Achtergrond

Encryptie: wat is dat eigenlijk?

Zonder cryptografie hebben cyberdelinquenten meteen toegang tot al jouw bestanden, zoals je medisch dossier of financiële gegevens.

Afgelopen maanden wisten het WannaCry- en NotPetya-virus miljoenen slachtoffers te infecteren met ransomware. Eens je besmet wordt, worden alle bestanden versleuteld op je computer, en kan je die volgens de gijzelaars enkel terugkrijgen door een som losgeld te betalen. Wie niet betaalt, ziet zijn bestanden gewist. Als je wel duiten neertelt, dan krijg je de sleutel van de cybergijzelaars om je gegevens te ontgrendelen.

Dit is een kwaadaardige vorm van encryptie, maar gelukkig is zo’n virtueel slot en grendel niet enkel een duivel-in-het-doosje. Meer zelfs, digitale versleuteling is noodzakelijk om je gegevens goed te beveiligen en vind je terug op alle noemenswaardige online diensten. Vandaag leggen we de essentie van encryptie uit: als WhatsApp het heeft over end-to-end-encryptie, wat bedoelen ze dan juist? En wat is het verschil met hashing?

Volgende week duiken we onder de motorkap van de verscheidene encryptietechnologieën. Welke verschillende standaarden waren er doorheen de tijd, en welke evoluties hebben ze gekend? Ter illustratie hebben we ook een gesprek gehad met Joan Daemen en Vincent Rijmen, de twee pioniers van het moderne encryptieprotocol AES.

Wat is encryptie?

Encryptie is een proces waarbij je informatie wordt vervangen door andere tekens en waarbij de originele data niet meer te herkennen valt. Daardoor krijgen ongewenste bezoekers niet zomaar toegang tot je gegevens. Enkel de persoon die de gegevens achter slot en grendel heeft gestoken, heeft toegang tot de sleutel en kan opnieuw de originele gegevens opvragen. Dat betekent dat de sleutel erg veilig moet zijn, want daar hebben de cybermaffiosi het voornamelijk op gemunt. Encryptie lijkt dus erg sterk op een klassiek slot. Eens inbrekers toegang hebben tot de sleutel, moeten ze niet veel moeite meer doen om al je dierbare spullen weg te kapen.

De basis van versleutelen is nog steeds dezelfde als bij de Romeinen, maar tegenwoordig verloopt dit proces een pak complexer.

Al lang voor de komst van het internet gebruikten mensen allerlei cryptografische technieken. De Romeinen gebruikten bijvoorbeeld al een soort geheimschrift om met hun troepen te communiceren. Dit wordt ook wel de Caesar-rotatieversleuteling genoemd. Daarbij werd elke letter vervangen door een teken dat zich een aantal posities verder bevindt in het alfabet. Bij een ROT4 bijvoorbeeld zijn dat vier posities, waarbij de A een E wordt, de B een F, enzovoort. Natuurlijk is deze vorm van encryptie erg primitief en dus makkelijk te ontcijferen. Ondertussen heeft de cryptografie al veel progressie gemaakt en zijn huidige berichten haast onmogelijk om nog te ontcijferen zonder dat je de sleutel hebt. Nu worden niet enkel meer letters gebruikt, maar ook cijfers en andere tekens. Daardoor zijn er ontzettend veel verschillende combinaties mogelijk. In principe vallen die codes nog altijd te kraken, maar daar is enorm veel rekenkracht voor nodig, wat in de praktijk haast onmogelijk is.

Geëvolueerde algoritmes

Encryptie is dus al danig geëvolueerd. De basis van versleutelen is nog steeds dezelfde als bij de Romeinen, maar tegenwoordig verloopt dit proces een pak complexer. In principe is zo’n informatieslot niets meer dan het versleutelen van je gegevens op basis van een algoritme. Al in het begin van de twintigste eeuw staken mensen in het telexverkeer berichten achter slot en grendel door middel van OTP (‘One-Time Pad’).

Met OTP werden telexberichten versleuteld. De technologie dateert uit 1882 maar is nog steeds niet gekraakt.

De algoritmes die de sleutel beveiligen en overhandigen, zijn nu helemaal anders. Vroeger moest je aan de ontvanger de fysieke sleutel met de juiste code bezorgen. Die kon onderweg gestolen worden: niet door een cybercrimineel maar door een klassieke struikrover. Vroeger waren zender en ontvanger altijd twee verschillende personen, terwijl je nu vaak zelf beide rollen vertolkt. Zowel op je smartphone als computer zijn je gegevens versleuteld en kan je ze zelf met een wachtwoord terug ontcijferen. We werken dus nog steeds met zenders en ontvangers, ook al gaat het in principe om dezelfde persoon.

End-to-end-encryptie

Een bekende vorm van versleuteling is de end-to-end-encryptie die berichtendiensten zoals WhatsApp gebruiken. Concreet hebben maar twee mensen toegang tot de sleutel: jijzelf en de vriend, collega of het familielid naar wie je een virtueel berichtje stuurt. Niemand anders kan dus je bericht onderscheppen, ook niet de overheid. Wanneer een gerechtelijk bevel de dienst dwingt om inhoud duidelijk te maken, dan kan dat gewoonweg niet. Dat zorgt voor strubbelingen tussen technologiebedrijven en wetgevers, die een encryptiesleutel eisen om berichten van terroristen op te vissen. In Brazilië is WhatsApp bijvoorbeeld een tijdlang onbeschikbaar geweest nadat een rechter had geoordeeld dat het moest meewerken aan een onderzoek.

Het privacy-vraagstuk

Sinds klokkenluider Edward Snowden een heleboel malafide praktijken van de Amerikaanse inlichtingendienst National Security Agency (NSA) heeft gelekt, zijn encryptie en privacy twee hot topics geworden. Zeker met de komst van het Internet of Things en de technologieën die steden in het dagdagelijkse leven willen incorporeren onder de noemer van ‘smart cities’, is het belangrijk dat privacy hoog in het vaandel wordt gedragen. Geven we al onze persoonlijke gegevens in handen van technologiebedrijven? De discussie tussen Apple en de FBI, waarbij Apple weigert een achterpoortje te voorzien in zijn iPhones, bewijst dit. Als blijkt dat WhatsApp toch berichten kan afluisteren, dan kan het dochterbedrijf van Facebook zijn biezen pakken.

Als blijkt dat WhatsApp toch berichten kan afluisteren, dan kan het dochterbedrijf van Facebook zijn biezen pakken.

Vanuit een privacy-standpunt is end-to-end-versleuteling dus een zegen, vanuit het standpunt van een inlichtingendienst niet meteen. De discussie is moeilijk, en toont vooral aan hoe machteloos onderzoekers staan als technologiebedrijven niet meewerken. Anderzijds zijn we misschien wel bereid om een stukje van ons privéleven te overhandigen in ruil voor een betere nachtrust. Terroristische aanslagen zijn mogelijk een katalysator voor achterpoortjes in de encryptie op vraag van overheden. Dat brengt ook een gevaar met zich mee, want als de technologiebedrijven een mogelijkheid voorzien om de encryptie te ontsluieren, dan kunnen malafide gebruikers mogelijk ook aan die gegevens. Hoe het ook zij, WhatsApp kan en moet in theorie vertellen wanneer wie naar wie een berichtje stuurde, maar niet wat erin stond. Voorlopig zijn onze privégegevens dus (relatief) veilig bij de populaire berichtendienst van Facebook zolang er geen beveiligingslekken opduiken. Verwacht dat het encryptiedebat nog hevig zal oplaaien in de komende maanden (en jaren).

beveiligingencryptie

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600