Blog: Versleuteling voor vertrouwelijkheid en integriteit, maar voor hoe lang nog?
Als men spreekt over cryptografie, dan gaat het vaak over het versleutelen van informatie op een zodanige manier dat de informatie alleen te lezen is met de juiste sleutel. De eerste vormen van versleuteling zijn gevonden in het oude Egypte in tombes, waarin boodschappen verhuld werden. Een van de oudst bekende versleutelingstechnieken is bedacht in de tijd van Caesar, het zogenaamde Caesarcijfer. Hierbij wordt de ene letter vervangen (substitutie/versleuteld) door een andere letter. En alleen diegene die weet hoe de substitutie in elkaar zit kan het bericht lezen. Een bericht kan versleuteld worden en ook het transport kan versleuteld gebeuren. Versleutelen is echter maar één van de doelen waarvoor cryptografie wordt gebruikt. Kortweg kan cryptografie voor 3 doelen (en combinaties daarvan) gebruikt worden, namelijk: onweerlegbaarheid (integriteit), identificatie/authenticatie en versleuteling.
Bij onweerlegbaarheid en authenticatie wordt door middel van cryptografie aangetoond, dat de informatie ongewijzigd is aangeleverd (door een digitale vingerafdruk van het bestand mee te zenden) en dat het bericht van de afzender zoals getoond afkomstig is (door het bestand te ondertekenen met een cryptografische handtekening).
Cryptografie levert een belangrijke bijdrage aan vertrouwelijkheid en integriteit van informatie. Maar integriteit en vertrouwelijkheid maken een bericht nog niet veilig, een voorbeeld: veel phishingwebsites maken tegenwoordig gebruik van een TLS-certificaat, waarmee de informatie op deze website verzonden en ontvangen wordt. In de praktijk betekent dit dat de gegevens van de slachtoffers op een heel ‘veilige’ manier worden gestolen. Het transport van de gegevens is prima beveiligd, maar de gegevens worden afgeleverd bij criminelen.
Misschien nog wel belangrijker is de vraag wat er overblijft van de cryptografie van vandaag, wanneer kwantumcomputers gemeengoed worden. De kwantumcomputer kan tot wel 100 miljoen keer sneller berekeningen uitvoeren, wat betekent dat wat nu met de huidige technologie versleuteld is, potentieel binnen zeer korte tijd is te kraken.
Hoe erg is het als de versleutelde informatie van nu over 5 of 10 jaar op straat ligt? Tijd voor een lange termijn risicoanalyse?
Haaino Beljaars, Adviseur IBD
