13 January 2016   | 0
Cybersecurity

Onbreekbaar bestaat niet

Onbreekbaar bestaat niet

Encryptie is een must, maar versleutelde data is niet onkraakbaar. ‘Brute force’ kraakmethodes worden steeds krachtiger.

De Romeinse keizer Julius Ceasar wordt wel eens genoemd als een van de pioniers in beveiligde communicatie. Hij voerde ruim tweeduizend jaar geleden het Ceasarcijfer in, een methode om militaire boodschappen te versleutelen. Het Ceasarcijfer vervangt letters in een boodschap door oplopende cijfers van 1 tot en met 25. De Ceasarrotatie 1 betekent bijvoorbeeld het vervangen van de letter A door de letter B, de letter B door de letter C enzovoort voor de rest van de letters in het alfabet. De Ceasarrotatie 2 vervangt de letter A door de letter C.

Steeds (on)veiliger

Bepaald onbreekbaar is (en was) Ceasars’ favoriete encryptiemethode niet, ook zonder moderne kraakmethoden. Er zijn immers slechts 25 combinaties mogelijk in het alfabet. Vandaag de dag zijn encryptiemethodes complexe algoritmes die gebruikmaken van 128 of 256-bit sleutels. Een 256-bit encryptiesleutel is theoretisch onbreekbaar. Maar er is een verschil tussen theorie en praktijk; wat vandaag als onbreekbaar geldt, is dat morgen misschien niet meer. Dat schrijft ook het online magazine Techspective. Wie denkt dat er een magic silver bullet solution voor databeveiliging bestaat, heeft het verkeerd.

Een team Fujitsu-onderzoekers slaagde er enkele jaren al in een 923-bit beveiligingssleutel te kraken in minder dan 150 dagen, met behulp van de rekenkracht van 252 processorkernen. Encryptie, hoe goed ook, is dus niet onkraakbaar. ‘Brute force’ kraaktechnieken testen alle mogelijke combinaties. Bij een lang en willekeurig wachtwoord duurt dit aanmerkelijk langer dan bij korte, gemakkelijk te raden wachtwoorden. Een probleem is echter dat veel ‘random’ gegeneerde encryptiesleutels helemaal niet willekeurig zijn. Een computer kan namelijk geen écht willekeurige resultaten geven. Zwakheden in programma’s voor het genereren van encryptiesleutels kunnen ontdekt en uitgebuit worden. De lengte van een sleutel is dan niet meer relevant.

Encryptie > geen encryptie

De tijd die het theoretisch kost om een sleutel te kraken, kan in de praktijk bovendien aanmerkelijk korter zijn. De theorie gaat ervan uit dat de correcte sleutel de laatste combinatie is die men probeert bij het ‘brute force’ kraken. Maar het is net zo goed mogelijk dat het kraakprogramma de juiste combinatie raadt na een week, een dag of zelfs bij de allereerste poging. Dus moeten we helemaal geen encryptie meer gebruiken? Nee, dat niet. Niet versleutelde data is immers nog altijd kwetsbaarder. Maar het betekent wel dat je op je hoede moet zijn en periodiek zal moeten nagaan of de beveiliging van belangrijke data nog wel up-to-date is.

Door deze site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring te bieden. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen. Wij gebruiken cookies van Google Analytics om het bezoekersgedrag te analyseren teneinde de gebruikerservaring te verbeteren. Deze gegevens zijn niet naar u persoonlijk te herleiden.

Sluiten