Public Key Cryptography gebruikt wiskunde om twee sleutels te maken; een publieke sleutel om berichten te versleutelen en een privésleutel om ze te ontsleutelen.
Dit zorgt ervoor dat alleen de beoogde ontvanger het bericht kan lezen. De belangrijkste gebruikte algoritmen zijn RSA, DSA en ECC, elk met hun eigen voordelen op het gebied van prestaties, snelheid en veiligheid.
RSA is de oudste en staat bekend om zijn kracht. ECC biedt betere beveiliging met kleinere sleutels, waardoor het geschikt is voor apparaten met beperkte rekenkracht. DSA, dat door de Amerikaanse federale overheid wordt ondersteund, is effectief voor het ondertekenen en verifiëren van berichten. Deze cryptografische methoden ondersteunen digitale certificaten voor veilig surfen op het web en andere toepassingen voor digitale identiteit. Naarmate quantum computing vordert, worden er nieuwe post-quantum algoritmen ontwikkeld om de veiligheid in de toekomst te handhaven.
RSA, DSA en ECC zijn de belangrijkste versleutelingsalgoritmen voor het maken van sleutels in Public Key Infrastructure (PKI). PKI helpt bij het beheren van identiteit en veiligheid in online communicatie en netwerken. De belangrijkste technologie achter PKI is Public Key Cryptografie, die twee gerelateerde sleutels gebruikt: een publieke sleutel en een privésleutel.
Deze sleutels werken samen om berichten te versleutelen en te ontsleutelen. Deze methode wordt asymmetrische encryptie genoemd. Deze verschilt van symmetrische encryptie, waarbij één sleutel wordt gebruikt voor beide processen.
Het voordeel van asymmetrische versleuteling is dat de publieke sleutel openlijk kan worden gedeeld, terwijl de privésleutel veilig blijft op het apparaat van de gebruiker. Deze opzet biedt een betere beveiliging dan symmetrische encryptie.
Hoe publiekesleutelcryptografie berust op versleuteling
Publiekesleutelcryptografie gebruikt wiskundige algoritmen om sleutels te maken. De publieke sleutel is een reeks willekeurige getallen die wordt gebruikt om berichten te versleutelen. Alleen de persoon voor wie het bericht bedoeld is, kan het openen en lezen met behulp van een privésleutel, die geheim blijft en alleen bij hem bekend is.
Publieke sleutels worden gemaakt met complexe algoritmen die ze koppelen aan hun privésleutels om brute force aanvallen te voorkomen. De grootte van de openbare sleutel, gemeten in bits, beïnvloedt de veiligheid. RSA-sleutels van 2048 bits worden bijvoorbeeld vaak gebruikt in SSL-certificaten, digitale handtekeningen en verschillende digitale certificaten. Deze sleutelgrootte biedt voldoende veiligheid om hackers af te schrikken. Organisaties zoals het CA/Browser Forum stellen minimumnormen op voor sleutelgroottes.
Public Key Infrastructure (PKI) maakt de digitale certificaten mogelijk die we vaak tegenkomen bij het gebruik van websites, mobiele apps, online documenten en verbonden apparaten. Een bekende toepassing van PKI is X.509-gebaseerde Transport Layer Security (TLS) en Secure Socket Layer (SSL), die de basis vormen van het HTTPS-protocol voor veilig surfen op het web.
Digitale certificaten worden ook gebruikt voor het ondertekenen van applicatiecode, digitale handtekeningen en andere aspecten van digitale identiteit en beveiliging.
RSA - DSA - ECC algoritmen
Er worden drie belangrijke algoritmen gebruikt om sleutels te genereren in Public Key Infrastructure (PKI): Rivest-Shamir-Adleman (RSA), Digital Signature Algorithm (DSA) en Elliptic Curve Cryptography (ECC).
Het RSA-algoritme, in 1977 gecreëerd door Ron Rivest, Adi Shamir en Leonard Adleman, is gebaseerd op de moeilijkheid om grote priemgetallen te ontbinden in factoren. Het was de eerste die het Public Key / Private Key systeem implementeerde. De gebruikelijke sleutellengte voor RSA is tegenwoordig 2048 bits.
ECC is gebaseerd op de wiskunde van elliptische krommen en biedt vergelijkbare beveiliging als RSA en DSA, maar met kortere sleutels. Het is het nieuwste van de drie algoritmen. Het Elliptic Curve Digital Signature Algorithm (ECDSA) werd erkend in 1999, gevolgd door Key Agreement and Key Transport Using Elliptic Curve Cryptography in 2001. ECC is gecertificeerd door FIPS en wordt ondersteund door de National Security Agency (NSA).
DSA gebruikt een andere methode dan RSA om openbare en privésleutels te genereren en vertrouwt op modulaire exponentiatie en het discrete logaritmeprobleem. Het biedt beveiligingsniveaus die vergelijkbaar zijn met RSA met sleutels van dezelfde grootte. DSA werd in 1991 geïntroduceerd door het National Institute of Standards and Technology (NIST) en werd in 1993 een officiële standaard.
Meerdere versleutelingsalgoritmen kunnen samen worden gebruikt. Apache servers kunnen bijvoorbeeld zowel RSA als DSA sleutels beheren. Deze aanpak verbetert de veiligheid.
Vergelijking van de sterkte van ECC-codering
Het belangrijkste verschil tussen ECC en RSA/DSA is dat ECC een sterkere beveiliging biedt bij dezelfde sleutellengte. Een ECC-sleutel is veiliger dan een RSA- of DSA-sleutel van gelijke grootte.
| Symmetrische sleutelgrootte (bits) |
Grootte RSA-sleutel (bits) |
ECC-sleutelgrootte (bits) |
| 80 |
1024 |
160 |
| 112 |
2048 |
224 |
| 128 |
3072 |
256 |
| 192 |
7680 |
384 |
| 256 |
15360 |
521 |
ECC maakt vergelijkbare cryptografische kracht mogelijk met veel kleinere sleutelgroottes (ruwweg tien keer kleiner). Om bijvoorbeeld de cryptografische kracht van een symmetrische sleutel van 112 bits te evenaren, is een RSA-sleutel van 2048 bits nodig, terwijl slechts een ECC-sleutel van 224 bits nodig is.
Deze kortere sleutels vereisen minder rekenkracht voor het versleutelen en ontsleutelen van gegevens. Dit maakt ECC ideaal voor mobiele apparaten, het internet der dingen en andere toepassingen met beperkte rekencapaciteit.
Waarom ECC niet op grote schaal wordt gebruikt
RSA is de populairste versleutelingsmethode, maar ECC wordt steeds bekender. RSA heeft een voordeel omdat het al langer in gebruik is. Er zijn echter redenen waarom sommige mensen ervoor kiezen om ECC te vermijden:
- Leercurve: ECC is moeilijker te begrijpen en toe te passen dan RSA. Deze complexiteit kan leiden tot fouten, wat schadelijk kan zijn voor de cyberbeveiliging.
- Beveiligingsrisico's : ECC loopt het risico van side-channel aanvallen, die de deur kunnen openen voor brute force pogingen. Het is ook gevoelig voor twist security aanvallen, hoewel er manieren zijn om zich hiertegen te beschermen.
Kwantumrekenen
Quantum computing zal encryptiemethoden aanzienlijk veranderen. Traditionele algoritmen zoals RSA en ECC zullen kwetsbaar worden voor kwantumaanvallen, waardoor het voor organisaties van vitaal belang wordt om over te stappen op nieuwe versleutelingstechnieken. Gelukkig zijn er al verschillende nieuwe algoritmen in ontwikkeling.
NIST heeft de huidige post-kwantum cryptografie-algoritmen beoordeeld en vier effectieve opties geselecteerd: ML-KEM, CRYSTALS-Dilithium, SPHINCS+ en FALCON. Het is cruciaal voor organisaties om op de hoogte te blijven van deze ontwikkelingen en de nieuwe standaarden.
