Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Aanpassingen aan ICR 3.0 in rood, alles wat verwijderd werd in strike through.

Om versleutelde berichten tussen afzender en ontvanger uit te wisselen en te lezen moeten beide partijen in het bezit zijn van een sleutelpaar. Een sleutelpaar bestaat uit een private (geheime) sleutel  en een publieke (openbare) sleutel. De private sleutel moet de eigenaar goed beveiligen en is ook alleen bekend bij de eigenaar. De publieke sleutel mag aan iedereen worden bezorgd.

...

Daarmee kan de echtheid van een entiteit en de relatie met zijn/haar publieke sleutel worden aangetoond.

Samengevat: welke beveiligingsdienst beveiligingstechniek wordt wanneer toegepast?

Vertrouwelijkheid 

Encryptie

Integriteit 

Encryptie (hash) Hash en digitale handtekening

Onweerlegbaarheid 

Digitale handtekening met certificaat

Authenticatie 

Digitale handtekening met certificaat

Een andere toepassing van cryptografie is het gebruik van websites. Organisaties stellen steeds meer diensten en informatie beschikbaar via internet. Het is belangrijk dat de gebruiker zeker kan zijnweet dat de website waarop hij/zij gegevens invult daadwerkelijk van de organisatie is en of de communicatie met de website voldoende beveiligd is. Hiervoor zijn (Secure Sockets LayerTransport Layer Security- of) SSLTLS-certificaten de oplossing. Een certificaat voegt een uniek zegel toe aan een website. Dit zegel is op websites beschikbaar voor controle van de echtheid en beveiliging van de website en garandeert op die manier de integriteit van die website.

De kracht van het certificaat

Een certificaat bevat volgende gegevens:

  • Geregistreerde naam van de eigenaar: de certificaathouder;

  • Publieke sleutel van de eigenaar;

  • Geldigheidsperiode van het certificaat;

  • Identiteit van de uitgever van het certificaat: de certificaatautoriteit (CA);

  • Locatie van de Certificate Revocation List (bij de uitgever van het certificaat); en

  • Samenvatting van bovenstaande gegevens, aangemaakt door een ‘hash’-functie, en vervolgens vercijferd met de geheime sleutel van de CA. Dit is de digitale handtekening en dient om de geldigheid en authenticiteit van bovenstaande gegevens te waarborgen.

Een certificaat bevat verschillende essentiële gegevens die worden gebruikt om de identiteit van de certificaathouder te verifiëren en om veilige, versleutelde communicatie mogelijk te maken. De belangrijkste onderdelen die typisch op een encryptiecertificaat te vinden zijn, zijn: 

  • Onderwerp (Subject): Dit bevat de identiteit van de eigenaar van het certificaat, zoals de naam van de organisatie, de afdeling binnen de organisatie, de stad, het land, etc. 

  • Uitgever (Issuer): De naam van de autoriteit die het certificaat heeft uitgegeven (bijvoorbeeld VeriSign, Thawte, Let's Encrypt). 

  • Serienummer: Een uniek nummer toegewezen door de uitgever om het certificaat te identificeren. 

  • Geldigheidsperiode (Validity period): De startdatum en de vervaldatum van het certificaat; geeft aan gedurende welke periode het certificaat als geldig wordt beschouwd. 

  • Publieke sleutel (Public Key): De publieke sleutel van het certificaat die wordt gebruikt voor het versleutelen van informatie die alleen kan worden ontsleuteld met de bijbehorende privésleutel van de ontvanger. 

  • Digitale handtekening (Digital Signature): Een handtekening gemaakt door de uitgevende certificaatautoriteit, die de integriteit van het certificaat waarborgt en bevestigt dat het niet is gewijzigd. 

  • Signature Algorithm: Het algoritme dat gebruikt is om de digitale handtekening te genereren (bijvoorbeeld SHA-256 met RSA-encryptie). 

  • Versie: De versie van het certificaatformaat (bijvoorbeeld versie 3 van X.509). 

  • Key Usage: Specificeert de beoogde gebruiksscenario's van de publieke sleutel, zoals digitale handtekeningen, certificaatondertekening, of encryptie van gegevens. 

  • Extended Key Usage (indien aanwezig): Biedt aanvullende informatie over de beoogde doeleinden van de publieke sleutel, zoals SSL/TLS web server authenticatie, e-mail beveiliging, en code ondertekening. 

  • Subject Alternative Name (SAN): Biedt de mogelijkheid om meerdere namen te specificeren die met het certificaat geassocieerd zijn, inclusief IP-adressen, DNS-namen, en e-mailadressen 

Om bruikbaar te zijn in de meeste toepassingen, worden digitale certificaten opgemaakt volgens een algemeen erkende standaard , zijnde (X.509). Eén van de kenmerken van deze standaard is dat zij de mogelijkheid biedt van eenvoudige tot uitgebreide identiteitscontrole van de certificaathouder. Eén van de meest voorkomende types certificaten zijn SSLTLS-certificaten voor de beveiliging van websites (HyperText Transfer Protocol Secure of HTTPS) en software om de identiteit van de organisatie die de website of software beheert, aan te tonen.

...

  1. Domeinvalidatie: certificaten met domeinvalidatie bevatten geen bedrijfsgegevens. Er wordt alleen gecontroleerd of de aanvrager controle heeft over het domein waarvoor het certificaat wordt aangevraagd. Het certificaat wordt door alle browsers vertrouwd en zorgt voor een veilige verbinding d.m.v. encryptie. Bij SSLTLS-certificaten met domeinvalidatie toont de browser een sloticoontje, bv.:

...

Specifiek voor de beveiliging van websites, zijn er – naast de drie validatievarianten – ook nog eens drie verschillende types SSLTLS-certificaten:

  1. Enkel-domein: dit type certificaten beschermt één enkel enkele domeinnaam, bv. ‘www.eendomein.com’;

  2. Multi-domein: hiermee is het mogelijk meerdere domeinnamen binnen één SSL-certificaatte beveiligen; en

  3. Wildcard-certificaten: met een wildcard-certificaat worden alle subdomeinen van één domein beveiligd. Wildcard-certificaten zijn enkel beschikbaar bij domein- en organisatievalidatie, bij uitgebreide validatie (EV-certificaten) moet elk subdomein een eigen certificaat krijgen en kan men dus geen wildcard-certificaten toepassen. 

...