De rol van de cryptologie en de digitale handtekening inzake de veiligheid van elektronische informatie-uitwisseling

Abstract

Steeds meer van de huidige informatie-uitwisseling en communicatie gebeurt elektronisch. Hoogstwaarschijnlijk zal deze evolutie zich in de toekomst voortzetten. Nagenoeg altijd zorgen nieuwe technologieën voor vooruitgang (meer praktisch, efficiënter, veiliger,…), daarom is het belangrijk dat ze zo snel mogelijk aanvaard worden. Deze aanvaarding zal er echter pas komen wanneer men vertrouwen heeft in de nieuwe technologieën. Dit vertrouwen is op zijn beurt afhankelijk van de veiligheid van de nieuwe systemen. Men wil zeker zijn dat elektronische documenten confidentieel blijven; dat wanneer men ze verstuurt, ze niet gewijzigd kunnen worden; dat men zeker weet wie in de transactie participeert; en dat men ook nadien nog kan aantonen wie participeerde. De bedoeling van dit eindwerk is op zoek te gaan naar enkele mogelijke technieken die deze veiligheid kunnen verschaffen. Een eerste, belangrijke techniek is cryptografie. Cryptografie zorgt ervoor dat een boodschap omgetoverd wordt tot een geheimschrift zodat enkel de personen in het bezit van de juiste sleutel uit het geheimschrift de correcte boodschap kan terughalen. Deze techniek zorgt dus voor de confidentialiteit. Er zijn verschillende klassen van cryptografie. Een belangrijk onderscheid is het symmetrisch versleutelen enerzijds, en het asymmetrisch versleutelen anderzijds. Bij symmetrische versleuteling gebruikt men zowel voor het versleutelen als het ontsleutelen van de boodschap dezelfde sleutel, terwijl bij asymmetrische versleuteling twee verschillende sleutels worden gebruikt, een publieke (waarmee men versleutelt) en een private (waarmee één iemand kan ontsleutelen). Beide methode hebben hun voor- en nadelen, en hun eigen specifieke toepassingen. Zo maakt onder andere de digitale handtekening gebruik van asymmetrische versleuteling, zij het wel in de omgekeerde richting. In dit eindwerk worden verschillende symmetrische cryptosystemen zoals de klassieke handcijfers, DES, IDEA, RC5, RC6 en AES belicht. Verder behandelen we de wiskundige principes die de basis vormen van de asymmetrische cryptosystemen en worden asymmetrische cryptosystemen zoals de Diffie- Hellman sleuteldistributie, RSA, ElGamal, Schnorr, DSA en ECC besproken. Nu dat er een techniek gevonden is om de confidentialiteit van boodschappen te waarborgen gaan we verder in het eindwerk op zoek naar een manier om de andere vereisten voor veiligheid, die hierboven zijn aangehaald, tegemoet te komen. Hiervoor komen verschillende technieken in aanmerking, waaronder wachtwoorden, biometrie etc. maar de Wet van 9 juli 2001 stelt dat enkel de geavanceerde digitale (elektronische) handtekening met gekwalificeerd certificaat voldoet en hierdoor gelijke rechtsgeldigheid als een handgeschreven boodschap geniet. Een digitale handtekening zorgt ervoor dat men weet wie in de transactie van de boodschap participeert en dat deze boodschap ongewijzigd is. Verder is de transactie onweerlegbaar waardoor men ze nadien niet meer kan ontkennen. Het creëren van een digitale handtekening gebeurt door een message digest van de oorspronkelijke boodschap te vercijferen met de eigen private sleutel. Een message digest is een met behulp van de hash-functie ‘verkapte’ versie (met een vast aantal bits) van de boodschap (van willekeurige grote). Door de kleinere message digest te gebruiken zal de asymmetrische versleuteling sneller verlopen. Na de creatie verstuurt de afzender de digitale handtekening samen met de oorspronkelijke boodschap op. De ontvanger zal ter verificatie dezelfde hash-functie gebruiken om een message digest van de boodschap te creëren. Verder gebruikt de ontvanger de publieke sleutel van de afzender voor het ontsleutelen van de digitale handtekening, wat op zijn beurt een message digest voortbrengt. Wanneer deze twee message digests gelijk zijn kan de ontvanger er zeker van zijn dat het bericht ongewijzigd en afkomstig is van de afzender. In deze eindverhandeling wordt deze techniek in detail besproken. Ook besteden we aandacht aan de codetheorie die extra bits aan de boodschap toevoegt waardoor de boodschap beschermd is tegen transport over een kanaal met een zekere kans op fouten. De codetheorie zorgt ervoor dat deze fouten worden opgespoord en gecorrigeerd. De digitale handtekening zorgt wel niet voor geheimhouding van de boodschap, hiervoor zal men beroep moeten doen op de cryptografie. Een veilig bericht verzenden kan dus door de boodschap te voorzien van een digitale handtekening, waarna men de boodschap + de digitale handtekening versleutelt met een cryptosysteem. De bestemmeling ontsleutelt het geheel en verifieert het hierna aan de hand van de digitale handtekening. Een toepassing van elektronische informatie-uitwisseling is het elektronisch versturen van facturen. Elektronische facturatie zit duidelijk in de lift, dit is zeker te merken aan de interviews en online bevraging. Vooral de grote bedrijven stellen dat de implementatie van elektronische facturatie niet kan uitblijven om op lange termijn competitief te blijven. Bij de kleinere bedrijven loopt het nog niet zo’n vaart, hoewel ook zij beseffen dat er heel wat voordelen gepaard gaan met elektronische facturatie. De hoofdreden voor het uitblijven van de implementatie bij kleinere bedrijven is de te kleine vraag vanwege hun partners, maar de meeste bedrijven verwachten in de toekomst wel dat ze elektronische facturatie zullen implementeren. Verder blijkt uit het onderzoek dat de bedrijven die momenteel het systeem gebruiken over het algemeen tevreden zijn. Het is gebruiksvriendelijk en tijdsbesparend. Een echte kostenbesparing biedt het echter voorlopig nog niet omdat de implementatiekost in de backoffice en informatica-infrastructuur voorlopig nog doorweegt ten opzichte van papierbesparing etc. Wel verwachten de bedrijven op lange termijn een kostenbesparing. Wat betreft de veiligheid zijn nagenoeg al de bedrijven het erover eens dat de digitale handtekening en de gebruikte encryptiemethodes, aangeboden door de certificaatautoriteiten, voldoende bescherming bieden. Hoewel de kennis over de beveiligingstechniek zeer beperkt is, heeft men voldoende vertrouwen in de veiligheid ervan.