Innovatie & Strategie

Security
waarschuwingsbord

SolarWinds-hacks kantelen de backdoor-discussie

Als een ministerie eigen encryptiesleutels niet kan beschermen.

© CC0 - Unsplash NeONBRAND
22 december 2020

Hoeveel is een universele backdoor in wereldwijd gebruikte encryptie waard? Of dat nu in een algemene encryptiesoort of in een specifieke implementatie is, de waarde van een heimelijke ingang is groot, groter, grootst. Cybercriminelen en statelijke actoren zullen dus veel moeite willen doen om zo'n loper in handen te krijgen. Meer nog dan voor de encryptiesleutels van het Amerikaanse ministerie van Financiën, wat al gelukt lijkt te zijn.

Tegenstanders van speciale overheidstoegang tot beveiligde datacommunicatie wijzen vaak (en consequent) op het gevaar dat zo'n backdoor in verkeerde handen kan vallen. Het aanbrengen van een ingang voor wetshandhavers betekent immers dat er een extra ingang voor derde partijen ís. Dus naast zender en ontvanger kan ook een ander bij versleutelde communicatie.

Mogen, willen, kunnen

Officieel mag dat natuurlijk niet. Officieel is het ook niet de bedoeling dat onbevoegden zich toegang verschaffen tot encryptiesystemen. Officieel wordt een backdoor - of gouden sleutel of 'key escrow' - natuurlijk qua inzet strikt gereguleerd en qua toegang streng bewaakt. Net zoals overheden de sleutels voor de encryptie die ze zelf gebruiken goed bewaken.

Tot zover de theorie, goede intenties en beloftes. De praktijk is gecompliceerder. Want niet iedereen heeft goede intenties en 100 procent security bestaat niet. Dat ontdekt nu ook de Amerikaanse overheid, waar een goed gerichte, stil opererende hackersgroepering heeft huisgehouden. Bij onder meer het ministerie van Financiën is dankzij een geavanceerde backdoor-operatie maandenlang intern meegekeken.

ROI

De daders hebben hun succesvolle hack gepleegd via een zogeheten supply chain attack; op SolarWinds, leverancier van beheersoftware. Daarlangs hebben zij hun backdoor binnengekregen en naast interne communicatie mogelijk ook essentiële encryptiesleutels buitgemaakt. Die laatste nieuwe onthulling over deze cyberaanval - waarvan de scope nog altijd niet helemaal zichtbaar is - komt vanuit de Amerikaanse overheid.

De bron is de Amerikaanse senator Ron Wyden, die lid is van de Senaatscommissie voor inlichtingenzaken én lid van de commissie financiën. Hij verklaart dat de onder de radar gebleven hackers encryptiesleutels hebben gestolen van overheidsservers. Daarmee konden de dieven toegang krijgen tot de correspondentie van topambtenaren en overheidsfunctionarissen. Een waardevolle buit waar dan ook veel in geïnvesteerd mag worden.

Beste bescherming

Natuurlijk zou een eventuele universele backdoor - hetzij voor een algemeen encryptie-algoritme, hetzij voor een bepaald systeem, apparaat of app - veel betere bescherming moeten krijgen dan de encryptiesleutels voor overheidscommunicatie. En natuurlijk zou zo'n breed bruikbare backdoor ook veel aantrekkelijker zijn voor kwaadwillenden. Dus natuurlijk zal er veel meer inzet zijn om zo'n supersleutel in handen te krijgen. Hoe voorkom je dat? Door zo'n loper helemaal niet te laten maken. Wat je niet hebt, kan ook niet gestolen worden.

Reactie toevoegen
3
Reacties
Bop 29 januari 2021 21:22

Een 'bekdoor' is een soort achterdeur, zeg maar.

Enzovoorts.

Bop 29 januari 2021 21:21

'Zukkjurritie' is een soort veiligheid/beveiliging, zeg maar.

Pierre van Mouche 23 december 2020 12:17

Volledig mee eens: de aantrekkingskracht van zo'n universele sleutel is immens groot. Je kunt er immers bij alles en iedereen mee binnenkomen en er je slag slaan. De gedachte dat een overheid daar zorgvuldig mee zou omgaan en dat risico zou minimaliseren, is niet realistisch: door de grote aantrekkingskracht zullen vermogende criminelen alsook andere overheden er alles aan doen om die sleutel in handen te krijgen. En als je voldoende middelen ter beschikking hebt, gaat dat ook lukken.
Ik begrijp de goede bedoelingen van overheden alsook de slechte bedoelingen van criminelen die graag hun communicatie encrypten, maar een universele sleutel in handen van een overheid is écht niet het antwoord op deze problematiek.