Encryptie & PKI

Via encryptie kan men gegevens op servers, werkstations, email en verbindingen beveiligen, door de gegevens onleesbaar te maken voor buitenstaanders met behulp van vergaande wiskundige formules. De meest gebruikte vormen van encryptie zijn:

1. Symmetrische encryptie:
Met één en dezelfde sleutel kan men een woord of een bericht versleutelen, zodanig dat enkel diegenen die over de sleutel beschikken het versleutelde bericht terug kunnen omvormen tot het originele bericht. Een nadeel van deze methode is dat ze moeilijk bruikbaar is voor bepaalde toepassingen: er is immers geen veilige manier om de gebruikte sleutel te verdelen naar andere Internetgebruikers, en het is niet aangewezen om een geheime sleutel uit te wisselen met meer dan één correspondent. De sleutellengte moet voldoende lang zijn; men zou immers kunnen proberen om met alle mogelijke sleutels een versleuteld bericht om te vormen naar het oorspronkelijk bericht, zodanig dat men de sleutel kent.

2. Asymmetrische encryptie:
Bij asymmetrische encryptie zijn er twee sleutels, te weten de publieke sleutel en de private sleutel. Men noemt asymmetrische encryptie dan soms ook publieke sleutel encryptie. De private sleutel moet geheim blijven: dit gebeurt meestal door de private sleutel te beschermen met een paswoord of met een PIN code van een smartcard of usb token. De publieke sleutel mag verspreid worden op het Internet, met de publieke sleutel alleen kan men niets doen. Het probleem met de publieke sleutel is dat hij gekoppeld moet worden aan een persoon of een bepaalde Internetdienst (webserver, stukje programmacode, ...). Het koppelen van een publieke sleutel aan een persoon of dienst gebeurt meestal door Certificate Authorities (afgekort CA).

PKI (Public Key Infrastructure)
Een CA zal een publieke sleutel van een persoon of dienst tekenen met de private sleutel van de CA, na verificatie van de identiteit van de persoon of dienst. Zo ontstaat een digitaal certificaat, een soort identiteitsbewijs op het Internet. CA's kunnen hun eigen publieke sleutel tekenen met hun private sleutel (een self-signed certificaat), of men kan een ketting van CA's opzetten, waarbij via een hierarchie of via een netwerk de ene CA een certificaat aanmaakt voor een andere CA (CA Chaining). Uiteindelijk zult u op één of andere manier het certificaat van één of meerdere CA's moeten vertrouwen. Private sleutels van CA diensten moeten uiteraard sterk beveiligd worden. Om een CA op te zetten bestaan er zuivere software oplossingen op traditionele computers (Linux en Windows), waarbij deze machines uiteraard serieus beveiligd moeten worden, ofwel bestaat er speciale hardware die dienst kan doen als CA. Gezien een CA de identiteit van gebruikers moet controleren, wat niet steeds eenvoudig is, voorzien de meeste commerciële CA's verschillende klassen van certificaten, waarbij de manier van identiteitscontrole (en de daarmee samenhangende verantwoordelijkheid/verzekering van de CA) verschilt.

Met behulp van asymmetrische cryptografie kan men meer doen dan enkel maar berichten versleutelen: men kan er ook digitale handtekeningen mee plaatsen. 
Certificaten worden meestal uitgereikt met een beperkte levensduur (bv. 1 jaar). Nadien moet men een nieuw certificaat aanvragen, of wordt het certificaat hernieuwd.

Wanneer een certificaat gekraakt wordt (de private sleutel wordt gestolen, en het paswoord dat de sleutel beschermt is eveneens gestolen), of wanneer er een vermoeden is dat een certificaat gekraakt zou zijn, of wanneer een certificaat verloren is (bv. harde schijf van een PC raakt stuk, en de gebruiker was vergeten een backup te maken van het certificaat), dan moet men het certificaat revoken (aangeven dat het certificaat niet meer geldig is). Een CA moet normaal een lijst bijhouden van certificaten die revoked werden, men noemt dit een certificate revocation list (CRL). De digitale certificaten op de revocation lists worden naar naar alle personen of diensten die gebruik maken van certificaten (rechtstreeks, of indirect bij CA chaining) uitgereikt door een bepaalde CA. De infrastructuur voor het beheren van certificaten noemt men ook PKI (Public Key Infrastructure).
U kunt zelf zo'n PKI opzetten om veilig te communiceren met (thuis-)werknemers, klanten, leveranciers en investeerders, maar ook gebruik maken van bestaande commerciele CA's. Private sleutels bevinden zich vaak op de harde schijf van een eindgebruiker. Dit geeft praktische problemen voor gebruikers die niet steeds op dezelfde computer werken (bv. studenten die in PC klassen van een universiteit werken). USB Tokens die via de USB poort gelezen kunnen worden, zijn waarschijnlijk de oplossing voor de toekomst.

Wat kunt u doen met PKI?
 E-mailbeveiliging (bv. rechtsgeldige e-mail)
 Ondertekenen van formele stukken of contracten (bv. rechtsgeldig  overeenkomsten digitaal ondertekenen)
 Beveiliging en waarmerking van elektronische documenten (bv. aangetekend digitaal verzenden van patientendossiers of rechtgeldig digitaal facturen)
 Ondertekenen van elektronische formulieren (bv. belasting aangifte);
 Internet-, extranet- en intranetbeveiliging (bv. veilig online beleggen);
 Desktop- en bestandsbeveiliging (bv. toegangscontrole en encryptie op uw PC)
 Beveiligde toegangs op het bedrijfsnetwerk op afstand (bv. VPN)

Wilt u meer weten over Encryptie en PKI, neem dan contact met uw adviseur bij SurfPlan