De ene encryptie is de andere niet. Terwijl de bescherming van persoonsgegevens cruciaal is voor zowat alle overheidsinstellingen en bedrijven, blijkt het vaak moeilijk om een evenwicht te vinden tussen veiligheid, kost, functionele vereisten en gebruiksgemak.
Waar traditionele benaderingen geen bevredigende oplossingen bieden, kunnen geavanceerde cryptografische tools mogelijks een uitweg bieden. Dit leidde enkele jaren terug onder meer tot het gebruik van Threshold encryption in de Vlaamse eerstelijns zorgkluis Vitalink. Dit artikel licht vijf andere geavanceerde cryptografische tools kort toe om je een feeling te geven van het wellicht ongekende en dus te weinig beminde cryptografische potentieel.
1/ Verzend en vergeet
Vanuit Justitie wordt er onderzoek gevoerd naar specifieke burgers, bijvoorbeeld in het kader van terrorismebestrijding. Daarbij worden soms persoonsgegevens opgevraagd, die beheerd worden door derden. Denk bijvoorbeeld aan de metagegevens over telefoongesprekken gekend door de telecomoperatoren, of aan de verschillende officiële verblijfplaatsen doorheen de tijd zoals gekend bij het Rijksregister.
In een traditionele benadering vraagt Justitie aan een organisatie om gegevens x, y en z over een specifieke burger aan te leveren. Er zijn echter twee bezwaren tegen een dergelijke naïeve benadering. Ten eerste is de privacy van de burger geschaad. Elke organisatie die informatie over hem of haar moet aanleveren, komt immers te weten dat er een onderzoek loopt naar deze specifieke persoon. Een tweede bezwaar is dat de opvraging de confidentialiteit van het onderzoek kan schaden. Er zijn dus goede redenen voor een andere benadering.
De opvraging de van gegevens kan confidentialiteit van het onderzoek schaden .
‘Oblivious transfer’, vrij vertaald een ‘vergeetachtige verzending’, werd door Smals Research onderzocht en biedt hierop een antwoord. In dit verhaal zijn er twee betrokkenen: een zender en een ontvanger. De technologie laat toe dat de ontvanger (bv. Justitie) toegang krijgt tot een zelf gekozen record uit een set van records die door de zender (bv. telco) gekend zijn. De ontvanger krijgt slechts toegang tot dit ene record. En de zender weet niet welk record. Oblivious transfer beschermt zo de privacy van de burger, en de confidentialiteit van het onderzoek.
2/ Attribute-based credentials
Stel dat je als burger vuurwerk of alcohol wil aankopen. Wettelijk is dit alleen toegelaten vanaf een bepaalde minimumleeftijd. Als burger kun je met je elektronische identiteitskaart bewijzen dat je aan de voorwaarden voldoet. Helaas geef je daarmee ook veel meer informatie prijs dan strikt noodzakelijk: je geslacht, exacte geboortedatum, rijksregisternummer, enzovoort.
Attribute-based credentials kunnen exact dezelfde informatie bevatten, maar laten tegelijk toe dat je als burger zelf kiest welke informatie je selectief prijsgeeft. In feite geef je als burger nooit je attribute-based credentials zelf prijs, maar genereer je op basis daarvan een bewijs ad-hoc met daarin enkel de minimum noodzakelijke informatie. Dit bewijs kun je vervolgens tonen.
In ons voorbeeld bewijs je als burger dus dat je ouder dan 16 jaar bent, terwijl je exacte geboortedatum en andere attributen verborgen blijven. Bovendien kan elke burger vermijden dat verschillende aankopen aan elkaar gelinkt kunnen worden. Attribute-based credentials zijn een krachtige technologie die past in de filosofie van self-sovereign identity, waarbij de burger eigenaar is van, en de controle heeft over, zijn of haar gegevens.
3/ Format-preserving encryptie
Encryptie laat toe om informatie te verbergen voor partijen die niet beschikken over de juiste geheime sleutel. Het is een basisbouwsteen bij het beschermen van gegevens. Toch heeft het ook een nadeel. Vercijferde gegevens behouden namelijk niet de structuur van de oorspronkelijke data. Het rijksregisternummer ‘84.04.21-154.44’ vercijferen zal met AES – Advanced Encryption Standard, de wereldwijde standaard voor symmetrische encryptie, ontwikkeld aan de KU Leuven – resulteren in iets dat niet te onderscheiden is van, bijvoorbeeld, 32 of 64 totaal willekeurig gekozen bytes.
Vercijferde gegevens behouden niet de structuur van de oorspronkelijke data.
Het resultaat ziet er – hexadecimaal – dus uit als ‘3b 03 fc 37 5f 3e ea 2c 64 92 8b 3c 43 e0 33 b8 08 2b fa b8 9d f1 28 1e d5 a6 76 73 4e 74 2e a7’. Dit kan erg vervelend zijn. Indien een overheidsinstelling namelijk zou beslissen om voortaan rijksregisternummers enkel geëncrypteerd op te slaan, moet ze dus de structuur van elke betrokken databank aanpassen.
Format-preserving encryption (FPE) onderscheidt zich van klassieke symmetrische encryptie doordat het wel de structuur bewaart. Het vercijferen van het rijksregisternummer van daarnet zal dus resulteren in iets wat er opnieuw uitziet als een rijksregisternummer. De databankstructuur hoeft dus niet aangepast te worden.
Eigenlijk maakt het voor de databank niet uit of de rijksregisternummers wel of niet geëncrypteerd zijn. FPE kan hier dus gezien worden als schil rondom de databank, die de gevolgen bij een datalek sterk beperkt. We kunnen ook kiezen om bepaalde informatie in het rijksregisternummer ongewijzigd te laten. Zo zou het rijksregisternummer van een vrouw er geëncrypteerd nog steeds kunnen uitzien als het rijksregisternummer van een vrouw. Anno 2019 wil dat zeggen dat het negende decimale cijfer een even getal blijft.
4/ Ringhandtekening
Stel dat een ethisch bestuurslid, in een onethisch geworden bedrijf, genaamd Evil Corp, confidentiële informatie aan de pers wil lekken… Hij/zij wil toch kunnen aantonen dat de informatie afkomstig is van één van de bestuursleden, zonder uiteraard zijn/haar naam prijs te geven. Een klassieke elektronische handtekening, waarbij je ondertekent met je private sleutel en de pers de handtekening verifieert met de overeenkomstige publieke sleutel, volstaat niet, aangezien dit de afzender zou identificeren.
Het bestuurslid genereert in plaats daarvan een ringhandtekening, in naam van het bestuur. De pers – of om het even wie de handtekening verifieert – komt daarbij enkel te weten dat iemand uit het bestuur de gelekte data ondertekend heeft, maar kan aan de hand van de handtekening onmogelijk achterhalen wie. Om zo’n handtekening te creëren gebruikt de persoon zijn eigen private sleutel en de publieke sleutels van de andere bestuursleden. Om de handtekening te verifiëren zijn de publieke sleutels vereist van alle bestuursleden. Niemand kan uit de (ring)handtekening achterhalen wie achter het lek zat, maar de verifieerder weet wel zeker dat het een bestuurslid was.
5/ Homomorfe encryptie
Kunnen we door een externe partij zoals een cloud-aanbieder, handelingen laten uitvoeren met digitale gegevens, zonder dat die externe partij inzage krijgt in de gegevens zelf? Dit lijkt misschien onmogelijk, maar dankzij homomorfe encryptie is het dat niet.
Laat ons even kijken naar één specifieke operatie, namelijk een optelling. Homomorfe encryptie laat, ietwat vereenvoudigd, toe dat een optelling van twee vercijferde waarden resulteert in de vercijfering van de optelling van de twee waarden: encryptie(10) + encryptie(5) = encryptie(15). De externe partij die deze operatie uitvoert komt noch de twee invoerwaardes noch de uitvoerwaarde te weten. Enkel de entiteit die beschikt over de decryptiesleutel, komt deze informatie te weten.
Enkel de entiteit die beschikt over de decryptiesleutel, komt de informatie te weten.
Deze waarden kunnen natuurlijk ook gevoelige persoonsgegevens zijn en de berekeningen kunnen véél complexer zijn. Zo zou met homomorfe encryptie berekend kunnen worden op hoeveel pensioen je recht hebt en of je een erfelijke aandoening hebt. Dit alles zonder dat de externe partij die dit berekent, ook maar iets te weten komt over wie je bent. Je privacy wordt zo veel beter beschermd.
We kunnen een onderscheid maken tussen partiële homomorfe encryptie en volledige homomorfe encryptie. De eerste is maar homomorf over één operatie (vb. de optelling), terwijl de laatste elke mogelijke operatie ondersteunt. Volledige homomorfe encryptie lijkt dus de betere keuze, ware het niet dat ze heel wat rekenkracht vereist. Daardoor is ze in veel gevallen vandaag nog in de praktijk onbruikbaar. Het is voorlopig wachten op nieuwe doorbraken in dit veelbelovende domein. Partiële homomorfe encryptie is nuttig, maar dan eerder indirect, voor het bouwen van cryptografische protocollen en algoritmes die op hun beurt een specifieke businessbehoefte afdekken.
Conclusie
Zoals deze voorbeelden aantonen, laat cryptografie zaken toe die voor velen op het eerste zicht intuïtief onmogelijk lijken. Daardoor worden krachtige mogelijkheden helaas al te vaak zelfs niet eens in overweging genomen. Het doel van deze en andere blogposts van Smals Research rond cryptografie (over cryptografische pseudoniemen en vergeetachtige verzending) is om een zeker bewustzijn te creëren over het potentieel van geavanceerde cryptografische tools.
Toch zitten er mogelijks addertjes onder het gras. Ten eerste kan sleutelbeheer lastig worden. Ten tweede vereisen cryptografische protocols meer middelen (zoals rekenkracht en bandbreedte), wat de efficiëntie aantast. Ten derde kan cryptografie, doordat ze soms weinig intuïtief is, met argwaan bekeken worden. Hoewel het een rigoureuze wetenschap is, lijkt het door zijn complexiteit – geheel ten onrechte – voor sommigen wat op zwarte magie waarop je beter niet vertrouwt.
Het zou het jammer zijn om ons bij voorbaat te laten afschrikken. Niet zelden zijn verbazend elegante oplossingen mogelijk dankzij cryptografie en worden er zelfs nieuwe mogelijkheden gecreëerd. Momenteel werkt Smals Research in samenwerking met anderen binnen de sector aan een aantal innovatieve toepassingen.
Dit is een ingezonden bijdrage van Kristof Verslype,van Smals Research. Via deze link vind je meer informatie over de het onderzoek van de organisatie. Dit artikel werd geschreven in eigen naam en neemt geen standpunt in namens Smals.