Wat mij betreft kunnen we het onderwerp beveiligen weer eens oppakken bij de basis; zoals ik al eerder aangaf in een reactie op een artikel over de stemcomputer is het niet altijd even goed gesteld met het toepassen van beveiligingsprincipes zeker waar het gaat om overheidsprojecten waarbij IT implementaties een onderdeel vormen van het project.
Het is vooral jammer dat we hierin niet met trots oude Nederlandse principes toepassen. Het was Auguste Kerckhoffs die in het begin van de 19e eeuw de basis legde van – in veler ogen nog steeds het beste principe ooit op het gebied van beveiliging en cryptografie – het principe dat stelt dat het systeem veilig moet zijn, zelfs als het hele systeem (met uitzondering van de sleutel) publiek bekend is (of wordt).
Dit klinkt misschien vaag maar dit is eigenlijk het tegenovergestelde van het in de praktijk vaak toegepaste “als het systeem maar beveiligd wordt en de programmatuur niet met iedereen gedeeld wordt is het wel veilig”. Zodra in een dergelijke situatie namelijk één iemand weet heeft van de programmatuur zal het systeem namelijk falen.
Bij een systeem dat gebaseerd is op het Kerckhoffs’ principe is dit niet het geval, en hoeft men ook geen angst te hebben voor het publiekelijk uitlekken van de bouw van het systeem. Sterker nog, in deze situatie is zelfs aan te raden om de broncode van het systeem publiekelijk te delen omdat daarmee verbeteringen toegepast kunnen worden op basis van beoordeling van de gemeenschap.
Een tweetal voorbeelden van overheidprojecten waarbij het Kerckhoffs’ principe niet is toegepast zijn de OV-chipkaart en de stemcomputers. Bij beide toepassingen is geen gebruik gemaakt van dit principe en bij beiden hebben we het resultaat hiervan inmiddels gezien. De OV-chipkaart is deels gekraakt; we kunnen wachten op het moment waarop ook schrijven op de OV-chipkaart mogelijk wordt. In de stemcomputers is het vertrouwen inmiddels verloren wat er toe heeft geleid dat we bij de laatste verkiezingen opnieuw gebruik hebben gemaakt van het oude stempotlood.
Daarom: waar het gaat om beveiliging, vertrouw nimmer op het toepassen van het ‘closed source principe’.
1 reactie
Niek Janse 29 maart 2010 om 13:35
Closed box werkt niet? Kijk de oude mainframes. Geen mens weet hoe het werkt maar het draait nog steeds.
Maar je punt is duidelijk. De sleutel goed bewaren en geen mens kan er iets mee. Probleem is alleen, hoe hou je die sleutel geheim in projecten van meerdere miljarden en met duizenden mensen die er aan werken?
Is er verder geen ongeschreven wet die aangeeft dat elke sleutel te kraken is? Volgens mij moet men inderdaad niet de oplossing zoeken in closed box. Maar alleen vertrouwen op de sleutel is volgens mij ook geen optie.
Misschien is het een idee om eens te kijken hoe we nucleaire wapens softwarematig beveiligen. Ik mag hopen dat deze op het allerhoogste niveau beveiligt zijn.
Jouw reactie