/
Cryptografie


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Cryptografie

  • GEVALIDEERD

    • Het beleid voor cryptografie beperkt de inzet van cryptografische technologieën tot alleen die algoritmen die zowel krachtig als efficiënt zijn en bestand zijn tegen bekende aanvallen. Dit beleid is bedoeld om gegevens en informatieprocessen te beschermen. De gebruikte componenten en algoritmen zijn gebaseerd op publiekelijk geteste en bewezen veilige richtlijnen. Het beleid zorgt ook voor naleving van alle wettelijke en contractuele eisen met betrekking tot cryptografie.

    Inhoud

     

     

    Doel

     

    Cryptografie juist en doeltreffend gebruiken in overeenstemming met wet- en regelgeving om de vertrouwelijkheid, authenticiteit, onweerlegbaarheid en/of integriteit van informatie te beschermen. Dit beleid is van toepassing voor alle medewerkers, leveranciers, partners en alle ander personeel of entiteiten in eender welke relatie met Vlaamse Overheid.

    DOELSTELLINGEN

    Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

    • Page:
      OD.03

      We beschermen informatie door een correct en doeltreffend gebruik van cryptografische maatregelen.

    DREIGINGEN

    Het beleid draagt bij om de volgende dreigingen te verminderen, te mitigeren of te voorkomen:

    Beleid

     

    Algemeen

     

    Data in Motion (DIM)

     

    Data in Motion zijn gegevens die wordt verzonden of ontvangen over een netwerk. Dit kan zijn tussen twee computers, tussen een computer en een server, of tussen een computer en een mobiel apparaat. Data in motion is het meest kwetsbare type data, omdat het zich in transit bevindt en dus gemakkelijk kan worden onderschept door een aanvaller.

    Dit document gebruikt TLS, SSL en SSL/TLS door elkaar, maar zijn om praktische redenen, tenzij daar waar expliciet vermeld, synoniemen van elkaar.

    Symmetrische versleuteling

    Bepaling van de sleutelsterkte

    De sleutel tot het kiezen van een veilig symmetrisch algoritme zit vervat in: 

    • De grootte/lengte van de cryptografische sleutel 

    • De grootte van de cryptografische blokken 

    • De gekozen encryptie blok modus (CBC/ECB/CTR/GCM/...) 

    Als vuistregel voor het kiezen van een sterk symmetrisch encryptie algoritme kan bovenstaande tabel gebruikt worden. Het meest gebruikte algoritme vandaag en ook de de facto standaard sinds een aantal jaar is de Advanced Encryption Standard (AES). Dit is de opvolger van de Data Encryptie Standaard (DES). 

    Volgens NIST is AES-128 bit versleuteling de minimale norm om sensitieve data te gaan beveiligen tot en met 2030.

    Asymmetrische versleuteling

    Bepaling van de sleutelsterkte

    Het security aspect van asymmetrische versleuteling zit hem net zoals bij symmetrische versleuteling in de lengte van de sleutel, maar ook met specifieke focus op: 

    • Sleutel uitwisselingsprotocol 

    • Hashing protocol 

    • Authenticatie 

    • Grootte/lengte van de encryptie sleutel

    Alhoewel NIST voor symmetrische encryptie een sleutellengte aanraadt van 128 bit lang in NIST SP 800-57 rev2, wordt er voor asymmetrische encryptie schema’s nog altijd 2048 bit RSA/DSA naar voor geschoven als een veilige sleutellengte. Afhankelijk van de informatieklasse en de toekomstbestendigheid van de te beschermen informatie en de vereiste performantie, dient er vanuit een security architectuur oogpunt een weloverwogen beslissing genomen te worden of een RSA-sleutel groter dan 2048 bit aangewezen is. 

    HTTP Encryptie

    HTTP (Hypertext Transfer Protocol) is een protocol dat communicatie tussen verschillende systemen mogelijk maakt. Meestal wordt het gebruikt voor het overbrengen van gegevens van een webserver naar een browser om webpagina's te bekijken, maar het kan ook gebruikt worden als webservice (SOAP/REST/XML-RPC) om automatische interactie tussen twee machines over het netwerk mogelijk te maken. 

    Het probleem bij HTTP is dat standaard gegevens niet worden versleuteld en dat deze door derden kunnen worden onderschept wanneer gegevens worden doorgegeven tussen verschillende systemen. 

    Dit is een document voor publiek gebruik.