ingeeft, en daarna een onbeperkt aantal keren kan authenticeren. Alhoewel dit misschien "gebruiksvriendelijk" lijkt, houdt het enorme risico's in voor de kaarthouder. In principe kan men in het configuratie bestand aangeven dat 'single sign on' niet toegelaten is. De gebruiker zal dan voor elke authencatie een PIN code moeten ingeven. Helaas werkt dit niet. Bij nazicht in de broncode, blijkt dat deze optie onvolledig 8

9 geïmplementeerd is! Bij het afzetten van SSO lukt authenticatie helemaal niet meer. Mocht dit "afzetten van de SSO" toch voorzien zijn in de software, dan blijft dit flagrante misbruik toch mogelijk indien de applet of toepassing geen gebruik maakt van de software die door Fedict geleverd wordt, maar rechtstreeks de kaartlezer aanspreekt. Een belangrijk nadeel aan het gebruik van de eid kaart is dat men als gebruiker de software moet vertrouwen dat ze de correcte informatie verschaft over de operatie die uitgevoerd zal worden op deze kaart. De software kan de gebruiker misleiden (dit is niet zo moeilijk aangezien men rechtstreeks de driver van de kaartlezer kan aanspreken, zonder gebruik te maken van de software van Fedict). Doordat dezelfde PIN code gebruikt wordt voor authenticatie en het plaatsen van een handtekening, kan de gebruiker bedrogen worden. De toepassing kan de gebruiker vragen om zich te authenticeren, terwijl aan de kaart gevraagd wordt om iets te ondertekenen. Aangezien de handtekeningen wettelijk erkend worden, kan dit verregaande gevolgen hebben voor de betrokken burger. Het is niet noodzakelijk om de software die door Fedict geleverd wordt te installeren en op te starten om gebruik te kunnen maken van de eid kaart. Tegenmaatregelen die dus uitsluitend gerealiseerd worden door Fedict software kunnen redelijk eenvoudig omzeild worden. Alleen wanneer de privacy service draait op de PC, kan verhinderd worden dat toepassingen rechtstreeks de kaartlezer aanspreken. Het is echter niet moeilijk om de privacy service af te zetten. Het kan zelfs stiekem gebeuren zonder dat de gebruiker hiervan weet heeft. Op de meeste computers heeft de gebruiker administratieve rechten, waardoor men onbeperkt configuratie bestanden kan aanpassen, nieuwe programma's kan installeren, weglaten of zelfs wijzigen. Bijvoorbeeld spyware kan ervoor zorgen dat de privacy service bij de volgende opstart van de computer niet meer automatisch gestart wordt. Bij authenticatie wordt alleen de eerste keer een PIN code opgevraagd. De gebruiker blijft in het ongewisse welke toepassing de authenticatie opstart, en met welke site authenticatie zal gebeuren. Dit kan aanleiding geven tot misbruiken die eerder reeds vermeld werden: bijvoorbeeld de gebruiker denkt dat hij inlogt op site XYZ, maar in plaats daarvan logt de toepassing in op TaxOnWeb. Vanaf de tweede authenticatie wordt er geen venster meer getoond en blijft de authenticatie verborgen voor de gebruiker. Op de meeste computers is slechts een primitieve kaartlezer aanwezig: d.w.z. een kaartlezer zonder venster en zonder pinpad5. Het is ook dit type kaartlezer dat door de overheid gratis aan kinderen werd ter beschikking gesteld. Aangezien er geen venster aanwezig is, kan de gebruiker niet controleren wat er precies aan de kaart gevraagd wordt, en eventueel een operatie onderbreken (via een abort toets). Doordat er geen pinpad aanwezig is, moeten PIN codes via het klavier van de computer in een pop up venster worden ingebracht. Spyware en keyboard loggers kunnen toetsaanslagen onderscheppen. Hierdoor beschikken ze over de PIN code en kunnen ze deze later misbruiken. Een toepassing zou dan zonder dat de gebruiker dit merkt, kunnen inloggen in tal van websites en de eid kaart bestanden laten ondertekenen! 9

10 Helaas moeten we vaststellen dat de beveiliging van de meeste computers slecht is: vaak is er zelfs geen up to date antivirus programma noch een degelijke firewall aanwezig. Op de meeste computers draait een of andere variant van Windows, en vaak heeft de gebruiker administratieve rechten. Spyware, virussen en andere schadelijke programma's die de gebruiker ongewild binnenhaalt, kunnen dus onbeperkt wijzigingen aanbrengen aan de configuratie bestanden en toepassingen installeren, wijzigen of weglaten; dus ook de privacy service en de eid software. Het is erg riskant om een digitale handtekening te plaatsen op een dergelijke computer. Als deze handtekening al bewust door de gebruiker geplaatst is, dan nog bestaat de kans dat de gebruiker een ander bestand ondertekent dan hij/zij vermoedt. Verder stellen we ons nog de volgende vraag: Als de gebruiker zijn paswoorden verliest, dan kunnen deze teruggeplaatst worden door het gemeentebestuur. Deze paswoorden moeten dus ergens opgeslagen staan waar men ze kan raadplegen. Wie kan dat allemaal? En wat als je je kaart verliest? Dan krijg je dezelfde kaart met dezelfde certificaten? Dus die staan ook ergens opgeslagen Waar? De eigenlijke technische implementatie van eid is vele malen doorverwezen aan bedrijven die onder sub contract staan met de overheid waardoor de eid database beheerd wordt door een Amerikaans bedrijf. Als we sniffen op ons eigen netwerk dan zien we dat bij check van de certificaten inderdaad gesurft wordt naar ip adressen buiten Belgisch grondgebied. 10

11 IT Beveiliging: Project eid 25/03/2010 Ter illustratie bekijken we nog enkele situaties die het gebruik van eid in vraag stellen: 11

12 12

13 Om af te sluiten refereren we naar een artikel welke ons toch enigszins geruststelt en de probleempunten deels nuanceert De beveiliging blijft echter een discussiepunt en naarmate we de kaart verder gaan gebruiken in onze samenleving moeten sommige zaken ernstig worden herbekeken. Persbericht De Elektronische Identiteitskaart is Veilig officieel antwoord van kul onderzoeksgroe COSIC, K.U.Leuven, 13 juni 2008 Recente berichten in de pers geven aan dat de elektronische identiteitskaart gemakkelijk te kraken zou zijn. Er wordt beweerd dat men zich met een gekraakte chip kan uitgeven voor zijn buurman en dan ook diens belastingaangifte kan bekijken. Deze berichten zouden steunen op een bijdrage van het team van Prof. Bart De Decker (Dept. Computerwetenschappen, K.U.Leuven) die deze week gepresenteerd werd op de European e ID Card Conference in den Haag. Deze beweringen zijn volledig uit de lucht gegrepen. Er is op dit moment geen enkele methode bekend om de beveiliging van de elektronische identiteitskaart te kraken; bij de huidige stand van zaken in de wetenschap is het niet mogelijk om gevoelige gegevens (geheime sleutels) uit de chip te halen die het mogelijk maken om zich als iemand anders voor te doen of om digitale handtekeningen te vervalsen. De beveiligingsarchitectuur van de elektronische identiteitskaart is ontworpen en geverifieerd in samenwerking met verschillende onderzoekers van de K.U.Leuven (Prof. Jos Dumortier, ICRI en Prof. Bart Preneel en Danny De Cock, COSIC). Juist zoals een papieren elektronische identiteitskaart of een bankkaart met chip bevat een elektronische identiteitskaart gevoelige gegevens over een persoon (zoals het adres en het rijksregisternummer). De meest gevoelige gegevens laten toe om persoonsgegevens te raadplegen (gegevens in het rijksregister, tax on web) en om documenten elektronisch te ondertekenen. Deze functies zijn beveiligd door een geheime code (de PIN code), die zorgvuldig beschermd moet worden. Het is belangrijk dat de gebruiker met de nodige voorzichtigheid omspringt met een elektronische identiteitskaart, juist zoals hij dat doet met zijn bankkaart of kredietkaart. Dit houdt in dat men thuis een veilige kaartlezer moet gebruiken (bij voorkeur met eigen scherm en toetsenbord). Daarnaast moet men zijn PC correct beheren en de basisregels van goed gebruik respecteren: software en besturingssysteem geregeld updaten, een anti virus en anti spyware programma gebruiken en tenslotte voorzichtig zijn bij het bezoeken van websites of bij het installeren van nieuwe toepassingen. Deze regels gelden niet alleen voor het gebruik van de elektronische identiteitskaart, maar voor alle toepassingen op een PC zoals internetbankieren. Aan de andere kant is het belangrijk om te begrijpen dat 100% perfecte veiligheid niet bestaat. De zwakste schakel in het gebruik van de elektronische identiteitskaart is zeker niet de kaart zelf, maar de software die de kaart aanstuurt (de middleware) en de toepassingen. Software is nooit perfect, maar de huidige software aangeboden door Fedict wordt geregeld geëvalueerd; als er problemen zijn, worden die snel en efficiënt opgelost. Op dit moment is er geen enkel incident bekend waarbij de kaart zelf zou aangevallen zijn. Bij het ontwikkelen van de software moet men ook keuzes maken: gaat men aan de gebruiker voor elke identificatie zijn PIN code vragen of gaat men dit maar doen als er naar een nieuwe website gesurfd wordt? Deze beslissing wordt genomen op basis van een afweging tussen de de gebruiksvriendelijkheid en risico s; hierbij is het van belang om deze risico s grondig te evalueren. Om de programmeurs te helpen bij het maken van deze keuzes is er door een aantal bedrijven een document ontwikkeld Best Practices for Applications using the electronic Identity Card (eid). Tenslotte is het belangrijk om aan te geven dat voor authenticatie van 13

14 gebruikers het alternatief heel vaak gebruikersnaam en paswoord is. Het is overduidelijk dat dit veel minder veiligheid biedt (en ook eisen oplegt aan het correct beheer van de computer). Conclusie: de recente berichten in de pers zijn onjuist. Op dit moment is het absoluut niet mogelijk om de elektronische identiteitskaart te kraken. Het is wel zo dat de kaart een element vormt in een complex beveiligingssysteem; de risico s bij het gebruik van de kaart moeten correct afgewogen worden, maar het is bij de huidige stand van zaken van de wetenschap perfect mogelijk om met de bestaande software en hardware een adequaat beveiligingsniveau te bereiken. Aanvulling: antwoord op een aantal opmerkingen in de studie van Prof. De Decker De studie van Prof. De Decker suggereert dat de elektronische identiteitskaart een stap is naar Big Brother. Op dit moment is er geen enkele aanwijzing dat dit het geval is; de Belgische overheid springt zeer zorgvuldig om met de gegevens van de burgers. In eerste instantie is er een adequate juridische bescherming die het gebruik van het rijksregisternummer beperkt (onder controle van de privacycommissie). De K.U.Leuven heeft in opdracht van Fedict een technische oplossing uitgewerkt om voor elke toepassing een specifiek applicatienummer te gebruiken dat verschillend is voor elke toepassing en dat niet gekoppeld kan worden aan het rijksregisternummer of aan enig ander nummer. Daarnaast is het zo dat het gebruik van een elektronische identiteitskaart in de toekomst een nog betere privacybescherming kan bieden door gesofisticeerde beveiligingstechnieken die bijvoorbeeld toelaten om met behulp van de kaart te bewijzen dat men ouder is dan 18 jaar zonder enige andere informatie vrij te geven. Dit wordt o.a. bestudeerd in het IWT project ADAPID (geavanceerde toepassingen van de elektronische identiteitskaart) dat geleid wordt door de onderzoeksgroep COSIC van de K.U.Leuven ( De studie wijst er ook op dat indien men zijn kaart in de kaartlezer stopt, de basisgegevens (digitale foto, identiteitsgegevens, adres) leesbaar zijn door software die actief is op de PC. Het zou zeker niet gebruiksvriendelijk zijn om deze gegevens maar beschikbaar te stellen als de gebruiker een PIN code zou ingeven: dat zou bijvoorbeeld bij een grenscontrole heel onpraktisch worden. Dit verschilt niet met de papieren kaart, waar de basisgegevens ook leesbaar zijn als men de kaart bekijkt. Net zoals men deze kaart niet zomaar aan iedereen overhandigt, moet men ook voorzichtig zijn bij het gebruik van de elektronische kaart. Daarnaast biedt Fedict een privacy service, die de kaartlezer vergrendelt en toepassingen verplicht om gebruik te maken van de Fedict software. Deze beveiliging is zoals alle beveiliging in software niet 100% waterdicht, maar biedt volgens ons een redelijk niveau van bescherming tegen aanvallen door kwaadaardige software en hackers. De meeste PCs bevatten heel wat meer persoonlijke informatie (financiële gegevens, foto s, adresbestanden) die meestal helemaal niet bijkomend beveiligd zijn. 14

15 C#.NET Project Gebruikte technologieën: SHA256 Eén van de meer bekendere hash algoritmes is het zogenaamde Secure Hash Algorithm, kortweg SHA genaamd. Een hash algoritme verschilt van een encryptie algoritme door het feit dat de 1 e enkel een one way functie omschrijft: wanneer een stuk tekst of file moet worden omgezet, kan deze na de hashing niet meer teruggevonden worden (althans, dat is de bedoeling). Een ander kenmerk is dat een hash altijd een zelfde lengte output, ongeacht de grootte van de file. SHA werd ontworpen door niemand minder dan de NSA (National Security Agency) in Amerika. Deze eerste versie stond bekend onder de naam SHA 0. Kort nadat deze nieuwe standaard was uitgebracht in 1995, werd er een update gedaan door het NIST (National Institute of Standards and Technology) ter verbetering van de cryptografische veiligheid van het algoritme: SHA 1 zag het daglicht. Hoewel er medegedeeld werd dat er fouten of tekortkomingen verholpen waren, deelde men niet mee welke deze tekortkomingen juist waren Tegenwoordig is het mogelijk om SHA 0 en zijn nauw verwante broer SHA 1 te kraken, hoewel die laatste net iets moeilijker is (wat dus ook de bedoeling was na de herpublicatie van de SHA 0 versie). Nog voor er wiskundig bewijs was dat SHA 1 te kraken viel (dit werd pas bekend in 2005), was men reeds begonnen aan een opvolger ervan: de SHA 2 familie was geboren. SHA 2 is een overkoepelende naam voor een 4 tal varianten die enkel verschillen in de lengte van hun output, de zogenaamde digest length: SHA 224, SHA 256, SHA 384, en tenslotte SHA 512. In ons project werd geopteerd voor de gulden middenweg, namelijk SHA 256. Vbn van het gebruik van SHA 2: Authenticatie van gearchiveerde videobeelden in International Criminal Tribunal of the Rwandan genocide Authenticatie van de Debian Linux distributie (SHA 256); ook gebruiken meer en meer Linux varianten SHA 256 om allehande paswoorden te hashen 15

16 AES (Advance Encryption Standard) AES kwam tot stand tijdens een internationale wedstrijd, georganiseerd door het Amerikaanse NIST(National Institute of Standards and Technology), toen DES (Data Encryption Standard) niet meer voldoende sterk leek als encryptie standaard. AES, bestaat uit een subset van het Belgische Rijndael algoritme. De 2 Belgen Rijmen en Daemen wonnen het van grote concurrenten, zoals IBM en RSA Security. AES is een mooi voorbeeld van symmetrische encryptie (=gebruik van 1 sleutel voor het encrypteren alsook het decrypteren). In het geval van AES is de minimum lengte hiervan 128 bit; andere groottes zijn bv 192 bit en 256 bit. Het algoritme werkt zelf met chuncks (blokken data) van 128bit. 16

17 Programma Algemeen Wij hebben een encryptie/decryptie programma gemaakt dat files op een computer kan encrypteren en decrypteren aan de hand van de eid van de gebruiker. De bedoeling van het programma is om persoonlijke files zodanig te encrypteren dat enkel de persoon die het origineel bestand heeft geëncrypteerd, de juiste eid kaart heeft en de pincode weet, het bestand kan decrypteren. Als encryptie methode hebben we gekozen voor AES met 256bit sleutels. Op de eid is RSA voorzien maar dit gebruiken we niet om meerdere redenen: Rsa is een asymmetrisch algoritme en zal dus eerder gebruikt worden voor transacties en dergelijke (handelingen tussen 2 partijen) Aangezien het hier steeds dezelfde persoon is die encrypteerd en decrypteerd hoeft dit niet voor ons Asymmetrische algoritmes zijn trager dan symmetrische AES 256 is een veelgebruikt algoritme om veilig bestanden te encrypteren (vind je onder andere terug in winrar, truecrypt ) Het is een extra beveiliging, daar men in eerste instantie misschien zou verwachten dat het programma gebruik maakt van de reeds aanwezige beveiligingsinfrastructuur. 17

18 Authenticatie Om de authenticiteit van de gebruiker te controleren, wordt de pincode gevraagd. Dit impliceert dus dat de huidige gebruiker zowel de eid kaart in bezit heeft en ook de pincode kent (wat we dus beschouwen als de rechtmatige eigenaar). Het feit dat iemand de eid kaart kan gestolen hebben, ligt buiten de bedoeling van het programma. Om te kijken of de kaart wel nog geldig is, zijn er 3 soorten certifiëring voorzien: niets, clr (Certificate Revocation List) of oscp (Online Certificate Status Protocol). De mogelijkheid om geen certifiëring te doen, is aanwezig omdat zowel clr als oscp internetverbinding nodig hebben om te werken. Dit heeft tot doel om de geldigheid van de certificaten op de eid te gaan bekijken en zodus ook de echtheid van de eid te verifiëren. Het is wel dus wel aangeraden om de certifiëring te gebruiken maar als de gebruiker geen internetverbinding heeft kan hij zo toch nog encrypteren en decrypteren. Encryptie Om correlatie tussen de uitgelezen informatie van de eid en de sleutel van het AES algoritme zo klein mogelijk te maken, hebben we ervoor gekozen om deze informatie te hashen. De uitgelezen informatie (geboortedatum, rijksregisternummer en achternaam) worden gehasht door het SHA256 algoritme. Handig hieraan is dat dit algoritme waardes van 256 bits teruggeeft, ideaal om als key te gebruiken in ons AES algoritme. Op de eid is er een hashfunctie aanwezig maar, deze maakt gebruik van SHA1 en is dus ten eerste minder veilig dan SHA256 en geeft ons ook slechts 160 bits terug, terwijl we voor onze encryptie 256 bits nodig hebben. Daar we als optie voor AES, kiezen voor CBC (cypher Block chaining) hebben we een Initiële vector nodig. Omdat deze 128bits groot moet zijn, gebruiken we dus de eerste helft van onze key. Het AES algoritme werkt op byte niveau, dit laat enerzijds toe om alle soorten bestanden in te lezen als een byte array en te versleutelen, maar anderzijds heeft dit ook een extra beveiligend effect daar de interne verbanden van het bestand zelf (bijvoorbeeld de woorden van een tekstdocument) volledig wegvallen. Na encryptie wordt de extensie aangepast naar.eis : dit is een onbekend formaat en zal dus geen standaard gerelateerde programma s hebben. Waardoor het bestand niet te openen lijkt. De originele extensie word geconverteerd naar een byte array en achter de geëncrypteerde bytearray geplaatst. 18

19 Daar extensies niet altijd even lang zijn (.txt en.docx ), staat op het einde van de volledige bytearray nog één aparte byte die aanduid hoelang de extensie is. Om te weten wie de eigenaar is van het document wordt na het encrypteren van de file, de SHA256 gehashte rijksregisternummer vooraan de byte array geplaatst (voor de eigenlijke file). Dit hashen zorgt er enerzijds voor dat we steeds een waarde krijgen van 256 bits, en dit is makkelijk om te weten welke bits we moeten bekijken tijdens decryptie. Anderzijds heeft dit tot gevolg dat de originele data niet zomaar te achterhalen is. Hadden we het rijksregisternummer gewoon geconverteerd naar een byte array, dan kon dit de veiligheid in het gedrang brengen aangezien een aanvaller hiermee reeds een deel van de sleutel zou hebben van het AES algoritme. Decryptie Voor de decryptie wordt er aanvankelijk gekeken of de eerste 256bits van de geëncrypteerde file overeenkomen met de SHA256 hash van het rijksregisternummer op de eid kaart. Indien dit zo is begint de decryptie, anders niet. Voor de eigenlijke decryptie worden dus de eerste 256 bits weggegooid. Evenals de extensie bytes die zicht achteraan de file bevinden. De decryptie is eigenlijk net hetzelfde als de encryptie: we hashen de informatie van de eid, geven dit door als key en IV aan het AES algoritme en ontsleutelen. Na de ontsleuteling wordt de originele extensie teruggezet zodat de file opnieuw kan geopend worden. 19