Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan Created with Sketch.
LEES DIT:  Artificiële intelligentie: download het gratis e-book

Encryptie: wat is dat eigenlijk?

Zonder cryptografie hebben cyberdelinquenten meteen toegang tot al jouw bestanden, zoals je medisch dossier of financiële gegevens.

 

Afgelopen maanden wisten het WannaCry- en NotPetya-virus miljoenen slachtoffers te infecteren met ransomware. Eens je besmet wordt, worden alle bestanden versleuteld op je computer, en kan je die volgens de gijzelaars enkel terugkrijgen door een som losgeld te betalen. Wie niet betaalt, ziet zijn bestanden gewist. Als je wel duiten neertelt, dan krijg je de sleutel van de cybergijzelaars om je gegevens te ontgrendelen.

Dit is een kwaadaardige vorm van encryptie, maar gelukkig is zo’n virtueel slot en grendel niet enkel een duivel-in-het-doosje. Meer zelfs, digitale versleuteling is noodzakelijk om je gegevens goed te beveiligen en vind je terug op alle noemenswaardige online diensten. Vandaag leggen we de essentie van encryptie uit: als WhatsApp het heeft over end-to-end-encryptie, wat bedoelen ze dan juist? En wat is het verschil met hashing?

Volgende week duiken we onder de motorkap van de verscheidene encryptietechnologieën. Welke verschillende standaarden waren er doorheen de tijd, en welke evoluties hebben ze gekend? Ter illustratie hebben we ook een gesprek gehad met Joan Daemen en Vincent Rijmen, de twee pioniers van het moderne encryptieprotocol AES.

Wat is encryptie?

Encryptie is een proces waarbij je informatie wordt vervangen door andere tekens en waarbij de originele data niet meer te herkennen valt. Daardoor krijgen ongewenste bezoekers niet zomaar toegang tot je gegevens. Enkel de persoon die de gegevens achter slot en grendel heeft gestoken, heeft toegang tot de sleutel en kan opnieuw de originele gegevens opvragen. Dat betekent dat de sleutel erg veilig moet zijn, want daar hebben de cybermaffiosi het voornamelijk op gemunt. Encryptie lijkt dus erg sterk op een klassiek slot. Eens inbrekers toegang hebben tot de sleutel, moeten ze niet veel moeite meer doen om al je dierbare spullen weg te kapen.

De basis van versleutelen is nog steeds dezelfde als bij de Romeinen, maar tegenwoordig verloopt dit proces een pak complexer.

Al lang voor de komst van het internet gebruikten mensen allerlei cryptografische technieken. De Romeinen gebruikten bijvoorbeeld al een soort geheimschrift om met hun troepen te communiceren. Dit wordt ook wel de Caesar-rotatieversleuteling genoemd. Daarbij werd elke letter vervangen door een teken dat zich een aantal posities verder bevindt in het alfabet. Bij een ROT4 bijvoorbeeld zijn dat vier posities, waarbij de A een E wordt, de B een F, enzovoort. Natuurlijk is deze vorm van encryptie erg primitief en dus makkelijk te ontcijferen. Ondertussen heeft de cryptografie al veel progressie gemaakt en zijn huidige berichten haast onmogelijk om nog te ontcijferen zonder dat je de sleutel hebt. Nu worden niet enkel meer letters gebruikt, maar ook cijfers en andere tekens. Daardoor zijn er ontzettend veel verschillende combinaties mogelijk. In principe vallen die codes nog altijd te kraken, maar daar is enorm veel rekenkracht voor nodig, wat in de praktijk haast onmogelijk is.

Geëvolueerde algoritmes

Encryptie is dus al danig geëvolueerd. De basis van versleutelen is nog steeds dezelfde als bij de Romeinen, maar tegenwoordig verloopt dit proces een pak complexer. In principe is zo’n informatieslot niets meer dan het versleutelen van je gegevens op basis van een algoritme. Al in het begin van de twintigste eeuw staken mensen in het telexverkeer berichten achter slot en grendel door middel van OTP (‘One-Time Pad’). Op de volgende bladzijden graven we dieper in de geschiedenis van encryptie.

Met OTP werden telexberichten versleuteld. De technologie dateert uit 1882 maar is nog steeds niet gekraakt.

De algoritmes die de sleutel beveiligen en overhandigen zijn nu helemaal anders. Vroeger moest je aan de ontvanger de fysieke sleutel met de juiste code bezorgen. Die kon onderweg gestolen worden: niet door een cybercrimineel maar door een klassieke bandiet in zwart-wit pak. Vroeger waren zender en ontvanger altijd twee verschillende personen, terwijl je nu vaak zelf beide rollen vertolkt. Zowel op je smartphone als computer zijn je gegevens versleuteld en kan je ze zelf met een wachtwoord terug ontcijferen. We werken dus nog steeds met zenders en ontvangers, ook al gaat het in principe om dezelfde persoon.

End-to-end-encryptie

Een bekende vorm van versleuteling is de end-to-end-encryptie die berichtendiensten zoals WhatsApp gebruiken. Concreet hebben maar twee mensen toegang tot de sleutel: jijzelf en de vriend, collega of familielid naar wie je een virtueel berichtje stuurt. Niemand anders kan dus je bericht onderscheppen, ook niet de overheid. Wanneer een gerechtelijk bevel de dienst dwingt om inhoud duidelijk te maken, dan kan dat gewoonweg niet. Dat zorgt voor strubbelingen tussen technologiebedrijven en wetgevers, die een encryptiesleutel eisen om berichten van terroristen op te vissen. In Brazilië is WhatsApp bijvoorbeeld een tijdlang onbeschikbaar geweest nadat een rechter had geoordeeld dat het moest meewerken aan een onderzoek. Je kunt je natuurlijk afvragen of we WhatsApp daadwerkelijk kunnen vertrouwen, zeker omdat Facebook niet bepaald gekend is om zijn privacy te respecteren.

 

WhatsApp

Klassieke sms’en lijken steeds meer een reliek uit vervlogen tijden. Haast iedereen heeft tegenwoordig op zijn smartphone wel een externe berichtendienst, zoals WhatsApp of Telegram. De meeste gebruikers beschikken over een slimme telefoon met toegang tot mobiel internet, waardoor het oude berichtensysteem stilaan in verval komt. De kaas moet ook op onze boterham komen, dus een gratis alternatief is interessanter dan het traditionele sms-systeem. Net zoals de elektronische mails voor een groot deel de klassieke brieven hebben vervangen, kennen onze mobieltjes dezelfde metamorfose. Natuurlijk zijn die berichtendiensten niet helemaal gratis, maar ze verbruiken nauwelijks internet en de meeste mensen beschikken ondertussen over een mobiel data-abonnement. Daarnaast bieden externe messengers meer functies aan waarbij je bijvoorbeeld toegang krijgt tot een ellenlange databank aan emoji’s.

De populairste berichtendienst is WhatsApp, dat in 2014 overgenomen werd door Facebook. Deze groene app maakt gebruik van end-to-end-encryptie. Dat betekent concreet dat berichten je smartphone versleuteld verlaten en pas ontgrendeld worden op de telefoon van de ontvanger. Niemand kan dus je bericht lezen, want enkel de verzender en de ontvanger hebben toegang tot de sleutel. Als iemand een berichtje zou onderscheppen als je bijvoorbeeld op een gratis wifi-netwerk vertoeft, kan die persoon in principe de boodschap niet lezen. Ook wanneer geheime federale inlichtingendiensten eens willen neuzen in je berichtjes, zullen ze tegen een barrière aanstoten.
Feitelijk kan WhatsApp zelf niet aan de inhoud, waardoor de architect van de app dus zelf de berichten niet kan lezen die door zijn servers gaan. Het dochterbedrijf van Facebook werkt samen met Open Whisper Systems, dat bekend staat om zijn veiligheid. Dat bedrijf zorgt bijvoorbeeld ook voor de encryptie op Signal, een extra veilige chat-app die zelfs door Edward Snowden wordt gebruikt.

 

Het privacy-vraagstuk

Sinds klokkenluider Edward Snowden een heleboel malafide praktijken van de Amerikaanse inlichtingendienst National Security Agency (NSA) heeft gelekt, zijn encryptie en privacy twee hot topics geworden. Zeker met de komst van het Internet of Things en de technologieën die steden in het dagdagelijkse leven willen incorporeren onder de noemer van ‘smart cities’, is het belangrijk dat privacy hoog in het vaandel wordt gedragen. Geven we al onze persoonlijke gegevens in handen van technologiebedrijven? De discussie tussen Apple en de FBI, waarbij Apple weigert een achterpoortje te voorzien in zijn iPhones, bewijst dit. Als blijkt dat WhatsApp toch berichten kan afluisteren, dan kan het dochterbedrijf van Facebook zijn biezen pakken. Bovendien verdient WhatsApp geld aan bedrijven die willen investeren voor klantenservice-toepassingen, en niet aan inhoud van berichten of ‘consumer insights’ zoals Facebook.

Als blijkt dat WhatsApp toch berichten kan afluisteren, dan kan het dochterbedrijf van Facebook zijn biezen pakken.

Vanuit een privacy-standpunt is end-to-end-versleuteling dus een zegen, vanuit het standpunt van een inlichtingendienst niet meteen. De discussie is moeilijk, en toont vooral aan hoe machteloos onderzoekers staan als technologiebedrijven niet meewerken. Anderzijds zijn we misschien wel bereid om een stukje van ons privéleven te overhandigen in ruil voor een betere nachtrust. De aanslagen in Brussel zijn mogelijk een katalysator voor achterpoortjes in de encryptie voor overheden. Dat brengt ook een gevaar met zich mee, want als de technologiebedrijven een mogelijkheid voorzien om de encryptie te ontsluieren, dan kunnen malafide gebruikers mogelijk ook aan die gegevens. Hoe het ook zij, WhatsApp kan en moet in theorie vertellen wanneer wie naar wie een berichtje stuurde, maar niet wat erin stond. Voorlopig zijn onze privégegevens dus (relatief) veilig bij de populaire berichtendienst van Facebook zolang er geen beveiligingslekken opduiken. Verwacht dat het encryptiedebat nog hevig zal oplaaien in de komende maanden (en jaren) in de media.

Lees meer over : Beveiliging | dossier | encryptie