Cryptografie en ICT L.V.de.Zeeuw@HR.NL

0 Inleiding L.V. de Zeeuw Cryptografie en ICT

Docent Naam: Daan Debie Email: daan@info.nl Bedrijf: Info.nl Twitter: @DaanDebie LinkedIn: linkedin.com/in/danieldebie Website: dandydev.net L.V. de Zeeuw Cryptografie en ICT

Lesmateriaal Leerboek: Cryptografie en ICT, 2e druk Theorie en praktijk ISBN 9039525196 Site: www.misc.hro.nl/telematica/ Modulewijzers Powerpoint presentaties Etc L.V. de Zeeuw Cryptografie en ICT

The Code Book Simon Singh L.V. de Zeeuw Cryptografie en ICT

Hoorcollege Het hoorcollege behandeld en volgt het leerboek. Behandeling van opgaven. Gelegenheid tot het stellen van vragen. L.V. de Zeeuw Cryptografie en ICT

Tentamen 40 meerkeuze vragen. L.V. de Zeeuw Cryptografie en ICT

Naast alle voordelen die ICT biedt zijn er ook bedreigingen. Organisaties worden gedwongen om aandacht te besteden aan het beveiligen van gevoelige informatie. Gegevens staan op geslagen, zijn in bewerking of zijn onderweg naar hun eindbestemming. Er is daarom noodzaak voor beveiliging van deze gegevens. Een techniek die hierbij een belangrijke rol speelt is de cryptografie L.V. de Zeeuw Cryptografie en ICT

Encryptie = Vercijferen Decryptie = Ontcijferen Cryptografie, het vercijferen van boodschappen in een geheimschrift, is een methode voor de beveiliging van electronische opslag en transport van gegevens. Encryptie = Vercijferen Decryptie = Ontcijferen L.V. de Zeeuw Cryptografie en ICT

Doelstellingen Verhogen van het security bewustzijn Verhogen van inhoudelijke kennis van cryptografie Het op de juiste wijze toepassen van cryptografie L.V. de Zeeuw Cryptografie en ICT

Aannames Je wil meer weten over security en je bent met name geïnteresseerd in het beveiligen van je data en communicatie. Je bent je er bewust van dat e-mail berichten kunnen worden onderschept en door iedereen worden gelezen. Je bent je er van bewust dat ongeautoriseerde personen zich toegang kunnen verschaffen tot je computer en jouw files kunnen lezen, stelen en veranderen. Je wil meer weten over cryptografie. Je weet dat dit hoorcollege je geen expert maakt … L.V. de Zeeuw Cryptografie en ICT

Toepassing Cryptografie Militair Overheid Diplomatieke diensten Inlichtingen diensten Politie Bedrijfsleven Particulieren (Privacy) L.V. de Zeeuw Cryptografie en ICT

Cryptografie is overal Beveiligde communicatie: Webverkeer: HTTPS Wireless: 802.11i, WPA2, GSM, Bluetooth Encrypten van files op disk: Encrypting File System (EFS) op Microsoft Windows, TrueCrypt Content bescherming: DVD met CSS en Blu-Ray met AACS SSH Gebruikers Authenticatie … en meer. Wi-Fi Protected Access (WPA) is een systeem om veilige draadloze netwerken (Wi-Fi) op te zetten en is ontwikkeld nadat onderzoekers een aantal zwakke plekken in WEP  (Wired Equivalent Privacy) hadden gevonden. CSS staat voor content Scrambeling System, CSS is makkelijk te breken. Content Scramble System (CSS) en Advanced Access Content System (AACS) zijn Digital RightsManagement beveiligingen die respectievelijk aanwezig zijn op bijna alle commercieel geproduceerde dvd-video-discs en Blu-Ray L.V. de Zeeuw Cryptografie en ICT

Voorbeeld HTTPS HTTPS maakt gebruik van TLS (Transport Layer Security) TLS is opvolger van SSL (Secure Sockets Layer). Het protocol bestaat uit twee delen: Handshake protocol: Het vaststellen van een gedeelde geheime sleutel door gebruik te maken van Public-Key cryptografie. Record Layer: Versturen van versleutelde data gebruik makend een gedeelde geheime sleutel.  Dit garandeert vertrouwelijkheid en integriteit L.V. de Zeeuw Cryptografie en ICT

Toepassingen Vaststellen gedeelde geheime sleutel Veilige communicatie Digitale handtekeningen Anonieme communicatie - mix net (http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29) Anoniem digitaal geld – Bitcoin (http://en.wikipedia.org/wiki/Bitcoin of http://plazilla.com/wat-is-en-hoe-werkt-bitcoin) Anonieme verkiezingen Anonieme veilingen Anoniem outsourcen van computer verwerking Geen kennis - bewijs van kennis (http://en.wikipedia.org/wiki/Zero-knowledge_proof) Een digitale handtekening is anders dan een gewone handtekening. Een gewone handtekening is altijd hetzelfde. Een digitale handtekening is steeds anders en heeft een relatie met het te signeren document en kan niet verplaatst worden naar een ander document. Een mix net maakt gebruik van een aantal proxy servers om communicatie on-traceerbaar te maken. Bv Anonymous remailers (mixmaster) en onion routing (Tor). Het is mogelijk om een geencrypte zoekopdracht te sturen naar een server, die daar te laten verwerken, zonder dat de server weet waarnaar is gezocht. Je kunt bijvoorbeeld bewijzen aan iemand dat je de oplossing hebt voor een sudoku zonder dat die persoon de sudoku kent. L.V. de Zeeuw Cryptografie en ICT

Regelgeving NL wetboek.net/Sv/125k Artikel 125k Voor zover het belang van onderzoek dit bepaaldelijk vordert, kan indien toepassing is gegeven aan art. 125i of art. 125j tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van wijze van beveiliging van geautomatiseerd werk, het bevel worden gericht toegang te verschaffen tot de aanwezige geautomatiseerde werken of delen daarvan. Degeen tot wie het bevel is gericht, dient desgevraagd hieraan gevolg te geven door kennis omtrent de beveiliging ter beschikking te stellen. Het eerste lid is van overeenkomstige toepassing indien in geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van wijze van versleuteling van deze gegevens. L.V. de Zeeuw Cryptografie en ICT

Regelgeving NL wetboek.net/Sv/125k Het bevel, bedoeld in eerste lid, wordt niet gegeven aan de verdachte. Art. 96a, 3e lid, is van overeenkomstige toepassing. Een verdachte (het is vrij lastig te bepalen wat grens is tussen wanneer er wel/geen sprake is van een verdachte...) mag een sleutel dus wel weigeren... Een slimme diender/Officier van Justitie zal dus voordat iemand verdachte is dit vorderen.... L.V. de Zeeuw Cryptografie en ICT

Regelgeving NL wetboek.net/Sr/184k Hij die opzettelijk niet voldoet aan een bevel of vordering, krachtens wettelijk voorschrift gedaan door een ambtenaar met uitoefening van enig toezicht belast of door een ambtenaar belast met of bevoegd verklaard tot het opsporen of onderzoeken van strafbare feiten, alsmede hij die opzettelijk enige handeling, door een van die ambtenaren ondernomen ter uitvoering van enig wettelijk voorschrift, belet, belemmert of verijdelt, wordt gestraft met gevangenisstraf van ten hoogste 3 maanden of geldboete van tweede categorie. L.V. de Zeeuw Cryptografie en ICT

Regelgeving Internationaal Cryptografie staat in sommige landen op dezelfde lijst als militaire wapens en munitie en mag niet worden geëxporteerd. Het gebruik van cryptografie is vaak aan vergunningen gebonden Meer informatie over ‘Crypto Law’: http://rechten.uvt.nl/koops/cryptolaw/ L.V. de Zeeuw Cryptografie en ICT

Opdrachten Ga na in welke landen het gebruik van cryptografie helemaal verboden is. Door welke standaard organisatie is DES (Data Encryption Standaard) gestandaardiseerd? L.V. de Zeeuw Cryptografie en ICT

Regelgeving NL wetboek.net Naast de exportbeperkingen kennen diverse landen nog wetgeving voor het gebruik van cryptografie in het land zelf. In sommige landen, zoals Rusland en China, is cryptogebruik zonder vergunning strafbaar. In Nederland is dat niet aan de orde. Wel bestaat er hier een wettelijke verplichting om bij een doorzoeking (huiszoeking) cryptografische beveiliging ongedaan te maken (art. 125k lid 2 Wetboek van Strafvordering (WvSv)); een bevel daartoe mag worden gericht aan ieder die vermoedelijk de beveiliging kent, maar niet aan een verdachte (art. 125m WvSv). Volgens het wetsvoorstel Computercriminaliteit II kan een dergelijk bevel in de toekomst ook worden gegeven bij onderschepte versleutelde telecommunicatie. Ook de AIVD kan iemand bevelen cryptografie ongedaan te maken; wie daar niet aan voldoet is strafbaar met maximaal twee jaar gevangenisstraf; ook als iemand onopzettelijk niet voldoet, kan hij nog zes maanden gevangenisstraf (!) opgelegd krijgen (art. 24 lid 3, art. 25 lid 7 en art. 89 Wet op de inlichtingen- en veiligheidsdiensten 2002). In de praktijk zal dat overigens zo’n vaart niet lopen. Er is nog geen enkele rechtszaak bekend over een weigering te ontsleutelen, bij politie noch AIVD. L.V. de Zeeuw Cryptografie en ICT

Vraag Waarom zou het versleutelen van informatie strafbaar zijn in sommige landen? L.V. de Zeeuw Cryptografie en ICT

Standaardisatie De toepassing van Cryptografie is essentieel voor de ontwikkeling van e-commerce. Internationale afstemming is een vereiste. Organisaties: NIST – National Insititute of Technologie ANSI – American National Standards Institute IEEE – Institute of Electrical and Electronic Engineers ISO – International Organization for Standardization ICC – International Chamber of Commerce IETF – Internet Engineering Task Force L.V. de Zeeuw Cryptografie en ICT

Realiseer je … Cryptografie is: fantastische gereedschap de basis voor vele beveiligingsimplementaties. Cryptografie is niet: De oplossing voor alle beveiligingsproblemen (bv software bugs, social enginereing attacks) Iets om zelf uit te vinden (er zijn te veel voorbeelden van kwetsbare ad-hoc ontwerpen) L.V. de Zeeuw Cryptografie en ICT

YouTube Theory and Practice of Cryptography (Google Tech Talks) Theory and Practice of Cryptography (Voting Protocols) en veel meer … L.V. de Zeeuw Cryptografie en ICT

The Science of Secrecy is still largely a Secret Science L.V. de Zeeuw Cryptografie en ICT

Public security is always more secure than proprietary security. As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice. Bruce Schneier, Crypto-Gram 1999/09/15 L.V. de Zeeuw Cryptografie en ICT