(A) AANLEIDING
1) De bijdrage van de TS (Topic Starter) in [1] (aardige video trouwens!);
2) De onzinnige gedachte dat we er iets tegen kunnen doen dat terroristen en criminelen onkraakbare encryptie gebruiken (momenteel op de spits gedreven door aanslagen en het, tijd+geldverspillende, FBI-Apple debat);
3) Ik deel graag kennis en ben gevraagd security awareness cursussen te gaan geven (dit dwingt mij om onderwerpen op een rijtje te zetten - ik ontvang natuurlijk graag jullie feedback, ook negatieve!);
4) De veelal lovende reacties op [2];
5) Een soort van visitekaartje i.r.t. hetgeen ik heb opgenomen onder "(O) Ten Slotte".

[1] https://www.security.nl/posting/467761/%5BEncryptie%5D+Should+all+locks+have+keys%3F
[2] https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken

(B) INLEIDING EN SCOPE
Algemeen
De secties bovenaan deze bijdrage zijn nogal theoretisch. Sla gerust over wat je niet interessant lijkt. Verderop, vanaf sectie (E), leg ik (aan de hand van een m.i. aardig voorbeeld en zonder ingewikkelde wiskunde) uit hoe encryptie in de basis werkt. Ik hoop dat je in elk geval dat stuk leest, want ik denk dat het zeer verhelderend kan zijn.
Links
In deze bijdrage verwijs ik veelvuldig naar andere sites, veelal Engelstalig (dat laatste omdat artikelen in die taal vaak aanzienlijk beter van kwaliteit zijn dan Nederlandse versies ervan - als die al bestaan). Voor de begripvorming hoef je, is mijn bedoeling, op geen enkele link te klikken. Ik voeg dergelijke links slechts toe voor geïnteresseerden die dieper in de materie wensen te duiken, of door te laten zien wat mijn bron is (en ik dit niet allemaal uit mijn duim zuig).
Ik plaats links steeds onder een "sectie" omdat inline gebruik ervan nogal storend werkt - doordat security.nl clickable links automatisch vet en onderstreept weergeeft, en omdat de links die ik geef vaak lang zijn. Ik gebruik overigens geen URL-shorteners omdat je daarmee niet ziet naar welke site je zult gaan, een gemak dat m.i. nooit opweegt tegen het risico ervan.
Scope
In deze bijdrage ga ik uitsluitend in op symmetrische encryptie, dus niet op asymmetrische encryptie die fundamenteel anders werkt (als lezers in die laatste vorm geïnteresseerd zijn, wil ik daar ook wel eens een bijdrage over proberen te schrijven).

(C) BEGRIPPEN
- encryptie en versleutelen: hier bedoel ik hetzelfde mee;
- decryptie en ontcijferen: idem;
- plaintext [3]: de niet versleutelde informatie (d.w.z. nog niet of niet meer);
- ciphertext [4]: de versleutelde informatie;
- cipher: encryptiealgoritme;
- algoritme: in dit kader, rekenkundige stappen die een (micro-) processor uitvoert om te versleutelen of te ontcijferen;
- contingency: de hoeveelheid "slag om de arm" die je moet houden, rekeninghoudend met (onverwachte) eventualiteiten en/of tegenslagen.

[3] https://en.wikipedia.org/wiki/Plaintext
[4] https://en.wikipedia.org/wiki/Ciphertext

(D) ENCRYPTIE: DOEL, RANDVOORWAARDEN EN PROBLEMEN
Doel
Zorgen dat uitsluitend personen, die jij vertrouwt, de door jou verstrekte informatie kunnen inzien.

Randvoorwaarden
1) Uitsluitend de bedoelde ontvangers (1 of meer) mogen en moeten over de juiste sleutel beschikken om te kunnen decrypten;
2) De ontvanger(s) moeten daarnaast over de juiste software beschikken om te kunnen decrypten;
3) Het moet, in elk geval in de praktijk, onmogelijk zijn om de ciphertext (deels) te kunnen decrypten zonder de sleutel te hebben;
4) Het moet, in elk geval in de praktijk, onmogelijk zijn om de ciphertext zodanig te wijzigen dat A) de ontvanger die manipulatie niet opmerkt en B) de ontvanger de plaintext (als gevolg van de manipulatie van de ciphertext) anders interpreteert dan door jou bedoeld [5].

Met "in de praktijk" bedoel ik dat de waarde van de plaintext, voor al jouw "vijanden" (opponenten) bij elkaar, lager is dan de kosten (ook in de vorm van tijd en gelopen risico's, waaronder vervolging) die in de praktijk door die opponenten gemaakt moeten worden om ofwel de plaintext te kunnen achterhalen, ofwel de ciphertext zodanig kunnen wijzigen dat de ontvanger deze anders interpreteert dan bedoeld door jou. Waarbij er rekening mee gehouden wordt dat jouw opponenten dit kunnen doen op elke door hen gewenste manier (waaronder [6]).

Lastig hierbij is dat je rekening moet houden met de toekomst (contingency); als over een jaar of zo een encryptiealgoritme onverwacht zwakker blijkt te zijn dan eerder aangenomen, of als jij of iemand anders de sleutel niet goed beveiligt, kunnen genoemde kosten aanzienlijk dalen (d.w.z. voor jouw opponenten).

[5] https://en.wikipedia.org/wiki/Malleability_%28cryptography%29
[6] https://xkcd.com/538/ (de CIA- [7] / CDA- [8] aanpak voor toegang krijgen tot onkraakbare encryptie)
[7] http://www.nbcnews.com/news/us-news/director-brennan-cia-won-t-waterboard-again-even-if-ordered-n553756
[8] https://www.security.nl/posting/460719/CDA+wil+decryptiebevel+terug+in+wet+computercriminaliteit

Problemen
1) Het is lastig en vooral tijdrovend om onvoorspelbare en niet te raden encryptiesleutels te bedenken of genereren [9];
2) Zonder elkaar fysiek te onmoeten is het extreem lastig om iemands identiteit met voldoende betrouwbaarheid vast te kunnen stellen (WhatsApp biedt nu end-to-end encryptie, maar wie zit er precies aan de andere kant van de lijn? Denk aan een geleende of gestolen smartphone, of een redirect (doorzetten) van de verbinding naar een ander telefoonnummer bijv. door manipulatie op carrier-niveau [10]) ;
3) Zodra je met voldoende betrouwbaarheid de identiteit van jouw "gesprekspartner(s)" hebt vastgesteld, is het, zonder elkaar fysiek te onmoeten, extreem lastig [11] om op veilige wijze een encryptiesleutel met die "gesprekspartner(s)" te delen;
4) Hooguit jouw verzoek tot geheimhouding kan ontvangers-met-sleutel van jouw versleutelde berichten ervan weerhouden om de plaintext aan anderen dan die jij vertrouwt bekend te maken. Met encryptie los je dit potentiële probleem nooit op.

[9] https://en.wikipedia.org/wiki/Cryptographically_secure_pseudorandom_number_generator
[10] https://www.security.nl/posting/468290/GSM+afluisternieuws
[11] https://en.wikipedia.org/wiki/Key_exchange#The_key_exchange_problem

(E) ONKRAAKBARE ENCRYPTIE #1: DE DEAL MET JOUW ZUS
Jouw oudere zusje heeft een vriendje waar zij regelmatig dingen mee doet (dingen waar jij, gezien jouw leeftijd, alleen maar van kan dromen) en daarom regelmatig 's avonds laat thuiskomt - op een moment dat jullie ouders denken dat jullie allebei op jullie zolderkamers in bed liggen (alleen).

Jij krijgt wat geld/snoep van haar als jij haar, stiekem, aangeeft wanneer de kust veilig is om langs de slaapkamer van jullie ouders naar haar zolderkamer te sluipen. Je hebt strenge ouders en daarom heb je nog geen mobieltje (er was een tijd dat niemand zo'n ding had ;-).

Aanvankelijk hadden jullie afgesproken dat jij de lamp boven de trap zou aandoen zodra de kust veilig was. Het vriendje van jouw zus, Willie Wortel genaamd, is een slimme ICT student (sowieso, maar hij heeft ook het vakje booleaanse algebra gevolgd). Hij waarschuwde ervoor dat het zou kunnen gaan opvallen als de lamp boven de trap de volgende ochtend uit is, terwijl jullie ouders deze juist aan hadden gelaten, of andersom. Maar Willie zou Willie niet zijn als hij daar geen raad mee wist...

Willie legde eerst het volgende uit: onderaan maar ook bovenaan de trap naar de 1e verdieping zitten lichtschakelaars - in een zogenaamde hotelschakeling. Met beide schakelaars kun je de lamp zowel aan- als uitdoen. Om precies te zijn vertelde Willie:
- als de bovenkant van een schakelaar is ingedrukt, noem je dit "stand 0"
  (bij een gewone, d.w.z. 1 "enkele", schakelaar bijv. in de keuken, zou dit "lamp uit" zijn);
- als de onderkant van een schakelaar is ingedrukt, noem je dit "stand 1"
(bij een gewone, d.w.z. 1 "enkele", schakelaar bijv. in de keuken, zou dit "lamp aan" zijn);
- als beide schakelaars in dezelfde stand staan (beide 0 of beide 1), is de lamp boven de trap uit;
- als de schakelaars in verschillende standen staan (een is 0 en de andere is 1), is de lamp boven de   trap aan.

Wat jij (broertje) moet doen, aldus Willie, is:
- Zolang de situatie onveilig is (ouders mogelijk nog wakker zijn), ervoor zorgen dat ofwel de lamp brandt en de schakelaar onderaan de trap op stand 0 staat, ofwel de lamp uit is en de schakelaar onderaan de trap op stand 1 staat. Hier zorg je voor door even te gaan plassen zodra jouw ouders naar bed zijn gegaan (en het licht in de woonkamer uit is); in ongeveer de helft van de gevallen zul je hiervoor de schakelaar bovenaan de trap moet omzetten.

- Zodra de situatie veilig is (beide ouders snurken) zorg je ervoor dat, als de lamp brandt, dat dan de schakelaar onderaan de trap op stand 1 staat, en als de de lamp uit is dat dan de schakelaar onderaan de trap op stand 0 staat (ook hier zul je, in ongeveer de helft van de gevallen, de schakelaar bovenaan de trap moet omzetten).

Wat jouw zus moet doen, aldus Willie, is eerst wachten tot het licht in de woonkamer uit is (de ouders naar bed zijn). Daarna moet zij wachten totdat ofwel de lamp boven de trap brandt en de schakelaar onderaan de trap op stand 1 staat, ofwel de lamp bovenaan de trap uit is en de schakelaar onderaan de trap op stand 0 staat. En alleen dan naar boven sluipen.

Dit is tevens het principe van digitale encryptie. Uitsluitend de observatie van de tegenpartij (hierboven de ouders) dat de lamp aan of uit is, zegt niets. Alleen degene die ook over de sleutel beschikt (hierboven: de stand van de schakelaar beneden, zoals gezien door jouw zus), weet wat de "plaintext" is (de kust is veilig of onveilig).

(F) ONKRAAKBARE ENCRYPTIE #2: DE HOTELSCHAKELING
Voor een betere begripvorming teken ik (met wat moeite op deze site) het elektrische schema van zo'n hotelschakeling:
In de getekende situatie is de lamp uit (er is geen stroomkring mogelijk). Je kunt je hopelijk voorstellen dat het niet uitmaakt welke schakelaar wordt omgezet: de lamp gaat dan aan.


Wat Willie heeft voorgesteld is natuurlijk nodeloos ingewikkeld en er kleven nadelen aan (o.a. kunnen de ouders de schakelaar beneden zien waardoor dat geen geheime sleutel is, als ze de truc niet doorhebben, is dat niet meer dan security by obscurity). Toch wilde ik dit uitgelegd hebben, want verderop hebben we deze basis nodig.

Met jouw zus kun je beter afspreken dat jij, zodra jouw ouders naar bed zijn gegaan maar nog wakker zijn, jij naar beneden gaat, zogenaamd om te plassen, waarna je je ervan verzekert dat het licht in de WC uit is. Zodra de kust veilig is, ga je nogmaals naar beneden en "vergeet" daarbij het licht uit te doen in de WC. Jouw zus weet dan dat de kust veilig is als het licht in de WC brandt.

Echter: zo'n regelmatig brandende lamp zou wel eens kunnen gaan opvallen!

Wat je daarom doet is het volgende:
- elke keer voordat jouw zus weggaat gooi je een muntje op [12];
- bij munt spreek je af dat, als het licht aan is in de WC, dit betekent dat de kust veilig is, en bij kruis dat licht aan in de WC juist onveilig betekent.

Voor een buitenstaander zal het volstrekt onduidelijk zijn wat de relatie is tussen enerzijds licht aan/uit in de WC en anderzijds kust veilig/onveilig; om die relatie te weten, moeten zowel jouw zus als jij de waarde van de sleutel kennen (kruis of munt) - informatie die je natuurlijk niet aan anderen vertelt. Handige bijkomstigheid: door een munt op te gooien heeft die sleutel een onvoorspelbare waarde (ook voor derden).

Concreet is hierbij sprake van een pre-shared key [13] (vooraf gedeelde sleutel), ook bekend als shared secret [14] (gedeeld geheim).

[12] https://nl.wikipedia.org/wiki/Kruis_of_munt
[13] https://en.wikipedia.org/wiki/Pre-shared_key
[14] https://en.wikipedia.org/wiki/Shared_secret

(G) ONKRAAKBARE ENCRYPTIE #3: MEER DAN 1 BIT
In de bovenstaande voorbeelden hebben we het, effectief, steeds over 1 "bit" gehad: 1 schakelaar in de stand 0 of 1 en de uitslag "kruis of munt". Echter, meestal willen we meer informatie versleutelen. Dat kan, in elk geval, met evenveel hotelschakelingen als "bits" die wij willen versleutelen!

Nb. verderop ga ik wat dieper in op wat "bits" zijn, maar wellicht begrijp je dat voldoende om door te kunnen lezen en mijn (lange) verhaal te kunnen blijven volgen.

(H) PRAKTIJKVOORBEELD: VOETBALLERS OMKOPEN
Stel jij hebt een deal met een coach van het voetbalelftal over het omkopen van spelers, maar je wilt pas vlak voor de wedstijd aan die coach kenbaar maken welke spelers moeten worden omgekocht, zodanig dat niemand weet wat jullie uitspoken. Laten we uitgaan van 11 rugnummers (P.S. voetbal laat mij koud).

Vooraf gooi je, samen met die coach, 11x een muntje op. Stel kruis noemen we 1 en munt noemen we 0, en stel dat 11 keer gooien het volgende oplevert 1, 0, 0, 1, 0, 1, 1, 1, 0, 0, 1.

En stel dat jij, vlak voor de wedstrijd, wilt dat rugnummers 3, 6 en 10 worden omgekocht, dus: 0, 0, 1, 0, 0, 1, 0, 0, 0, 1, 0.

Zet dan die twee rijen cijfers onder elkaar en bereken de derde rij:

De berekening hierboven vindt plaats per kolom (zonder dat kolommen daarbij invloed hebben op elkaar; in tegenstelling tot bij bijvoorbeeld optellen is er geen sprake van "onthouden"). Net als bij de hotelschakeling geldt: als het cijfer boven (de 1e regel) geljjk is aan daaronder (de 2e regel) komt er een 0 in de resultaatregel; anders komt er een 1 in de resultaatregel.

Je belt de coach kort voor aanvang van de wedstrijd, en noemt achter elkaar de cijfers 1, 0, 1, 1, 0, 0, 1, 1, 0, 1 en 1. Mocht iemand meeluisteren dan kan hij of zij hier geen touw aan vastknopen; immers hij of zij kent de sleutel niet.

De coach voert exact dezelfde berekening uit - het gaat hier namelijk om symmetrische encryptie (dezeldfe sleutel en hetzelfde algoritme worden gebruikt:

En daarmee weet de coach welke spelers moeten worden omgekocht.


(J) BITS, BYTES EN COMPUTERCODE
Feitelijk hebben we hierboven al gebruik gemaakt van "bits" die de waarde 0 of 1 kunnen aannemen. Zoals je wellicht zult weten, werken computers uitsluitend met bits. Een bit kun je je op allerlei verschillende manieren voorstellen:
- schakelaar aan of schakelaar uit;
- lamp aan of lamp uit;
- 5 Volt of 0 Volt;
- stroom of geen stroom;
- waar of onwaar;
- ja of nee;
- 1 of 0.
enzovoort, wat je maar wilt; het zal de computer een rotzorg zijn wat jij ermee wilt zeggen. Gebruikelijk is te stellen dat een bit de waarde 0 of 1 heeft, net als dat een decimaal cijfer slechts een van de waarden 0, 1, 2, 3, 4, 5, 6, 7, 8 of 9 moet hebben (een andere waarde kan niet).

Conventie (een afspraak dus) is het om groepjes van 8 bits bij elkaar te denken en dat een byte te noemen. Hier bestaat feitelijk geen enkele noodzaak voor, het is gewoon handig. Moderne computers werken trouwens nauwelijks nog met bytes, maar meestal met groepjes van 32 bits (4 bytes) of 64 bits (8 bytes) tegelijk.

Laten we, om ingewikkelde zaken als hexadecimale getallen te vermijden, het gewoon op bits houden. Dus laten we aannemen dat elk bestand N bits lang is. In de praktijk betekent dit dat je de bestandslengte in bytes met 8 moet vermenigvuldigen om de lengte in bits te krijgen; niet echt moeilijk lijkt me. Maar als een bestand 11 bits lang zou kunnen zijn (zie de voetballers), zou de volgende berekening (cipher) gewoon haar werk kunnen doen.

(K) SIMPELE ONKRAAKBARE ENCRYPTIE
In tegenstelling tot wat de lezer waarschijnlijk verwacht is de beste encryptie het simpelst. Deze vorm van encryptie (bekend als one-time pad [16]) kent wel enkele stevige nadelen (naast het feit dat de sleutel volstrekt onvoorspelbaar moet zijn, maar dat geldt ook voor alle andere soorten encryptie):
1) de sleutel moet minstens even lang zijn (in aantallen bits) als de plaintext;
2) je mag nooit en te nimmer (delen van) zo'n sleutel hergebruiken;
3) bij grotere plaintext bestanden kan de noodzakelijke lengte van de sleutel het erg moeilijk maken om die sleutel veilig uit te wisselen (veel lastiger dan bij een wachtwoord zoals "Welkom01").

Hoe dan ook, als dat allemaal geen issue is kun je het volgende programma gebruiken, dat ik in "pseudo code" van een cipher weergeef:

Dit ziet er wellicht ingewikkeld uit voor een leek. Echter, een werkend programma schrijven op basis van de bovenstaande pseudocode, is een peuleschil voor elke programmeur.

In het midden van de "routine" (de bovenstaande pseudocode) herken je waarschijnlijk de hotelschakeling (ter herinnering: met beide schakelaars in dezelfde stand is de lamp aan, anders is deze uit).

Ook hier gaat het om symmetrische encryptie: je kunt dezelfde routine gebruiken, zowel om te versleutelen als om te ontcijferen! Daarmee is deze routine geschikt om bijv. voetballers mee om te kopen en kan zowel door de opdrachtgever als de coach worden gebruikt. Beiden gebruiken dezelfde SleutelFile, echter de opdrachtgever stopt de plaintext in de InputFile, terwijl de coach de ontvangen ciphertext in de InputFile stopt. Met die tweede stap (ontcijferen) berekent het progrmma weer dezelfde plaintext als door de opdrachtgever in "zijn" InputFile gestopte gegevens.

[16] https://en.wikipedia.org/wiki/One-time_pad

(L) ALOM, IN DE PRAKTIJK, GEBRUIKTE ENCRYPTIE
In de praktijk wordt "one-time pad" [16] encryptie zelden gebruikt. De belangrijkste reden daarvoor is dat de sleutel minstens even lang moet zijn als de plaintext, en dat maakt het veilige uitwisselen ervan vaak erg lastig - tenzij je elkaar vooraf kunt ontmoeten om dan, bijvoorbeeld, een stapel papier of een USB-geheugenstick uit te wisselen.

Ik wil in een ander artikel wel eens verder ingaan op stream- en block ciphers), maar in essentie komt het allemaal redelijk op hetzelfde neer: uit een relatief korte sleutel of wachtwoord wordt, kunstmatig, een langere reeks bits gegenereerd [17]. Deze berekening moet voor beide partijen (versleutelaar en ontsleutelaar) natuurlijk exact dezelfde bitreeks opleveren.

Je zult vermoedelijk wel begrijpen dat, hoe korter dat wachtwoord is, hoe minder moeilijk het "raden" daarvan wordt als je dat eindeloos zou kunnen blijven proberen (brute force aanpak). Het "stretchen" van het wachtwoord tot een langere reeks bits heeft hier geen enkele invloed op. Dit nog even los van het feit dat dit soort "wachtwoord-stretchers" in de praktijk vaak zwakheden vertonen (er bijv. repeterende patronen in voorkomen) die de bedenkers zich niet hebben gerealiseerd tijdens het ontwerpen van de cipher (voorbeeld: [18]).

[17] https://en.m.wikipedia.org/wiki/Key_stretching
[18] https://www.rc4nomore.com/

(M) GEBRUIK VAN ENCRYPTIE VOOR ONGEWENSTE PRAKTIJKEN
Hierboven heb ik al laten zien dat je encryptie zou kunnen gebruiken bij het omkopen van voetballers (toegegeven, een niet erg realistisch scenario). De eenvoud van de hierboven beschreven -onkraakbare- encryptie heeft tot gevolg dat ook (cyber-) criminelen, terroristen en ander gespuis, indien zij vooraf samenkomen om sleutels uit te wisselen, zich niets hoeven aan te trekken van welke maatregel dan ook die wij nemen in een poging de door hen gebruikte encryptie te kunnen ontcijferen. Immers, iedereen met een beetje programmeerervaring kan zo'n programma schrijven. Hoewel het genereren van zeer lange, onvoorspelbare, getallen tijd kost, is dit niet moeilijk; desnoods gooi je heel vaak een muntje op. De vraag daarbij is sowieso of terroristen zeer lange sleutels nodig hebben. Immers: gegevens als datum, tijd en plaats passen in een beperkt aantal bytes.

Je houdt dit niet tegen. Mijn oproep aan politici luidt daarom: besteed jouw eigen tijd, en die van bezorgde burgers, aan zinvoller dingen om die gasten te pakken!

(N) CONCLUSIE

                      HET IS ONVERSTANDIG OM ALOM GEBRUIKTE ENCRYPTIE TE VERZWAKKEN
En:
                                   HET IS ZINLOOS OM (KRACHTIGE) ENCRYPTIE TE VERBIEDEN
Erger:

   MET VERZWAKKEN OF VERBIEDEN VAN ENCRYPTIE SCHAAD JE UITSLUITEND EERLIJKE GEBRUIKERS


(O) TEN SLOTTE
Ik zoek een andere baan in midden Nederland (dit is geen hoax of zo). Heeft iemand een idee?

In de hoop op meer tips (met dank aan SecOff 12:51), wat meer details over mijzelf (zonder opmaak om het compact te houden want dit is natuurlijk off-topic op deze site en onder dit artikel). Uitdagend vind ik het, risk driven, vertalen van de (nogal abstracte) controls uit ISO27002 (d.w.z. de annex van ISO27001) of NEN7510 in werkbare maatregelen die voor iedereen (gebruikers, beheerders, management en auditors) een acceptabel compromis vormen; ik heb 2 weken geleden nog een ICT bedrijf begeleid naar haar ISO 27001 certificering. De overheid wil dat ik nog 10 jaar werk (en zelf doe ik dat ook heel graag - zoek verder als je me te oud vindt). M.b.t. cybersecurity weet ik meestal heel goed waar ik het over heb. En als ik eigenwijs blijk te zijn geweest, ben ik altijd bereid om sorry te zeggen - en dat doe ik ook als ik iets concreets verkeerd heb gedaan. Ik ben geen projectleider en ambieer geen leidinggevende functie. En, omdat ik wil kunnen zeggen waar het op staat, ben ik niet zo geschikt voor "politieke omgevingen". Ik wil graag verantwoordelijkheid dragen, maar eis daarbij dan wel een passend mandaat. Daarnaast heb ik veel tijd nodig om bij te blijven op mijn vakgebied; dat doe ik niet uitsluitend in mijn eigen tijd. Het lijkt mij heel leuk om security-awareness cursussen te geven (ook aan SW ontwikkelaars), maar ik heb nog nauwelijks ervaring met het geven van trainingen. Ik ben OS-neutraal: get the best tool for the job. Cloud en BYOD vind ik zeer risicovolle aangelegenheden die meestal tegen beter weten in, of tegenargumenten geheel niet overwogen hebbend, zijn ingevoerd - vaak omdat de baas ze zo handig vond. Zoek dus verder als je niet weet wat de woorden "management commitment" betekenen, maar ook als je niet begrijpt wat die woorden voor jou, als manager, in de praktijk betekenen (vul de PDF eens in waar ik in [19] naar verwijs). Ik ben gek op "forensisch"-achtig onderzoek en (malware) analyses, en ben zeer secuur; zoek verder als je een jaknikkende snelle Henkie wenst. Ik vind geld totaal ondergeschikt aan lol in mijn werk, maar ga niet meer een "kasboek voor privéuitgaven" bijhouden. Ik heb een eigen auto en -gelukkig- een goede gezondheid. Ik heb recentelijk nog een (zware) screening met goed gevolg doorstaan.

[19] https://www.security.nl/posting/467428/Hoe+security+aware+is+jouw+werkgever%3F#posting467543

(P) Wijzigingsregister
Wijzigingen 21-04-2016, 04:45: diverse tekstfouten gecorrigeerd en enkele links tegevoegd.
Wijzigingen 21-04-2016, 08:53: (zich schamend) er zaten nog steeds fouten in de berekeningen van de 11 voetballers.
Wijziging 21-04-2016, 15:23: dit wijzigingsrgeister zelf leek nergens op... (gefixt)
Wijziging 21-04-2016, 16:21: ik heb een stuk over mijzelf toegevoegd onder "(O) TEN SLOTTE".
Opmerking 21-04-2016, 17:28: vanavond t/m maandagavond 25 april ben ik druk met privézaken waardoor ik waarschijnlijk niet in de gelegenheid ben in te gaan op vragen of opmerkingen onder dit artikel.
Wijziging 22-04-2016, 19:07: "*(A)" => "(A)"; taal- en functionele fouten gecorrigeerd n.a.v. -volkomen terechte- opmerkingen van Woopie, vandaag om 17:29 (taalfouten in teksten van anderen leiden mij ook vaak af van het onderwerp, en dat is jammer; dat maakt je echt geen taalnazi). "WS" => "WC" en "waarder" => "zwaarder". Veel belangrijker: er zat een suffe redenatiefout in het schema van de hotelschakeling. Knap gevonden van Woopie, hartelijk dank! Ik heb het met wat moeite kunnen oplossen, gelukkig zonder Alt-255 nodig te hebben (want die heb ik niet op mijn mobiel ;-). Nogmaals dank aan deze oplettende lezer!
Aanvulling 07-05-2016, 02:07: n.a.v. -terechte- opmerkingen van Goeroehoedjes op 06-05-2017 om 17:06: tikfouten gecorrigeerd (OuputFile->OutputFile, Gebuikelijk->Gebruikelijk) en, ter verduidelijking, achter de tekst "Schrijf "OutBit" naar "OutputFile" door de waarde helemaal achteraan te plakken" de toevoeging "(het bestand wordt daarmee 1 bit langer)" erachter gezet.
Aamvulling 10-05-2016, 08:00: enkele taal/spelfoutjes gefixed.