Cryptografie en ICT L.V.de.Zeeuw@HR.NL
6 Sleutelmanagement L.V. de Zeeuw Cryptografie en ICT
Veilige sleutellengten Factoren van belang: Het gekozen cryptosysteem De levensduur van de sleutel Levensduur is periode waarna de sleutel wordt vervangen. De beschikbare computerkracht om sleutels te kraken. Uitgedrukt in MIPS jaren. MIPS (million instructions per second). Een MIPS jaar is het aantal instructies in een jaar. L.V. de Zeeuw Cryptografie en ICT
Computerkracht vergeleken http://en.wikipedia.org/wiki/Million_instructions_per_second http://www.top500.org/ L.V. de Zeeuw Cryptografie en ICT
Sleutelmanagement Taken Sleutel generatie: Onbevoegden mogen geen kennis kunnen nemen van de gegenereerde sleutels. Het genereren van sleutels moet willekeurig gebeuren (random-generator) L.V. de Zeeuw Cryptografie en ICT
Sleutelmanagement Taken Distributie van sleutels: Handmatig: Sleutel splitsen en door twee functionarissen de distributie laten begeleiden. Geautomatiseerd. De sleutel wordt vercijferd → Hiërarchisch sleutelmanagement. Bijvoorbeeld: Gebruik RSA om DES sleutels te distribueren. L.V. de Zeeuw Cryptografie en ICT
Sleutelmanagement Taken Opslaan van sleutels: Sleutel vercijferd opslaan. Fysieke maatregelen nemen om de sleutel te beschermen. Sleutel splitsen in meer delen. L.V. de Zeeuw Cryptografie en ICT
Sleutelmanagement Taken Vervangen van sleutels: Sleutels mogen niet te lang worden gebruikt: De bruikbaarheid van bekend geraakte sleutels wordt zo voorkomen. Onderscheid: Lang houdbare sleutels: Sleutels die weinig worden gebruikt. Kort houdbare sleutels: Sleutels die zeer frequent worden gebruikt. Bijvoorbeeld: Eén communicatie sessie (session-key) L.V. de Zeeuw Cryptografie en ICT
Sleutelmanagement Taken Vernietigen van sleutels: Sleutels die niet meer nodig zijn worden volgens strikte procedures vernietigd. In de procedure wordt onder andere vastgesteld dat er geen gegevens meer zijn die met de te vernietigen sleutel zijn vercijferd. L.V. de Zeeuw Cryptografie en ICT
Sleutel probleem bij public-key cryptografie Hoe kun je controleren van wie een specifieke publieke sleutel is? Public-key van Anna Public-key van Chris Door Chris gelezen en/of aangepast bericht van Bob aan Anna Geheim bericht van Bob aan Anna vercijfert met de public-key van Chris L.V. de Zeeuw Cryptografie en ICT
Public-Key Infrastructure (PKI) Public Key Infrastructure (PKI) is een verzameling van technische en organisatorische voorzieningen die het gebruik van encryptie door middel van publieke sleutels ondersteunt. Centraal in de infrastructuur is de derde partij. Deze derde partij bevestigt de identiteit van de eigenaar van een bepaalde sleutel door er een bewijs van vertrouwen, een certificaat, aan te koppelen. L.V. de Zeeuw Cryptografie en ICT
Certificaat Dit certificaat vormt voor andere gebruikers een bewijs dat een publieke sleutel bij een bepaalde persoon hoort. De waarde die men aan dit bewijs kan hechten is afhankelijk van het vertrouwen dat de uitgever van het certificaat geniet. L.V. de Zeeuw Cryptografie en ICT
Certificaat De derde partij kan een kennis van de eigenaar van de sleutel zijn, maar vaak vervult een instelling die algemeen vertrouwen geniet, de rol van derde partij. Tegenwoordig zijn er veel bedrijven en instellingen die een Public Key Infrastructure als dienst aanbieden en als derde partij optreden. L.V. de Zeeuw Cryptografie en ICT
Certificaat Een certificaat bevat minimaal: de geregistreerde naam van de eigenaar. de publieke sleutel van de eigenaar. de geldigheidsduur van het certificaat. de naam en de digitale handtekening van de uitgever van het certificaat. een serienummer. L.V. de Zeeuw Cryptografie en ICT
Standaard Voor certificaten is een officiële standaard ontwikkeld: X.509 v3 Zie: http://www.ietf.org/rfc/rfc2459.txt L.V. de Zeeuw Cryptografie en ICT
Structuur X.509 v3 certificaat Certificate Version Serial Number Algorithm ID Issuer Validity Not Before Not After Subject Subject Public Key Info Public Key Algorithm Subject Public Key Issuer Unique Identifier (Optional) Subject Unique Identifier (Optional) Extensions (Optional) ... Certificate Signature Algorithm Certificate Signature L.V. de Zeeuw Cryptografie en ICT
PKI begrippen Certification Authority (CA) De functie van de CA is om de publieke sleutel aan een identiteit te koppelen. De CA heeft als rol te garanderen dat de persoon die het unieke certificaat in handen heeft, ook daadwerkelijk degene is wie hij zegt dat hij is. L.V. de Zeeuw Cryptografie en ICT
PKI begrippen Registration Authority (RA) De functie van de RA is, in verband met de schaalbaarheid, werk uithanden nemen van de CA. De functie van het uitgeven van certificaten (CA) en het registreren van eindgebruikers en vaststellen van de identiteit van eindgebruikers (RA) wordt zo van elkaar gescheiden. L.V. de Zeeuw Cryptografie en ICT
PKI begrippen Trusted Third Party (TTP) De CA en/of RA wordt ook wel de een Trusted Third Party genoemd. L.V. de Zeeuw Cryptografie en ICT
PKI begrippen Certification Practice Statement (CPS) Een beschrijving van het hele proces van certificering: Doelgroep Toepassingsgebied Algemene bepalingen Beveiligingsbeleid Procedures voor de aanvraag van certificaten L.V. de Zeeuw Cryptografie en ICT
PKI begrippen Certifcate Revocation List (CRL) Een lijst met ingetrokken of geblokkeerde certificaten. L.V. de Zeeuw Cryptografie en ICT
Componenten PKI CA Directory RA RA Bob Anna L.V. de Zeeuw Cryptografie en ICT
Typen PKI Gesloten omgeving: Een organisatie richt een PKI in voor gebruik binnen de eigen organisatie. Open omgeving: Een PKI ingericht voor gebruik tussen meerdere organisaties en/of privé personen. L.V. de Zeeuw Cryptografie en ICT
Typen PKI Gesloten Omgeving Open Omgeving L.V. de Zeeuw Cryptografie en ICT
Vertrouwensrelaties Hiërarchische model Root CA Ca (De pijlen geven certificerings relaties aan) Root CA Ca L.V. de Zeeuw Cryptografie en ICT
Vertrouwensrelaties Netwerk model Ca (De pijlen geven certificerings relaties aan) Ca L.V. de Zeeuw Cryptografie en ICT
Vertrouwensrelaties Model Voordeel Nadeel Hiërarchisch model Duidelijkheid over de opbouw van vertrouwensrelaties Een compromis in de structuur heeft grote gevolgen Netwerk model Groei mogelijkheden zonder tussen komst van een root-CA Onduidelijkheid over de opbouw van vertrouwensrelaties L.V. de Zeeuw Cryptografie en ICT
Cross-certificering Gesloten Omgeving Open Omgeving Beide CA’s moeten gelijkwaardig aan elkaar zijn. L.V. de Zeeuw Cryptografie en ICT
Trusted Third-Parties Het opzetten en onderhouden van een PKI infrastructuur en aanvullende diensten is veel werk. Als organisatie kun dit vele werk uitbesteden aan een vertrouwd gespecialiseerd bedrijf: de Trusted Third-Partie (TTP) TTP L.V. de Zeeuw Cryptografie en ICT
Trusted Third-Parties diensten Registratie, identificatie en authenticatie van gebruikers. Generatie en beheer van certificaten Sleutelbeheer Beschikbaar stellen van de Certificate Practice Statements (CPS) Key escrow L.V. de Zeeuw Cryptografie en ICT
Key escrow Overheidsinstanties zijn niet blij met de (sterke) cryptografische mogelijkheden waarover de burger inmiddels beschikt. Cryptografie bemoeilijkt het werk van opsporings-instanties. Opsporingsinstanties willen over de mogelijkheid beschikken afgetapt en vercijfert elektronisch dataverkeer te ontcijferen. Om dit mogelijk te maken wil de overheid graag dat bij gebruik van sterk cryptografie de gebruiker zijn privé sleutel deponeert bij een TTP. De overheid mag vervolgens via een gerechtelijk bevel deze sleutel opvragen en gebruiken om jouw vercijferde en afgetapte dataverkeer te kunnen ontcijferen. L.V. de Zeeuw Cryptografie en ICT
PKI real-life 20% Techniek 80% Organisatorische en Juridische aspecten L.V. de Zeeuw Cryptografie en ICT
SURFnet PKI Voorbeeld: http://pgp.surfnet.nl/ L.V. de Zeeuw Cryptografie en ICT