Managed hosting door True

Discussie

Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

‘Data-encryptie is niet zaligmakend’

 

versleutelen

Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de valkuil van encryptie. Want dataversleuteling kan niet altijd én kan niet alle ‘gaatjes’ voorkomen.

Cyberinbraken lijken aan de orde van de dag. De ene datadiefstal volgt de andere op en de volgende blijkt nog groter te zijn dan het vorige record. Gebrekkige beveiliging, inclusief data-encryptie, ligt maar al te vaak ten grondslag aan deze ict-rampen. Of het nou een cruciale betalingsverwerker, een VS-brede winkelketen, een grote filmmaker of een gigantische zorgverzekeraar is.

Alleen is encryptie niet hét antwoord. Soms is encryptie zelfs niet eens echt van toepassing. Zoals in het geval van de hack bij de Amerikaanse zorgverzekeraar Anthem, waar de echt gevoelige gegevens immers gewoon in gebruik zijn. Voor dat dagelijkse gebruik moet de data dus wel decrypted zijn, op z’n minst voor de lopende sessie. Zelfs krachtige encryptie volstaat dan niet. Wat vind jij?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5246790). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Zoals op en.wikipedia.org/wiki/Information_security#Key_concepts na te lezen zijn de sleutelconcepten Integrity, Availability, Authenticity en Non-repudation, waarin ook een onderlinge afhankelijkheid zit.

Aan de participanten in deze discussie deze afhankelijkheid te analyseren.

Niets in de wereld is zaligmakend, of zaligmakend is een illusie.
Ik vind dit weer een onzinnig vraagstuk en een beetje te simpel. Zwakke encryptie wordt gebroken, sterke encryptie ben je afhankelijk van wie de sleutels heeft. Daarnaast kan een mens geen versleutelde data lezen dus op een gegeven moment moet het niet versleuteld zijn, daar kunnen mogelijk zwakheden zitten zoals je zag met heartbleed. Wachtwoorden waren niet versleuteld in het geheugen en door een bug kon dat geheugen uitgelezen worden. Als wachtwoord een onderdeel van de versleuteling is en de gebruiker gaat hier slordig mee om, heeft versleuteling ook weinig zin en als je versleutelmethoden "flawed" is heb je nog een probleem.

Zo, alles erover gezegd, discussie klaar.

Security is geen status quo maar een proces waar encryptie een rol kan spelen bijvoorbeeld met EncFS.
Net als data-encryptie, zijn zelf computers niet "zaligmakend" om iets zalig te maken moet je geloof ik in de kerk zijn maar dat ligt buiten mijn vakgebied.

Encryptie is niet zaligmakend, maar het is wel een extra laag in de bescherming van de gegevens. Het voorkomt niet dat de gegevens gestolen worden, maar maakt het gebruik van die gestolen gegevens wel erg moeilijk. We kunnen met z'n allen nooit 100% security garanderen, maar we kunnen wel het risico verkleinen. Daar bovenop moeten we rekening houden met de veranderende wetgeving. Bij datalekken waarbij de gelekte persoonsgegevens encrypted zijn hoef je bijvoorbeeld geen melding te doen aan de betrokkenen. Dat scheelt een hoop kosten!

'Data-encryptie is niet zaligmakend’
Als je er van maakt:
"Data-encryptie is niet altijd zaligmakend’: dan klopt 't beter.
In de meeste gevallen is 't natuurlijk gewoon één van de voorwaarden voor zaligheid.
Net zoals Open Source software ook kan rammelen, maar desondanks is Open Source een _voorwaarde_ voor een veilig en open bestuur (bij de overheid).

Volkomen logisch, dat je als mens niet kunt werken met versleutelde gegevens, maar laten we dan in elk geval zo slim zijn om onze data niet onversleuteld te versturen; of onversleuteld op te slaan in een cloud waarvan we niet eens weten wie de eigenaar is. Zolang dergelijke praktijken nog aan de orde van de dag zijn, is data-encryptie een belangrijk en in hoge mate zaligmakend hulpmiddel.

Even een hint voor de liefhebbers.
Owncloud, met https en zelfgetekend certificate,
de versleutelings-plugin en eventueel nog lokaal EncFS.
Dan ben je echt geliefd bij NSA en Co.

Versleuteling (of eigenlijk cryptografie in het algemeen) werkt alleen in een goed uitgewerkt beveiligings beleid. Sowieso werkt het alleen als key management goed is geregeld. Als dit het geval is dan kan versleuteling een belangrijke component zijn in een beveiligingslaag. Het bespreken van versleuteling in het algemeen heeft eigenlijk geen zin zonder context.

Het is wel bewezen dat het belangrijk is binnen bestaande oplossingen. Wel is het zo dat het lastig is om cryptografie goed in te zetten. We moeten niet vergeten dat het een technologie is die nog maar net volwassen is geworden.

Op het moment dat versleuteling als op zichzelf staande oplossing wordt aangedragen dan moeten alle alarmbellen af gaan. "Dan versleutelen we het toch" verdoezelt niet de data maar het probleem.

Dataencryptie is maar een klein onderdeel van veiligheid. Zodra een geautoriseerde gebruiker encrypten data moet lezen moet de data ontcijferd worden en is dit op beeldscherm en in het interne geheugen beschikbaar. Nu we weten dat overheden moeite doen om hardware te vervuilen met backdoors kunnen we er van uit gaan dat data op geen enkele wijze veilig is op IT systemen en netwerken.
Veiligheid is dus een relatief begrip.

@ Jasper Bakker, 31-03-2015 08:05: 'Voor dat dagelijkse gebruik moet de data dus wel decrypted zijn, op z’n minst voor de lopende sessie. Zelfs krachtige encryptie volstaat dan niet. Wat vind jij?'

Wat dan wel volstaat is segregatie van informatie: wuala.com/FreemoveQuantumExchange/Aspects/Security/Programs/ChannelCodingExamples/OpenVPN-NL/sharing_secrets.pdf

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×