Public Key Cryptografie gebruikt wiskunde om twee sleutels te maken; een Public Key om berichten te versleutelen en een Private Key om ze te ontsleutelen.
Dit zorgt ervoor dat alleen de beoogde ontvanger het bericht kan lezen. De belangrijkste algoritmen die worden gebruikt zijn RSA, DSA en ECC, elk met hun eigen voordelen op het gebied van prestaties, snelheid en veiligheid.
RSA is de oudste en staat bekend om zijn kracht. ECC biedt betere beveiliging met kleinere sleutels, waardoor het geschikt is voor apparaten met beperkte rekenkracht. DSA, dat door de Amerikaanse federale overheid wordt ondersteund, is effectief voor het ondertekenen en verifiëren van berichten. Deze cryptografische methoden ondersteunen digitale certificaten voor veilig surfen op het web en ander digitaal identiteitsgebruik. Naarmate kwantumcomputing vordert, worden nieuwe post-kwantumalgoritmen ontwikkeld om de veiligheid in de toekomst te handhaven.
RSA, DSA en ECC zijn de belangrijkste versleutelingsalgoritmen voor het maken van sleutels in Public Key Infrastructure (PKI). PKI helpt bij het beheren van identiteit en veiligheid in online communicatie en netwerken. De belangrijkste technologie achter PKI is Public Key Cryptografie, waarbij twee gerelateerde sleutels worden gebruikt: een Public Key en een Private Key.
Deze sleutels werken samen om berichten te versleutelen en te ontsleutelen. Deze methode wordt asymmetrische encryptie genoemd. Het verschilt van symmetrische encryptie, waarbij één sleutel wordt gebruikt voor beide processen.
Het voordeel van asymmetrische versleuteling is dat de Public Key openlijk kan worden gedeeld, terwijl de Private Key veilig blijft op het apparaat van de gebruiker. Deze opzet biedt een betere beveiliging dan symmetrische encryptie.
Hoe Public Key Cryptografie op encryptie berust
Public Key Cryptografie gebruikt wiskundige algoritmen om sleutels te maken. De Public Key is een reeks willekeurige getallen die wordt gebruikt om berichten te versleutelen. Alleen de persoon voor wie het bericht bedoeld is, kan het ontsluiten en lezen met behulp van een Private Key, die geheim blijft en alleen bij hem bekend is.
Public Keys worden gemaakt met complexe algoritmen die ze koppelen aan hun Private Keys om brute force aanvallen te voorkomen. De grootte van de Public Key, gemeten in bits, beïnvloedt de veiligheid. RSA-sleutels van 2048 bits worden bijvoorbeeld vaak gebruikt in SSL Certificates, digitale handtekeningen en verschillende digitale certificaten. Deze sleutelgrootte biedt voldoende veiligheid om hackers af te schrikken. Organisaties zoals het CA/Browser Forum stellen minimumnormen op voor sleutelgroottes.
Public Key Infrastructure (PKI) maakt de digitale certificaten mogelijk die we vaak tegenkomen bij het gebruik van websites, mobiele apps, online documenten en verbonden apparaten. Een bekende toepassing van PKI is X.509-gebaseerde Transport Layer Security (TLS) en Secure Sockets Layer (SSL), die de basis vormen van het HTTPS-protocol voor veilig surfen op het web.
Digitale certificaten worden ook gebruikt voor het ondertekenen van applicatiecode, digitale handtekeningen en andere aspecten van digitale identiteit en beveiliging.
RSA - DSA - ECC algoritmen
Drie belangrijke algoritmen worden gebruikt om sleutels te genereren in Public Key Infrastructure (PKI): Rivest-Shamir-Adleman (RSA), Digital Signature Algorithm (DSA) en Elliptic Curve Cryptography (ECC).
Het RSA-algoritme, in 1977 gecreëerd door Ron Rivest, Adi Shamir en Leonard Adleman, is gebaseerd op de moeilijkheid om grote priemgetallen te ontbinden in factoren. Het was de eerste die het Public Key / Private Key systeem implementeerde. De gebruikelijke sleutellengte voor RSA is tegenwoordig 2048 bits.
ECC is gebaseerd op de wiskunde van elliptische krommen en biedt vergelijkbare beveiliging als RSA en DSA, maar met kortere sleutels. Het is het nieuwste van de drie algoritmen. Het Elliptic Curve Digital Signature Algorithm (ECDSA) werd erkend in 1999, gevolgd door Key Agreement and Key Transport Using Elliptic Curve Cryptography in 2001. ECC is gecertificeerd door FIPS en wordt ondersteund door de National Security Agency (NSA).
DSA gebruikt een andere methode dan RSA om public en Private Keys te genereren, gebaseerd op modulaire exponentiatie en het discrete logaritme probleem. Het biedt beveiligingsniveaus die vergelijkbaar zijn met RSA met sleutels van dezelfde grootte. DSA werd in 1991 geïntroduceerd door het National Institute of Standards and Technology (NIST) en werd in 1993 een officiële standaard.
Meerdere versleutelingsalgoritmen kunnen samen worden gebruikt. Apache servers kunnen bijvoorbeeld zowel RSA als DSA sleutels beheren. Deze aanpak verbetert de veiligheid.
Vergelijking van de sterkte van ECC-codering
Het belangrijkste verschil tussen ECC en RSA/DSA is dat ECC een sterkere beveiliging biedt bij dezelfde sleutellengte. Een ECC-sleutel is veiliger dan een RSA- of DSA-sleutel van gelijke grootte.
| Symmetrische sleutelgrootte (bits) | Grootte RSA-sleutel (bits) | Grootte ECC-sleutel (bits) |
| 80 | 1024 | 160 |
| 112 | 2048 | 224 |
| 128 | 3072 | 256 |
| 192 | 7680 | 384 |
| 256 | 15360 | 521 |
ECC maakt een vergelijkbare cryptografische kracht mogelijk met veel kleinere sleutelgroottes (ruwweg tien keer kleiner). Om bijvoorbeeld de cryptografische kracht van een 112-bits symmetrische sleutel te evenaren, is een RSA-sleutel van 2048 bits nodig, terwijl slechts een 224-bits ECC-sleutel nodig is.
Deze kortere sleutels vereisen minder rekenkracht voor het versleutelen en ontsleutelen van gegevens. Dit maakt ECC ideaal voor mobiele apparaten, het internet der dingen en andere toepassingen met beperkte rekencapaciteit.
Waarom ECC niet op grote schaal wordt gebruikt
RSA is de populairste versleutelingsmethode, maar ECC wordt steeds bekender. RSA heeft een voordeel omdat het al langer in gebruik is. Er zijn echter redenen waarom sommige mensen ervoor kiezen om ECC te vermijden:
- Leercurve: ECC is moeilijker te begrijpen en toe te passen dan RSA. Deze complexiteit kan leiden tot fouten, wat schadelijk kan zijn voor de cyberbeveiliging.
- Beveiligingsrisico's : ECC loopt het risico van side-channel aanvallen, die de deur kunnen openen voor brute force pogingen. Het is ook gevoelig voor twist security-aanvallen, hoewel er manieren zijn om zich hiertegen te beschermen.
Kwantumverwerking
Quantum computing zal de encryptiemethoden aanzienlijk veranderen. Traditionele algoritmen zoals RSA en ECC zullen kwetsbaar zijn voor kwantumaanvallen, waardoor het voor organisaties van vitaal belang wordt om over te schakelen op nieuwe versleutelingstechnieken. Gelukkig zijn er al verschillende nieuwe algoritmen in ontwikkeling.
NIST heeft de huidige post-kwantum cryptografie-algoritmen beoordeeld en vier effectieve opties geselecteerd: ML-KEM, CRYSTALS-Dilithium, SPHINCS+ en FALCON. Het is cruciaal voor organisaties om op de hoogte te blijven van deze ontwikkelingen en de nieuwe standaarden.
