3.1.2.4. CA en CAA
- Yentl Goossens (Unlicensed)
Het vertrouwen in digitale certificaten is maar zo groot als het vertrouwen dat kan gesteld worden in de uitgevende CA. Niet alle CA’s verdienen een even groot vertrouwen. Een organisatie kan afdwingen welke CA’s SSL-certificaten mogen uitgeven en welke niet. Ze doen dit via een techniek genoemd CAA (Certificate Authority Authorisation). CAA is gebaseerd op en gebruikt DNS (‘Domain Name System’) door middel van een DNS CAA-record. Hiermee kan de domeineigenaar specifiëren welke root CA’s een certificaat voor het domein mogen aanvragen en ondertekenen, in lijn met het veiligheidsbeleid van de organisatie. Dit voorkomt uitgifte van certificaten door CA’s die niet door de organisatie werden goedgekeurd.
CAA voegt aldus een extra beveiligingslaag toe door middel van de DNS-omgeving. Maar DNS is van zichzelf geen sterk beveiligd systeem. Hierdoor is het niet ondenkbaar dat onbevoegden DNS-records kunnen aanpassen. Met DNSSEC kan het beveiligingsniveau van de DNS-omgeving verhoogd worden. DNSSEC (DNS Security Extensions) is een beveiligingstechniek waarbij de DNS-records gevalideerd worden door gebruik te maken van een digitale handtekening. Door middel van deze digitale handtekening kan een DNS-server aantonen dat de informatie afkomstig is van een gevalideerde bron en dat deze niet is gewijzigd.
Blockchain
Blockchain is een systeem dat gebruikt kan worden om gegevens vast te leggen. Dit kunnen bijvoorbeeld overschrijvingen zijn zoals die bij een reguliere bank mogelijk zijn, maar een blockchain kan ook eigendomsaktes, afspraken, persoonlijke berichten of andere gegevens bevatten. Het bijzondere aan blockchain is dat dit mogelijk is zonder centrale autoriteit waardoor het vervalsen van de vastgelegde gegevens vanuit één centraal punt niet mogelijk is. Een blockchain bestaat uit een keten vastgelegde en samengevoegde gegevens, blokken (blocks) genoemd. De keten van gegevens wordt bepaald door de volgorde waarin gegevens worden toegevoegd.
Een blockchain is een openbare database, waarin alle transacties die zijn gedaan via het netwerk zijn opgeslagen. Deze database wordt niet beheerd door één bedrijf of persoon, maar door alle computers die deel uitmaken van het netwerk. Iedere computer heeft een kopie van de boekhouding en elke nieuwe transactie wordt gezamenlijk geverifieerd.
Dat heeft een aantal voordelen. Er kan minder snel gesjoemeld worden, aangezien elke wijziging in de database moet worden goedgekeurd door de spelers in het netwerk. Elke transactie wordt in een block vastgelegd en aan de bestaande blokketen toegevoegd. Zo is elke wijziging die ooit gemaakt is voor iedereen zichtbaar. Dat is een stuk transparanter en veiliger dan bij een centrale database.
De techniek steunt op de eigenschappen van een hash: deze verbindt de blokken van een blockchain als schakels in de keten, als het vorige blok wordt gewijzigd is dit gemakkelijk vast te stellen doordat de hash dan niet meer klopt. Een blok wordt dus gekoppeld door middel van een verwijzing naar een vorig blok. Deze verwijzing is eigenlijk een hash van de header van het vorige blok.
Een blockchain is dus een specifieke toepassing van cryptografie.
De bekendste implementatie van de blockchain is de cryptomunt, waarvan de Bitcoin meest genoemd, maar er is ook sprake van toepassing bij verkiezingen (e-voting): stemmen via een decentraal gedistribueerd netwerk waarbij de blockchain-techniek voor de nodige integriteit zorgt. Anonimiteit wordt ingebouwd via een speciaal hiervoor voorzien algoritme.