Wat is symmetrische codering?

Als encryptie niet correct wordt geïmplementeerd, brengt dit beveiligingsrisico's met zich mee. Laten we ter illustratie een recent praktijkvoorbeeld nemen van de Group Health Cooperative of South-Central Wisconsin (GHC-SCW). In januari 2024 kregen hackers ongeautoriseerde toegang tot het netwerk van de organisatie en probeerden ze de gegevens van de patiënt te versleutelen en een ransomware-aanval uit te voeren. Hoewel de poging mislukte, slaagden ze er toch in toegang te krijgen tot de database met gevoelige informatie van patiënten, waaronder hun inloggegevens, burgerservicenummers, verzekeringsgegevens, enz., die gegevens van meer dan 5,30,000 personen in gevaar bracht.

Als sterk symmetrische codering Als de aanval was geïmplementeerd, had de inbreuk op gevoelige gegevens voorkomen kunnen worden. Dit komt doordat, zelfs als de aanvallers de beveiligingsperimeter hadden geïnfiltreerd, de gegevens onleesbaar zouden zijn geweest. Deze aanval laat duidelijk zien in hoeverre alle organisaties risico lopen wanneer er geen sterke encryptie op hun gegevens wordt toegepast.   

Introductie

Bij symmetrische encryptie wordt slechts één geheime sleutel, ook wel symmetrische sleutel genoemd, gebruikt om informatie te versleutelen en te ontsleutelen. Een eenvoudige vergelijking is het vergrendelen van een zip-bestand met een wachtwoord voor encryptie, terwijl het wordt ontgrendeld voor decryptie. De geheime sleutel is bekend bij zowel de verzender als de ontvanger.  

Werkzaam

Een geheime sleutel die exclusief tussen de verzender en de ontvanger wordt gedeeld, wordt gebruikt om gegevens te versleutelen en te ontsleutelen met behulp van een symmetrisch encryptie-algoritme. De gegevens worden eerst versleuteld tot cijfertekst met behulp van een symmetrisch algoritme dat ervoor zorgt dat de gegevens tijdens de overdracht in geen enkele vorm leesbaar zijn. Wanneer de gegevens hun bestemming bereiken, ontsleutelt de ontvanger de cijfertekst met dezelfde sleutel.

De onderstaande formules geven weer hoe gegevens worden gecodeerd en gedecodeerd:

cijfertekst = encrypt(platte tekst, sleutel) 
platte tekst = decoderen(cijfertekst, sleutel) 

Laten we nu eens kijken welke rol het genereren van sleutelparen speelt bij symmetrische encryptie. 

Het proces van sleutelgeneratie

Bij symmetrische encryptie is het genereren van privésleutels een cruciaal proces dat ervoor zorgt dat ze op een willekeurige en sterke manier worden gegenereerd. Eenvoudige functies voor willekeurige getallen zijn niet voldoende, omdat ze voorspelbare patronen kunnen vertonen, waardoor aanvallers de waarden gemakkelijker kunnen misbruiken. Daarom worden methoden gebruikt die bestand zijn tegen aanvallen, zoals Cryptographically Secure Pseudorandom Number Generators (CSPRNG's).

Een voorbeeld van zo'n generator is het Blum Blum Shub-algoritme, dat wordt gebruikt om alle aanvallen op basis van patronen te elimineren. Om de beveiliging verder te verbeteren, worden geavanceerdere methoden toegepast, zoals het gebruik van elliptische curven met veilige hash-algoritmen bij het genereren van sleutelparen. Dit zorgt ervoor dat de gegenereerde sleutels uniek en extreem moeilijk te raden zijn. Een dergelijke sterke sleutelgeneratiemethode is handig bij het versleutelen van gegevens, aangezien zwakke en voorspelbare sleutels gecompromitteerd kunnen raken, waardoor hun vertrouwelijkheid en integriteit in gevaar komen. 

Er zijn twee methoden om gegevens te versleutelen met behulp van symmetrische versleuteling, namelijk: 

1. Blokkeer encryptie

Bij deze methode worden blokken met een vaste lengte versleuteld, meestal blokken van 128 bits. De afzonderlijke plattetekstblokken worden omgezet in de bijbehorende gecodeerde tekstblokken. 

2. Stream-encryptie

Bij deze methode worden gegevens byte voor byte versleuteld, terwijl er een continue stroom pseudowillekeurige bits wordt gegenereerd voor extra beveiliging.  

Voor meer informatie over blokcijfer en stroomcijfer klikt u op hier.

Soorten symmetrische encryptie-algoritmen en hun werkingsmodi

De verschillende soorten symmetrische encryptie-algoritmen zijn ontworpen om te voldoen aan specifieke beveiligingsvereisten. Bovendien beschrijven hun werkingsmodi de manier waarop de gegevens worden versleuteld en efficiënt worden verwerkt. Laten we ze in detail bekijken. 

1. De Data Encryption Standard (DES)

Ontwikkeld door IBM in de jaren 1970 en geaccepteerd door het National Institute of Standards and Technology (NIST) in 1977. Het werd breed toegepast. Het is een blokcijferalgoritme waarbij de gegevens worden versleuteld in blokken van 64 bits met een sleutel van 64 bits, waarbij slechts 56 bits worden gebruikt voor de daadwerkelijke versleuteling en de overige 8 bits worden gereserveerd voor pariteit om fouten te helpen detecteren. De versleuteling die in DES wordt gebruikt, combineert twee cryptografische principes: substitutie (verwarring) en transpositie (diffusie), om de relatie tussen de platte tekst, de versleutelde tekst en de sleutel van een bericht te verbergen. 

Laten we het DES-encryptieproces opsplitsen in drie niveaus. Elk niveau is een cruciale fase in het omzetten van platte tekst naar versleutelde tekst. 

Niveau 1: Initiële permutatie (IP) wordt in eerste instantie toegepast op het 64-bits plattetekstblok, waarna transpositie volgens een vast patroon wordt uitgevoerd. De volgende stappen zijn de splitsing van het plattetekstblok in linker plattetekst (LPT) en rechter plattetekst (RPT), d.w.z. twee delen van elk 32 bits. 
 
Niveau 2: Elk van deze helften ondergaat 16 encryptierondes. Elke ronde bestaat uit stappen die substitutie en transpositie omvatten. Vervolgens ondergaat de Right Plain Text (RPT) een uitbreiding naar 48 bits en voert een XOR-bewerking uit met een rondespecifieke subsleutel van 48 bits. Daarna passeren de resultaten substitutieboxen en worden ze gecomprimeerd tot 32 bits. Vervolgens worden permutaties opgenomen en overgebracht naar LPT, waardoor er een interactie ontstaat tussen LPT en RPT.  
 
Niveau 3: Nu worden LPT en RPT opnieuw gecombineerd en krijgen ze een Final Permutation (FP). De output van dit proces wordt de ciphertext genoemd, die 64 bits groot is en de gecodeerde versie is van de originele platte tekst. 

Door de vooruitgang in computerkracht is het forceren van sleutels echter een beveiligingsrisico. DES wordt daarom niet langer op grote schaal gebruikt. 

2. Drievoudige DES

Het staat ook bekend als de opvolger van het DES-algoritme. Het encryptieproces bestaat uit drie rondes, waarbij drie unieke sleutels van 56 bits (bijvoorbeeld K1, K2 en K3) worden gebruikt om de 64 bits platte tekst te encrypteren met K1, deze vervolgens te decrypteren met K2 en vervolgens de bovenstaande uitvoer opnieuw te encrypteren met K3.

Triple DES biedt aanzienlijk meer beveiliging dan het DES-algoritme. Voor meer informatie, volg deze link. link.

3. Kogelvis

Dit algoritme wordt gezien als een alternatief voor het DES-algoritme en gebruikt een blokformaat van 64 bits als invoer met een variabele sleutellengte (variërend van 32 bits tot 448 bits), waardoor het flexibel is voor verschillende beveiligingsvereisten.  

Het algoritme is gebaseerd op de Fiestel-structuur voor encryptie en decryptie. De 16 rondes bieden een hogere beveiliging en hogere snelheid dan DES.  

Voor meer informatie, klik op hier.

4. Geavanceerde encryptiestandaard

Het is het meest gebruikte algoritme in de huidige cyberspace en werd gepubliceerd door NIST met de bedoeling DES te vervangen door zowel software- als hardware-optimalisatie voor betere prestaties. Het maakt meerdere encryptie- en decryptierondes mogelijk met verschillende sleutelgroottes: 128 bits, 196 bits of 256 bits voor respectievelijk 10, 12 of 14 rondes, wat het veiliger maakt.   

Het proces omvat meerdere transformaties, waaronder vier hoofdstappen: substitutie, permutatie, mixen en sleutelmixen.  

Voor meer informatie, klik op hier.

5. Tweevissen

Twofish structureert de data in blokken van 128 bits en gebruikt sleutels van 128 bits, 192 bits en 256 bits. Bovendien is het ontworpen om zeer veilig te zijn door de combinatie van een substitutie-permutatienetwerk (SPN) en zeer complexe sleutelschema's.   

Meestal wordt Twofish gebruikt in toepassingen waar een hoog beveiligingsniveau vereist is als alternatief voor AES in bepaalde situaties.  

Voor meer informatie, klik op hier.

6. RC4

Rivest Cipher 4 is een type symmetrische stroomcijfer dat in 1987 werd ontworpen door Ron Rivest. De basiswerking van RC4 is het genereren van een pseudo-willekeurige sleutelstroom, die vervolgens wordt ge-XORd met de platte tekst om de cijfertekst te produceren. Hoewel de sleutel kan variëren van 1 tot 256 bytes, is 128 bits de gebruikelijke sleutellengte voor RC4. Het is snel en efficiënt en zeer bekend in veel gangbare protocollen zoals WEP en SSL/TLS. Helaas hebben enkele kwetsbaarheden die in de loop der tijd zijn ontdekt in de sleutelplanning en de biased keystream geleid tot de veroudering van RC4.

Voor meer informatie, klik op hier.

7. AES-CBC-cijfersuites

AES-CBC maakt gebruik van het Advanced Encryption Standard (AES)-algoritme in Cipher Block Chaining (CBC) om vertrouwelijkheid te garanderen. Het garandeert echter niet de integriteit van berichten of de benodigde authenticatie. Daarom is er een aanvullend mechanisme ontwikkeld en gebruikt met AES-CBC, zoals HMAC (Hash-based Message Authentication Code), om authenticatie en integriteit te waarborgen.  

In de CBC-modus wordt elk blok platte tekst vóór de encryptie ge-XORd met de cijfertekst van het vorige blok. Het eerste blok wordt ge-XORd met een willekeurige initialisatievector om variatie toe te voegen. Dit maakt de encryptie veiliger, omdat identieke blokken platte tekst verschillende cijferteksten opleveren, waardoor sommige soorten aanvallen, zoals patroonaanvallen, worden voorkomen.  

De implementatie van de ontwikkelaars van de AES-CBC-HMAC De constructie is niet eenvoudig vanwege de complexiteit. De techniek is meestal lastig te hanteren, vooral met de Initialization Vector (IV), die al meerdere keren verkeerd is gebruikt en mogelijk tot problemen leidt. Om deze uitdagingen aan te pakken, is een goed georganiseerd proces geïntroduceerd met behulp van een nieuwe, geauthenticeerde encryptiestandaard genaamd Authenticated Encryption with Associated Data (AEAD), waardoor het voor ontwikkelaars gemakkelijker wordt om hun werk te encrypteren.  

AEAD vereenvoudigt de complexiteit van authenticatie en encryptie tot één geheel. De authenticatietag wordt meegeleverd met de cijfertekst, waarbij de tag wordt berekend op basis van zowel de cijfertekstgegevens als de optioneel verstrekte aanvullende gegevens.   

Hierdoor kan een systeem niet alleen de versleutelde tekst verifiëren, maar ook de bijbehorende gegevens. Dat biedt extra zekerheid over de integriteit van alle verzonden gegevens.  

Het AES-GCM is de populairste en meest gebruikte AEAD-modus. AES-GCM maakt economisch gebruik van de Counter (CTR)-encryptiemodus en past ook vermenigvuldiging toe in een Galois-veld voor authenticatie, wat resulteert in een hoge efficiëntie en veiligheid van het encryptiesysteem. Hierbij wordt de vertrouwelijkheid van de versleutelde tekst gewaarborgd door AES-encryptie, maar de integriteit wordt gehandhaafd door een authenticatietag, een alles-in-één proces. 

Kunnen symmetrische encryptiesystemen gehackt worden?   

Hoewel symmetrische encryptie een betrouwbare methode is voor het beveiligen van gevoelige informatie, kent het nog steeds bepaalde bedreigingen. Om het symmetrische encryptiesysteem van een tegenstander te kraken, moeten kwaadwillende aanvallers twee aspecten onderzoeken: de geheime sleutel en het encryptiealgoritme. Deze twee aspecten vormen de basis voor de sterkte van de encryptie. Elke inbreuk op de beveiliging kan ertoe leiden dat gevoelige informatie beschikbaar komt voor een ongewenste partij.   

Geavanceerde cryptoanalyse is de belangrijkste methode die kwaadwillenden gebruiken om symmetrische encryptie te kraken. Hierbij worden wiskundige methoden toegepast om zwakke plekken in de encryptiemethoden te ontdekken. Centraal in deze aanpak staat de "ciphertext-only attack", een aanval waarbij een aanvaller alleen toegang heeft tot de versleutelde inhoud van een bericht en een analyse uitvoert op de versleutelde tekst. Dit maakt het mogelijk om de geheime sleutel te ontcijferen zonder er ooit rechtstreeks toegang toe te hebben.   

NIST-aanbevelingen voor het beveiligen van symmetrische encryptiesleutels   

Verschillende factoren beïnvloeden de sterkte van de symmetrische encryptiesleutels. Deze zijn:

1. Lengte van de sleutelbitgrootte

Het is aan te raden om langere sleutels te gebruiken om brute-force-aanvallen te weerstaan. Dit is een type aanval waarbij alle mogelijke toetscombinaties worden gebruikt om de versleutelde gegevens te ontsleutelen. In het geval van AES-encryptie is dit bijvoorbeeld het geval. NIST specificeert het gebruik van een sleutelgrootte van 256 bits voor voorziening tegen toekomstige computertechnologieën zoals quantumcomputers.    

De sleutellengte wordt bepaald door het gebruikte encryptiealgoritme en het gewenste beveiligingsniveau. NIST adviseert ook over de juiste sleutellengte voor verschillende algoritmen, zoals AES en andere.

2. Willekeur

Het NIST benadrukt het belang van hoogwaardige willekeur, die onvoorspelbaar is tijdens het genereren van sleutels. Idealiter wordt dergelijke willekeur verkregen uit een veilige bron, zoals een cryptografisch veilige pseudorandom number generator (CSPRNG).     

SP 800-90A bevat bijvoorbeeld 'Aanbevelingen voor het genereren van willekeurige getallen', zodat er geen patronen en regelmaat te voorspellen zijn.  

3. Sleutelgeneratie

Het is essentieel dat het sleutelgeneratiesysteem ervoor zorgt dat de geproduceerde sleutels zowel onvoorspelbaar als uniek zijn voor elke instantie. In de aanbevelingen van NIST wordt duidelijk aangegeven dat elk sleutelgeneratieproces het gebruik van zwakke of gemakkelijk te voorspellen methoden, zoals systeemtijdstempels, moet vermijden.

4. Sleutelbeheer, rotatie en vernietiging

In termen van sleutelbeheerVolgens het NIST moeten de methoden voor opslag, distributie en gebruik van sleutels veilig zijn. Regelmatige sleutelrotaties moeten plaatsvinden om de risico's die gepaard gaan met het gebruik van sleutels gedurende een lange periode te beperken. Oude sleutels moeten ook worden ingetrokken om ongeautoriseerde toegang te voorkomen en moeten worden vernietigd zodat ongeautoriseerd herstel niet mogelijk is. Al deze maatregelen, samen met het beleid met betrekking tot beveiligde toegang, sleutelrotatie en -vernietiging, moeten worden geïmplementeerd via sleutelbeheersystemen.

5. Toegangscontrole

Toegang tot symmetrische sleutels moet worden beperkt volgens de principes van Role Based Access Control (RBAC) en Identity Access Management (IAM). Alleen personeel of systemen die toestemming hebben om de sleutels te gebruiken, mogen toegang krijgen.   

Er moeten enkele beperkingen worden opgelegd voor het bewaken van sleutelgebruik en -activiteiten, zoals registratie en controle. Hiermee wordt voorkomen of beperkt dat iemand sleutels misbruikt of er zonder toestemming toegang toe krijgt. 

Voor meer informatie, bezoek hier. 

Voordelen van symmetrische encryptie

Symmetrische encryptie biedt verschillende voordelen die de effectiviteit van gegevensbeveiliging verhogen. Hieronder volgen enkele van de belangrijkste voordelen: 

1. Snelheid en efficiëntie

Symmetrische technieken gebruiken één sleutel voor zowel encryptie als decryptie, waardoor de ontwikkeling van dergelijke technologieën minder complex is.   

Dit komt grotendeels doordat deze specifieke aanpak gebruikmaakt van efficiënte methoden voor het uitvoeren van rekenprocessen die niet veel operationele tijd in beslag nemen. In die zin wordt de efficiëntie van symmetrische encryptie nog belangrijker voor toepassingen met een lage latentie en hoge doorvoer, zoals de beveiliging van realtime spraakcommunicatie, bulkdataoverdracht of beveiligingsprotocollen op netwerkniveau zoals IPsec en SSL/TLS.   

2. Lage rekenkosten

Het symmetrische sleutelalgoritme is zodanig ontworpen dat de rekenkosten tot een minimum worden beperkt en is daarom geschikt voor toepassingen waarbij realtime-encryptie en -decryptie moet plaatsvinden.    

De sleuteltechnieken die bij asymmetrische encryptie worden gebruikt, zijn daarentegen modulaire rekenkundige sleuteltechnieken, die zeer resource-intensief zijn. Symmetrische encryptiealgoritmen daarentegen vertrouwen op eenvoudige bitmanipulaties die minder eisen stellen aan het systeem. Dit maakt symmetrische encryptie daarom geschikt voor systemen met een laag vermogen of toepassingen die geen hoge verwerkingsvereisten stellen, zoals embedded systemen, waaronder mobiele applicaties en IoT-apparaten.

3. Hoge beveiliging

Symmetrische encryptie-algoritmen, waaronder AES-256, bieden een grotere beveiliging dankzij grotere sleutels en systeemontwerpen die bestand zijn tegen moderne cryptografische aanvallen, met name brute force-aanvallen of verschillende cryptoanalyse-aanvallen.     

Een voorbeeld hiervan is AES-256, dat werkt met een 256-bits sleutel en bekend staat om zijn enorme beveiliging in zowel theoretische als praktische cryptografische scenario's. Samen met efficiënte controlemechanismen voor de beveiliging van de encryptiesleutels, zoals hardwarematige beveiligingsmodules (HSM's) voor sleutelopslag en sleutels voor korte sessies, vergroot symmetrische encryptie de mogelijkheden om de vertrouwelijkheid van gegevens op verschillende gebieden te beschermen, van de overdracht van gevoelige informatie tot schijfencryptie.   

4. Schaalbaarheid voor grote datasets

Vanwege de hogere uitvoeringssnelheid is symmetrische encryptie van nature geschikt voor het verwerken en verzenden van grote hoeveelheden data. Asymmetrische encryptie daarentegen is niet efficiënt voor het versleutelen van grote hoeveelheden data, omdat het veel tijd en rekenkracht kost om berichten te versleutelen en later te ontsleutelen.    

Omdat symmetrische encryptie minder operationele tijd in beslag neemt, is het vooral nuttig in situaties waarbij het gaat om grote datasets of datastreaming, zoals het beveiligen van videostreaming, etc.    

5. Breed toegepast en veelzijdig

Symmetrische encryptie is een van de pijlers en wordt veel gebruikt in protocollen voor TLS / SSL, VPN's (OpenVPN), schijfversleuteling (BitLocker) en nog veel meer. Dit komt door de efficiëntie en compatibiliteit met de technologie. Omdat symmetrische versleuteling bijna altijd samen met andere versleutelingstechnieken wordt gebruikt (bijvoorbeeld public-key cryptografie voor het versleutelen van symmetrische sleutels), biedt het hoge prestaties. Daarom wordt het veel gebruikt.  

Nadelen van symmetrische encryptie

Nu we de voordelen van symmetrische encryptie kennen, gaan we de beperkingen ervan onderzoeken. De belangrijkste uitdagingen die ermee gepaard gaan, zijn de volgende: 

1. Sleuteldistributieprobleem

De cryptografische gedeelde sleutel bij symmetrische encryptie moet worden verspreid over afzonderlijke kanalen met een hoog risico op informatielekken. Als het onveilige kanaal wordt onderschept en iemand de sleutel in handen krijgt, komt de beveiliging van de communicatie in gevaar. Daarom moeten aanvullende protocollen, zoals Diffie-Hellman of andere ondersteunde infrastructuren voor openbare sleutels, worden gebruikt om blootstelling te voorkomen tijdens de distributie van de sleutels.    

2. Schaalbaarheidsproblemen

Bij symmetrische encryptie moet elk uniek gebruikerspaar een unieke sleutel hebben, waardoor het sleutelbeheer exponentieel toeneemt met het totale aantal gebruikers. Dit vergroot het probleem van schaalbaarheid aanzienlijk, vooral in omgevingen waar gebruikers dynamisch zijn en voortdurend veranderen. Dit brengt namelijk veel administratieve rompslomp en beveiligingsrisico's met zich mee.

3. Gebrek aan non-repudiatie

Omdat dezelfde sleutel wordt gebruikt voor zowel encryptie als decryptie, is er geen onweerlegbaarheidsgarantie bij symmetrische encryptie. Omdat er geen bewijs van de bron is, is het onmogelijk om dergelijke functies te gebruiken in toepassingen waar verantwoording vereist is, zoals digitale handtekeningen of geldtransacties.  

4. Complexiteit van sleutelbeheer

Symmetrisch sleutelbeheer, dat de processen van het genereren, distribueren, opslaan, rouleren en intrekken van sleutels omvat, wordt een lastige taak naarmate het aantal sleutels toeneemt. Kwetsbaarheden ontstaan ​​door slecht sleutelbeheer, waarvoor veilige beheersysteemoplossingen zoals hardwarematige beveiligingsmodules (HSM's) essentieel zijn voor een veilige verwerking.    

5. Het risico van sleutelcompromissen

Als de geheime sleutel openbaar wordt gemaakt, blijven alle gegevens die met deze sleutel waren beveiligd, niet langer beschermd. Dit komt doordat bij symmetrische encryptie één sleutel voor beide bewerkingen wordt gebruikt. Als de sleutel openbaar wordt gemaakt, is het mogelijk om alle andere versleutelde teksten die met die sleutel zijn beveiligd, te lezen. Het is daarom erg belangrijk om de sleutels regelmatig te wijzigen en ze geheim te houden. 

Combinatie van symmetrische en asymmetrische encryptie

Moderne communicatiesystemen garanderen zowel veiligheid als efficiëntie in hybride encryptiesystemen. Een asymmetrisch Het sleuteluitwisselingsmechanisme start het hele transactieproces. Eerst delen de client en de server hun publieke sleutels om een ​​veilig kanaal voor gegevensoverdracht mogelijk te maken. Dit is met name belangrijk in het authenticatieproces van de server, terwijl voor de publieke sleutel van de server certificeringsinstanties (CA's) een belangrijke rol spelen bij de verificatie van de toegang tot de publieke sleutel van de server door middel van digitale certificaten.  

Op dit moment, wanneer er al een beveiligd kanaal tot stand is gebracht, wordt willekeurig een sessiesleutel gegenereerd. De openbare sleutel van de server, die aan de client beschikbaar wordt gesteld, wordt gebruikt om de sessiesleutel te versleutelen. Vervolgens wordt deze versleutelde sessiesleutel naar de server gestuurd, die de bijbehorende privésleutel heeft, om deze te ontsleutelen en de sessiesleutel te verkrijgen. De gedeelde symmetrische sleutel is efficiënt genoeg om alle versleutelde en ontsleutelde gegevensuitwisseling tussen de client en de server mogelijk te maken.

SCENARIO

Twee personen, namelijk Alice en Bob, die een vertrouwelijk document met Bob willen delen. Hierbij gebruiken ze symmetrische encryptie om ervoor te zorgen dat het document beschermd is tegen ongeautoriseerde toegang. 

Stap 1De eerste stap in de communicatie is het vaststellen van een gemeenschappelijke geheime sleutel. Dit doen ze door gezamenlijk een veilige methode af te spreken om een ​​wachtwoordzin te gebruiken en deze veilig uit te wisselen, of door veilige protocollen voor sleuteluitwisseling te gebruiken. 

Stap 2: Zodra de gemeenschappelijke geheime sleutel is vastgesteld, versleutelt Alice het gevoelige document met een sterk symmetrisch encryptie-algoritme. Het platte tekstdocument wordt zo omgezet in gecodeerde tekst, zodat niemand het kan lezen zonder de gedeelde sleutel. Voor extra beveiliging worden encryptiemodi zoals Galois/Counter Mode (GCM) of Cipher Block Chaining (CBC) toegepast, vaak gecombineerd met een initialisatievector (IV) om patronen in de versleutelde gegevens te voorkomen. 

Stap 3: Alice stuurt het versleutelde document nu naar Bob. De versleutelde tekst kan, zelfs als deze tijdens de verzending wordt onderschept, niet door onbevoegden worden gelezen zonder de sleutel. De beveiligde kanalen die Alice kan gebruiken om de versleutelde tekst naar Bob te sturen, omvatten versleutelde e-maildiensten, SFTP en zelfs offline methoden zoals een USB-stick. 

Stap 4: Na ontvangst van de cijfertekst gebruikt Bob hetzelfde symmetrische encryptiealgoritme en dezelfde gedeelde sleutel om de cijfertekst te decoderen. Het decoderingsproces herstelt het originele document voor Bob en geeft hem veilige toegang tot de inhoud ervan. 

Zorg voor naleving van cryptografische standaarden  

FIPS 140-3

Bijlage A bevat een uitgebreide lijst van de cryptografische algoritmen die kunnen worden goedgekeurd voor gebruik in een cryptografische module. Alle in Bijlage A genoemde algoritmen moeten echter ook worden gevalideerd volgens de Cryptografisch algoritmevalidatieprogramma (CAVP). 

NIST Speciale Publicaties (SP)

SP800-38A is een uitgebreid document dat de selectie en het gebruik van verschillende blokcijfermodi beschrijft. Het gaat dieper in op de beveiligingseigenschappen en de voor- en nadelen van elke modus en helpt ontwikkelaars en implementers bij het nemen van weloverwogen beslissingen.  

SP 800-38D beschrijft de CCM-werkingsmodus voor blokcijfers en biedt aanbevelingen voor het bereiken van zowel authenticatie als vertrouwelijkheid in cryptografische processen. 

ISO/IEC-normen

ISO/IEC 29192-2 legt de specifieke beveiligingsvereisten en testprocedures vast voor lichtgewicht symmetrische encryptie-algoritmen. Deze algoritmen zijn bedoeld voor apparaten met beperkte middelen die worden ingezet in het Internet of Things (IoT) of embedded systemen, omdat de rekenkracht en het geheugen onvoldoende zijn.  

Gebruikers verhalen 

Symmetrische encryptie wordt in verschillende domeinen gebruikt om de vertrouwelijkheid van gevoelige gegevens te waarborgen. Hier zijn enkele belangrijke use cases voor symmetrische encryptie en het belang ervan voor de bescherming van digitale informatie: 

1. Voor het beveiligen van gegevens in rust

Data-at-rest verwijst naar alle digitale informatie die is opgeslagen op een specifieke locatie in verschillende opslagfaciliteiten, zoals cloudopslag, bestandsopslagservices, relationele databases, niet-relationele databases en datawarehouses. Deze informatie wordt gecategoriseerd in gestructureerde data, zoals die in tabellen, schema's of spreadsheets, en ongestructureerde data, zoals tekst, video, afbeeldingen en logbestanden.  

De meeste services gebruiken symmetrische encryptie om hun back-ups veilig te houden. AWS en IBM Cloud adviseren bijvoorbeeld beide om AES-256 te gebruiken voor server-side encryptie tijdens verzending en opslag om gegevens te beschermen met de striktste vertrouwelijkheid volgens industrienormen. Deze uiterst veilige encryptie voorkomt ongeautoriseerde toegang tot de beveiligde informatie in de cloud.   

2. Gegevens onderweg beveiligen met virtuele privénetwerken (VPN's)

Symmetrische beveiliging wordt toegepast in een VPN om een ​​versleutelde tunnel te creëren waarlangs de informatie veilig kan worden verzonden tussen de client en de hosts. Bij symmetrische encryptie gebruiken we een gedeelde sleutel voor zowel encryptie als decryptie, zodat alleen de verzender en de bijbehorende ontvanger kunnen lezen wat er wordt verzonden. VPN's gebruiken doorgaans encryptieprotocollen zoals AES (Advanced Encryption Standard) in combinatie met veilige sleuteluitwisselingsmethoden (zoals Diffie-Hellman of ECDH) om de symmetrische sleutel veilig over het netwerk te delen.   

De verschillende VPN's maken gebruik van krachtige algoritmes om een ​​hoog beveiligingsniveau te bieden. Zo zijn de VPN-protocollen OpenVPN (gratis software) en SSTP (gemaakt door Microsoft) beide afhankelijk van AES-256 om te garanderen dat de gegevensoverdracht veilig is, vooral als er sprake is van een hoge mate van beveiliging, zoals het voorkomen van man-in-the-middle-aanvallen.    

3. Voor het beveiligen van draadloze netwerkcommunicatie (Wi-Fi)

Draadloze netwerken maken doorgaans gebruik van protocollen zoals WPA (Wi-Fi Protected Access), WPA2 en de nieuwste versie WPA3, waardoor draadloze communicatie veilig is.  

Om de veiligheid te garanderen, maken ze gebruik van symmetrische encryptie van gegevens tijdens de overdracht. Zo wordt een perfecte vertrouwelijkheid en integriteit bereikt zonder dat dit de prestaties van de draadloze communicatie beïnvloedt. 

Post-kwantumcryptografie en de impact ervan op symmetrische algoritmen 

Post-kwantumcryptografie richt zich op het beperken van de impact van kwantumdreigingen op symmetrische encryptie met betrekking tot sleutelgroottes en hybride encryptiesystemen. Lees verder voor meer informatie over hoe deze ontwikkelingen de toekomst van encryptie vormgeven. 

1. Sleutelgrootte

Een algoritme met een sleutel van 128 bits heeft 2¹²⁸ mogelijke combinaties. Dit maakt het voor klassieke berekeningen onmogelijk om de sleutel met brute kracht te raden. Naarmate kwantumtechnologieën echter steeds geavanceerder worden, is de kans groot dat ze bijna alle huidige encryptie-algoritmen kunnen kraken.

Het gebruik van Grovers algoritme verkleint de effectieve sleutelruimte van symmetrische encryptie voor quantumcomputers. Dit algoritme stelt een quantumcomputer in staat om alle mogelijke sleutels te doorzoeken met een snelheid die evenredig is met de wortel van het totale aantal combinaties. 

Het algoritme van Grover halveert dus de effectieve sterkte van symmetrische sleutels. 

Om dit probleem te ondervangen, gebruiken cryptografen grotere sleutelgroottes. Zo wordt AES-256 nu beschouwd als de gouden standaard, omdat de 256-bits sleutel een effectief beveiligingsniveau biedt, zelfs in de aanwezigheid van quantumcomputers. 

2. Hybride encryptiesystemen

Zoals besproken, halveren kwantumalgoritmen zoals het algoritme van Grover de effectieve sterkte van symmetrische sleutels, waardoor grotere sleutelgroottes nodig zijn voor de beveiliging. Zelfs als dit risico wordt verminderd, kunnen kwetsbaarheden met betrekking tot een volledig cryptografisch raamwerk, zoals sleuteluitwisselingsprocessen, worden uitgebuit.  

Asymmetrische encryptiemethoden, die veilige sleuteluitwisseling mogelijk maken, zijn daarentegen het meest kwetsbaar voor kwantumalgoritmen zoals het algoritme van Shor. Dit algoritme breekt deze methoden efficiënt af.   

Daarom zijn hybride encryptiesystemen te hulp geschoten. Dit komt doordat in hybride systemen kwantumveilige algoritmen zoals roostergebaseerde cryptografie, hash-gebaseerde cryptografieof op code gebaseerde cryptografie Zijn geïntegreerd in systemen om de gedeelde cryptografische sleutel te beschermen tijdens encryptie. Met deze meerlaagse vorm van beveiliging blijft, zelfs als één beveiligingsniveau wordt gecompromitteerd, het andere de gegevens veilig houden. Hybride systemen combineren de efficiëntiekenmerken van symmetrische encryptie met kwantumbestendigheid door middel van kwantumveilige algoritmen. 

Conclusie

Symmetrische encryptie is een van de meest acceptabele manieren om uw gegevens te beveiligen. Symmetrische sleutelcryptografie maakt codering en decodering mogelijk met behulp van een gemeenschappelijke geheime sleutel, waarmee de toegestane entiteiten alleen de vereiste beveiligde gegevens kunnen verkrijgen.   

Organisaties moeten zich voorbereiden op de toenemende cyberbeveiligingsdreigingen door sterke symmetrische encryptiealgoritmen zoals AES, Blowfish en Twofish te gebruiken om ongeautoriseerde toegang of datalekken van welke aard dan ook te voorkomen.