Het belang van encryptie
Stel je eens voor: je krijgt de opdracht om een aantal pakketjes naar de andere kant van de stad te vervoeren in een luxe cabriolet. Je rijdt door de binnenstad en bij elk stoplicht komen er mensen naar en in jouw auto kijken. Je bent kwetsbaar met het open dak, de pakketjes liggen voor het grijpen. Dezelfde onwenselijke situatie doet zich voor op het internet, waar kwaadwillenden data proberen te stelen en vervolgens te verkopen. Gelukkig is daar een oplossing voor: encryptie. Maar wat is encryptie? En hoe pas je het toe?
Wat is encryptie?
Tegenwoordig hoor je er steeds vaker over in het nieuws: datalekken. Bij een datalek gaat het om vernietiging, verlies, het wijzigen of het delen van persoons- of bedrijfsgegevens door kwaadwillenden. Het gaat dus om een inbreuk op de beveiliging van deze gegevens. Datalekken kunnen voorkomen worden door encryptie toe te passen. Maar wat is encryptie? Encryptie is het versleutelen van online (gevoelige) data, zoals persoons- of bedrijfsgegevens. Het internet bestaat uit miljoenen IP-adressen, die geïdentificeerd kunnen worden door bijvoorbeeld hackers. Wanneer je de inhoud van jouw data niet beschermt, kunnen hackers en kwaadwillenden toegang krijgen tot jouw gegevens. Door encryptie op jouw data toe te passen, ben je een stuk beter beschermd tegen hackers en andere criminelen.
Bij encryptie sluiten twee partijen een overeenkomst om de data die zij willen uitwisselen te versleutelen. Dit kan bijvoorbeeld een simpele e-mail zijn, maar ook gevoelige bedrijfsinformatie.
Bij encryptie komen altijd drie dingen kijken:
- Integriteit: Is de aangekomen data bij de ontvanger hetzelfde als de verzonden data van de zender?
- Authenticiteit: Is de data daadwerkelijk afkomstig van de zender?
- Exclusiviteit: Is de data door niemand anders ingezien?
Een goed voorbeeld van het detecteren, lezen en blokkeren van data is The Great Firewall die China hanteert. Deze is door de Chinese overheid geïntroduceerd om de toegang tot geselecteerde buitenlandse websites te blokkeren en grensoverschrijdend internetverkeer te controleren, te vertragen of te verbannen. Hierdoor kunnen Chinezen bijvoorbeeld niet op Twitter of Facebook. Kortom, de Chinese overheid bepaalt wat voor data het land in en uit gaat.
Symmetrische en asymmetrische encryptie
Er zijn twee verschillende vormen van encryptie: symmetrische en asymmetrische encryptie. Asymmetrische encryptie wordt het vaakst gebruikt en is gebaseerd op een complexe wiskundige formule. Hierbij wordt gebruik gemaakt van een publieke en private sleutel. Partij A kan met een private sleutel de informatie versleutelen en partij B kan bij deze informatie met behulp van de publieke sleutel. Met de komst van quantum technologie kan deze complexe wiskundige formule binnen enkele seconden gekraakt worden. Het gebruik van asymmetrische encryptie is dus niet ‘quantum proof’.
Bij symmetrische encryptie worden de sleutels vooraf uitgewisseld en is het dus vereist dat partij A en partij B elkaar al kennen én in de mogelijkheid zijn om vooraf sleutels uit te wisselen. Doordat het in de praktijk lastig toe te passen is, wordt symmetrische encryptie minder vaak gebruikt. Het grote voordeel van symmetrische encryptie is dat quantum technologie slechts beperkt invloed heeft op deze methode. Als symmetrische encryptie met het AES 256 protocol wordt toegepast, wordt het als ‘quantum proof’ gezien. Het NCSC onderschrijft dit ook.
Het belang van goede encryptie
The Great Firewall van China, symmetrische- en asymmetrische encryptie, het klinkt misschien als een ver van je bed show, maar dat is het natuurlijk niet. Ook voor jou is het toepassen van encryptie van belang. Denk maar eens aan de bedrijfsdata die gedeeld wordt opgeslagen op jouw computersystemen. Wanneer je bijvoorbeeld een overeenkomst met een ander bedrijf sluit, is dit bedrijfsgevoelige informatie. Wat er contractueel is vastgelegd, is niet voor iedereen bestemd. Vraag jezelf dan ook altijd af wat het belang is van jouw data, persoonlijk of onpersoonlijk. Je wilt namelijk niet dat gevoelige data in handen komt van de verkeerde personen.
De gevolgen van het niet toepassen van encryptie zijn in sommige gevallen niet te overzien. En anders dan bij bijvoorbeeld ransomware, zal de dader zich niet melden dat hij berichten heeft afgetapt. Neem ter illustratie een fictief handelsverdrag of overeenkomst tussen twee landen of bedrijven. Beide partijen gaan een overeenkomst sluiten die hen een enorm concurrentievoordeel gaat opleveren. Er is alleen één probleem: encryptie wordt niet toegepast en andere landen in de wereld of concurrenten komen erachter. Doordat de plannen voor dit verdrag worden onderschept, komt het niet van de grond. Het gewenste concurrentievoordeel komt hiermee te vervallen, met grote economische gevolgen. Met het toepassen van encryptie had dit voorkomen kunnen worden, want dan was de data over dit verdrag versleuteld, en dus geheim gebleven.
Daarnaast moet men zich afvragen of asymmetrische encryptie nog veilig genoeg is. Veiligheidsdiensten waarschuwen al enkele jaren dat zowel landen als criminelen op grote schaal versleutelde data opslaan om dit in een later stadium mogelijk te kunnen ontsleutelen met behulp van quantum technologie. Vraag je dus altijd af wat het risico is als jouw data in handen valt van kwaadwillenden.
