Successfully reported this slideshow.
Your SlideShare is downloading. ×

Cryptografie, theorie in de praktijk - PvIB - 10 februari 2015

Cryptografie, theorie in de praktijk - PvIB - 10 februari 2015

Download to read offline

Video-registratie: https://youtu.be/6KUnv8v6YDI

Luuk Danes legt de basisconcepten van bestaande cryptografische technieken en algoritmes uit aan de hand van Transport Layer Security (TLS/SSL). De volgende zaken komen aan bod: Symmetrische encryptie, Hashfuncties, Message Authentication Codes, Sleuteluitwisseling en Digitale handtekeningen.

Video-registratie: https://youtu.be/6KUnv8v6YDI

Luuk Danes legt de basisconcepten van bestaande cryptografische technieken en algoritmes uit aan de hand van Transport Layer Security (TLS/SSL). De volgende zaken komen aan bod: Symmetrische encryptie, Hashfuncties, Message Authentication Codes, Sleuteluitwisseling en Digitale handtekeningen.

More Related Content

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

Cryptografie, theorie in de praktijk - PvIB - 10 februari 2015

  1. 1. Cryptografie Theorie in de Praktijk Luuk Danes dinsdag 10 februari 2015 PvIB - Hilversum
  2. 2. Wat ga ik vandaag niet vertellen?
  3. 3. Wat ga ik vandaag niet vertellen? • Spartaanse Skytale • Ceasar cipher • Playfair cipher • Vigenère cipher • CAST • SAFER • RC5
  4. 4. Wat ga ik vandaag wel vertellen? • Iets over mijzelf • Symmetrische encryptie • Hashfuncties • Message Authentication Codes • Sleuteluitwisseling • Digitale handtekeningen • … aan de hand van Transport Layer Security (TLS)
  5. 5. • Wiskundige, gespecialiseerd in cryptologie • Ervaring opgedaan bij de OV-chipkaart en een security evaluation lab • Security-architect en consultant bij MakeSecure • Bestuurslid voor de Secure Software Foundation Luuk Danes
  6. 6. Transport Layer Security (TLS fka SSL) Request Hallo www.pvib.nl crypto & sleutel afspreken Hallo, ik ben www.pvib.nl Response Request
  7. 7. Transport Layer Security Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  8. 8. Crypto-keuzes • TLS 317 cipher suites om uit te kiezen, waaronder: TLS_RSA_PSK_WITH_NULL_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_DH_DSS_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 • Certificaat • Hash-functie • Ondertekenings-algoritme • Sleutellengte
  9. 9. Uitgangspunten en bronnen • Onvoldoende, Voldoende, Goed volgens de NCSC richtlijn • Er wordt een certificaat gebruikt voor authenticatie NCSC ENISA Qualys
  10. 10. Symmetrische encryptie <html> <h1>Hallo!</h1> </html> d0f2be8cc291d4 0e0dcdf4a82027 8d4341004f0937 25bcbe312df4c3 <html> <h1>Hallo!</h1> </html> Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  11. 11. Symmetrische encryptie TLS-opties Algoritme Sleutelgrootte Type Optie AES 128 / 192 / 256 Block AES_128 / AES_256 CAMELLIA 128 / 192 / 256 Block CAMELLIA_128 / CAMELLIA_256 3DES 112 / 168 Block 3DES_EDE ARIA 128 / 192 / 256 Block ARIA_128 / ARIA_256 SEED 128 Block SEED DES 56 Block DES DES40 40 Block DES40 IDEA 128 Block IDEA RC2 8 – 1024 TLS: 40 Block RC2 RC4 40 – 2048 Stream RC4_40 / RC4_128 NULL 0 - NULL Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  12. 12. Electronic Code Book Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  13. 13. Cipher Block Chaining Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  14. 14. Counter Mode Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  15. 15. Operatiemodus TLS-opties Operatiemodus Optie Galois Counter Mode GCM Counter with CBC-MAC CCM Cipher Block Chaining CBC Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  16. 16. Hash-functies Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi nec velit ac ex malesuada aliquam. Nunc tempus facilisis tellus, ac pellentesque nibh tincidunt in. Suspendisse potenti. Sed porttitor molestie quam, ut scelerisque urna tempus nec. Quisque non dui tortor. Nulla turpis dui, fringilla at metus eget, sollicitudin vestibulum risus. Nunc molestie nibh sit amet ex lobortis bibendum. Nulla vitae fringilla odio, sit amet tristique felis. Donec lacus metus, pharetra vel faucibus quis, ultrices non turpis. Sed nec urna eget nisi sodales feugiat. 5687e2a9e95b7fb6 04c3198a6f28f50c 5e58b73d8d2d4c35 e6d7aaa72b257b16 Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  17. 17. Hash-based Message Authentication Code (H-MAC) 3747d9db5f4ff270 4d468cc197261213 d3e75cd564db0df5 377e99fb243ede05 Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi nec velit ac ex malesuada aliquam. Nunc tempus facilisis tellus, ac pellentesque nibh tincidunt in. Suspendisse potenti. Sed porttitor molestie quam, ut scelerisque urna tempus nec. Quisque non dui tortor. Nulla turpis dui, fringilla at metus eget, sollicitudin vestibulum risus. Nunc molestie nibh sit amet ex lobortis bibendum. Nulla vitae fringilla odio, sit amet tristique felis. Donec lacus metus, pharetra vel faucibus quis, ultrices non turpis. Sed nec urna eget nisi sodales feugiat.
  18. 18. Hash-functies TLS-opties Opmerking: CCM heeft geen hash-functie nodig Algoritme Uitvoerlengte (bit) Optie SHA2 224 / 256 / 384 / 512 SHA256 / SHA384 SHA 160 SHA MD5 128 MD5 NULL 0 NULL Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  19. 19. Asymmetrische cryptografie • Twee sleutels: één privé, één publiek • Gebaseerd op trapdoor-functies: eenvoudig te berekenen in één richting, maar moeilijk om te berekenen in de omgekeerde richting.
  20. 20. Asymmetrische encryptie “Dit is een geheime boodschap” 8f70a61fb21bc28 4a045e279da184d ef949b8c3c3cca6 01d1a8ea4e88bf3 “Dit is een geheime boodschap” Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit publiek privé
  21. 21. Sleuteluitwisseling TLS-opties Algoritme Optie Elliptic Curve Diffie-Hellman Ephemeral ECDHE Elliptic Curve Diffie-Hellman ECDH RSA (Rivest, Shamir, Adleman) RSA Diffie-Hellman Ephemeral DHE Diffie-Hellman DH Kerberos KRB5 Pre-Shared Key PSK Secure Remote Password SRP Geen NULL Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  22. 22. Digitale handtekening (creatie) Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi nec velit ac ex malesuada aliquam. Nunc tempus facilisis tellus, ac pellentesque nibh tincidunt in. Suspendisse potenti. Sed porttitor molestie quam, ut scelerisque urna tempus nec. Quisque non dui tortor. Nulla turpis dui, fringilla at metus eget, sollicitudin vestibulum risus. Nunc molestie nibh sit amet ex lobortis bibendum. Nulla vitae fringilla odio, sit amet tristique felis. Donec lacus metus, pharetra vel faucibus quis, ultrices non turpis. Sed nec urna eget nisi sodales feugiat. 5687e2a9e95b7fb6 04c3198a6f28f50c 5e58b73d8d2d4c35 e6d7aaa72b257b16 934d9ae42bec207a 49441edaa07e6a28 58e37ba57da9dee0 b3859f39d24e9aea privé Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  23. 23. Digitale handtekening (verificatie) Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi nec velit ac ex malesuada aliquam. Nunc tempus facilisis tellus, ac pellentesque nibh tincidunt in. Suspendisse potenti. Sed porttitor molestie quam, ut scelerisque urna tempus nec. Quisque non dui tortor. Nulla turpis dui, fringilla at metus eget, sollicitudin vestibulum risus. Nunc molestie nibh sit amet ex lobortis bibendum. Nulla vitae fringilla odio, sit amet tristique felis. Donec lacus metus, pharetra vel faucibus quis, ultrices non turpis. Sed nec urna eget nisi sodales feugiat. 5687e2a9e95b7fb6 04c3198a6f28f50c 5e58b73d8d2d4c35 e6d7aaa72b257b16 934d9ae42bec207a 49441edaa07e6a28 58e37ba57da9dee0 b3859f39d24e9aea Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit publiek
  24. 24. Algoritme Optie Elliptic Curve Digital Signature Algorithm ECDSA RSA RSA Digital Signature Standard DSS ‘voor export toegestane algoritmes’ *_EXPORT Kerberos KRB5 Pre-Shared Key PSK Secure Remote Password SRP Anoniem anon Geen NULL Authenticatie Certificaat-ondertekening Sleuteluitwisseling Certificaat Authenticatie Vertrouwelijkheid Authenticiteit
  25. 25. Crypto-keuzes • TLS • We weten nu welke ciphersuites voldoende of goed zijn. • Bijvoorbeeld: TLS_RSA_PSK_WITH_NULL_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_DH_DSS_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  26. 26. Crypto-keuzes • Certificaat • De juiste hash-functie (alleen SHA256) • Een voldoende / goed ondertekenings-algoritme (DSS / RSA / ECDSA) • Met een voldoende / goede sleutellengte (bijv. RSA minstens 2048 bit)
  27. 27. Advies • Volg de richtlijn van het NCSC, wijk alleen af met een degelijke onderbouwing • Kies bij implementatie voor de standaard libraries en oplossingen • Schakel een expert in, op zijn minst voor een review
  28. 28. www.makesecure.nl luuk.danes@makesecure.nl Verder lezen: • Cryptografie: “Ik begrijp het niet, dus het is veilig”? • De kracht van kaders • Zijn uw SSL-configuratie en certificaten up-to-date? • Correct toepassen van cryptografie op

×