Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Verstuur data veilig met digitale certificaten

None

Inhoudsopgave

  1. > Inleiding
  2. > (Gratis) SSL-certificaten voor websites en rootcertificaten
  3. > E-mail, Office, FTP, VPN versleutelen
Mail verzenden, draadloos internetten, bestanden versturen en informatie uitwisselen via je webbrowser… allemaal acties die privacygevoelige data kunnen bevatten. Om er zeker van te zijn dat deze niet onderschept worden, vertelt PCM je in dit artikel over digitale certificaten.

Voor communicatie als e-mail en bestandsoverdracht via FTP zou je privacygevoelige gegevens eventueel eerst lokaal kunnen versleutelen, maar los van de vraag hoe je de (decryptie)sleutel op een veilige manier bij de bedoelde ontvanger krijgt, werkt dat niet bepaald praktisch. En wat doe je dan met de informatie die je op allerlei websites, zoals van sociale media, invult?

Digitale certificaten – ook wel digitale ID’s genoemd – bieden een oplossing voor dergelijke problemen en ze worden dan ook volop ingezet in allerlei vormen van communicatie: e-mail, FTP, HTTP en bij VPN, uitvoerbare programmacode en dataopslag. 

Tekst: Toon van Daele

Hoe werken digitale certificaten?

Kort door de bocht is een digitaal certificaat weinig meer dan een document dat een instantie (zoals een persoon of bedrijf) koppelt aan een specifieke publieke sleutel. Om dat te begrijpen moet je eerst iets weten over symmetrische en asymmetrische encryptie. Symmetrische encryptie werkt met een simpele rotatie.

Hierbij wordt elke letter van de boodschap vervangen door een vooraf afgesproken verschuiving of rotatie. Bij een rotatie van 5 bijvoorbeeld wordt de letter A vervangen door de letter F, de letter B door de G, de letter Z door de E, …; telkens vijf letters verder in het alfabet dus. 

Echt veilig kun je zo’n versleuteling niet noemen: het volstaat de encryptiesleutel te kennen om de boodschap te kunnen decrypteren. Anders gezegd: de decryptiesleutel [Dn(x)=(x-5) mod 26] kan makkelijk worden afgeleid uit de encryptiesleutel [En(x)=(x+5) mod 26].

Asymmetrische encryptie

Een veiligere oplossing is daarom wat men noemt asymmetrische encryptie, waarbij de ene sleutel niet (zomaar) uit de andere sleutel kan worden afgeleid. Complexe wiskundige algoritmen, mede op basis van priemgetallen, liggen daaraan ten grondslag. In elk geval zorgt deze eigenschap ervoor dat je één van beide sleutels zonder veiligheidsrisico openbaar mag maken. Die sleutel noemen we dan ook de publieke sleutel. 

De andere, de private of persoonlijke sleutel houd je angstvallig geheim. Een erkende certificeringsinstantie oftewel certificatie-autoriteit (CA), zoals GlobalSign, Thawte en VeriSign, hoort dan garanties te bieden dat zo’n publieke sleutel werkelijk hoort bij de instantie die het eigenaarschap claimt.

Misbruik van certificaten via man-in-the-middle

Het doel van digitale certificaten, zoals de SSL-certificaten voor webservers, is om het webverkeer veiliger te laten verlopen (want versleuteld). In beginsel juichen we het gebruik van zulke certificaten alleen maar toe. Toch betekent dit niet dat je nu altijd compleet veilig bent. 

Hackers zijn er namelijk al vaker in geslaagd in te breken bij certificatie-autoriteiten waarna ze de bijhorende private sleutels konden buitmaken. Die kunnen ze vervolgens gebruiken om zelf certificaten voor domeinen uit te geven of om malafide programmacode mee te ondertekenen. Verder zijn er ook CA’s die hun zaakjes niet helemaal op orde hebben en bijvoorbeeld te laks zijn in hun controles, of een te zwakke versleuteling gebruiken. 

Een man-in-the-middle-aanval (MITM) kan het systeem tot slot ook ondermijnen. Dat kan bijvoorbeeld met behulp van malware die zich naar je browser toe voordoet als een beveiligde webserver, en omgekeerd, weliswaar nadat de malware een vals rootcertificaat heeft geïnstalleerd. 

Man-in-the-middle-check met Fiddler

Installeer Fiddler en start die op. Surf vervolgens naar (bijvoorbeeld) https://www.google.com en houd het Fiddler-venster in de gaten: je krijgt hier alleen Tunnel to www.google.com:443 te zien. Dat gaan we dus veranderen: open het menu Options en kies Telerik Fiddler Options. Open het tabblad HTTPS en plaats een vinkje bij Decrypt HTTPS traffic. Op de vraag of je het rootcertificaat dat Fiddler nu genereert door Windows wil laten vertrouwen antwoord je met ja. Wanneer je nu naar een HTTPS-site surft, zie je wél het bijhorende webverkeer, onversleuteld!

Geschreven door: Redactie PCM op

Category: Workshop, Security

Tags: Encryptie, Certificaten, fiddler

Nieuws headlines

Laatste reactie