Cyber Response Team
Encryptie en sleutelbeheer
- Raf Geuns (Unlicensed)
- Sam van Schaik (Unlicensed)
1. Introductie
Als lokaal bestuur speelt de beveiliging van informatie een cruciale rol. Encryptie, een krachtige techniek die gegevens omzet in een onleesbare vorm, biedt een essentiële laag tegen ongeautoriseerde toegang. Het is de fundering van moderne beveiliging en maakt veilige communicatie mogelijk in een tijdperk waar gevoelige informatie constant wordt uitgewisseld.
Binnen encryptie zijn er twee hoofdzaken: symmetrische encryptie, waarbij dezelfde sleutel wordt gebruikt voor zowel versleuteling als ontsleuteling, en asymmetrische-encryptie, waarbij er gebruik wordt gemaakt van twee sleutels – één openbare sleutel (public key) en één privésleutel (private key) voor ontsleuteling. De private key is enkel bestemd voor de eigenaar van de informatie en moet daarom goed beveiligd worden. De versleutel methode die gebruik maakt van twee sleutels, bekend als Public Key Infrastructure (PKI), heeft de manier waarop we digitale veiligheid benaderen veranderd.
PKI biedt een robuust kader voor het beheer van sleutels en digitale certificaten waardoor veilige communicatie tussen bijvoorbeeld burgers en een lokaal bestuur mogelijk is zonder voorafgaande uitwisseling van geheime sleutels. Met behulp van PKI kunnen gebruikers hun identiteit digitaal bevestigen, data ondertekenen en versleutelen, en veilige online transacties uitvoeren.
2. Hoe verloopt versleuteling?
Zoals reeds aangehaald in de introductie, bestaan er meerdere soorten encryptie: symmetrische en asymmetrische encryptie. Elk van deze methoden heeft unieke eigenschappen en toepassingen in de wereld van digitale beveiliging. Denk maar bijvoorbeeld aan het versturen van email, bestanden of volledige netwerken (VPN).
Bij symmetrische encryptie wordt hetzelfde wachtwoord gebruikt voor zowel het versleutelen als het ontsleutelen van gegevens. Aangezien dezelfde sleutel wordt toepast aan beide zijden van de communicatie, staat dit proces bekend om zijn eenvoud en efficiëntie. Symmetrische encryptie wordt vaak gebruikt bij het opslaan van documentatie of het beveiligen van bestanden waarbij snelheid en minimale rekenkracht essentieel zijn.
Bij asymmetrische encryptie wordt gebruik gemaakt van twee sleutels: een publieke sleutel en een private sleutel. De publieke sleutel fungeert als een mechanisme voor veilige communicatie en identiteitsverficatie.
Ten eerste maakt versleuteling met de publieke sleutel het mogelijk om gegevens veilig te versturen. Alleen de bezitter van de bijhorende private sleutel kan deze versleutelde gegevens ontsleutelen, wat de vertrouwelijkheid waarborgt.
Ten tweede wordt de publieke sleutel gebruikt voor het verifiëren van digitale handtekeningen die zijn gemaakt met de bijhorende private sleutel. Hierdoor kan men zeker zijn van de integriteit en authenticiteit van de ontvangen gegevens.
Â
Hieronder vindt u de stappen die genomen worden bij asymmetrische encryptie:
Â
Sleutelpaar genereren: De ontvanger genereert een sleutelpaar bestaande uit een publieke sleutel en een bijbehorende private sleutel.
Publieke sleutel verspreiden: De ontvanger verspreidt de publieke sleutel naar iedereen die versleutelde berichten naar hen wil sturen. De publieke sleutel kan veilig worden gedeeld omdat het, in tegenstelling tot de private sleutel, geen gevoelige informatie onthult.
Versleutelen van gegevens: De verzender verkrijgt de publieke sleutel van de ontvanger en gebruikt deze om gegevens te versleutelen. Dit versleutelde bericht kan alleen worden ontsleuteld door de ontvanger met behulp van hun bijbehorende private sleutel.
Verzenden van versleutelde gegevens: De verzender stuurt het versleutelde bericht naar de ontvanger. Omdat alleen de ontvanger beschikt over de bijbehorende private sleutel, kan deze de versleutelde gegevens decoderen.
Decryptie van gegevens: De ontvanger gebruikt hun private sleutel om de ontvangen versleutelde gegevens te ontsleutelen en het originele bericht te herstellen.
Digitale handtekening genereren: Als de verzender een digitaal handtekening wil toevoegen aan het bericht, gebruikt deze zijn of haar private sleutel om een unieke digitale handtekening te genereren. Deze handtekening wordt vaak gecreëerd door een hash van het bericht te versleutelen met de private sleutel.
Verzenden van het ondertekende bericht: De verzender stuurt het originele bericht samen met de digitale handtekening naar de ontvanger.
Verificatie van digitale handtekening: De ontvanger gebruikt de publieke sleutel van de verzender om de digitale handtekening te verifiëren. Als de handtekening geldig is, kan de ontvanger er zeker van zijn dat het bericht afkomstig is van de verzender en dat het niet is gewijzigd tijdens de overdracht.
3. Aanbevelingen
Organisatorische maatregelen
Stel een duidelijk en gedocumenteerd informatiebeveilingsbeleid op dat de richtlijnen en verwachtingen voor alle medewerkers definieert.
Implementeer een strikt toegangsbeheerbeleid om ervoor te zorgen dat medewerkers alleen toegang hebben tot de informatie en middelen die relevant zijn voor hun functie.
Ontwikkel en oefen een gedetailleerd incident responseplan, zodat het personeel snel en effectief kan reageren op beveilig incidenten.
Werk alleen samen met vertrouwde en goed CA’s om de integriteit van digitale certificaten te waarborgen.
Implementeer een sleutelbeheerbeleid dat de veilige generatie, distributie, opslag en rotatie van sleutels regelt.
Implementeer uitgebreide audit logs en monitoringsmechanismen om activiteiten met betrekking tot digitale certificaten en sleutel bij te houden.
Technische maatregelen
Gebruik sterke en up-to-date cryptografische algoritmen voor sleutelgeneratie, versleuteling en ondertekening van digitale certificaten.
Maak gebruik van beveiligde opslag voor private sleutels.
Zorg ervoor dat digitale certificaten tijdig worden gevalideerd en geverifieerd. Dit omvat het controleren van de handtekening en het verifiëren van de geldigheid van het certificaat.
Implementeer MFA om een extra laag beveiliging toe te voegen aan gebruikersauthenticatie
Splits het netwerk op in segmenten om de verspreiding van aanvallen te beperken en het beheer van beveiligingsbeleid te vereenvoudigen.
Mensgerichte maatregelen
Organiseer voldoende kennistrainingen voor IT-medewerkers.
Het belang benadrukken van PKI binnen een lokaal bestuur.
4. Verklarende woordenlijst
Term | Verduidelijking | Link naar meer informatie |
|---|---|---|
Virtual Private Network (VPN) | Virtual Private Network is een beveiligde verbinding die je online activiteiten versleuted en je internetverkeer via een externe server leidt, waardoor je privacy veiligheid worden vergroot door je echte IP-adres te verbergen. | https://consumentenbond.nl/veilig-internetten/veiliger-internetten-met-een-vpn |
Hash | Een hash is een output die wordt gegenereerd door een hashfunctie, waarbij inputgegevens van willekeurige grootte worden omgezet in vaste, unieke reeks tekens. Het wordt gebruikt voor het beveiligen van gegevensintegriteit en wachtwoordopslag, omdat zelfs kleine wijzigingen in de input een compleet andere hash opleveren. | https://www.techtarget.com/searchdatamanagement/definition/hashing |
Certificate Authority (CA) | Certificate Authority is een vertrouwde entiteit die digitale certificaten uitgeeft en ondertekent om de authenticiteit van de openbare sleutel van een gebruiker, server of apparaat te waarborgen. Hierdoor kunnen andere veilig communiceren met de entiteit en de geldigheid van de versterkte certificaten verifiëren. | |
Multifactor-authenticatie (MFA) | Multifactor-authenticatie is een elektronische authenticatie-methode waarbij gebruikers pas toegang krijgen tot een website of applicatie nadat gebruikers zich twee (of meer) keer geauthenticeerd hebben.  |
5. Referenties
Digitaal Vlaanderen - Minimale maatregelen IAM - Vo_Informatieclassificatie – Minimale maatregelen
Dit is een document voor publiek gebruik.