6 Sleutelmanagement L.V. de Zeeuw Cryptografie en ICT.

Slides:



Advertisements
Verwante presentaties
Analyse van incidenten
Advertisements

Exxellence Group Maarten van der Hoek.
De zin en onzin van escrow
Wiki’s in het Hoger Onderwijs Pierre Gorissen Fontys Hogescholen
Ontwikkeling van het Netwerk Naamkunde
OpenPGP en X.509 Leon Kuunders Nedsecure Consulting OpenPGP als PKI voor bedrijven.
Niet om een ‘koopje’ maar om een toestel te kopen dat ook gebruikt gaat worden Han van Reekum.
Subsetten & Anonimiseren
Beveiligd berichtenverkeer Lust of Last ?
Tentamen Maandag, 1 juli H en H.2.403
Basis van digitaal collectiemanagement
Server Management Framework
voor financiële rapportages
SSL, HTTPS en SSH Johnny Schaap.
2 Geschiedenis van de Cryptografie
Paperless Douane en Accijnzen en Vereenvoudigde procedures
Valorisatie Leonie van Drooge | 1 13 December 2012.
Frequent gestelde vragen
Samenwerken en netwerkvorming Brede School 16 mei 2008 Rita L’Enfant
Besturings- systeem A Computer A Besturings- systeem B Computer B Netwerk Handmatige taak I Applicatie 2Applicatie 1 Handmatige taak II Applicatie 3 Gebruiker.
Hoofdstuk 5 Secundaire data, online databases en gestandaardiseerde informatiebronnen.
Kennisuitwisseling in LOK Landelijk onderwijsweb Kennistechnologie Evert van de Vrie Kennisuitwisseling in LOK Landelijk onderwijsweb Kennistechnologie.
Digitaal Sociaal Huis Samenwerkingsproject Vlaams-Brabantse sociale huizen 2 februari 2009.
Web Intake Systeem een uniek gemeentelijk project.
Oefeningen Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Cryptografische algoritmen en protocols (4) Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
PKIoverheid “Get connected” 27 oktober Standard Business Reporting Programma Een initiatief van de Nederlandse overheid.
1 Centrale Gebruikers Groep VISI 1. Inhoud: -De rol van de Centrale Gebruikersgroep -Terugkijken naar Vooruitkijken naar
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
ROSA versie 3 De bovensectorale referentie architectuur voor en van het onderwijs.
Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning
0 Inleiding L.V. de Zeeuw Cryptografie en ICT. Cryptografie en ICT
7 Computernetwerken en smartcards
Security 2 Cryptografie en ICT
5 Public-key cryptografie (Asymetrische cryptosystemen)
5 Public-key cryptografie (Asymetrische cryptosystemen)
5 Public-key cryptografie (Asymetrische cryptosystemen)
HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT
Van de juridisch dienstverlener
Wat is Mibo en wat kan ik ermee?. Wat is Mibo? Mibo is gratis educatieve software via het internet Mibo wordt U aangeboden door: APS (
De Digitale Handtekening & Certipost
Het gebruik van het eHealth Platform door UZ Leuven
Welkom Het eID Stelsel maakt het mogelijk om online te zaken doen met de overheid en het bedrijfs-leven, met één of meer inlogmiddelen. Marije Jurriëns,
Communicatie en Digitale media, Hogeschool Rotterdam.
19 juni 2008 E-depot: de Rotterdamse praktijk Josje Everse Projectleider E-depot.
Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.
NedSecure Consulting Secure Leon Kuunders Principal Security Consultant Woensdag.
Parametric release Wat is dat?.
Deze presentatie mag noch geheel, noch gedeeltelijk worden gebruikt of gekopieerd zonder de schriftelijke toestemming van Seniornet Vlaanderen VZW maart.
Workshop sponsoring Delft voor Elkaar
21 oktober 2015 Gebruikerscomité Servercertificaten Problemen en oplossingen Eric Roelandt.
Analyse 3 INFANL01-3 week 2 CMI Informatica.
Hogeschool Rotterdam, Opleiding Vastgoed & Makelaardij drs. ing. M.M.A. Scheepers Collegejaar college.
De Bouwplaats-ID, een goed idee?
Infosessie: Welkom! Artikel 60 OCMW-wet Nele Goffin & Abdullah Ciçek Beveiliging aan OCL-tarief Erwin Rousseau.
In het hoger onderwijs Identity Management. partner in IGI Group Peter Jurg.
20 januari 2016 – Herman Bongenaar
Patiëntauthenticatie. Authenticatie Het proces waarbij wordt nagegaan of een natuurlijk persoon daadwerkelijk degene is die hij beweert te zijn. Hiervoor.
Recht op leerlingenvervoer:
Identificatie- en Authenticatiesafari
End-to-end vercijfering
Introductie eID juni 2017.
PKI Fundamentals Een introductie van de toepassing en werking van cryptografische functies in X.509 certificaten Lex Zwetsloot Juni 2005.
Sieberdam/ROCS & KODOS
GEU – PO - ENTREE Edu-K H-P Köhler, domeinmanager.
Binnenkort start hier het webinar Facebook Marketing voor je groep - Deel II: ‘Je Scoutinggroep op Facebook’
Digitaal Stelsel Omgevingswet Een Ketenuitdaging
De architectuur van een internettoepassing bestaat meestal uit een keten van een webclient, een server en bedrijfsinformatiesystemen die gekoppeld zijn.
Transcript van de presentatie:

Cryptografie en ICT L.V.de.Zeeuw@HR.NL

6 Sleutelmanagement L.V. de Zeeuw Cryptografie en ICT

Veilige sleutellengten Factoren van belang: Het gekozen cryptosysteem De levensduur van de sleutel Levensduur is periode waarna de sleutel wordt vervangen. De beschikbare computerkracht om sleutels te kraken. Uitgedrukt in MIPS jaren. MIPS (million instructions per second). Een MIPS jaar is het aantal instructies in een jaar. L.V. de Zeeuw Cryptografie en ICT

Computerkracht vergeleken http://en.wikipedia.org/wiki/Million_instructions_per_second http://www.top500.org/ L.V. de Zeeuw Cryptografie en ICT

Sleutelmanagement Taken Sleutel generatie: Onbevoegden mogen geen kennis kunnen nemen van de gegenereerde sleutels. Het genereren van sleutels moet willekeurig gebeuren (random-generator) L.V. de Zeeuw Cryptografie en ICT

Sleutelmanagement Taken Distributie van sleutels: Handmatig: Sleutel splitsen en door twee functionarissen de distributie laten begeleiden. Geautomatiseerd. De sleutel wordt vercijferd → Hiërarchisch sleutelmanagement. Bijvoorbeeld: Gebruik RSA om DES sleutels te distribueren. L.V. de Zeeuw Cryptografie en ICT

Sleutelmanagement Taken Opslaan van sleutels: Sleutel vercijferd opslaan. Fysieke maatregelen nemen om de sleutel te beschermen. Sleutel splitsen in meer delen. L.V. de Zeeuw Cryptografie en ICT

Sleutelmanagement Taken Vervangen van sleutels: Sleutels mogen niet te lang worden gebruikt: De bruikbaarheid van bekend geraakte sleutels wordt zo voorkomen. Onderscheid: Lang houdbare sleutels: Sleutels die weinig worden gebruikt. Kort houdbare sleutels: Sleutels die zeer frequent worden gebruikt. Bijvoorbeeld: Eén communicatie sessie (session-key) L.V. de Zeeuw Cryptografie en ICT

Sleutelmanagement Taken Vernietigen van sleutels: Sleutels die niet meer nodig zijn worden volgens strikte procedures vernietigd. In de procedure wordt onder andere vastgesteld dat er geen gegevens meer zijn die met de te vernietigen sleutel zijn vercijferd. L.V. de Zeeuw Cryptografie en ICT

Sleutel probleem bij public-key cryptografie Hoe kun je controleren van wie een specifieke publieke sleutel is? Public-key van Anna Public-key van Chris Door Chris gelezen en/of aangepast bericht van Bob aan Anna Geheim bericht van Bob aan Anna vercijfert met de public-key van Chris L.V. de Zeeuw Cryptografie en ICT

Public-Key Infrastructure (PKI) Public Key Infrastructure (PKI) is een verzameling van technische en organisatorische voorzieningen die het gebruik van encryptie door middel van publieke sleutels ondersteunt. Centraal in de infrastructuur is de derde partij. Deze derde partij bevestigt de identiteit van de eigenaar van een bepaalde sleutel door er een bewijs van vertrouwen, een certificaat, aan te koppelen. L.V. de Zeeuw Cryptografie en ICT

Certificaat Dit certificaat vormt voor andere gebruikers een bewijs dat een publieke sleutel bij een bepaalde persoon hoort. De waarde die men aan dit bewijs kan hechten is afhankelijk van het vertrouwen dat de uitgever van het certificaat geniet. L.V. de Zeeuw Cryptografie en ICT

Certificaat De derde partij kan een kennis van de eigenaar van de sleutel zijn, maar vaak vervult een instelling die algemeen vertrouwen geniet, de rol van derde partij. Tegenwoordig zijn er veel bedrijven en instellingen die een Public Key Infrastructure als dienst aanbieden en als derde partij optreden. L.V. de Zeeuw Cryptografie en ICT

Certificaat Een certificaat bevat minimaal: de geregistreerde naam van de eigenaar. de publieke sleutel van de eigenaar. de geldigheidsduur van het certificaat. de naam en de digitale handtekening van de uitgever van het certificaat. een serienummer. L.V. de Zeeuw Cryptografie en ICT

Standaard Voor certificaten is een officiële standaard ontwikkeld: X.509 v3 Zie: http://www.ietf.org/rfc/rfc2459.txt L.V. de Zeeuw Cryptografie en ICT

Structuur X.509 v3 certificaat Certificate Version Serial Number Algorithm ID Issuer Validity Not Before Not After Subject Subject Public Key Info Public Key Algorithm Subject Public Key Issuer Unique Identifier (Optional) Subject Unique Identifier (Optional) Extensions (Optional) ... Certificate Signature Algorithm Certificate Signature L.V. de Zeeuw Cryptografie en ICT

PKI begrippen Certification Authority (CA) De functie van de CA is om de publieke sleutel aan een identiteit te koppelen. De CA heeft als rol te garanderen dat de persoon die het unieke certificaat in handen heeft, ook daadwerkelijk degene is wie hij zegt dat hij is. L.V. de Zeeuw Cryptografie en ICT

PKI begrippen Registration Authority (RA) De functie van de RA is, in verband met de schaalbaarheid, werk uithanden nemen van de CA. De functie van het uitgeven van certificaten (CA) en het registreren van eindgebruikers en vaststellen van de identiteit van eindgebruikers (RA) wordt zo van elkaar gescheiden. L.V. de Zeeuw Cryptografie en ICT

PKI begrippen Trusted Third Party (TTP) De CA en/of RA wordt ook wel de een Trusted Third Party genoemd. L.V. de Zeeuw Cryptografie en ICT

PKI begrippen Certification Practice Statement (CPS) Een beschrijving van het hele proces van certificering: Doelgroep Toepassingsgebied Algemene bepalingen Beveiligingsbeleid Procedures voor de aanvraag van certificaten L.V. de Zeeuw Cryptografie en ICT

PKI begrippen Certifcate Revocation List (CRL) Een lijst met ingetrokken of geblokkeerde certificaten. L.V. de Zeeuw Cryptografie en ICT

Componenten PKI CA Directory RA RA Bob Anna L.V. de Zeeuw Cryptografie en ICT

Typen PKI Gesloten omgeving: Een organisatie richt een PKI in voor gebruik binnen de eigen organisatie. Open omgeving: Een PKI ingericht voor gebruik tussen meerdere organisaties en/of privé personen. L.V. de Zeeuw Cryptografie en ICT

Typen PKI Gesloten Omgeving Open Omgeving L.V. de Zeeuw Cryptografie en ICT

Vertrouwensrelaties Hiërarchische model Root CA Ca (De pijlen geven certificerings relaties aan) Root CA Ca L.V. de Zeeuw Cryptografie en ICT

Vertrouwensrelaties Netwerk model Ca (De pijlen geven certificerings relaties aan) Ca L.V. de Zeeuw Cryptografie en ICT

Vertrouwensrelaties Model Voordeel Nadeel Hiërarchisch model Duidelijkheid over de opbouw van vertrouwensrelaties Een compromis in de structuur heeft grote gevolgen Netwerk model Groei mogelijkheden zonder tussen komst van een root-CA Onduidelijkheid over de opbouw van vertrouwensrelaties L.V. de Zeeuw Cryptografie en ICT

Cross-certificering Gesloten Omgeving Open Omgeving Beide CA’s moeten gelijkwaardig aan elkaar zijn. L.V. de Zeeuw Cryptografie en ICT

Trusted Third-Parties Het opzetten en onderhouden van een PKI infrastructuur en aanvullende diensten is veel werk. Als organisatie kun dit vele werk uitbesteden aan een vertrouwd gespecialiseerd bedrijf: de Trusted Third-Partie (TTP) TTP L.V. de Zeeuw Cryptografie en ICT

Trusted Third-Parties diensten Registratie, identificatie en authenticatie van gebruikers. Generatie en beheer van certificaten Sleutelbeheer Beschikbaar stellen van de Certificate Practice Statements (CPS) Key escrow L.V. de Zeeuw Cryptografie en ICT

Key escrow Overheidsinstanties zijn niet blij met de (sterke) cryptografische mogelijkheden waarover de burger inmiddels beschikt. Cryptografie bemoeilijkt het werk van opsporings-instanties. Opsporingsinstanties willen over de mogelijkheid beschikken afgetapt en vercijfert elektronisch dataverkeer te ontcijferen. Om dit mogelijk te maken wil de overheid graag dat bij gebruik van sterk cryptografie de gebruiker zijn privé sleutel deponeert bij een TTP. De overheid mag vervolgens via een gerechtelijk bevel deze sleutel opvragen en gebruiken om jouw vercijferde en afgetapte dataverkeer te kunnen ontcijferen. L.V. de Zeeuw Cryptografie en ICT

PKI real-life 20% Techniek 80% Organisatorische en Juridische aspecten L.V. de Zeeuw Cryptografie en ICT

SURFnet PKI Voorbeeld: http://pgp.surfnet.nl/ L.V. de Zeeuw Cryptografie en ICT