NedSecure Consulting Secure Leon Kuunders Principal Security Consultant Woensdag 14 November 2001 IBF dag NPI

NedSecure Consulting Inhoud  Waarom beveiligde ?  Standaarden  Hoe beveiligen ?  PKI  Risico’s  De markt en verder  Afsluiting

NedSecure Consulting Secure Waarom beveiligde ? Om authenticiteit, integriteit en vertrouwelijkheid van een bericht te kunnen garanderen. Noot: = het overbrengen van berichten via de computer = glasachtige massa, in een dunne laag aangebracht ter bescherming of versiering van metalen, glazen en stenen voorwerpen van Dale

NedSecure Consulting De risico’s van is een connection-less protocol met verschillende verschijningsvormen (1-1, 1-x, x-x).  Authenticiteit (wie heeft het bericht verstuurd?)  Integriteit (is dit het bericht dat verstuurd is?)  Vertrouwelijkheid (is het bericht door derden gelezen?)

NedSecure Consulting Standaarden Wat voor open standaarden?  OpenPGP Ontwikkelt door Phil Zimmermann (1991) Verder uitbreiding via ietf-openpgp  S/MIME Ontwikkelt door RSA Inc. (1997) Verder uitbreiding via ietf-smime Beiden werken met MIME.

NedSecure Consulting Twee standaarden? Verschillen? Primair is er een verschil in het certificeringsformaat: - S/MIME is gebaseerd op het X.509 certificeringsmodel - OpenPGP heeft haar eigen certificeringsmodel Door middel van certificering wordt vertrouwen overgedragen of echtheid gegarandeerd.

NedSecure Consulting Hoe beveiligen van ? Diverse opties  Coderen van berichten op de gateway (organisatie)  Coderen van berichten op de desktop (eind gebruiker) In beide gevallen moet (?) een distributie systeem worden opgezet voor de publieke sleutels (PKI).

NedSecure Consulting Coderen == Cryptografie Twee (…) vormen van cryptografie:  Symmetrisch; ook wel genoemd shared secret  A-symmetrisch; ook wel genoemd public key Waar hebben we dit voor nodig?  Secure messaging - Vertrouwelijkheid, Integriteit, Authenticiteit, Onweerlegbaarheid - Afleverrapporten  Security management - Identificatie, Authenticatie en Autorisatie eindgebruikers/objecten

NedSecure Consulting SleutelVertrouwelijkheid Authenticiteit Integriteit PubliekCoderenControleren PrivéDecoderen Signeren Extraheren Public Key Infrastructure PKI systemen hebben betrekking op a-symmetrische cryptografie. In deze vorm van versleuteling wordt een sleutelpaar uitgedeeld aan (of gegenereerd door) een organisatie of persoon. De privé component van dit sleutelpaar wordt in eigen beheer gehouden. De publieke component wordt uitgedeeld aan de partners (via de PKI). Met de privé sleutel kan men een digitale handtekening plaatsen en versleutelde berichten decoderen. Met de publieke sleutel kan men informatie coderen en controleren of ontvangen informatie gewijzigd is.

NedSecure Consulting Vormen van Communicatievormen  Berichten van gebruiker naar gebruiker  Berichten van gebruiker naar organisatie  Berichten van organisatie naar organisatie

NedSecure Consulting Client vs Client

NedSecure Consulting Gateway vs Client

NedSecure Consulting Gateway vs Gateway

NedSecure Consulting Risico’s Aan (public key) cryptografie zijn risico’s verbonden:  Verlies privé sleutel - Mogelijke oplossingen: Key Recovery, Data Recovery  Ongeauthoriseerd versleutelen van gegevens - Mogelijke oplossingen: Publieke sleutels niet uitdelen? Content scanning? Rule-based encryption?  Technieken volgen elkaar snel op, wat te kiezen? - Techniek die beide standaarden ondersteunt? Of #1…, en wie is dat dan?  Nadruk op beveiliging desktop/laptop/palmtop - Content management / Virusprotectie / Volume encryptie

NedSecure Consulting De Markt Diverse aanbieders:  PKI leveranciers (die ook encryptie doen) - Entrust, Utimaco, Baltimore, RSA Security  Encryptie leveranciers (die ook PKI leveren) - nCipher, McAfee (PGP), Biodata, PointSec, Safeguard (Utimaco), Safeboot  Content Management - Thunderstore (X-Tra Secure), MailMarshal, TFS Security, Biodata (Gateway Mail, Cobion)

NedSecure Consulting Voorspelling Consolidatie markt Toename in versleuteling vanwege: - Wettelijke verplichtingen rondom informatiebeveiliging en privacy - Hogere penetratiegraad in organisaties en betere hulpmiddelen voor afhandelen - Groeiend IB bewustzijn burgers - PKI pilot trajecten - Nederlandse Digitale Paspoort?

NedSecure Consulting Afsluiting Wat zijn verwachtingen voor de eigen organisatie? Is er een samenwerkingsverband voor de politieregio’s? Wachten we op PKI?

NedSecure Consulting Rij en surf voorzichtig!