Cryptografie beperkt houdbaar

Maar niet alleen voor fysieke beveiliging gebruikt men cryptografie: de bedrijfsvoering van organisaties (groot en klein) is ‘onder water’ inmiddels afhankelijk van cryptografie. Bijvoorbeeld het veilig omgaan met wachtwoorden in een netwerk is mogelijk omdat de wachtwoorden vercijferd worden verstuurd en opgeslagen. Mobiele telefonie en satelliet-tv gebruiken cryptografie voor hun chipkaarten. Ook voor veilig internetbankieren wordt cryptografie gebruikt evenals bij thuiswerken via internet. Verder kunnen alle acties met pinautomaten en betaalautomaten (ATM) op straat niet zonder vormen van cryptografie.Stel je voor dat die cryptografie vanaf dit moment niet meer werkt. Dan werken al die functies niet meer. Dat kan gebeuren op het moment dat in een laboratorium of op een zolderkamer het cryptografische algoritme is gekraakt. Cryptografie is ongemerkt een onlosmakelijk deel van onze maatschappij geworden. We gebruiken dagelijks cryptografie zonder daar bij stil te staan. Onze beveiliging is er in veel gevallen van afhankelijk.Het ontbreekt ons niet alleen aan overzicht waar en hoe we cryptografie gebruiken, maar we onderschatten ook de gevolgen ervan. Een belangrijk gegeven van het gebruik van cryptografie is dat de houdbaarheid ervan beperkt is. Dat wil zeggen dat er een moment komt waarop een algoritme niet meer bruikbaar is. Omdat het gekraakt is, omdat er te veel zwakheden in zijn ontdekt, of omdat het mogelijk geworden is om alle mogelijke sleutels uit te proberen.Eind jaren zeventig van de twintigste eeuw, toen het cryptografisch algoritme DES werd ontwikkeld, ging men ervan uit dat dit algoritme met een sleutellengte van 56 bits, rekening houdend met de wet van Moore, tot 1990 veilig zou zijn. Kostte een machine in 1977 om DES te kraken tussen de 20 en 50 miljoen dollar, dat kan tegenwoordig al met hardware van 2.000 of 3.000 euro.De internationale gemeenschap heeft dit gevaar onderkend en heeft DES vervangen door AES, een nieuw openbaar cryptografisch algoritme waarvan men verwacht dat het met de voortschrijdende technologische ontwikkelingen de komende tien tot vijftien jaar nog niet gekraakt kan worden.De grote afhankelijkheid van cryptografie in ons dagelijkse leven betekent dat we daar ook bewust mee moeten omgaan. Het toepassen van cryptografie voor bescherming van een bedrijfsproces, is een afweging tussen de beschikbare technologie en het algoritme dat met deze technologie nog voldoende sterk geïmplementeerd kan worden. Bij nieuwe systeemontwikkelingen moet rekening worden gehouden met de beperkte levensduur. Hoe langer een algoritme in gebruik is, hoe groter de kans dat iemand erin slaagt het algoritme te kraken.Het kraken van een cryptografisch algoritme dat men gebruikt voor beveiliging van bedrijfsprocessen kan men beschouwen als een calamiteit. Een dergelijke techniek wordt immers alleen gebruikt voor de bescherming van die functies die echt belangrijk zijn. Uitval ervan zal grote invloed hebben. Niet in de laatste plaats op het gebied van imago en vertrouwen.Business Continuity Management (BCM) is een middel om in geval van calamiteiten de vitale bedrijfsprocessen zoveel mogelijk te beschermen. Er is inmiddels veel ervaring opgedaan met het inrichten ervan, in het opzetten van crisismanagement en het opstellen van plannen om na een calamiteit zo snel mogelijk weer operationeel te zijn.Onderdeel van BCM is ook het treffen van voorbereiding om bij een calamiteit minder schade op te lopen. Daarbij gaat het niet alleen om het inrichten van een crisiscentrum maar ook om het robuust inrichten van de toepassing van cryptografie.Veel organisaties hebben inmiddels ervaring met BCM. Met name in de financiële sector is er, dankzij de regelgeving van de Nederlands bank, veel gedaan op dit gebied. Bij het grootste deel van die inspanningen waren het echter de zakelijke processen die aandacht kregen. Het is aan te raden cryptografie bij het toepassen van BCM mee te nemen.Jacques A. Cazemier en Christ Reniers zijn als managementconsultants werkzaam bij Verdonck, Klooster & Associates (VKA). Beiden hebben jarenlange ervaring met informatiebeveiliging en BCM.