Veel gebruikte versleutelingstechnieken bevatten nog steeds ernstige zwakheden. Dat blijkt uit het proefschrift van Roel Verdult die op 21 april promoveert aan de Radboud Universiteit. Verdult pleit dan ook voor het vervangen van zelfgemaakte geheime versleutelingstechnieken door veel robuustere openbare technieken.
Door bedrijven zelfgemaakte versleutelingstechnieken, ook wel propriëtaire cryptografie genoemd, zitten in diverse producten die dagelijks door miljarden consumenten worden gebruikt zoals draadloos internet en smartphones. Door naar de deugdelijkheid van algoritmes te kijken kan de kracht van een versleuteling worden bepaald. Een algoritme is hierbij een formule die als een sleutel binnen een veiligheidssysteem wordt toegepast. Bij een goed versleutelingsalgoritme is het vrijwel onmogelijk om alle geheimen te achterhalen, ook al is een gedeelte van de input te achterhalen, en zijn de formule en de uitkomst van de formule bekend.
Verdult: ‘Juist de dingen die een beetje onder de tafel blijven intrigeren me. Bijvoorbeeld organisaties die zeggen dat hun systeem heel veilig is, maar niet hoe. Waarom zeg je dat dan? Als het veilig is, dan moet je het onderliggende algoritme openbaar kunnen maken.’
Openbaar is veiliger
Bij de zelfgemaakte versleutelingstechnieken waar veel bedrijven voor kiezen ligt dat anders. Verdult: ‘Die worden vaak geheim gehouden om ze extra veilig te maken, maar daardoor zitten er ook veel fouten in. Die fouten zitten veel minder in de versleutelingen die openbaar zijn, omdat ze door iedereen getest kunnen worden totdat de beste overblijft.’
Elk algoritme dat wordt gebruikt om te beveiligen heeft een bepaalde moeilijkheidsgraad om het te breken. Als het algoritme fouten bevat dan kun je het met wiskundige trucjes vereenvoudigen en duurt het minder lang.
OV-chipkaart
Dit was dus het geval met de OV-chipkaart die Verdult in 2008 onderzocht toen hij nog student was. Veel media-aandacht was het gevolg. En nog belangrijker, aandacht voor de kwaliteit van digitale beveiligingssystemen. Verdult: ‘Dat er dingen mis gaan bij een reisje voor een paar euro is wat minder serieus misschien, maar de overheid gebruikte deze kaart in Nederland ook om bijvoorbeeld ministeries, politiebureaus, kerncentrales en gevangenissen te beveiligen.’ Verdult en zijn collega’s werden betrokken bij een verbeterde en veiligere kaart, die er inmiddels is.
Bij de OV-chipkaart konden Verdult en zijn collega’s, toen zij eenmaal alle gegevens op een rijtje hadden staan, binnen een paar weken de sleutel achterhalen. ‘Bij een goed systeem is dat vrijwel onmogelijk. Er zijn systemen waarbij dat zelfs met alle privécomputers van Nederland nog tientallen jaren duurt.’
Verdult pleit er dan dus ook voor om openbare versleutelingstechnieken te gebruiken in plaats van de zelfgemaakte technieken. Volgens de promovendus zijn deze methodes al decennia lang openbaar en kosteloos toepasbaar. ‘Helaas laat de praktijk zien dat dergelijke technieken niet altijd worden toegepast.’
Bij openbare versleutelingstechnieken is er iig nog een mogelijkheid om deze te controleren op back-doors. Bij de gesloten variant wordt dat een stuk lastiger.