Video-registratie: https://youtu.be/6KUnv8v6YDI
Luuk Danes legt de basisconcepten van bestaande cryptografische technieken en algoritmes uit aan de hand van Transport Layer Security (TLS/SSL). De volgende zaken komen aan bod: Symmetrische encryptie, Hashfuncties, Message Authentication Codes, Sleuteluitwisseling en Digitale handtekeningen.
3. Wat ga ik vandaag niet vertellen?
• Spartaanse Skytale
• Ceasar cipher
• Playfair cipher
• Vigenère cipher
• CAST
• SAFER
• RC5
4. Wat ga ik vandaag wel vertellen?
• Iets over mijzelf
• Symmetrische encryptie
• Hashfuncties
• Message Authentication Codes
• Sleuteluitwisseling
• Digitale handtekeningen
• … aan de hand van Transport Layer Security (TLS)
5. • Wiskundige,
gespecialiseerd in cryptologie
• Ervaring opgedaan bij
de OV-chipkaart en een
security evaluation lab
• Security-architect en consultant
bij MakeSecure
• Bestuurslid voor de
Secure Software Foundation
Luuk Danes
6. Transport Layer Security (TLS fka SSL)
Request
Hallo www.pvib.nl
crypto & sleutel afspreken
Hallo, ik ben www.pvib.nl
Response
Request
8. Crypto-keuzes
• TLS
317 cipher suites om uit te kiezen, waaronder:
TLS_RSA_PSK_WITH_NULL_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
• Certificaat
• Hash-functie
• Ondertekenings-algoritme
• Sleutellengte
9. Uitgangspunten en bronnen
• Onvoldoende, Voldoende, Goed volgens de NCSC richtlijn
• Er wordt een certificaat gebruikt voor authenticatie
NCSC ENISA Qualys
16. Hash-functies
Lorem ipsum dolor sit amet, consectetur
adipiscing elit. Morbi nec velit ac ex
malesuada aliquam. Nunc tempus
facilisis tellus, ac pellentesque nibh
tincidunt in. Suspendisse potenti. Sed
porttitor molestie quam, ut scelerisque
urna tempus nec. Quisque non dui
tortor. Nulla turpis dui, fringilla at
metus eget, sollicitudin vestibulum
risus. Nunc molestie nibh sit amet ex
lobortis bibendum. Nulla vitae
fringilla odio, sit amet tristique
felis. Donec lacus metus, pharetra vel
faucibus quis, ultrices non turpis. Sed
nec urna eget nisi sodales feugiat.
5687e2a9e95b7fb6
04c3198a6f28f50c
5e58b73d8d2d4c35
e6d7aaa72b257b16
Sleuteluitwisseling
Certificaat Authenticatie
Vertrouwelijkheid Authenticiteit
17. Hash-based Message
Authentication Code (H-MAC)
3747d9db5f4ff270
4d468cc197261213
d3e75cd564db0df5
377e99fb243ede05
Sleuteluitwisseling
Certificaat Authenticatie
Vertrouwelijkheid Authenticiteit
Lorem ipsum dolor sit amet, consectetur
adipiscing elit. Morbi nec velit ac ex
malesuada aliquam. Nunc tempus
facilisis tellus, ac pellentesque nibh
tincidunt in. Suspendisse potenti. Sed
porttitor molestie quam, ut scelerisque
urna tempus nec. Quisque non dui
tortor. Nulla turpis dui, fringilla at
metus eget, sollicitudin vestibulum
risus. Nunc molestie nibh sit amet ex
lobortis bibendum. Nulla vitae
fringilla odio, sit amet tristique
felis. Donec lacus metus, pharetra vel
faucibus quis, ultrices non turpis. Sed
nec urna eget nisi sodales feugiat.
19. Asymmetrische cryptografie
• Twee sleutels: één privé, één publiek
• Gebaseerd op trapdoor-functies:
eenvoudig te berekenen in één richting,
maar moeilijk om te berekenen in de omgekeerde richting.
20. Asymmetrische encryptie
“Dit is een
geheime
boodschap”
8f70a61fb21bc28
4a045e279da184d
ef949b8c3c3cca6
01d1a8ea4e88bf3
“Dit is een
geheime
boodschap”
Sleuteluitwisseling
Certificaat Authenticatie
Vertrouwelijkheid Authenticiteit
publiek privé
22. Digitale handtekening
(creatie)
Lorem ipsum dolor sit
amet, consectetur
adipiscing elit.
Morbi nec velit ac ex
malesuada aliquam.
Nunc tempus facilisis
tellus, ac
pellentesque nibh
tincidunt in.
Suspendisse potenti.
Sed porttitor
molestie quam, ut
scelerisque urna
tempus nec. Quisque
non dui tortor. Nulla
turpis dui, fringilla
at metus eget,
sollicitudin
vestibulum risus.
Nunc molestie nibh
sit amet ex lobortis
bibendum. Nulla vitae
fringilla odio, sit
amet tristique felis.
Donec lacus metus,
pharetra vel faucibus
quis, ultrices non
turpis. Sed nec urna
eget nisi sodales
feugiat.
5687e2a9e95b7fb6
04c3198a6f28f50c
5e58b73d8d2d4c35
e6d7aaa72b257b16
934d9ae42bec207a
49441edaa07e6a28
58e37ba57da9dee0
b3859f39d24e9aea
privé
Sleuteluitwisseling
Certificaat Authenticatie
Vertrouwelijkheid Authenticiteit
23. Digitale handtekening
(verificatie)
Lorem ipsum dolor sit
amet, consectetur
adipiscing elit.
Morbi nec velit ac ex
malesuada aliquam.
Nunc tempus facilisis
tellus, ac
pellentesque nibh
tincidunt in.
Suspendisse potenti.
Sed porttitor
molestie quam, ut
scelerisque urna
tempus nec. Quisque
non dui tortor. Nulla
turpis dui, fringilla
at metus eget,
sollicitudin
vestibulum risus.
Nunc molestie nibh
sit amet ex lobortis
bibendum. Nulla vitae
fringilla odio, sit
amet tristique felis.
Donec lacus metus,
pharetra vel faucibus
quis, ultrices non
turpis. Sed nec urna
eget nisi sodales
feugiat.
5687e2a9e95b7fb6
04c3198a6f28f50c
5e58b73d8d2d4c35
e6d7aaa72b257b16
934d9ae42bec207a
49441edaa07e6a28
58e37ba57da9dee0
b3859f39d24e9aea
Sleuteluitwisseling
Certificaat Authenticatie
Vertrouwelijkheid Authenticiteit
publiek
24. Algoritme Optie
Elliptic Curve Digital Signature
Algorithm
ECDSA
RSA RSA
Digital Signature Standard DSS
‘voor export toegestane algoritmes’ *_EXPORT
Kerberos KRB5
Pre-Shared Key PSK
Secure Remote Password SRP
Anoniem anon
Geen NULL
Authenticatie
Certificaat-ondertekening
Sleuteluitwisseling
Certificaat Authenticatie
Vertrouwelijkheid Authenticiteit
25. Crypto-keuzes
• TLS
• We weten nu welke ciphersuites voldoende of goed zijn.
• Bijvoorbeeld:
TLS_RSA_PSK_WITH_NULL_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
26. Crypto-keuzes
• Certificaat
• De juiste hash-functie (alleen
SHA256)
• Een voldoende / goed ondertekenings-algoritme (DSS / RSA /
ECDSA)
• Met een voldoende / goede sleutellengte (bijv. RSA minstens 2048
bit)
27. Advies
• Volg de richtlijn van het NCSC,
wijk alleen af met een degelijke onderbouwing
• Kies bij implementatie voor de standaard libraries en oplossingen
• Schakel een expert in, op zijn minst voor een review
28. www.makesecure.nl luuk.danes@makesecure.nl
Verder lezen:
• Cryptografie: “Ik begrijp het niet,
dus het is veilig”?
• De kracht van kaders
• Zijn uw SSL-configuratie en
certificaten up-to-date?
• Correct toepassen van cryptografie
op