Samenvatting
Samenvatting Tentamenstof Cryptografie Informatieveiligheid
- Instelling
- Hogeschool Utrecht (HU)
Alle tentamenstof week 6 Informatieveiligheid
[Meer zien]Voorbeeld 7 van de 23 pagina's
Voorbeeld 7 van de 23 pagina's
In winkelwagengesponsord bericht van onze partner
3 beoordelingen
Door: ericvanbaars • 6 jaar geleden
Door: crvtje • 7 jaar geleden
Door: huykha10 • 7 jaar geleden
Voorbeeld van de inhoud
Kernpunten week 6 Informatieveiligheid: CryptografieHoofdstuk 8: Technische maatregelen (IT-beveiliging)
Logische toegangscontrole = Waarborgt dat toegang tot middelen beperkt en geautoriseerd is op basis van
bedrijfsmatige en beveiligingseisen.
Stap 1: Identificatie (kenbaar maken van de identiteit van een subject, door invoeren wachtwoord)
Stap 2: Authenticatie (proces waarin geverifieerd wordt of gebruiker beweerd wie hij is, authenticiteit
vaststellen)
Stap 3: Autorisatie (proces waarin subject/gebruiker rechten krijgt op het benaderen van object)
- Zoals een document (need-to-know, alleen wat je mag weten) of open/tenzij principe waarin alleen
die zaken worden beperkt die gevoelig of vertrouwelijk zijn
- Autorisatie toegekend door persoon die verantwoordelijk is voor middel (manager)
- Autorisatie is een set van permissies (recht om bestand in te zien, aanpassen)
- Type toegangscontrole op bedrijfsmiddel vastgesteld door eigenaar, geimplementeerd in
geautomatiseerd systeem (doorgaans uitgevoerd door systeemontwikkelaar).
Verschillende vormen van toegang:
(1) DAC = Discretionary Access Control (Individuen bepalen zelf wie toegang tot data heeft)
Gebruikers bepalen zelf welke personen toegang mogen hebben tot hun gegevens, onafhankelijk van
beleidsregels en op basis van hun eigen discretie
Voorbeeld: Geven van toegang aan anderen op de eigen bestanden directory
Voordeel: Zeer flexibel voor gebruiker
Nadeel: Deze vorm van toegangscontrole niet bruikbaar in een omgeving waar compliance-eisen gelden en
waar werken volgens het boekje zeer strikt is.
- Middeleigenaar zorgt voor aansturing zodat geautomatiseerde systeem volgens beleidsbesluiten
werkt
- Zeer lastig om deze vorm te auditeren/onderzoeken > reden is dat iedere gebruiker zijn eigen
besluiten kan nemen over het al dan niet toegang geven tot middelen. Bij een audit moet voor iedere
gebruiker onderzocht worden of de besluiten die een gebruiker genomen heeft in lijn zijn met het
toegangsbeleid dat uitgezet is door de organisatie.
(2) MAC = Mandatory Access Control (Toegang wordt verleend op basis van vastgesteld beleid)
Toegangsgoedkeuringen op basis van vastgesteld beleid
- Beschrijvingen van subjecten (personen, systemen) en objecten (informatie, applicaties)
- Screening en classificatie gekoppeld aan subjecten/objecten
- Toegang verleend door het evalueren of de attributen van een subject dat toegang wil hebben
overeenkomt met de eisen die hieraan gesteld worden door een object.
- Centraal beheer van beleid door systeembeheerder
Voorbeeld: Gebruik van fileservers waar gebruikers bestanden op kunnen slaan, een MAC gebaseerd systeem
kan bijvoorbeeld stellen dat alleen die directories voor projecten waaraan die persoon op dat moment werkt
toegankelijk zijn.
,(3) RBAC = Role Based Access Control (Toegangsgoedkeuringen op basis van rollen)
Toegangsbesluiten gebaseerd op de rol dat een subject, gewoonlijk een persoon, heeft.
- Meer personen dan rollen
- Gebruiker krijgt een rol binnen een project toegewezen
- Op basis van deze rol worden vervolgens permissies toegekend die bepalen welke delen van de
projectdirectory toegankelijk zijn voor deze gebruiker
- Centraal beheer beleid door systeembeheerder
(4) CBAC = Claim Based Access Control (Toegangsgoedkeuring op basis van set claims)
Toegangsbesluiten gebaseerd op een set van claims waaraan voldaan moet worden voordat toegang verleend
wordt
- Nieuwe en flexibele vorm van toegangscontrole
- Voordeel CBAC t.o.v. RBAC = Flexibeler omdat het niet gelimiteerd is tot claims die horen bij een rol.
Bewakingsmaatregelen op toegangspunten:
- Monitoren wie toegang heeft tot wat en misbruik van autorisaties
- Voorkomen dat logistieke werknemers toegang hebben tot betalingssystemen
- Beperken risico financiele fraude, identiteitsdiefstal door werknemers of gebruikers (human factor)
- Voldoen wettelijke verplichtingen
- Toegang zowel technisch als organisatorisch (organiseren/verlenen autorisaties)
Security-eisen voor informatiesystemen:
- Vanaf moment 1 beveiliging meenemen in project
- Later toevoegen erg kostbaar
- Soms zelfs onmogelijk later nog aanpassingen te doen
- Ook kan toevoegen van beveiliging in een latere fase negatieve effecten op andere onderdelen
hebben > beveiligingseisen vaststellen en documenteren
- Test- en aanschafproces, contract met leverancier moet beveiligingseisen bevatten (aanspreken
leverancier mocht systeem niet meer voldoen aan eisen) > risico afwegen en maatregelen alvorens
aan te schaffen.
Correcte verwerking in toepassingen (controle interne informatieverwerking)
- Applicaties (software, programma’s) betrouwbaar
- Consistent verwacht gedrag en resultaat (programma produceert fouten, gegevens gaan verloren,
ongeautoriseerde gebruikers kunnen veranderingen toebrengen, misbruik gegevens)
- Beschermende maatregelen: validatie van informatie die door gebruiker wordt ingevoerd, interne
verwerking en geproduceerde resultaat > gehele verwerking gegevens door toepassing valideren
- Maatregel: door waarde die gegevens kunnen aannemen limiteren en alarm genereren wanneer
ingevoerde waardes boven de limiet komen. Of: Eerst inloggen om toegang te krijgen tot essentiele
functies (vastgelegd en periodiek gecontroleerd).
Validatie van input- en outputdata (Data ingevoerd in applicaties)
- Data in applicaties valideren om te zorgen voor nauwkeurigheid
- Soms automatische verwerking
- Validatie = belangrijk hulpmiddel voor bescherming tegen fouten en misbruik door gebruikers
- Verschillende manieren: voldoet formaat aan regels, a.h.v. database toetsen of postcode bestaat,
controle of ingevoerde waarde past binnen een van te voren bepaalde reeks van mogelijke waarden.
, - Tabellen met vooraf bepaalde waarden (lijsten met dingen die besteld kunnen worden, worden in
toepassingen ingebouwd en voorkomen dat er afwijkende woorden gebruikt worden en daarmee
worden gebruikersfouten voorkomen).
- Nadeel = het gebruik van vooraf gedefinieerde lijsten kan de flexibiliteit voor gebruikers van dat
systeem ernstig belemmeren.
Cryptografie = Verborgen schrijven
Geschiedenis:
- Romeinen gebruikten dit om militaire berichten veilig door het rijk te kunnen sturen
Cryptoanalyse = Het onderzoek naar cryptografische algoritmen (nieuwe algoritmen kraken en ontdekken).
Belangrijkste reden om cryptografie te gebruiken is om de vertrouwelijkheid van informatie te kunnen
garanderen.
Maar ook gebruikt om:
- Integriteit en authenticiteit van gegevens te waarborgen
- Alsmede in authenticatiemechanismen in zogeheten onweerlegbaarheidsfuncties.
Onweerlegbaarheid = Het verkrijgen van bewijs voor het voordoen of niet voordoen van een gebeurtenis of
actie (ISO-definitie).
In feite is onweerlegbaarheid bedoeld om te voorkomen dat iemand achteraf zegt ergens geen toestemming
voor gegeven heeft, terwijl hij/zij dit wel heeft gedaan.
Kracht van een cryptografische toepassingen berust op organisatorische aspecten als goed
sleutelmanagement.
- Het geheimhouden van het sleutelmateriaal is dan ook belangrijker dan de vertrouwelijkheid van het
algoritme
Cryptografie basisprincipes:
- Zowel ontvanger als zender maken gebruik van eenzelfde algoritme
- Het algoritme zelf is publiek (moet getoetst worden door experts)
3 cryptografische systemen:
1. Symmetrische cryptografie
2. Asymmetrische cryptografie
3. Een-weg-encryptie
Wanneer algoritme wordt toegepast, zal het moeilijk/onmogelijk zijn om berichten die met het algoritme
versleuteld zijn, te ontcijferen wanneer men geen beschikking heeft over de geheime sleutel. De sleutels
vormen de geheime component van elk cryptografisch systeem.
Symmetrische cryptografie:
1. Zender en ontvanger maken gebruik van dezelfde sleutel = ontcijfering
2. Algoritme waarbij zender en ontvanger gebruikmaken van dezelfde geheim te houden sleutel
Voorbeeld: Alfabetverschuiving
,Sleutel = Het aantal karakters dat in een alfabet opgeschoven wordt ten opzichte van de te communiceren
tekst.
Bijvoorbeeld: Sleutel met de waarde 5 (dus bij vercijfering 5 plaatsen opschuiven, en bij ontcijfering 5
plaatsen terugschuiven waardoor andere letters voor het woord BLOEM komen te staan > wordt GQTJR
Er wordt dus steeds 5 karakters opgeschoven naar voren tot er een geheel ander woord ontstaat.
Cypher tekst = Versleutelde tekst
Klare tekst = Originele tekst
Door nu gebruik te maken van dezelfde sleutel, maar nu door 5 af te trekken van de vercijferde tekst is het
mogelijk om de originele tekst BLOEM terug te halen.
Vercijferde tekst kan nu veilig verstuurd worden zolang de sleutel (=5) geheim is en het algoritme sterk genoeg.
- Exact dezelfde sleutel wordt gebruikt voor zowel de encryptie als de decryptie
- Voordelen: Computers kunnen dit heel snel (computationally cheap), eenvoudig te begrijpen en
daarmee niet foutgevoelig in werkwijze door gebruikers.
- Nadelen: Voorafgaand aan gebruik geheime sleutel uitwisselen tussen gebruikers (kwetsbaar indien
verloren of doorgespeeld), elke gebruiker heeft voor communicatie met elke andere gebruiker weer
een andere sleutel nodig (zorgt voor een hele sleutelbos)
Figuur Symmetrisch systeem
1. Essentieel dat sleutel beschermd wordt
2. Dezelfde sleutel wordt namelijk gebruikt door zender en ontvanger.
,Nadeel: Geheime sleutel moet uitgewisseld worden voordat er gecommuniceerd kan worden tussen zender en
ontvanger. Dit maakt het systeem kwetsbaar > als sleutel niet geheim gehouden wordt of aanvaller
onderschept de sleutel.
- Het risico van compromitatie (openbare sleutel) van de sleutel neemt toe met het aantal partijen dat
onderling berichten uitwisselt op basis van dezelfde gedeelde sleutel.
Asymmetrische cryptografie (sleutelpaar: geheime sleutel + publieke sleutel = ontcijfering)
- Oplossing voor kwetsbaarheid delen van geheime sleutel
- Asymmetrische cryptografie gebruikt verschillende sleutels voor het vercijferen en ontcijferen van
informatie.
- Klokrekenen, modulaire wiskunde
- Het is niet langer nodig dat de zender en ontvanger dezelfde sleutel delen
- Het algoritme werkt op basis van sleutelparen.
- Publieke sleutel kan met iedereen gedeeld worden, zolang de private sleutel geheim blijft
- Publieke sleutel algoritme (publieke sleutel met iedereen delen, zolang private sleutel geheim is)
Sleutelpaar = Boodschappen die versleuteld zijn met de geheime of private sleutel van dit sleutelpaar alleen te
ontcijferen met de publieke sleutel van dit sleutelpaar.
Twee manieren gebruiken:
1. Ondertekenen van berichten met de private sleutel
- Publieke sleutel die voor iedereen beschikbaar is, vaststellen dat bericht is getekend door eigenaar
van private sleutel die behoort bij de corresponderende publieke sleutel
- Waarborg Integriteit en Authenticiteit/onweerlegbaarheid
2. Door met behulp van de publieke sleutel van ontvanger een bericht te vercijferen
- Dit garandeert dat het bericht alleen te lezen is door diegene die in bezit is van de private sleutel die
bij die publieke sleutel hoort
- Waarborg vertrouwelijkheid
- Iedereen kan beschikken over de publieke sleutel, er is maar 1 houder van de private sleutel
- Zowel integriteit als vertrouwelijkheid van een bericht garanderen
- Encryptie gebeurt met andere sleutel dan decryptie, maar sleutels met elkaar verbonden als
sleutelpaar.
- Private key = alleen bekend bij eigenaar en dus geheim
- Public key = openbaar bekend en gepubliceerd
Voordeel: Private sleutel alleen bekend bij houder van die sleutel, en aangezien deze sleutel niet gedeeld
hoeft te worden met iemand anders, is deze niet kwetsbaar voor een aanval gerelateerd aan de
sleuteluitwisseling.
Nadeel: Grote sleutellengtes zijn nodig, waardoor coderen en decoderen veel rekenkracht vergt. De sleutels
moeten groot zijn omdat het anders mogelijk wordt met een snelle computer de geheime sleutel te vinden.
Maar ook dat computers er langer over doen (computationally expensive en werkwijze is complexer en dus
foutgevoeliger.
,Figuur asymmetrisch systeem
De
ontvanger
weet dat zijn private sleutel hoort bij de publieke sleutel die wordt aangeboden. Hij stuurt deze publieke
sleutel naar de verzender en weet zo of die sleutel bij zijn private sleutel hoort.
- Uitwisselen van de sleutel veiliger en makkelijker
Digitale handtekeningen > Asymmetrische cryptografie
Digitale handtekening = Methode om vast te stellen dat digitale informatie is geproduceerd of verstuurd door
iemand die dat claimt.
2 algoritmes:
1. Vaststellen dat informatie niet veranderd is door anderen nadat deze was ondertekend (Integriteit)
2. Vaststellen identiteit zender die handtekening heeft gezet, en dient om onweerlegbaarheid te
verzekeren (Onweerlegbaarheid)
- Veel gevallen mogelijk om digitale handtekening te verifiëren door gebruik te maken van een
geconformeerd certificaat.
Publieke Sleutel Infrastructuur, PKI (Certificaat)
Lijkt op asymmetrische cryptografie, maar is uitgebreider: door afspraken, procedures en een
organisatiestructuur het garanties biedt over de persoon of het systeem waar een bepaalde publieke sleutel aan
verbonden is.
, - Beheerd door onafhankelijke en vertrouwde autoriteit
- Sterkte afhankelijk van niet-technische aspecten
- Manier waarop gebruiker zijn geheime sleutel verkrijgt
Onweerlegbaarheid = Zekerheid dat iemand iets niet kan ontkennen gedaan te hebben.
Authenticiteit van een digitale handtekening niet kan ontkennen.
PKI is een oplossing die onweerlegbaarheid kan garanderen (garantie dat bericht elektronisch ondertekend is
door bepaalde persoon, maar ook om te voorkomen dat deze persoon later kan ontkennen dat hij degene was
die het document getekend heeft).
Doel is om onenigheid over het al dan niet plaatsvinden van de gebeurtenis of actie door de betrokken
entiteiten op te kunnen lossen.
Stappen in een PKI
Stap 1: Een gebruiker (boekhandel/uitgever) meldt zich bij een Registratie Autoriteit (voert controles naar
entiteit uit)
Stap 2: Gebaseerd op bewijsstukken (paspoort) dient de RA bij de Certificatie Autoriteit (CA) de aanvraag in
om een certificaat uit te geven
Stap 3: Het sleutelpaar dat wordt gebruikt door de gebruiker kan op diverse manieren gegenereerd worden
(soms gebruiker eigen sleutelpaar genereren, soms zwaar beveiligd faciliteit)
Stap 4: De CA (Certificatie Autoriteit) geeft vervolgens een door hem getekend certificaat uit, dat de
garantie biedt dat de publieke sleutel hoort bij een door de RA geverifieerde entiteit.
Stap 5: In het vervolg wanneer de gebruiker iets tekent, bijvoorbeeld een contract, met zijn digitale
handtekening, kan de ontvangende partij deze verifiëren of deze daadwerkelijk behoort bij een bepaalde
afzender door een controleverzoek te sturen naar een Validatie Autoriteit (VA) die toegang heeft tot
gegevens van de CA
RA = Registratie-autoriteit
CA = Certificatie-autoriteit
VA = Validatie-autoriteit
Voordelen van het kopen van samenvattingen bij Stuvia op een rij:
Verzekerd van kwaliteit door reviews
Stuvia-klanten hebben meer dan 700.000 samenvattingen beoordeeld. Zo weet je zeker dat je de beste documenten koopt!
Snel en makkelijk kopen
Je betaalt supersnel en eenmalig met iDeal, creditcard of Stuvia-tegoed voor de samenvatting. Zonder lidmaatschap.
Focus op de essentie
Samenvattingen worden geschreven voor en door anderen. Daarom zijn de samenvattingen altijd betrouwbaar en actueel. Zo kom je snel tot de kern!
Veelgestelde vragen
Wat krijg ik als ik dit document koop?
Je krijgt een PDF, die direct beschikbaar is na je aankoop. Het gekochte document is altijd, overal en oneindig toegankelijk via je profiel.
Tevredenheidsgarantie: hoe werkt dat?
Onze tevredenheidsgarantie zorgt ervoor dat je altijd een studiedocument vindt dat goed bij je past. Je vult een formulier in en onze klantenservice regelt de rest.
Van wie koop ik deze samenvatting?
Stuvia is een marktplaats, je koop dit document dus niet van ons, maar van verkoper lucasbonset. Stuvia faciliteert de betaling aan de verkoper.
Zit ik meteen vast aan een abonnement?
Nee, je koopt alleen deze samenvatting voor €4,48. Je zit daarna nergens aan vast.
Is Stuvia te vertrouwen?
4,6 sterren op Google & Trustpilot (+1000 reviews)
Afgelopen 30 dagen zijn er 67474 samenvattingen verkocht
Opgericht in 2010, al 14 jaar dé plek om samenvattingen te kopen