3 november 2010
SURFnet heeft, onder de titel ‘Applications of Modern Cryptography’, een whitepaper (pdf) gepubliceerd over cryptografie. Met de brede beschrijving en toelichting van dit fenomeen wil SURFnet de juiste inzet van cryptografie stimuleren. Roland van Rijswijk, Technisch Product Manager bij SURFnet en auteur van de whitepaper: ‘Zonder cryptografie geen vertrouwde identiteit op internet. Bij goed gebruik kan cryptografie een belangrijke rol spelen in het beveiligen van online diensten. Maar het is geen Haarlemmerolie. Onjuiste toepassing van de technologie leidt tot een vals gevoel van veiligheid en kan uiteindelijk het verlies of openbaarmaking van gevoelige gegevens tot gevolg hebben. De whitepaper biedt handvatten om op een goede manier cryptografie toe te passen zodat veiligheid en vertrouwen worden gegarandeerd. … Een van de belangrijkste boodschappen van dit document is dat we niet moeten vertrouwen op ‘security by obscurity’. In het verleden is keer op keer gebleken dat het bedrijven niet lukt om geheime algoritmen echt geheim te houden. Dat komt omdat onderzoekers niet in een vroeg stadium betrokken worden in het opsporen van zwakke plekken in de algoritmen, waardoor ze te kraken zijn. Men kan het beste alleen algoritmen gebruiken, die in een open proces met de betrokkenheid van de wetenschap zijn ontwikkeld’.
Cryptografie ligt aan de basis van een vertrouwde identiteit op internet. Een goed voorbeeld daarvan is de SURFfederatie. De techniek die in de SURFfederatie het vertrouwen regelt is volledig gebaseerd op cryptografie. De SURFfederatie stelt gebruikers binnen de Nederlandse onderwijs- en onderzoekswereld in staat om met één identiteit – die van hun eigen instelling – in te loggen op alle diensten en contentleveranciers die zijn aangesloten bij de SURFfederatie. Dit maakt het voor gebruikers zowel makkelijker als veiliger, ze hoeven namelijk maar een wachtwoord te onthouden en ze loggen altijd op dezelfde herkenbare plek in. De whitepaper geeft een bijzonder goed overzicht van de oorsprongen, de mogelijkheden en de toepassingen van cryptografie en is een aanrader voor iedere organisaties die op basis van cryptografie informatie wil beschermen. Ook de digitale handtekening komt uitgebreid aan bod. In de conclusie komen de voornaamste bevindingen nogmaals voor het voetlicht: ‘But cryptography is not a silver bullet that solves all security woes. It needs to be used correctly in order to add to the security of a system. Indeed, there are many examples of bad applications of cryptography that have led to security disasters. … One of the most important messages of this document is not to rely on ‘security by obscurity’. Any product that claims to use ‘secret algorithms’ that ‘outperform anything on the market today both in speed as well as security’ should be treated with a healthy dose of scepticism. … There is no single solution that provides end-to-end protection all the time’. Een oproep om vooral bij te blijven en alle ontwikkelingen op het cryptografie-front te volgen is natuurlijk heel mooi, maar waarschijnlijk iets te veel gevraagd van al die organisaties die moeite genoeg hebben om hun informatiehuishouding veilig te houden. Voor alle bij SURFnet aangesloten instellingen vindt op 23 november as. een kennismiddag plaats over cryptografie.