100% satisfaction guarantee Immediately available after payment Both online and in PDF No strings attached
logo-home
Previously searched by you
Previously searched by you
logo
Samenvatting Tentamenstof Cryptografie Informatieveiligheid $4.81   Add to cart
Quickly navigate to
Preview
  2.  
  3. Hogeschool Utrecht (HU)
  4.  
  5. Informatieveiligheid

Summary

Samenvatting Tentamenstof Cryptografie Informatieveiligheid

3 reviews
 150 views  0 purchase
  • Course
  • Informatieveiligheid
  • Institution
  • Hogeschool Utrecht (HU)

Alle tentamenstof week 6 Informatieveiligheid

Preview 7 out of 23  pages

Document information

  • November 1, 2016
  • 23
  • 2016/2017
  • Summary

Subjects

  • informatieveiligheid

Written for

  • Hogeschool Utrecht (HU)
  • Integrale Veiligheidskunde
  • Informatieveiligheid
All documents for this subject (36)

3  reviews

review-writer-avatar

By: ericvanbaars • 6 year ago

review-writer-avatar

By: crvtje • 7 year ago

review-writer-avatar

By: huykha10 • 7 year ago

Seller

avatar-seller
lucasbonset

Reviews received

Content preview

Kernpunten week 6 Informatieveiligheid: Cryptografie


Hoofdstuk 8: Technische maatregelen (IT-beveiliging)

Logische toegangscontrole = Waarborgt dat toegang tot middelen beperkt en geautoriseerd is op basis van
bedrijfsmatige en beveiligingseisen.

Stap 1: Identificatie (kenbaar maken van de identiteit van een subject, door invoeren wachtwoord)

Stap 2: Authenticatie (proces waarin geverifieerd wordt of gebruiker beweerd wie hij is, authenticiteit
vaststellen)

Stap 3: Autorisatie (proces waarin subject/gebruiker rechten krijgt op het benaderen van object)

- Zoals een document (need-to-know, alleen wat je mag weten) of open/tenzij principe waarin alleen
die zaken worden beperkt die gevoelig of vertrouwelijk zijn
- Autorisatie toegekend door persoon die verantwoordelijk is voor middel (manager)
- Autorisatie is een set van permissies (recht om bestand in te zien, aanpassen)
- Type toegangscontrole op bedrijfsmiddel vastgesteld door eigenaar, geimplementeerd in
geautomatiseerd systeem (doorgaans uitgevoerd door systeemontwikkelaar).

Verschillende vormen van toegang:

(1) DAC = Discretionary Access Control (Individuen bepalen zelf wie toegang tot data heeft)

Gebruikers bepalen zelf welke personen toegang mogen hebben tot hun gegevens, onafhankelijk van
beleidsregels en op basis van hun eigen discretie

Voorbeeld: Geven van toegang aan anderen op de eigen bestanden directory

Voordeel: Zeer flexibel voor gebruiker

Nadeel: Deze vorm van toegangscontrole niet bruikbaar in een omgeving waar compliance-eisen gelden en
waar werken volgens het boekje zeer strikt is.

- Middeleigenaar zorgt voor aansturing zodat geautomatiseerde systeem volgens beleidsbesluiten
werkt
- Zeer lastig om deze vorm te auditeren/onderzoeken > reden is dat iedere gebruiker zijn eigen
besluiten kan nemen over het al dan niet toegang geven tot middelen. Bij een audit moet voor iedere
gebruiker onderzocht worden of de besluiten die een gebruiker genomen heeft in lijn zijn met het
toegangsbeleid dat uitgezet is door de organisatie.

(2) MAC = Mandatory Access Control (Toegang wordt verleend op basis van vastgesteld beleid)

Toegangsgoedkeuringen op basis van vastgesteld beleid

- Beschrijvingen van subjecten (personen, systemen) en objecten (informatie, applicaties)
- Screening en classificatie gekoppeld aan subjecten/objecten
- Toegang verleend door het evalueren of de attributen van een subject dat toegang wil hebben
overeenkomt met de eisen die hieraan gesteld worden door een object.
- Centraal beheer van beleid door systeembeheerder

Voorbeeld: Gebruik van fileservers waar gebruikers bestanden op kunnen slaan, een MAC gebaseerd systeem
kan bijvoorbeeld stellen dat alleen die directories voor projecten waaraan die persoon op dat moment werkt
toegankelijk zijn.

,(3) RBAC = Role Based Access Control (Toegangsgoedkeuringen op basis van rollen)

Toegangsbesluiten gebaseerd op de rol dat een subject, gewoonlijk een persoon, heeft.

- Meer personen dan rollen
- Gebruiker krijgt een rol binnen een project toegewezen
- Op basis van deze rol worden vervolgens permissies toegekend die bepalen welke delen van de
projectdirectory toegankelijk zijn voor deze gebruiker
- Centraal beheer beleid door systeembeheerder

(4) CBAC = Claim Based Access Control (Toegangsgoedkeuring op basis van set claims)

Toegangsbesluiten gebaseerd op een set van claims waaraan voldaan moet worden voordat toegang verleend
wordt

- Nieuwe en flexibele vorm van toegangscontrole
- Voordeel CBAC t.o.v. RBAC = Flexibeler omdat het niet gelimiteerd is tot claims die horen bij een rol.


Bewakingsmaatregelen op toegangspunten:

- Monitoren wie toegang heeft tot wat en misbruik van autorisaties
- Voorkomen dat logistieke werknemers toegang hebben tot betalingssystemen
- Beperken risico financiele fraude, identiteitsdiefstal door werknemers of gebruikers (human factor)
- Voldoen wettelijke verplichtingen
- Toegang zowel technisch als organisatorisch (organiseren/verlenen autorisaties)

Security-eisen voor informatiesystemen:

- Vanaf moment 1 beveiliging meenemen in project
- Later toevoegen erg kostbaar
- Soms zelfs onmogelijk later nog aanpassingen te doen
- Ook kan toevoegen van beveiliging in een latere fase negatieve effecten op andere onderdelen
hebben > beveiligingseisen vaststellen en documenteren
- Test- en aanschafproces, contract met leverancier moet beveiligingseisen bevatten (aanspreken
leverancier mocht systeem niet meer voldoen aan eisen) > risico afwegen en maatregelen alvorens
aan te schaffen.

Correcte verwerking in toepassingen (controle interne informatieverwerking)

- Applicaties (software, programma’s) betrouwbaar
- Consistent verwacht gedrag en resultaat (programma produceert fouten, gegevens gaan verloren,
ongeautoriseerde gebruikers kunnen veranderingen toebrengen, misbruik gegevens)
- Beschermende maatregelen: validatie van informatie die door gebruiker wordt ingevoerd, interne
verwerking en geproduceerde resultaat > gehele verwerking gegevens door toepassing valideren
- Maatregel: door waarde die gegevens kunnen aannemen limiteren en alarm genereren wanneer
ingevoerde waardes boven de limiet komen. Of: Eerst inloggen om toegang te krijgen tot essentiele
functies (vastgelegd en periodiek gecontroleerd).

Validatie van input- en outputdata (Data ingevoerd in applicaties)

- Data in applicaties valideren om te zorgen voor nauwkeurigheid
- Soms automatische verwerking
- Validatie = belangrijk hulpmiddel voor bescherming tegen fouten en misbruik door gebruikers
- Verschillende manieren: voldoet formaat aan regels, a.h.v. database toetsen of postcode bestaat,
controle of ingevoerde waarde past binnen een van te voren bepaalde reeks van mogelijke waarden.

, - Tabellen met vooraf bepaalde waarden (lijsten met dingen die besteld kunnen worden, worden in
toepassingen ingebouwd en voorkomen dat er afwijkende woorden gebruikt worden en daarmee
worden gebruikersfouten voorkomen).
- Nadeel = het gebruik van vooraf gedefinieerde lijsten kan de flexibiliteit voor gebruikers van dat
systeem ernstig belemmeren.

Cryptografie = Verborgen schrijven

Geschiedenis:

- Romeinen gebruikten dit om militaire berichten veilig door het rijk te kunnen sturen

Cryptoanalyse = Het onderzoek naar cryptografische algoritmen (nieuwe algoritmen kraken en ontdekken).

Belangrijkste reden om cryptografie te gebruiken is om de vertrouwelijkheid van informatie te kunnen
garanderen.

Maar ook gebruikt om:

- Integriteit en authenticiteit van gegevens te waarborgen
- Alsmede in authenticatiemechanismen in zogeheten onweerlegbaarheidsfuncties.

Onweerlegbaarheid = Het verkrijgen van bewijs voor het voordoen of niet voordoen van een gebeurtenis of
actie (ISO-definitie).

In feite is onweerlegbaarheid bedoeld om te voorkomen dat iemand achteraf zegt ergens geen toestemming
voor gegeven heeft, terwijl hij/zij dit wel heeft gedaan.

Kracht van een cryptografische toepassingen berust op organisatorische aspecten als goed
sleutelmanagement.

- Het geheimhouden van het sleutelmateriaal is dan ook belangrijker dan de vertrouwelijkheid van het
algoritme

Cryptografie basisprincipes:

- Zowel ontvanger als zender maken gebruik van eenzelfde algoritme
- Het algoritme zelf is publiek (moet getoetst worden door experts)

3 cryptografische systemen:

1. Symmetrische cryptografie
2. Asymmetrische cryptografie
3. Een-weg-encryptie

Wanneer algoritme wordt toegepast, zal het moeilijk/onmogelijk zijn om berichten die met het algoritme
versleuteld zijn, te ontcijferen wanneer men geen beschikking heeft over de geheime sleutel. De sleutels
vormen de geheime component van elk cryptografisch systeem.

Symmetrische cryptografie:

1. Zender en ontvanger maken gebruik van dezelfde sleutel = ontcijfering
2. Algoritme waarbij zender en ontvanger gebruikmaken van dezelfde geheim te houden sleutel

Voorbeeld: Alfabetverschuiving

,Sleutel = Het aantal karakters dat in een alfabet opgeschoven wordt ten opzichte van de te communiceren
tekst.

Bijvoorbeeld: Sleutel met de waarde 5 (dus bij vercijfering 5 plaatsen opschuiven, en bij ontcijfering 5
plaatsen terugschuiven waardoor andere letters voor het woord BLOEM komen te staan > wordt GQTJR

Er wordt dus steeds 5 karakters opgeschoven naar voren tot er een geheel ander woord ontstaat.

Cypher tekst = Versleutelde tekst

Klare tekst = Originele tekst

Door nu gebruik te maken van dezelfde sleutel, maar nu door 5 af te trekken van de vercijferde tekst is het
mogelijk om de originele tekst BLOEM terug te halen.

Vercijferde tekst kan nu veilig verstuurd worden zolang de sleutel (=5) geheim is en het algoritme sterk genoeg.

- Exact dezelfde sleutel wordt gebruikt voor zowel de encryptie als de decryptie
- Voordelen: Computers kunnen dit heel snel (computationally cheap), eenvoudig te begrijpen en
daarmee niet foutgevoelig in werkwijze door gebruikers.
- Nadelen: Voorafgaand aan gebruik geheime sleutel uitwisselen tussen gebruikers (kwetsbaar indien
verloren of doorgespeeld), elke gebruiker heeft voor communicatie met elke andere gebruiker weer
een andere sleutel nodig (zorgt voor een hele sleutelbos)

Figuur Symmetrisch systeem




1. Essentieel dat sleutel beschermd wordt
2. Dezelfde sleutel wordt namelijk gebruikt door zender en ontvanger.

,Nadeel: Geheime sleutel moet uitgewisseld worden voordat er gecommuniceerd kan worden tussen zender en
ontvanger. Dit maakt het systeem kwetsbaar > als sleutel niet geheim gehouden wordt of aanvaller
onderschept de sleutel.

- Het risico van compromitatie (openbare sleutel) van de sleutel neemt toe met het aantal partijen dat
onderling berichten uitwisselt op basis van dezelfde gedeelde sleutel.


Asymmetrische cryptografie (sleutelpaar: geheime sleutel + publieke sleutel = ontcijfering)


- Oplossing voor kwetsbaarheid delen van geheime sleutel
- Asymmetrische cryptografie gebruikt verschillende sleutels voor het vercijferen en ontcijferen van
informatie.
- Klokrekenen, modulaire wiskunde
- Het is niet langer nodig dat de zender en ontvanger dezelfde sleutel delen
- Het algoritme werkt op basis van sleutelparen.
- Publieke sleutel kan met iedereen gedeeld worden, zolang de private sleutel geheim blijft
- Publieke sleutel algoritme (publieke sleutel met iedereen delen, zolang private sleutel geheim is)

Sleutelpaar = Boodschappen die versleuteld zijn met de geheime of private sleutel van dit sleutelpaar alleen te
ontcijferen met de publieke sleutel van dit sleutelpaar.

Twee manieren gebruiken:

1. Ondertekenen van berichten met de private sleutel

- Publieke sleutel die voor iedereen beschikbaar is, vaststellen dat bericht is getekend door eigenaar
van private sleutel die behoort bij de corresponderende publieke sleutel
- Waarborg Integriteit en Authenticiteit/onweerlegbaarheid


2. Door met behulp van de publieke sleutel van ontvanger een bericht te vercijferen

- Dit garandeert dat het bericht alleen te lezen is door diegene die in bezit is van de private sleutel die
bij die publieke sleutel hoort
- Waarborg vertrouwelijkheid


- Iedereen kan beschikken over de publieke sleutel, er is maar 1 houder van de private sleutel
- Zowel integriteit als vertrouwelijkheid van een bericht garanderen
- Encryptie gebeurt met andere sleutel dan decryptie, maar sleutels met elkaar verbonden als
sleutelpaar.
- Private key = alleen bekend bij eigenaar en dus geheim
- Public key = openbaar bekend en gepubliceerd


Voordeel: Private sleutel alleen bekend bij houder van die sleutel, en aangezien deze sleutel niet gedeeld
hoeft te worden met iemand anders, is deze niet kwetsbaar voor een aanval gerelateerd aan de
sleuteluitwisseling.


Nadeel: Grote sleutellengtes zijn nodig, waardoor coderen en decoderen veel rekenkracht vergt. De sleutels
moeten groot zijn omdat het anders mogelijk wordt met een snelle computer de geheime sleutel te vinden.
Maar ook dat computers er langer over doen (computationally expensive en werkwijze is complexer en dus
foutgevoeliger.

,Figuur asymmetrisch systeem




De
ontvanger
weet dat zijn private sleutel hoort bij de publieke sleutel die wordt aangeboden. Hij stuurt deze publieke
sleutel naar de verzender en weet zo of die sleutel bij zijn private sleutel hoort.

- Uitwisselen van de sleutel veiliger en makkelijker


Digitale handtekeningen > Asymmetrische cryptografie

Digitale handtekening = Methode om vast te stellen dat digitale informatie is geproduceerd of verstuurd door
iemand die dat claimt.

2 algoritmes:

1. Vaststellen dat informatie niet veranderd is door anderen nadat deze was ondertekend (Integriteit)
2. Vaststellen identiteit zender die handtekening heeft gezet, en dient om onweerlegbaarheid te
verzekeren (Onweerlegbaarheid)

- Veel gevallen mogelijk om digitale handtekening te verifiëren door gebruik te maken van een
geconformeerd certificaat.

Publieke Sleutel Infrastructuur, PKI (Certificaat)

Lijkt op asymmetrische cryptografie, maar is uitgebreider: door afspraken, procedures en een
organisatiestructuur het garanties biedt over de persoon of het systeem waar een bepaalde publieke sleutel aan
verbonden is.

, - Beheerd door onafhankelijke en vertrouwde autoriteit
- Sterkte afhankelijk van niet-technische aspecten
- Manier waarop gebruiker zijn geheime sleutel verkrijgt

Onweerlegbaarheid = Zekerheid dat iemand iets niet kan ontkennen gedaan te hebben.

Authenticiteit van een digitale handtekening niet kan ontkennen.

PKI is een oplossing die onweerlegbaarheid kan garanderen (garantie dat bericht elektronisch ondertekend is
door bepaalde persoon, maar ook om te voorkomen dat deze persoon later kan ontkennen dat hij degene was
die het document getekend heeft).

Doel is om onenigheid over het al dan niet plaatsvinden van de gebeurtenis of actie door de betrokken
entiteiten op te kunnen lossen.

Stappen in een PKI


Stap 1: Een gebruiker (boekhandel/uitgever) meldt zich bij een Registratie Autoriteit (voert controles naar
entiteit uit)

Stap 2: Gebaseerd op bewijsstukken (paspoort) dient de RA bij de Certificatie Autoriteit (CA) de aanvraag in
om een certificaat uit te geven

Stap 3: Het sleutelpaar dat wordt gebruikt door de gebruiker kan op diverse manieren gegenereerd worden
(soms gebruiker eigen sleutelpaar genereren, soms zwaar beveiligd faciliteit)

Stap 4: De CA (Certificatie Autoriteit) geeft vervolgens een door hem getekend certificaat uit, dat de
garantie biedt dat de publieke sleutel hoort bij een door de RA geverifieerde entiteit.

Stap 5: In het vervolg wanneer de gebruiker iets tekent, bijvoorbeeld een contract, met zijn digitale
handtekening, kan de ontvangende partij deze verifiëren of deze daadwerkelijk behoort bij een bepaalde
afzender door een controleverzoek te sturen naar een Validatie Autoriteit (VA) die toegang heeft tot
gegevens van de CA


RA = Registratie-autoriteit

CA = Certificatie-autoriteit

VA = Validatie-autoriteit

The benefits of buying summaries with Stuvia:

Guaranteed quality through customer reviews

Guaranteed quality through customer reviews

Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.

Quick and easy check-out

Quick and easy check-out

You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.

Focus on what matters

Focus on what matters

Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!

Frequently asked questions

What do I get when I buy this document?

You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.

Satisfaction guarantee: how does it work?

Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.

Who am I buying these notes from?

Stuvia is a marketplace, so you are not buying this document from us, but from seller lucasbonset. Stuvia facilitates payment to the seller.

Will I be stuck with a subscription?

No, you only buy these notes for $4.81. You're not tied to anything after your purchase.

Can Stuvia be trusted?

4.6 stars on Google & Trustpilot (+1000 reviews)

67474 documents were sold in the last 30 days

Founded in 2010, the go-to place to buy study notes for 14 years now

Start selling
$4.81
  • (3)
  Add to cart