Cryptografie, theorie in de praktijk - PvIB - 10 februari 2015
Report
Luuk DanesFollow
Jun. 17, 2015•0 likes•1,030 views
Cryptografie, theorie in de praktijk - PvIB - 10 februari 2015
Jun. 17, 2015•0 likes•1,030 views
Download to read offline
Report
Internet
Video-registratie: https://youtu.be/6KUnv8v6YDI Luuk Danes legt de basisconcepten van bestaande cryptografische technieken en algoritmes uit aan de hand van Transport Layer Security (TLS/SSL). De volgende zaken komen aan bod: Symmetrische encryptie, Hashfuncties, Message Authentication Codes, Sleuteluitwisseling en Digitale handtekeningen.
Luuk DanesFollow
Recommended
Correct toepassen van cryptografie - (ISC)2 NL - 10 juni 2014Luuk Danes
Modern Digitaal DocumentbeheerSOD Next
SOD-Opleidingen presenteert Leergang InformatiemanagementSOD Next
Introduction to Data ScienceChristy Abraham Joy
Time Management & Productivity - Best PracticesVit Horky
The six step guide to practical project managementMindGenius
More Related Content
Featured
12 Ways to Increase Your Influence at WorkGetSmarter
ChatGPT webinar slidesAlireza Esmikhani
More than Just Lines on a Map: Best Practices for U.S Bike RoutesProject for Public Spaces & National Center for Biking and Walking
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...DevGAMM Conference
Barbie - Brand Strategy PresentationErica Santiago
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellSaba Software
Cryptografie, theorie in de praktijk - PvIB - 10 februari 2015
- 1. Cryptografie Theorie in de Praktijk Luuk Danes dinsdag 10 februari 2015 PvIB - Hilversum
- 2. Wat ga ik vandaag niet vertellen?
- 3. Wat ga ik vandaag niet vertellen? • Spartaanse Skytale • Ceasar cipher • Playfair cipher • Vigenère cipher • CAST • SAFER • RC5
- 4. Wat ga ik vandaag wel vertellen? • Iets over mijzelf • Symmetrische encryptie • Hashfuncties • Message Authentication Codes • Sleuteluitwisseling • Digitale handtekeningen • … aan de hand van Transport Layer Security (TLS)
- 5. • Wiskundige, gespecialiseerd in cryptologie • Ervaring opgedaan bij de OV-chipkaart en een security evaluation lab • Security-architect en consultant bij MakeSecure • Bestuurslid voor de Secure Software Foundation Luuk Danes
- 6. Transport Layer Security (TLS fka SSL) Request Hallo www.pvib.nl crypto & sleutel afspreken Hallo, ik ben www.pvib.nl Response Request
- 7. Transport Layer Security Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 8. Crypto-keuzes • TLS 317 cipher suites om uit te kiezen, waaronder: TLS_RSA_PSK_WITH_NULL_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_DH_DSS_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 • Certificaat • Hash-functie • Ondertekenings-algoritme • Sleutellengte
- 9. Uitgangspunten en bronnen • Onvoldoende, Voldoende, Goed volgens de NCSC richtlijn • Er wordt een certificaat gebruikt voor authenticatie NCSC ENISA Qualys
- 11. Symmetrische encryptie TLS-opties Algoritme Sleutelgrootte Type Optie AES 128 / 192 / 256 Block AES_128 / AES_256 CAMELLIA 128 / 192 / 256 Block CAMELLIA_128 / CAMELLIA_256 3DES 112 / 168 Block 3DES_EDE ARIA 128 / 192 / 256 Block ARIA_128 / ARIA_256 SEED 128 Block SEED DES 56 Block DES DES40 40 Block DES40 IDEA 128 Block IDEA RC2 8 – 1024 TLS: 40 Block RC2 RC4 40 – 2048 Stream RC4_40 / RC4_128 NULL 0 - NULL Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 12. Electronic Code Book Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 13. Cipher Block Chaining Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 14. Counter Mode Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 15. Operatiemodus TLS-opties Operatiemodus Optie Galois Counter Mode GCM Counter with CBC-MAC CCM Cipher Block Chaining CBC Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 16. Hash-functies Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi nec velit ac ex malesuada aliquam. Nunc tempus facilisis tellus, ac pellentesque nibh tincidunt in. Suspendisse potenti. Sed porttitor molestie quam, ut scelerisque urna tempus nec. Quisque non dui tortor. Nulla turpis dui, fringilla at metus eget, sollicitudin vestibulum risus. Nunc molestie nibh sit amet ex lobortis bibendum. Nulla vitae fringilla odio, sit amet tristique felis. Donec lacus metus, pharetra vel faucibus quis, ultrices non turpis. Sed nec urna eget nisi sodales feugiat. 5687e2a9e95b7fb6 04c3198a6f28f50c 5e58b73d8d2d4c35 e6d7aaa72b257b16 Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 17. Hash-based Message Authentication Code (H-MAC) 3747d9db5f4ff270 4d468cc197261213 d3e75cd564db0df5 377e99fb243ede05 Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi nec velit ac ex malesuada aliquam. Nunc tempus facilisis tellus, ac pellentesque nibh tincidunt in. Suspendisse potenti. Sed porttitor molestie quam, ut scelerisque urna tempus nec. Quisque non dui tortor. Nulla turpis dui, fringilla at metus eget, sollicitudin vestibulum risus. Nunc molestie nibh sit amet ex lobortis bibendum. Nulla vitae fringilla odio, sit amet tristique felis. Donec lacus metus, pharetra vel faucibus quis, ultrices non turpis. Sed nec urna eget nisi sodales feugiat.
- 18. Hash-functies TLS-opties Opmerking: CCM heeft geen hash-functie nodig Algoritme Uitvoerlengte (bit) Optie SHA2 224 / 256 / 384 / 512 SHA256 / SHA384 SHA 160 SHA MD5 128 MD5 NULL 0 NULL Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 19. Asymmetrische cryptografie • Twee sleutels: één privé, één publiek • Gebaseerd op trapdoor-functies: eenvoudig te berekenen in één richting, maar moeilijk om te berekenen in de omgekeerde richting.
- 20. Asymmetrische encryptie “Dit is een geheime boodschap” 8f70a61fb21bc28 4a045e279da184d ef949b8c3c3cca6 01d1a8ea4e88bf3 “Dit is een geheime boodschap” Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit publiek privé
- 21. Sleuteluitwisseling TLS-opties Algoritme Optie Elliptic Curve Diffie-Hellman Ephemeral ECDHE Elliptic Curve Diffie-Hellman ECDH RSA (Rivest, Shamir, Adleman) RSA Diffie-Hellman Ephemeral DHE Diffie-Hellman DH Kerberos KRB5 Pre-Shared Key PSK Secure Remote Password SRP Geen NULL Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 22. Digitale handtekening (creatie) Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi nec velit ac ex malesuada aliquam. Nunc tempus facilisis tellus, ac pellentesque nibh tincidunt in. Suspendisse potenti. Sed porttitor molestie quam, ut scelerisque urna tempus nec. Quisque non dui tortor. Nulla turpis dui, fringilla at metus eget, sollicitudin vestibulum risus. Nunc molestie nibh sit amet ex lobortis bibendum. Nulla vitae fringilla odio, sit amet tristique felis. Donec lacus metus, pharetra vel faucibus quis, ultrices non turpis. Sed nec urna eget nisi sodales feugiat. 5687e2a9e95b7fb6 04c3198a6f28f50c 5e58b73d8d2d4c35 e6d7aaa72b257b16 934d9ae42bec207a 49441edaa07e6a28 58e37ba57da9dee0 b3859f39d24e9aea privé Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 23. Digitale handtekening (verificatie) Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi nec velit ac ex malesuada aliquam. Nunc tempus facilisis tellus, ac pellentesque nibh tincidunt in. Suspendisse potenti. Sed porttitor molestie quam, ut scelerisque urna tempus nec. Quisque non dui tortor. Nulla turpis dui, fringilla at metus eget, sollicitudin vestibulum risus. Nunc molestie nibh sit amet ex lobortis bibendum. Nulla vitae fringilla odio, sit amet tristique felis. Donec lacus metus, pharetra vel faucibus quis, ultrices non turpis. Sed nec urna eget nisi sodales feugiat. 5687e2a9e95b7fb6 04c3198a6f28f50c 5e58b73d8d2d4c35 e6d7aaa72b257b16 934d9ae42bec207a 49441edaa07e6a28 58e37ba57da9dee0 b3859f39d24e9aea Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit publiek
- 24. Algoritme Optie Elliptic Curve Digital Signature Algorithm ECDSA RSA RSA Digital Signature Standard DSS ‘voor export toegestane algoritmes’ *_EXPORT Kerberos KRB5 Pre-Shared Key PSK Secure Remote Password SRP Anoniem anon Geen NULL Authenticatie Certificaat-ondertekening Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
- 25. Crypto-keuzes • TLS • We weten nu welke ciphersuites voldoende of goed zijn. • Bijvoorbeeld: TLS_RSA_PSK_WITH_NULL_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_DH_DSS_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
- 26. Crypto-keuzes • Certificaat • De juiste hash-functie (alleen SHA256) • Een voldoende / goed ondertekenings-algoritme (DSS / RSA / ECDSA) • Met een voldoende / goede sleutellengte (bijv. RSA minstens 2048 bit)
- 27. Advies • Volg de richtlijn van het NCSC, wijk alleen af met een degelijke onderbouwing • Kies bij implementatie voor de standaard libraries en oplossingen • Schakel een expert in, op zijn minst voor een review
- 28. www.makesecure.nl luuk.danes@makesecure.nl Verder lezen: • Cryptografie: “Ik begrijp het niet, dus het is veilig”? • De kracht van kaders • Zijn uw SSL-configuratie en certificaten up-to-date? • Correct toepassen van cryptografie op