Versions Compared

Version Old Version 2 New Version Current
Changes made by

Tom De Cubber

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Warning banner met uitleg toegevoegd

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Om versleutelde berichten tussen afzender en ontvanger uit te wisselen en te lezen moeten beide partijen in het bezit zijn van een sleutelpaar. Een sleutelpaar bestaat uit een private (geheime) sleutel  en een publieke (openbare) sleutel. De private sleutel moet de eigenaar goed beveiligen en is ook alleen bekend bij de eigenaar. De publieke sleutel mag aan iedereen worden bezorgd.

...

Vertrouwelijkheid 

Encryptie

Integriteit 

Encryptie Hash en digitale handtekening

Onweerlegbaarheid 

Digitale handtekening met certificaat

Authenticatie 

Digitale handtekening met certificaat

Een andere toepassing van cryptografie is het gebruik van websites. Organisaties stellen steeds meer diensten en informatie beschikbaar via internet. Het is belangrijk dat de gebruiker zeker kan zijnweet dat de website waarop hij/zij gegevens invult daadwerkelijk van de organisatie is en of de communicatie met de website voldoende beveiligd is. Hiervoor zijn (Secure Sockets LayerTransport Layer Security- of) SSL TLS-certificaten de oplossing. Een certificaat voegt een uniek zegel toe aan een website. Dit zegel is op websites beschikbaar voor controle van de echtheid en beveiliging van de website en garandeert op die manier de integriteit van die website.

De kracht van het certificaat

Een certificaat bevat volgende gegevens:

  • Geregistreerde naam van de eigenaar: de certificaathouder;

  • Publieke sleutel van de eigenaar;

  • Geldigheidsperiode van het certificaat;

  • Identiteit van de uitgever van het certificaat: de certificaatautoriteit (CA);

  • Locatie van de Certificate Revocation List (bij de uitgever van het certificaat); en

  • Samenvatting van bovenstaande gegevens, aangemaakt door een ‘hash’-functie, en vervolgens vercijferd met de geheime sleutel van de CA. Dit is de digitale handtekening en dient om de geldigheid en authenticiteit van bovenstaande gegevens te waarborgen.

Een certificaat bevat verschillende essentiële gegevens die worden gebruikt om de identiteit van de certificaathouder te verifiëren en om veilige, versleutelde communicatie mogelijk te maken. De belangrijkste onderdelen die typisch op een encryptiecertificaat te vinden zijn, zijn: 

  • Onderwerp (Subject): Dit bevat de identiteit van de eigenaar van het certificaat, zoals de naam van de organisatie, de afdeling binnen de organisatie, de stad, het land, etc. 

  • Uitgever (Issuer): De naam van de autoriteit die het certificaat heeft uitgegeven (bijvoorbeeld VeriSign, Thawte, Let's Encrypt). 

  • Serienummer: Een uniek nummer toegewezen door de uitgever om het certificaat te identificeren. 

  • Geldigheidsperiode (Validity period): De startdatum en de vervaldatum van het certificaat; geeft aan gedurende welke periode het certificaat als geldig wordt beschouwd. 

  • Publieke sleutel (Public Key): De publieke sleutel van het certificaat die wordt gebruikt voor het versleutelen van informatie die alleen kan worden ontsleuteld met de bijbehorende privésleutel van de ontvanger. 

  • Digitale handtekening (Digital Signature): Een handtekening gemaakt door de uitgevende certificaatautoriteit, die de integriteit van het certificaat waarborgt en bevestigt dat het niet is gewijzigd. 

  • Signature Algorithm: Het algoritme dat gebruikt is om de digitale handtekening te genereren (bijvoorbeeld SHA-256 met RSA-encryptie). 

  • Versie: De versie van het certificaatformaat (bijvoorbeeld versie 3 van X.509). 

  • Key Usage: Specificeert de beoogde gebruiksscenario's van de publieke sleutel, zoals digitale handtekeningen, certificaatondertekening, of encryptie van gegevens. 

  • Extended Key Usage (indien aanwezig): Biedt aanvullende informatie over de beoogde doeleinden van de publieke sleutel, zoals SSL/TLS web server authenticatie, e-mail beveiliging, en code ondertekening. 

  • Subject Alternative Name (SAN): Biedt de mogelijkheid om meerdere namen te specificeren die met het certificaat geassocieerd zijn, inclusief IP-adressen, DNS-namen, en e-mailadressen 

Om bruikbaar te zijn in de meeste toepassingen, worden digitale certificaten opgemaakt volgens een algemeen erkende standaard (X.509). Eén van de kenmerken van deze standaard is dat zij de mogelijkheid biedt van eenvoudige tot uitgebreide identiteitscontrole van de certificaathouder. Eén van de meest voorkomende types certificaten zijn SSL TLS-certificaten voor de beveiliging van websites (HyperText Transfer Protocol Secure of HTTPS) en software om de identiteit van de organisatie die de website of software beheert, aan te tonen.

...

  1. Domeinvalidatie: certificaten met domeinvalidatie bevatten geen bedrijfsgegevens. Er wordt alleen gecontroleerd of de aanvrager controle heeft over het domein waarvoor het certificaat wordt aangevraagd. Het certificaat wordt door alle browsers vertrouwd en zorgt voor een veilige verbinding d.m.v. encryptie. Bij SSL TLS-certificaten met domeinvalidatie toont de browser een sloticoontje, bv.:

...

Specifiek voor de beveiliging van websites, zijn er – naast de drie validatievarianten – ook nog eens drie verschillende types SSL TLS-certificaten:

  1. Enkel-domein: dit type certificaten beschermt één enkele domeinnaam, bv. ‘www.eendomein.com’;

  2. Multi-domein: hiermee is het mogelijk meerdere domeinnamen binnen één SSL-certificaat te beveiligen; en

  3. Wildcard-certificaten: met een wildcard-certificaat worden alle subdomeinen van één domein beveiligd. Wildcard-certificaten zijn enkel beschikbaar bij domein- en organisatievalidatie, bij uitgebreide validatie (EV-certificaten) moet elk subdomein een eigen certificaat krijgen en kan men dus geen wildcard-certificaten toepassen. 

PKI en CA

Een Public Key Infrastructure (PKI) is een set van technische en organisatorische voorzieningen, die een oplossing biedt voor het probleem van koppeling van een eigenaar (persoon of organisatie) aan zijn/haar crypto-sleutelpaar door middel van het digitale certificaat. De uitgifte en het beheer rond deze certificaten wordt op een geformaliseerde wijze uitgevoerd, zodat de status van het certificaat en de eigenaar gegarandeerd is. Daarmee kunnen publieke sleutels in combinatie met de betreffende certificaten gebruikt worden voor authenticatie en het versturen van geheime (sleutel)informatie over een niet vertrouwd netwerk.

...

De componenten van een CSP worden toegelicht in bijlage 2.

Er zijn verschillende soorten van PKI in gebruik en daaraan gekoppeld bestaan verschillende soorten van uitgifte processen van certificaten door CSP’s:

...

Om een digitaal certificaat te verkrijgen van een CSP, moeten een aantal technische stappen doorlopen worden. Dit wordt uitgelegd in bijlage 3.