image

"Plug 'n play encryptie is de toekomst"

donderdag 4 oktober 2007, 15:19 door Redactie, 14 reacties

Het hebben van een goed beveiligd netwerk is mooi meegenomen, maar wat als de gegevens waar het om te doen is niet goed beschermd zijn? Encryptie is nog altijd niet ingeburgerd. En wat heb je aan encryptie als inlichtingendiensten dankzij een backdoor van de vendor toch toegang krijgen? Wij vroegen het Gauthier Van Daele, managing director van Utimaco Safeware.


Dagelijks lezen we over verloren USB-sticks en laptops waarop de informatie niet versleuteld is. Volgens sommige experts niet verwonderlijk, omdat het versleutelen van informatie nog altijd moeizaam, lastig en vervelend is. Wanneer kunnen we "plug 'n play"
encryptie verwachten?

Van Daele: Dat is meteen de nagel op de kop! Dé uitdaging vandaag is niet meer zozeer het vinden van oplossingen die veilig zijn, van het vinden van encryptie dat niet te kraken is enz. De uitdaging vandaag is het ontwikkelen van beveiligingsoplossingen die beheersbaar, gebruiksvriendelijk en transparant zijn. Wat bijvoorbeeld het beveiligen van USB sticks betreft, bestaan die producten al.

SafeGuard Removable Media is een programma dat ervoor kan zorgen dat alle data die door een gebruiker weggeschreven wordt op een externe datadrager automatisch versleuteld wordt. Hier hoeft de gebruiker helemaal niets van te merken, en de Security Officer hoeft zich ook geen zorgen te maken dat de gebruiker de juiste stappen onderneemt, want er zijn geen stappen. Het is transparant en het geldt voor alle removable media.

Het tweede probleem waar grote bedrijven mee te maken hebben is dat ze geen idee waar hun vertrouwelijke gegevens uithangen. Hoe zorg je ervoor dat de informatiestroom transparant en beheersbaar is, zonder werknemers in hun activiteiten te belemmeren?

Van Daele: Er bestaan vandaag oplossingen die het dilemma van beheersbaarheid, gebruiksvriendelijkheid en transparantie met een hoog niveau van security invullen. In de praktijk werkt het als volgt: eerst definiëren welke mogelijke probleemscenario´s zich kunnen voordoen en daarna een geïntegreerde oplossing hebben die die scenario´s onmogelijk maakt. Waar hebben we het over?: we hebben het over beveiliging van data "at rest" en beveiliging van data "in motion". Data "at rest" beveiligen betekent bijvoorbeeld ervoor zorgen dat, als een notebook of een PDA gestolen wordt, de dief de data onmogelijk kan lezen. Een ander voorbeeld is HR data die ergens op een centrale server opgeslagen wordt. "Data in Motion" is bijvoorbeeld een gevoelige e-mail die van a naar b verstuurd wordt. Voor zolang a en b zich binnen een zelfde omgeving bevinden, dan is VPN hiervoor de oplossing. Zodra men communiceert met externe partners (klanten, boekhouder, advocaat, bank) dan zijn andere oplossingen nodig.

Zo nu en dan wordt er "data-vermindering" als alternatief voor encryptie, of in ieder geval als aanvulling, genoemd. Bedrijven beschikken over teveel informatie waar ze niets mee doen en die ook geen enkele waarde heeft. Door de hoeveelheid data te verminderen, wordt de kans ook kleiner dat er vertrouwelijke data uitlekt. Wat denkt u daarvan?

Van Daele: Ik denk dat data vermindering sowieso een goed idee is omdat we tegenwoordig allemaal overrompeld worden met data. Totaal los van het security aspect, denk ik dan vooral aan het verlies aan efficiëntie van teveel data te moeten beheren. Wat puur security betreft zijn we van mening dat data vermindering helemaal niet nodig is.

Een terecht genoemde uitdaging is het bereiken van bedrijven die hun informatie niet versleutelen. In hoeverre zijn deze bedrijven eigenlijk te bereiken, aangezien er inmiddels genoeg ondernemingen zijn die hun billen gebrand hebben?

En is het probleem niet dat encryptie vaak een sluitpost op de begroting is. Bedrijven zullen eerder investeren in actieve dreigingen zoals kwaadwillend personeel, frauduleus verkeer en malware. Hoe krijg je encryptie op de agenda?

Van Daele: Het klopt inderdaad dat dit een uitdaging is. Websites als security.nl helpen ongetwijfeld aan de awareness van de problematiek. Het is onze taak als IT security community om met dit bewustzijn te helpen en te investeren zonder daarvoor paniekzaaiers te worden. Encryptie op de agenda krijgen is een heel vergelijkbare uitdaging als een verzekeringspolis op de agenda te krijgen. De kans dat iets fout loopt is relatief beperkt, maar als het misloopt loopt het goed mis. Onze ervaring is dat awareness bij de bedrijven exponentieel groeit.

Hoe voorkom je dat je als bedrijf doorslaat en alle gegevens gaat versleutelen, in plaats van alleen de belangrijke? Aan de hand van welke criteria kan je een praktische scheiding aanbrengen?

Van Daele: Zoals hierboven vermeld is dat vandaag helemaal geen probleem als het gaat over het beveiligen van data op notebook, PDA en USB-stick. Daar is een volledige encryptie net de juiste oplossing die transparantie en gebruikersgemak garanderen. Wat data op de servers betreft en data met e-mail verkeer kan men heel veel regelen door de juiste policies te definiëren.

Hoe staat Utimaco tegenover open source oplossingen zoals GnuPG en TrueCrypt die vaak dezelfde functionaliteit, alleen dan gratis aanbieden. Waar ligt het omslagpunt voor bedrijven om zaken zelf te regelen of uit te besteden?

Van Daele: Encryptie "op zich" is al lang niet meer het monopolie van Encryptie ontwikkelaars zoals Utimaco. Het bieden van veilige encryptie tools is een commodity geworden en dit kan je dus per definitie gratis verkrijgen. Het omslagpunt is afhankelijk van de structuur en wensen van de organisatie die zich wil beveiligen.

Waar moeten bedrijven bij het kiezen van een beveiligingsoplossing rekening houden en hoe herken je een goede beveiligingsaanbieder?

Van Daele: Beheersbaarheid, gebruikersgemak en transparantie zijn heel belangrijk bij het maken van een keuze. We raden ook ten zeerste aan om een test te draaien alvorens een definitieve keuze te maken voor een aanbieder. Naast het product zelf, is het naar onze mening ook belangrijk om te kijken naar het bedrijf achter het product. Hoe lang is het bedrijf al actief op de markt? hoe gezond is het bedrijf financieel? hoe wordt het bedrijf gepositioneerd door externe analisten als het gaat over productontwikkelingsstrategie?

Onlangs was er veel te doen geweest over de FBI die backdoors gebruikte om zo encryptie te omzeilen door de passphrases al voor invoeren te kopieren. Sommige beveiligingsaanbieders lieten weten dat ze dit soort spyware zouden negeren. Hoe zou Utimaco met dit soort verzoeken omgaan?

Van Daele: Hier gaan we absoluut niet in mee. Dit zou ons bestaansrecht ondermijnen.

Reacties (14)
04-10-2007, 16:05 door [Account Verwijderd]
Van Daele: Hier gaan we absoluut niet in mee. Dit zou ons bestaansrecht
ondermijnen.

Als ze dat nou almaal zouden gaan zeggen dan pas krijg je een goeie
encryptie, niet? Het gaat tegen woordig steeds gemakelijker om informatie
te krijgen over encryptie. Je surft over het net en je vind ijgenlijk altijd wel
iets wat weer op iets anders wijst enz enz. tog moeten we blijven zoeken
naar de onmogelijke kraakbare encryptie ^_^.
04-10-2007, 16:11 door Anoniem
Dit betekent veel voor mij, goed nieuws ;)
05-10-2007, 15:56 door Anoniem
Door Ermo
...moeten we blijven zoeken naar de onmogelijke kraakbare encryptie ^_^.

"Encryptie is altijd te kraken, het is de vraag hoe moeilijk je het de krakers
wil maken" - Reversing
05-10-2007, 21:03 door [Account Verwijderd]
[Verwijderd]
06-10-2007, 10:38 door spatieman
er staat haha.
06-10-2007, 13:17 door Anoniem
Door Nielsk
Niet altijd hoor ;) als je niet weet hoe iets is gemaakt,
zoals deze md5 hash: e7859c7a5256420d555e9f0f2cf5c094 ik
geef je een dag om hem te kraken wat je toch niet lukt hij
heeft 4 karakters, succes ;)

Nu nog leren wat encryptie is?
06-10-2007, 14:54 door [Account Verwijderd]
[Verwijderd]
08-10-2007, 09:06 door Anoniem
een hash is geen encryptie... jammer dan...
10-10-2007, 16:20 door [Account Verwijderd]
[Verwijderd]
11-10-2007, 14:09 door Anoniem
Door Nielsk
Door spatieman
er staat haha.
Nee dat staat er niet.
haha = 4e4d6c332b6fe62a63afe56171fd3725
Dus spatieman doe betere research voor je wat zegt en anders
gelieve niet grappig proberen te zijn. Je kan zelfs md5
onkraakbaar maken ;)
Hmmm... klok...klepel??
11-10-2007, 14:10 door Anoniem
Door rookie
Encryptie moet niet voor iedereen toegankelijk zijn.
Waarom niet? Welke argumentatie heb jij voor deze nogal
stellige uitspraak?
20-10-2007, 19:39 door Crox
briefgeheim is een grondrecht. Encryptie zou dat dus ook moeten zijn.
Gebruiksgemak is bijna altijd strijdig met de kwaliteit, tenzij e.e.a.
biometrisch in elkaar zit, maar dit laatste is nog volkomen onvolwassen,
zoals werd aangetoond in een mythbuster programma. Dus voorlopig hou
ik het op ZisCrypt.
24-10-2007, 11:09 door [Account Verwijderd]
[Verwijderd]
05-11-2007, 15:04 door pikah

Niet altijd hoor ;) als je niet weet hoe iets is gemaakt,
zoals deze md5 hash: e7859c7a5256420d555e9f0f2cf5c094 ik
geef je een dag om hem te kraken wat je toch niet lukt hij
heeft 4 karakters, succes ;)

HASHING is niet hetzelfde als encryptie.
Hashing wordt gebruikt om de authenticiteit/integriteit te controleren.

Encryptie wordt gebruikt voor het coderen en decoderen van
data. Het MOET dus mogelijk zijn om de data te reversen, dat
is met hashing niet mogelijk.

Jou MD5 is waarschijnlijk een MD5(MD5(data)) of je hebt
tussendoor SHA1 gebruikt. Wat jij doet is zeker veilig, maar
nog steeds geen encryptie (aangezien het niet reversable is).

'Encryptie is pas veilig op het moment dat de manier van
encrypten publiek bekend is en het alleen mogelijk is om de
sleutel te bruteforcen.'

Ik denk dat je je toch iets moet verdiepen in encryptie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.