Skip links

PrivacyPerspectief

Een wetenschappelijke en praktijkgerichte kijk op privacy en de bescherming van persoonsgegevens

Main navigation

Encryptie; een overzicht van verschillende toepassingen

by

Inleiding

Op grond van de Wet bescherming persoonsgegevens – en de aankomende Algemene verordening gegevensbescherming – is de verantwoordelijke verplicht passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Encryptie – de versleuteling van informatie – zal altijd een cruciaal onderdeel zijn van de set van technische maatregelen.

In dit artikel wordt aandacht besteed aan de verschillende soorten toepassingen van encryptie en overwegingen voor een juiste keuze.

Soorten toepassingen

Op grond van het doel en de toepassing kan een onderscheid worden gemaakt in encryptie van ‘data in transit’, ‘data at rest’ en ‘data in use’.

  1. Encryptie van ‘data in transit’, dat wil zeggen encryptie van data dat zich beweegt over het internet of een besloten netwerk, zoals mailverkeer, gebruik van een webapplicatie etc. Deze vorm van encryptie wordt veelvuldig toegepast, immers data in transit is kwetsbaar voor ongeoorloofde toegang. De regel is dat alle vertrouwelijke informatie ‘in transit’ encrypt moet zijn.
  2. Encryptie van ‘data at rest’, dat wil zeggen encryptie van data dat is opgeslagen in een database, op een (deel van) een disk, in een ‘filesystem’ etc. Afhankelijk van de technische mogelijkheden is het belangrijk om encryptie zo goed mogelijk toe te passen op vertrouwelijke informatie at rest’.
  3. Encryptie van ‘data in use’. De laatste soort encryptie staat nog in de kinderschoenen. Encryptie van ‘data in use’ gaat over encryptie van data dat wordt verwerkt, gedeeld of bekeken door een gebruiker. Deze vorm van encryptie wordt nog weinig toegepast, en laat ik verder buiten beschouwing.

Data in transit

De belangrijkste encryptietechnieken die worden toegepast op ‘data in transit’ zijn:

  • IPsec. (Internet Protocol Security). IPsec wordt gebruikt voor het versleutelen van de pakketjes die over het netwerk worden verstuurd en voor het uitwisselen van de sleutel voor het openen van de pakketjes.
  • VPN (Virtual Private Network). VPN is de techniek voor het maken van een privé-netwerk, waarbij gebruik gemaakt wordt van de publieke infrastructuur.
  • SSL (Secure Socket Layer) en zijn opvolger: TLS (Transport Layer Security). Deze techniek wordt met name toegepast op webapplicaties etc. om zeker te zijn van een beveiligde verbinding. Hoewel TLS nu de standaard is, wordt nog steeds gesproken over een ‘SSL certificaat’. SSL certificaten heb je in verschillende prijsklassen. De prijsklasse zegt iets over de controles die zijn uitgevoerd op de ‘echtheid’ van het certificaat.

Data in transit-encryptie beschermt tegen twee risico’s: Ten eerste voorkomt het ongeautoriseerde toegang tot informatie op een netwerk, ten tweede geven de Data in transit encryptietechnieken zekerheid over de juistheid van de verbinding.

Data at rest

Afhankelijk van de plaats waar de encryptie engine is geplaatst en zijn werk doet, zijn verschillende soorten encryptie te onderscheiden:

  • Full disk encryptie: dit houdt in dat de encryptie-engine is geplaatst op het niveau waar ook de opslag van data wordt geregeld (storage management level). Deze engine encrypt alle data die wordt opgeslagen en decrypt alle data wanneer het wordt gebruikt (bekeken, gewijzigd etc.).Deze vorm van encryptie beschermt alleen tegen het risico dat hardware wordt gestolen en dat informatie hierdoor in ongeautoriseerde handen komt. Het beschermt niet tegen bijvoorbeeld systeembeheerders, die toegang hebben tot de opslagmedia.Bitlocker, dat veel wordt gebruikt voor het encrypten van laptops etc., is een bekend voorbeeld van ‘Full disk encryptie’.
  • Instance based encryptie: deze encryptie grijpt aan op het operating systeem dat de opslag regelt. Het beschermingsniveau van deze encryptie is al wat beter: het beschermt tegen diefstal van de hardware, maar ook tegen iedereen die geen toegang heeft tot het operating system. In plaats van op de server waar de data staat, kan de ‘encryptie engine’ ook geplaatst worden op een aparte server, een zogenaamde proxy-server. Dat laatste is beter, omdat een extra stap nodig is voor het verkrijgen van de sleutel.
  • File level encryptie: met deze vorm van encryptie worden een of meer ‘directories’ of ‘folders’ op een opslagmedium encrypt. Deze vorm van encryptie wordt toegepast om bepaalde gebruikers wel en anderen geen toegang te geven tot informatie (Information Rights Management). Bij deze vorm van encryptie is de encryptiesleutel alleen beschikbaar voor gebruikers die geautoriseerd zijn voor de betreffende file/folder.
  • Database encryptie: deze vorm van encryptie wordt door de database geregeld. De encryptie engine bevindt zich in de database. Deze vorm van encryptie kan ook toegepast worden op enkele tabellen uit een database. Dat is nuttig als de gevoelige gegevens van een toepassing slechts in enkele tabellen worden opgeslagen. De sleutel bevindt zich veelal op hetzelfde opslagmedium als de database. Deze vorm van encryptie beschermt tegen diefstal van het opslagmedium en geeft beperkt bescherming tegen aanvallen door hackers.
  • Application level encryptie: in dit geval is de ‘encryptie engine’ geplaatst in het applicatie–deel van een toepassing. Alle gegevens in bijvoorbeeld de database zijn encrypt en afhankelijk van de rechten van een gebruiker die toegang heeft tot de applicatie worden gegevens decrypt. Deze vorm van encryptie beschermt tegen zeer veel vormen van ongeautoriseerde toegang. Ook beheerders van een applicatie kunnen niet zomaar de data decrypten.

Voornoemde encryptietechnieken kunnen ook gecombineerd toegepast worden. Bijvoorbeeld ‘full disk encryptie’ om de vertrouwelijke informatie te beschermen tegen diefstal van een opslagmedium in combinatie met ‘file level encryptie’ om toegang tot delen van het opslagmedium (files of folders) af te schermen van groepen gebruikers.

Voor- en nadelen

Alle vormen van ‘data at rest’ encryptie hebben specifieke voor- en nadelen. ‘Application level encryptie’ biedt een verfijnde bescherming tegen ongeautoriseerde toegang. Deze vorm kan niet altijd toegepast worden bijvoorbeeld omdat ‘Application level encryptie’ performance problemen kan generen. Immers alle records die door een gebruiker worden opgevraagd, moeten worden decrypt. Dat is anders bij ‘Full disk encryptie’, waar de gehele disk tegelijk wordt encrypt en decrypt. ‘Full disk encryptie’ is hierdoor eenvoudig toe te passen. Het nadeel van ‘Full disk encryptie’ is weer dat het niet beschermd tegen ongeautoriseerde toegang door systeembeheerders.

Afwegingen bij de keuze

De boodschap is dat bij de implementatie van encryptie als beveiligingsmaatregel, goed moet worden doordacht tegen welke risico’s de encryptie moet beschermen en welke technische mogelijkheden er zijn. Op basis hiervan kan een goede keuze worden gemaakt. Wanneer de performance (snelheid) van een applicatie niet heel goed is, valt ‘Application Level Encryptie’ als mogelijkheid af, maar kan een combinatie van ‘Database encryptie’ met ‘Full Disk encryptie’ afdoende bescherming bieden.

Naast de vele soorten, zijn er kwaliteitsverschillen van aanbieders van encryptie tools. Ook de sterkte van de gebruikte sleutels en encryptie algoritmen heeft invloed op de effectiviteit. Indien voor de ‘full disk encryptie’ van een device een sleutel van 10 posities wordt gebruikt, zal het voor een hacker niet moeilijk zijn om met wat geduld en hulpmiddelen alsnog de data te ontcijferen.

Tot slot is het belangrijk dat aandacht wordt besteed aan adequaat management van de sleutels. Het heeft geen zin om een dure, stevige brandkast te hebben, als de sleutel tot de brandkast erop wordt gelegd.