PKI in Roaming User Networks: Vergelijking tussen centraal- en decentraal ingerichte PKI Door: Maarten Engels
Auteur: Maarten Engels (0442465) Begeleiders: dr. mr. ir. ir. L.M.M. Royakkers, dr. ir. L.A.M. Schoenmakers Opleiding: Techniek en Maatschappij – Technologie en Innovatiebeleid Faculteit: Technologie Management Instelling: Technische Universiteit Eindhoven
1
Samenvatting In dit onderzoek staat de vraag centraal wat beter geschikt is voor de beveiliging van communicatie in Roaming User Networks: centraal- of decentraal ingerichte PKI. Deze twee vormen worden met elkaar vergeleken worden op de aspecten T r u s t en de verantwoordelijkheid die ze bij de gebruikers leggen. Communicatie bestaat uit het overdragen van berichten. Beveiliging van communicatie gebeurt door het afwenden van een viertal mogelijke bedreigingen die tijdens transport van berichten plaats kunnen vinden: afluisteren, berichten blokkeren, berichten aanpassen en versturen van spook berichten. Om deze bedreigingen tegen te gaan dient aan de volgende drie voorwaarden voldaan te zijn: • Confidentialiteit: een bericht kan alleen door de beoogde ontvanger gelezen worden; • Authenticiteit: een bericht is afkomstig van diegene die claimt de zender te zijn; • Integriteit: een bericht komt zonder wijzigingen tijdens transport bij de ontvanger aan. Aan deze voorwaarden kan in informatiesystemen met behulp van encryptietechnologie (versleutelingstechnieken) voldaan worden. Hierbij kan gekozen worden voor conventionele encryptie of het modernere public key encryptie. Conventionele encryptie heeft als nadeel dat deze lastig in te richten is voor grote groepen gebruikers. Public key encryptie heeft dit nadeel niet. Public key encryptie heeft echter wel als nadeel dat het lastig is om de identiteit van gebruikers vast te stellen. De oplossing hiervoor is om de public key encryptie uit te breiden met een mechanisme wat de identiteiten van gebruikers vast kan stellen. Wanneer er zo’n mechanisme aanwezig is, spreekt men van een Public Key Infrastructure (PKI). Deze PKI’s bestaan er in twee soorten: centraal- en decentraal ingerichte. Centraal ingerichte PKI’s gebruiken een centrale autoriteit die bepaalt wat de identiteit van de verschillende gebruikers is (een zogenaamde certificate authority). In een groot centraal ingericht PKI kan er ook een hiërarchie van zulke certificate authorities zijn. Belangrijk is in ieder geval dat er altijd één certificate authority aan de top van de piramide staat. Decentraal ingerichte PKI’s gebruiken geen centrale autoriteit die bepaalt wat de identiteit van de verschillende gebruikers is. In een decentraal ingericht PKI kan elke gebruiker uitspraken doen over de identiteit van anderen. Door gebruik te maken van anderen die een gebruiker kent, kan deze de identiteit van andere gebruikers bepalen. Roaming user networks zijn die netwerken waarbij mobiele devices gebruik maken van publieke netwerken om met elkaar en het centrale organisatie netwerk te communiceren. De grote risico’s met betrekking tot beveiliging van deze communicatie ligt in het feit dat de publieke netwerken die gebruikt worden buiten de directe fysieke invloedssfeer van de organisatie liggen. Hiervoor is dus extra beveiliging nodig. Veel publieke netwerken bieden beveiligingsvoorzieningen, maar deze zijn vaak niet voldoende. Om deze reden is het belangrijk dat berichten, wanneer ze een mobiel device verlaten, al voldoende sterk beveiligd zijn. Public Key Infrastructure is hiervoor zeer geschikt. De vergelijking tussen centraal- en decentraal ingerichte PKI’s gebeurd op de aspecten Trust en de verantwoordelijkheid die ze bij de gebruikers leggen. Trust is een begrip dat in dit onderzoek gedefinieerd wordt als de verzameling voorzieningen die in een netwerk getroffen worden om vertrouwen mogelijk te maken in de relaties die een rol spelen in het netwerk. Trust is compleet wanneer in het vertrouwen van alle relaties die in het netwerk bestaan voorzien wordt. Dit wil zeggen dat om Trust te bepalen naar alle relaties die in het roaming user network plaats vinden, onderzocht moeten worden. 2
De relaties die een rol spelen zijn privacy, ‘misbruik’ voorkomen, identiteit, vertrouwen en echtheid van informatie. Trust wordt voor deze relaties voor een drietal verschillende verkeersstromen bepaald. De verkeersstromen die onderscheden worden zijn: • Conversatie: communicatie tussen individuele gebruikers; • Consultatie: communicatie waarbij een individu informatie opvraagt bij een centrum; • Registratie: communicatie waarbij een centrum informatie opvraagt bij een individu. Het blijkt dat het steeds de partij is die informatie bezit zich dient te authenticeren. Uit de vergelijking van Trust blijkt voor decentraal ingerichte PKI’s dat deze met name geschikt zijn voor conversatie en centraal ingerichte PKI’s voor consultatie en registratie. Decentraal ingerichte PKI’s hebben moeite met de hiërarchische verschillen die in een organisatie voor zouden kunnen komen. Dit kan echter in theorie opgelost worden met behulp van de toepassing van kennis uit Multi Actor Netwerken. Dit is een netwerkvorm waarbij individuele actoren zelf beslissingen kunnen nemen en het onderzoek richt zich er dan ook op welke manier deze het beste kunnen handelen. Deze oplossing is echter in theorie aantrekkelijk, maar de praktijk dient nog getoetst te worden. Gebruikers zijn mede verantwoordelijk voor de beveiliging in een PKI. Het is echte de vraag hoe groot deze (morele) verantwoordelijkheid is. Dit is met name relevant wanneer er rechtsgeldigheid gekoppeld wordt aan ondertekening van berichten (bewijzen de zender te zijn). In dat geval is een gebruiker namelijk verantwoordelijk voor wat er onder diens naam ondertekend wordt. Echter door onvolkomenheden in de PKI kan het zijn dat een bericht ondertekend wordt zonder dat de gebruiker hier de intentie toe had. Als zo’n bericht dan schade veroorzaakt, is het de vraag wie opdraait voor de schade. Deze (juridische) verantwoordelijkheid dient gelijk te zijn aan de morele verantwoordelijkheid van gebruikers. Deze is zo dat een gebruiker in principe altijd verantwoordelijk is voor wat er onder diens naam ondertekend wordt, tenzij deze kan bewijzen niet de intentie te hebben gehad het desbetreffende bericht te ondertekenen. De verantwoordelijkheid van gebruikers is in een decentraal ingerichte PKI groter dan in een centraal ingericht PKI. Uiteindelijk blijken centraal- en decentraal ingerichte PKI’s elk voor en nadelen te hebben. Het is dan ook niet mogelijk om aan te geven wat beter geschikt is voor Roaming User Networks. Centraal ingerichte PKI’s zijn goed in consultatie en registratie, decentraal ingerichte PKI’s zijn meer geschikt voor conversatie. Voor decentraal ingerichte PKI’s geldt wel dat ze een aantal interessante mogelijkheden hebben doordat ze een dynamischer karakter hebben. Daarnaast is het wellicht goed voor gebruikers dat ze een grotere verantwoordelijkheid hebben. Tenslotte, omdat de meeste PKI’s die momenteel geïmplementeerd worden centraal zijn, wordt aangeraden om voor Roaming User Networks te kiezen voor decentraal ingerichte PKI.
3
Inhoudsopgave SAMENVATTING ............................................................................................................................. 2 INHOUDSOPGAVE........................................................................................................................... 4 VOORWOORD .................................................................................................................................. 7 HOOFDSTUK 1: INLEIDING .......................................................................................................... 8 1.1 AANLEIDING VOOR HET ONDERZOEK ........................................................................................... 8 1.2 DOEL- EN PROBLEEMSTELLING .................................................................................................... 9 1.3 DEELVRAGEN ............................................................................................................................ 10 1.4 ONDERZOEKSOPZET .................................................................................................................. 10 HOOFDSTUK 2: CRYPTOGRAFIE .............................................................................................. 12 2.1 INLEIDING ................................................................................................................................. 12 2.2 BEVEILIGEN VAN COMMUNICATIE.............................................................................................. 12 2.2.1 Bedreigingen op berichtniveau .......................................................................................... 12 2.2.2 Bedreiging van verkeersstromen........................................................................................ 14 2.3 CONVENTIONELE ENCRYPTIE EN HASH-FUNCTIES ....................................................................... 15 2.3.1 Confidentialiteit met behulp van conventionele encryptie................................................... 15 2.3.2 Authenticiteit met behulp van conventionele encryptie ....................................................... 17 2.3.3 Integriteit met behulp van Hash-functies............................................................................ 17 2.4 INFORMATIEBEVEILIGING, TIJD EN KOSTEN ................................................................................ 19 2.5 ANDERE ASPECTEN VAN INFORMATIE BEVEILIGING .................................................................... 19 2.6 CONCLUSIE ............................................................................................................................... 20 HOOFDSTUK 3: ROAMING USER NETWORKS....................................................................... 21 3.1 INLEIDING ................................................................................................................................. 21 3.2 ROAMING USER NETWORKS ....................................................................................................... 21 3.2.1 Waarom een nieuwe term? ................................................................................................ 22 3.3 INFORMATIEBEVEILIGING IN ROAMING USER NETWORKS ............................................................ 22 3.3.1 PSTN................................................................................................................................. 23 3.3.2 GPRS ................................................................................................................................ 23 3.3.3 Wireless LAN (WLAN of Wireless Local Area Networks)................................................... 23 3.3.4 UMTS................................................................................................................................ 24 3.3.5 DVB-t ................................................................................................................................ 24 3.3.6 Openbare ruimte ............................................................................................................... 25 3.4 END-TO-END VERSUS LINKBEVEILIGING ..................................................................................... 25 3.4.1 Linkbeveiliging.................................................................................................................. 25 3.4.2 End-to-end beveiliging ...................................................................................................... 26 3.5 CONCLUSIE ............................................................................................................................... 27 HOOFDSTUK 4: PUBLIC KEY INFRASTRUCTURE (PKI) ...................................................... 28 4.1 INLEIDING ................................................................................................................................. 28 4.2 ASYMMETRISCHE ENCRYPTIE EN DECRYPTIE .............................................................................. 28 4.2.1 Confidentialiteit................................................................................................................. 28 4.2.2 Authenticiteit in asymmetrische encryptie .......................................................................... 30 4.2.3 Integriteit .......................................................................................................................... 33 4.2.4 Conclusie .......................................................................................................................... 33 4.3 CERTIFICATEN EN PKI............................................................................................................... 33 4.3.1 Voorbeeld van inbreuk in communicatie tussen twee gebruikers ........................................ 34 4.3.2 Certificaten: een soort identiteitsbewijzen ......................................................................... 34 4.3.3 Certificate Authorities: Hiërarchie of Trust ....................................................................... 35 4.3.4 Certificate Authorities: Web of Trust ................................................................................. 36 4.4 CONCLUSIE ............................................................................................................................... 37 HOOFDSTUK 5: TRUST ................................................................................................................ 38
4
5.1 INLEIDING ................................................................................................................................. 38 5.2 VOORBEELDEN VAN TRUST IN NETWERKEN ................................................................................ 38 5.2.1 Voorbeeld van een centraal ingericht PKI: Secure Socket Layer........................................ 38 5.2.2 Voorbeeld van een decentraal ingericht PKI: Pretty Good Privacy ................................... 43 5.3 VOORBEELDEN VAN TRUST IN PEER-TO-PEER NETWERKEN ......................................................... 48 5.3.1 Peer-to-peer en autonomie van peers................................................................................. 49 5.3.2 Voorbeeld van een peer-to-peer netwerk met lage autonomie van peers: seti@home ......... 51 5.3.3 Voorbeeld van een peer-to-peer netwerk met hoge autonomie van peers: Space Drives ..... 54 5.3.4 relatie tussen PKI en peer-to-peer ..................................................................................... 56 5.4 VERTROUWEN VANUIT FILOSOFISCH OOGPUNT........................................................................... 59 5.4.1 Inleiding ............................................................................................................................ 59 5.4.2 Vertrouwen: een diffuus begrip.......................................................................................... 59 5.4.3 De relatie tussen vertrouwen en risico’s ............................................................................ 60 5.4.4 Risico’s in informatiesystemen........................................................................................... 61 5.4.5 Conclusie .......................................................................................................................... 61 5.5 TRUST IN (PKI) NETWERKEN ..................................................................................................... 62 5.5.1 Definitie van Trust............................................................................................................. 62 5.5.2 Uitbreiding van de begrippenruimte .................................................................................. 64 5.6 CONCLUSIE ............................................................................................................................... 64 HOOFDSTUK 6: VERSCHILLEN TUSSEN CENTRAAL- EN DECENTRAAL INGERICHTE PKI’S................................................................................................................................................. 65 6.1 INLEIDING ................................................................................................................................. 65 6.2 RELATIES IN PKI NETWERKEN ................................................................................................... 65 6.2.1 Tussen mobiele devices onderling: Conversatie ................................................................. 66 6.2.2 Tussen mobiel device en centrum: consultatie en registratie .............................................. 68 6.2.3 Allocutie ............................................................................................................................ 71 6.2.4 Samenvatting..................................................................................................................... 71 6.3 VERTROUWEN IN PKI NETWERKEN ............................................................................................ 71 6.3.1 Conversatie ....................................................................................................................... 72 6.3.2 Consultatie ........................................................................................................................ 74 6.3.3 Registratie ......................................................................................................................... 75 6.3.4 Conclusie .......................................................................................................................... 76 6.4 TRUST IN PKI............................................................................................................................ 78 6.4.1 Afhankelijkheid tussen relaties........................................................................................... 78 6.4.2 Relaties waar PKI’s moeite mee hebben ............................................................................ 79 6.4.3 Conclusie .......................................................................................................................... 80 6.5 HIËRARCHIE IN DECENTRAAL INGERICHTE PKI .......................................................................... 81 HOOFDSTUK 7: MORELE ASPECTEN....................................................................................... 82 7.1 INLEIDING ................................................................................................................................. 82 7.2 BESCHRIJVING MOREEL VRAAGSTUK ......................................................................................... 82 7.2.1 Casus: De eigen verantwoordelijkheid van gebruikers....................................................... 82 7.2.2 Voorlopige probleemstelling.............................................................................................. 83 7.2.3 Motivatie keuze moreel vraagstuk...................................................................................... 84 7.3 BETROKKEN EN DE VOOR HEN RELEVANTE WAARDEN ................................................................ 86 7.3.1 Betrokken actoren.............................................................................................................. 86 7.3.2 Voordelen van het toekennen van juridische waarde aan ondertekening van berichten ...... 87 7.3.3 Nadelen van het toekennen van juridische waarde aan ondertekening van berichten ......... 88 7.3.4 Relevante waarden voor de betrokkenen............................................................................ 90 7.4 HANDELINGSMOGELIJKHEDEN ................................................................................................... 91 7.4.1 Definitieve probleemstelling .............................................................................................. 92 7.4.2 Vier handelingsmogelijkheden........................................................................................... 92 7.5 BEOORDELING HANDELINGSMOGELIJKHEDEN OP BASIS VAN DE COMMON-SENSE BENADERING ... 93 7.5.1 Relevantie waarden voor de probleemstelling.................................................................... 93 7.5.2 Relatie tussen handelingswijzen en waarden...................................................................... 94 7.5.3 Keuze handelingswijze....................................................................................................... 95 7.6 BEOORDELING HANDELINGSMOGELIJKHEDEN OP BASIS VAN HET UTILISME................................. 96 7.6.1 Gevolgen handelingsmogelijkheden................................................................................... 96 7.6.2 Klassiek utilisme................................................................................................................ 98 5
7.6.3 Pareto-verbetering .......................................................................................................... 100 7.7 BEOORDELING HANDELINGSMOGELIJKHEDEN OP BASIS VAN DE THEORIE VAN KANT ................ 101 7.7.1 Eerste en derde formulering van de categorische imperatief............................................ 101 7.7.2 Tweede formulering van de categorische imperatief ........................................................ 102 7.8 REFLECTIE OP DE ANALYSE ..................................................................................................... 104 7.8.1 Uiteindelijke keuze handelingsmogelijkheid..................................................................... 104 7.8.2 Vergelijking uiteindelijke keuze met resultaten morele benaderingen............................... 104 7.8.3 Reflectie op de gebruikte ethische benaderingen.............................................................. 105 7.9 AFSLUITING ............................................................................................................................ 106 HOOFDSTUK 8: CONCLUSIE .................................................................................................... 108 8.1 INLEIDING ............................................................................................................................... 108 8.2 KEUZE TUSSEN CENTRAAL- EN DECENTRAAL INGERICHTE PKI................................................. 108 8.3 AANBEVELINGEN VOOR VERDER ONDERZOEK .......................................................................... 109 LITERATUURLIJST..................................................................................................................... 111 BIJLAGE BIJ HOOFDSTUK 5: TRUST...................................................................................... 115 EQUIVALENTIERELATIES ............................................................................................................... 115 BIJLAGEN HOOFDSTUK 6: VERGELIJKING TUSSEN CENTRAAL- EN DECENTRAAL INGERICHTE PKI ........................................................................................................................ 117 6.A KOSTEN VODAFONE WIRELESS WEB ...................................................................................... 118 Vodafone WirelessWeb in combinatie met Vodafone 60, 120, 180, 240 300, 500 en 1000......... 118 Vodafone Corporate GPRS Access in combinatie met zakelijke abonnementen......................... 118 Vodafone Corporate GPRS Access in combinatie met GPRS-only ............................................ 118 6.B KOSTEN KPN INTERNET EVERYWHERE .................................................................................. 119 BIJLAGEN BIJ HOOFDSTUK 7: MORELE ASPECTEN ......................................................... 120 7.A. BESCHRIJVING UTILISME ....................................................................................................... 121 Problemen met betrekking tot het Autonomie principe.............................................................. 121 Ongewenste resultaten ............................................................................................................. 121 Het pareto-criterium ................................................................................................................ 121 7.B BESCHRIJVING THOERIE VAN KANT......................................................................................... 123 Eerste formulering van de categorische imperatief................................................................... 123 Tweede formulering van de van de categorische imperatief...................................................... 123 Derde formulering van de categorische imperatief ................................................................... 123 7.C EXCEL SHEETS BEHORENDE BIJ UTILISME ............................................................................... 125 Centraal ingericht PKI............................................................................................................. 125 Decentraal ingericht PKI ......................................................................................................... 126
6
Voorwoord En na een vijftal jaren werd het ook voor mij tijd om eens aan afstuderen te gaan denken. Het resultaat daarvan heeft U nu in handen. Makkelijk was het niet, maar uiteindelijk was het wel de moeite waard. Tijdens mijn studie werd ik geboeid door een tweetal technische aspecten: informatiebeveiliging en peer-to-peer technologie. Ik wist dan ook dat ik daar voor mijn afstudeeronderzoek iets mee wilde doen. Ik ben dan ook blij dat dat gelukt is. Mijn interesse informatiebeveiliging is mogelijk door dit onderzoek alleen maar groter geworden. Daarnaast wist ik dat ik met name iets wilde gaan doen met een begrip uit de peer-to-peer technologie wat mij erg interesseert: Trust. Ook hiervan is het gelukt om het een centrale plaats in dit onderzoek te geven. Gedurende het onderzoek werd ik bijgestaan door twee begeleiders. In de eerste plaats door Lambèr Royakkers. Ik ben blij dat hij in zijn drukke schema nog tijd vond om steeds weer alles door te lezen, te bekritiseren en mee te denken over het onderzoek. Mijn dank daarvoor is dan ook erg groot. Mijn tweede begeleider, Berry Schoenmakers, heeft de beschrijvingen van de informatiebeveiligingstechnologie die in dit onderzoek aan bod komen gecorrigeerd. Bij mijn gesprek bij hem bleek hoe breed, maar vooral ook hoe diep deze technologie gaat. Het is alleen helaas niet mogelijk geweest om die diepte toe te passen in dit onderzoek, gewoon omdat het voor de vraagstelling die in dit onderzoek centraal staat niet noodzakelijk was. Het was echter wel erg prettig om eens een keer te proeven van de complexiteit van deze technologie. Daarvoor wil ik hem dan ook graag hartelijk bedanken. En naast dit onderzoek was er zelfs nog tijd om een studentenvereniging te besturen (de Eindhovense Studenten Dansvereniging Footloose). Mijn dank gaat dan ook uit naar mijn medebestuursleden die het begrip konden opbrengen voor mijn soms gebrek aan tijd. Ook wil ik graag mijn danspartner Tiki bedanken voor het doorlezen en becommentariëren van de eerste hoofdstukken. Rest mij verder weinig dan U de lezer erg veel plezier te wensen met het doorlezen van deze scriptie. Maarten Engels Juli 2003
7
Hoofdstuk 1: Inleiding 1.1 Aanleiding voor het onderzoek In de toekomst zal steeds meer behoefte komen aan (bedrijfs)computernetwerken waarbij gebruikers zich vrij kunnen aanmelden en afmelden, waar ze maar willen en wanneer ze willen. De jaren 70 en 80 kenmerkten zich door mainframes (grote centrale computers die altijd aan stonden), waarbij individuele gebruikers zich aan- en afmeldden. De gebruikers hadden dus geen eigen computer, maar deelden allemaal die ene grote mainframe. Uitvoer van programma’s en opslag van gegevens gebeurde op de mainframe. De jaren 80 en 90 kenmerkten zich door de opkomst van de Personal Computer (PC). Microsoft’s mission statement: “a PC on every desk and in every home” is ruwweg uitgekomen. Deze periode kenmerkte zich door de situatie dat gebruikers op een PC werkten. Uitvoer van programma’s en opslag van gegevens gebeurde op de individuele PC’s. Aan het einde van de jaren 90 is er een situatie ontstaan waarbij individuele PC’s nog wel de programma’s uitvoerden maar waarbij gegevensopslag veelal een mix is van lokale opslag en opslag op het netwerk. De meest vergaande vorm hiervan is de netwerk computer1. Mobiele hardware Nu staan we voor een nieuwe ontwikkeling: hardware die steeds persoonlijker (en mobieler) wordt. Deze hardware zullen we mobiele devices noemen. Deze mobiele devices hebben bepaalde kenmerken van computers. Zo kunnen ze gegevens opslaan, verwerken en zijn ze in staat tot communicatie met andere devices en netwerken. Voorbeelden van dit soort devices zijn GSM’s, PDA’s (digitale zakagenda’s) en Laptops. Deze devices zullen een onderdeel vormen van het centrale organisatie netwerk en voor de communicatie hiermee met name gebruik maken van draadloze netwerken. Hierdoor zal mobiel dataverkeer sterk toenemen. Vanwege het mobiele karakter van de hardware zal het aantrekkelijk zijn om deze niet alleen binnen de fysieke grenzen van de organisatie gebruiken (“binnen” zeg maar) maar ook erbuiten. Bijvoorbeeld bij klanten of bij leveranciers. Om toegang te krijgen tot het centrale organisatie netwerk zijn hiervoor nieuwe netwerkstructuren nodig en daarmee ook nieuwe beveiligingsstructuren. Convergentie van computer en mobiele telefoon In het voorgaande zijn al enkele voorbeelden van mobiele devices gegeven. Er is echter nog een tweede ontwikkeling: de convergentie tussen computer en mobiele telefoon. Het resultaat van deze convergentie is een device wat een onderdeel zal willen zijn van het (bedrijfs)netwerk of meer precies van een Virtual Private Network2. Deze devices zullen voor toegang tot het bedrijfsnetwerk gebruik maken van publieke packet switched3 draadloze netwerken waarvan het General Packet Radio Service protocol (GPRS) momenteel al een voorbeeld is. GPRS wordt al door i M o d e en Vodafone Live! Gebruikt om meer Internetachtige voorzieningen voor mobiele telefoons mogelijk te maken. In de toekomst zal 1
Aan het einde van deze periode is er nog een korte periode sprake geweest van een opkomst van de “netwerk computer”: een computer die zelf geen gegevens bevat, maar deze van het netwerk ophaalt. Hierdoor maakt het niet uit op welke computer een gebruiker inlogt. 2 Een Virtual Private Network is een voorziening die ervoor zorgt dat op een publiek netwerk zoals het Internet een soort virtueel lokaal netwerk (LAN) geconstrueerd kan worden. Hierdoor kunnen gebruikers toegang krijgen tot het centrale organisatie netwerk alsof zij zich binnen de fysieke grenzen van de organisatie bevinden. 3 Een packet switched netwerk is een netwerk waarbij communicatie opgedeeld wordt in kleine stukjes (packets). Omdat er tussen niet alle delen van het netwerk steeds gegevens uitgewisseld worden, kan hetzelfde gegevenspad gebruikt worden voor meerdere gebruikers. [techtarget.com I] 8
de opvolger hiervan, UMTS, deze mogelijkheden nog verder uitwerken. Daarnaast kunnen ook overlappende draadloze bedrijfsnetwerken de mogelijkheid tot publieke toegang bieden. Ook de opkomst van digitale televisie via de ether (DVB-t), biedt de mogelijkheid om netwerkvoorzieningen aan mobiele devices toe te kennen. DVB-t zal hierbij echter vanwege de specifieke oriëntatie op broadcasting (hetzelfde uitzenden naar meerdere ontvangers) vooral geschikt zijn voor specifieke toepassingen waarbij dezelfde gegevens naar verschillende ontvangers gestuurd kunnen worden. Het is niet mogelijk om gegevens naar één specifieke gebruiker te versturen. Hierdoor is het niet zo geschikt voor communicatie tussen verschillende gebruikers onderling. Daarnaast is het ook minder geschikt voor communicatie waarbij informatie van en naar het centrale organisatie netwerk gestuurd wordt waarbij deze voor slechts één gebruiker relevant is: de informatie zou naar alle gebruikers verstuurd moeten worden. Een voorbeeld van een toepassing waar DVB-t wel geschikt voor zou kunnen zijn is het verspreiden van nieuwsberichten. Kenmerkend voor deze netwerken is dat ze publiek toegankelijk zijn: bijvoorbeeld het GPRS netwerk wordt gedeeld door alle gebruikers hiervan. Dit stelt nieuwe eisen aan beveiliging4. De nieuwe netwerkstructuur van vele mobiele devices die gebruik maken van publieke netwerken om toegang te krijgen tot een bedrijfsnetwerk en om met elkaar te communiceren, zullen we roaming user networks noemen. Public Key Infrastructure Hierbij zal met name vanwege het mogelijk erg grote aantal devices in het netwerk, een Public Key Infrastructure (PKI) aantrekkelijk zijn. Een Public Key Infrastructure is een vorm van informatiebeveiliging die gebruik maakt van cryptografie waarbij gegevens versleuteld worden met een openbare sleutel (public key), maar alleen gelezen kunnen worden met een geheime sleutel (private key)5. Dit in tegenstelling tot meer conventionele cryptografie, die altijd gebaseerd is op het delen van een bepaald geheim tussen de gebruikers die beveiligd willen communiceren (een soort ‘geheimtaal’). Conventionele cryptografie heeft als grote nadeel dat het geheim altijd eerst tussen de partijen die willen communiceren uitgewisseld dient te worden. Met name bij grote groepen gebruikers is het uitwisselen van deze ‘geheime’ informatie een lastige (en risicovolle) opgave. Gebruikers van de PKI kunnen hun eigen geheime sleutel bewaren en hun openbare sleutel verdelen over de andere gebruikers. Het grote voordeel is dat er geen geheimen uitgewisseld hoeven te worden, alleen maar openbare informatie. PKI’s zijn er in vormen: centraal- en decentraal ingerichte. Het gaat er hierbij om op welke manier bepaald wordt welke public key bij welke gebruiker hoort. Een centrale oplossing gebruikt een hiërarchie van instanties die deze informatie bewaren, een decentrale oplossing gaat uit van gebruikers die elkaar kennen en elkaar informatie omtrent de identiteit van de eigenaren van public keys kunnen geven.
1.2 Doel- en probleemstelling Dit onderzoek wil bepalen wat voor raming user networks geschikter is: een centraal ingericht PKI of een decentraal ingerichte PKI. Het begrip Trust zal hierbij als kern van de analyse gebruikt worden, maar ook de ethische gevolgen van implementatie voor gebruikers en maatschappij zullen bij de afweging tussen centraal- en decentraal gebruikt worden. Trust is 4
Hierbij gaat het niet alleen om beveiliging van de communicatie, maar ook om de beveiliging van de gegevens op het apparaat zelf, gezien de huidige ontwikkeling van diefstal van mobiele telefoons, PDA’s en laptops. 5 Dit proces lijkt op een soort kluis waarvan twee verschillende sleutels zijn: als de kluis geopend is kan er iets in gestopt worden waarna deze met de eerste sleutel gesloten wordt. Hierna kan alleen de tweede sleutel gebruikt worden om de kluis weer open te maken. 9
een begrip wat vaak gebruikt wordt bij de analyse van netwerken, maar waarover geen consensus bestaat over haar exacte betekenis. Voor de leesbaarheid van de inleiding is het mogelijk om Trust nu te zien als de mate waarin ‘het netwerk doet wat het moet doen’. Het gaat er met andere woorden om of het PKI doet ‘wat het moet doen’: informatie beveiligen6. Deze omschrijving is echter te vaag om te gebruiken voor de analyse van het probleem, daarom wordt er in dit onderzoek ook een definitie van Trust gegeven. In dit onderzoek staan de volgende doel- en probleemstelling centraal: Doelstelling: door middel van een op Trust en ethische gevolgen van implementatie voor gebruikers gebaseerde vergelijking tussen centraal- en decentraal ingerichte PKI’s, bepalen welke het meest geschikt is voor roaming user networks. Probleemstelling: Hoe ‘scoren’ centraal- en decentraal ingerichte PKI’s op geschiktheid voor roaming user networks wanneer Trust en ethische gevolgen van implementatie als uitgangspunt van de analyse gekozen worden?
1.3 Deelvragen 1. 2. 3. 4. 5. 6. 7.
Wat is de relevante informatiebeveiligingstechnologie? Wat is een roaming user network? Wat is een PKI? Wat is Trust? Wat zijn de verschillen tussen centraal- en decentraal ingerichte PKI’s? Wat zijn de ethische gevolgen voor de verantwoordelijkheid van gebruikers? Welke vorm van PKI is beter geschikt voor roaming user network?
1.4 Onderzoeksopzet De eerste deelvraag wordt in hoofdstuk twee behandeld. Hierbij gaat het om het verduidelijken van de relevante begrippen en van de toegepaste technologie. Hier zal blijken dat de basis voor moderne informatiebeveiliging eigenlijk al heel erg lang bestaat. In hoofdstuk drie wordt het begrip van een roaming user network geïntroduceerd. Er wordt ingegaan op de vraag wat er zo nieuw aan zo’n netwerk is en met name waarom het zo’n belangrijke ontwikkeling gaat worden in de toekomst. Hoofdstuk vier bevat een beschrijving van wat PKI precies is. Voor velen zal dit bekende kost zijn, voor vele anderen echter niet. Daarnaast worden hier de technische verschillen tussen centraal- en decentraal ingerichte PKI’s uitgelegd. De volgende twee hoofdstukken zijn de kern van dit verslag. Deelvraag vier, die in hoofdstuk vijf behandeld wordt, gaat in op wat Trust is. Trust is een vrij lastig begrip, met name omdat het een vaag en ambigue begrip is. In hoofdstuk vijf wordt eerst aan de hand van voorbeelden van technische implementaties getracht het begrip te verduidelijken7. Ook wordt in dit hoofdstuk het verkeersstromen model geïntroduceerd waarmee communicatie in verschillende soorten kan worden onderverdeeld. Dit model zal ook op Trust worden toegepast. Uiteindelijk zal er een definitie van Trust gegeven worden. Omdat Trust vanuit een niet puur technisch oogpunt bekeken wordt en daarnaast gezien kan worden als een waarde, zal later in het verslag ook reflectie plaatsvinden op de vergelijking tussen centraal- en decentraal ingerichte PKI’s. 6
Met informatie beveiliging wordt in dit onderzoek met name bedoelt het beveiligen van communicatie tussen gebruikers of devices. 7 Hierbij zal ook een aanverwante technologie behandeld worden: peer-to-peer technologie. 10
In hoofdstuk zes komen alle vorige hoofdstukken samen. Hier wordt deelvraag vijf behandeld. Centraal- en decentraal ingerichte PKI’s worden met elkaar vergeleken in de manier waarop ze met Trust omgaan in roaming user networks. Hierbij wordt het verkeersstromen model gebruikt als raamwerk om de vergelijking te doen. Deelvraag zes wordt behandeld in hoofdstuk zeven. Het gaat hier om de verantwoordelijkheid die gebruikers hebben voor de gevolgen van het gebruik van PKI’s. Daarbij gelden een viertal handelingsmogelijkheden als uitgangpunt die elk gepaard gaan met een andere mate van verantwoordelijkheid van gebruikers. De analyse van deze handelingsmogelijkheden gebeurd vanuit verschillende moraalwetenschappelijke benaderingen. Uiteindelijk wordt een handelingsmogelijkheid aanbevolen en daarmee vastgesteld wat de verantwoordelijkheid van gebruikers is. De laatste deelvraag tenslotte, wordt in het laatste hoofdstuk behandeld. Hierbij wordt uiteindelijk een aanbeveling gedaan voor een centraal ingericht of een decentraal ingericht PKI voor roaming user networks. De eerdere analyses uit hoofdstuk zes en zeven vormen hierbij het uitgangspunt. Daarnaast worden er nog technologische veranderingen en maatschappelijke voorzieningen voorgesteld om de negatieve effecten (voorzover aanwezig) tegen te gaan.
11
Hoofdstuk 2: Cryptografie 2.1 Inleiding Public Key Infrastructure is een technologie die gebruikt kan worden voor Informatiebeveiliging. Dit onderzoek richt zich met name op beveiliging van communicatie tussen partijen. Hiervoor wordt bij Public Key Infrastructuren gebruik gemaakt van cryptografie. Dit hoofdstuk legt in het kort de grondslagen van cryptografie uit. PKI wordt in hoofdstuk vier behandeld. In paragraaf 2.2 wordt behandeld wat er aan informatie beveiligd dient te worden. In de context van roaming user networks, waar het gaat om communicatie, gaat het er in het bijzonder over waartegen deze communicatie beschermd moet worden en wat hiervoor ruwweg de voorwaarden zijn. Deze paragraaf en de volgende zijn gebaseerd op de uitleg van informatiebeveiliging zoals deze genoemd zijn in Stallings 2002 (voor een wiskundige uitleg), Damen e.a. (voor een bedrijfskundige uitleg) en Benantar 2002 (voor een programmeurtechnische uitleg). Voor meer informatie over dit onderwerp wordt dan ook verwezen naar deze werken. Paragraaf 2.3 behandelt hoe in het verleden informatie beveiligd is. Conventionele encryptie wordt hier in het kort uitgelegd zodat er een algemeen beeld ontstaat over hoe communicatie beveiligd wordt. In paragraaf 2.4 wordt behandeld wat het verband is tussen de kosten van encryptie en de sterkte ervan. Paragraaf 2.5 behandelt welke aspecten uit het voorgaande in dit onderzoek het meest behandeld zullen worden en waarom. Paragraaf 2.6 tenslotte bevat een samenvatting en conclusie van dit hoofdstuk, alsmede een aanloop naar het volgende hoofdstuk. Lezers die al bekend zijn met wat er in paragraaf 2.2 en 2.3 behandeld is, worden aangeraden in ieder geval deze laatste twee paragrafen door te lezen.
2.2 Beveiligen van communicatie Bij de analyse van de voorwaarden voor beveiliging van communicatie gaat men meestal uit van de analyse van de verschillende bedreigingen die erop kunnen worden uitgevoerd. Deze bedreigingen vinden plaats op verschillende niveau’s. Deze komen overeen met de mogelijke bedreigingen waar zo’n niveau mee te maken heeft. Hier wordt uitgegaan van twee niveaus: berichtniveau en verkeersstroomniveau. 2.2.1 Bedreigingen op berichtniveau Er wordt uitgegaan van een eenvoudig model van een zender die een bericht naar een ontvanger wil sturen (zie figuur 1). De bedreigingen komen van een derde partij die één en ander aan deze communicatie wil verstoren, door het uitvoeren van zogenaamde aanvallen. Zender (A)
Ontvanger (B)
Bericht (M)
Figuur 1 Model voor communicatie tussen twee partijen
In het algemeen kan er gesteld worden dat er vier soorten aanvallen zijn. Deze zullen hier één voor één behandeld worden. De aanvallen zijn in twee groepen te verdelen: actieve en passieve aanvallen. Het verschil tussen deze twee is dat bij actieve aanvallen de berichtenstroom wel gemanipuleerd wordt en bij passieve aanvallen niet. Aanval I - Passieve aanval: afluisteren van communicatie De eerste soort is een zogenaamde passieve aanval en bestaat uit het afluisteren van de communicatie tussen twee partijen. De aanvaller onderschept de berichten die uitgewisseld 12
worden, maar doet verder niets om de communicatie tussen de twee partijen te veranderen (zie figuur 2). Aanvaller (X)
Zender (A)
Ontvanger (B)
Bericht (M)
Figuur 2 Afluisteren van communicatie
Aanval II - Actieve aanval: blokkeren van berichten In figuur 3 ontvangt de aanvaller het bericht en laat het niet door naar de ontvanger. De aanvaller blokkeert hier de communicatie. Omdat er hier sprake is van manipulatie van de berichtenstroom is dit een vorm van een actieve aanval. In veel gevallen zal de aanvaller hierbij niet alle berichten willen blokkeren, maar bepaalde berichten willen blokkeren om de communicatie te kunnen manipuleren. Aanvaller (X)
Zender (A)
Bericht (M)
X
Ontvanger (B)
Figuur 3 Blokkeren van berichten
Aanval III – Actieve aanval: veranderen van berichten De derde aanval gaat een stap verder dan het blokkeren van een bericht (zie figuur 4). Hier verandert de aanvaller het onderschepte bericht en stuurt het hierna door naar de ontvanger alsof het het originele bericht betreft. Aanvaller (X)
Zender (A)
Bericht (M)
Bericht (M’)
Ontvanger (B)
Figuur 4 Veranderen van berichten
Aanval IV – Actieve aanval: versturen van spookberichten De laatste aanval richt zich op het sturen van spookberichten: berichten waarvan de aanvaller zich voordoet alsof deze van iemand anders afkomstig zijn (zie figuur 5).
13
Aanvaller (X)
Zender (A)
Bericht (M’)
Ontvanger (B)
Figuur 5 Het versturen van spookberichten
Uit deze aanvallen is af te leiden welke voorwaarden er aan beveiligde communicatie gesteld kunnen worden. Deze voorwaarden dienen de mogelijke aanvallen af te schermen. Uit de mogelijke aanvallen volgen drie voorwaarden die de kern van de communicatiebeveiliging vormen: 1. Authenticiteit Spookberichten (zie figuur 5) kunnen tegengegaan worden als het van een bericht vast staat dat degene die claimt de afzender te zijn ook daadwerkelijk de afzender is. Het bericht dient met andere woorden authentiek te zijn. Het vaststaan wie de zender van een bericht is noemt men authenticiteit. 2. Integriteit Om verandering van berichten tegen te gaan is het belangrijk dat het vast te stellen is of een bericht tussen zender en ontvanger veranderd is. Dit noemt men integriteit. 3. Confidentialiteit Om afluisteren tegen te gaan is het noodzakelijk dat de uitwisseling van het bericht geheim is. Deze voorwaarde noemt men confidentialiteit. Voor elk van deze voorwaarden zijn er voorzieningen in de informatiebeveiliging en deze zullen in de volgende paragraaf behandeld worden. De genoemde voorwaarden zelf kunnen echter nog niet het blokkeren van berichten tegengaan. De zekerheid dat een verzonden bericht aankomt, kunnen ze namelijk nog niet garanderen. Toch is ook het blokkeren van berichten enigszins tegen te gaan door gebruik te maken van één van de voorwaarden die genoemd zijn, te weten confidentialiteit. Het is namelijk zo dat in veel gevallen een aanvaller niet alle berichten tegen zal willen houden, omdat de zender en ontvanger waarschijnlijk vrij snel door zullen hebben wanneer berichten niet aankomen. Als een aanvaller alle berichten tegenhoudt, zullen de zender en ontvanger waarschijnlijk snel overstappen naar een ander medium omdat ze er vanuit gaan ‘dat het systeem defect is’. Aanvallers kunnen manipulatiever te werk gaan door specifieke berichten tegen te houden. Wanneer zender en ontvanger echter gebruik maken van confidentialiteit, is het voor een aanvaller moeilijker te bepalen welke berichten zinvol zijn om tegen te houden en welke niet. Het kan hierdoor minder aantrekkelijk worden om de communicatie tussen zender en ontvanger te verstoren en de aanvaller wellicht verleiden om een ander, makkelijker doelwit, te kiezen. 2.2.2 Bedreiging van verkeersstromen De vier genoemde vormen van aanvallen richten zich allemaal op de berichten die uitgewisseld worden. Het is echter ook nog mogelijk dat een aanvaller niet zozeer in de berichten geïnteresseerd is, maar meer in de vraag wie met wie communiceert en hoe vaak, de zogenaamde verkeersstroom. Hierbij is confidentialiteit, integriteit en authenticiteit niet voldoende omdat deze zich allemaal richten op het bericht, maar het nog steeds duidelijk is wie met wie communiceert omdat voor de uitwisseling van berichten bepaalde informatie publiek moet zijn (het adres van de geadresseerde bijvoorbeeld). Deze vorm van aanvallen is tegen te gaan door middel van het sturen van vele nepberichten over het netwerk naar willekeurige ontvangers. Dit noemt men Traffic Padding: het opvullen
14
van de netwerkcapaciteit met nepberichten. Als het lastig voor een aanvaller is om te bepalen welke berichten echt zijn en welke niet, dan kan de aanvaller niet bepalen wie met wie communiceert. Deze oplossing heeft echter wel een prijs: er dient netwerkcapaciteit voor opgeofferd te worden en dit kan kostbaar zijn. Wanneer een gebruiker bijvoorbeeld met zijn GSM en laptop via GPRS verbinding tot het Internet maak, dient deze te betalen voor elke verzonden en verstuurde hoeveelheid data. Het sturen van nepberichten is wat dat betreft een vrij kostbare oplossing. Echter voor toepassingen waarbij het beschermen van verkeersstroomdata erg belangrijk is (het kan bijvoorbeeld voor bedrijven in geheime fusie onderhandelingen interessant zijn om te maskeren met wie deze onderhandelingen plaats vinden), kunnen de baten opwegen tegen de kosten.
2.3 Conventionele encryptie en hash-functies Deze paragraaf gaat in op de technische implementaties van de voorwaarden die in de vorige paragraaf behandeld zijn. Het gaat hierbij dus om implementaties van de voorwaarden confidentialiteit, authenticiteit en integriteit van een bericht. In computersystemen wordt hiervoor gebruik gemaakt van encryptie. Encryptie is het proces waarbij een bericht omgezet (vercijferd) wordt in een onleesbare vorm, in een soort geheimschrift als het ware. Om het bericht weer te kunnen lezen is het noodzakelijk om het bericht te ontcijferen. Het ontcijferen van een bericht wordt decryptie genoemd. In deze paragraaf gaat het eerst over conventionele encryptie en daarna over hash-functies. Public key encryptie wordt in dit hoofdstuk niet behandeld, dit gebeurt in hoofdstuk vier. Deze technologie wijkt namelijk dermate veel af van conventionele encryptie dat een apart hoofdstuk nodig is om deze vorm van encryptie te behandelen. Daarnaast wordt in hoofdstuk vier meteen het verband tussen public key encryptie en public key infrastructure uiteengezet. 2.3.1 Confidentialiteit met behulp van conventionele encryptie De behandeling van conventionele encryptie is met name belangrijk omdat het eenvoudiger is dan public key encryptie en daardoor ideaal is om uit te leggen hoe implementatie van de voorwaarden op de computer werkt. Conventionele encryptie wordt gebruikt voor het verkrijgen van authenticiteit en met name confidentialiteit. Het gaat hierbij om het creëren van een soort geheimschrift. In deze paragraaf concentreren we ons op het bereiken van confidentialiteit met behulp van conventionele encryptie. Conventionele encryptie bestaat eigenlijk al heel erg lang: Julius Caesar gebruikte al een geheimschrift om bevelen aan soldaten door te geven. Zijn geheimschrift bestond uit het vercijferen van een bericht met behulp van het omwisselen van letters in het alfabet. Voor elke letter in het bericht, nam hij de letter die er drie plaatsen verder weg van stond. Bijvoorbeeld, “A” werd dan “D”, “B” werd “E”, “C” werd “F” etc. Het spreekt voor zich dat deze conversie eenvoudig uit te voeren is en het ontcijferen, voor wie het geheim wist, ook eenvoudig was. Deze vorm van vercijfering noemt men substitutie. Het spreekt voor zich dat op de computer veel moeilijkere substituties mogelijk zijn. Een andere oplossing tot het creëren van een geheimschrift is om de volgorde van letters in een bericht te veranderen. Hierbij gaat het om bijvoorbeeld alle woorden achterstevoren te schrijven of om de eerste twee letters van een woord achter het woord te plaatsen. Deze bewerkingen noemt men transposities. Op de computer kunnen deze bewerkingen heel erg complex zijn. Alle vormen van conventionele encryptie berusten op combinaties van substituties en transposities. De kern van de beveiliging is dat alleen de twee communicerende partijen weten hoe ze berichten moeten vercijferen en hoe deze weer terug in de originele staat gebracht 15
kunnen worden. Partijen die dit niet weten, kunnen de berichten niet lezen waardoor confidentialiteit geboden wordt. De bewerkingen om een bericht te vercijferen en ontcijferen zijn wat geheim blijft tussen de partijen. De kracht van de beveiliging is afhankelijk van hoe lastig het is om dit geheim te achterhalen. Dit geheim kan op verschillende plaatsen aanwezig zijn: 1. de combinatie van substituties en transposities kan geheim gehouden worden (bijvoorbeeld dat Julius Caesar letters substitueerde met een letter k plaatsen verderop in het alfabet); 2. de operatoren van de transposities en substituties kan geheim gehouden worden (bijvoorbeeld dat Julius Caesar’s k = +3). Implementaties van conventionele encryptie zijn in het verleden vaak gericht geweest op het geheim houden van de bewerkingen en daardoor ook van de operatoren van de bewerkingen. De enigma machine is hiervan een voorbeeld. Implementaties van conventionele encryptie op de computer gaan meestal uit van het tweede systeem. Het is bekend welke bewerking uitgevoerd wordt, maar niet welke operatoren er gebruikt worden. Dit maakt het mogelijk om systemen zo te maken dat één programma door vele verschillende gebruikers gebruikt kan worden doordat er gevarieerd kan worden in de operatoren. De kracht van de beveiliging is hierdoor uiteraard zwakker omdat bekend is dat het geheim ligt in de operatoren en dus ook alleen operatoren afgezocht hoeven te worden. Aan de andere kant is het mogelijk om deze operatoren heel erg groot en moeilijk te vinden te maken. Deze operatoren hebben in de informatiebeveiliging een eigen naam: sleutels of keys. Een voorbeeld van zo’n sleutel of key is gegeven in figuur 6. 0000001 1001011 0100100 1100010 0011100 0011000 0011100 0110010 Figuur 6 Een voorbeeld van een DES key met een lengte van 56 bits
Het betreft hier een DES8 sleutel met een lengte van 56 bits (een bit heeft de waarde één of nul en is de kleinste dataeenheid die op computers bestaat). Deze sleutel wordt gebruikt door het DES algoritme om een bericht om te zetten in een onbegrijpelijke rij tekens (de zogenaamde cypher). Hierbij dient opgemerkt te worden dat het DES algoritme altijd hetzelfde doet en alleen de sleutels variëren (zie figuur 7).
Sleutel (Ks)
Bericht (M) )
DES
Cypher (CM)
Figuur 7 Versleutelen van een bericht met DES
Meestal is één sleutel voldoende en deze is dan ook het geheim tussen communicerende partijen. Omdat deze partijen dezelfde sleutel gebruiken, heet deze vorm van encryptie ook wel symmetrische encryptie. De ontvanger kan het vercijferde bericht met behulp van de sleutel en het DES algoritme weer omzetten in de oorspronkelijke tekst. Tijdens het transport is het bericht confidentieel gebleven omdat het in een onleesbare vorm omgezet was.
8
DES is nog steeds één van de meest gebruikte conventionele beveiligingsstandaarden ter wereld en er bestaan implementaties van voor nagenoeg elk soort computer, maar ook voor smartcards zoals een ChipKnip of Chipper. Langzaam begint DES echter wel aan terrein te verliezen omdat de (vaste) sleutellengte van 56 bits nu niet groot genoeg meer is (zie ook paragraaf 2.4). 16
2.3.2 Authenticiteit met behulp van conventionele encryptie Zoals uit de vorige paragraaf is gebleken kan conventionele encryptie gebruikt worden om confidentialiteit mogelijk te maken. Aan de voorwaarde van confidentialiteit wordt voldaan omdat het bericht getransformeerd is in een niet te herkennen vorm. Alleen die personen die het geheim kennen, kunnen het bericht ontcijferen. Authenticiteit is echter ook aanwezig omdat alleen personen die het geheim kennen, het bericht in zo’n vorm om kunnen zetten dat het terugveranderen met behulp van het geheim leidt tot iets betekenisvols. 2.3.3 Integriteit met behulp van Hash-functies Conventionele encryptie kan naast confidentialiteit en authenticiteit ook een zekere mate van integriteit bieden omdat door de onherkenbaarheid van het bericht, het niet mogelijk is om er zomaar iets aan te veranderen zodat het bericht betekenisvol blijft. Wanneer een bericht ontvangen wordt wat geen betekenis heeft na decryptie kan dit erop wijzen dat het tijdens transport veranderd is. Het nadeel van hierop vertouwen is wel dat het niet mogelijk is om te bepalen of een bericht veranderd is of dat het om een spookbericht gaat. Authenticiteit en integriteit gebruiken namelijk hetzelfde middel: de eigenschap dat ontcijferen met behulp van het geheim iets betekenisvols oplevert. Daarnaast is het mogelijk dat een kleine aanpassing (ook in de versleutelde tekst) nog leidt tot iets met een zekere betekenis. Dit geldt bijvoorbeeld voor beeld en geluidsbestanden. Omdat een aanvaller het bericht niet kan ontcijferen (conventionele encryptie biedt tenslotte confidentialiteit), kan een aanvaller geen gerichte aanpassingen aan het bericht doen. Echter, willekeurige aanpassingen kunnen in ieder geval bepaald ongemak veroorzaken. Zo kan er tijd en moeite geïnvesteerd worden in het ontcijferen van een bericht, wat geen waarde meer heeft omdat het veranderd is. Vertrouwen op louter conventionele encryptie voor integriteit is dan ook niet altijd verstandig. Hier bieden hash-functies een uitkomst. Hash-functies zijn eigenlijk een kleiner onderdeel van een technologie die zich bezighoudt met het “samenvatten” van een bericht. Hierbij gaat het om een functie die een bepaald bericht weet om te zetten in een kleiner bericht. In tegenstelling tot compressie (het voor transport zo klein mogelijk maken van een bericht zonder dat er essentiële informatie verloren gaat) mag er ook informatie verloren gaan. De samenvatting heeft dan ook zelf geen betekenis meer, het is alleen maar belangrijk dat er uit een specifiek bericht maar één samenvatting mogelijk is. Het basisidee is om bij het verstuurde bericht ook een samenvatting (een zogenaamd digest9) te sturen. Wanneer het bericht zou veranderen onderweg, zou het digest niet meer bij het bericht passen. De ontvanger dient uiteindelijk het bericht zelf ook samen te vatten en deze samenvatting te vergelijken met het digest dat bij het bericht geleverd werd (zie figuur 8). Wanneer deze overeenkomt, is het waarschijnlijk dat het bericht niet veranderd is.
9
De term digest wordt hier verder gebruikt omdat het gebruik van het woord “samenvatting” zou kunnen impliceren dat het digest nog betekenisvolle informatie bevat. Een samenvatting van een stuk tekst bevat namelijk normaal gesproken een deel van de betekenis van het stuk tekst. Dit is bij een digest echter niet zo: op basis van het digest is het niet mogelijk uitspraken te doen over de inhoud van het verstuurde bericht. 17
Zender (A)
Bericht (M)
Bericht (M) en Digest
Samenvatter
Ontvanger (B)
Digest
Samenvatter
Bericht (M)
Vergelijker
Digest
Ontvanger (B) Bericht (M) en Digest
Figuur 8 Integriteitscontrole m.b.v. digests
Voor het maken van deze digests zijn verschillende oplossingen. Een mogelijkheid is bijvoorbeeld de checksum die nog steeds vaak gebruikt wordt bij het uitwisselen van bestanden. Hierbij worden alle onderdelen van het bericht (alle bits en bytes) op een speciale manier bij elkaar opgeteld, wat uiteindelijk resulteert in een getal. Dit getal wordt meegestuurd met het bericht. De ontvanger kan de optelling ook uitvoeren en daarmee het bij het bericht behorende getal berekenen. Uiteindelijk kan dit vergeleken worden met het verstuurde bericht. Het getal zelf is veel kleiner dan het originele bericht en uit dit getal kan het originele bericht niet meer bepaald worden. Het is echter wel zo dat een verandering in het bericht onderweg, zal leiden tot een vergelijking bij de ontvanger die niet meer klopt, als niet ook de checksum die meegestuurd werd op de juiste manier veranderd is. De kans dat bij toevallige (dus willekeurige) fouten tijdens de overdracht van het bericht ook de checksum op een dusdanige manier verandert dat deze bij de veranderingen in het bericht past, is nihil. Checksums zijn met name bruikbaar om fouten die ontstaan bij transport van het bericht te ontdekken, maar aangezien het heel erg eenvoudig is om een bericht moedwillig aan te passen en hierbij de checksum opnieuw te berekenen, is deze optie minder geschikt om aanpassing door derden (aanval III) tegen te gaan. Hiervoor zijn hash-functies meer geschikt. Hash-functies zijn ingewikkelder, maar hebben meer mogelijkheden. In de eerste plaats zijn hash-functies zo geconstrueerd dat een kleine verandering in het bericht al tot een grote verandering in de digest leidt. Dit betekent dat de kans dat de digest van een bericht dezelfde blijft na aanpassing heel erg klein is. Belangrijk om op te merken is dan alle digests die met een specifieke hash-functie gemaakt zijn van een vastgestelde lengte zijn. Omdat deze lengte vastligt en kleiner is dan het originele bericht, is het uiteraard zo dat verschillende berichten kunnen leiden tot dezelfde digest. Een eigenschap van hash-functies is echter dat het erg moeilijk is om twee verschillende berichten
18
te vinden die tot dezelfde digest leiden. Naarmate de digest groter wordt, neemt de kans om zo’n bericht te vinden af. In de vorige paragraaf werd al opgemerkt dat conventionele encryptie al een zekere mate van integriteit biedt. Het combineren daarvan met een hash-functie versterkt dit nog meer. De combinatie van gebruik van hash-functies en conventionele encryptie leidt tot een grote mate van integriteit.
2.4 Informatiebeveiliging, tijd en kosten Eigenlijk is elke vorm van conventionele encryptie aan te vallen. Het is namelijk vaak bekend welke vorm van encryptie gebruikt wordt en is alleen de gebruikte sleutel onbekend. Het is dan echter wel mogelijk om deze sleutel te zoeken, in ieder geval door alle mogelijkheden van deze sleutel te proberen (de zogenaamde brute kracht aanval). Wanneer deze sleutel gevonden is, is de beveiliging gebroken. Het zoeken van deze sleutel kost tijd, tijd die toeneemt naarmate de lengte van de sleutel (vaak gemeten in bits) groter is. Wanneer deze tijd zo groot is dat de investering die nodig is om de sleutel te breken onrendabel wordt (met andere woorden groter dan de baten van het breken van de beveiliging), is de beveiliging voldoende. Wanneer de tijd die nodig is zelfs zo lang is dat het met de huidige computerkracht op aarde bijvoorbeeld 100 jaar zou duren om de beveiliging te breken, spreekt men van computational infeasible. Helaas neemt ook de tijd die nodig is om een bericht te vercijferen toe naarmate de sleutels groter worden. Dit is belangrijk omdat sleutels vaak grote getallen zijn en de bewerkingen die in encryptie gebeuren erg ingewikkeld zijn. Encryptie (en daarmee informatie beveiliging) zijn dus vrij rekenintensief. Het is echter wel zo dat de tijd die nodig is om een sleutel te breken vele malen groter is dan die om de vercijfering te doen. Het verschil tussen deze twee tijden dient voldoende groot te zijn (de investering om het bericht te vercijferen mag niet groter zijn dan de baten van het beveiligen). Het is dan ook niet zinvol om met sleutels die groter zijn dan nodig is te werken. Dit impliceert wel dat naarmate de waarde van de beveiligde informatie toeneemt, er toch gekozen zal moeten worden voor grotere sleutels. Door de steeds sneller wordende computers dienen sleutels vanuit veiligheidsoogpunt steeds groter te worden: waar sleutels van 40-bits en 56-bits enkele jaren geleden nog voldoende groot waren, is heden ten dage 80-bits noodzakelijk. Omdat de toename van snelheid ook zorgt voor het sneller kunnen vercijferen van berichten blijft het verschil in tijden tussen het breken van de sleutel met een brute kracht aanval en het vercijferen van een bericht ongeveer gelijk als op tijd voor grotere sleutels gekozen wordt. Communicatiebeveiliging zal dus altijd tijd kosten. Het punt dat ook het vercijferen van berichten tijd kost (en altijd tijd zal blijven kosten) is voor conventionele encryptie niet zo’n probleem: vercijferen met sleutels van 80 of 128 bits is iets wat een gebruiker op een moderne computer waarschijnlijk niet eens merkt. Public Key Infrastructuren gebruiken echter veel grotere sleutels en daar gaat deze tijd wel tellen (zie hoofdstuk vier).
2.5 Andere aspecten van informatie beveiliging Uiteraard is wat in paragraaf 2.2 tot en met 2.4 verteld is over informatiebeveiliging slechts een klein deel van dit vakgebied. Dit onderzoek richt zich echter met name op de punten die genoemd zijn in de voorgaande onderdelen. Deze paragraaf behandelt enkele belangrijke punten op het gebied van informatiebeveiliging die niet uitgebreid aan bod zullen komen. Ze worden in het kort beschreven en er wordt uitgelegd waarom deze niet uitvoeriger behandeld worden.
19
Bij informatiebeveiliging gaat het veelal om het afschermen van informatie voor personen die niet gerechtigd zijn tot deze informatie. Dit noemt men autorisatie. Hierbij gaat het veelal om toegang tot informatie op een computer die bij een bepaalde identiteit hoort. Autorisatie is dan ook de relatie tussen een identiteit en de rechten van die identiteit op een computer. Dit heeft te maken met authenticiteit, maar is niet hetzelfde. Authenticiteit moet bij autorisatie altijd vastgesteld worden omdat het anders mogelijk is van een valse identiteit te bedienen. Autorisatie is echter iets wat zich afspeelt bij datgene wat de gewenste informatie bezit. Dit onderzoek richt zich echter op communicatie tussen onderdelen die informatie bezitten, waarbij de genoemde voorwaarden voor berichten veel belangrijker zijn. Voor roaming user networks zouden verkeersstromen interessant kunnen zijn om te beveiligen. Echter, vanwege de eigenschappen van communicatie in deze netwerken lijkt dit niet noodzakelijk (zie hoofdstuk 3). Daarnaast wordt communicatie in publieke draadloze netwerken nog per tijdseenheid of per bit afgerekend. Het versturen van nepberichten kost daardoor geld (zie paragraaf 2.2.2).
2.6 Conclusie In dit hoofdstuk zijn de drie belangrijkste voorwaarden voor informatiebeveiliging behandeld: authenticiteit (het weten dat een bericht afkomstig is van diegene die claimt het verstuurd te hebben), confidentialiteit (het bericht is niet leesbaar voor derden) en integriteit (als het bericht tijdens transport veranderd wordt, kan dit door de ontvanger opgemerkt worden). Het is aantrekkelijk dat conventionele encryptie deze drie voorwaarden kan leveren. Daarnaast is het erg efficiënt te implementeren op de computer. Er is echter wel een nadeel en dat betreft het uitdelen van de sleutels. Om beveiligd te kunnen communiceren is het noodzakelijk dat zowel zender als ontvanger de sleutel bezitten. Het uitwisselen van deze sleutel dient dan ook zo veilig mogelijk te gebeuren. Dit is het grootste risico. Confidentialiteit, authenticiteit en integriteit worden het sterkst door conventionele encryptie geïmplementeerd wanneer zo min mogelijk gebruikers het geheim kennen. Met andere woorden: elk paar van gebruikers dient een eigen sleutel te delen. In een situatie van n gebruikers leidt dit tot maximaal (n-1) n / 2 sleuteluitwisselingen ofwel een kwadratisch groeiend aantal sleuteluitwisselingen. Bij grote groepen gebruikers leidt dit tot erg veel sleuteluitwisselingen (bijvoorbeeld bij 100 gebruikers, zijn er 4950 sleuteluitwisselingen nodig). Aangezien elk van deze uitwisselingen veilig dient te gebeuren is dit proces in het beste geval omslachtig. Met name omdat een roaming user network nogal veel gebruikers kan kennen, is dit een probleem. Public key encryptie biedt hiervoor een oplossing (die in hoofdstuk vier behandeld wordt). Met de in dit hoofdstuk geschetste concepten van communicatiebeveiliging wordt het mogelijk in het volgende hoofdstuk de beveiligingsaspecten in roaming user networks te behandelen. Hiervoor wordt eerst het begrip roaming user networks gedefinieerd waarna de beveiligingsaspecten behandeld worden.
20
Hoofdstuk 3: Roaming user networks 3.1 Inleiding In het vorige hoofdstuk is informatiebeveiliging in het kort behandeld. In dit hoofdstuk wordt ingegaan op een specifieke vorm van netwerken, die belangrijk is omdat het een specifieke toepassing is. Hiermee wordt als het ware het toepassingsgebied waarvoor centraal- en decentraal ingerichte PKI’s met elkaar vergeleken worden afgebakend. Wanneer dit niet zou gebeuren, zou het niet mogelijk zijn om deze vergelijking te maken omdat het toepassingsgebied van PKI dan veel te groot is. De netwerkvorm die in dit onderzoek behandeld wordt worden Roaming User Networks genoemd. De verwachting is dat deze zullen groeien in de toekomst. In het eerste deel van dit hoofdstuk wordt behandeld wat roaming user networks zijn en in het tweede deel wat de specifieke eisen met betrekking tot informatiebeveiliging zijn die hierbij hoeren..
3.2 Roaming user networks De term roaming user networks is voor dit onderzoek bedacht om een specifieke vorm van netwerken aan te duiden. Zoals in hoofdstuk één al is aangegeven is er een trend om informatie centraal op te gaan slaan. Dit gebeurt al op PC’s die mensen op het bureau van hun kantoor hebben staan, maar eigenlijk ook bij consumenten thuis. Deze computers hebben de meeste gebruikers niet altijd bij zich, omdat ze vanwege hun omvang beperkt zijn tot het bureau. Laptop’s vormen hierop een uitzondering. Laptops zijn de eerste vorm van systemen die in wat we een roaming user network zullen noemen. De laptop was in het verleden vaak verstokt van een netwerk verbinding wanneer deze buiten de eigen kantooromgeving gebruikt werd. Hoewel communicatie via bijvoorbeeld GSM mogelijk was, is deze toepassing dermate traag (en duur) dat deze eigenlijk alleen in noodsituaties mogelijk was. Op dit moment beginnen er echter door middel van toepassingen als draadloze netwerken zoals Wireless LAN, GPRS (GSM variant) en in de toekomst wellicht DVB-t en UMTS ook voor deze systemen steeds meer mogelijkheden te komen om ook buiten de deur via publieke netwerken toegang tot het bedrijfsnetwerk te krijgen. In veel gevallen is hiervoor nog speciale hardware nodig (bijvoorbeeld een Wireless LAN uitbreiding of een mobiele telefoon die GPRS ondersteund), maar door technologie als Bluetooth en zogenaamde zeroconfiguration network technologie als RendezVous10 wordt een groot deel van dit ongemak teniet gedaan. [apple I] Roaming user networks zijn die netwerken waarbij mobiele devices gebruik maken van publieke netwerken om met elkaar te communiceren en voor hun gegevensopslag vooral afhankelijk zijn van toegang tot het centrale bedrijfsnetwerk.
Naast de laptop (en PDA’s) die steeds meer een communicatiemiddel wordt, gaan communicatiemiddelen als mobiele telefoons lijken op computers. Met name de 10
Zero-configuration netwerken zijn een soort ad hoc netwerken die ontstaan doordat apparaten die dit ondersteunen aan elkaar gekoppeld worden. Draadloze technologie als bijvoorbeeld Bluetooth maakt dit mogelijk. Stel dat een gebruiker een GSM, Laptop en printer heeft die allemaal Bluetooth kennen en ook een bepaalde zero-configuration netwerk standaard ondersteunen (bijvoorbeeld RendezVous). Wanneer deze apparaten voldoende dicht bij elkaar komen, kunnen ze automatisch een netwerk vormen. Het is hiermee bijvoorbeeld ook mogelijk dat twee mensen in de trein naast elkaar staan en hun telefoons of laptops ineens een netwerk gaan vormen. Misbruik hiervan is natuurlijk niet uitgesloten. 21
functionaliteit van PDA’s raakt steeds verder geïmplementeerd in mobiele telefoons11. [Economist 2002] De voordelen van integratie van bijvoorbeeld adressenboek, agenda en communicatiemiddel (spraak, e-mail en instant messaging) zijn duidelijk. Veel van de hiervoor nodige informatie zal niet lokaal op de telefoon of de PDA aanwezig zijn, maar op een centrale plaats. 3.2.1 Waarom een nieuwe term? De beschrijving van Roaming User Networks lijkt erg op de omschrijving van Virtual Private Networks. (VPN) Bij deze laatste vorm van netwerken wordt door gebruik te maken van beveiligde communicatiemiddelen de mogelijkheid gegeven aan gebruikers om buiten de fysieke grens van de eigen organisatie via publieke netwerken toegang te krijgen tot een centraal organisatie netwerk. [techtarget.com II] Virtual Private Networks zijn echter geen netwerkvorm, maar louter een technologie om netwerkbeveiliging mogelijk te maken. Het begrip roaming user networks is breder omdat het ook iets zegt over de gebruikers (die gebruik maken van mobiele devices) en de verkeersstromen (communicatie tussen gebruikers onderling en tussen gebruikers en centraal organisatie netwerk). In veel gevallen zal VPN technologie gebruikt worden bij de implementatie van Roaming User Networks. Hier wordt hier echter niet direct vanuit gegaan omdat het juist het doel is om te onderzoeken hoe roaming user networks beveiligd moeten worden. Het is dan beter om van de precieze implementatie van de beveiliging te abstraheren. Het begrip Roaming betekent dat een gebruiker toegang tot een netwerk kan krijgen via verschillende publieke netwerken, maar slechts met één aanbieder een customer-vendor relatie heeft. Hier wordt de keuze van het begrip duidelijk: hoewel er niet direct sprake is van een customer-vendor relatie, is het wel zo dat het gaat om een soortgelijke relatie tussen gebruikers en de organisatie waar deze bij hoort. [ietf.org I]
3.3 Informatiebeveiliging in roaming user networks Wat betekent dit nu voor beveiliging? Het komt erop neer dat laptops, PDA’s en andere mobiele hardware steeds vaker ook buiten de fysieke grens van de organisatie netwerkverbindingen ondersteunen. Vaak zonder dat de gebruiker hiervoor iets hoeft te doen. Hier liggen mogelijk meteen de grootste informatiebedreigingen. In de eerste plaats dient de informatiestructuur die binnen de organisatie zo nauwkeurig beveiligd is, ineens van buitenaf toegankelijk te worden voor gebruikers die op pad zijn. Er moet als het ware een gat in de beveiliging gemaakt worden om communicatie mogelijk te maken. [Arbough, Shanker & Wan 2001, pag. 3] Ten tweede zijn de netwerken waarmee deze gebruikers toegang krijgen vaak van een publieke aard: het mobiletelefoonnetwerk of Internet. Dit biedt risico’s met betrekking tot de in het vorige hoofdstuk genoemde aanvallen. Voor het eerste probleem (het moeten maken van een gat in de beveiliging) is al een redelijke oplossing: Virtual Private Networks (VPN). Dit zorgt ervoor dat alle communicatie kan verlopen via één poort (het gat, zeg maar). Al het verkeer met gebruikers die buiten de fysieke grenzen van het bedrijfsnetwerk toegang tot het bedrijfsnetwerk willen, loopt dan via die ene poort. Dit heeft als voordeel dat alleen voor die ene poort extra beveiligingsvoorzieningen nodig zijn. [Ming 2002, pag. 25] Het tweede probleem is lastiger, omdat de organisatie hier zelf weinig controle over heeft. 11
Er is zowel vanuit de kant van ontwikkelaars van PDA’s (Palm, PSION) en van mobiele telefoons (Sony-Ericsson, Nokia) ontwikkeling richting een device wat zowel mobiele telefoon is als PDA. Beide ontwikkelaars gaan uit van hun eigen achtergrond (het device van Nokia zal bijvoorbeeld meer lijken op een mobiele telefoon dan dat van Palm). Op dit moment is nog niet duidelijk welke vorm uiteindelijk het meest voor zal komen. 22
Hierop zullen we wat dieper ingaan. In de eerste plaats dient bepaald te worden welke vormen van communicatienetwerken mogelijk zijn. Uitgegaan zal worden van PSTN (het klassieke analoge telefoonnetwerk), GPRS, Wireless LAN, UMTS en DVB-t. Het is mogelijk dat er in de toekomst nog meer communicatienetwerken gebruikt gaan worden, maar de hier genoemde zijn in ieder geval in de nabije toekomst de meest voor de hand liggende. 3.3.1 PSTN PSTN is het bekende analoge telefoonnetwerk. Met behulp van een modem bellen gebruikers naar een speciaal nummer om toegang te krijgen tot netwerk diensten. Dit kan een nummer van de eigen organisatie zijn of van een bedrijf dat zich specialiseert in Internet toegang. In dat laatste geval is vaak een VPN implementatie nodig. De risico’s zijn met name de afluistergevoeligheid. Het netwerk zelf en ook de modems bieden geen voorzieningen om informatie tijdens transport te beveiligen. In de toekomst zal deze vorm van toegang steeds verder teruglopen omdat de kosten van de verbinding afhankelijk zijn van de tijdsduur dat de verbinding actief is. Dit betekent dat het erg kostbaar is om een permanente verbinding op te zetten. Voor vaste aansluitingen (waartoe PSTN behoort) zijn er goedkopere alternatieven (met een grotere bandbreedte) zoals Internet via de kabel. PSTN wordt hier genoemd omdat heel veel gebruikers van netwerken nog steeds op deze manier toegang krijgen. 3.3.2 GPRS GPRS is een uitbreiding op de GSM standaard die in Europa gebruikt wordt voor mobiele telefoons. De uitbreiding richt zich met name op dataverkeer. Door deze optimalisatie zijn hogere overdracht snelheden mogelijk dan bij GSM. Daarnaast betaalt een GPRS gebruiker per verstuurde en ontvangen byte (dus per hoeveelheid data) in plaats van per tijdseenheid dat er verbinding is. Deze technologie maakt het dus mogelijk om altijd een actieve netwerkverbinding te hebben, zonder kosten voor het instandhouden van de verbinding te betalen. [Peng 2000, pag. 2 t/m 5] Het grootste gevaar van GPRS is uiteraard dat het een draadloos, publiek netwerk is. De uitgezonden radiosignalen van een GPRS device zijn te onderscheppen. Ook is de beveiliging afhankelijk van de veiligheid waarmee de rest van het netwerk beveiligd is. Ten aanzien van het eerste punt (onderscheppen van radiosignalen) kan het volgende gezegd worden. GPRS gebruikt encryptie om communicatie geheim te houden en om ongewenst toegang tot het netwerk tegen te gaan. Deze encryptie is echter even sterk als die van de GSM standaard, omdat GPRS hierop een uitbreiding is. De GSM standaard maakt gebruik van een symmetrische encryptie met een 56 bits sleutel12. Deze is naar huidige maatstaven niet sterk genoeg. Extra beveiliging is dus nodig. [Peng 2000, pag. 5 en 10] 3.3.3 Wireless LAN (WLAN of Wireless Local Area Networks) Het vervangen van koperen ethernet kabels door draadloze verbindingen in organisaties begint steeds populairder te worden. Voordelen zijn bijvoorbeeld de eenvoudigere installatie, het kleinere aantal storingen en het gemak waarmee deze opgelost kunnen worden. WLAN’s hebben echter wel een duidelijk beveiligingsrisico. De gebruikte radio signalen gaan door muren heen. Dit heeft als voordeel dat installatie eenvoudiger is, maar maakt misbruik van het netwerk eenvoudiger: een aanvaller kan zich eenvoudigweg buiten de fysieke grens van het bedrijf plaatsen en proberen de communicatie te verstoren. WLAN biedt voorzieningen om dit tegen te gaan in de vorm van WEP (Wireless Encryption Protocol). Dit gebruikt symmetrische versleuteling van minstens 64 bits. Hiervan zijn echter de laatste 24 bits ‘vast’ zodat het effectief om een 40 bits sleutel gaat. Deze is echter naar huidige maatstaven niet sterk genoeg omdat deze te ‘raden’ is binnen enkele 12
GSM gebruikt eigenlijk zelfs een kleinere sleutel dan 56 bits omdat in de standaard vaststaat dat de laatste 10 bits van de sleutel altijd nullen zijn. GSM gebruikt dus effectief een 46 bits sleutel. 23
uren13. Daarnaast is het mogelijk om te beveiligen op basis van identificatie van de ontvangers. Alle ontvangers hebben namelijk een uniek nummer. Door alleen bepaalde nummers (van bekende ontvangers) toe te staan, is het niet mogelijk voor onbekenden (immers, hun nummers zullen niet bekend en dus niet toegestaan zijn) om gebruik van het netwerk te maken. Het uitvoeren van actieve aanvallen, waarbij toegang tot het netwerk nodig is, worden hierdoor moeilijker. De passieve aanval (afluisteren) is echter nog steeds een risico. [Arbough, Shanker & Wan 2001, pag. 3] Identificatie op basis van ontvangers is niet altijd aantrekkelijk. Aangezien de radiosignalen door muren gaan, is er sprake van een zekere dekking buiten de fysieke grens van de organisatie om. Als nu verschillende organisaties fysiek dicht bij elkaar gesitueerd zijn en allemaal gebruik maken van WLAN’s, ontstaat er rond deze organisaties een grotere dekking, omdat hun draadloze netwerken elkaar overlappen. Het kan interessant zijn om elkaars medewerkers in ieder geval toegang te geven tot bepaalde diensten (bijvoorbeeld Internet) om zo kosten van gebruik van andere draadloze netwerken (zoals GPRS) te voorkomen. In grote kantoorcomplexen kan dit interessant zijn en door middel van de zero configuration networks wordt dit steeds eenvoudiger. 3.3.4 UMTS UMTS kan gezien worden als de opvolger van GPRS in die zin dat UMTS eigenlijk een snellere vorm van GPRS is. UMTS wordt in Japan al geruime tijd toegepast. In Europa zijn op dit moment14 in enkele landen proeven aan de gang (o.m. in Griekenland, Luxemburg en Ierland), terwijl in andere al UMTS diensten aangeboden worden (o.m. Duitsland, Italie en het Verenigd Koninkrijk). UMTS wordt in Nederland nog niet aangeboden. [umts-forum.org I] De beveiliging van UMTS is verwant aan die van GPRS. De beveiligingsaspecten die voor GPRS gelden, gelden dus ook voor UMTS. Wel is de beveiliging die in UMTS gebruikt wordt sterker gemaakt. Zo wordt er bijvoorbeeld 128 bits encryptie gebruikt en gaat gebruik gemaakt worden van certificaten (certificaten worden besproken in paragraaf 4.3). [Kralicek 2003; Al-Adnani (ed) 1999] 3.3.5 DVB-t Een nieuwe (minder bekende) vorm van netwerktoegang zou via DVB-t. DVB-t is de opvolger van de bekende kabeltelevisieaansluiting. De grootste verschillen zijn dat DVB-t digitaal is en dat deze draadloos is. Interessant aan DVB-t is dat het niet alleen mogelijk is om televisie en radiosignalen te versturen, maar dat ook data overdracht mogelijk is. Sterke punten van DVB-t zijn de grote bandbreedte en het feit dat het zeer geschikt is om grote hoeveelheden informatie naar verschillende ontvangers (tegelijk) te sturen. Beveiligingsvoorzieningen richten zich bij DVB-t met name op toegang tot diensten en producten. Hierbij gaat het met name om betaaltelevisie: pay-per-view, premium televisionchannels en in de toekomst (near) video-on-demand. De televisieerfenis is hier duidelijk. De toepassingen voor roaming user networks zijn echter nog onduidelijk omdat het in principe om een broadcast medium gaat. Het merendeel van de bandbreedte zal dan ook voor TV en radio gebruikt worden. In Nederland bijvoorbeeld heeft de organisatie die verantwoordelijk is voor de ontwikkeling en uitbating van DVB-t nog geen plannen voor 13
De opvolger hiervan WEP-128 gebruikt een 104 bits sleutel en is binnen enkele dagen te breken. Dit wordt ook gezien als niet voldoende sterk. Intussen wordt er dan ook weer hard gewerkt aan een opvolger in de vorm van WPA (Wi-Fi Protected Access) die het zo goed als onmogelijk moet maken om een draadloos netwerk af te luisteren. [Ming 2002, pag. 25] 14 Juli 2003 24
publieke toegang tot het netwerk. In de rest van dit onderzoek zal DVB-t dan ook verder buiten beschouwing gelaten worden. 3.3.6 Openbare ruimte De in paragraaf 3.3.1 tot en met 3.3.5 genoemde beveiligingsrisico’s zijn met name technisch van aard. Er zijn echter ook niet-technische bedreigingen. Dit ligt aan het feit dat de communicatie in roaming user networks in het openbaar gebeurt. Hierbij gaat het bijvoorbeeld om meekijken over de schouders en meeluisteren. Deze problemen zijn technisch moeilijk op te lossen, maar worden hier toch genoemd omdat het reële risico’s zijn. Het is helaas lastig om in te schatten hoe groot deze risico’s zijn, maar het is wel duidelijk dat bijvoorbeeld in bedrijfsspionage weinig middelen geschuwd worden om toegang te krijgen tot concurrentiegevoelige informatie. Een hiermee samenhangend probleem is diefstal. Dit is waarschijnlijk verantwoordelijk voor de grootste gegevensverliezen. Wanneer een laptop gestolen wordt, wordt niet alleen de hardware gestolen, maar ook al het werk wat de gebruiker erop gedaan heeft. Ook als er een backup aanwezig is, is er nog schade mogelijk. In veel gevallen zijn de gegevens niet in vercijferde vorm op de laptop opgeslagen en dus door derden leesbaar. Een redelijke oplossing hiervoor is om gegevens zo min mogelijk lokaal op schijven op te slaan. Voor laptops is dit niet altijd praktisch, maar vooral voor PDA’s en mobiele telefoons waarin opslag ruimte veel meer beperkt is, kan dit een goede oplossing zijn. Dit zorgt er ook voor dat er meer opgeslagen zal worden op centrale plaatsen. Om deze reden richt dit onderzoek zich dan ook met name op beveiliging van communicatie. Tenslotte betekent het meer centraal opslaan van gegevens meer informatieoverdracht.
3.4 End-to-end versus linkbeveiliging In het vorige hoofdstuk is op het niveau van gebruikers gesproken over communicatiebeveiliging. Communicatiebeveiliging is echter een keten: van gebruiker naar device naar transport medium naar de uiteindelijke ontvanger. Voor de beveiliging van deze keten zijn twee soorten oplossingen end-to-end en linkbeveiliging. Beide opties hebben voor en nadelen en zullen hier kort besproken worden. Voor een uitgebreider (en algemener) behandeling van end-to-end en linkbeveiliging zie [Stallings 2002, pag. 154-160]. In een roaming user network kunnen deze ketens erg uitgebreid zijn. De behandeling van de manieren om deze ketens te beveiligen is dan ook relevant. 3.4.1 Linkbeveiliging Hierbij wordt de communicatie tussen elk (technisch) onderdeel van het communicatiekanaal beveiligd. Zo is bijvoorbeeld de beveiliging tussen mobiel device en GPRS ontvanger beveiligd. De communicatie wordt daarna bij de GPRS ontvanger ontcijfert en opnieuw vercijfert en doorgestuurd naar de centrale router. Dit proces van vercijferen en ontcijferen gaat zo door totdat de informatie uiteindelijk bij de ontvanger aankomt (zie figuur 9). Voor een deel is link beveiliging al geïmplementeerd in WLAN (via WEP) en GPRS netwerken. Het grote voordeel is dat hiervoor geen extra software nodig is. Daarnaast kan er speciale hardware voor gebruikt worden die de beveiliging erg snel en veilig kan uitvoeren. Tenslotte is dit proces voor gebruikers transparant15.
15
De voordelen van hardware implementaties ten opzichte van software worden besproken in [Bar-El 2002]. 25
Versleuteld met gedeelde sleutel tussen A en N1
Zender (A)
Versleuteld met gedeelde sleutel tussen N2 en N3
Bericht (M)
N1
N2
Versleuteld met gedeelde sleutel tussen N1 en N2
Figuur
N3
Ontvanger (B)
Versleuteld met gedeelde sleutel tussen N3 en B
9 Linkbeveiliging (N1, N2 en N3 zijn onderdelen van het communicatiekanaal)
Het grote nadeel is echter dat de kwaliteit van de beveiliging van de hele keten zo groot is als de slechts beveiligde schakel. Als er één schakel in de keten gecompromitteerd raakt, is de hele keten gecompromitteerd. In het bijzonder is er een risico in de tussenstations waar informatie steeds tijdelijk onvercijferd opgeslagen wordt. In het geval van WEP en GPRS is de link beveiliging niet sterk genoeg om dit te voorkomen. Een tweede nadeel is dat het niet altijd makkelijk te bepalen is hoe sterk netwerken beveiligd zijn. Dit geldt met name voor de publieke netwerken die in roaming user networks gebruikt worden, omdat de exporteurs van deze netwerken meestal niet erg veel informatie geven over de beveiliging van hun netwerk16. 3.4.2 End-to-end beveiliging End-to-end beveiliging is eigenlijk het omgekeerde van link beveiliging: hier is de veiligheid van alle tussenliggende stations niet belangrijk, omdat de gegevens die een device verlaten al dermate sterk beveiligd zijn dat die alleen door de ontvanger deze kan ontcijferen (zie figuur 10). Dit impliceert wel dat zowel zender als ontvanger afspraken hebben moeten maken over de manier van communicatie. Bijna altijd is hiervoor extra software nodig en in veel gevallen is het gebruik van deze beveiliging niet transparant voor de gebruiker omdat de gebruiker zelf extra handelingen uit moet voeren om de informatie te beveiligen. Vanwege de softwarematige implementatie veronderstelt deze optie over het algemeen meer verwerkingskracht op de gebruikte devices. Er zijn overigens wel hardware oplossingen voor mobiele devices, maar deze zijn (nog) geen gemeen goed. [Elbaz 2002, pag. 8]
16
Zo is van de beveiliging van een GPRS netwerk alleen dat deel tussen mobiel device en de ontvanger bekend omdat hier de GSM standaard gebruikt wordt. Het is voor het functioneren van het netwerk nodig dat deze standaard bekend is. Wat er verder ‘achter’ het netwerk gebeurt blijft gissen. Echter omdat de beveiliging van GSM niet voldoende is, is de keten sowieso al zwak genoeg om niet te kunnen vertrouwen op linkbeveiliging. Deze opmerking geldt ook voor WLAN’s die beveiligd worden met behulp van het WEP protocol. 26
Versleuteld met gedeelde sleutel tussen A en B
Zender (A)
Versleuteld met gedeelde sleutel tussen A en B
Bericht (M)
N1
N2
Versleuteld met gedeelde sleutel tussen A en B
N3
Ontvanger (B)
Versleuteld met gedeelde sleutel tussen A en B
Figuur 10: End-to-end beveiliging (N1, N2 en N3 zijn onderdelen van het communicatiekanaal)
Het grote voordeel is dat de beveiliging niet afhankelijk is van de kracht van de beveiliging die in het netwerk geboden wordt. Een netwerk dat zelf geen encryptie functionaliteit biedt, kan nog steeds gebruikt worden. Er is verder ook geen vertrouwen nodig in de exploiteurs van het publieke netwerk. Een prettige bijkomstigheid is dat elke beveiliging die op linkniveau geboden wordt mooi meegenomen is. De beveiliging is dan cumulatief.
3.5 Conclusie Roaming user networks zullen naast draadloze bedrijfsnetwerken ook veelal gebruik maken van publieke draadloze netwerken. Organisaties hebben zelf geen controle over de linkbeveiliging die deze netwerken bieden. Daar komt bij dat bij link beveiliging de zwakste schakel bepalend is voor de totale beveiliging van zender naar ontvanger. Alleen vertrouwen op de door deze netwerken geboden linkbeveiliging is dan ook niet voldoende. Door het gebruik van end-to-end beveiliging is het niet nodig dat de gebruikte publieke netwerken communicatiebeveiligingsvoorzieningen bieden. Wanneer deze aanwezig zijn, is dat een leuke extra. Het gebruik van end-to-end beveiliging betekent dat de informatie wanneer deze een apparaat verlaat al dermate sterk beveiligd moet zijn, zodat deze onafhankelijk wordt van zwakheden in de tussenliggende stations. In het vervolg van dit onderzoek zal dan ook uitgegaan worden van end-to-end beveiliging. PKI implementaties zijn bijna altijd als end-to-end beveiliging opgezet. PKI wordt uitgelegd in het volgende hoofdstuk.
27
Hoofdstuk 4: Public Key Infrastructure (PKI) 4.1 Inleiding In hoofdstuk twee is in het kort symmetrische beveiliging uitgelegd. Het ging daarbij om beveiliging waarbij het delen van een bepaald geheim de basis is. In de meeste moderne vormen van symmetrische beveiliging bestaat dit geheim uit een bepaalde code (een zogenaamde key). Het vercijferen van berichten gebeurde op basis van transposities (tekens verplaatsen) en substituties (tekens omwisselen) omdat deze bewerkingen omkeerbaar zijn. Aangezien zowel de zender als ontvanger van een bericht een sleutel moeten delen is het nodig dat deze sleutels verdeeld worden. Hier ligt ook het grootste nadeel van deze vorm van beveiliging: het mogelijk grote aantal distributies van sleutels dat nodig is. Zoals namelijk al getoond is, is elke distributie van een sleutel logistiek lastig en vormt een beveiligingsrisico. In dit hoofdstuk wordt Public Key Infrastructure uitgelegd. Deze vorm van beveiliging is fundamenteel anders dan symmetrische beveiliging aangezien er geen geheimen gedeeld worden. Er wordt gewerkt met twee sleutels waarvan er één geheim blijft en één verspreid mag worden. PKI wordt daarom ook wel asymmetrische beveiliging genoemd. Lezers die al veel kennis hebben van deze technologie kunnen het eerste deel van dit hoofdstuk dan ook zonder problemen overslaan. Zij worden echter wel aangeraden om paragraaf 4.3 over certificaten te lezen aangezien daar voor het eerst de relatie tussen trust en PKI getoond wordt. Daarnaast wordt in deze paragraaf de technische verschillen tussen centraal- en decentraal ingerichte PKI’s uitgelegd. Lezers die nog niet zoveel ervaring met PKI hebben kunnen in paragraaf 4.2 en 4.3 een korte inleiding krijgen in wat PKI is. In paragraaf 4.2 wordt uiteengezet wat asymmetrische encryptie en decryptie is (de basis van PKI) en het spanningsveld tussen authenticiteit en confidentialiteit. Paragraaf 4.3 behandelt wat een PKI zelf is. Omdat dit een inleiding is, is deze beschrijving natuurlijk lang niet volledig. De uitleg die hier gegeven is, is echter voldoende om de rest van het verslag te kunnen lezen en begrijpen. Lezers die meer willen weten, kunnen bijvoorbeeld gebruik maken van [Stallings 2002], [Damen e.a. 2000] en [Benantar 2002].
4.2 Asymmetrische encryptie en decryptie Zoals in hoofdstuk twee al gemeld is, is het vercijferen (encryptie) en ontcijferen (decryptie) van berichten de basis van IT beveiliging. Encryptie en decryptie in een PKI werken fundamenteel anders dan in een symmetrische infrastructuur. Asymmetrische encryptie (ofwel public key encryptie) en decryptie leunt sterk op getaltheorie. Deze paragraaf is echter zo geschreven dat kennis hiervan niet nodig is. Bij asymmetrische encryptie wordt er één sleutel gebruikt voor de vercijfering van een bericht. Om het bericht echter te ontcijferen is een andere sleutel nodig. Hier is dus meteen het verschil met symmetrische beveiliging duidelijk. Bij die laatste zijn de encryptie en decryptie sleutel namelijk dezelfde. Bij asymmetrische encryptie zijn er twee sleutels nodig. Eén daarvan wordt publiek verspreid en de andere geheim gehouden. In de volgende paragrafen wordt achtereenvolgens confidentialiteit, authenticiteit en integriteit met behulp van asymmetrische encryptie behandeld. 4.2.1 Confidentialiteit Voor het gemak wordt er eerst uitgegaan van een situatie waarin alleen confidentialiteit (geheimhouding) gewenst is. Dit voorbeeld is namelijk het meest intuïtief. In deze situatie
28
wordt de publieke sleutel (public key) gebruikt om een bericht te vercijferen en de private sleutel (private key) om het bericht te ontcijferen. Geheimhouding wordt gegarandeerd omdat de enige sleutel die het bericht kan ontcijferen alleen bij de beoogde ontvanger bekend is. 1. Confidentialiteit met behulp van asymmetrisch encryptie. Confidentialiteit kan met behulp asymmetrische encryptie in drie stappen gerealiseerd worden: (zie ook figuur 11) Dit stappenplan komt ruwweg overeen met dat beschreven in [Stallings 2002, pag. 192]. Stap 1: Gebruiker A wil graag berichten ontvangen die niet door derden gelezen kunnen worden. Hiervoor maar deze gebruiker twee sleutels aan: één houdt gebruiker A zelf (Pi), de andere (Pu) maakt hij of zij publiek bekend. Stap 2: Gebruiker B wil graag een bericht naar gebruiker A sturen. Gelukkig heeft deze gebruiker Pu ontvangen. Gebruiker B gebruikt deze sleutel om een bericht (M) te transformeren in een vercijferde tekst (C) en stuurt dit bericht naar gebruiker A. Stap 3: Gebruiker A gebruikt Pi om C te ontcijferen. M is zo weer hersteld. Omdat dit ontcijferen alleen met Pi kan en omdat alleen gebruiker A Pi kent is het dus alleen maar mogelijk voor gebruiker A om het bericht te lezen. Confidentialiteit volgt bij deze oplossing uit het feit dat alleen A de private key van A kent en dus de enige is die een bericht kan ontcijferen wat vercijferd is met de public key van B.
Figuur 11 Confidentialiteit met behulp van asymmetrische encryptie
De achterliggende technologie gaat uit van een encryptiefunctie E en een decryptiefunctie D17 waarbij ergens een wiskundige eigenschap gebruikt wordt die in één richting eenvoudig te berekenen is, maar waarvan de inverse lastig te berekenen is. De kracht van de beveiliging is afhankelijk van hoe moeilijk dit laatste is. Deze moeilijkheidsgraad is afhankelijk van de grootte van de gekozen sleutels: naarmate deze groter worden, wordt het lastiger om de beveiliging te breken. Er zijn verschillende van dit soort bewerkingen gangbaar. De bekendste zijn RSA, Discrete logaritmen (gebruikt in Diffie-Hellman) en Elliptische-krommecryptografie. De wiskundige achtergrond hiervan is echter niet zo heel erg belangrijk. Voor een (eenvoudige) uitleg over RSA zie bijvoorbeeld [Berkeley I]. Voor een beschrijving van Discrete logaritmen en Elliptische-krommecryptografie zie [Stallings 2002, pag. 220-230].
17
Merk op dat in RSA DPi(EPu(M)) = M en ook DPu(EPi(M)) = M 29
Wel relevant is de voor beide technologieën benodigde sleutelruimte om een redelijke beveiliging te verkrijgen. In tabel 1 staat van beide technologieën hoeveel tijd het kost om een sleutel te breken van een bepaalde grootte (aangegeven in bits). Sleutelgrootte 150 205 234 512 768 1024 1280 1536 2048
Tijd om te breken door middel van uitputtend zoeken RSA Elliptische-krommecryptografie 3,8 x 1010 MIPS-jaren18 7,1 x 1018 MIPS-jaren 1,6 x 1028 MIPS-jaren 4 3 x 10 MIPS-jaren 2 x 108 MIPS-jaren 3 x 1011 MIPS-jaren 1 x 1014 MIPS-jaren 3 x 1016 MIPS-jaren 3 x 1020 MIPS-jaren
Tabel 1 Relatie tussen sleutelgrootte en encryptiesterkte (uit: Stallings 2002, pag. 230)
4.2.2 Authenticiteit in asymmetrische encryptie In paragraaf 4.2.1 is in het kort uitgelegd hoe confidentialiteit werkt in asymmetrische encryptie. In deze paragraaf wordt gekeken naar authenticiteit bij communicatie. Authenticiteit betekent dat de zender van een bericht ook werkelijk diegene is die ze claimt te zijn. Middelen die authenticiteit garanderen beschermen de gebruiker tegen zogenaamde impersonatie: een gebruiker die zich voordoet als een andere. Dit is een vorm van een actieve aanval waarbij spookberichten verstuurd worden (zie paragraaf 2.2.1). Bij gebruik van asymmetrische encryptie is authenticiteit in principe heel eenvoudig te implementeren. Het is namelijk precies het omgekeerde van confidentialiteit: in dit geval wordt de private key gebruikt om een bericht te vercijferen en de public key gebruikt om het te ontcijferen. Authenticiteit wordt gegarandeerd omdat de enige sleutel die een bericht vercijferd kan hebben wat door de public key van een gebruiker ontcijferd kan worden de private key is die bij de gebruikte public key hoort. Deze private key is bij slechts één persoon bekend: de zender van het bericht. Het kan dan ook niet anders dan dat deze gebruiker het bericht vercijferd en verstuurd heeft. Het garanderen van authenticiteit betekent echter niet dat ook confidentialiteit gegarandeerd wordt. Als de private key gebruikt wordt om een bericht te vercijferen, kan een ieder die kennis heeft van de bijbehorende public key deze gebruiken om het bericht te ontcijferen. Per definitie is de public key openbaar en daardoor zullen veel gebruikers kennis van deze sleutel hebben. Dit is meteen het grootste nadeel van public key encryptie: het is niet mogelijk om tegelijkertijd confidentialiteit en authenticiteit te garanderen. Dit is bij symmetrische beveiliging wel mogelijk, wanneer de geheime sleutel (Ps) bij slechts twee gebruikers bekend is. De ontvanger weet namelijk dat alleen een gebruiker met kennis van Ps het bericht verstuurd kan hebben (de zender dus) en de zender weet dat alleen een gebruiker met kennis van Ps het bericht kan lezen (de ontvanger). Hierdoor is zowel authenticiteit als confidentialiteit gegarandeerd. In tabel 2 is dit nog eens samengevat:
18
Een MIPS-jaar is equivalent met het aantal berekeningen wat een enkele VAX 750 (ooit nog de snelste computer ter wereld) in een jaar kan uitvoeren. Ter vergelijking: een MIPS-jaar duurt ongeveer 20 uur op een 450 Mhz Pentium II. [Damen e.a. 2000, pag. 55] Dit betekent bijvoorbeeld dat het breken van een 1024 bit RSA sleutel ongeveer een miljard jaar zou duren op een 450 Mhz Pentium II. 30
Gebruik geheime sleutel
Gebruik publieke sleutel Authenticiteit en confidentialiteit?
Public key – confidentialiteit Om ontvangen gecodeerde bericht te ontcijferen
Public key – authenticiteit Om te versturen bericht te vercijferen (signeren)
Om te versturen bericht te vercijferen (versleutelen) Alleen confidentialiteit
Om ontvangen bericht te ontcijferen Alleen authenticiteit
Symmetrische beveiliging Om te versturen bericht te vercijferen Om ontvangen gecodeerde bericht te ontcijferen Niet van toepassing Beide, mits slechts twee gebruikers de geheime sleutel kennen
Tabel 2 Relatie tussen gebruik sleutels en type beveiliging voor mogelijkheden van authenticiteit en confidentialiteit
2. Authenticiteit met behulp van asymmetrische encryptie Authenticiteit wordt bij asymmetrische encryptie geregeld op een soortgelijke manier als confidentialiteit. Alleen wordt het gebruik van de public key en private key hier omgedraaid. Het stappenplan wat voor confidentialiteit getoond is, laat zich dan ook vrij eenvoudig vertalen voor authenticiteit (zie ook figuur 12). Dit stappenplan komt ruwweg overeen met dat beschreven in [Stallings 2002, pag. 192] Stap 1: Gebruiker A wil graag aan de ontvangers van zijn of haar berichten laten weten dat deze berichten enkel en alleen van gebruiker A afkomstig kunnen zijn. Hiervoor genereert hij of zij twee sleutels: een public key (Pu) en een private key (Pi). Wederom wordt de public key openbaar gemaakt en wordt de private key geheim gehouden. Stap 2: Gebruiker A wil een bericht (M) naar gebruiker B sturen. Hiervoor gebruikt gebruiker A Pi om M te vercijferen. De resulterende vercijferde tekst (C) wordt naar gebruiker B gestuurd. Stap 3: Gebruiker B gebruikt de public key van gebruiker A (Pu) om uit C het originele bericht weer te herstellen. Omdat tijdens het vercijferen van het bericht alleen Pi gebruikt kan zijn1 en omdat gebruiker B weet dat alleen gebruiker A Pi kent, moet het bericht wel van deze persoon afkomstig zijn.
Figuur 12 Authenticiteit met behulp van asymmetrische encryptie
Authenticiteit volgt bij deze oplossing uit het feit dat alleen A de private key van A kent en dus de enige is die een bericht kan vercijferen, zodanig dat ontcijferen door B met behulp van de public key van A een betekenisvol bericht oplevert.
31
Is het dan niet mogelijk om in bij gebruik van asymmetrische encryptie zowel confidentialiteit als authenticiteit mogelijk te maken? De enige manier om dit in asymmetrische encryptie mogelijk te maken is om twee coderingsronden te gebruiker: eerst een ronde voor confidentialiteit en daarna nog een ronde voor authenticiteit. 3. Authenticiteit en Confidentialiteit tegelijk met behulp van asymmetrische encryptie. Voor de volledigheid volgt hieronder nog het complete stappenplan om authenticiteit en confidentialiteit bij gebruik van asymmetrische encryptie mogelijk te maken: (zie ook figuur 13) Dit stappenplan komt ruwweg overeen met dat beschreven in [Stallings 2002, 165 en 166] Stap 1: Gebruiker A en gebruiker B genereren elk een sleutelpaar. Beide gebruikers zorgen dat hun publieke sleutels openbaar worden. Stap 2: Gebruiker A codeert een bericht M met behulp van de public key van gebruiker B (Pu_b). Het resultaat hiervan kun je beschrijven als EPu_b(M). Stap 3: Gebruiker A codeert het resultaat van stap 2 (Epu_b(M)) met de private key van gebruiker A (Pi_a). Het resultaat hiervan ( EPi_a(EPu_b(M)) ) stuurt gebruiker A naar gebruiker B. Stap 4: Gebruiker B decodeert het ontvangen bericht met de public key van gebruiker A (Pu_a). Omdat tijdens het vercijferen alleen de private key van gebruiker A (Pi_a) gebruikt kan zijn en omdat alleen gebruiker A Pi_a kent, moet gebruiker A dus de afzender zijn. Na de bewerking Dpu_a(EPi_a(EPu_b(M)) resulteert EPu_b(M). Stap 5: Gebruiker B decodeert het ontvangen bericht met de private key van gebruiker B (Pi_b). Omdat dit ontcijferen alleen met Pi_b kan en omdat alleen gebruiker B Pi_b kent is het dus alleen maar mogelijk voor gebruiker B om het bericht te lezen. Na de bewerking Dpi_b(EPu_b(M)) resulteert M.
Figuur 13 Authenticiteit en Confidentialiteit met behulp van asymmetrische encryptie
In dit stappenplan is er sprake van authenticiteit en confidentialiteit omdat er voldoende sleutels zijn: de private key van A zorgt voor authenticiteit en de private key van B staat garant voor confidentialiteit. In veel gevallen zal M dus een session key zijn die later gebruikt wordt voor het uitwisselen van grotere boodschappen. De reden dat dit toch asymmetrische encryptie is, is omdat aanvankelijk gebruiker A en gebruiker B geen geheim delen. 32
Het nadeel hiervan is dat er in totaal vier encryptie/decryptie bewerkingen nodig zijn. Dit is vooral belangrijk aangezien ook codering en decodering met de juiste sleutels in asymmetrische encryptie (in vergelijking tot symmetrische beveiliging) vrij rekenintensief is. In paragraaf 2.4 werd gemeld dat het gebruik van 80 bits en 128 bits sleutels in symmetrische encryptie niet leidde tot noemenswaardige wachttijden. Bij asymmetrische encryptie zijn sleutels echter vaak veel groter (sleutels van 768 en 1024 bits zijn geen uitzondering) en dan gaat rekentijd toch tellen, zoveel zelfs dat het de gebruiker op zou gaan vallen (en waarschijnlijk irriteren). In veel gevallen wordt dan ook volstaan met het op deze manier uitwisselen van een eenmalig te gebruiken geheime sleutel (session key) die daarna gebruikt wordt voor symmetrische encryptie en decryptie van de eigenlijke berichten. Aangezien deze session key alleen bekend is bij de twee gebruikers is zowel authenticiteit en confidentialiteit van de berichten gegarandeerd (zie tabel 2). 4.2.3 Integriteit In hoofdstuk twee is niet alleen over de eisen van authenticiteit en confidentialiteit gesproken, maar ook over de eis dat een bericht onveranderd bij de ontvanger aankomt. Dit wordt integriteit genoemd. In hoofdstuk twee is aangegeven dat integriteit door middel van hash-functies geboden kan worden. Een hash-functie is een bewerking die wanneer uitgevoerd op een bepaald bericht M een “samenvatting” (digest) genereert: een stuk tekst afhankelijk van M van een vaste lengte. Het is hierbij heel erg moeilijk om op basis van deze digest het originele bericht te herstellen. Ook is het zo dat wanneer het originele bericht ook maar een klein beetje veranderd wordt, het digest het liefst zoveel mogelijk verandert. Door zowel het originele bericht als een digest naar de ontvanger te sturen kan bepaald worden of het bericht ongewijzigd aangekomen is. Dit alles is al in hoofdstuk twee behandeld. Bij gebruik van asymmetrische encryptie werkt dit ook nog steeds: voordat de encryptie gebeurt, wordt er eerst een digest van het bericht gemaakt en deze wordt bij het bericht gecodeerd. Als er dan onderweg een verandering aan het bericht plaats vindt, zal dat later bij het ontcijferen blijken. Het nadeel hiervan is echter wel dat het te vercijferen bericht langer wordt en aangezien asymmetrische encryptie al veel rekenintensiever is dan symmetrische encryptie kan dit tot merkbare vertragingen leiden. Wanneer er echter alleen een tijdelijke session key uitgewisseld wordt, is er geen probleem. Het communiceren van grote hoeveelheden tekst, beeld en geluid met behulp van louter asymmetrische encryptie is echter niet aan te raden. 4.2.4 Conclusie In de vorige drie paragrafen is in het kort uitgelegd wat public key encryptie is. Er is aangegeven hoe aan de drie voorwaarden uit hoofdstuk 2 (confidentialiteit, authenticiteit en integriteit) voldaan kan worden. Als grote voordeel ten opzichte van conventionele encryptie kan gesteld worden dat er geen geheimen uitgewisseld hoeven te worden tussen gebruikers die beveiligd willen communiceren. Daar staat tegenover dat asymmetrische encryptie veel rekenintensiever is dan symmetrische, waardoor het op deze manier beveiligingen van grote berichten minder aantrekkelijk is. Asymmetrische encryptie wordt dan ook met name gebruikt om tijdelijke session keys uit te wisselen die gebruikt worden voor conventionele encryptie. De asymmetrische encryptie wordt dan gebruikt om het geheim op een veilige manier uit te wisselen.
4.3 Certificaten en PKI Na het lezen van paragraaf 4.3 lijkt het wellicht dat het toch niet zo heel erg moeilijk is om zowel authenticiteit als confidentialiteit te bieden. Dit is echter maar ten dele waar. Het grote probleem is dat op basis van slechts een public key het niet mogelijk is om vast te stellen wie 33
de eigenaar ervan is. Met andere woorden, de partij die een public key aanbiedt zal ongetwijfeld de bijbehorende private key hebben, maar zonder verdere identificatie is niet bekend wie deze partij is. 4.3.1 Voorbeeld van inbreuk in communicatie tussen twee gebruikers Om dit te verduidelijken eerst een voorbeeld. Stel dat gebruiker A een bericht wil sturen naar gebruiker B, op de manier die in figuur 13 voorgesteld is. Stel nu ook dat er een gebruiker C is, met een eigen public key en private key. Wanneer deze gebruiker C vaststelt dat gebruiker een bericht naar B wil sturen, kan deze gebruiker heel eenvoudig de eigen public key naar gebruiker A sturen en zeggen dat het de public key van B betreft. Dit zelfde kan de gebruiker C doen, door de eigen public key naar gebruiker B te sturen met de claim gebruiker A te zijn. Voor gebruiker A en gebruiker B is er geen manier om vast te stellen dat dit gebeurd is. Uiteindelijk zullen gebruiker A en gebruiker B denken een session key af te spreken voor verdere communicatie. Echter, gebruiker C kan deze eenvoudig opvangen en de verdere communicatie tussen A en B afluisteren of wellicht storen. 4.3.2 Certificaten: een soort identiteitsbewijzen Een manier om dit soort misverstanden te voorkomen is om persoonlijk de eigen public key naar mogelijke communicatiepartners te brengen. De public key moet dan ergens opgeslagen worden waarbij ook duidelijk is dat deze bij de gebruiker hoort waarvan de key ontvangen is. Dit is echter omslachtig en niet altijd realiseerbaar (bijvoorbeeld voor grote fysieke afstanden). Daarnaast is het wellicht toch wel aantrekkelijk om ook met andere gebruikers die nog onbekend zijn te kunnen communiceren. Hiervoor is een oplossing gekozen in de vorm van certificaten. Een certificaat is een soort identiteitsbewijs: het verbind een gebruiker met een public key. Een certificaat bevat in ieder geval de volgende informatie: - eigenaar van het sleutelpaar (eventueel met de organisatie waar de eigenaar bij hoort); - de public-key van de eigenaar; - de vervaldatum van het certificaat; - naam van de uitgever van het certificaat; - ‘handtekening’ van de certificaat uitgever; Figuur 14 bevat de typische opbouw van een X.509 certificaat, één van de meest gebruikte standaarden voor certificaten. Let op dat waar in het vorige gesproken werd over ‘eigenaar’ dit bij X.509 certificaten het subject heet. De kracht van het certificaat zit in de vraag hoe moeilijk het is om een certificaat te vervalsen. Denk hierbij aan het vervalsen van een paspoort. Om vervalsing lastig te maken zijn er in ieder geval twee middelen in het certificaat ingebouwd: een vervaldatum en een ‘handtekening’ van de certificaat uitgever. De vervaldatum zorgt ervoor dat er maar een beperkte tijd is om een certificaat te vervalsen19. Hoe korter deze tijd, hoe kleiner de kans op vervalsing. Een te korte tijd is echter ook niet praktisch aangezien gebruikers dan te vaak een nieuw certificaat aan moeten vragen.
Figuur 14 opbouw van een X.509 certificaat
De ‘handtekening’ van de certificaat uitgever is een boodschap die met de private key van de uitgever van het certificaat (de Certificate Authority, 19
Met name door de vaart waarmee computers sneller worden, (ongeveer een verdubbeling per 18 maanden) is het belangrijk dat certificaten niet te lang geldig blijven. 34
ofwel CA) getekend is. Veelal is deze boodschap het resultaat van toepassing van een hashfunctie op de overige onderdelen van het certificaat. Deze handtekening wordt gebruikt voor het bepalen van de authenticiteit van het certificaat en de integriteit ervan. Een gebruiker kan de authenticiteit van het certificaat bepalen door het de handtekening op het certificaat te ontcijferen met de public key van de CA. Hieruit dient dan een betekenisvolle boodschap te komen (bijvoorbeeld het resultaat van toepassing van een hash-functie op de overige onderdelen van het certificaat). Dit impliceert dat de gebruikers moeten weten wat de public key van een CA is. Deze dient dan wel op een veilige manier ontvangen te worden. Een prettige eigenschap van een certificaat is dat nadat het certificaat uitgegeven is, er geen contact meer gezocht hoeft te worden tussen gebruiker en CA. Er is alleen contact nodig wanneer een gebruiker zelf een certificaat aan wil (laten) maken. In veel gevallen is er niet één, maar zijn er meerdere uitgevers van certificaten. Om de geldigheid van certificaten van verschillende uitgevers te bepalen (cross certification) zijn er in essentie twee opties: centraal en decentraal. Centraal ingerichte systemen worden in paragraaf 4.3.3 behandeld en decentraal ingerichte systemen in paragraaf 4.3.4. 4.3.3 Certificate Authorities: Hiërarchie of Trust De meest gebruikte manier om met verschillende CA’s om te gaan is door gebruik te maken van een centraal (ofwel hiërarchisch systeem). De basis van dit systeem is de Root CA. Alle belangrijke CA’s zoals Verisign (VS), Thawte (Zuid Afrika), Belsign en Globalsign (Europa) hebben een certificaat wat getekend is met de private key van de Root CA. Veel bedrijven die PKI producten aanbieden, bieden ook aan om als certificate authority op te treden, door certificaten aan gebruikers te leveren. Deze bedrijven hebben zelf een certificaat wat getekend is door bijvoorbeeld Verisign of Thawte. De structuur van dit systeem lijkt op een omgekeerde boom, met bovenaan de stam (de Root CA), zoals getoond in figuur 15:
Figuur 15 Structuur van een Hiërarchie of Trust (uit: Damen e.a. 2000, pag. 106)
In het voorbeeld van figuur 15 kan gebruiker C de geldigheid van het certificaat van gebruiker A controleren als gebruiker C de public key van de Root CA heeft (een veronderstelling in systemen van deze soort). Het certificaat van A is getekend door CA 4, wiens certificaat door CA 1 getekend is. Root CA heeft het certificaat van CA 1 ondertekend. Gebruiker C kan eerst de geldigheid van het certificaat van CA 1 bepalen en hiermee de public key van CA 1 verkrijgen. Deze public key kan gebruikt worden om het certificaat van CA 4 te controleren. Hieruit verkrijgt gebruiker C de public key van CA 4. Deze key kan gebruikt worden om tenslotte het certificaat van gebruiker A te controleren. 35
Doordat met dit systeem de echtheid van certificaten te bepalen is, zijn nu alle ingrediënten aanwezig om met behulp van asymmetrische encryptie een beveiligingsysteem op te bouwen: met andere woorden een Public Key Infrastructure (PKI). In dit geval gaat het om een centraal ingericht PKI. 4.3.4 Certificate Authorities: Web of Trust Een andere manier om de geldigheid van certificaten te bepalen is door gebruik te maken van een Web of Trust. Een web of trust is niet gebaseerd op één partij (zoals bijvoorbeeld de Root CA in een centraal netwerk) die de geldigheid van certificaten bepaald, maar op een netwerk van geheel of gedeeltelijk vertrouwde personen. In een web of trust kan elke gebruiker zelf certificaten aanmaken en daarmee uitspraken doen over de mate waarin ze geloven dat bepaalde public keys bij bepaalde gebruikers horen. De basis van het netwerk is altijd het eigen certificaat waarin het vertrouwen maximaal is. Daarna komen sleutels die de gebruiker zelf heeft zien aanmaken en sleutels van mensen die helemaal vertrouwd worden. Een sleutel die gecertificeerd wordt door een vertrouwde partij wordt meestal ook vertrouwd. Tenslotte kunnen sleutels die door vrij veel bekenden redelijk vertrouwd worden ook geaccepteerd worden. In figuur 16 wordt dit verder geïllustreerd:
Figuur 16 Structuur van een Web of Trust (uit: Damen e.a. 2000, pag. 107)
In figuur 16 wordt een voorbeeld getoond van hoe een web of trust eruit zou kunnen zien. Centraal staat de eigen persoon, deze wordt altijd vertrouwd en de betrouwbaarheid van de public key is maximaal. Van gebruiker A is gezien dat deze het certificaat voor de public key van A (A’) zelf maakte. Van deze public key wordt daarom aangenomen dat deze bij gebruiker A hoort. Gebruiker B wordt helemaal vertrouwd. Omdat deze gebruiker de public key van gebruiker C wil certificeren, wordt die ook betrouwbaar geacht. Als gebruikers J, K en L niet helemaal vertrouwd worden, zal de public key van gebruiker M meestal niet vertrouwd worden als slechts één van hen M’ wil certificeren. Als echter, zoals in het voorbeeld, M’ door twee of meer (deels vertrouwde gebruikers) wordt gecertificeerd, wordt het aannemelijk geacht dat de public key M’ bij gebruiker M hoort. In het volgende hoofdstuk wordt bij de behandeling van PGP het opbouwen van zo’n netwerk verder geïllustreerd.
36
Doordat ook in dit systeem bepaald kan worden of public keys horen bij de persoon die geclaimd wordt de eigenaar ervan te zijn, is het mogelijk om hiermee een public key infrastructure op te bouwen. In dit geval gaat het om een decentraal ingericht PKI.
4.4 Conclusie In dit hoofdstuk is uitgelegd wat een public key infrastructure is. In het eerste deel is uiteengezet wat public key encryptie is. Hierbij kwam als grote voordeel ten opzichte van conventionele encryptie (die in hoofdstuk 2 behandeld is) uit dat er geen geheime sleutels uitgewisseld hoeven te worden. Het bleek dat vooral bij grote groepen gebruikers het uitwisselen van geheime sleutels lastig is en een beveiligingsrisico bevat. Om beveiligd te kunnen communiceren met behulp van public key encryptie hoeft alleen publieke informatie uitgewisseld te worden. Aangezien roaming user networks waarschijnlijk vrij groot zullen zijn, maakt dit public key encryptie erg aantrekkelijk voor deze netwerkvorm. Er bleek echter wel een probleem te zijn met public key encryptie: op basis van alleen een public key is het niet mogelijk te bepalen wie de eigenaar ervan is. Hiervoor is een uitbreiding nodig, die public keys kan koppelen aan de eigenaren ervan. Dit heet een public key infrastructure (ofwel PKI). Het koppelen van eigenaren aan hun private keys kan op twee manier gebeuren: centraal of decentraal. In dit hoofdstuk is alleen maar uitgelegd hoe beide manieren werken: een centraal ingericht PKI maakt gebruik van een centrale autoriteit die bepaalt welke public key bij welke eigenaar hoort. In een decentraal ingericht PKI bepalen de andere eigenaren welke public key bij welke eigenaar hoort. Het doel van dit onderzoek is echter te bepalen welke manier beter geschikt is voor een roaming user network. Hiervoor is een vergelijkingsmaat nodig. En die wordt beschreven in het volgende hoofdstuk: Trust.
37
Hoofdstuk 5: Trust 5.1 Inleiding Voor de vergelijking van centraal- en decentraal ingerichte PKI’s is een adequate vergelijkingsmaat nodig. In dit onderzoek is één van de twee vergelijkingsmaten het begrip Trust (de andere is ethische gevolgen). In dit hoofdstuk wordt een definitie voor Trust gegeven. Een adequate definitie op het gebied van vertrouwen in netwerken bestaat namelijk nog niet. Zoals in hoofdstuk 1 al aangegeven is, zou je trust kunnen omschrijven als de mate waarin het netwerk doet wat het moet doen. Wanneer dit als uitgangspunt genomen wordt en men daarnaast een zuiver technologisch perspectief kiest, dan gaat het begrip trust al heel erg snel lijken op reliability. Dit is echter een te nauwe visie van het begrip, wat middels voorbeelden in de volgende paragraaf zal blijken. Het betreft hier voorbeelden van netwerken die PKI’s zijn of lijken op PKI’s waarbij aangegeven wordt welke trust aspecten er leven. Hierna wordt er in paragraaf 5.4 vanuit een filosofisch oogpunt een analyse van het begrip Trust gemaakt. In paragraaf 5.5 wordt dit verder toegepast op netwerken (een soort technologische trust). In deze paragraaf wordt ook de uiteindelijke definitie van Trust gegeven.
5.2 Voorbeelden van trust in netwerken De volgende paragraaf geeft een viertal voorbeelden van netwerken waarin trust een belangrijke rol spelen. Het gaat hierbij trouwens wel om een specifiek type netwerken, netwerken waarbij de verschillende onderdelen een grote mate van autonomie hebben. Bij PKI’s is hiervan sprake omdat gebruikers altijd zeggenschap over hun eigen geheim (zie hoofdstuk 5) zullen hebben. Twee hiervan zijn PKI’s: een centraal- en een decentraal ingericht PKI. De overige twee voorbeelden van netwerken zijn peer-to-peer netwerken (deze worden behandeld in paragraaf 5.3). Het zal namelijk blijken dat de issues met betrekking tot Trust in PKI’s lijken op die in peer-to-peer netwerken. Het eerste PKI wat genoemd zal worden is het meest eenvoudige voorbeeld: een centraal ingericht PKI, te weten de manier waarop beveiligde communicatie op het World Wide Web mogelijk is. Het voorbeeld voor een decentraal ingericht PKI is PGP20. De voorbeelden van peer-to-peer netwerken zijn SETI@home en File Spaces. 5.2.1 Voorbeeld van een centraal ingericht PKI: Secure Socket Layer Veel mensen hebben mij gevraagd hoe hun gegevens beveiligd worden, bijvoorbeeld tijdens Internet Bankieren. Omdat dit daarnaast een mooi voorbeeld van een centraal ingericht PKI is, is de keuze voor de technologie die dit mogelijk maakt Secure Socket Layer (SSL) een logische. Beveiligde communicatie op het WWW21 is voor een groot deel transparant voor de gebruiker. [netscape I] De enige verschillen die de gebruiker op een pagina zal merken zijn het (mogelijk) verschijnen van een melding dat de pagina beveiligd is (zie figuur 17) en een aantal kenmerken op de pagina zelf (zie figuur 19). Deze kenmerken zijn echter vrij subtiel en 20
Bij behandeling van decentraal ingerichte PKI’s is het eigenlijk niet mogelijk om PGP niet te behandelen. 21 SSL is ook geschikt voor beveiliging van andere protocollen die bovenop de TCP/IP laag liggen (zoals e-mail, ftp en beveiligde login-sessies). Maar aangezien met name de gebruikers van deze andere SSl toepassingen veelal al inzicht in SSL zullen hebben, wordt hier ingegaan op het gebruik van SSL voor beveiligde communicatie op het World Wide Web. 38
vallen niet heel erg op. Daarnaast ontstaat er verwarring omdat gebruikers soms een naam en een wachtwoord op moeten geven (zie figuur 18). Dit is echter geen garantie tot beveiligde communicatie aangezien deze gegevens niet vercijferd verstuurd worden. Het is dan ook mogelijk voor een andere gebruiker om de gebruikersnaam en het wachtwoord te lezen tijdens transport van de gebruiker naar de website. SSL biedt wel beveiligde communicatie. De vraag is natuurlijk hoe dit dan werkt. SSL is een systeem dat ontwikkeld is voor gebruik tussen servers en clients (de Internet browser, bijvoorbeeld Netscape Navigator, Microsoft Internet Explorer of Safari). In hoofdstuk vier is al uiteengezet hoe asymmetrische encryptie werkt. SSL maakt hiervan ook gebruik. Om te bewijzen dat een server degene is die deze zegt te zijn (authenticiteit), wordt gebruik gemaakt van certificaten. Deze certificaten kunnen door een aantal (vertrouwde) organisaties uitgegeven worden. In het geval van SSL gaat het dan om bedrijven als Verisign, Thawte, Belsign en Globalsign.
Figuur 17 Melding dat communicatie beveiligd is
Figuur 18 Deze melding is géén garantie voor beveiligde communicatie!
Figuur 19 Roodomlijnde delen geven indicatie dat er sprake is van beveiligde communicatie
39
Het proces dat doorlopen wordt om een beveiligde communicatie op te starten gaat volgens een aantal stappen. In de eerste plaats moet de client een locatie oproepen waarop SSL mogelijkheden toegestaan zijn. In figuur 19 is dit te zien doordat er in de Address balk in plaats van “http://” “https://” staat. Daarna wordt afgesproken welke protocollen gebruikt zullen gaan worden. SSL ondersteunt verschillende soorten van encryptie, zowel sterke als zwakkere. Het protocol is zo ontwikkeld dat er gebruik gemaakt wordt van de sterkste encryptie die beide partijen ondersteunen. In figuur 19 is blijkbaar door client en server afgesproken RC4 encryptie met een 128 bits sleutel te gaan gebruiken. Daarnaast is het mogelijk om aan beide zijden een minimum-encryptie niveau in te stellen. Dit is zinvol aangezien de zwakste beveiliging die SSL ondersteunt, geen confidentialiteit mogelijk maakt. Nadat vastgesteld is welke encryptie gebruikt gaat worden, stuurt de server haar certificaat naar de gebruiker op. Dit certificaat kan de gebruiker controleren, zoals beschreven in paragraaf 4.5.3. Omwille van de verwerkingssnelheid (het controleren van certificaten in verschillende stappen is vrij rekenintensief), bevatten de meeste browsers al een behoorlijke hoeveelheid public keys die vertrouwd worden. Deze zijn er door Microsoft (zie figuur 20) of Netscape zelf al ingebouwd. Hierdoor is het controleren van een certificaat meestal Figuur 20 Internet Explorer bevat standaard al in één stap mogelijk. De gebruiker heeft veel certificaten die vertrouwd worden. hier zelf weinig invloed op. Mocht het certificaat niet goedgekeurd worden (bijvoorbeeld omdat het verlopen is), dan zal de browser de gebruiker vragen of deze de server vertrouwt. Hier heeft de gebruiker dus wel invloed. Nadat het certificaat van de server is goedgekeurd (ofwel automatisch ofwel handmatig door de gebruiker) wordt er door de client een pre-master secret ‘bedacht’ en deze wordt versleuteld met de public key van de server (die de client uit het certificaat van de server heeft ontvangen) naar de server gestuurd. Deze pre-master secret wordt verder gebruikt voor de constructie van een master secret waaruit voor de verdere communicatie steeds sessions keys gemaakt worden die gebruikt worden voor symmetrische encryptie. Dit proces is dus een stukje uitgebreider dan dat wat in paragraaf 4.3 getoond is. Het gebruik van een master secret is om steeds andere session keys mogelijk te maken, zodat niet te lang dezelfde session key gebruikt blijft. Opgemerkt dient te worden dat in de situatie die nu voorgesteld is, alleen de server geauthenticiteerd wordt. SSL biedt echter ook de mogelijkheid voor client authentication, met andere woorden, de gebruiker dient ook te bewijzen wie deze claimt te zijn. Wanneer voor deze optie gekozen wordt dient ook de client een certificaat te hebben. Het proces wordt hierdoor een klein beetje uitgebreid, omdat aan de server zijde ook een controle stap ingebouwd moet worden. Het proces is echter niet fundamenteel anders. In het voorbeeld is uitgegaan van server authentication omdat dit het meest voorkomt: de meeste gebruikers op Internet hebben zelf geen certificaat aangevraagd. Veelal is dit ook niet nodig omdat het in deze gevallen gaat om een server waarop voor de gebruiker belangrijke informatie staat (rekening informatie bijvoorbeeld) of er in een later stadium nog een soort “authenticatie 40
stap” plaatsvindt, zoals wanneer een credit card gebruikt wordt voor online betalingen. Het is voor de server namelijk niet zozeer van belang wie de bestelling doet, als de betalingsgegevens maar kloppen (het is redelijk aan te nemen dat degene die de betaling kan doen, ook de persoon is waar de bestelling heen moet). SSL richt zich specifiek op cliënt-server communicatie. Blijkbaar geldt hier een soort asymmetrisch vertrouwen: de cliënt moet de server vertrouwen, maar de server hoeft de cliënt niet te vertrouwen. Sterker nog, in veel gevallen zal de server geen enkele cliënt vertrouwen, maar de cliënt wel alle servers (met een geldig certificaat). Omdat er blijkbaar asymmetrie in vertrouwen kan bestaan, is het noodzakelijk om te kijken naar de verschillende communicatie stromen. Vandaar dat bij de definitie van trust het verkeersstromen model van Bordewijk en Kaam gebruikt wordt. [Bordewijk & van Kaam 1982, pag. 32] De PKI structuur gebruikt SSL om uiteindelijk een master secret uit te wisselen, wat verder symmetrische beveiliging mogelijk maakt. De public key infrastructure wordt met andere woorden gebruikt om de twee partijen met elkaar in contact te brengen. Organisaties als VeriSign, dus de certificate autorities (CA’s), werken hierbij als een trusted third party. Interessant om op te merken is, is dat om de communicatie mogelijk te maken in SSL, er geen contact nodig is met deze derde partij. Er is alleen contact nodig wanneer een server of client een certificaat wil aanvragen of terugroepen. Hoewel er tijdens de communicatie tussen twee partijen geen communicatie met de CA nodig is, is deze op het gebied van trust wel essentieel. Wanneer er een soort “trustcommunicatielijnen” opgetekend wordt, loopt er wel degelijk een lijn naar deze organisaties (zie figuur 21). Het vertrouwen in de communicatie tussen twee partijen valt of staat met het vertrouwen wat de CA in de partijen heeft en met het vertrouwen in de CA. Immers, uiteindelijk is de CA ook maar een private organisatie en uiteindelijk ook maar mensenwerk.
Figuur 21 Trust communicatielijnen
Een laatste opmerking over SSL: vanwege de exportwetten in Amerika mag software die encryptie met sleutels groter dan 40 bit ondersteunt niet vrij geëxporteerd worden. 40 bit encryptie is echter heden ten dagen niet sterk genoeg om veiligheid te garanderen. Voor banken was hiervoor al een uitzondering gemaakt, maar ook bijvoorbeeld verzekeringsmaatschappijen en online merchants kunnen nu een speciaal certificaat aanvragen wat sterkere beveiliging mogelijk maakt (sleutellengte tot 168 bits). [Netscape II; Damen e.a. 2000, pag. 59] Daardoor wordt nu ook in de browsers die buiten de VS gebruikt worden sterkere encryptie toegestaan. Echter, aangezien die sterkere encryptie alleen werkt wanneer zowel server als client deze ondersteunen, is sterk beveiligde communicatie tot dusver alleen mogelijk met banken, verzekeringsmaatschappijen en online merchants. Andere servers hebben namelijk geen toegang tot deze sterkere encryptie. In figuur 19 is zichtbaar dat een 128 bits encryptie gebruikt wordt, het scherm is dan ook een voorbeeld van communicatie met een bank.
41
Intermezzo: certificaat klassen bij Verisign Verisign (www.verisign.com) is veruit de belangrijkste CA ter wereld. Niet alleen hebben ze het grootste marktaandeel, maar met name ook de grootste bedrijven hebben certificaten van Verisign. [verisign I] Het bedrijf biedt verschillende soorten certificaten (Verisign noemt dit Digital ID’s) aan. Hieronder staat een overzicht van de verschillende soorten en de eisen die gesteld worden tijdens aankoop ervan (zie tabel 3). Voor de verschillende klassen van certificaten gelden verschillende procedures met betrekking tot het vaststellen van de identiteit van de aanvrager. Aanvragen van klassen 1 en klasse 2 Digital ID’s kan volledig online. Voor een klasse 1 Digital ID bevestigt Verisign het e-mailadres van de gebruiker door een PIN en Digital ID-ophaalinformatie te zenden naar het e-mailadres dat de aanvrager opgegeven heeft. Klasse 2 Digital ID’s controleren naast het e-mailadres ook de informatie die opgegeven is met een consumentendatabase. De aanvrager krijgt per post een bevestiging gestuurd dat er in zijn of haar naam een Digital ID is aangemaakt. Voor klasse 3 Digital ID’s tenslotte, is het noodzakelijk dat de aanvrager zich persoonlijk komt legitimeren of dat deze notarieel gewaarmerkte credentials opstuurt. [Stallings 2002, pag. 452] Overzicht van identiteitbevestiging
IA private-key beveiliging
Private-key beveiliging voor certificaataanvrager en inschrijver
Door gebruikers geïmplementeerde of overwogen toepassingen
Klasse 1
Automatisch zoeken naar ondubbelzinnige naam en emailadres
encryptiesoftware (PIN-beveiligd) aanbevolen, maar niet vereist
Web browsing en bepaalde e-mail mogelijkheden
Klasse 2
als klasse 1, plus automatische controle van inschrijvinginformatie plus automatische adrescontrole als klasse 1, plus persoonlijke aanwezigheid en ID-documenten plus automatische klasse 2 ID-controle voor individuele personen; zakelijke records voor organisaties
PCA: betrouwbare hardware; CA: betrouwbare software of betrouwbare hardware PCA en CA: betrouwbare hardware
encryptiesoftware (PIN beveiligd) vereist
PCA en CA: betrouwbare hardware
Encryptiesoftware (PIN beveiligd) vereist; hardwaretoken aanbevolen, maar niet vereist
e-mail tussen personen binnen en tussen bedrijven; online inschrijvingen; wachtwoordvervanging; softwareevaluatie e-banking; toegang tot bedrijfsdatabase; personal banking; online-services (op basis van lidmaatschap); inhoudintegriteitsservices; ecommerce server; software evaluatie; authenticiteit van LRAA’s; krachtige encryptie voor bepaalde servers
Klasse 3
IA: CA: PCA: PIN: LRAA:
Issuing Authority (uitgevende autoriteit) Certification Authority VeriSign Public Primary Certification Authority Personal Identification Number Local Registration Authority Administrator
Tabel 3 Public-key certificaatklassen bij Verisign (uit Stallings 2002, pag. 451)
42
NB: een Class 1 public key certificaat is te koop voor US$14,95 per jaar. [verisign II] Naast het bieden van authenticiteit voor het e-mail adres van de eigenaar, biedt het ook nog een verzekering tegen misbruik van het Digital ID door derden tot een bedrag van US$1000. 5.2.2 Voorbeeld van een decentraal ingericht PKI: Pretty Good Privacy Pretty Good Privacy (afgekort PGP) is bedacht door Philip Zimmerman (zie figuur 22). Zijn doel was om een beveiligingsproduct te ontwikkelen wat gebruikt kon worden voor communicatie tussen partijen die lijden onder repressie door ondemocratische regimes. De basis is dan ook een vertrouwensmodel22 dat geen centrum nodig heeft om te kunnen werken, aangezien dit soort centra te eenvoudig door de overheid beheerst zouden kunnen worden. PGP is complexer dan SSL om drie redenen. In de eerste plaats is het meer dan SSL: SSL is slechts een infrastructuur die door toepassingen gebruikt kan worden om beveiligde communicatie op te zetten, PGP daarentegen is een complete toolbox van beveiligingssoftware. Hoewel e-mail beveiligen de meest gebruikte toepassing is, is het ook mogelijk om bestanden te beveiligen, te coderen voor uitwisseling op verschillende systemen, te comprimeren en om media en telefoongesprekken te vercijferen23. Daarnaast is het Figuur 22 Philip R. Zimmermann (bron: philzimmermann.com) decentrale vertrouwensmodel van PGP complexer dan het hiërarchische van SSL. Beide eigenschappen zorgen ervoor dat gebruik van PGP alles behalve transparant voor de gebruiker is. Tenslotte zijn er vele verschillende versies van PGP: voor verschillende systemen, van verschillende producten, gratis versies, commerciële versies, etc. De verschillende versies ondersteunen andere cryptografische algoritmes en hier en daar andere mogelijkheden24. In dit hoofdstuk wordt de e-mail beveiliging van PGP als voorbeeld gebruikt. Hoewel bij beveiliging van mobiele devices ook de beveiliging van de gegevens op het device zelf belangrijk is (zoals bleek uit hoofdstuk 2), is deze technologie geen PKI. Bij beveiliging van e-mail komen trouwens ook de aspecten van beveiligen van bestanden, coderen voor uitwisseling op verschillende systemen en compressie aan bod. Het vertrouwensmodel van PGP De basis van het vertrouwensmodel van PGP is dat publieke sleutels25 niet vertrouwd worden, tenzij deze aan één (of meer) van de onderstaande eigenschappen voldoen: 1. de gebruiker “aanwezig” was bij de creatie van de sleutel; 2. de gebruiker de geldigheid van de sleutel kan “bewijzen”; 3. andere gebruikers de sleutel willen certificeren; 4. sleutels gaan vergezeld van een X.509 certificaat.
22
Merk op dat een “vertrouwensmodel” niet hetzelfde is als “vertrouwen” of “trust”. Het vertrouwensmodel is namelijk slechts een onderdeel van deze andere termen, om precies te zijn, dat deel wat bepaalt of sleutels betrouwbaar zijn. 23 Door middel van de toepassing PGPDisk en PGPFone. 24 In dit hoofdstuk wordt uitgegaan van de niet-commerciële PGP implementatie van PGP.com versie 8.0 voor MacOS X. Dit is de freeware versie, maar PGP.com verkoopt ook een commerciële met meer functies (ondermeer PGPDisk). 25 Overigens spreekt PGP van “publieke sleutels” maar deze zijn meer dan alleen de informatie die nodig is om een bericht te coderen of decoderen. Publieke sleutels lijken in PGP meer op certificaten. De term “certificeren” is echter weer gereserveerd voor een specifiek proces in PGP. In het verdere stuk zal de term “publieke sleutel” gebruikt worden zoals PGP hiermee omgaat. 43
De eerste situatie komt voor wanneer de sleutel bijvoorbeeld door een systeembeheerder voor de verschillende gebruikers aangemaakt zijn. In het bijzonder is een gebruiker aanwezig bij de creatie van de eigen sleutel en hierin is het vertrouwen dan ook maximaal. De tweede situatie komt voor wanneer een gebruiker een sleutel persoonlijk komt afleveren, bijvoorbeeld op een diskette. Het spreekt voor zich dat deze methode niet erg praktisch is, met name wanneer de afstanden tussen personen groter worden. Hiervoor heeft PGP een oplossing ingebouwd in de vorm van een fingerprint (zie figuur 23). Deze wordt voorgesteld door een aantal woorden die bijvoorbeeld door de telefoon doorgegeven kunnen worden. Hierdoor wordt voorkomen dat een sleutel onderweg veranderd wordt. Dit geeft een zekere mate van integriteit aan. Authenticiteit van de sleutel wordt bepaald omdat het redelijk is om aan te nemen als de persoon aan de andere kant van de telefoon vertrouwd wordt, deze de juiste sleutel zal hebben willen sturen én dus de bijbehorende fingerprint zal oplezen. Hoewel er natuurlijk ook hier een “man in the middle” aanval mogelijk (een aanval waarbij een derde partij zich aan elk van de andere partijen voordoet als de andere partij), is dit al veel minder waarschijnlijk omdat het nabootsen van een telefoongesprek niet eenvoudig is.
Figuur 23 Een fingerprint in PGP
De derde situatie bepaalt het vertrouwen in een sleutel aan de hand van het vertrouwen wat anderen er in hebben dat de sleutel hoort bij de persoon die claimt eigenaar van de sleutel te zijn (zie tabel 4). PGP biedt de mogelijkheid om aan sleutels toe te kennen in welke mate de eigenaar ervan vertrouwd wordt dat deze de geldigheid van andere sleutels kan bepalen. Het is dus mogelijk dat de sleutel van een gebruiker vertrouwd wordt (hoort bij de persoon die claimt de eigenaar te zijn), maar dat deze eigenaar zelf niet voldoende vertrouwd wordt om deze sleutels van anderen te certificeren. Type gebruikers gebruikers die niet vertrouwd worden om sleutels te ondertekenen; gebruikers die gedeeltelijk vertrouwd worden om sleutels te ondertekenen; gebruikers die geheel vertrouwd worden om sleutels te ondertekenen; key-servers
Implicatie voor gecertificeerde sleutel Een sleutel die gecertificeerd wordt door deze gebruikers, wordt niet vertrouwd. Een sleutel die gecertificeerd wordt door meerdere van deze gebruikers, wordt vertrouwd. Een sleutel die gecertificeerd wordt door tenminste één van deze gebruikers, wordt vertrouwd. Gebruikers kunnen hun sleutel publiceren op een key-server. Dit zijn een soort goudengidsen voor sleutels. Hiermee krijgt PGP een centraal tintje. Gebruik ervan is echter optioneel. Sleutels die opgehaald worden van een key-server worden vertrouwd.
Tabel 4 Implicatie voor gecertificeerde sleutel afhankelijk van het type gebruiker in PGP
Tenslotte worden ook keys die vergezeld gaan van een zogenaamd X.509 certificaat vertrouwd. Dit zijn dezelfde soort certificaten die SSL ook gebruikt en kunnen dus van bepaalde Certificate Authorities gekocht worden. Gebruik van deze certificaten is niet in alle versies van PGP mogelijk. Gebruik ervan is optioneel: het is niet nodig een certificaat te
44
verkrijgen om gebruik van PGP te maken en het is mogelijk om het vertrouwen in dit soort certificaten uit te schakelen26. De opties voor gebruik van key-servers en certificaten zijn toegevoegd aan het programma om het gebruikers eenvoudiger te maken om met PGP te gaan werken. Met name wanneer een gebruiker start met het gebruik van het programma, dan heeft deze nog maar één key: de eigen. PGP wordt aantrekkelijker wanneer meer gebruikers het gebruiken, met name gebruikers in de eigen omgeving. Niet alleen omdat naarmate er meer gebruikers zijn, er meer mogelijkheid is tot beveiligde communicatie (beide partijen moeten PGP gebruiken wil het effectief zijn), maar ook omdat het vaststellen van de geldigheid van sleutels eenvoudiger wordt. Dit laatste geldt omdat dan ook meer gebruikers vertrouwd worden om de geldigheid van sleutels te bepalen. De waarschijnlijkheid dat de geldigheid van een publieke sleutel bepaald kan worden neemt dan toe. Dit soort effecten noemt men netwerk externalities. Er wordt wel gezegd dat men met vijf of zes contacten de wereld rond kan zijn (in vijf of zes stappen dient het mogelijk te zijn om iedereen ter wereld te “kennen”), zo dient het mogelijk te zijn om met een voldoende grote key ring de geldigheid van alle sleutels te bepalen. E-mailcommunicatie beveiligen met PGP E-mail versturen is niet triviaal. Bijna iedereen maakt wel eens mee een bericht te ontvangen waar tekens in zitten die niet juist weergegeven worden, met name wanneer het gaat om tekens als letters met accenten of bijvoorbeeld het euro-teken. Voor encryptie kan dit een probleem zijn omdat een kleine tekenwijziging een bericht onleesbaar of onbruikbaar kan maken. Deze tekenveranderingen treden op door de manier waarop e-mail verstuurd en afgeleverd worden op het Internet27. Om te voorkomen dat tekens niet goed afgebeeld worden gebruikt PGP radix-64 conversie. Hiermee wordt het hele bericht omgezet in een representatie waarvan de betekenis vaststaat en die door alle PGP implementaties op dezelfde manier geïnterpreteerd wordt. Tekenverwisselingen komen zo niet meer voor. Het is ook mogelijkheid om een bericht te verkleinen ofwel te comprimeren. Dit heeft een aantal voordelen. In de eerste plaats maakt het berichten kleiner waardoor minder netwerk verkeer nodig is om deze uit te wisselen. In de tweede plaats maakt het van tekst al een min of meer onleesbare brij, wat het lastiger maakt om de tekst als zodanig te herkennen. Tenslotte maken nieuwere compressiealgoritmen, zoals bijvoorbeeld MacBinary het mogelijk om eenvoudiger bestanden tussen verschillende computersystemen uit te wisselen28. PGP biedt verschillende mate van beveiliging die mogelijk is voor een bericht. In de eerste plaats is het mogelijk om een bericht te ondertekenen zodat het duidelijk is wie de zender was (authenticiteit) en om te zorgen dat het bericht onderweg niet veranderd kan worden (integriteit). Daarnaast is het mogelijk om een bericht te versleutelen zodat het niet door anderen gelezen kan worden (confidentialiteit). Tenslotte is het mogelijk om zowel authenticiteit, integriteit en confidentialiteit te bieden. 26
PGP biedt de mogelijkheid zelf het Root certificaat te kiezen. Hierdoor is het mogelijk om zelf te bepalen van welke CA’s certificaten vertrouwd worden. 27 Voor uitwisseling van e-mail wordt op het Internet ASCII codering van tekens gebruikt. Deze is echter slechts 7-bits groot, wat goed is voor 128 tekens. Dit is net voldoende voor het bekende alfabet en wat punctuatie. Nieuwe en obscure tekens gebruiken codes boven de 128. En daarvoor bestaat geen echte standaardisatie: deze wisselt per land en per computersysteem. 28 In tegenstelling tot de meeste besturingssystemen, gebruikt het bestandssysteem van MacOS bestanden die bestaan uit twee delen: een datafork en een resourcefork. Zonder speciale voorzorgsmaatregelen is het niet mogelijk om bij overdracht naar een ander systeem de resourcefork te behouden. 45
De precieze bewerkingen die gedaan worden door PGP om een bericht te beveiligen zullen hier niet behandeld worden. Deze zijn uitvoerig beschreven in bijvoorbeeld [PGP 2002, pag. 29-35] daarnaast wijkt deze erg weinig af van het systeem dat is gepresenteerd is in paragraaf 4.3. Nuttig is wel op te merken dat beveiliging van het bericht in het geval van confidentialiteit gebeurt met symmetrische encryptie. De hiervoor nodige session key wordt met behulp van asymmetrische encryptie met het bericht meegestuurd. Het opbouwen van een key ring Een gebruiker die aan de slag gaat met PGP zal een verzameling public keys van andere gebruikers op moeten bouwen. Zonder public keys van anderen, is het immers niet mogelijk om beveiligde communicatie met deze personen op te bouwen. Deze verzameling wordt een sleutelring of key ring genoemd. Afhankelijk van de gevoeligheid van het bericht, dient er een bepaald vertrouwen in de public key te zijn dat deze hoort bij de beoogde ontvanger. Dit zal verduidelijkt worden aan de hand van een aantal voorbeelden. In deze voorbeelden worden key servers en X.509 certificaten buiten beschouwing gelaten, alleen zuiver decentrale processen worden bekeken. Voorbeeld 1: Stel dat Anton een bericht wil sturen Bella. Anton wil voor zijn onderzoek naar de rol van media op de politiek graag meer weten over verkeersstromen. Bella heeft hierover een website gemaakt die Anton vol interesse leest. Hij heeft echter nog wat vragen en zou de auteur van de site (Bella) daarnaast graag willen bedanken voor de informatie op de website. De meeste gebruikers zouden nu een e-mail typen en dit versturen. Anton echter heeft net PGP geïnstalleerd en heeft gezien dat Bella haar public key gepubliceerd heeft op haar website. “Doe ’s hip” denkt Anton. Hij schrijft een e-mail en versleutelt dit met de public key van Bella zodat alleen zij het kan lezen, daarna verstuurt hij het bericht naar het e-mail adres van Bella.
Kon Anton er in het voorbeeld op vertrouwen dat de public key die op de site stond die van Bella is? Niet helemaal. Maar net zomin als dat hij erop kan vertrouwen dat het e-mail adres bij Bella hoort. De informatie die verstuurd wordt is echter waarschijnlijk niet heel erg gevoelig, waardoor het geen echte ramp is als deze bij de verkeerde persoon terecht komt. Het kan hooguit lastig zijn dat de persoon die de private key heeft die bij de public key hoort niets van het onderwerp weet en Anton dus niet verder kan helpen. Anton had bij het versturen van zijn e-mail nog een optie: het bericht ondertekenen. Hiermee had hij aangegeven te willen bewijzen dat hij is wie hij zegt te zijn: Anton. Dit heeft hier echter vrij weinig zin aangezien Bella Anton helemaal niet kent. Daarnaast is het wellicht niet eenvoudig voor Bella om de authenticiteit van de public key van Anton vast te stellen.
46
Voorbeeld 2: Anton en Bella hebben elkaar voor het eerst ontmoet op een congres over media en de politiek. Het blijkt dat ze ongeveer hetzelfde onderzoeksveld hebben en ze wisselen visitekaartjes uit. Enkele dagen later denkt Bella na over een nieuw onderzoek waar ze mee bezig wil, maar ze wil het nog even geheim houden: het budget is beperkt en er zijn meerdere kapers op de kust. Ze besluit dat ze liever met Anton wil samenwerken omdat die vanuit haar perspectief onafhankelijk is. Ze stuurt een e-mail naar Anton met haar public key en dat ze binnenkort zal bellen. Het is voor Anton niet mogelijk om alleen op basis van de public key die hij ontvangt vast te stellen of deze van Bella afkomstig is. Anton werkt namelijk nog maar zeer kort met PGP en heeft daarom nog een vrij kleine key-ring, zodat hij deze niet kan gebruiken om te bepalen of de opgestuurde public key te vertrouwen is. Enkele dagen later belt Bella en vraagt Anton om de door haar gestuurde sleutel te openen en mee te lezen bij de fingerprint, die Bella gaat oplezen. Als zij dezelfde fingerprint opleest als Anton voor zich heeft, dan is de authenticiteit van de sleutel vastgesteld. In ieder geval in de mate waarin Anton in staat is om Bella’s stem te herkennen. Hij op zijn beurt kan nu ook zijn eigen public key sturen en deze op dezelfde wijze verifiëren.
Voorbeeld twee toont een situatie waarin Anton en Bella dichter bij elkaar staan. Ze zijn allebei Certificate Authority in die zin dat ze zelf kunnen bepalen of de uitgewisselde public keys geldig zijn. De mate van vertrouwen hier is zo groot als het vertrouwen dat twee mensen kunnen hebben in het feit dat ze een persoon die ze ontmoet hebben opnieuw kunnen herkennen. Voorbeeld 3: Bella heeft nog een vriendin op het werk, Cindy die ze heel erg goed vertrouwd. Cindy heeft weliswaar geen interesse in het onderzoek van Bella en Anton maar wel in Anton (op een meer persoonlijk vlak). Om roddel te voorkomen mag uiteraard niemand dit weten en dient communicatie die tussen haar en Anton plaats vindt ook niet door de systeembeheerder gelezen te worden. Ze krijgt de public key van Anton van Bella en besluit hem een gecodeerd e-mail te schrijven om eens een keer iets af te spreken. Om te laten merken dat het menens is en geen geintje van John (de locale grappenmaker) ondertekent ze het bericht met haar eigen private key. Haar public key stuurt ze ook mee. Anton ontvangt dit bericht en wil natuurlijk weten of dit wel echt is. Hoewel het natuurlijk altijd mogelijk is dat het een grap betreft, wordt de kans kleiner naarmate de afzender meer onomstotelijk vaststaat1. Tenslotte neemt de pakkans toe wanneer bekend is wie de grap uithaalde. Aangezien Anton Cindy’s telefoonnummer niet heeft kan hij haar niet zomaar bellen om zo de fingerprint te verifieren. Daarnaast is dat in de geschetste situatie wellicht een beetje genant. Gelukkig kan Anton de authenticiteit van Cindy’s public key bepalen door te controleren of Bella deze gecertificeerd heeft. Aangezien Cindy claimt een vriendin van Bella te zijn is het waarschijnlijk om aan te nemen dat Bella de public key van Cindy bezit en in staat is om de authenticiteit daarvan te bepalen.
Voorbeeld drie toont een situatie waarin het vertrouwen in een sleutel afhankelijk was van het vertrouwen wat een reeds bekende gebruiker er in had. Dit wordt in PGP impliciet vertrouwen genoemd en is de transitieve eigenschap van het vertrouwensmodel van PGP.
47
Voorbeeld 4: Een vriend van Anton, Dirk, is bezig met een voetbalpoule voor het komende WK. Hij wil zoveel mogelijk deelnemers mee laten doen en besluit ook de organisatie waar Alice werkt in te schakelen. Dirk versleutelt en ondertekent zijn bericht niet omdat het toch niet echt belangrijk is: ontcijferen kost alleen maar tijd en kan daardoor potentiële deelnemers afschrikken. Deelnemers dienen wel hun inschrijving te ondertekenen zodat het meteen duidelijk is dat iemand geen twee keer meedoet. Helaas is dat in het verleden wel eens voorgekomen.
Voorbeeld vier gaat niet in op hoe vertrouwen in sleutels gedeeld kan worden, maar op een situatie waar er voor verschillende partijen een ongelijke mate van vertrouwen in sleutels nodig is. Voorbeelden één en twee zijn er niet alleen om te illustreren hoe vertrouwen in sleutels bepaald kan worden in PGP, maar ook de verschillende tussen verschillende vormen van communicatie. In voorbeeld één is authenticiteit niet zo heel belangrijk omdat Bella en Anton alleen nog maar e-mailadressen zijn. Het beeld van elkaars identiteit dat ze hebben bestaat louter uit elkaars e-mailadres. Het is mogelijk te stellen dat Anton nog een zekere mate van zekerheid zou willen hebben dat zijn vraag bij de juiste persoon terecht komt omdat het initiatief tot communicatie van zijn kant komt. Met andere woorden, hij zou wellicht graag willen weten of de public key op de site bij de auteur van de site hoort. Het tweede voorbeeld toont een situatie waar communicatie tussen twee gelijkwaardige partijen nodig is. Hiervoor is het nodig dat vertrouwen in beide sleutels bestaat. Voorbeeld vier toonde een situatie waarbij het van belang is dat een respondent zich uniek kon identificeren. Het ontstaan van een netwerk Het PGP netwerk bestaat uit gebruikers. Maar het is ook mogelijk om te stellen dat het PGP netwerk bestaat uit public key rings. Dit is wellicht zelfs een betere omschrijving, omdat gebruikers elk meerdere key rings kunnen gebruiken. In ieder geval lijken deze ringen op Figuur 24 PGP ringen vormen een netwerk kleine netwerkjes. Wanneer deze ringen echter overlap vertonen is het mogelijk te spreken van een nieuw en groter netwerk, vanwege de derde eigenschap uit het vertrouwensmodel van PGP zoals die in tabel 4 beschreven is (zie figuur 24). Dit lijkt een beetje op de structuur van het Internet waar eigenlijk verschillende netwerken aan elkaar gekoppeld zijn met een grote gedeelde adresruimte waardoor computers individueel te benaderen zijn als ware ze deel van hetzelfde netwerk. Een opvallende eigenschap van PGP is dat om ringen te koppelen geen nieuwe infrastructuur nodig is. Hierdoor is de schaalbaarheid van het netwerk erg groot.
5.3 Voorbeelden van Trust in peer-to-peer netwerken In deze paragraaf worden voorbeelden van peer-to-peer netwerken behandeld. De behandeling van voorbeelden van peer-to-peer netwerken is interessant omdat eigenschappen als een open architectuur, netwerk externaliteiten en trust29 ook hier een rol spelen, net als bij PKI’s. Een PKI is eigenlijk een peer-to-peer netwerk (zie paragraaf 5.3.4). Dit betekent dat een analyse van peer-to-peer netwerken inzicht kan geven in PKI’s. 29
Het lijkt wellicht vreemd om peer-to-peer deze eigenschap toe te kennen aangezien we nog niet eens precies weten wat trust is op dit moment. Wanneer er echter in de literatuur gekeken wordt, wordt het begrip trust veel gebruikt bij besprekingen van peer-to-peer netwerken. 48
Bij de behandeling van de voorbeelden wordt dan ook expliciet toegewerkt naar het bepalen welke vertrouwensaspecten relevant zijn. De behandeling van de voorbeelden heeft dan ook steeds dezelfde opbouw: eerst de uitleg van wat het netwerk is en wat het doet, daarna welke relaties in het netwerk een rol spelen en tenslotte de vertrouwensaspecten in het netwerk. Dit is ruwweg dezelfde opbouw die in het volgende hoofdstuk gebruikt wordt om centraal- en decentraal ingerichte PKI’s te vergelijken. Alvorens het eerste voorbeeld van peer-to-peer netwerken te behandelen in paragraaf 5.3.2 wordt eerst behandeld wat peer-to-peer netwerken eigenlijk zijn. Hierna wordt in paragraaf 5.3.3 een tweede voorbeeld van peer-to-peer technologie gegeven: space drives. Tenslotte wordt in paragraaf 5.3.4 uiteengezet waarom PKI’s ook peer-to-peer netwerken zijn. 5.3.1 Peer-to-peer en autonomie van peers Peer-to-peer technologie heeft door het wijdverbreide gebruik van Napster, Kazaa en andere programma’s waarmee bestanden (met name media waarop een auteursrecht berust) gedeeld kunnen worden een slechte naam gekregen. Peer-to-peer technologie is echter niet zozeer een netwerkstructuur als meer een filosofie over de manier waarop entiteiten met elkaar omgaan in het netwerk30. In een peer-to-peer netwerk staat niet een server centraal, maar staat de individuele gebruiker centraal. Omdat er erg veel verschillende peer-to-peer netwerken bestaan, die elk verschillende doelen, eigenschappen, standaarden en gebruikers hebben is het niet eenvoudig een strikte definitie voor peer-to-peer technologie te geven. Literatuur op het Internet heeft de neiging om definities vooral in de implementatie te zien: “In a peer-to-peer architecture, computers (…) can act as both clients and servers…” uit: What is peer-to-peer? [peer-to-peerwg I] “In peer-to-peer, each workstation can communicate directly with every other workstation on the network without going through a specialized server.” uit: [Alter 1999, pag. 275]
Deze laatste definitie beschrijft peer-to-peer netwerken op de computer weliswaar vrij aardig, maar is eigenlijk niet zoveel zeggend. Wanneer peer-to-peer technologie daarnaast ruimer gezien wordt als iets wat ook buiten de computerwereld kan optreden, dan wordt deze definitie problematisch. Peer-to-peer netwerken worden hier gedefinieerd als netwerken waarbij de relatie tussen de verschillende entiteiten beschreven kan worden als een equivalentierelatie. Wat een equivalentierelatie precies is, is in bijlage 5.A beschreven. Als peer-to-peer netwerken equivalentierelaties bevatten wil dit zeggen dat deze relaties reflexief, symmetrisch en transitief zijn. Een tweede implicatie is dat de verzameling entiteiten in het netwerk te beschrijven zijn in klassen. Het is met name deze laatste eigenschap die aantrekkelijk is omdat wanneer er naar PKI gekeken wordt, deze gebruikt zou kunnen worden om gebruikers in klassen op te delen, wat in paragraaf 5.3.4 gebeurt).
30
Peer-to-peer heeft niet altijd met een computernetwerk te maken. Bijvoorbeeld het OpenSource programma is ook een vorm van een peer-to-peer netwerk. 49
De uitspraak dat peer-to-peer netwerken te beschrijven zijn als een equivalentierelatie dient natuurlijk wel onderbouwd te zijn. Die onderbouwing wordt hier eerst gegeven in het volgende kader: Peer-to-peer netwerken zijn een vorm van een equivalentierelatie Voor deze onderbouwing wordt hier eerst het begrip subnetwerk gedefinieerd: Een subnetwerk is een deelverzameling van een peer-to-peer netwerk. Het zijn peers die op het zelfde niveau met elkaar omgaan.
De implicaties van deze laatste zin worden na deze onderbouwing gebruikt. Een equivalentierelatie is het behoren tot hetzelfde subnetwerk. Merk op dat een subnetwerk ook het gehele netwerk kan omvatten. Wanneer de equivalentierelatie nu ingevuld wordt, levert dit het volgende resultaat op: - reflextief: als een individuele gebruiker behoort tot een subnetwerk, gedt de relatie dat deze in hetzelfde subnetwerk zit als zichzelf; - symmetrisch: als Eva in hetzelfde subnetwerk als Frans zit, impliceert dit dat Frans in hetzelfde subnetwerk zit als Eva; transitief: als Eva en Frans in hetzelfde subnetwerk zitten, en Frans en Helma in hetzelfde subnetwerk zitten, zitten Eva en Frans in hetzelfde subnetwerk. Als er sprake is van een equivalentierelatie ‘behoren tot hetzelfde subnetwerk’, dan impliceert dit dat er verschillende subnetwerken kunnen zijn, gezien de eigenschap van een equivalentierelatie dat deze een verzameling op kan delen in klassen. Het is een gebruikelijk misverstand dat in peer-to-peer netwerken geen verschillen tussen peers bestaan. Dat iedereen “gelijk” en “gelijkwaardig” is. Dat is niet zo. Er zijn vaak verschillende niveaus te onderscheiden. Op elke niveau echter, geldt tussen de peers de drie eigenschappen van een equivalentierelatie. Peers die op een zelfde niveau met elkaar omgaan behoren tot dezelfde klasse. Laten we dit even met een voorbeeld verduidelijken. Er is in het verleden wel ooit gezegd dat Napster geen peer-to-peer applicatie is, omdat er een server gebruikt wordt (voor het lokaliseren van bestanden). Dit is echter een denkfout. Op het niveau van de eindgebruikers gaat de peer-to-peer definitie op: gebruikers gaan relaties met elkaar aan. Napster netwerken bestaan uit twee klassen: eindgebruikers en de server. De server is echter erg eenzaam in de klasse, maar kan in principe wel op een peer-to-peer manier communiceren in dit netwerk. Er is nu nog één begrip niet behandeld: autonomie van peers. Dit begrip geeft aan in welke mate gebruikers invloed uitoefenen op het netwerk. Op zijn minst hebben alle peers de keuze of ze mee willen doen of niet. Tabel 5 geeft een overzicht van enkele variabelen die de autonomie van peers kunnen beïnvloeden. De voorbeelden gaan uit van file-sharing netwerken aangezien deze de bekendste peer-to-peer netwerken zijn. Omdat deze autonomie niet heel erg belangrijk is in dit onderzoek, wordt hier niet te lang bij stilgestaan. Het concept autonomie is vooral van belang om het verschil tussen de twee voorbeelden aan te geven en om te laten zien dat het begrip peer-to-peer zeer veel verschillende implementaties bevat. Een opmerking die wel gemaakt kan worden is dat er een zekere mate van afhankelijkheid bestaat tussen de betrouwbaarheid van een peer-to-peer netwerk en de autonomie van de peers. De variabelen die autonomie bepalen, bepalen namelijk in grote mate ook de betrouwbaarheid van het netwerk. Hierbij dient opgemerkt te worden dat variabelen die de autonomie verhogen, over het algemeen de betrouwbaarheid van het netwerk af laten nemen.
50
Variabele Bandbreedte (0 – 100%) Welk deel van de beschikbare bandbreedte wordt gebruikt voor het netwerk? Participatie (actief – passief) Dient een gebruiker waarde toe te voegen aan het netwerk of kan deze ook zogenaamd free-loader gedrag vertonen. Organisatie (centraal – decentraal) Naarmate de organisatie meer decentraal is, neemt de autonomie van peers toe. Redundantie van dienst (geen – veel) Als de peer-to-peer dienst van meerdere peers betrokken kan worden, neemt de noodzakelijkheid van individuele peers af.
Voorbeeld In Gnutella kan een gebruiker instellen welk gedeelte van de netwerkverbinding gebruikt mag worden voor het Gnutella netwerk. In Napster is het mogelijk om alleen maar gebruik van het netwerk te maken (passief) zonder zelf inhoud aan te bieden (actief) In Napster heeft de server de mogelijkheid om bepaalde media te blokkeren. Hierdoor neemt de mogelijkheid voor peers om deze te delen af. Gnutella netwerken bevatten veel van dezelfde bestanden. Hierdoor is er de keus met welke peers gecommuniceerd wordt.
Tabel 5 Enkele variabelen die autonomie bepalen
Met name een variabele als organisatie die centraal maar ook decentraal kan zijn is in het licht van dit onderzoek belangrijk. In hoofdstuk zes wordt deze trade-off gebruikt. 5.3.2 Voorbeeld van een peer-to-peer netwerk met lage autonomie van peers: seti@home De snelste supercomputer (Janus) ter wereld (in 1998) haalt een snelheid van ongeveer 3 teraflops. Deze computer bestaat uit 9,216 Pentium Pro processoren. [Hayes 1998, pag. 118] Dat is snel. Echter, het Internet bestaat uit ongeveer 20 miljoen van dit soort processoren. Dat is een enorme potentiële rekenkracht. Naast deze potentiële rekenkracht gaat er ook een heleboel rekenkracht ‘verloren’: een werknemer die gaat pauzeren en de computer laat aan staan, zet op dat moment de capaciteit van die computer niet volledig in31. Wellicht dat die verloren computerkracht toch gebruikt kan worden. Zo dachten ook eerst Shoch en Hupp toen ze op het idee kwamen om computers op het eigen netwerk ’s nachts rekenintensieve taken uit te laten voeren. In 1988 waren Lenstra en Manase de eerste die het Internet te gebruiken voor gedistribueerde berekeningen: het factoriseren van grote getallen. [Hayes 1998, pag. 119] Er zijn intussen vele vergelijkbare projecten, maar hier wordt SETI@home als voorbeeld gebruikt. [seti I] Het project heeft ruim 4 miljoen gebruikers en genereert ruim 1300 MIPS-jaren per dag. [seti II] Dit maakt het tot het grootste succes op het gebied van gedistribueerd rekenen tot nu toe. SETI@home De vraag of er (intelligent) leven is buiten dat op aarde houdt mensen al eeuwen bezig. Het SETI (Search for Extra Terrestrial Intelligence) project doet hier onderzoek naar, door het luchtruim met een grote schotelantenne af te zoeken naar radiogolven die door dit soort wezens uitgezonden zouden kunnen zijn. Voor een uitgebreidere behandeling van hoe SETI@home werkt en hoe (en welke) gegevens verwerkt worden, zie [seti III] en [computer I]. Van oudsher werden de gegevens die van de schotel afkomstig waren door een grote computer in real-time geanalyseerd. De analyse kon echter niet heel erg diep gedaan worden, zodat zwakkere signalen onopgemerkt bleven. Helaas is het luchtruim boven de aarde erg “vervuild” door onze eigen uitzendingen. Daarnaast zijn er ook nog allerhande kosmische stralingen die mogelijke “berichten” kunnen maskeren.
31
Op het moment dat ik dit aan typen ben gebruik ik ongeveer 10% van de capaciteit van de computer. Dit terwijl er ook nog e-mail programma actief is evenals een Instant Messenger programma en een Internet browser. 51
Het is mogelijk om deze ruis voor het grootste deel weg te filteren. Het gaat echter wel om grandioos veel data en de berekeningen die erop losgelaten moeten worden om de ruis te verwijderen kosten erg veel rekenkracht. Het SETI@home project verdeelt de data die door de schotelantenne opgevangen is in kleinere pakketjes die door computers van individuele gebruikers geanalyseerd kunnen worden. Het hele project levert zo’n 150 miljoen pakketjes op waarbij het verwerken van één pakketje ongeveer 15 à 17 uur duurt32. Het programma dat hiervoor ontwikkeld is, is een soort screen-saver33: het wordt actief wanneer de computer enige tijd niet gebruikt wordt en gaat aan het rekenen. Op het beeldscherm verschijnt informatie over de voortgang en de “vondsten”. Omdat het programma toegankelijk is, er interessant uitziet en de zoektocht naar buitenaards leven tot de verbeelding spreekt, is SETI@home uitgegroeid tot een rage. Op technisch vlak lijkt SETI@home weinig weg te hebben van een peer-to-peer netwerk: het betreft louter communicatie tussen een server en de clients. En deze clients kunnen ook niet onderling communiceren. Sterker nog, op technisch vlak hebben ze zelfs helemaal niets met elkaar te maken. De autonomie van de peers is laag omdat ze alleen kunnen kiezen om mee te doen of niet, in tegenstelling tot andere gedistribueerde netwerken kunnen peers zelf geen berekeningen opsturen om door anderen te laten uitrekenen. Waarom is SETI@home dan toch peer-to-peer? Dit ligt aan de diepere relatie die de verschillende clients (we zullen ze nu peers noemen) met elkaar hebben. Het gaat namelijk niet om de gegevens die tussen server en peer uitgewisseld worden maar om de “dienst”. Het zoeken naar buitenaards leven spreekt mensen tot de verbeelding en de eventuele ontdekking ervan staat algemeen bekend als iets waar de hele mensheid wat aan heeft. Hierdoor ontstaat er een soort community van gebruikers die zich samen inzetten voor een betere wereld. Dit zou al een relatie tussen peers genoemd kunnen worden. De “dienst” is echter niet alleen altruïstisch van aard. Er speelt ook een zekere competitie mee. De kans dat een gebruiker een signaal vindt wat als kandidaat voor een buitenaards signaal dient, is buitengewoon klein. De gelukkige die tegen zo’n signaal aanloopt kan rekenen op een zeker fame and fortune. SETI@home is wat dat betreft een soort loterij. Het is echter wel zo dat een gebruiker die meer middelen besteedt aan SETI@home een grotere kans heeft iets te vinden: een snellere computer en/of het inzetten van meer van de capaciteit van de computer leidt ertoe dat het verwerken van pakketjes minder lang duurt. Hierdoor kunnen meer pakketjes verwerkt worden en neemt de kans op een vondst toe. Peers zijn dus in een soort competitie met elkaar verweven tot het vinden van kandidaat signalen, dit is de tweede relatie tussen de peers. De laatste relatie is het gevolg van het feit dat veel van de peers in SETI@home nogal van computers houden. En deze personen zijn over het algemeen nogal fier op hun architectuur (Intel, PowerPC, RISC, Alpha etc.) en hun besturingssystemen (Windows, MacOS, Linux, Solaris etc.). De competitie gaat hier niet zozeer om het vinden van signalen (want dat is toch vooral een lot uit de loterij) maar om het verwerken van zoveel mogelijk pakketjes. De tijd die het kost op een bepaalde computer om een pakketje te verwerken is een indicator van de snelheid van de computer zelf. Deze onderlinge “computerstrijd” is de derde relatie tussen de peers.
32
Dit is CPU tijd, het kan zijn dat de computer langer aan moet staan om het pakket te verwerken omdat ook andere taken op de computer uitgevoerd moeten worden. Vergelijk het met een schaakpartij: CPU tijd is de tijd die loopt wanneer een speler aan de beurt is en de totale tijd is de tijd die de pot duurt. 33 Overigens is er ook een programma dat geen beeld toont, maar altijd op de achtergrond aanwezig is. 52
Interessant op te merken is dat de website van het SETI@home project op al deze relaties inspeelt: ten behoeve van de eerste relatie wordt de algemene voortgang getoond en aangegeven wat mogelijke kandidaten zijn. [seti IV] Wat betreft de tweede relatie is er een pagina die een tabel aangeeft met de belangrijkste kandidaten (en wie deze gevonden hebben!). [seti V] Tenslotte is er voor de derde relatie een pagina die per architectuur aangeeft hoeveel pakketen ermee verwerkt zijn. [seti VI] Overigens zijn er ook statistieken per land, per domein en per locatie mogelijk. Hieruit volgen ook relaties, maar deze zijn analoog aan die van relatie drie aangezien het gaat om relaties die buiten het doel van SETI@home (het vinden van buitenaards intelligent leven) liggen. Relatie Altruïstische relatie binnen het doel
Competitieve relatie binnen het doel
Competitieve relatie buiten het doel
Reflexief
Symmetrisch
Transitief
Een individuele gebruiker kan al een community genoemd worden die wil helpen zoeken naar leven buiten de aarde Een gebruiker kan betere signalen vinden dan zichzelf
Wanneer twee gebruikers samen zoeken naar buitenaards leven, behoren ze beide tot de community. Een gebruiker die betere signalen vind dan een ander zal door de ander als betere bestempeld worden.
Een gebruiker kan de prestaties van de eigen computer vergroten
Een gebruiker die betere computer prestaties heeft dan een andere gebruiker zal door de ander als beter bestempeld worden.
Wanneer gebruikers A, B naar buitenaards leven zoeken en B en C ook, dan behoren ze allemaal tot de community. Wanneer A een beter signaal vindt dan B en B een beter signaal dan C heeft A een beter signaal dan C gevonden Wanneer A betere computer prestaties heeft dan B en B betere dan C, dan heeft A betere prestaties dan C.
Tabel 6 Voorbeelden van relaties die reflexief, symmetrisch en transitief zijn
Samengevat kan dus gesteld worden dat er drie soorten relaties zijn tussen de peers in SETI@home: een altruïstische relatie binnen het doel, een competitieve relatie binnen het doel en een competitieve relatie buiten het doel. Voor elk van deze relaties geldt dat ze reflexief, symmetrisch en transitief zijn, zoals uit tabel 6 blijkt. Vertrouwen bij SETI@home Interessant is dat ook bij een toepassing als SETI@home vertrouwen belangrijk is voor het netwerk. In de vorige paragraaf zijn de verschillende relaties besproken die peers met elkaar hebben. Het is voor de hand liggend om deze relaties als uitgangspunt te nemen bij de analyse van de vertrouwensaspecten die een rol spelen. De eerste relatie tussen gebruikers gaat om de eigenschap voor SETI@home dat peers het idee hebben de mensheid ermee te helpen. Hierbij is echter wel vertrouwen nodig dat dit ook het geval is: er moet een redelijk vertrouwen zijn dat als er iets is, het gevonden kan worden. Daarnaast dienen individuele peers het idee te hebben dat hun input ertoe doet, met andere woorden dat ze niet gemarginaliseerd worden. SETI@home faciliteert beide vertrouwensnoodzaken. Ten aanzien van de eerste is er uitgebreide uitleg op de website die het plausibel maakt dat als er een buitenaardssignaal is, dat dit op deze manier gevonden kan worden. [seti III] Voor de tweede is er de eigenschap dat pakketjes in principe maar naar één peer gestuurd worden zodat deze exclusief de kans krijgt om het pakketje te verwerken. [seti III] Alleen als er na een bepaalde tijd nog geen antwoord is, wordt het pakketje naar een andere gebruiker gestuurd. Door deze manier van werken is elk pakketje dat verwerkt wordt er één.
53
Ten aanzien van de tweede relatie dient er het vertrouwen te zijn dat de kansen om iets te vinden voor iedereen gelijk zijn, zoals in een loterij. De server dient dus pakketjes met even grote vindkansen te verdelen over het netwerk. Daarnaast dient een peer een grotere kans te krijgen om iets te vinden naarmate deze meer investeert in SETI@home (door meer pakketjes te verwerken). Hierbij is het belangrijk dat het gaat om eerlijkheid. Er dient vertrouwen te zijn in de peers dat zij geen resultaten vervalsen om meer eer toebedeeld te krijgen dan ze verdienen. Ten aanzien van de laatste relatie is er een voorbeeld van mogelijk valsspelgedrag. Enige tijd geleden was er een Nederlander die enorm veel pakketjes verwerkte. Gezien zijn configuratie was die echter onwaarschijnlijk veel. Deze persoon werd ervan verdacht een w o r m geschreven te hebben die andere computers, zonder het te vragen, op zijn naam pakketjes liet verwerken. Hiervoor is echter nooit bewijs gevonden. Wanneer er vals gespeeld wordt, neemt de motivatie om deel te nemen aan de competitie af. Wat heeft het voor zin als je de eerste van de eerlijken bent als er nog altijd mensen boven je op het podium staan die deze plaats eigenlijk niet verdienen? Ga je dan ook valsspelen? Uiteindelijk kan die leiden tot disintegratie van het netwerk34. Geconcludeerd kan worden dat er zowel vertrouwen dient te zijn in de individuele peers en in het netwerk an sich. Hierbij is het zo dat vertrouwen in het netwerk alleen kan bestaan als er ook vertrouwen in de individuele peers bestaat. 5.3.3 Voorbeeld van een peer-to-peer netwerk met hoge autonomie van peers: Space Drives File sharing is altijd een populaire toepassing geweest van peer-to-peer technologie. Het gaat daarbij echter met name op het (illegaal) uitwisselen van bestanden waarop auteursrecht berust. Het is echter ook mogelijk deze technologie deels in te zetten voor gebruikers in organisaties als vervanger voor gedeelde schijven. Sinds de PC revolutie is zowel uitvoering van programma’s als opslag van gegevens lokaal geworden. Echter, in veel gevallen moeten verschillende personen samenwerken aan dezelfde gegevens. Hierdoor dienen veel kopieeracties uitgevoerd te worden wat zeker in een omgeving zonder netwerk lastig is. Ook als er een snelle manier is om bestanden te kopiëren van de ene computer naar de andere is en nog het risico dat verschillende versies van hetzelfde document op de verschillende computers bestaan. In principe dient bij elke update aan een document die verdeeld te worden over alle gebruikers die het al in bezit hebben. Hier volgt een korte beschrijving van Space Drives. Voor een uitgebreidere verhandeling zie [Flanner 2002]. Een oplossing voor het delen van bestanden kwam met het ontstaan van gedeelde schijven (shared drives). Deze S: schijf is centraal aanwezig op een server en alle gebruikers krijgen een eigen directory op deze schijf om hun documenten hierop te plaatsen. Op deze manier hoeven bestanden niet steeds door alle gebruikers gekopieerd te worden wanneer deze ze nodig hebben. Deze oplossing heeft echter een aantal nadelen. In de eerste plaats is er uiteraard het risico dat het centrale systeem uit kan vallen. Op dat moment kunnen geen van de gebruikers bij hun bestanden of die van anderen en is het mogelijk dat het werk stil ligt. Een oplossing hiervoor is om alle gebruikers een kopie van hun directory op de gedeelde schijf op hun lokale harde schijf op te laten staan. Als dit geautomatiseerd kan worden is dat op zich een prima oplossing. Wanneer ook bestanden van anderen een lokale kopie nodig hebben wordt het 34
Implicaties van vals spelen door gebruikers komen veelvuldig voor in multiplayer spellen die via het Internet gespeeld worden. 54
lastig. Het is niet interessant om bij elke update van een bestand dit over het hele netwerk te verdelen (waarvoor dient dan de gedeelde schijf?). Een meer organisatorisch probleem is dat het voor gebruikers duidelijk moet zijn welke bestanden ze dienen te gebruiken en welke niet. Hierbij is versie beheer heel erg belangrijk. Dit is echter vrij lastig te organiseren, aangezien shared drives er zelf geen beheer voor hebben. Dit kan dus alleen op organisatorisch niveau afgesproken worden en dat blijkt lastig te zijn. Een oplossing voor al deze problemen is gezocht en gevonden in een peer-to-peer toepassing: space drives. Space drives bieden een complete infrastructuur, van versiebeheer tot opslag, die transparant voor gebruikers is. Space drives laten alle gegevens op de lokale computers staan maar houden een centrale database bij van wat waar staat. Gebruikers kunnen zelf bestanden toevoegen aan hun space drive die daarna voor andere gebruikers toegankelijk zijn. Space drives kunnen een uniform versiebeheer afdwingen. Tenslotte, mocht de centrale server uitvallen, dan kunnen gebruikers nog steeds van de informatie die bekend is over de space drive gebruik maken om elkaars bestanden te delen. Space drives bieden veel autonomie aan de peers omdat deze zelf kunnen bepalen welke bestanden ze delen (toevoegen aan hun shared space) en welke gebruikers ze toestemming geven bepaalde bestanden te gebruiken. Doordat de peers kunnen bepalen welke bestanden ze delen, kunnen ze ook bepalen of ze veel of weinig participeren: een peer die geen bestanden deelt doet effectief niet mee als deze ook geen gebruik maakt van de bestanden van andere peers. Wanneer een peer alleen gebruik maakt van de shared space van anderen, zonder zelf iets toe te voegen, spreken we van freeloader gedrag. Om de vertrouwensrelatie tussen de peers te bepalen wordt ook hier weer eerst geïdentificeerd wat de relaties zijn tussen de verschillende peers. In deze situatie is de belangrijkste relatie tussen gebruikers dat ze van elkaars bestanden gebruik kunnen maken. De tweede relatie is die tussen gebruikers die bepaalt welke bestanden ze niet van elkaar kunnen gebruiken. De eerste relatie betekent dat er vertrouwen dient te zijn dat iedereen mee doet in de space drive. Dit leidt tot vertrouwen in het netwerk dat peers de bestanden die ze nodig hebben kunnen vinden. Dit kan alleen als er voldoende gebruikers meedoen. Freeloader gedrag drukt dit vertrouwen, echter bij een klein aantal freeloaders kan het zijn dat het vertrouwen in het netwerk voldoende groot blijft. De tweede relatie betekent dat er vertrouwen dient te zijn dat peers alleen toegang hebben tot die bestanden waartoe ze recht hebben om deze te kunnen gebruiken. Dit geldt voor het lezen van bestanden, maar ook voor schrijven, veranderen en verwijderen. Noodzakelijk hiervoor is dat er vertrouwen is dat het netwerk voldoende autorisatiefuncties bevat om te zorgen dat gegevens niet in verkeerde handen vallen. Beide vormen van vertrouwen kunnen technisch in het netwerk opgenomen worden. Vertrouwen wordt op die manier “afgedwongen”. Voor autorisatie geldt dat dit zeker in het systeem opgenomen dient te worden, met name om te zorgen dat bestanden niet per ongeluk veranderd of verdwenen raken. Voor het afdwingen van participatie geldt dat het in veel gevallen beter is om dit niet strikt af te dwingen, omdat dit altijd tot weerstand bij gebruikers lijdt. Het is beter een situatie te hebben waarin freeloaders uiteindelijk actief gaan participeren (omdat ze bijvoorbeeld de voordelen van het systeem ontdekken) dan waarin freeloaders niet mee mogen doen en deze gebruikers verloren gaan voor het systeem. [Alter 1999, pag. 26 & 239-240]
55
5.3.4 Relatie tussen PKI en peer-to-peer Er zijn nu vier voorbeelden gegeven waarin vertrouwen op de één of andere manier belangrijk was. In de inleiding van dit hoofdstuk werd al gesteld dat er een relatie is tussen PKI en peerto-peer netwerken. In deze paragraaf wordt deze relatie expliciet gemaakt. Als er naar een PKI netwerk gekeken wordt, blijkt de equivalentierelatie nog steeds op te gaan. Als relatie zou “beveiligde communicatie mogelijk” gebruikt kunnen worden. -
Reflexief: Reflexiviteit is mogelijk wanneer “beveiligde communicatie mogelijk” voor een gebruiker mogelijk is met zichzelf. Hoewel het nut hiervan misschien klein is, is het wel mogelijk. Een gebruiker kent namelijk altijd de eigen public key en kan dus berichten naar zichzelf sturen die deze zelf ook kan ontcijferen omdat de gebruiker ook altijd de eigen private key kent. - Symmetrisch: Symmetrie treedt op wanneer als “beveiligde communicatie mogelijk” is tussen gebruiker A en B er ook “beveiligde communicatie mogelijk” is tussen gebruiker B en A. In een PKI kent gebruiker de public key van gebruiker A in principe wanneer gebruiker A de public key van gebruiker B kent. Hier zijn wel wat uitzonderingen op, maar daarop wordt hieronder terug gekomen. - Transitief: Transitiviteit, ofwel dat “beveiligde communicatie mogelijk” tussen gebruiker A en B en “beveiligde communicatie mogelijk” tussen gebruiker B en C betekent dat ook “beveiligde communicatie mogelijk” is tussen gebruiker A en C. In beide voorbeelden van PKI’s is opgemerkt dat deze eigenschap bestaat. Hiermee is de equivalentierelatie binnen PKI aangetoond. Enkele extra eigenschappen van een peer-to-peer netwerk Is het hiermee dan ook meteen een peer-to-peer netwerk? Is alles wat een equivalentierelatie ook een peer-to-peer netwerk? Peer-to-peer netwerken hebben nog een aantal eigenschappen meer. Zo is er sprake van een zekere autonomie van peers, van netwerk externaliteiten en een zekere mate van vrije in- en uittreding. Autonomie van peers bestaat in een PKI netwerk expliciet in die zin dat een gebruiker nooit de eigen private key hoeft te verdelen. Hierdoor houdt deze de mogelijkheid om beveiligd te communiceren voor een groot deel in eigen hand. Netwerk externaliteiten treden op wanneer de mogelijkheden tot het leggen van relaties in een netwerk niet lineair toenemen bij lineair verlopende intreding van nieuwe gebruikers, maar dat de mogelijkheden tot het leggen van relaties exponentieel verlopen. [smsu.edu I; Commandeur 1999, pag. 25] In een peer-to-peer netwerk kan een nieuwe intreder in principe relaties met ieder ander in het netwerk opbouwen35. In een netwerk van één gebruiker is slechts één relatie mogelijk, in een netwerk van twee gebruikers vier, in een netwerk van drie gebruikers 9, in een netwerk van vier gebruiker 16, enz. Het aantal mogelijke relaties (r) is dus gelijk aan n2.
35
Dit is één van de aantrekkelijke eigenschappen van peer-to-peer netwerken. 56
Figuur 25 Netwerk externaliteiten (n is het aantal peers, r is het aantal mogelijke relaties)
Bij PKI netwerken treden ook netwerkexternaliteiten op. Zowel in centraal- als decentraal ingerichte PKI’s nemen de communicatiemogelijkheden bij de toetreding van een nieuwe gebruiker toe met tweemaal het aantal bestaande gebruikers (omdat relaties in twee richtingen gelegd kunnen worden) plus één (vanwege de reflexieve relatie). De laatste eigenschap van peer-to-peer: vrije in- en uittreding gelden ook voor PKI’s. In principe kan iedereen een certificaat aanvragen of meedoen in een web of trust zoals PGP dat gebruikt. In gesloten PKI’s (zoals interne bedrijfsnetwerken) is deze vrije in- en uittreding vaak beperkt: vanuit de organisatie kan verplicht worden dat iedereen de PKI structuur gebruikt en dat er niemand van buiten toe kan treden. Vaak zal het PKI tot aan de grenzen van de organisatie lopen. Het is echter wel mogelijk dat deze grenzen kunnen veranderen (bijvoorbeeld door fusies, splitsingen, samenwerking, etc.). Wanneer dit gebeurt kunnen nieuwe leden van de organisatie meedoen of ex-leden van de organisatie uittreden. Klassen en verkeersstromen Er is één punt wat volgt uit de equivalentierelatie dat nog niet behandeld is: het bestaan van klassen. Binnen een equivalentierelatie zijn er altijd onderdelen uit het domein van de relatie die geen relatie met elkaar kunnen opbouwen. Deze zitten in verschillende klassen. Voor peer-to-peer netwerken is al aangegeven dat dit ook geldt, dat peers op hetzelfde niveau in dezelfde klasse zitten. Een andere manier om dit te bekijken is vanuit een verkeersstromen model. Het verkeersstromen model van Bordewijk en van Kaam wordt hier gebruikt omdat zij een analyse maken van de relatieve macht van entiteiten die met elkaar communiceren. In een analyse die over PKI’s en trust gaat zal het niet verwonderlijk zijn dat macht een relevant punt is om bij de analyse te betrekken. Bordewijk en van Kaam, concluderen dat het bij het bepalen van de relatieve macht met name gaat om de communicatiestromen tussen entiteiten. [Bordewijk & van Kaam 1982, pag. 20]
57
In hun communicatiemodel maken zij onderscheid tussen centrum en individu. Afhankelijk van wie de communicatie initieert en wie de informatie bezit, is er sprake van een bepaalde vorm van communicatie (zie tabel 7).
Informatie
Individu Centrum
Tijd Individu Conversatie Consultatie
Centrum Registratie Allocutie
Tabel 7 Verkeersstromenmodel van Bordewijk en van Kaam (uit: Bordewijk & van Kaam 1982, pag. 32)
In de afgelopen paragrafen zijn er al enkele voorbeelden gegeven van mogelijke verschillen tussen centrum en individu. Zo is bij de beschrijving van SSL gebleken dat in veel gevallen alleen de server zich authenticeert. In het eerste voorbeeld bij PGP is gebleken dat het voor Anton belangrijk kan zijn te weten dat de website van Bella zich authenticeert. In beide gevallen is het mogelijk om de server of website als centrum te beschouwen en de bezoeker (bijvoorbeeld Anton) als individu. Omdat het individu het initiatief tot communicatie heeft en daarmee de tijd van communicatie bepaalt en het centrum de gewenste informatie bevat is hier sprake van consultatie. In het voorbeeld is er niet ingegaan op de vraag of het individu recht had op de gewenste informatie, met andere woorden of het individu geautoriseerd is om de website te zien. In het geval van websites is dit over het algemeen geen issue: het is publieke informatie dus iedereen is geautoriseerd. In voorbeeld twee van PGP ging het om een individu (Bella) dat weer het initiatief tot communicatie nam en daarmee de tijdigheid van informatie bepaalde. Hierbij was echter de gewenste informatie aanwezig bij een individu (Anton). Dit noemt men conversatie. Uit het voorbeeld bleek ook dat het noodzakelijk was dat zowel de authenticiteit van Bella als Anton vaststond. In het laatste voorbeeld dat bij PGP genoemd werd ging het om Dirk die met een voetbalpoule bezig was. Hij wilde informatie verzamelen van verschillende individuele gebruikers en nam hiertoe het initiatief. Hierbij trad hij op als centrum. Omdat de gewenste informatie bij individuen aanwezig was, is hier sprake van registratie. Overigens zal het in veel gevallen de vraag zijn of het centrum geautoriseerd is tot de gewenste informatie. Van allocutie is geen voorbeeld gegeven. Dat komt omdat het daar gaat om punt-multipunt communicatie (broadcasting). Bij broadcasting gaat het vaak om publieke informatie of conditionele access informatie. Dit laatste is echter een autorisatievraagstuk. Zoals in hoofdstuk twee al aangegeven is, gaat deze analyse niet over autorisatievraagstukken, maar om authenticiteit. Authenticiteit kan wel belangrijk zijn om te bepalen of de informatie afkomstig is van degene die claimt de bron te zijn. In dat geval ligt de authenticiteit bij de centrum. Een samenvatting van de genoemde verkeersstromen en hun implicaties voor authenticiteit worden gegeven in tabel 8.
Data
Individu Centrum
Tijd Individu Conversatie: authenticiteit individuen Consultatie: authenticiteit centrum, autorisatie individu
Centrum Registratie: authenticiteit individu, autorisatie centrum Allocutie: authenticiteit centrum
Tabel 8 Verkeersstromenmodel toegepast op PKI
Uit de tabel valt op dat het steeds degene is die de informatie heeft die zich dient te authenticeren. Dit is niet verwonderlijk omdat de echtheid van de bron een indicatie kan zijn voor de echtheid van de geboden informatie. De autorisatie-eis ligt steeds bij degene die het 58
verzoek tot informatie bepaald, hoewel er niet altijd behoefte is aan autorisatie: dit treedt alleen op waar er sprake is van communicatie tussen centrum en individu. Wat heeft dit met klassen te maken? Het genoemde onderscheid tussen individu en centrum geeft twee klassen aan. Het verkeersstromen model gaat dus uit van twee klassen. Het is echter zo dat ook wanneer er meerdere klassen zijn, het model nog steeds toe te passen is: centrum en individu zijn relatieve begrippen. Met behulp van dit verkeersstromen model is het ook mogelijk te begrijpen waarom het voorbeeld dat bij SSL gegeven werd niet symmetrisch is: het gaat om twee verschillende klassen. Hetzelfde geldt voor voorbeelden één en twee van PGP. Het gebruik van dit model heeft ook de vraag of peer-to-peer netwerken die gebruik maken van een server wel peer-topeer zijn: het gaat om het analyseren van de relatie binnen een bepaalde klasse. In een centraal ingericht PKI bestaan de klassen uit entiteiten die op hetzelfde niveau zitten. Entiteiten die op hetzelfde niveau kunnen communiceren zijn individuen wanneer er een niveau boven staat (een CA) wat in dat geval een centrum is. Deze verdeling is op elke plaats in de hiërarchie te maken. In PGP bestaan er ruwweg twee klassen: individuele gebruikers (individuen) en key servers (centra). Dit onderscheid wordt in het volgende hoofdstuk nog verder uitgewerkt. De introductie van het verkeerstromen model heeft ook waarde voor de volgende paragrafen waar langzaam de begrippen authenticiteit en vertrouwen omgebouwd worden in Trust. Bij de behandeling van de morele eigenschappen van PKI’s is het model met name relevant omdat verkeersstromen vaak iets zeggen over macht van verschillende entiteiten die communiceren.
5.4 Vertrouwen vanuit filosofisch oogpunt 5.4.1 Inleiding In deze paragraaf wordt kort beschreven wat de filosofie over vertrouwen zegt. Het onderzoek naar definities van vertrouwen is bruikbaar voor de definitie van Trust omdat hier de relatie tussen aanvallen, gevaren, risico’s en vertrouwen beschreven wordt. Voor interactie is vertrouwen nodig. [Falcone, Singh & Tan 2001, pag. 1 en 2] Communicatie is een vorm van interactie. Dus voor communicatie is vertrouwen nodig. Deze redenering is eigenlijk in de vorige hoofdstukken al als triviaal aangenomen. Omdat deze paragraaf echter dieper in gaat op vertrouwen, wordt deze redenering hier even expliciet genoemd. In de volgende paragrafen wordt ingegaan op de begrippen vertrouwen, risico en de betekenis van risico’s in informatiebeveiliging. 5.4.2 Vertrouwen: een diffuus begrip In dit hoofdstuk dient gekomen te worden tot een definitie van Trust. Dit is echter het Engelstalige woord voor vertrouwen. Trust richt zich specifiek op netwerken en vertrouwen is een meer algemene term waar Trust als het ware ondervalt. Om meer inzicht in de term trust te krijgen, is het dan ook interessant om het begrip vertrouwen wat beter te onderzoeken. In de literatuur wordt bij vertrouwen (en met name in een elektronische omgeving) vaak gesproken over aspecten als voorspelbaarheid, intenties van agenten in een netwerk (die kunnen zowel gebruikers zijn als zelfstandig opererende programma’s) en loyaliteit. Eigenlijk is de term vertrouwen erg diffuus: er staan in de toonaangevende woordenboeken meer definities van de term vertrouwen (of ‘trust’ zoals McKnight en Chervany vonden) dan van veel voorkomende ‘synoniemen’ als cooperation, confidence en predictable. Sterker nog, er staan ongeveer evenveel definities van het begrip in als van vage termen als ‘love’ en ‘like’.
59
Nu is het uiteraard niet de bedoeling om hier uit te gaan van definities zoals die in een woordenboek staan. McKnight en Chervany hebben uit de literatuur nagenoeg alle definities van vertrouwen verzameld en deze in categorieën ingedeeld. Daarnaast hebben zij ook de relaties tussen deze categorieën vastgesteld (zie figuur 26). [McKnight & Chervany 2001, pag. 33] DISPOSITIONAL
INSTITUTIONAL
Psychology/ Economics (Trust in General Others)
Sociology (Trust in the Situations or Structures)
Disposition to Trust
INTERPERSONAL Social Psychology and other disciplines (Trust in Specific Others)
Trusting Beliefs
Trusting Intentions
TrustRelated Behavior
Institution Based Trust Figuur 26 Interdisciplinair model van vertrouwen (uit: McKnight & Chervany 2001, pag. 33)
Uit figuur 26 blijkt wel dat het niet mogelijk zal zijn om een definitie voor vertrouwen te geven dat in één zin past. Het is echter wel mogelijk om een nadere toespitsing te maken op een specifieke situatie, zoals deze zich bij beveiligde communicatie voordoet. De door McKnight en Chervany gebruikte definities richten zich namelijk ook op de vraag hoe een actor moet handelen bij de samenwerking met anderen. Dit komt omdat veel van de literatuur over vertrouwen en met name vertrouwen in elektronische omgevingen zich richt op situaties waarbij agenten dienen te beslissen met welke agenten samen te werken en welke niet. Er is namelijk een zekere mate van voordeel uit de samenwerking te halen, aan de andere kant is er het risico (die paragraaf 5.4.3) om ‘bedrogen’ te worden. Onderzoeken richten zich dan ook niet alleen op hoe vertrouwen tussen mensen tot stand komt, maar ook hoe dit door elektronische agenten gesimuleerd kan worden36. Over de vraag hoe een gebruiker zich in het netwerk zal gedragen kunnen PKI’s weinig zeggen. Het is echter wel zo dat PKI’s kunnen zorgen voor een noodzakelijke voorwaarde om vertrouwen in het gedrag van anderen mogelijk te maken: de identiteit van een ander vaststellen. Vertrouwen is iets wat kan (zal!) variëren tussen personen, maar hierbij wordt wel verondersteld dat het mogelijk is om individuen uniek te kunnen identificeren. 5.4.3 De relatie tussen vertrouwen en risico’s Wanneer er sprake is van het verlenen van vertrouwen, is er ook altijd de mogelijkheid is om bedrogen te worden. [McKnight & Chervany 2001, pag. 34] Dit is een gevaar van het verlenen van vertrouwen. Een risico is een specifiek type gevaar: één waarvan het nadelige effect bekend is en waarvan de waarschijnlijkheid van het optreden van het negatieve effect vast ligt. Omdat beide aspecten die van belang zijn in de definitie van een risico geoperationaliseerd kunnen worden, is het vaak mogelijk om hier een getal aan toe te kennen. Het negatieve effect wordt bijvoorbeeld vaak gemeten in dodelijke slachtoffers en de waarschijnlijkheid in het aantal optredens ervan per tijdeenheid. Een risico zou hieruit volgend als eenheid kunnen hebben het aantal doden per jaar. 36
Voorbeelden hiervan zijn Nooteboom, Klos & Jorna 2001 die uitgaan van de vraag of het verstandig is om loyaal te zijn of om vaak van aanbieder te switchen en Witkowski, Artikis & Pitt 2001 die onderzoeken wat het belang van vertrouwen in een situatie van schaarste is. 60
5.4.4 Risico’s in informatiesystemen Spreken over dodelijke slachtoffers per jaar gaat voor de meeste informatiesystemen te ver, hoewel er natuurlijk wel situaties denkbaar zijn waarbij dit relevant is. De gebruikte eenheid doet er verder ook niet zoveel toe. Belangrijk is dat een risico in principe kwantificeerbaar dient te zijn. Hier zitten echter nog wel wat haken en ogen aan. Om van een risico te kunnen spreken dient het mogelijk te zijn om in te schatten hoe groot het negatieve effect is en de waarschijnlijkheid waarmee deze zal optreden. Gelukkig zijn beide aspecten bij informatiesystemen vrij redelijk in te schatten. De grootte van het negatieve effect kan bepaald worden door de schade van een mogelijke inbraak te bepalen (bijvoorbeeld verlies van gegevens wat weer omgezet kan worden in tijdsverlies wat weer omgezet kan worden in verlies van kapitaal). Over de waarschijnlijkheid van aanvallen is ook iets te zeggen. Zo trekken grotere netwerken meer aanvallen aan. Daarnaast is het mogelijk om vergelijkingen te maken met andere informatiesystemen. Alle aanvallen op communicatie in een informatiesysteem zijn varianten van de vier genoemde aanvallen uit hoofdstuk twee. Dit betekent dat de kennis van de risico’s volledig is. Bij de analyse van risico’s bij informatiebeveiliging wordt dan ook uitgegaan van een situatie waar de negatieve effecten bekend zijn (als externe variabele), evenals de oorzaken ervan (de vier vormen van aanvallen). Het is uit deze constatering dat de definitie van Trust volgt in de volgende paragraaf. Het is echter wel interessant om hier nog even wat opmerkingen te maken over vertrouwen in informatie. Dit is een relatie die impliciet volgt uit de relatie “beveiligde communicatie mogelijk” omdat het een onderdeel is van de relatie “communicatie mogelijk”. Communicatie gaat namelijk altijd om het uitwisselen van informatie. Net als bij public key encryptie waar het niet mogelijk is om op basis van louter een public key te bepalen van wie deze afkomstig is, is de geldigheid van informatie niet zonder meer uit de informatie zelf te halen. Geschiedkundigen weten bijvoorbeeld dat de bron van informatie in grote mate de geloofwaardigheid ervan bepaalt. Dit is dan ook het belang van authenticiteit in PKI’s: een PKI kan een gebruiker weliswaar niet beschermen tegen ‘slechte’ informatie, maar kan wel helpen bepalen wie de bron is. De waarde die aan de informatie gehecht wordt, kan dan bepaald worden op basis van het vertrouwen wat een gebruiker in de bron heeft. Dit vertrouwen is dus een manier om onderscheid te maken in mensen en daarmee is authenticiteit dus een middel om onderscheid in mensen te maken. Dit punt geldt echter zowel bij beveiligde communicatie als onbeveiligde communicatie. Het wordt daarom niet gebruikt in de definitie van Trust. De constatering wordt hier wel genoemd omdat authenticiteit hier “toevallig” mee te maken heeft en op een andere manier aangeeft wat het belang van authenticiteit is37. 5.4.5 Conclusie Uit paragraaf 5.4.2 bleek dat er zeer veel verschillende definities van het begrip vertrouwen zijn. Dit onderzoek gaat echter met name over communicatie tussen personen. Hierdoor is voor de definitie van Trust (die in de volgende paragraaf gegeven wordt) een definitie in de sfeer van de INTERPERSONAL het meest bruikbaar. Hier kan nog gekozen worden voor een definitie die zich richt op Trusting Beliefs, Trusting Intentions of Trust related behaviour. 37
Het genoemde geval kan trouwens wel gezien worden als een aanval zoals in hoofdstuk twee. Het is dan echter meer een soort organisatorische aanval in plaats van een technische. Dit wordt in hoofdstuk zes verder uitgewerkt. 61
Elk van deze drie vormen van definities is relevant, maar hier zijn Trusting Beliefs het meest relevant, omdat deze ingaan op de overtuigingen van een persoon over de betrouwbaarheid van een ander. In zekere zin kan gesteld worden dat als een persoon over alle andere gebruikers in een netwerk een overtuiging over de betrouwbaarheid ervan heeft, dat deze een overtuiging over de betrouwbaarheid van het netwerk heeft. Trusting beliefs worden opgebouwd uit een viertal onderdelen. [McKnight & Chervany 2001, pag. 36] Uitgaande van een situatie waarbij een vertrouwenverlener een andere partij nodig heeft om een bepaald positief effect te bewerkstelligen. Wanneer de vertrouwensverlener bedrogen wordt, leidt dit tot een nadelig effect doordat het positieve effect uitblijft aangezien deze waarschijnlijk al wel kosten gemaakt heeft. De vier onderdelen die van belang zijn bij Trusting beliefs zijn dan de volgende: - Competentie: de sterke overtuiging dat de andere partij in staat is voor elkaar te krijgen wat gewenst is; - Barmhartigheid (Benevolence): de sterke overtuiging dat de andere partij betrokken is bij het belang voor de vertrouwensverlener - Integriteit: de sterke overtuiging dat de andere partij afspraken na zal komen, de waarheid verteld en uit goede wil handelt. - Voorspelbaarheid: de sterke overtuiging dat de handelswijzen van de andere partij (zowel goede als slechte) voldoende consistent zijn, zodat deze voorspeld kunnen worden. Hierdoor wordt gekomen tot de volgende uiteindelijke definitie voor vertrouwen: Vertrouwen is de overtuiging dat een actor competent, barmhartig, integer en voorspelbaar is.
5.5 Trust in (PKI) netwerken Deze paragraaf bestaat uit twee delen en voegt eigenlijk wat er in de vorige paragrafen genoemd is samen. In het eerste deel wordt er gewerkt aan een definitie van Trust. In het tweede deel wordt de begrippenruimte in netwerken uitgebreid om gebruik te maken van de definitie van het begrip Trust. 5.5.1 Definitie van Trust In de vorige paragraaf is gebleken dat de risico’s zich met name richten op de mogelijkheid van de aanvallen die genoemd zijn in hoofdstuk twee. Deze aanvallen richten zich met name om het verstoren van de relatie tussen twee gebruikers. Voor netwerken betekent dit dat vertrouwen niet gezocht dient te worden in de techniek maar bij de gebruikers. Wanneer er gekeken wordt naar het bekende OSI netwerklagenmodel is elke laag in dit netwerk verantwoordelijk voor een goed werken van alle er boven liggende lagen. [Henshall & Shaw 1988, pag. 12-20]
62
Figuur 27 OSI netwerklagenmodel en het onderscheid tussen Trust en reliability
Omdat er in het geval van roaming user netwerk uitgegaan wordt van end-to-end beveiliging, mag verondersteld worden dat alles onder de applicatielaag betrouwbaar werkt. Trust ligt op de hogere lagen van het model: het applicatie model en de gebruikers. Het is nu duidelijk waar Trust optreedt, alleen nog niet wat het precies is. Trust is eigenlijk de “lijm” tussen de verschillende onderdelen van de bovenste twee lagen van het OSI model. Wanneer een en ander uit de vorige paragrafen samengevoegd wordt kan gekomen worden tot de volgende definitie van Trust: Trust is de verzameling voorzieningen die in een netwerk getroffen worden om vertrouwen mogelijk te maken in de relaties die een rol spelen in het netwerk.
In de definitie zijn een viertal woorden cursief gedrukt. Dit is gedaan omdat deze woorden essentieel voor de definitie zijn, maar ze zijn zelf nog niet helemaal gedefinieerd, hoewel sommige in de vorige paragrafen al veelvuldig gebruikt zijn. Dit gebeurt nu: Voorzieningen zijn zaken die in de context van het netwerk aangebracht kunnen worden om bepaalde functionaliteit te versterken of te verkleinen38. Vertrouwen is het geloof dat de entiteiten die bij een relatie een rol spelen competent, barmhartig, integer en voorspelbaar zijn (zie paragraaf 5.4.5) Relaties zijn de relaties zoals bedoeld bij de behandeling van peer-to-peer netwerken in paragraaf 5.2.3 tot en met 5.2.5. Een netwerk is een verzameling entiteiten (dit kunnen gebruikers, peers, nodes en agents zijn) die door relaties met elkaar verbonden zijn. 38
Het is belangrijk om op te merken dat voorzieningen niet per sé technisch van aard hoeven te zijn: ze kunnen ook organisatorische, economische, juridische, psychologische of sociologisch van aard zijn. In hoofdstuk zeven en acht komen we hier nog verder op terug. 63
5.5.2 Uitbreiding van de begrippenruimte Vanwege de keuze voor de definitie van Trust, kan Trust op twee niveaus bekeken worden: een macroniveau (van veraf) waarin het “het vertrouwen in het netwerk” voorstelt, maar er kan ook op een microniveau gekeken worden, waarbij de verschillende voorzieningen onderscheden worden. Trust is compleet wanneer in het vertrouwen van alle relaties die in het netwerk bestaan voorzien wordt. Dit betekent namelijk dat alle risico’s afgedekt worden. Zoals al gemeld is, is de mate van vertrouwen wat nodig is om een risico af te dekken afhankelijk van de grootte van het risico. Dit zorgt ervoor dat een systeem weliswaar nooit “helemaal veilig” kan zijn, maar wel dat de Trust in het netwerk compleet kan zijn. Hierdoor is het netwerk bruikbaar. Wat dit alles nu betekent voor PKI’s komt in het volgende hoofdstuk aan bod. Door het uitbreiden van de begrippenruimte is het nu mogelijk om centraal- en decentraal ingerichte PKI’s te vergelijken vanuit een ander dan het technisch uitgangspunt.
5.6 Conclusie In dit hoofdstuk is gewerkt naar een definitie van Trust. Die is er uiteindelijk in paragraaf 5.5 gekomen: Trust is de verzameling voorzieningen die in een netwerk getroffen worden om vertrouwen mogelijk te maken in de relaties die een rol spelen in het netwerk.
Deze definitie is tot stand gekomen na een vrij uitgebreide behandeling van voorbeelden van PKI netwerken om een indruk te geven van hoe PKI toepassingen in de praktijk werken. Hierna is de context verbreedt om alle peer-to-peer netwerken te bevatten. Hieruit volgde dat met name de relaties in netwerken belangrijk zijn voor Trust. Het gebruik van het verkeersstromenmodel en het concept van equivalentierelaties hielp deze relaties identificeren en beschrijven. Door het onderzoeken hoe vertrouwen in de literatuur omschreven werd kon uiteindelijk gewerkt worden naar de uiteindelijke definitie. Wat is nu de waarde van deze definitie? Hoewel de definitie zelf wellicht niet buitengewoon baanbrekend is, is deze wel toepasbaar voor de vergelijking tussen centraal- en decentraal ingerichte PKI’s in het volgende hoofdstuk. Daarnaast heeft de behandeling van peer-to-peer netwerken en het verkeersstromenmodel ingrediënten gegeven om deze vergelijking in te vullen. De begrippen die hierbij een rol spelen zoals klassen, verkeersstromen en equivalentierelaties komen dan ook in het volgende hoofdstuk terug. Met de voorgaande hoofdstukken zijn nu als het ware alle ingrediënten verzameld om centraal- en decentraal ingerichte PKI’s met elkaar ter vergelijken in hun toepasbaarheid voor roaming user networks.
64
Hoofdstuk 6: Verschillen tussen centraal- en decentraal ingerichte PKI’s 6.1 Inleiding In het vorige hoofdstuk is er een definitie van Trust gegeven. In dit hoofdstuk gaat deze gebruikt worden om een vergelijking te maken tussen decentraal- en centraal ingerichte PKI’s. De concepten van roaming user networks en het in het vorige hoofdstuk geïntroduceerde verkeersstromen model worden hierbij gebruikt om een abstractie te maken van het toepassingsgebied van de communicatiebeveiliging. Communicatiebeveiliging is namelijk altijd sterk context afhankelijk en beide concepten bieden de mogelijkheid om deze context in zekere zin af te bakenen. In de volgende paragrafen worden in paragraaf 6.2 eerst de relaties in een PKI netwerk gegeven, op dezelfde manier als waarop dat gebeurde voor SETI@home en Space Drives. In het vorige hoofdstuk is weliswaar al een relatie (het ‘mogelijk zijn van beveiligde communicatie’) gegeven, maar deze wordt eerst verder uitgewerkt. Deze relaties worden bepaald in de context van roaming user networks en bekeken wordt of de verschillende verkeersstromen tot verschillende relaties leiden. In deze paragraaf wordt nog geen onderscheid gemaakt tussen centraal- en decentraal ingerichte PKI’s. In paragraaf 6.3 worden de vertrouwensaspecten van de relaties gegeven. Hierbij wordt het onderscheid gemaakt tussen centraal- en decentraal ingerichte PKI’s. Hier wordt Trust als het ware bepaald op het micro-niveau. In de paragraaf hierna wordt er op macro-niveau naar Trust in PKI’s gekeken, zodat Trust compleet bepaald kan worden. Paragraaf 6.5 biedt een samenvatting en een conclusie van dit hoofdstuk, alsmede een vooruitblik naar het volgende hoofdstuk.
6.2 Relaties in PKI netwerken Om de relaties in PKI netwerken te kunnen bepalen, wordt eerst een afbakening gemaakt van het type PKI’s waarover gesproken wordt, dit omdat PKI netwerken beveiligde communicatie mogelijk maken. Het is dan ook in de context van de communicatie dat de eerste relaties gezocht dienen te worden. Het type communicatie wordt sterk bepaald door het soort applicatie waar het om gaat. Op dit moment zijn er nog weinig devices die in roaming user networks gebruikt worden. Hoewel laptops natuurlijk gemeen goed zijn, worden deze nog niet erg vaak draadloos gebruikt. Daarnaast is op laptops nog vrij sterk sprake van lokale opslag van gegevens. Omdat er nog geen echte roaming user toepassing bestaat, wordt er hier uitgegaan van waarschijnlijke eigenschappen van deze netwerken en de bijbehorende applicaties. In dit onderzoek gaat het om roaming user networks. Hierbij is al de constatering gemaakt dat het om communicatie gaat tussen mobiele devices en tussen mobiele devices en een centraal netwerk. Het verkeersstromenmodel wat in het vorige hoofdstuk geïntroduceerd is, wordt hierbij gebruikt om verschillende vormen van communicatie te modelleren. Voor elk van deze typen communicatie worden de verschillende relevante relaties en de risico’s op deze relaties bepaald en uitgewerkt. De betekenis van de relaties zelf vindt plaats in boxen die steeds aan de rechterkant van een bladzijde verschijnen, naast de behandeling ervan voor de eerste verkeersstroom. Deze relaties zijn de meest relevantie omdat ze het gevolg zijn van wat geconstateerd is met betrekking tot PKI’s en peer-to-peer netwerken in het vorige hoofdstuk:
65
-
Tegenstelling tussen autonomie en betrouwbaarheid (zie paragraaf 5.3.1): privacy en ‘misbruik’ voorkomen; - Het doel van PKI’s, het bepalen welke gebruiker bij welke public key hoort: identiteit, vertrouwen (zie paragraaf 5.4); - Het doel van het roaming user network, informatie tussen devices onderling en device en centraal organisatie netwerk mogelijk maken: echtheid van informatie (zie paragraaf 5.4.4). Aan het einde van deze paragraaf volgt een tabel met een korte samenvatting van deze relaties (zie tabel 9). 6.2.1 Tussen mobiele devices onderling: Conversatie Conversatie kan gebruikt worden om communicatie tussen mobiele devices onderling te modelleren. Hierbij gaat het om mobiele devices (of waarschijnlijk meer correct de gebruikers van) die informatie bij een ander mobiel device opvragen. Het is met andere woorden zowel een individu wat het initiatief neemt tot communicatie en een individu waarbij de gewenste informatie aanwezig is. Het verkeersstromenmodel van Bordewijk en Van Kaam gaat uit van een model van een zender en een ontvanger. Een gesprek zou gemodelleerd kunnen worden als een situatie waarbij zender en ontvanger steeds van rol wisselen. Privacy 1. Privacy Twee mobiele devices die communiceren (of Onder privacy worden hier een drietal de gebruikers ervan) hebben van de verwachtingen verstaan: (1) de voorwaarden die voor privacy dienen te gelden verwachting van anonimiteit, (2) de het meeste te maken met confidentialiteit. verwachting van eerlijkheid en (3) Anonimiteit is niet praktisch bij communicatie controle over persoonlijke informatie en tussen individuen. Deze confidentialiteit dient de verwachting van confidentialiteit. [cdt in ieder geval voor hun communicatie voor I] derden af te schermen. Maar wellicht ook van de centrale organisatie, om een stuk autonomie te verkrijgen in het werk. Nu zal het over het algemeen lastig zijn voor het privé netwerk van de organisatie om berichten tussen mobiele devices te onderscheppen, met name wanneer deze communicatie rechtstreeks, dus zonder tussenkomst van het private organisatie netwerk loopt tussen de mobiele devices (wat niet ondenkbaar is bij gebruik van een publiek 2. ‘Misbruik’ voorkomen netwerk). Tegenover autonomie staat centrale controle (zie hoofdstuk 5). Dit is de reden waarom het voorkomen van misbruik, waarvoor centrale controle noodzakelijk is en privacy waar autonomie voor nodig is op gespannen voet met elkaar leven. In de regel zal een organisatie een zekere mate van centrale controle willen hebben over wat er op het eigen roaming user network gebeurt. De overheid zal ook een zekere mate van controle over deze netwerken willen hebben omdat ze het risico van gebruik van communicatiebeveiliging door criminelen onderkent.
Het grootste risico is uiteraard dat er toch ingebroken wordt en de communicatie tussen devices wordt afgeluisterd. Daarnaast kunnen patronen van communicatiefrequentie tussen mobiele devices ook waardevolle informatie bevatten. De oplossing hiervoor (traffic padding) is helaas momenteel nog vrij prijzig (zie hoofdstuk 2). ‘Misbruik’ voorkomen Bij communicatie tussen mobiele devices onderling is ‘misbruik’ een reëel risico omdat controle op communicatie lastiger is aangezien er geen communicatie lijn hoeft te lopen tussen mobiele devices en het private organisatie netwerk. Het lijkt een beetje op de situatie die ontstond toen veel werknemers een ‘mobieltje van de zaak’ kregen.
Voor een organisatie is het in de lucht houden van een roaming user network waarschijnlijk een vrij kostbare taak en het is dan ook niet wenselijk dat gebruikers misbruik van de mogelijkheden maken: zowel door onnodig veel niet relevante communicatie als door de afleiding van de dagelijkse taken die dit kan bieden.
De overheid en in het bijzonder het onderzoeksapparaat van justitie zal minder 66
moeite hebben met het onderscheppen van informatie omdat zij toegang kan krijgen tot de communicatie op de publieke netwerken. Aan de andere kant kan de bescherming die een roaming user network tegen afluisteren door derden biedt ook tegen de overheid gebruikt worden.
3. Identiteit Ik las iets opvallends in [Mass & Shehory 2001]. Hier werd gesteld dat in een multi actor netwerk39 identiteit niet belangrijk hoeft te zijn [pag. 1-2], als het maar mogelijk is om iedere actor uniek aan te duiden. Daarnaast werd voorgesteld dat PKI gebruikt kan worden voor de beveiliging van de communicatie tussen deze actoren. [pag. 6]
Identiteit Bij communicatie tussen mobiele devices onderling is met name de identiteit van de gebruikers van deze devices belangrijk, aangezien het deze zijn die in het geval van conversatie met elkaar zullen communiceren. Het grootste risico is dan ook dat iemand zich kan uitgeven voor iemand anders en daarmee schade kan veroorzaken. Dit impliceert ook dat een bericht tijdens transport niet veranderd kan worden zonder dat dit opgemerkt wordt (integriteit is dus een voorwaarde). Zeker wanneer gebruikers er vanuit gaan dat een systeem vóórkomt dat iemand niet is wie deze claimt te zijn, zal dit invloed hebben op de communicatie. Mensen zullen wellicht meer geneigd zijn om geheimen prijs te geven die ze anders voor zich zouden houden. Daarnaast gaan gebruikers ervan uit dat als ze een bericht ontvangen hebben van een gebruiker deze gebruiker ook daadwerkelijk de gebruiker zal zijn die het bericht verstuurd heeft. Door deze beide gevolgen kan persoonlijke schade aan de personen in kwestie ontstaan. 39
Ik ben het hier niet mee eens. In de eerste plaats is om actoren uniek te onderscheiden een kenmerk nodig waarop ze uniek te onderscheiden zijn. Dat geeft ze al een zekere identiteit. Daarnaast draait het in een PKI allemaal om identiteit. Het doel van een PKI is namelijk om te bepalen wie bij een bepaalde public key hoort. Dit is daarom een relevante relatie. 4. Vetrouwen Vertrouwen is ook een relatie. Doordat mobiele devices en centra in het netwerk elkaar kunnen aangeven dat ze elkaar vertrouwen kan er iets veranderen in de relatie die ze onderling hebben. Vertrouwen kan vertrouwen genereren of in andere gevallen verminderen. PKI’s zelf doen dit op het niveau van public keys. Ze bepalen welke public keys te vertrouwen zijn en welke niet.
Vertrouwen Vooral communicatie tussen mobiele devices onderling heeft te maken met deze relatie. Gebruikers reageren anders op elkaar als er sprake is van een vertrouwensrelatie. Ook kan deze vertrouwensrelatie veranderen op het moment dat expliciet vertrouwen in een bepaalde gebruiker getoond wordt. Het kan zijn dat het tonen van vertrouwen vertrouwen terug genereert (“zij vertrouwt mij dus zal zij wel te vertrouwen zijn”), maar ook zo zijn dat het tonen van vertrouwen het vertrouwen verminderd (“hij zegt me te vertrouwen, maar misschien zegt hij dat alleen maar in de hoop dat ik hem ook ga vertrouwen”). [Falcone & Castelfranchi 2001] 40
5. Echtheid van informatie Hoewel PKI’s kunnen bepalen of een gebruiker is wie die zegt te zijn, kan een PKI niet bepalen of wat deze gebruiker te vertellen heeft waar is of niet. Er zijn echter wel ontwikkelingen, met name in de multi actor netwerk theorie40 die zich bezig houden met dit vraagstuk. De oplossingen werken vaak met concepten als Trust en reputatie en daarom worden deze hier ook genoemd. Een PKI maakt het namelijk mogelijk om aan een noodzakelijke voorwaarde voor zo’n systeem te voldoen: het uniek kunnen identificeren van alle actoren.
39
Een multi actor netwerk is een netwerk van onafhankelijke entiteiten die zelf beslissingen kunnen nemen om bepaalde doelen die ze voor zichzelf stellen te bereiken. 40 Deze wetenschap is een multidisciplinair onderzoeksveld. Er werken zowel informatici (artificiële intelligentie) en filosofen (speltheorie) als economen (vraag en aanbod vraagstukken) aan. Veel voorbeelden hebben een vrij sterke economische achtergrond. 67
Echtheid van informatie Conversatie leent zich uitstekend voor zo’n multi actor netwerk oplossing omdat er veelal veel verschillende actoren (lees gebruikers) zijn en deze zich onafhankelijk van elkaar kunnen gedragen. Multi actor netwerken bieden wel een oplossing, maar deze is niet zonder problemen. Het is mogelijk om aan alle gebruikers een reputatie toe te kennen die verbetert wanneer ze klaarblijkelijk de waarheid spraken en verslechterd wanneer ze blijken te ‘liegen’. Daarnaast kan een PKI-achtige structuur gebruikt worden om reputaties te communiceren door middel van een soort certificaten. Het grote nadeel is echter dat het voor een gebruiker niet altijd mogelijk zal zijn om te bepalen of een uitspraak waar zal gaan zijn of niet, zeker wanneer het om ingewikkelder problemen gaat. Hierdoor zou het onaantrekkelijk kunnen worden om informatie te verstrekken want men zou als leugenaar getypeerd kunnen worden. In ieder geval is integriteit hier een belangrijke voorwaarde omdat wanneer het niet na te gaan is wanneer een bericht onderweg veranderd is, het mogelijk is dat een waarheid een ‘leugen’ wordt. Daarnaast is er het risico dat iemand die ‘altijd de waarheid spreekt’ toch eens liegt (statistische fout I) en iemand die ‘altijd liegt’ toch eens de waarheid vertelt (statistische fout II). Conclusie Uit de vorige relaties is gebleken dat confidentialiteit, integriteit en authenticiteit belangrijk zijn voor conversatie. Confidentialiteit is nodig voor privacy. Authenticiteit is nodig voor de relaties identiteit, vertrouwen en echtheid van informatie. Integriteit is met name belangrijk voor identiteit en echtheid van informatie. Confidentialiteit, integriteit en authenticiteit zijn voorwaarden die elk PKI dient te bieden. Uit ‘misbruik’ voorkomen volgt echter dat confidentialiteit wellicht niet voor iedereen hoeft te gelden omdat er ook nog een zekere mate van centrale controle nodig is. Uit privacy volgde dat autonomie van gebruikers ook belangrijk is. Deze voorwaarden zijn echter geen toepassingen van PKI, maar meer eigenschappen ervan, zoals in paragraaf 6.3 getoond zal worden. Vanuit het verkeersstromenmodel bleek dat degene die de informatie heeft degene is die zich het eerst dient te authenticeren. Omdat bij communicatie de rollen van vrager van informatie en verstrekker van informatie steeds wisselen is het noodzakelijk dat beide partijen zich aan elkaar authenticeren (zoals in tabel 8 werd getoond). De communicatie dient confidentieel te zijn. Het is hierbij logisch dat communicatie in beide richtingen confidentieel dient te gebeuren aangezien het aannemelijk is dat de informatie die communicerende gebruikers uitwisselen even belangrijk is. De beveiliging van communicatie tussen gebruikers dient symmetrisch te zijn en daaruit volgt dat ook het vertrouwen tussen beide partijen symmetrisch is. 6.2.2 Tussen mobiel device en centrum: consultatie en registratie Het gaat hier om communicatie tussen een mobiel device en het private bedrijfsnetwerk. Dit netwerk bevat centrale opslag van gegevens en kan benaderd worden alsof het één grote computer is. Om in termen van het verkeersstromenmodel van Bordewijk en Van Kaam te blijven noemen we dit een centrum. In het verkeersstromenmodel zijn er bij communicatie tussen individuen (hier het mobiele device of de gebruiker ervan) en het centrum twee situaties mogelijk: het centrum bevat informatie en individuen nemen het initiatief tot communicatie (consultatie) of het individu bevat informatie en het centrum neemt het initiatief tot communicatie (registratie). Deze beide mogelijkheden worden hier tegelijk behandeld. Privacy Het is aannemelijk dat het centrum veel vertrouwelijke informatie bevat. Het is dan ook wenselijk dat wanneer hierom gevraagd wordt deze confidentieel bij de verzoeker aankomt. Er dient dus confidentialiteit te zijn over de informatie die het centrum aan het mobiel device aanbiedt. Voor de individuen geldt dat ze wellicht een zekere mate van autonomie willen 68
hebben op het gebied van welke informatie ze op willen vragen. Het zou dus kunnen zijn dat dit enigszins anoniem dient te gebeuren (voorwaarde twee van privacy). Het is echter wel erg eenvoudig en wellicht ook erg verleidelijk voor het centrum om bij te houden wat de verschillende mobiele devices aan informatie opvragen41. Veel centra hebben de neiging om logboeken van alles en nog wat bij te houden. Hierdoor kan de privacy van gebruikers in geding komen. Dit is op te lossen door te zorgen dat alleen het centrum zich dient te authenticeren, zoals in het vorige hoofdstuk bij de behandeling van SSL geconstateerd is. Dit komt ook overeen met wat er in het verkeersstromenmodel genoemd is. Zoals daar getoond is, is dit voldoende om voor confidentialiteit te kunnen zorgen. Registratie heeft met name de neiging om de autonomie van individuen te verkleinen. Door bijvoorbeeld bij te houden wat gebruikers waar, wanneer en met wie via hun mobiele devices doen, ontstaat er wellicht wel een beeld van een gebruiker, maar kan een gebruiker zich ook beperkt gaan voelen in de bewegingsruimte, met name omdat wat geregistreerd kan worden slechts een projectie is van de activiteiten van een gebruiker op een mobiel device. ‘Misbruik’ voorkomen Om misbruik van consultatie van het centrum te voorkomen zijn toegangsbeperkingen nodig. Er is echter in hoofdstuk 2 al aangegeven dat dit onderzoek hier geen aandacht aan zal besteden omdat toegangsbeperkingen geen kenmerk van communicatie zijn, maar gaan om een relatie tussen een identiteit en een verzameling privileges. De public key infrastructure kan wel gebruikt worden om deze identiteit makkelijker te bepalen. Het nadeel hiervan is echter dat het niet noodzakelijkerwijs om een relatie tussen een specifieke identiteit en een verzameling privileges gaat, maar dat er in veel gevallen verschillende identiteiten zullen zijn met dezelfde privileges. Van een gebruiker die toegang wenst te krijgen tot de diensten van het centrum dient dan ook niet de identiteit bepaald te worden, maar dient bepaald te worden of deze gebruiker tot een groep behoort die toegang verleend kan worden. In de vorige paragraaf werd al gesteld dat centrale controle nodig is om misbruik te voorkomen. Registratie heeft de neiging om centrale controle te vergroten. Hierdoor kunnen de activiteiten van gebruikers van het roaming user network in de gaten gehouden worden en kan eventueel ongewenst gedrag opgemerkt worden. Daarnaast kan registratie ook gebruikt worden om vervelende klusjes op te knappen, zoals het maken van back-ups van de informatie op de mobiele devices van gebruikers, aangezien veel gebruikers dit zelf niet doen. Identiteit Er is een verschil tussen wat identiteit betekent voor een centrum en voor een individu. Een centrum heeft in een public key infrastructure weliswaar een bepaalde naam en een bijbehorende public key, maar het blijft zelf een min of meer anonieme eenheid. Paradoxaal is dat het centrum dan ook van niemand de identiteit hoeft te kennen, maar iedereen wel die van het centrum, althans wanneer het op het gebied van consultatie aankomt. Dit komt omdat het voor de verzoekers van informatie wel mogelijk moet zijn om het centrum waar de informatie aanwezig is te vinden. Dit kan alleen als een centrum uniek te identificeren is. Toch gebeurt er iets met de identiteit van centrum. Wanneer een centrum meer gebruikt zal gaan worden en meer gebruikers het centrum kennen, zal de identiteit van het centrum in zekere zin veranderen. Het centrum kan meer de status van een celebrity krijgen. Wanneer het om registratie gaat is het wel noodzakelijk dat de identiteit van de verschillende mobiele devices bekend is, omdat ook hier de gebruikers uniek te onderscheiden dienen te zijn. Een eigenschap van centra is dat deze geregistreerde informatie weer centraal op zullen 41
In zekere zin is dit een vorm van registratie omdat het hierbij gaat om informatie die bij de individuen aanwezig is (de verzoeken om informatie zelf) en het initiatief bij het centrum ligt. 69
slaan. Het is dan ook niet irreëel dat een centrum op basis van alle verzamelde informatie uitspraken zal willen doen over de identiteit van gebruikers. Vertrouwen Enigszins samenhangend met het bij identiteit genoemde ontstaan van celebrities, kan dit bij vertrouwen ook plaats vinden. Een centrum wat door veel gebruikers vertrouwd wordt heeft de neiging om door steeds meer gebruikers vertrouwd te worden. Er ontstaat als het ware een soort momentum. De vertrouwensrelatie tussen individu en centrum zal niet veranderen wanneer de één de ander aangeeft deze te vertrouwen. De vraag is of er ook iets verandert in de vertrouwensrelatie tussen mobiele devices en centra in het geval van registratie. Hier zullen in de regel geen celebrities ontstaan. Ook zal de vertrouwensrelatie tussen centrum en gebruiker niet veranderen wanneer het centrum aangeeft de gebruiker te vertrouwen. Wat wel mogelijk is, is dat door het verzamelen van informatie over de gebruiker het centrum een beeld krijgt van het individu en hierdoor het vertrouwen in de gebruiker kan aanpassen. Echtheid van informatie In de vorige paragraaf is het gebruik van multi actor netwerken genoemd als mogelijke oplossing om uitspraken te kunnen doen over het waar zijn van wat een gebruiker communiceert en wat niet. Ditzelfde zou ook toegepast kunnen worden op consultatie en registratie. In het geval van consultatie kunnen de gebruikers van mobiele devices uitspraken doen over de waarheidsgetrouwheid van informatie van een centrum. Dit centrum krijgt hierdoor een reputatie. In veel gevallen zal dit echter niet relevant zijn aangezien veel gebruikers de informatie die op het private organisatienetwerk aanwezig is voor ‘waar’ aan zullen nemen. Daarnaast zijn er veelal weinig centra in deze netwerken (het hele private organisatie netwerk werd zelfs één centra genoemd) met als gevolg dat gebruikers prima zelf in staat zijn om hier een oordeel over te vormen. Bij registratie passen multi actor netwerken beter. Er zijn hier weer vele verschillende gebruikers waar informatie aanwezig is en die potentieel (bedoeld of onbedoeld) bepaalde informatie kunnen manipuleren. Het centrum zou eerdere ervaringen kunnen gebruiken om uitspraken te doen over de accuraatheid van ontvangen informatie. Aan de andere kant zullen bij de implementatie van een roaming user network er vrij veel voorzieningen getroffen worden om altijd de juiste informatie van mobiele devices te ontvangen. Conclusie In de vorige paragrafen is zowel consultatie als registratie behandeld. Dit is samen gebeurd omdat het in beide gevallen om een asymmetrische relatie gaat: de authenticatieplicht ligt steeds bij één partij. In veel gevallen zal er echter nog een autorisatiestap plaatsvinden waarbij dan een extra authenticatiestap zit. Authenticatie van de bezitter van de informatie en autorisatie van de vrager van informatie kunnen zelfs vrij eenvoudig in één stap plaatsvinden. Het is echter belangrijk om toch het onderscheid te houden en aan te geven dat authenticiteit niet symmetrisch hoeft te zijn, ook al is dit wellicht maar een theoretisch verschil. Confidentialiteit hoeft ook niet symmetrisch te zijn aangezien verzochte informatie waarschijnlijk waardevoller is dan het verzoek zelf. In veel gevallen zal deze echter wel symmetrisch opgelost worden omdat dit vrij weinig extra moeite kost. Centrale controle is in deze communicatie een stuk eenvoudiger te regelen aangezien het onderdeel wat de controle verzorgt (het centrum) zelf rechtstreeks betrokken is bij de communicatie. Autonomie van gebruikers komt bij deze vorm van communicatie enigszins in het geding. Net als bij conversatie is integriteit belangrijk om communicatie soepel te laten verlopen. Als bekend is dat berichten onderweg niet kunnen veranderen zonder dat dit waar te nemen is, is het eenvoudiger om in de waarachtigheid van de gevraagde informatie te geloven. 70
6.2.3 Allocutie Allocutie is de laatste verkeersstroom waarop ingegaan wordt, weliswaar minder uitgebreid dan de vorige drie. Dit komt omdat allocutie zich richt op het versturen van informatie uit een centrum waarbij ook het initiatief bij het centrum ligt. Het gaat met andere woorden om uitzenden ofwel broadcast. Veelal zijn er dan ook vele ontvangers. Deze verkeersstroom leent zich met name voor toepassingen waarbij dezelfde informatie naar vele ontvangers gestuurd moet worden, zoals bijvoorbeeld nieuwsberichten, software-updates of aankondigingen. De ontvangers blijven hierbij veelal anoniem, maar de verzender dient zich wel te authenticeren (omdat dit de bron van de informatie is). 6.2.4 Samenvatting Tabel 9 bevat een samenvatting van de in paragraaf 6.2.1 en 6.2.2 genoemde punten. Relatie Privacy
‘Misbruik’ voorkomen
Verkeersstroom Conversatie - afluisteren grootste risico - verkeersstromen kunnen relevant zijn -
Identiteit
-
Vertrouwen
-
Echtheid van informatie
-
-
centrale controle lastig overheid kan toegang krijgen tot publieke netwerken identiteit gebruikers is relevant persoonlijke schade mogelijk door impersonatie
vertrouwen veranderd relatie tussen gebruikers vertrouwen tonen kan de vertrouwensrelatie tussen gebruikers veranderen oplossing met behulp van multi actor netwerken is mogelijk oplossing gevoelig voor statistische fouten van type I en type II
Consultatie - centrum bevat veel confidentiële informatie - alleen het centrum dient zich te authenticeren - toegangsbeperkingen zijn nodig -
-
-
Registratie - beperkt autonomie van gebruikers - levert mogelijk een beperkt beeld van gebruikers -
centrum is een anonieme entiteit centrum dient zich te authenticeren centrum kan een celebrity worden
-
centrum kan vertrouwensmomentum krijgen vertrouwen tonen veranderd de vertrouwensrelatie tussen centrum en mobiel device niet het centrum spreekt de waarheid
-
-
-
-
bevorderd centrale controle kan vervelend taken van gebruikers overnemen mobiel device dient zich te authenticeren centrum kan verzamelde informatie gebruiken om identiteit van een gebruiker bij te stellen centrum kan verzamelde informatie gebruiken om vertrouwen in een gebruiker bij te stellen gebruikers willen wellicht ‘liegen’ m.b.t. geregistreerde informatie voorzieningen kunnen getroffen worden om liegen te voorkomen
Tabel 9 Samenvatting van relaties
6.3 Vertrouwen in PKI netwerken In de vorige paragraaf zijn de verschillende relaties opgesomd die relevant zijn voor PKI’s in Roaming user networks. In deze paragraaf wordt per relatie aangegeven hoe centraal- en decentraal ingerichte PKI’s hiermee omgaan. Ook hier wordt weer de gebruikte indeling in verkeersstromen gebruikt, hoewel deze keer consultatie en registratie wel afzonderlijk behandeld worden. Na het behandelen van de verkeersstromen wordt er weer een korte 71
samenvatting gegeven in de vorm van een tabel om de verschillen tussen centraal- en decentraal ingerichte PKI’s aan te geven. Door per relatie te bepalen wat de relevante vertrouwensaspecten zijn ontstaat er een verzameling van maatregelen die een PKI biedt om vertrouwen mogelijk te maken. Deze verzameling wordt daarna gebruikt om Trust op te zetten. 6.3.1 Conversatie Privacy Eén van hoofdtoepassingen van PKI is om afluisteren van communicatie moeilijk te maken. Dit is een functionaliteit die zowel centraal- als decentraal ingerichte PKI’s bieden. Bij decentraal ingerichte PKI’s is het zo dat de private key die hierbij gebruikt wordt altijd alleen bij de eigenaar ervan bekend is. In centraal ingerichte PKI’s is het wel mogelijk dat het centrum wat de certificaten uitdeelt ook kopieën van de private keys in bezit heeft. Dit vergroot het risico op afluisteren aangezien ook dit centrum het doelwit van een aanval kan zijn. Het is echter wel zo dat deze centra over het algemeen over buitengewoon sterke beveiligingsmaatregelen beschikken zodat dit geen groot risico is. Voor verkeersstromen zijn centraal- en decentraal ingerichte PKI’s beide afhankelijk van dezelfde oplossing: traffic padding. Deze zal echter nog niet veel toegepast gaan worden zolang de kosten voor gebruik van publieke netwerken nog vrij hoog zijn (zie bijlage 6.A en 6.B). ‘Misbruik’ voorkomen In paragraaf 6.2.1 is getoond dat centrale controle door de eigenaar van het private organisatie netwerk op het gebruik van het roaming user network voor conversatie lastig is. Dit geldt zowel voor centraal- als decentraal ingerichte PKI’s, hoewel nog meer bij de laatste soort. PKI heeft hier zelf geen echte oplossing voor. Het is natuurlijk mogelijk om alle communicatie langs het private organisatie netwerk te laten lopen, maar dit is vrij kostbaar omdat er twee keer voor het dataverkeer op het publieke netwerk betaald moet worden (zie figuur 28). Mobiel Device
Gewenste informatiestroom
Bericht (M) Mobiel Device
Centrum Datastroom via publiek netwerk
Figuur 28 Communicatie tussen mobiele devices met tussenkomst van het centrum
De overheid die toegang wil krijgen tot communicatie heeft het iets eenvoudiger, omdat de overheid toegang kan krijgen tot de communicatie die via het publieke netwerk loopt. In het geval van een centraal ingericht PKI kan de overheid de private key opvragen bij de certificate authority en deze gebruiken om communicatie te ontcijferen. Decentraal ingerichte PKI’s zijn lastiger aangezien er buiten de betrokken gebruiker niemand is die de private key van de gebruiker kent. Daarnaast is het in veel landen (waaronder Nederland) onmogelijk voor justitie om een gebruiker niet kan dwingen zijn of haar private key te onthullen.
72
Identiteit PKI’s zijn ontwikkeld om de identiteit van gebruikers vast te stellen. Met behulp van een PKI wordt het voor gebruikers mogelijk om altijd te bewijzen dat zij de bron van een bericht zijn. De mogelijkheid voor impersonatie is dan ook vrij klein, wat bevorderlijk is voor vrije communicatie en persoonlijke schade beperkt kan houden. Centraal ingerichte PKI’s doet dit door gebruik te maken van een autoriteit die alom vertrouwd is. Hierbij is de identiteit vaak gekoppeld aan een vorm van legitimatie. Het certificaat wat hieruit volgt is dan ook vrij sterk aangezien het moeilijk is om te vervalsen. Een prettige bijkomstigheid voor conversatie is dat er voor communicatie geen verbinding meer nodig is met de certificate authority. Uit hoofdstukken vier en vijf is al gebleken dat vaststellen van een identiteit in een decentraal ingericht PKI ingewikkelder is, omdat er geen centrale alom vertrouwde plaats is waar certificaten afkomstig van zijn. Daarnaast is er geen koppeling met andere vormen van legitimatie. Identiteit kan dus moeilijker vast te stellen zijn. Gebruikers dienen van andere gebruikers te bepalen (dus in te schatten) hoe vaardig zij die personen vinden in het vaststellen van identiteiten van anderen. Dit betekent dat er meer mogelijkheden zijn voor manipulatieve personen om het netwerk te gebruiken om zich een identiteit aan te meten die niet overeenkomt met de werkelijkheid. [Rasmussen & Jansson 1996, pag. 14] Aan de andere kant passen decentraal ingerichte PKI’s wel weer bij conversatie omdat het communicatie tussen gebruikers van mobiele devices onderling betreft. Deze gebruikers zijn volledig autonoom in het bepalen welke public keys ze wel geldig achten en welke niet. Het is een elegante oplossing omdat het om een decentrale oplossing gaat voor decentrale communicatie. Door de verhoogde autonomie van gebruikers krijgen deze meer verantwoordelijkheden en dit kunnen zij als prettig ervaren. Vertrouwen In paragraaf 6.2.1 kwam naar voren dat vertrouwen de relatie tussen gebruikers verandert. Dit kan zekere positieve effecten hebben. Dit geldt niet zozeer voor centraal ingerichte PKI’s omdat gebruikers niet kunnen kiezen wie ze vertrouwen en wie niet. Veelal zullen alle gebruikers in het netwerk vertrouwd worden en daardoor is de waarde van de vertrouwensrelatie weg. In een decentraal ingericht PKI is dit geheel anders. Gebruikers moeten expliciet aangeven welke andere gebruikers ze vertrouwen om (te helpen) de identiteit van anderen te bepalen. Wanneer iemand vertrouwen legt in een ander dan krijgen zij een andere relatie omdat degene die het vertrouwen toont hiermee aangeeft onderscheid te maken tussen de gebruikers. Het krijgen van vertrouwen is daarnaast in zekere zin vleiend. Gebruikers kunnen in decentrale netwerken dus dichter bij elkaar komen. Voorbeeld: Anton (uit hoofdstuk vijf) geeft expliciet aan Femke te vertrouwen in haar vaardigheid om de identiteiten van anderen te bepalen. Femke kent Anton niet erg goed, maar blijkbaar kent hij haar wel en ze voelt zich dan ook gevleid met het geschonken vertrouwen en de waardering voor haar vaardigheid. Van Anton en Femke waartussen aanvankelijk geen relatie was, is er nu een sterkere band ontstaan.
Toch zitten hier ook ongemakken aan, zoals bij de behandeling van vertrouwen in de vorige paragraaf al gesteld is. Vertrouwen uiten kan namelijk ook wantrouwen creëren. Zeker wanneer er voor gebruikers voorbeelden zijn geweest van individuen die misbruik maakten van het tonen van vertrouwen om ten onrechte de positieve effecten ervan te verkrijgen. Dit kan ervoor zorgen dat gebruikers argwanend worden tegenover anderen, met name als zij deze nog niet zo goed kennen. Wat echter belangrijk is, is dat het aantal van de misbruikers niet een dermate grote groep is dat het het effectief werken van de infrastructuur in de weg kan staan. 73
Echtheid van informatie PKI’s zelf kunnen niet echt bepalen of informatie betrouwbaar is of niet. De bron van informatie is echter vaak een indicator voor de betrouwbaarheid van informatie. De oplossing met behulp van multi actor netwerken is zowel toepasbaar voor centraal- als decentraal ingerichte PKI’s, aangezien het PKI met name gebruikt wordt om te kunnen bepalen wat de identiteiten van de verschillende actoren zijn. Hier is dus geen echt verschil tussen centraalen decentraal ingerichte PKI’s. 6.3.2 Consultatie Privacy Bij de behandeling van de relaties met betrekking tot Privacy en consultatie is aangetoond dat het alleen noodzakelijk is voor het centrum om zich te authenticeren. Door dit authenticeren is de public key van het centrum bekend bij het individu wat de informatie opvraagt. Hierdoor kan deze communicatie al confidentieel met het centrum laten verlopen. Hier bevindt zich geen echt verschil tussen centraal- en decentraal ingerichte PKI’s. De anonimiteit wordt deels gegarandeerd doordat het van de verzoekers niet persé noodzakelijk is te weten hoe deze heten. ‘Misbruik’ voorkomen Om misbruik van de informatie en diensten bij het centrum te voorkomen zijn toegangsbeperkingen nodig. Deze zijn gerelateerd aan de identiteit van individuen of aan eigenschappen van groepen waar deze individuen toe behoren. PKI helpt hierbij met name om de identiteiten van gebruikers te bepalen, iets wat nodig is voor toegangscontrole. Centraal ingerichte PKI’s zullen in veel gevallen het centrum ook gebruiken als certificate authority. Hierdoor is het voor het centrum bij dit soort PKI niet erg moeilijk om de identiteit die bij bepaalde toegangsrechten hoort te bepalen. In decentraal ingerichte PKI’s heeft het centrum zelf minder centrale controle bij het bepalen van de geldigheid van certificaten van gebruikers die toegang wensen te krijgen tot bepaalde diensten. Het centrum is afhankelijk van wat andere gebruikers claimen over bepaalde gebruikers. Omdat er echter een ongelijkheid is tussen centrum en individu kan het onaantrekkelijk zijn voor een centrum om op andere individuen te vertrouwen met betrekking tot het bepalen van de identiteit van gebruikers. Identiteit Centraal- en decentraal ingerichte PKI’s verschillen vrij sterk in hoe ze met identiteit omgaan. Dit is al aangegeven bij de behandeling van conversatie. Het is in ieder geval noodzakelijk dat de individuen de identiteit van het centrum kennen. Identiteit is hier weinig meer dan de public key van het centrum en de wetenschap dat het centrum bepaalde informatie bevat. Het centrum zelf is een min of meer onpersoonlijke entiteit. Zelf hoeft het centrum de individuen niet te kennen. Dit lijkt een beetje op de definitie van een celebrity zoals dat ooit gegeven werd in een programmeer raadsel voor eerstejaars informatica studenten: een celebrity is iemand die door iedereen herkend wordt, maar zelf niemand kent. In een centraal ingericht PKI is het eenvoudig om de public key van het centrum over de verschillende mobiele devices te verdelen. In veel gevallen zal het centrum namelijk ook optreden als certificate authority waardoor de public key van het centrum verdeeld wordt over de gebruikers omdat het anders niet mogelijk is voor hen om de echtheid van certificaten te bepalen. In een decentraal ingericht PKI zijn het andere individuen die uitspraken doen over de echtheid van de geclaimde identiteit van een centrum. Hierbij kan de celebrity metafoor gebruikt worden: er dienen voldoende (alle?) andere individuen vertrouwen te hebben in de
74
identiteit van het centrum voordat de identiteit hiervan als geldig aangenomen wordt. Ook zou een individu ‘navraag’ kunnen doen bij andere centra, dit kan alleen lastig zijn wanneer er maar één centrum aanwezig is. Vertrouwen In een centraal ingericht PKI wordt het centrum vertrouwd wanneer dit ook als certificate authority dient. Deze stelling geldt omdat, wanneer het centrum niet vertrouwd zou worden, het hele PKI niet zou kunnen functioneren aangezien de geldigheid van certificaten bepaald wordt op basis van de mate waarin de gebruikers vertrouwen hebben in het centrum. In decentraal ingerichte PKI bestaat de ontwikkeling van vertrouwensmomentum. Dit hangt samen met het celebrity idee om te bepalen of het centrum te vertrouwen is, alleen gaat het bij vertrouwensmomentum om de mate waarin het vertrouwen in het centrum verandert wanneer het vertrouwen van anderen in het centrum veranderd. Veelal zal het centrum meer vertrouwd worden naarmate er meer individuen vertrouwen in hebben. Dit op zichzelf versterkt het vertrouwen in het centrum. Echtheid van informatie In principe gaan individuen ervan uit dat de informatie die op het centrum aanwezig is waar is. Wanneer individuen hieraan twijfelen dan heeft dit in centraal ingerichte PKI’s waarbij het centrum ook optreedt als certificate authority meer gevolgen dan wanneer er sprake is van een decentrale inrichting. Wanneer gebruikers van mobiele devices twijfelen aan de waarachtigheid van de informatie die op het centrum aanwezig is, zullen zij ook vrij weinig geloof hebben aan de uitspraken van het centrum over de identiteiten van andere gebruikers. In een decentraal ingericht PKI zal de mogelijkheid tot beveiligd communiceren niet verminderen wanneer het centrum niet geloofd wordt, omdat uitspraken van het centrum niet nodig zijn voor het functioneren van het PKI zelf. 6.3.3 Registratie Privacy Registratie beperkt de autonomie van de gebruikers van mobiele devices en kan een beperkt beeld van hen geven. Dit is onafhankelijk van het type PKI wat gebruikt wordt. ‘Misbruik’ voorkomen In tegenstelling tot privacy bevat ‘misbruik’ voorkomen wel een verschil tussen decentraalen centraal ingerichte PKI’s. Wanneer het centrum in een centraal ingericht PKI ook als certificate authority optreedt, zal dit centrum weinig moeite hebben om de verschillende mobiele devices te onderscheiden. Het centrum is onafhankelijk van datgene waar het informatie over wil verzamelen om te bepalen wie wie is. In een decentraal ingericht PKI is het mogelijk dat gebruikers moedwillig de registratie willen saboteren, bijvoorbeeld omdat zij het inbreuk op hun privacy vinden. Dit kunnen gebruikers doen door af te spreken claims over elkaars identiteiten te maken die niet kloppen. Het centrum is namelijk voor de informatie die het opvangt afhankelijk van datzelfde wat dient te bepalen wie wie is. Gebruikers die de registratie willen saboteren hebben echter wel het nadeel dat zij vervelende klusjes die het centrum voor hen kan oplossen ook tegenwerken. Identiteit Hoewel een certificaat in een PKI iets zegt over de identiteit van een onderdeel van het roaming user network, is een identiteit meer dan alleen de naam en de public key van zo’n onderdeel. Registratie kan gebruikt worden om een meer compleet beeld van de identiteit van een gebruiker op te stellen, hoewel dit beeld natuurlijk beperkt is door datgene wat uiteindelijk te verkrijgen is van een mobiel device. Het beeld dat verkregen wordt is niet afhankelijk van het gebruikte soort PKI.
75
Het is aan de mobiele devices of de gebruikers ervan om bij registratie zich te authenticeren. In een centraal ingericht PKI is dit vrij eenvoudig, het centrum kan dit geheel zelf bepalen omdat het weet met wie het wil communiceren en zelf de informatie heeft die nodig is om te bepalen of de communicatie echt verloopt met degene waarmee communicatie gewenst is. In een decentraal ingericht PKI is er het risico tot sabotage wat bij ‘misbruik’ voorkomen al genoemd is. Er dient echter wel een kanttekening gemaakt te worden bij deze vorm van sabotage. Het veronderstelt namelijk wel dat een erg groot deel van de gebruikers van mobiele devices vals speelt. Als deze groep vrij klein is, zullen hun valse claims makkelijk overschreeuwd worden door de groepen die wel eerlijk zijn. Bij vertrouwen wordt hierop teruggekomen. Vertrouwen Zoals bij identiteit al genoemd is, is het binnen decentraal ingerichte PKI’s mogelijk voor het centrum om een beeld te vormen van de identiteit van individuele gebruikers. Daarnaast is het mogelijk om bij te houden welke gebruikers wat geclaimd hebben over de identiteit van anderen. Eventuele valsspelers zullen hierdoor ontdekt worden als er niet teveel zijn42. Het vertrouwen wat het centrum in gebruikers kan dan ook aangepast worden. Uiteindelijk zal er voornamelijk geluisterd worden naar de gebruikers die de reputatie hebben waarachtige claims te doen over anderen. Echtheid van informatie Het bepalen van de juiste identiteit van gebruikers is één aspect waarover gebruikers in een decentraal ingericht PKI kunnen liegen. Als dit opgelost is zoals genoemd bij het punt vertrouwen blijft nog over de waarachtigheid van de informatie die betrokken wordt van de gebruiker tijdens de registratie. Hierbij zal het in veel gevallen gaan om automatisch gegenereerde informatie. Er dienen dan ook voorzieningen getroffen te worden die ervoor zorgen dat het lastig is om hiermee te frauderen. Deze voorzieningen zelf zijn niet afhankelijk van de vraag of het om een centraal- of decentraal ingericht PKI’s gaat. 6.3.4 Conclusie In de vorige paragrafen is er een vergelijking gemaakt tussen de manieren waarop centraal- en decentraal ingerichte PKI’s omgaan met de aspecten die genoemd zijn bij de behandeling van de relaties in een PKI bij gebruik in een roaming user network. In deze paragraaf zullen de belangrijkste verschillen en enkele conclusies nog even herhaald worden. Tabel 10 bevat in het kort de opvallende verschillen tussen centraal- en decentraal ingerichte PKI’s.
42
Wanneer het aantal valsspelers te groot wordt, verdwijnt eigenlijk het vertrouwen in het decentraal ingericht PKI en werkt het systeem niet meer. Dit is een kenmerk van peer-to-peer netwerken. Dit kan dus ook bij centraal ingerichte PKI optreden, alleen de kans is kleiner omdat het centrum altijd nog een zekere mate van vertrouwen in eigen hand heeft. 76
Relatie Privacy
Verkeersstroom Conversatie
Consultatie
Registratie
Geen verschil tussen centraal en decentraal
Geen verschil tussen centraal en decentraal
Centraal: centrum heeft zelf controle over de toegang en de verificatie van identiteiten die toegang wensen
Centraal: Centrum weet met wie het wil communiceren en bevat de middelen om te bepalen of de communicatie ermee plaatsvindt. Lastig saboteerbaar
Decentraal: centrum is afhankelijk van uitspraken van anderen over identiteiten gebruikers. Kan onaantrekkelijk zijn vanwege ongelijkheid tussen centrum en gebruikers Centraal: Alle gebruikers kennen de public key van het centrum wanneer dit tevens CA is.
Decentraal: Centrum is afhankelijk van andere gebruikers om te bepalen wie wie is. Sabotage gevoelig
Decentraal: identiteiten vaststellen is lastiger. Decentrale oplossing voor identiteitsbepaling past mooi bij decentrale communicatie Centraal: vertrouwen verandert niet
Decentraal: celebrity metafoor kan gebruikt worden voor bepalen identiteit centrum
Decentraal: Saboteerbaar, maar de kans daarop is klein bij een klein aantal valsspelers.
Centraal: Het centrum wordt vertrouwd
Centraal: Vertrouwen verandert niet
Decentraal: gebruikers kunnen kiezen wie ze vertrouwen en wie niet. Vertrouwen tonen kan vertrouwen of wantrouwen opleveren Multi actor netwerken zowel toepasbaal op centraal- als decentraal ingerichte PKI’s, dus geen verschil
Decentraal: vertrouwen in het centrum veranderd naarmate meer gebruikers het vertrouwen
Decentraal: Het vertrouwen in een kleine groep valsspelers kan aangepast worden
Centraal: als het centrum niet geloofd wordt werkt het PKI niet meer
Voorzieningen om ‘liegen’ door mobiele devices mogelijk te maken gelden zowel voor centraal- als decentraal ingerichte PKI’s
Decentraal: functionaliteit PKI onafhankelijk van waarachtigheid uitspraken centrum
Decentraal: over uitspraken over identiteit kan ‘gelogen’ worden. Deze ‘leugens’ zijn te achterhalen bij een klein aantal valsspelers.
Centraal: Risico van centrale opslag private keys Decentraal: Private keys alleen bekend bij eigenaren ervan
‘Misbruik’ voorkomen
Identiteit
Vertrouwen
Echtheid van informatie
Centraal: Voor de organisatie is misbruik moeilijk te achterhalen. Voor de overheid is dit wel mogelijk omdat deze toegang tot de private keys kan eisen en toegang tot het publieke netwerk heeft Decentraal: Zowel voor organisatie als overheid lastig te achterhalen
Centraal: Centrum is algemeen vertrouwd en certificaten zijn lastig te vervalsen
Centraal: Centrum kan bepalen of het communiceert met wie het wil communiceren
Tabel 10 Verschillen tussen centraal- en decentraal ingerichte PKI’s
Wat opvalt is dat er verschillen zijn per type verkeersstroom over hoe centraal- en decentraal ingerichte PKI’s ermee omgaan. Bij conversatie zijn hele andere dingen relevant dan bij de communicatie tussen centrum en individu (consultatie en registratie). Wat verder opvalt is dat decentraal ingerichte PKI’s lastiger centraal te controleren zijn, maar aan de andere kant een
77
dynamischer karakter hebben, vooral omdat vertrouwen kan veranderen. Het gebrek aan centrale controle leidt tot een hogere mate van privacy en autonomie voor de gebruikers. Aan de andere kant betekent dit ook extra verantwoordelijkheden voor hen. Bij conversatie is dit wellicht aantrekkelijk. Voor consultatie en registratie lijkt een centrale aanpak eenvoudiger omdat het centrum niet afhankelijk hoeft te zijn van anderen om te bepalen wie wie is. In de volgende paragraaf worden de hier gevonden verschillen gebruikt om te komen tot verschillen in Trust tussen centraal- en decentraal ingerichte PKI’s. In hoofdstuk zeven wordt teruggekomen op alle relaties die hier genoemd zijn en bekeken welke ethische aspecten er van belang zijn. Er is hier namelijk nog absoluut geen voorkeur uitgesproken voor centraal- of decentraal ingerichte PKI’s. Op basis van puur technische kenmerken hebben ze allebei voor en nadelen. Hopelijk lukt het met behulp van de moraalwetenschappen uiteindelijk wel een voorkeur aan te geven zodat er in hoofdstuk 8 tot een zinvol advies voor roaming user networks gekomen kan worden.
6.4 Trust in PKI In het vorige hoofdstuk is Trust gedefinieerd als ‘de verzameling voorzieningen die in een netwerk getroffen worden om vertrouwen mogelijk te maken in de relaties die een rol spelen in het netwerk.’ In de vorige paragraaf zijn de verschillen aangegeven tussen centraal- en decentraal ingerichte PKI’s in de manier waarop zij omgaan met de relaties die in het netwerk optreden. Deze verschillen zijn eigenlijk de voorzieningen die vertrouwen mogelijk maten in deze relaties. Omdat hiermee alle ingrediënten aanwezig zijn die in de definitie van Trust voorkomen, is het nu mogelijk om Trust in PKI netwerken voor roaming user networks te bepalen. Aangezien de vorige paragraaf eigenlijk alle ingrediënten van de definitie al bevatte is dit al een beschrijving van Trust. Omdat het daar ging om de individuele relaties kan gesproken worden over Trust op micro-niveau. Deze paragraaf richt zich erop Trust op macro-niveau. Het gaat dan niet alleen om de afzonderlijke relaties, maar ook de afhankelijkheid tussen deze relaties. 6.4.1 Afhankelijkheid tussen relaties De relaties in een PKI netwerk zijn niet onderling onafhankelijk. Bij het behandelen van de manier waarop centraal- en decentraal ingerichte PKI’s Identiteit Privacy omgaan met deze relaties kwam al naar voren dat sommige relaties elkaar aanvullen, overlappen of tegenwerken. Zo is bijvoorbeeld Vertrouwen het bepalen van identiteit in een decentraal PKI afhankelijk van de vraag of vraag of gebruikers de waarheid spreken. Daarnaast was ‘Misbruik’ Echtheid van al aangetoond dat ‘misbruik’ voorkomen Informatie voorkomen en privacy met elkaar op gespannen voet staan. In figuur 29 worden de verbanden tussen de Figuur 29 Verbanden tussen de relaties relaties getoond.
-
+
-
+
+
De relaties in figuur 29 bestaan eigenlijk uit twee groepen. Aan de ene kant is er Identiteit, Vertrouwen en Echtheid van Informatie die elkaar positief beïnvloeden. Deze relaties hebben de neiging elkaar te versterken. Door een sterkere implementatie van het begrip Identiteit neemt het vertrouwen dat communicatie met de gewenste partij plaats vindt toe. Dit werkt ook in de andere richting: wanneer het vertrouwen in een entiteit in het netwerk toeneemt, zal 78
dit identiteit versterken omdat uitspraken over de identiteit van anderen hierdoor aannemelijker worden. Wanneer het vertrouwen groeit, zal ook de geloofwaardigheid van informatie die gecommuniceerd worden toenemen. Daarnaast vergroten ook maatregelen die de waarachtigheid van informatie kunnen bepalen het vertrouwen. De tweede groep bestaat uit Privacy en ‘Misbruik’ voorkomen. Deze zijn uiteraard negatief aan elkaar gerelateerd. De twee groepen worden met elkaar gerelateerd omdat Privacy gebaat is bij anonimiteit dat tegen identiteit ingaat. ‘Misbruik’ voorkomen is positief gerelateerd aan echtheid van informatie omdat ‘liegen’ ook als een vorm van ‘misbruik’ gezien kan worden. Waarom is dit belangrijk? Dit is belangrijk omdat het willen variëren van één relatie de werking van een andere relatie kan beïnvloeden. Met name relaties die elkaar negatief beïnvloeden zijn hierbij interessant omdat er een keuze gemaakt zal moeten worden tussen welke het belangrijkst geacht wordt. Door over de pijlen te ‘lopen’ is het mogelijk om relaties waar geen directe pijl tussen loopt aan elkaar te relateren. Eigenlijk de enige relatie die in negatief verband staat met de andere is privacy. Dit is lastig aangezien dit een belangrijke waarde is, maar rekening houden met deze relatie ervoor zorgt dat andere relaties negatief beïnvloed worden. 6.4.2 Relaties waar PKI’s moeite mee hebben Uit de vorige paragraaf is al gebleken dat een aantal relaties door ofwel centraal- ofwel decentraal ingerichte PKI’s moeilijk te bepalen zijn. Hier zit dan ook een stuk incompleetheid van Trust. Uit de samenvatting in tabel 10 kan geconcludeerd worden dat een aantal relaties lastig zijn (deze hebben een rode achtergrondkleur in de tabel). Voor de duidelijkheid zijn deze relaties in tabel 11 herhaald. Relatie
Verkeersstroom
Inrichting PKI
Moeilijkheid
Privacy
Conversatie
Centraal
Misbruik voorkomen
Conversatie
Centraal en Decentraal Decentraal
Consultatie Registratie
Decentraal
Identiteit Vertrouwen
Registratie Alle verkeersstromen
Decentraal Centraal
Echtheid van Informatie
Consultatie
Centraal
Registratie
Decentraal
risico centrale opslag private keys achterhalen misbruik door organisatie achterhalen misbruik door overheid centrum afhankelijk van anderen bepalen identiteiten Saboteerbaar Vertrouwen verandert niet geloofwaardigheid centrum bepaald werking PKI uitspraken over anderen kunnen gelogen zijn
Tabel 11 Relaties waar PKI’s moeite mee hebben
Wanneer deze relaties bekeken worden, valt een aantal zaken op. Bij conversatie is er vooral moeite om misbruik te voorkomen. Dit geldt zowel voor centraal- als decentraal ingerichte PKI’s, hoewel meer voor de laatste soort. Centraal ingerichte PKI’s hebben voor de overheid de mogelijkheid om misbruik te achterhalen, echter deze mogelijkheid heeft een prijs:
79
centrale opslag van keys, wat een beveiligingsrisico is. Daarnaast dienen deze (geheime) keys weer gedistribueerd te worden en juist dat dit niet nodig zou zijn, was wat PKI zo aantrekkelijk maakt. Wanneer toegang door de overheid buiten beschouwing gelaten wordt, maakt het voor ‘misbruik’ voorkomen niet uit of er gebruik gemaakt wordt van een centraalof een decentraal ingericht PKI. Op het gebied van privacy heeft decentraal duidelijk een voordeel doordat private keys ook echt private zijn. Bij consultatie en registratie is er sprake van communicatie tussen een centrum en individuen (de gebruikers van mobiele devices). Bij deze communicatie is altijd sprake van een zekere mate van ongelijkheid. Dit komt omdat het centrum (waar centralisatie van informatie plaatsvindt) een zekere mate van autoriteit krijgt. [Brooke 1984, p. 63, 133] In veel gevallen zal het centrum een macht hebben die hoger staat dan die van de gebruikers. In een centraal ingericht PKI is deze macht het grootst omdat het centrum ook alle middelen heeft om de identiteiten van gebruikers te bepalen. Wanneer het centrum deze identiteit namelijk kent, kan het hiervan gebruik maken om te reageren op de acties van de gebruikers (bijvoorbeeld toegang geven of ontzeggen). Decentraal ingerichte PKI’s laten datgene wat de identiteit van een gebruiker of centrum dient te bepalen bij de gebruikers. Voor consultatie is de metafoor van de celebrity een aardige oplossing, voor registratie is het een nadeel voor het centrum dat het afhankelijk is van de gebruikers om hun identiteiten te bepalen. Uiteindelijk zullen altijd de bezitters van informatie zich moeten authenticeren. Het is hierbij onaantrekkelijk om hen ook hun eigen identiteit te laten bewijzen. Voor conversatie is dit een minder groot probleem omdat alle gebruikers in zekere zin tot dezelfde groep behoren (tot dezelfde equivalentieklasse). Wanneer er echter een centrum in het spel is, zijn er meerdere klassen aanwezig en op dat moment gaat de peer-to-peer relatie die PKI kenmerkt niet meer op. Het is als het ware de ene groep (van gebruikers) tegen het centrum. Dit maakt decentraal ingerichte PKI’s minder geschikt voor consultatie en registratie, met andere woorden voor communicatie tussen groepen die zich op verschillende hiërarchische niveaus bevinden. Tenslotte hebben centraal ingerichte PKI’s nog twee nadelen. Eén ervan is dat de geloofwaardigheid van het centrum bepaald of het PKI werkt. Als het centrum namelijk de waarheid niet spreekt, kan het ook ‘liegen’ over de identiteiten van gebruikers. Decentraal ingerichte PKI’s heeft een soortgelijk probleem, alleen is dit makkelijker op te lossen doordat er hier meer gebruikers zijn die uitspraken doen over identiteiten. De kans dat die allemaal ‘liegen’ is aanmerkelijk kleiner (dit kan alleen in geval van georganiseerde sabotage zoals bij registratie werd gemeld). Het risico wordt als het ware gespreid over alle gebruikers. Het tweede nadeel is wellicht meer een kwestie van smaak. In centraal ingerichte PKI’s kan vertrouwen niet veranderen, doordat gebruikers en centra niet openlijk elkaar vertrouwen kunnen geven. Het netwerk krijgt hierdoor een iets meer statisch karakter. Dit hoeft echter geen nadeel te zijn. Omdat dit geen objectief nadeel is, zal dit pas in het volgende hoofdstuk verder behandeld worden, hier wordt het slechts genoemd ter volledigheid. 6.4.3 Conclusie Uit het vorige valt op dat bij conversatie een decentraal ingericht PKI’s een voordeel lijkt te hebben. Niet alleen vanwege de in paragraaf 6.4.2 genoemde redenen, maar ook omdat er al geconstateerd was dat conversatie een soort decentrale communicatie is en dat een decentrale oplossing daarvoor elegant is (zie paragraaf 6.3.4). Bij communicatie tussen centra en individuen lijken centraal ingerichte oplossingen aantrekkelijker. Dit is natuurlijk niet zo’n heel erg prettig conclusie, want hoe moet je nu
80
kiezen? Per systeem individueel bepalen welke verkeersstroom belangrijker is en daarmee welke soort PKI aantrekkelijker is? Of misschien is het mogelijk om in de twee soorten PKI’s meer naar elkaar toe te laten groeien? Ik kies voor de laatste oplossing. In de volgende paragraaf wordt behandeld hoe de problemen van decentraal ingerichte PKI’s opgelost kunnen worden zodat deze beter toepasbaar wordt voor communicatie tussen centrum en individu.
6.5 Hiërarchie in decentraal ingerichte PKI Uit de vorige paragraaf is gebleken dat decentrale PKI’s vooral moeite hebben met communicatie waarbij er sprake is van communicatie tussen centra en gebruikers. Dit lag met name in het verschil in machtverhouding tussen centra en individuen. In deze paragraaf wordt een oplossing hiervoor geschetst die deze machtsverhouding wellicht niet wegneemt en daarnaast het decentrale karakter van het netwerk niet vermindert. Het idee is dat een machtsverhouding geen probleem is als die door individuen ook als legitiem ervaren wordt. Een typische eigenschap van decentrale netwerken is dat er altijd toch machtsverhoudingen ontstaan tussen de verschillende gebruikers. Gebruikers zijn namelijk niet gelijk aan elkaar en daardoor zullen sommige meer weten dan anderen, meer kunnen of harder werken. Meestal wordt dit uiteindelijk opgemerkt door anderen en groeit het vertrouwen in deze gebruikers43. Nu is de vraag om in een situatie waar aanvankelijk aan het centrum geen bijzondere eigenschappen toegekend worden (het centrum is als het verborgen tussen de andere gebruikers), deze in een decentraal netwerk uiteindelijk wel een centrum zal worden. Hiervoor is meer nodig dan alleen de PKI infrastructuur. Hoewel natuurlijk individuele gebruikers beslissingen kunnen nemen en uiteindelijk zelf bepalen wie het centrum is, is het aantrekkelijker als dit min of meer automatisch gebeurt. Hiervoor zijn multi actor netwerkstructuren aantrekkelijk. Experimenten dienen uit te wijzen in welke mate het lukt om zo het centrum uiteindelijk ook uit te laten groeien tot centrum, hoe lang dit duurt, hoeveel dataverkeer hiervoor nodig is en wat de gevolgen voor andere gebruikers zijn. Ook is het een interessant vraagstuk of elk individu uit kan groeien tot centrum mocht deze dat willen en of het problematisch is als een ander dan het beoogde centrum tot ‘centrum’ uitgroeit. Tenslotte, als deze gebruiker wel alle vragen kan beantwoorden.
43
In peer-to-peer netwerken worden deze gebruikers meestal ‘super-peers’ genoemd. 81
Hoofdstuk 7: Morele aspecten 7.1 Inleiding Voor de analyse van de morele aspecten van PKI in roaming user networks wordt gebruik gemaakt van het stappenplan wat beschreven wordt beschreven in de reader van het vak ‘Techniek en Ethiek voor ST’. [Deuss & Royakkers 2002, pag. 5 en 6] Dit stappenplan biedt een model om morele vraagstukken te behandelen. De opbouw is ruwweg als volgt: - een beschrijving geven van de situatie waarin het morele vraagstuk aan bod komt (paragraaf 7.2); - het identificeren van de betrokkenen en de voor hen relevante waarden (paragraaf 7.3); - het bepalen van de handelingsmogelijkheden voor deze betrokkenen (paragraaf 7.4); - het beoordelen van de handelingsmogelijkheden vanuit de mate waarin ze de relevante waarden positief, neutraal of negatief realiseren (paragraaf 7.5); - het beoordelen van de handelingsmogelijkheden op hun ethische wenselijkheid vanuit de twee grootste ethische stromingen: het utilisme (paragraaf 7.6) en de theorie van Kant (paragraaf 7.7); - het geven van de handelingswijze van voorkeur van de auteur (paragraaf 7.8). De voorlaatste stap uit de stappenplan, beoordeling aan de hand van beroepscodes wordt niet behandeld omdat deze analyse niet gedaan wordt vanuit het perspectief van een professional die een beslissing moet nemen. Het hoofdstuk wordt afgesloten met een korte samenvatting en een vooruitblik naar het volgende hoofdstuk.
7.2 Beschrijving moreel vraagstuk 7.2.1 Casus: De eigen verantwoordelijkheid van gebruikers In de vorige hoofdstukken is getoond dat een gebruiker met behulp van PKI kan bewijzen een bericht gestuurd te hebben, door het te ondertekenen met behulp van de eigen private key. Als een gebruiker kan bewijzen een bericht gestuurd te hebben heeft dit interessante toepassingen, niet alleen in de omgang tussen mensen, maar kan dit bewijs ook een juridische waarde hebben. Voorbeelden hiervan zijn: 1. Op dit moment is voor veel transacties nog een geschreven handtekening nodig. Hierbij kan gedacht worden aan belastingsaangifte, aankopen waarbij notariële aktes nodig zijn en veel van het contact tussen burger en overheid. Omdat steeds meer van dit soort transacties elektronisch verlopen (denk bijvoorbeeld aan de grote groei in het aantal belastingaangiftes dat met de computer gedaan wordt), zou het aantrekkelijk kunnen zijn om elektronische handtekeningen rechtsgeldig te maken. 2. Voor pakketten en brieven bestaat de mogelijkheid deze aangetekend te versturen, wat wil zeggen dat een zender er zeker van kan zijn of de brief of het pakket ontvangen is door de geadresseerde. Het zou wellicht voor elektronische berichten interessant kunnen zijn om aan te geven of deze ontvangen zijn. Een ondertekende ontvangstbevestiging kan dit mogelijk maken44. Voor beide voorbeelden geldt dat er een zekere juridische waarde aan elektronische handtekeningen gegeven wordt. Sinds kort wordt er in Nederland ook juridische waarde aan elektronische handtekeningen gekoppeld (via de Wet op de Digitale Handtekening). 44
Het vragen van een ontvangstbevestiging van een e-mail is mogelijk. Deze is echter niet ondertekend. Daarnaast kunnen ontvangers instellen geen ontvangstbevestigingen te willen ontvangen. 82
[Blankesteijn 2003] In de Verenigde Staten is dit echter al veel langer het geval. Het is alleen echter wel de vraag of deze wetgeving niet te ver gaat. In bijvoorbeeld de staten Utah en Washington geldt dat wanneer een bericht ondertekend wordt door een bepaalde private key, de eigenaar van die key als zender van het bericht beschouwd wordt. Met andere woorden de eigenaar van die private key mag niet ontkennen het bericht verstuurd te hebben. Dit komt omdat gebruikers in deze staten altijd juridisch aansprakelijk zijn voor waar hun private key voor gebruikt wordt (als deze van een erkende certificate authority betrokken is). Wat betekent het nu dat een gebruiker niet kan ontkennen een bepaald bericht verstuurd te hebben? Op het eerste gezicht klinkt dit wellicht niet onaantrekkelijk. Het betekent namelijk dat gebruikers die hun key gebruiken om berichten te sturen die schade veroorzaken (bijvoorbeeld computer virussen versturen) verantwoordelijk voor de schade gehouden kunnen worden. Daarnaast stelt het dat eigenaars voorzichtig moeten zijn met hun private key. Aan de andere kant betekent het in de eerste plaats dat als iemand anders de private key van een gebruiker ergens voor gebruikt, de eigenaar van de sleutel altijd verantwoordelijk is voor alles wat die persoon met de key doet. Een eigenaar van een private key zou dus op kunnen draaien voor het misbruik van anderen. Daarnaast kan een eigenaar er niets tegen doen, want de eigenaar mag nooit ontkennen het bericht verstuurd te hebben. Dit in tegenstelling bijvoorbeeld tot mailorder, waarbij ontkend kan worden een bepaalde bestelling gedaan te hebben. Het is in dat geval aan de verkoper om te bewijzen dat deze toch plaats heeft gevonden. De door de staten Utah en Washington ingevoerde wetgeving zou kunnen werken wanneer eigenaren van private keys deze perfect zouden kunnen beschermen. Maar in hoeverre zijn ze daartoe in staat? Een voorbeeld In de context van een roaming user network: wat als een device gestolen wordt? Zijn zij dan verantwoordelijk voor alles wat ermee gedaan wordt. Het zou best kunnen dat het even duurt voordat gebruikers in de gaten hebben dat hun device gestolen is. Zijn ze dan verantwoordelijk voor de schade die optrad tussen het moment dat het device gestolen werd en de eigenaar de diefstal meldde? Daarnaast kan het zijn dat een gebruiker ter goede trouw een schadelijk bericht ondertekent omdat het PKI zelf niet geheel veilig is (in paragraaf 7.3.3 wordt een overzicht gegeven van situaties waarin dit mogelijk is). In hoeverre is deze gebruiker dan verantwoordelijk voor deze schade die het bericht toebrengt? Deze analyse gaat dan ook met name over de vraag in hoeverre gebruikers verantwoordelijk zijn voor het gebruik van hun private key. Een onderdeel van deze vraag is in hoeverre gebruikers verantwoordelijk zijn voor de bescherming van hun private key. Hierbij kan ook onderscheid gemaakt worden tussen decentraal- en centraal ingerichte PKI’s. 7.2.2 Voorlopige probleemstelling Het toekennen van een juridische waarde aan ondertekening van berichten met behulp van een private key kan aantrekkelijk zijn, zoals uit de casus is gebleken. Wanneer deze waarde echter toegekend wordt aan ondertekende berichten, dan zal er sprake van juridische aansprakelijkheid zijn bij de eigenaren van de private keys. Het doel van deze analyse is dan ook om te bepalen hoe groot de verantwoordelijkheid van eigenaren van private keys is voor de berichten die door hun private ondertekend worden. Dit leidt tot de volgende voorlopige probleemstelling: In hoeverre zijn gebruikers in een roaming user network verantwoordelijk voor de berichten die door hun private key ondertekend worden? 83
7.2.3 Motivatie keuze moreel vraagstuk Voor de beschrijving van het morele vraagstuk is gebruik gemaakt van een essay van Ellison en Schneider. [Ellison & Schneider 2000] Dit essay behandelt een tiental risico’s met betrekking tot het gebruik van PKI’s. De risico’s die zij onderkennen zijn de volgende: Risk #1: “Who do we trust and for what?” Hierbij gaat het om de vraag wat het maakt dat een certificate authority vertrouwd wordt. In de literatuur over cryptografie betekent dit namelijk alleen dat de certificate authority de eigen private key goed beschermt. Dit zegt echter niets over de mogelijkheid van deze partij om de identiteit van anderen te bepalen. Risk #2: “Who is using my key?” Hierbij gaat het om het risico dan anderen gebruik kunnen maken van de private key van een gebruiker. Het is namelijk niet altijd mogelijk voor gebruikers om hun private key volledig te beschermen. Risk #3: “How secure is the verifying computer?” De kracht van een certificaat is afhankelijk van de mate waarin anderen in staat zijn de echtheid ervan te bepalen. Gebrek aan beveiliging van de verifiërende computer kan echter leiden tot een mindere mogelijkheid hiervan om de echtheid van een handtekening vast te stellen. Risk #4: “Which John Robinson is he?” Certificaten koppelen een naam aan een bepaalde public key. Alleen hoeft een naam niet uniek te zijn. Risk #5: “Is the CA an authority?” Certificate authorities kunnen certificaten uitgeven en hebben daarmee een zekere autoriteit over de geldigheid van certificaten, maar zijn het ook autoriteiten over wat het certificaat bevat? Certificate authorities kunnen bijvoorbeeld bepalen welke bedrijven SSL kunnen gebruiken, maar de certificate authority zelf is geen autoriteit op het gebied van het bestaan van een bedrijf (daarvoor bestaan Kamers van Koophandel). Risk #6: “Is the user part of the security design?” Bij het ontwerp van informatiebeveiligingsoplossingen wordt niet altijd voldoende rekening gehouden met de gebruiker. Wanneer een gebruiker bijvoorbeeld een beveiligde website betreedt, dan verschijnt er een aantal hints op het beeldscherm die aangeeft dat de informatie beveiligd is. Het certificaat echter, wordt niet getoond. Hierdoor hebben gebruikers geen idee of wat ze op het scherm zien (bedrijfslogo en bedrijfsnaam bijvoorbeeld) ook dezelfde naam zijn in het certificaat. Van gebruikers kan niet verwacht worden dat ze dit zelf op gaan zoeken. Risk #7: “Was it one CA or a CA + a Registration Authority?” Het gebruik van een certificate authority plus registration authority is per definitie minder veilig dan alleen het gebruik van een certificate authority. Hier wordt dadelijk verder op ingegaan Risk #8: “How did the CA identift the certificate holder?” Een certificaat kan alleen waarde hebben als de certificate authority heeft kunnen bepalen of de public key van een gebruiker inderdaad wel bij die gebruiker hoort en daarnaast of degene die het certificaat aanvraagt wel degene is die deze claimt te zijn. Risk #9: “How secure are the certificate processes?” Certificaten bieden alleen beveiligingsmogelijkheden wanneer ze goed gebruikt worden. Hierbij is de vraag of over dit gebruik goed nagedacht is, of dat ze op basis van imitatie van anderen zijn. Dit is helemaal vervelend wanneer het geïmiteerde gedrag gebaseerd was op min of meer willekeurige keuzes. Risk #10: “Why are we using the CA process, anyway?” Dit risico richt zich met name op single sign on applicaties. Hier wordt dadelijk verder op ingegaan.
84
De algemene stelling is dat veel literatuur over PKI geschreven wordt door partijen die er belang bij hebben dat veel organisaties deze technologie adopteren. Veel literatuur wordt met andere woorden geschreven door producenten van PKI’s en zijn dan ook gericht op het in een positief daglicht zetten van deze technologie. Ellison en Schneider claimen niet dat PKI’s niet werken, maar dat er net als bij alle andere beveiligingstechnologie haken en ogen aan zitten, waar niet altijd bij stilgestaan wordt. De in het essay genoemde risico’s geven een vrij compleet beeld van deze haken en ogen. De risico’s worden gebruikt voor de identificatie van morele vraagstukken omdat het bij deze risico’s is waar zaken mis kunnen gaan. En als er iets mis kan gaan, worden belangen (waarden) van verschillende actoren relevant. Wanneer er iets mis gaat, wordt bijna altijd de vraag wie verantwoordelijk is relevant45. Verantwoordelijkheid wordt door Raoul Wirtz als volgt omschreven: “Verantwoordelijk is de persoon of instantie die als (mede-) oorsprong van een handelingseffect kan worden aangemerkt of die zich in een rol, positie of functie bevindt die met aanspreekbaarheid gepaard gaat.” uit: Bedrijfsethiek, een goede zaak [Jeurissen (red) 2001, pag. 24]
Concreet betekent dit dat in principe degene die een bepaalde handeling uitvoert op de gevolgen aangesproken kan worden maar dat ook het werken in een bepaalde rol, het bekleden van een bepaalde positie of het uitvoeren van een bepaalde functie die met aanspreekbaarheid gepaard gaat tot verantwoordelijkheid kan leiden. In deze analyse gaat het met name om morele verantwoordelijkheid die Raoul Wirtz als volgt omschrijft: “het in overeenstemming met waarden en normen (handelen, ed.) waaraan wij onszelf en anderen in redelijkheid gehouden achten.” uit: Bedrijfsethiek, een goede zaak [Jeurissen (red) 2001, pag. 24]
Dit betekent dus dat het bepalen van verantwoordelijkheid gebeurt op basis van een heersend stelsel van normen en waarden. Dit is niet hetzelfde als juridische verantwoordelijkheid waarbij aanspreekbaarheid op basis van juridisch vastgestelde bepalingen vastgesteld wordt. Het spreekt voor zich dat het vaststellen van een “heersend stelsel van normen en waarden” niet altijd eenvoudig is. Uit de casus blijkt dat Utah en Washington juridische verantwoordelijkheid in ieder geval bij de gebruiker leggen. Merk hierbij op dat om juridische waarde toe te kunnen kennen aan ondertekening van berichten, er een juridische verantwoordelijkheid zal liggen bij de eigenaren van de private keys. Hier wordt onderzocht of dit moreel juist is door te bepalen wat de morele verantwoordelijkheid van eigenaren van private keys is. De morele verantwoordelijkheid van eigenaren van private keys zal verschillen voor centraal- en decentraal ingerichte PKI’s. Van deze tien risico’s worden de meeste in de casus behandeld. De enige risico’s die niet behandeld worden zijn risico 7 en risico 10: Risk #7: “Was it one CA or a CA plus a Registration Authority?” Certificate Authorities (CA’s) en Registration Authorities (RA’s) zijn niet hetzelfde. RA’s kunnen in theorie meer zeggen over de identiteit wat bij een certificaat hoort dan een CA. De 45
Uiteraard is een vraagstuk als privacy belangrijk als het gaat om informatiebeveiliging. Dit hoofdstuk consenteert zich op verantwoordelijkheid omdat de morele aspecten van privacy al erg goed beschreven zijn door andere auteurs. In hoofdstuk zes zijn in het kort al enkele morele aspecten van privacy genoemd en daarmee zal volstaan worden. Voor meer informatie over de morele aspecten van privacy, zie bijvoorbeeld [Koops 1999] [Baker & Hurst 1998] en [Orwell 1949]. 85
Kamer van Koophandel zou bijvoorbeeld als RA kunnen optreden omdat zij beter in staat zijn de identiteit van een bedrijf vast te stellen als een CA. RA’s zijn met andere woorden gespecialiseerd in het uitgeven van certificaten aan bepaalde soorten organisaties of personen. Het certificaat van de RA zelf is ondertekend door een CA. De reden dat dit risico niet behandeld wordt is dat dit in roaming user networks niet echt relevant is. Het centrum zal eigenlijk altijd optreden als Registration Authority. Het risico wat Schneider en Ellison vinden is dat een CA een valse RA aan zou kunnen wijzen. Dit lijkt mij in roaming user networks echter onwaarschijnlijk omdat het centrum een veel grotere rol heeft dan alleen optreden als RA, een rol die een CA moeilijk zal kunnen vervalsen. Risk #10: “Why are we using the CA process anyway?” Dit risico heeft betrekking op Single Sign On (SSO). Bij deze technologie hoeft een gebruiker zich slechts éénmaal te authenticeren, waarna het voor de gebruiker dus niet meer nodig is om voor elke keer dat er beveiligde communicatie nodig is, opnieuw een authenticatie stap uit te voeren. Het risico wat Schneider en Ellison zien is dat wanneer een gebruiker zich geauthenticeerd heeft, deze meestal niet steeds bij de computer in de buurt zal blijven. Het kan dus zijn dat een andere gebruiker tijdelijk van een computer gebruik maakt en dingen doet ‘uit naam’ van de gebruiker die zich geauthenticeerd had. Dit geldt met name in (bureau)omgevingen waar veel computers staan en waarbij de gebruikers niet steeds controle over deze computer uit kunnen voeren. Bij roaming user networks gaat het echter om mobiele hardware die gebruikers steeds bij zich zullen hebben. Wanneer ze deze kwijt raken, of gestolen wordt, zullen ze dit vrij snel merken en tijdig actie kunnen ondernemen.
7.3 Betrokken en de voor hen relevante waarden In deze paragraaf zullen voor de verschillende betrokken actoren de voor hen relevante waarden bepaald worden. In paragraaf 7.3.1 worden de verschillende actoren bepaald, maar pas in paragraaf 7.3.4 wordt vastgesteld welke waarden voor hen relevant is. Dit komt omdat er eerst nog enkele voorbeelden gegeven worden van voor- en nadelen van het toekennen van juridische waarde aan ondertekening van berichten. 7.3.1 Betrokken actoren Bij de bepaling van de betrokken actoren wordt uitgegaan van de mate waarin verantwoordelijkheid voor schade door gebruik van private keys toegerekend kan worden. Deze verantwoordelijkheid kan verdeeld worden over alle partijen die iets te maken hebben met de functionaliteit van het PKI. De sociale kaart in figuur 30 toont welke actoren er zijn en wat hun relatie met betrekking tot PKI’s is onderling. In de sociale kaart in figuur 30 staan de gebruikers centraal. Zij bepalen in een decentraal ingericht PKI de geldigheid van elkaars certificaten en kunnen daarnaast elkaars devices wel eens gebruiken (zie ook paragraaf 7.3.2). De organisatie waar de gebruikers toe behoren kiest een PKI voor een roaming user network en legt dit de gebruikers op. De gebruikers hebben veelal geen inspraak in de keuze van een specifiek PKI. Dit heeft consequenties voor eventuele onveiligheden in het PKI. De keuze van een PKI zal door de organisatie zelden alleen gedaan worden en vaak beïnvloed zijn door de producent van het PKI die het levert en advies van een extern adviseur (de extern adviseur en de producent van het PKI kunnen hetzelfde zijn)46. Certificate authorities leveren (in een 46
Er wordt geen onderscheid gemaakt wordt tussen leveranciers en producenten. De reden hiervoor is, is dat met name gekeken gaat worden naar de verantwoordelijkheid van gebruikers. Het toevoegen van leveranciers maakt het alleen maar ingewikkelder. Daarnaast dient de leveranciers op de hoogte te zijn van het product van de producten (inclusief eventuele mankementen). 86
centraal ingericht PKI) certificaten aan gebruikers. De overheid dient eisen te stellen aan de diensten en producten die producenten en certificate authorities leveren, zeker wanneer aansprakelijkheid voor schade door ondertekende berichten gesteld kan worden. Levert PKI
Producent PKI
Organisatie
Legt gebruik PKI op
Extern adviseur Adviseert over product
Stelt eisen
Overheid
Gebruiken elkaars device
Stelt eisen
Gebruikers
a
Levert certificaten
Bepalen geldigheid certificatenb
Certificate Authority a
alleen in een centraal ingericht PKI b alleen in een decentraal ingericht PKI
Veroorzaakt misbruik private key
Malicious third party Figuur 30 Actoren en hun onderlinge relaties met betrekking tot een PKI
De Malicious third party zijn personen die misbruik willen maken van de private keys van gebruikers of gebruikers willen manipuleren hun private key op een verkeerde manier te gebruiken om er zo beter van te worden. De verdeling van verantwoordelijkheid is met name een gevolg van de relaties tussen de actoren. 7.3.2 Voordelen van het toekennen van juridische waarde aan ondertekening van berichten In deze paragraaf worden drie voorbeelden gegeven waarbij het toekennen van een juridische waarde aan ondertekening van een bericht met behulp van een public key aantrekkelijk is. Onder juridische waarde wordt hier verstaan: de mate waarin eigenaren aansprakelijk gehouden kunnen worden voor schade die berichten die met hun private key ondertekend worden veroorzaken.
Dat er juridische waarde toegekend wordt aan een ondertekend bericht betekent evenwel dat eigenaren van de public key een zekere mate van verantwoordelijkheid zullen moeten hebben. Het doel van de rest van dit hoofdstuk is om te bepalen in hoeverre deze verantwoordelijkheid bij de gebruikers ligt. Belastingaangifte “Leuker kunnen we het niet maken, wel makkelijker” luidt de slogan van de Nederlandse Belastingdienst. Belastingen betalen vindt niemand leuk en veel mensen vinden het daarnaast lastig en omslachtig. En het is moeilijk om hun ongelijk te geven als je bijvoorbeeld naar het 87
standaard P-formulier kijkt. De laatste jaren is het echter ook mogelijk om elektronisch aangifte te doen. Dit is aantrekkelijk omdat het programma van de Belastingdienst gebruikers helpt door hints te geven, routing door het “formulier” te verzorgen en berekeningen te doen. Uiteindelijk kan het resultaat met behulp van een modem, Internet of diskette verstuurd worden. Wanneer van één van de eerste twee mogelijkheden gebruik gemaakt wordt is de aangifte zelfs volledig elektronisch gebeurd. Nou ja, op één detail na dan: de gebruikers dienen de aangifte te ondertekenen. Dit kan door het aanvragen van een digitale handtekening. Deze aanvraag dient echter wel op papier aangevraagd te worden. Het kunnen ondertekenen met behulp van een private key die gebruikers al hebben zou hier een interessante toepassing kunnen zijn. Computervirus Sommige computervirussen kunnen zich verspreiden in E-mail berichten. Vaak hebben gebruikers niet door dat ze een virus hebben en merken het ook niet dat ze dit verspreiden. Het is aantrekkelijk om virussen bij de bron aan te pakken en het ondertekenen van berichten kan hier helpen. Als berichten die niet ondertekend zijn, nooit geopend worden door gebruikers, dient de ontwikkelaar van het virus dit ondertekend te versturen. Dit betekent echter wel dat deze te achterhalen is als de bron van het virus en verantwoordelijk gehouden kan worden voor schade die het veroorzaakt heeft. Aangetekende e-mail versturen Het is soms aantrekkelijk om te weten of een verstuurd bericht aangekomen is. Hiervoor biedt e-mail al enkele voorzieningen. Deze zijn echter verre van foutloos. De huidige opties bestaan uit het bepalen of een bericht ‘afgeleverd’ is en of een bericht ‘gelezen’ is. Hierbij is het echter niet altijd duidelijk wat ‘afgeleverd’ is: veelal betekent dit dat het bericht in de postbus van de geadresseerde geplaatst is maar meer formeel is dat het ergens aangekomen is vanwaar het niet verder doorgestuurd wordt. Dit is de eindbestemming van het bericht, maar hoeft niet noodzakelijkerwijs de geadresseerde te zijn. De vraag of een bericht ‘gelezen’ is, betekent in het e-mail verkeer niets meer dan dat het bericht uit de postbus van de geadresseerde opgehaald is. Het kan echter best zijn dat een bericht opgehaald is, maar het nog niet gelezen is. Eigenlijk bepaalt de optie die aangeeft of een bericht ‘gelezen’ is, alleen dat het aangekomen is. De ontvangstbevestiging die aan de zender van het bericht gestuurd wordt is echter niet ondertekend. Het zou aantrekkelijk kunnen zijn om, analoog aan gewone post, aangetekende e-mails te versturen. Dit betekent dat wanneer het bericht uit de postbus van de ontvanger opgehaald wordt, de afzender een ondertekende ontvangstbevestiging terug gestuurd krijgt. Dit zou betekenen dat veel post waarvan het noodzakelijk is dat deze ontvangen wordt, met e-mail verstuurd zou kunnen worden. Aangetekende e-mail is in principe vrij eenvoudig te implementeren. Alleen krijgt het pas echt waarde wanneer de ondertekende ontvangstbevestiging een zekere juridische waarde krijgt, zoals dat ook voor reguliere aangetekende post het geval is. 7.3.3 Nadelen van het toekennen van juridische waarde aan ondertekening van berichten Deze paragraaf geeft een viertal situaties waarbij de private key voor ondertekening van een bericht misbruikt wordt (al dan niet opzettelijk door een malicious third party). Dit misbruik leidt ertoe dat wanneer er sprake is van juridische waarde van ondertekening van berichten, de eigenaar van de private key (deels) verantwoordelijk is voor eventuele schade die het bericht veroorzaakt.
88
Misbruik van derden door diefstal van een private key Hier wordt een private key gestolen door een derde partij. Wanneer er een juridische waarde aan dit gebruik gekoppeld wordt, dan is de eigenaar verantwoordelijk voor wat de derde doet. Het is namelijk in een PKI niet zo eenvoudig om af te dwingen dat de gebruiker van een private key ook altijd de eigenaar is47. Voorbeelden van dit gebruik kunnen zijn: - gebruikers die tijdelijk niet bij hun device aanwezig zijn en iemand anders even gebruik van het device maakt; - gebruikers waarvan een mobiel device gestolen wordt, devices waarop ingebroken wordt (de private key wordt gelezen vanaf een medium). De mate waarin gebruikers in staat zijn om hun private keys te beschermen tegen derden komt grotendeels overeen met risico #2 wat Ellison en Schneider noemen. Verkeerd gebruik van een private key door derden Het zou kunnen dat een derde toestemming krijgt om een mobiel device even te gebruiken. Hierbij kan het zijn dat deze toepassingen gebruikt waarvoor ondertekening van berichten nodig is. Als hierdoor onbedoeld schade ontstaat is het de vraag wie verantwoordelijk gehouden wordt. Misbruik door ontdekking van de private key door overschrijding van cryptografische leeftijd Certificaten hebben een cryptografische leeftijd. Dit wil zeggen dat op een gegeven moment het certificaat niet sterk genoeg meer zal zijn. Dit is afhankelijk van de toenemende rekenkracht van computers, ontwikkelingen in de cryptografie (zwaktes van algoritmes kunnen ontdekt worden) en dat naarmate een certificaat al langer bestaat de kans dat het al gebroken is toeneemt. Het is mogelijk om op basis van de gevoeligheid van de te beveiligen informatie te berekenen hoelang deze cryptografische leeftijd is. Dit wordt echter niet altijd gedaan. Daarnaast is het niet altijd duidelijk om welke reden een bepaalde geldigheidtermijn en beveiliging van een certificaat gekozen wordt. Wanneer de cryptografische leeftijd verlopen is, kan het certificaat niet meer als veilig bestempeld worden waardoor het gebruik ervan voor verificatie van handtekeningen niet meer als betrouwbaar bestempeld kan worden. (risico #9) Misbruik van een private key door eigenaar op grond van valse informatie Deze vorm van gebruik werd al genoemd in paragraaf 7.2.1 waarbij aangegeven werd dat er hier voorbeelden van gegeven zouden worden. Hier gaat het om onveiligheden in het PKI zelf waarvan een malicious third party gebruik kan maken. De meeste van de risico’s die Ellison en Schneider noemen, maken misbruik48 in deze categorie mogelijk. Dit komt omdat ze ervoor zorgen dat gebruikers de verkeerde certificaten kunnen gaan vertrouwen en daardoor gemanipuleerd worden schadelijke berichten te ondertekenen. De malicious third party is hier dan ook veelal bezig met oplichtingspraktijken. Naast het technische deel wat deze moet uitvoeren (het gebruik maken van onveiligheden in de PKI) zullen deze ook psychologische middelen gebruiken om niets vermoedende gebruikers te manipuleren dingen te doen die ze anders niet zouden doen. Hier gaan we met name in op het technische deel, omdat de psychologische praktijken van een malicious third party zelf niets met PKI te maken hebben.
47
Dit zou betekenen dat voor elk gebruik van de private key een authenticiteitstap voor verificatie van de eigenaar uitgevoerd dient te worden. Dit is echter niet prettig voor gebruikers. Stel je voor dat je elke keer dat je je mobiele telefoon wilt gebruiken (opnemen of bellen) eerst een code moet intypen of op een andere manier moet bewijzen de eigenaar ervan te zijn. 48 Er wordt van misbruik gesproken omdat een malicous third party hier opzettelijk gebruik maakt van onveiligheden in PKI om gebruikers die ter goede trouw zijn de verkeerde certificaten te laten vertrouwen en daardoor gemanipuleerd worden de verkeerde berichten te ondertekenen. 89
Het technische deel van het werk van de malicious third party bestaat uit het zorgen dat gebruikers de verkeerde certificaten gaan vertrouwen. In de eerste plaats is het de vraag waarom bepaalde certificaten vertrouwd worden (risico #1). Zijn certificate autorities (of in een decentraal ingericht PKI: de andere gebruikers) wel in staat om certificaten uit te geven? Dit is een risico omdat iedereen zichzelf wel een certificate authority kan noemen, zonder dat er controle over de betrouwbaarheid ervan mogelijk is. Daarnaast kan iemand proberen om bij de lijst van root certificaten een eigen certificaat te plaatsen wat daarna de echtheid van valse certificaten vast zal stellen (risico #3)49. Daarnaast is het niet altijd mogelijk om alleen op basis van een naam die in een certificaat genoemd is te bepalen om wie het gaat. Sommige namen komen nogal veel voor en hierdoor zou het best kunnen zijn dat iemand zich voor iemand anders uitgeeft (risico #4). Het is ook maar de vraag in hoeverre de CA de identiteit van een aanvrager van een certificaat goed vastgesteld heeft. Het is wellicht helemaal niet moeilijk om een valse identiteit aan te vragen. Een eenvoudig Digital ID wordt door VeriSign op niet meer dan een e-mailadres gecontroleerd. Dit betekent dat het e-mailadres bij een bepaald certificaat hoort, maar de naam van de eigenaar wordt niet vastgesteld (risico #8). Ook is de CA vaak geen echte autoriteit. Neem als voorbeeld een SSL certificaat. Dit certificaat bevat in het bijzonder de naam van de eigenaar (vaak een bedrijfsnaam) en die van een computer (die een service zal aanbieden). Het is echter niet mogelijk voor een CA om te bepalen of deze computer bij de bedrijfsnaam hoort. Voor deze link bestaan andere organisaties, maar die geven geen certificaten uit. Hierdoor is de link tussen bedrijfsnaam en computer niet ‘hard’ (risico #5)50. Tenslotte kunnen de verkeerde certificaten vertrouwend worden omdat er eigenlijk geen rekening met de gebruiker gehouden is. De gebruiker weet bijvoorbeeld vaak wel dat deze gebruik maakt van beveiligde communicatie, maar hoe vaak bekijkt de gebruiker het certificaat wat ontvangen is? Wanneer een gebruiker een website bekijkt via een beveiligde verbinding staat er weliswaar dat er gebruik gemaakt wordt van communicatie beveiliging en vaak ook welke soort, maar de naam die bij het certificaat hoort wordt niet getoond. Dit terwijl er geen link is tussen de inhoud van de pagina en de naam op het certificaat (risico #6). 7.3.4 Relevante waarden voor de betrokkenen Nu uiteengezet is wie de relevante actoren zijn en welke voor en nadelen er zijn aan het toekennen van juridische waarde aan ondertekening van berichten, is het mogelijk om de relevante waarden te identificeren. Dit zal per actor gebeuren. In tabel 12 staat een samenvatting van deze waarden. Gebruikers Voor de gebruikers geld met name de waarde gemak. Hieronder wordt verstaan het voordeel dat ze hebben om meer elektronisch te doen wat ervoor zorgt dat ze als het ware minder media hoeven te gebruiken. Organisatie Voor organisaties geldt met name dat er efficiënter gewerkt kan worden. Doordat er meer elektronisch geregeld kan worden, kan er papier bespaard worden en komen berichten sneller aan (dan via reguliere post). Dit levert dus ook een economische waarde op. Economische waarde wordt hier als volgt gedefinieerd: Economische waarde zijn de waarden die voor organisaties van belang zijn zoals omzetvergroting, kostenreductie, winsttoename en continuïteit. Aangezien deze voor een groot deel met elkaar te maken hebben en niet individueel voor zullen komen, worden ze hier in één term samengevat. 49
Dit zou kunnen door gebruik te maken van fouten in het besturingssysteem of de toepassingen die beveiligde communicatie gebruiken. 50 VeriSign kan deze link wel aanbieden. Het is echter niet zo dat dit voor alle certificate authorities geldt. Daarnaast zijn er ook links die ze niet aanbiedt. Zo is VeriSign geen Kamer van Koophandel. 90
Naast efficiëntie neemt ook de effectiviteit toe: afspraken worden eenduidiger wanneer zeker is dat ze ontvangen zijn. Certificate authority Wanneer ondertekening van berichten een juridische waarde krijgt, worden de certificaten die hiervoor nodig zijn belangrijker. Dit vergroot de waarde van de certificaten. Deze kunnen daardoor voor een hogere prijs verkocht worden, wat zich vertaalt in economische waarde voor de certificate authority. Producent PKI Wanneer ondertekening van berichten een juridische waarde krijgt, worden de producten die hiervoor nodig zijn waardevoller aangezien de toepassingen ervan toenemen. Deze producten kunnen daardoor voor een hogere prijs verkocht worden, wat zich vertaald in economische waarde voor de producent van het PKI. Extern adviseur Als ondertekening van berichten een juridische waarde krijgt, betekent dit een ingrijpender verandering in de organisatie die een PKI invoert dan wanneer dit niet zo is. Hierdoor wordt de waarde van goed advies groter. Dit betekent dat een extern adviseur wellicht meer onderzoek moet doen of een hogere prijs voor het advies kan berekenen. Dit levert economische waarde voor de extern adviseur op. Overheid Volgens de sociale kaart stelt de overheid eisen aan de producenten van PKI’s en de certificate authorities. Dit doet de overheid om verschillende redenen. Zo wil de overheid dat er eerlijke concurrentieverhoudingen zijn tussen de certificate authorities, producenten van PKI’s en de klanten (de organisaties). Daarnaast wil de overheid ook dat er voldoende concurrentie is tussen de verschillende certficate authorities en producenten van PKI onderling (geen kartelvorming). Malicious Third Party: In de eerste plaats kan misbruik van de juridische waarde van ondertekening van berichten leiden tot inkomsten wat leidt tot vervulling van materialistische waarden. Materialistische waarden zijn een verzamelterm voor de waarde die gehecht wordt aan geld en goederen. Daarnaast kan er genot gehaald worden uit de ellende van anderen. Met andere woorden de schade die aangericht wordt door het misbruik kan voor de malicious third party al waardevol genoeg zijn, zonder dat deze er materieel beter van wordt. Partij Gebruikers Organisatie Certificate Authority Producent PKI Extern adviseur Overheid Malicious Third Party
Waarde Gemak Efficiëntie, effectiviteit en economische waarde Economische waarde Economische waarde Economische waarde Eerlijke concurrentieverhoudingen, voldoende concurrentie Materialistische waarden, genot
Tabel 12 Waarden die voor de verschillende actoren gelden
7.4 Handelingsmogelijkheden In de morele wetenschap wordt gesproken over handelingsmogelijkheden waarover een oordeel gegeven dient te worden. In deze paragraaf wordt eerst de voorlopige probleemstelling die genoemd is in paragraaf 7.2.2 omgezet in een definitieve. Hierna worden van deze definitieve probleemstelling vier handelingsmogelijkheden afgeleid.
91
Deze handelingsmogelijkheden zullen in de volgende paragrafen vanuit verschillende ethische benaderingen beoordeeld worden. 7.4.1 Definitieve probleemstelling De verschillende handelsmogelijkheden koppelen juridische waarde (dus juridische aansprakelijkheid) aan het ondertekenen van berichten met behulp van een private key. Hierdoor krijgen eigenaren van private keys een zekere juridische verantwoordelijkheid. Deze juridische verantwoordelijkheid verschilt per handelingsmogelijkheid. Het doel van de analyse is om de handelswijze te vinden waarvan de juridische verantwoordelijkheid het beste aansluit bij de morele verantwoordelijkheid voor de actoren. Dit leidt tot de volgende definitieve probleemstelling: Voor welke handelingswijze geldt dat de juridische verantwoordelijkheid voor de gebruiker het meest overeen komt met de morele verantwoordelijkheid van de gebruiker voor berichten die met hun private key ondertekend zijn?
7.4.2 Vier handelingsmogelijkheden In de vorige paragraaf werd genoemd dat de handelingswijzen de mate waarin juridische waarde toegekend wordt aan ondertekening van berichten toegekend wordt. Deze waarde is natuurlijk op veel verschillende manieren toe te kennen. Hier zal uitgegaan worden van een viertal opties: de twee extremen en twee tussenvormen. In tabel 13 staat een samenvatting van deze handelingsmogelijkheden. Handelingsmogelijkheid 1: de nul-optie De eerste handelingsmogelijkheid is altijd het ‘niets doen’. Hier zullen we onder deze optie het niet toekennen van juridische waarde aan ondertekening van berichten verstaan, aangezien dit de situatie is die in de meeste landen (onder meer in Nederland) geldt. Dit is de eerste extreme handelingsmogelijkheid. Dit betekent ook dat er geen juridische verantwoordelijkheid aan eigenaren gegeven kan worden voor berichten die ondertekend worden met behulp van een private key. Handelingsmogelijkheid 2: bewijslast bij ‘aanklager’ Deze handelingsmogelijkheid koppelt wel een juridische waarde aan ondertekening van berichten. Hierbij kan de eigenaar van de private key verantwoordelijk gehouden worden voor het gebruik van de private key als bewezen kan worden dat deze ook de intentie had om de sleutel te gebruiken om een bepaald doel te bereiken. Doordat eigenaren van private keys in principe berichten die met hun sleutels ondertekend zijn altijd kunnen ontkennen (het tegendeel bewijzen is niet altijd makkelijk) is de juridische waarde van ondertekening minder dan de optie die bij handelingsmogelijkheid drie genoemd wordt. Er geldt juridische verantwoordelijkheid voor de eigenaar van de private key. Echter, doordat de bewijslast bij de ‘aanklager’ ligt, is de juridische verantwoordelijkheid minder groot dan bij handelingsmogelijkheid drie. Handelingsmogelijkheid 3: bewijslast bij ‘verdediger’ Ook deze handelingsmogelijkheid koppelt een juridische waarde aan ondertekening van berichten. Deze waarde zou groter kunnen zijn dan die bij handelingsmogelijkheid twee genoemd werd, omdat er in principe vanuit gegaan wordt dat wanneer een bericht ondertekend, dit de intentie van de eigenaar van de private key is geweest om een bepaald doel te bereiken. De eigenaar van een private key dient zelf aan te tonen wanneer dit niet het geval was. Doordat de bewijslast bij de eigenaar van de private key, is de juridische verantwoordelijkheid van de eigenaar groter dan die in handelingsmogelijkheid twee genoemd werd. Handelingsmogelijkheid 4: Utah/Washington model Dit is als het ware het Utah- of het Washingston-model (wat beschreven is in de casus). Hierbij heeft ondertekenen van een bericht met behulp van een private key de maximale 92
juridische betekenis: het is niet mogelijk te ontkennen het bericht gestuurd te hebben. Gevolg is dat de eigenaar van de private key volledig juridisch verantwoordelijk is voor wat ermee gebeurd. Deze handelingsmogelijkheid is het tweede extremum. Handelingsmogelijkheid
Juridische waarde
Bewijslast
1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediger’ 4. Utah/Washington model
Geen Laag Hoog Maximaal
n.v.t. Bij de ‘aanklager’ Bij eigenaar sleutel n.v.t.
Juridische verantwoordelijkhe id gebruiker Geen Laag Hoog Maximaal
Tabel 13 Samenvatting van de handelingsmogelijkheden
7.5 Beoordeling handelingsmogelijkheden op basis van de common-sense benadering De eerste manier waarop het morele vraagstuk wat in de vorige paragraaf genoemd is op basis van de zogenaamde common-sense methode. Deze methode houdt in dat de waarden bepaald worden welke het meest relevant zijn voor de probleemstelling. Daarna wordt voor elke relevante handelingswijze bepaald of deze positief, negatief of neutraal tegenover elkaar staan. Tenslotte wordt de handelswijze gekozen die het beste rekening houdt met de relevante waarden. 7.5.1 Relevantie waarden voor de probleemstelling De eerste stap in de common-sense methode is het bepalen van de relevantie van elke van de waarden die voor de actoren van belang zijn. Een samenvatting van de beoordeling van de relevantie van de waarden met betrekking tot de probleemstelling staat in tabel 14. Gebruikers De gebruikers staan in deze analyse centraal, daarom wordt hun waarde (genot) maximaal relevant geacht. Relevante waarden: Gemak Organisatie De organisaties zijn degenen die beslissen om een roaming user netwerk in te voeren. Ook draaien zij op voor de kosten van het netwerk. Daarom zijn hun waarden nog steeds erg belangrijk. Omdat het niet mogelijk is om de precieze relevantie van de waarden onderling te bepalen, worden deze voor de organisatie allemaal even groot gesteld. Relevante waarden: Efficiëntie, Effectiviteit, Economische waarde Certificate Authority, Producent PKI en Extern adviseur De certificate authority, producent van het PKI en de extern adviseur zijn minder belangrijk dan de organisatie, maar zijn nog steeds wel belangrijk omdat zij in grote mate de vorm en kracht van het PKI bepalen. De relevantie van economische waarde wordt voor de actoren allemaal even groot gesteld: Relevante waarden: Economische waarde Overheid De overheid staat nog verder van de gebruikers af en de waarden die voor de overheid gelden zijn minder direct van invloed op de waarde van de gebruikers. Het is aan de overheid om randvoorwaarden te stellen die moeten leiden tot goed werkende PKI’s. Omdat het niet mogelijk is om de precieze relevantie van de waarden onderling te bepalen, worden deze voorde overheid allemaal even groot gesteld. Relevante waarden: Eerlijke concurrentieverhoudingen, Voldoende concurrentie Malicious Third Party Voor deze actor werden de waarden materialistische waarden en genot als relevant bepaald. De verwezenlijking van deze waarden gaat echter altijd ten koste van de gebruikers. Het 93
materiele voordeel dat de malicious third party krijgt voor zijn of haar activiteiten is namelijk even groot als de schade bij de gebruikers (die hiervoor moeten opdraaien). Ditzelfde geldt voor het genot wat de malicious third party geniet: dit is even groot als het ongemak bij de gebruikers. Omdat de gebruikers centraal staan in deze analyse en het niet echt aantrekkelijk is om de malicious third party te helpen worden deze waarden maximaal relevant gesteld. Hierdoor wordt een handelingsmogelijkheid die de malicious third party minder helpt, meer interessant Relevante waarden: Materialistische waarden, Genot Actor
Waarde
Gebruikers Organisatie
Gemak Efficiëntie Effectiviteit Economische waarde Economische waarde Economische waarde Economische waarde Eerlijke concurrentieverhoudingen Voldoende concurrentie Materialistische waarden Genot
Certificate Authority51 Producent PKI Extern adviseur Overheid Malicious Third Party
Relevantie met betrekking tot probleemstelling ++++ +++ +++ +++ ++ ++ ++ + + ++++ ++++
Tabel 14 Relevantie waarden tot de probleemstelling
7.5.2 Relatie tussen handelingswijzen en waarden De tweede stap in de common-sense methode is om te bepalen in hoeverre een bepaalde handelingswijze een waarde positief, negatief dan wel neutraal beïnvloedt. Hier wordt nog iets preciezer gekeken, omdat van bepaalde handelingswijzen gesteld kan worden dat ze bepaalde waarden meer of minder positief beïnvloeden. Per handelingswijze wordt bepaald hoe deze elk van de waarden beïnvloed. Een samenvatting hiervan staat in tabel 15. 1. Nul optie Deze handelingswijze verandert de bestaande situatie niet, waardoor deze de verschillende waarden niet beïnvloed. Deze worden allemaal op neutraal gesteld (0). 2. Bewijslast bij ‘aanklager’ Deze optie biedt de minste juridische waarde van de drie handelingswijzen die juridische waarde aan ondertekening van berichten geven. De waarden gemak, efficiëntie, effectiviteit , economische waarde, materiele waarden en genot worden positief beïnvloed door het toekennen van juridische waarde. Naarmate de juridische waarde groter wordt, worden deze waarden sterker beïnvloed. Dit leidt ertoe dat deze waarden allemaal ligt positief gesteld worden (+/-). De waarden eerlijke concurrentieverhoudingen en voldoende concurrentie worden niet beïnvloed door de juridische waarde die aan ondertekening van berichten toegekend wordt. Hierdoor blijken deze waarden dan ook niet relevant te zijn in deze toepassing van de common-sense methode. 3. Bewijslast bij ‘verdediging’ Deze handelingsmogelijkheid biedt meer juridische waarde aan ondertekening van berichten. Dit betekent dat de waarden die bij de tweede handelingsmogelijkheid positief beïnvloed werden, nu weer positief beïnvloed worden, maar wel meer (+).
51
Deze is in een decentraal PKI niet aanwezig. In de analyse zal deze waarde voor deze soorten PKI niet meergenomen worden. 94
4. Utah/Washington model Deze handelingsmogelijkheid biedt de meeste juridische waarde aan ondertekening van berichten. Vergeleken met de vorige methode (waarbij de juridische waarde al erg groot is), wordt het gemak voor gebruikers niet echt groter. De waarde efficiëntie neemt wel toe (+/+) omdat wanneer gebruikers nooit kunnen ontkennen de intentie hadden een bericht te ondertekenen, hier geen discussie over mogelijk is. De misverstanden die hierdoor ontstaan zijn echter wel slecht voor de effectiviteit. Voor malicious third parties is dit de meest aantrekkelijke handelingsmogelijkheid omdat hun waarden maximaal geregeld worden: de schade komt altijd bij de eigenaren van de private keys te liggen: de gebruikers. Waarde Handelingswijze
Gemak
Efficiëntie
Effectiviteit
Econ. waarde
Eerlijke concurrentieverhoudingen
Voldoende concurrentie
Mat. waarden
Genot
1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediging’ 4. Utah/ Washington model
0 +/-
0 +/-
0 +/-
0 +/-
0 0
0 0
0 +/-
0 +/-
+
+
+
+
0
0
+
+
+
+/+
+/-
+
0
0
+/+
+/+
Tabel 15 Invloed handelingswijze op relevante waarden
7.5.3 Keuze handelingswijze Uit paragraaf 7.5.2 bleek wat de waarden die voor de probleemstelling het meest relevant zijn. Deze zijn het gemak voor de gebruikers aan de ene kant en de materialistische waarden en het genot voor de malicious third party aan de andere kant (zie figuur 31). conflict
Gemak (gebruikers)
Genot, materialistische waarden (malicious third party)
Figuur 31 Meest relevante waarden voor de probleemstelling
Wanneer er nu naar de invloed van handelingsmogelijkheden op de relevante waarden gekeken wordt (zie tabel 15) dan blijkt dat de handelingswijzen de beide groepen waarden in dezelfde richting beïnvloeden. Met andere woorden, wanneer een handelingsmogelijkheid het gemak voor gebruikers laat groeien, neemt ook het genot en de materialistische waarden voor de malicious third party toe. Er is sprake van een conflict omdat de waarden voor de malicious third party ten koste gaan van die van de gebruikers. Wanneer de relevante onderdelen uit tabel 15 herhaald worden blijkt het volgende (zie tabel 16):
Handelingswijze 1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediging’ 4. Utah/Washington model
Waarde Gebruikers Gemak 0 +/+
Malicious third party Materiele waarden 0 +/+
Genot 0 +/+
+
+/+
+/+
Tabel 16 Invloed van de handelingsmogelijkheden op de meest relevante waarden
Hieruit blijkt dat er voor handelingsmogelijkheid één, twee en drie een soort equilibrium geldt: wanneer de waarden voor de ene actor versterkt worden, wordt die voor de andere actor ongeveer evenveel versterkt. Dit geldt niet voor handelingsmogelijkheid vier, waarbij de waarden voor de malicious third party meer versterkt worden dan de waarden voor de 95
gebruikers. Dit maakt deze handelingsmogelijkheid onaantrekkelijk omdat de waarden van de malicious third party niet sterker mogen stijgen dan die van de gebruikers die daar het nadeel van ondervinden. Hierdoor valt handelingsmogelijkheid vier dus af. Dit betekent dus dat er gekozen dient te worden voor de meest aantrekkelijke van de eerste drie. De waarden van de gebruikers zijn centraal gesteld in deze analyse, wat het dus aantrekkelijk maakt om het gemak voor de gebruikers zo groot mogelijk te laten zijn. De keuze zou dus moeten vallen op handelingsmogelijkheid drie (bewijslast bij ‘verdediging’). Dit betekent echter wel dat ook de waarden voor de malicious third party groter zullen worden. Voor de gebruikers betekent dit dat zij dus een erg grote juridische verantwoordelijkheid zullen krijgen voor wat er met hun private keys ondertekend worden. Aan de andere kant, is het voor hen altijd nog mogelijk om aan te geven niet de intentie gehad te hebben om een bericht te ondertekenen..
7.6 Beoordeling handelingsmogelijkheden op basis van het utilisme In deze paragraaf worden de verschillende handelingsmogelijkheden beoordeeld vanuit de visie van het utilisme52. Deze ethische visie richt zich met name op de gevolgen van een handelingsmogelijkheid en de handelingsmogelijkheid met de meeste positieve gevolgen is dan ook de meest aantrekkelijke. Het meten van deze gevolgen gebeurt in de mate waarin zij maatschappelijk nut hebben. De beoordeling van de handelingsmogelijkheden gebeurt in een drietal stappen. In de eerste plaats worden de gevolgen van de verschillende handelingsmogelijkheden bepaald in paragraaf 7.6.1. Hierna wordt vanuit de visie van het klassiek utilisme de meest aantrekkelijke handelingsmogelijkheid bepaald. Tenslotte worden de handelingsmogelijkheden nog naast de Pareto-verbetering gelegd in paragraaf 7.6.3. 7.6.1 Gevolgen handelingsmogelijkheden In een utilistische beoordeling van handelingsmogelijkheden is het noodzakelijk om de gevolgen van de handelingswijzen uiteen te zetten. Voor een deel is dat al gedaan in paragraaf 7.5.2, alleen werd er daar direct naar de relatie tussen handelingswijze en waarden gekeken. Hier wordt eerst de relatie tussen handelingwijze en de gevolgen voor de actoren gelegd en daarna tussen gevolgen en waarden. De gevolgen van de handelingsmogelijkheden worden samengevat in tabel 17. 1. Nul optie De nul optie heeft geen directe gevolgen aangezien er niets veranderd wordt in de status quo. Voor geen van de actoren zijn er gevolgen, behalve voor de organisatie. Het is namelijk wel mogelijk dat het kiezen voor de nul optie leidt tot achteruitgang omdat op andere plaatsen voor andere handelingswijzen gekozen wordt. Dit kan leiden tot daling van economische waarde voor de organisatie. 2. Bewijslast bij ‘aanklager’ Deze handelingsmogelijkheid heeft een aantal gevolgen. In de eerste plaats zijn de toepassingen die in paragraaf 7.3.2 genoemd zijn nu mogelijk. Dit heeft een positief effect op de waarden voor de gebruikers en organisatie. Ook zorgen deze toepassingen voor een grotere waarde van PKI’s en daarmee dus van roaming user networks. Dit is aantrekkelijk voor de producenten van PKI’s, de certificate authorities en de extern adviseurs die hun economische waarde zien stijgen. Aan de andere kant zijn de nadelen die in paragraaf 7.3.3 genoemd zijn nu ook mogelijk. Aangezien het de malicious third party is die gebruik kan maken van deze nadelen, leidt tot een positief effect voor de waarden van malicious third party. Het betekent ook dat het nu 52
Voor een uitgebreide beschrijving van het Utilisme, zie bijlage 7.A. 96
interessant geworden is om malicious third party te worden, dus die zullen ontstaan. Aangezien de gebruikers het doel van aanvallen van de malicious third party zijn, zal het gemak van deze groep dalen. 3. Bewijslast bij ‘verdediger’ Door de toegenomen juridische waarde die aan ondertekening van berichten gegeven wordt, wordt de toepasbaarheid van de toepassingen die in paragraaf 7.3.2 genoemd zijn groter. Hierdoor stijgen de waarden van de gebruikers en organisatie verder. Ook zorgt deze stijging in toepasbaarheid voor een verdere stijging van de waarde van PKI’s. Dit is aantrekkelijk voor de producenten van PKI’s, de certificate authorities en de extern adviseurs die hun economische waarde verder zien stijgen. De nadelen die in paragraaf 7.3.3 genoemd zijn stijgen echter ook verder. Omdat de malicious third party deze nadelen kan gebruiken, betekent het dat de waarden van deze groep stijgen. Dit maakt het aantrekkelijker om malicious third party te worden. Hun aantal stijgt hierdoor. Voor de gebruikers betekent dit dat ze vaker last van deze groep zullen hebben en hun gemak daalt dan ook. 4. Utah/Washington model Bij deze handelingsmogelijkheid groeit het aantal malicious third parties tot het maximum. Hierdoor daalt het g e m a k van de gebruikers nog verder. Vanwege de absolute verantwoordelijkheid die bij gebruikers ligt, is er geen arbitrage nodig in gevallen van conflicten. Dit leidt tot maximale efficiëntie. Aan de andere kant kan door veelvuldig misbruik door malicious third parties het vertrouwen in het systeem dalen, waardoor de effectiviteit ervan daalt.
Handelingswijze 1. nul optie
2. Bewijslast bij ‘aanklager’
Actor
Gevolgen
Waarden
Gebruikers Organisatie
Geen directe gevolgen Stilstand kan tot achteruitgang leiden Geen directe gevolgen
Neutraal Economische waarde daalt
Geen directe gevolgen Geen directe gevolgen
Neutraal Neutraal
Geen directe gevolgen Geen directe gevolgen
Neutraal Neutraal
Opkomst malicious third parties Toepassingen paragraaf 7.3.2 mogelijk Toepassingen paragraaf 7.3.2 mogelijk PKI wordt waardevoller
Gemak daalt
PKI wordt waardevoller PKI wordt waardevoller
Economische waarde stijgt Economische waarde stijgt
Certificate authority Producent PKI Extern adviseur Overheid Malicious Third Party Gebruikers
Organisatie Certificate Authority Producent PKI Extern adviseur
97
Neutraal
Gemak stijgt Efficiëntie, effectiviteit en economische waarde stijgen Economische waarde stijgt
Handelingsmogelijkheid 2. Bewijslast bij ‘aanklager’ (vervolg) 3. Bewijslast bij ‘verdediger’
Actor
Gevolgen
Waarden
Malicious Third Party
Nadelen paragraaf 7.3.3 mogelijk
Genot en materiele waarden stijgen
Gebruikers
Meer malicious third parties Betere toepasbaarheid toepassingen paragraaf 7.3.2 Betere toepasbaarheid toepassingen paragraaf 7.3.2 PKI wordt waardevoller
Gemak daalt verder
Organisatie Certificate authority Producent PKI Extern adviseur Malicious Third Party 4. Utah/Washingto n model
Gebruikers Organisatie Certificate authority Producent PKI Extern adviseur Malicious Third Party
PKI wordt waardevoller PKI wordt waardevoller Grotere mogelijkheid voor nadelen paragraaf 7.3.3 Maximaal aantal malicious third parties Geen arbitrage nodig Afname vertrouwen in het systeem PKI wordt waardevoller PKI wordt waardevoller PKI wordt waardevoller Nadelen paragraaf 7.3.3 maximaal
Gemak stijgt verder Efficiëntie, effectiviteit en economische waarde stijgen verder Economische waarde stijgt verder Economische waarde stijgt verder Economische waarde stijgt verder Genot en materiele waarden stijgen verder Gemak daling maximaal Maximale efficiëntie Effectiviteit daalt Economische waarde stijgt verder Economische waarde stijgt verder Economische waarde stijgt verder Genot en materiele waarden maximaal
Tabel 17 Gevolgen van de verschillende handelingswijzen
7.6.2 Klassiek utilisme Bij het klassiek utilisme worden handelingsmogelijkheden met elkaar vergeleken in de mate waarin ze het maatschappelijk nut het beste dienen. De handelingsmogelijkheid met het meeste maatschappelijke nut wordt gekozen. Het maatschappelijke nut wordt bepaald door het individuele nut van elke actor op te tellen. Het individuele nut van een actor wordt bepaald aan de hand van de individuele nutsfunctie. De individuele nutsfuncties van de actoren worden opgesteld aan de hand van een zekere basis waarde (op dit moment zijn zij namelijk al nuttig) waardoor vergroting van waarden leidt tot een vergroting van het individuele nut. Het maatschappelijk nut is het nut van alle individuele actoren bij elkaar opgeteld. Om deze analyse mogelijk te maken moet een aantal zaken gedefinieerd worden. Definitie 1: de maatschappij De maatschappij bestaat uit een aantal roaming user networks. Gesteld wordt dat alleen die beïnvloed worden door de handelingswijzen zodat de rest van de maatschappij ceteris paribus niet in de analyse meegenomen wordt. Daarnaast zijn al deze roaming user networks op dezelfde manier samengesteld.
98
Definitie 2: een roaming user network Organisaties hebben maar één roaming user network. En elk roaming user network hoort maar bij één organisatie. Elk roaming user network bestaat uit 100 gebruikers. De certificaten van een roaming user network beslaan een derde van het aantal certificaten wat een certificate authority afgeeft (certificate authorities bieden certificaten aan meerdere roaming user networks). In een decentraal ingericht PKI wordt het aantal certificate authorities op nul gehouden. Producenten van PKI’s zijn er iets meer, elke producent levert aan twee roaming user networks PKI oplossingen. Voor elk roaming user network is één extern adviseur nodig geweest. Hoewel deze meerdere organisaties zouden kunnen adviseren, is het ook mogelijk dat sommige roaming user networks meerdere adviseurs nodig hebben. Hier wordt gesteld dat het er dus gemiddeld één is. De opbouw van een roaming user network wordt samengevat in tabel 18. Actor Gebruikers Organisaties Certificate Authorities Producenten van PKI’s Extern adviseurs
Aantal per Roaming User Network 100 1 1/3 of 0 1/2 1
Tabel 18 Gekozen definitie Roaming User Network
Definitie 3: Malicious Third Party (MTP) Het aantal malicious third parties is afhankelijk van het aantal gebruikers en de gekozen handelingsmogelijkheid: naarmate er namelijk meer te verdienen is, zal het aantal malicious third parties toenemen. Malicious Third Party worden is niet eenvoudig, aangezien hier kennis voor nodig is. Gesteld wordt dan ongeveer 1% van het aantal gebruikers malicious third party kan worden. De verschillende handelingsmogelijkheden beïnvloeden dit aantal zoals in tabel 19 getoond wordt. Handelingsmogelijkheid 1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediger’ 4. Utah/Washington model
Aantal malicious third party 0 * 1% gebruikers 1 * 1% gebruikers 2 * 1% gebruikers 3 * 1% gebruikers
Tabel 19 Aantal malicious third parties bij verschillende handelingsmogelijkheden
Aangezien de aantallen van actoren volledig bepaald worden aan de hand van het roaming user network en de handelingsmogelijkheid, staan deze aantallen vast. Hierdoor is het aantal roaming user networks wat gekozen wordt niet van belang voor de uitkomst van de analyse. Voor deze analyse wordt gebruik gemaakt van dezelfde mate waarin handelingsmogelijkheden waarden beïnvloeden als bij de common-sense benadering dus zoals beschreven in tabel 15. Nutsfuncties De nutsfuncties worden zo gedefinieerd dat ze een bereik hebben van 0 tot en met 10. Voor elke actor geldt dat deze een bepaald basis nut heeft (tenslotte zijn deze nu ook al nuttig) waarbij verwezenlijking van waarden door de handelingsmogelijkheden dit nut vergroot. De mate waarin waarden door handelingswijzen (h) verwezenlijkt worden, worden gehaald uit tabel 15. De volgende nutsfuncties zijn gekozen: 1) Gebruikers: G(h) = 5 + 3 * Gemakhandelingsmogelijkheid 2) Organisatie: O(h) = 5 + Effectiviteith + Efficiëntieh + Economische waardeh (meer waarden zorgen dat de afzonderlijke toename op het individuele nut kleiner wordt) 3) Certificate Authority: CA(h) = 5 + 3 * Economische waardeh 99
4) Producent PKI: P(h) = 5 + 3 * Economische waardeh 5) Extern adviseur: A(h) =5 + 3 * Economische waardeh 6) Malicious Third Party: MTP(h) = 1 + 3 * Materiele waardeh + 3 * Genoth (het nut voor de malicious third party is laag wanneer er geen juridische waarde aan ondertekening van berichten gehecht wordt)
De maatschappelijke nutsfunctie is de som van alle individuele nutsfuncties vermenigvuldigd met het aantal actoren. Hierbij wordt de nutsfunctie van de malicious third party afgetrokken omdat deze een negatief maatschappelijk nut heeft. Maatschappelijke nutsfunctie: M(h) = # gebruikers * G (h) + # organisaties * O (h) + # Certificate Authorities * CA(h) + # producenten van PKI’s * P(h) + # extern adviseurs * A(h) – # Malicious Third Parties * MTP(h)
Resultaten Bij keuze voor een maatschappij van zes roaming user networks levert dit op dat handelingsoptie 3 (bewijslast bij ‘verdediger’) het meeste maatschappelijke nut oplevert. Zie tabel 20. Merk hierbij op dat dit resultaat niet afhankelijk is van het aantal roaming user networks. Voor verwerking is gebruik gemaakt van een spreadsheet. De gebruikte sheets staan in bijlage 7.C. De resultaten van deze analyse zijn sterk afhankelijk van de gekozen nutsfuncties en aantallen. Dit is een probleem bij het klassiek utilisme. In paragraaf 7.8.3 wordt verder ingegaan op de nadelen van deze methode. Handelingswijze 1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediging’ 4. Utah/Washington model
Maatschappelijk nut Centraal ingericht PKI
3085 3986,5 4852 4756
Decentraal ingericht PKI
3075 3973,5 4836 4740
Tabel 20 Resultaten berekening maatschappelijk nut voor verschillende handelingsmogelijkheden
7.6.3 Pareto-verbetering Zoals uit de beschrijving van utilisme in bijlage 7.A blijkt, bestaan er handelingsmogelijkheden die door het klassiek utilisme als aantrekkelijk beschouwd worden, maar die toch ingaan tegen de algemeen heersende ideeën over wat toelaatbaar is. Deze handelingsmogelijkheden hebben vaak betrekking tot het opofferen van het nut van één groep of persoon voor het nut van de meerderheid. Het Pareto-criterium biedt hiervoor een oplossing: bij de beoordeling van handelingswijzen mag het nut van geen groep erop achteruit gaan. Aantrekkelijk is dan ook niet noodzakelijkerwijs de handelingsmogelijkheid die het grootste maatschappelijk nut bereikt, maar die het grootste maatschappelijk nut bereikt zonder het individuele nut van leden van de maatschappij te schaden. Om te bepalen of bepaalde groepen in deze situatie er in nut op achteruit gaan, is het nodig om even terug te gaan naar de individuele nutsfuncties van de actoren in de maatschappij zoals die gedefinieerd is in paragraaf 7.6.2. De resultaten van de handelingsmogelijkheden voor de verschillende actoren staat in tabellen 21 (voor centraal ingerichte PKI’s) en 22 (voor decentraal ingerichte PKI’s).
100
Handelingsmogelijkheid 1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediger’ 4. Utah/ Washington model
Actor Gebruikers
Organisatie
5 6,5
Producent Extern adviseur PKI 5 5 6,5 6,5
MTP
5 6,5
Certificate authorities 5 6,5
8
8
8
8
8
7
8
8
8
8
8
10
1 4
Tabel 21 Individueel nut in een centraal ingericht PKI
Handelingsmogelijkheid 1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediger’ 4. Utah/ Washington model
Actor Gebruikers
Organisatie
Producent PKI Extern adviseur MTP
5 6,5
5 6,5
5 6,5
5 6,5
1 4
8
8
8
8
7
8
8
8
8
10
Tabel 22 Individueel nut in een decentraal ingericht PKI
Uit de tabellen blijkt dat geen van de actoren hun persoonlijk nut geschaad zien worden door de verschillende handelingsmogelijkheden. Daar moet wel bij opgemerkt worden dat uiteindelijk gekozen is voor een handelingsmogelijkheid die niet het hoogste individueel nut voor de malicious third party oplevert. Dit zou gezien kunnen worden als een soort relatieve achteruitgang in nut. Echter, aangezien het nut van deze groep ten koste gaat van dat van de anderen en in maatschappelijke context een negatief nut is, is het juist aantrekkelijk om hier te kiezen voor een handelingsoptie die zo weinig mogelijk rekening houdt met deze groep. Een Pareto-verbetering is derhalve niet nodig. Wellicht is het mogelijk om malicious third parties ertoe te bewegen om adviseur te worden of producent, aangezien ze wel verstand van de technologie hebben.
7.7 Beoordeling handelingsmogelijkheden op basis van de theorie van Kant In tegenstelling tot het utilisme staat bij de theorie van Kant53 de handelingsmogelijkheden zelf centraal, niet het resultaat ervan. Dit uitgangpunt is vertaald in drie ‘wetten’ waaraan handelingsmogelijkheden getoetst kunnen worden: de eerste, tweede en derde formulering van de categorisch imperatief. In deze paragraaf worden de handelingsmogelijkheden aan de tweede formulering getoetst. 7.7.1 Eerste en derde formulering van de categorische imperatief De eerste en derde formulering van de categorische imperatief richten zich op handelingswijzen voor individuen die vertaald kunnen worden in algemene wetten. Het gaat met name om de vraag in hoeverre een handeling toelaatbaar zou zijn wanneer alle individuen op dezelfde manier zouden handelen.
53
Voor een uitgebreide beschrijving van de theorie van Kant, zie bijlage 7.B. 101
In deze casus is er echter geen sprake van een handelingsmogelijkheid voor een individu omdat het om wetten gaat die voor alle individuen moeten gelden. Het zijn hierdoor al algemene wetten waardoor ze niet meer toetsbaar zijn door de eerste en derde formulering van de categorische imperatief. Het beoordelen van algemene wetten is mogelijk door gebruik te maken van de tweede formulering van de categorische imperatief. 7.7.2 Tweede formulering van de categorische imperatief In deze paragraaf worden de algemene wetten beoordeeld aan de hand van de tweede formulering van de categorische imperatief. De tweede formulering van de categorische imperatief is de volgende: “Handel zo dat je de mensheid, zowel in je eigen persoon als in de persoon van ieder ander tegelijkertijd altijd ook als doel en nooit enkel als middel gebruikt.” Uit: Model voor de analyse van morele vraagstukken [Deuss & Royakkers 2002, pag. 6]
Dit wil zeggen dat een handelingsmogelijkheid moreel juist is, wanneer geen personen gebruikt worden voor de realisatie van een doel, zonder instemming van die personen. De algemene wetten kunnen getoetst worden door voor elke algemene wet vast te stellen wie de geadresseerden zijn. Dit zijn de personen die het lijdend voorwerp zijn bij de algemene wetten. Wanneer een deel van de geadresseerden enkel als middel gebruikt wordt, wordt de algemene wet verworpen. Wanneer geen geadresseerden enkel als middel gebruikt worden, is de algemene wet acceptabel. De geadresseerden zijn in deze analyse de actoren waar verantwoordelijkheid aan toegekend kan worden. In tabel 23 staat een samenvatting van de geadresseerden en of deze louter als middel gebruikt worden. 1. Nul optie Omdat deze optie geen juridische waarde toekent aan de ondertekening van berichten, wordt er ook geen verantwoordelijkheid toegekend aan de actoren. Hierdoor zijn er geen geadresseerden en worden dus ook geen geadresseerden louter als middel gebruikt. Geadresseerden: geen Mogelijk alleen middel: geen 2. Bewijslast bij ‘aanklager’ In deze oplossing kunnen de voordelen van paragraaf 7.3.2 toegepast worden. Ook kunnen zij verantwoordelijk gehouden worden voor de berichten die met hun private key ondertekend worden. Omdat de bewijslast bij de ‘aanklager’ ligt, kunnen gebruikers de intentie tot ondertekening van berichten die met hun private sleutel ondertekend zijn, in twijfel trekken. Aan de andere kant betekent het ook dat berichten die zij ondertekend hebben met de intentie dit te doen in twijfel getrokken kunnen worden. Dit betekent dat het aan de ‘aanklager’ te bewijzen is dat deze intentie toch bestond en de vraag is maar of dit reëel is. Tenslotte kan deze niet zomaar in de hoofden van de gebruikers kijken. De ‘aanklager’ draagt hierbij dan ook een deel van de verantwoordelijkheid die bij gebruikers zou moeten liggen. Ook draagt de ‘aanklager’ een deel van de verantwoordelijkheid van de malicious third party. Want als een aanklager niet kan bewijzen dat een gebruiker de intentie had een bericht te ondertekenen, is het niet noodzakelijkerwijs zo dat verhaal gehaald zal worden bij de malicious third party wanneer deze in het spel is. Dit is niet eerlijk en deze algemene wet dient dan ook niet als acceptabel gezien te worden. Deze algemene wet legt verantwoordelijkheid dus bij twee actoren: de gebruikers en de ‘aanklager’. Beide zijn dan ook geadresseerden. Omdat de ‘aanklager’ verantwoordelijkheid toebedeeld kan krijgen die eigenlijk elders zou moeten liggen (gebruiker of malicious third party) kan deze als middel gebruikt worden. 102
Geadresseerden: gebruikers, aanklager Mogelijk alleen middel: aanklager 3. Bewijslast bij ‘verdediger’ Deze wet betekent dat gebruikers in eerste instantie verantwoordelijk zijn voor wat er met hun private key gebeurd. Wanneer echter een bericht ondertekend is zonder dat de gebruiker hier de intentie toe had, kan deze aangeven waarom dit zo was. Het grote voordeel is dat gebruikers zelf wél in hun hoofd kunnen kijken. Wanneer gebruikers kunnen aantonen niet de intentie hadden een bericht te ondertekenen, kunnen ze daar bewijzen voor geven. Deze bewijzen zullen leiden tot verantwoordelijkheid bij andere actoren die op hun beurt zich weer dienen te verdedigen. Hierdoor ontstaat een elegante oplossing om geschillen te beslechten. Verantwoordelijkheid komt niet te liggen op plaatsen waar deze niet zou moeten. Tenslotte is het beter mogelijk om een malicious third party verantwoordelijk te houden omdat gebruikers meer hun best moeten doen om te zoeken naar bewijs. Bewijs wat gebruikt kan worden om de malicious third party op de verantwoordelijkheid te wijzen. Bij deze algemene wet kan verantwoordelijkheid dus bij alle actoren uit het PKI gelegd. Omdat verantwoordelijkheid niet op plaatsen komt te liggen terwijl deze eigenlijk elders zou moeten liggen, worden geen actoren louter als middel gebruikt. Geadresseerden: gebruikers, organisatie, certificate authority (alleen centraal ingericht PKI’s), producent PKI, extern adviseur en malicious third party. Mogelijk alleen middel: geen 4. Utah/Washington model In deze oplossingen zijn gebruikers altijd juridisch verantwoordelijk voor de berichten die met hun private key ondertekend worden. Echter, er zijn teveel onvolkomenheden in PKI’s die ervoor zorgen dat gebruikers niet altijd moreel verantwoordelijk gehouden kunnen worden. Verantwoordelijkheid veronderstelt namelijk dat actoren de vrijheid hebben om op een bepaalde manier te handelen. [Jeurissen (red) 2001, pag. 25] Doordat er onvolkomenheden in PKI’s zitten, wordt deze beperkt. De gebruikers dragen echter wel de juridische verantwoordelijkheid die elders zou moeten liggen. Bij deze algemene wet worden dus alleen de gebruikers verantwoordelijk gehouden. Hierdoor zijn zij de enige geadresseerden. Omdat verantwoordelijkheid die elders zou moeten liggen bij de gebruikers kan komen te liggen, kunnen deze louter als middel gebruikt worden. Geadresseerden: gebruikers Mogelijk alleen middel: gebruikers Actor Algemene wet Aanklager Gebruikers Organisatie Certificate Producent authorities* PKI Niet Niet Niet Niet Niet 1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediger’ 4. Utah/ Washington model
geadresseerd geadresseerd Geadresseerd Geadresseerd , mogelijk alleen middel Niet Geadresseerd geadresseerd
Extern adviseur
MTP
Niet Niet geadresseerd geadresseerd geadresseerd geadresseerd geadresseerd Niet Niet Niet Niet Niet geadresseerd geadresseerd geadresseerd geadresseerd geadresseerd Geadresseerd Geadresseerd Geadresseerd Geadresseerd Geadresseerd
Niet Geadresseerd, Niet Niet Niet Niet Niet geadresseerd mogelijk alleen geadresseerd geadresseerd geadresseerd geadresseerd geadresseerd middel
Tabel 23 Geadresseerden bij de verschillende algemene wetten (* niet aanwezig in decentraal ingericht PKI’s)
Uit tabel 23 blijkt dat er twee algemene wetten zijn waarbij personen louter als middel gebruikt kunnen worden. Deze algemene wetten zijn dan ook niet acceptabel volgens de
103
tweede formulering van de categorische imperatief. Volgens de theorie van Kant zijn dan ook alleen algemene wet 1 en algemene wet 3 acceptabel (zie tabel 24. Algemene wet 1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediger’ 4. Utah/Washington model
2e formulering categorisch imperatief Doorstaat test Doorstraat test niet Doorstraat test Doorstaat test niet
Tabel 24 Resultaten beoordeling algemene wetten met behulp van de theorie van Kant
7.8 Reflectie op de analyse Uiteindelijk gaat het na analyse van een moreel vraagstuk met verschillende methoden toch om het kiezen van een handelingsmogelijkheid die uitgevoegd moet gaan worden. In deze paragraaf zal de persoonlijke voorkeur van de auteur aan bod komen. Deze wordt vergeleken met de resultaten van de morele benaderingen paragraaf 7.5, 7.6 en 7.7. Tenslotte volgt een reflectie op de gebruikte morele benaderingen. 7.8.1 Uiteindelijke keuze handelingsmogelijkheid Gebruikers kunnen een vrij grote verantwoordelijkheid dragen. Dit leidt ertoe dat zij beter op hun private keys zullen gaan letten en meer betrokken gaan worden bij het beveiligingsontwerp. Er staat voor hun namelijk iets op het spel. Concreet betekent dit handelingsmogelijkheid 3 (bewijslast bij ‘verdediger’). Deze opzet is het meest analoog met wat er geldt voor papieren handtekeningen: als je die zet heb je in principe de intentie gehad om deze te zetten. In het geval dat deze intentie er niet was, kan het zijn dat een malicious third party in het spel is die de ondertekening gedaan heeft. In dat geval is het aan de eigenaar van de private key om te tonen dat deze gecompromitteerd werd. Wanneer dit te wijten is aan fouten in het PKI kunnen de producent van het PKI, certificate authority, organisatie of de extern adviseur verantwoordelijk gehouden worden. Er blijft ook de mogelijkheid voor gebruikers om in geval van oplichtingspraktijken zich te verdedigen. Hierbij is namelijk de intentie om te ondertekenen op een valse manier opgewekt. De gebruiker kan aantonen dat er sprake van oplichting was, waarmee de bron van de valse verwachtingen (een malicious third party) ter verantwoording geroepen kan worden. De verantwoordelijkheid van gebruikers is in een decentraal ingericht PKI groter dan in een centraal ingericht PKI omdat de verantwoordelijkheid die normaal gesproken bij de certificate authority ligt nu bij de gebruikers zelf ligt. Of dit echter een erg grote extra verantwoordelijkheid is, valt te bezien. In de eerste plaats wordt de verantwoordelijkheid verdeeld over een groot aantal gebruikers, waardoor de individuele gebruikers een kleine extra verantwoordelijkheid hebben. Daarnaast hebben veel certificate authorities in hun voorwaarden zelf al een beperkte verantwoordelijkheid opgenomen. Deze handelingsmogelijkheid is een erg elegante oplossing: ze is sterk genoeg om bruikbaar te zijn, maar biedt ook nog voldoende flexibiliteit om veel negatieve situaties te voorkomen. Het begint altijd bij verantwoordelijkheid leggen bij de gebruiker wiens private key gebruikt is om voor ondertekening van een bericht. Van daar uit kan dan de verantwoordelijkheid verder verhaald worden door het volgen van de relaties uit de sociale kaart in figuur 30. 7.8.2 Vergelijking uiteindelijke keuze met resultaten morele benaderingen De keuze voor handelingsmogelijkheid 3 (bewijslast bij ‘verdediger’) is in overeenstemming met de resultaten van de analyse met de verschillende ethische benaderingen, zoals in tabel 25 getoond wordt. 104
Ethische benadering Utilisme
Criterium: Eenheid Handelingsmogelijkheid 1. nul optie 2. bewijslast bij ‘aanklager’ 3. bewijslast bij ‘verdediger’ 4. Utah/ Washington model
Common-sense Beste rekening houden met meest relevante waarden Waarden gebruikers vs. waarden MTP
Klassiek utilisme
0 vs .0
3085/3075
+/- vs. +/-
3986,5/3973,5
+ vs. +
4852/4836
Utilisme met Paretoverbering Maximalisatie maatschappelijk nut, maar geen nutsafname voor individuele actoren Nut: centraal/ decentraal, Pareto verbetering nodig 3085/3075, geen verbetering nodig 3986,5/3973,5, geen verbetering nodig 3986,5/3973,5, geen verbetering nodig
+ vs. +/+
4756/4740
3986,5/3973,5, geen verbetering nodig
Maximalisatie maatschappelijk nut Nut: centraal/ decentraal
Theorie van Kant 2e formulering categorische imperatief Handelings-mogelijkheid mag geen personen louter als middel gebruiken Geadresseerden die louter middel kunnen zijn Geen ‘Aanklager’ Geen Gebruikers
Tabel 25 Resultaten beoordeling handelingsmogelijkheden/algemene wetten vanuit verschillende ethische benaderingen
Elk van deze ethische benaderingen heeft als resultaat dat deze optie de beste is, of in ieder geval als handelingsmogelijkheid acceptabel is. Dit is prettig, aangezien het kiezen tussen verschillende ethische benaderingen niet altijd eenvoudig is. Ook verdwijnt hierdoor het risico te kiezen voor een benadering die toevallig tot dezelfde handelingsmogelijkheid komt die het beste met de eigen voorkeur overeen komt. 7.8.3 Reflectie op de gebruikte ethische benaderingen Tenslotte worden in deze paragraaf de verschillende ethische benaderingen beoordeeld. De sterke en zwakke punten van elke benadering komen aan het licht. Daarnaast wordt aangegeven hoe rekening met deze punten gehouden kan worden. Common-sense benadering Deze methode heeft als voordeel dat het alle actoren even belangrijk acht. Het gaat hier om de relevantie van de waarden met betrekking tot een probleem en het maakt niet uit of de actoren talrijk in aantal zijn of een kleine groep. Daarnaast zijn de uitkomsten ervan meestal in overeenstemming met het algemeen heersende morele stelsel. Het grootste nadeel is echter dat het ook een vrij sterk subjectieve methode is: de relevantie van waarden is bijvoorbeeld duidelijk een keuze en van het eigen waardenstelsel afhankelijk. Het begrip common-sense is natuurlijk voor nogal veel interpretaties vatbaar. Dit doet de vraag opkomen in hoeverre common-sense analyses van verschillende personen (over hetzelfde onderwerp) met elkaar te vergelijken zijn. En daarnaast hoe tot overeenstemming gekomen kan worden. Wordt dit een proces op basis van argumenten of van slimme retorische technieken? Utilisme Het grote voordeel van deze methode is dat deze een ingewikkeld probleem kan vertalen in een ‘objectieve’ vergelijking van handelingsmogelijkheden op een eendimensionale interval schaal (maatschappelijk nut). Dit is echter ook meteen het zwakste punt van de benadering: er wordt een eendimensionale schaal gebruikt om een complex begrip te omschrijven. Dit leidt veelal tot onnauwkeurigheden. Het grootste probleem is dat aan alle onderdelen van het morele probleem dienen waarden gekoppeld te worden. Omdat maatschappelijk nut een interval schaal is, dienen deze waarden
105
ook minsten op interval niveau te zijn. Echter, in veel gevallen zijn deze waarden lastig te bepalen. Vaak zal het wel mogelijk zijn om de waarden op een ordinale schaal te bepalen (een schaal waarbij de waarden weliswaar een rangorde kennen, maar niet duidelijk is wat de precieze afstand of verhouding tussen de waarden is (bijvoorbeeld een schaal als: ‘goed’, ‘beter’, ‘best’). De invloed van handelingsmogelijkheden op de waarden was bijvoorbeeld een ordinale schaal (zie tabel 15). Deze dienden echter wel in een intervalschaal vertaald te worden. In de hier uitgevoerde analyse was dit weinig meer dan gokken! Het spreekt voor zich dat de keuze van deze waarden een grote invloed heeft op de resultaten. Daarnaast laat deze nogal veel ruimte voor manipulatie over. Bij het uitvoeren van een analyse met behulp van deze ethische benadering dient veel informatie gezocht te worden. Dit zal in veel gevallen betekenen het uitvoeren van vele onderzoeken om de waarde van de verschillende variabelen te bepalen. Uit kosten oogpunt zal deze voorwaarde voor een afbakening van de maatschappij zorgen, waar deze eigenlijk alle mensen op de hele wereld zou moeten zijn. Theorie van Kant Van de theorie van Kant is het sterkste punt dat deze niet claimt een ‘objectieve’ vergelijking te zijn doordat er geen gebruik wordt gemaakt van kwantitatieve vergelijkingen. Bij de analyse dienen kwalitatieve argumenten gebruikt te worden. De test die hier bij hoort is evenwel nog steeds sterk: deze argumenten bepalen zelf of een handelingsmogelijkheid binnen een bepaalde formulering van de categorische imperatief acceptabel is. Vooral de tweede formulering kan vrij objectief gebeuren. Het grootste nadeel is dat deze benadering weliswaar kan aangeven welke handelingsmogelijkheden acceptabel zijn en welke niet, maar geen voorkeur aan kan geven tussen de verschillende acceptabele handelingsmogelijkheden (utilisme en common-sense benadering kunnen dit wel). In de hier uitgevoerde analyse werden twee van de vier handelingsmogelijkheden als acceptabel beschouwd. Ook zou het kunnen zijn dat in een bepaald moreel vraagstuk geen van alle handelingsmogelijkheden acceptabel is. De benadering op basis van de theorie van Kant kan in dat geval niet kiezen van het minst slechte alternatief.
7.9 Afsluiting In dit hoofdstuk is onderzocht wat de morele verantwoordelijkheid van gebruikers in een PKI is. Door van verschillende handelingsmogelijkheden te bepalen wat de juridische verantwoordelijkheid voor gebruikers is en daarna te kijken welke handelingsmogelijkheid het meest aantrekkelijk is, kan de morele verantwoordelijkheid van gebruikers te bepalen. Uit de analyse bleek dat handelingsmogelijkheid drie (bewijslast bij ‘verdediger’) het meest aantrekkelijk is (zie tabel 25). Dit wil zeggen dat de morele verantwoordelijkheid van gebruikers gelijk is aan de juridische verantwoordelijkheid die in deze handelingsmogelijkheid besloten ligt. Deze verantwoordelijkheid is vrij groot: gebruikers moeten zorgvuldig omgaan met hun private keys en zijn in principe verantwoordelijk voor wat er mee gebeurd. Er kunnen echter wel situaties zijn, waar zij van deze verantwoordelijk ontheven worden. Dit is in overeenstemming met het idee dat er voor verantwoordelijkheid verzachtende omstandigheden kunnen zijn. Bij de analyse van de verschillende handelingsmogelijkheden is gebleken dat er verschillen kunnen zijn tussen centraal- en decentraal ingerichte PKI’s in de verantwoordelijkheid die zij bij gebruikers leggen. Deze is in decentraal ingerichte PKI’s groter dan in centraal ingericht PKI’s. Het verschil hoeft echter niet groot te zijn en kan daarom niet als een positief of negatief punt van de beide vormen gezien worden. Wel is het zo dat van een decentraal 106
ingericht PKI door de (in ieder geval in theorie) aanwezige grotere verantwoordelijkheid, gebruikers meer centraal staan in het PKI. Dit kan betekenen dat er meer rekening met hen gehouden wordt dan in een centraal ingericht PKI en dat kan natuurlijk alleen maar positief zijn. Na deze morele analyse zijn alle vergelijkingen tussen centraal- en decentraal ingerichte PKI’s uitgevoerd. Dit betekent dat in het volgende hoofdstuk conclusies getrokken kunnen worden over de aantrekkelijkheid van beide vormen van PKI voor roaming user networks.
107
Hoofdstuk 8: Conclusie 8.1 Inleiding Het laatste hoofdstuk van dit afstudeerverslag bevat het antwoord op de onderzoeksvraag: wat is beter geschikt voor een roaming user network, een centraal- of een decentraal ingericht PKI? Deze conclusie wordt behandeld in paragraaf 8.2. In paragraaf 8.3 volgen tenslotte nog aanbevelingen voor verder onderzoek. In dit onderzoek zijn veel claims gedaan. Bij deze claims zitten echter ook nogal wat zaken die meer onderzoek verdienen.
8.2 Keuze tussen centraal- en decentraal ingerichte PKI In hoofdstuk één werd de volgende probleemstelling voor dit onderzoek geformuleerd, die nu beantwoord kan worden: Hoe ‘scoren’ centraal- en decentraal ingerichte PKI’s op geschiktheid voor roaming user networks wanneer Trust en ethische gevolgen van implementatie als uitgangspunt van de analyse gebruikt worden?
De vergelijking op het gebied van Trust is gebeurd in hoofdstuk zes. Hier zullen eerst de belangrijkste conclusies uit dat hoofdstuk herhaald worden. In hoofdstuk zes werden centraal- en decentraal ingerichte PKI’s met elkaar vergeleken in de manier waarop ze met vertrouwensaspecten omgingen in de vijf relaties (privacy, ‘misbruik’ voorkomen, identiteit, vertrouwen en echtheid van informatie) die relevant gesteld werden voor PKI’s. Voor deze vergelijking werd onderscheid gemaakt tussen verschillende verkeersstromen (conversatie, registratie en consultatie). Uit deze analyse bleek dat zowel centraal- als decentraal ingerichte PKI’s sterke en zwakke punten hebben. Beide soorten hebben wel relaties waar ze moeite mee hebben. Een samenvatting van de sterke en zwakke punten staat in tabel 26. Centraal ingerichte PKI’s zijn vooral geschikt voor communicatie tussen centrum en individu (dus voor consultatie en registratie). Decentraal ingerichte PKI’s zijn geschikter voor communicatie tussen individuen onderling. Hier zou dus een keuze voor één van de twee vormen afhankelijk zijn van de vraag of verwacht wordt welke verkeersstroom het meeste voor zal komen. Het grote verschil tussen centraal- en decentraal ingerichte PKI’s lijkt te liggen in dat een centraal ingericht PKI’s zaken als identiteit, vertrouwen en klassen probeert te internaliseren en dat een decentraal ingericht PKI deze aspecten dynamisch wil ontwikkelen. Hierdoor is een decentraal ingericht PKI meer een resultaat van het gebruik van het netwerk. Dit heeft als voordeel dat het zich wellicht volledig aanpast aan de organisatie. Het nadeel is echter dat de kans bestaat dat het van te voren niet helemaal duidelijk is wat het resultaat wordt. Dit geldt met name voor het modelleren van hiërarchie die in organisaties voorkomt. In theorie zijn hier mogelijkheden voor, maar de praktische toepasbaarheid is onzeker. Omdat centraal ingerichte PKI’s zich niet ontwikkelen naar het gebruik van het netwerk betekent dit dat bij de implementatie van het netwerk de definitieve vorm vastgesteld wordt. Er mogen daarom bij het ontwerp van het PKI geen vergissingen gemaakt worden.
108
Soort PKI Centraal ingericht PKI
Decentraal ingericht PKI
Sterke punten - Geschiktheid voor consultatie en registratie - Geschiktheid om hiërarchie in organisatie voor te stellen -
Geschiktheid voor conversatie Dynamische en adaptieve karakter
Zwakke punten - Mindere geschiktheid voor conversatie - Rigide - Implementatie moet meteen goed gebeuren - Onzekerheid over internalisering hiërarchie in netwerk - Mindere geschiktheid voor consultatie en registratie
Tabel 26 Sterke en zwakke punten van centraal- en decentraal ingerichte PKI’s uit hoofdstuk 6
In hoofdstuk zeven werd gekeken naar de morele verantwoordelijkheid van gebruikers. Deze analyse is belangrijk omdat er op dit moment overwogen wordt om juridische waarde toe te kennen aan ondertekening van berichten. Dit heeft een vrij grote invloed op de toepassingsmogelijkheden van roaming user networks. De vergelijking tussen centraal- en decentraal ingerichte PKI’s was hier minder expliciet, maar nog steeds aanwezig. Het bleek dat de verantwoordelijkheid van gebruikers in een decentraal ingericht PKI groter is dan in een centraal ingericht PKI. In hoofdstuk zes werd dit ook genoemd, maar daar werd nog gevraagd of gebruikers deze verantwoordelijkheid kunnen dragen. Uit hoofdstuk zeven blijkt dat gebruikers een vrij grote verantwoordelijkheid dienen te dragen en dit dus niet echt een nadeel van decentraal ingericht PKI’s is. Uiteindelijk ligt mijn voorkeur voor roaming user networks bij decentrale netwerken. Hoewel sommige zaken lastig te regelen zijn, vind ik het mooi dat er minder in geregeld hoeft te worden. Bij het opzetten ervan hoeven niet alle variabelen bekend te zijn, aangezien het netwerk zichzelf deels ontwikkelt (bijvoorbeeld het ontstaan van centra, vertrouwen en het bepalen van echtheid van informatie). Daarnaast trekt het democratische gehalte mij zeer sterk. Tevens geldt voor deze netwerken het subsidiariteitsbeginsel: in tegenstelling tot centraal ingerichte PKI’s regelt een decentraal ingericht PKI alles op een zo laag mogelijk niveau (op eindgebruikers niveau). Op dit moment zijn de meeste PKI’s die in organisaties geïmplementeerd worden van de centrale soort. Hierdoor is er weinig informatie bekend over hoe decentraal ingerichte PKI’s werken. Het lijkt mij vanuit academisch oogpunt erg nuttig dat hier onderzoek naar gedaan wordt.
8.3 Aanbevelingen voor verder onderzoek In dit onderzoek is een antwoord op de onderzoeksvraag uit hoofdstuk één gegeven. Wanneer er echter gekeken wordt naar de verschillende onderdelen uit deze vraag dan komen er genoeg onderwerpen uit waar nog meer onderzoek naar gedaan zou kunnen worden. In de eerste plaats zijn PKI’s er in vele vormen en maten en de indeling in centraal- en decentraal ingerichte PKI’s is dan ook vrij abstract. Er zijn tal van andere eigenschappen van PKI’s waar in dit onderzoek helemaal niet ingegaan is, die wel relevant zijn voor roaming user networks. Zo zou bijvoorbeeld meer aandacht gegeven kunnen worden aan snelheid, geheugengebruik, kosten, maar bijvoorbeeld ook aan een begrip als gebruiksvriendelijkheid. Roaming user networks zijn een vrij recente ontwikkeling. In dit onderzoek is een vrij ad hoc definitie gegeven die gebaseerd is op enkele verwachtingen. Deze verwachtingen hoeven dan ook niet uit te komen. Dit is een gebied wat daarom meer onderzoek kan gebruiken. Ook de conversie van mobiele telefoon en computer is interessant. Een vriend had er het volgende over te melden: ‘mobiele telefoons staan op computers in een verhouding 10:1, dus Microsoft, Palm etc. maken geen kans’. Ik weet het nog zo net niet. Uiteindelijk is het de software die
109
bepaalt wat een mobiel device wel en niet kan en Microsoft en Palm hebben beiden ervaring in het ontwikkelen hiervan. Alleen de toekomst kan het leren. Eén van de doelen van dit onderzoek was om te komen tot een definitie van Trust. Uiteindelijk blijkt maar weer dat papier geduldig is, want helemaal uit de verf is deze niet gekomen. Wel hoop ik dat ik door de vergelijking met peer-to-peer netwerken, het verkeersstromenmodel en het gebruik van (niet technische) relaties onderzoekers geïnspireerd heb om eens op een andere manier naar dit begrip te kijken. Daarnaast wil ik sowieso pleiten voor meer onderzoek naar peer-to-peer. Deze netwerkvorm kan zoveel meer zijn dan alleen meer bestanden delen en er liggen dan ook vast prachtige toepassingen voor te wachten. Iemand moet ze alleen nog bedenken. Ook zou ik graag zien dat morele aspecten een onderdeel worden van elk onderzoek. Er zijn in dit onderzoek misschien niet echt zaken op moreel gebied naar voren gekomen die extra onderzoek nodig hebben, maar meer aandacht voor ethiek in de (technische) wetenschap is wel aan te bevelen. In paragraaf 6.5 werd het gebruik van multi actor netwerken voorgesteld om hiërarchie in decentraal ingerichte PKI’s mogelijk te maken. Deze oplossing werd aangenomen als ‘het werkt vast wel’, maar eerlijk gezegd was daar helemaal geen bewijs voor. Dat het in theorie moet kunnen, wil nog niet zeggen dat het in de praktijk ook werkt. Er werd al genoemd dat dit een erg interessant onderzoeksveld en dat is eigenlijk nog steeds waar.
110
Literatuurlijst Boeken [Alter 1999] Steven Alter (1999), Information Systems: a management perspective (3rd ed.), Addison-Wesley Education Publishers Inc. [Baker & Hurst 1998] Stewart Abercromble Baker & Paul R. Hurst (1998), The Limist of Trust: Cryptography, Governments, and Electronic Commerce, Kluwer Law International [Benantar 2002] Messaoud Benantar (2002), Introduction to the Public Key Infrastructure for the Internet, Prentice-Hall, Inc.: Upper Saddle River, New Jersey [Bordewijk & van Kaam 1982] J.L. Bordewijk en Ben van Kaam (1982), Allocutie: Enkele gedachten over communicatievrijheid in een bekabeld land, Bosch&Keuning nv: Baarn [Brooke 1984] Micheal Z. Brooke (1984), Centralization and autonomy, Holt: East Sussex [Damen e.a. 2000] Damen e.a. (2000), Cryptografie in de praktijk, ten Hagen en Stam [Deuss & Royakkers 2002] Hans Deuss en Lambèr Royakkers (2002), 6Z011: Techniek en Ethiek voor ST, TU/e: Eindhoven [Henshall & Shaw 1988] John Henshall & Sandy Shaw (1988), OSI Explained: end-to-end computer communicationn standards, Ellis Horwood limited: Chichester [Jeurissen (red) 2001] R.J.M. Jeurissen (red) (2001), Bedrijfsethiek, een goede zaak, Van Gorcum: Assen [Johnson 2001] Deborah G. Johnson (2001), Computer Ethics 3rd edition, Prentice-Hall, Inc.: Upper Saddle River, New Jersey [Koops 1999] Egebert J. Koops (1999), The Crypto Controversy: A Key Conflict in the Information Society, ECIS: Eindhoven [Kroes 1996] Peter Kroes (1996), Ideaalbeelden van wetenschap, Boom: Amsterdam [PGP 2002] (2002), PGP 8.0 for MacOS X User’s Guide, PGP Corporation [Stallings 2002] William Stallings (2002), Netwerkbeveiliging en Cryptografie: beginselen en praktijk, Academic Service: Schoonhoven [Zandvoort e.a. (red) 2001] H. Zandvoort e.a. (red) (2001), Syllabus: Ethiek en STM, Technische Universiteit Delft: Delft Whitepapers [Al-Adnani (ed) 1999] Adnan Al-Adnani (1999), D05 Intermediate report on terminal security, USECA [Bar-El 2002] Hagai Bar-El (2002), Security Implications of Hardware vs. Software Cryptographic Modules, Discretix: Netanya (Israel) [Elbaz 2002] Limor Elbaz (2002), Using Public Key Cryptography in Mobile Phones, Discretix: Netanya (Israel) 111
[Kralicek 2003] Stefan Kralicek (2003), UMTS Security, Bochum Artikelen [Arbough, Shankar & Wan 2002] William A. Arbough, Narendar Shankar & Y.C. Justin Wan (2001), Your 802.11 Wireless Network has No Clothes, University of Maryland: Maryland [Commandeur 1999] Harry R. Commandeur (1999), De betekenis van increasing returns voor managementvraagstukken, Universiteit Nyenrode [Economist 2002] (2002) Computing’s new shape, The Economist: 23 - 29 november [Ellison & Schneider 2000] Carl Ellison & Bruce Schneider (2000), Ten Risks of PKI: What You’re not Being Told about Public Key Infrastructure, Computer Security Journal, Volume XVI, Number 1, 2000 [Falcone & Castelfranchi 2001] Rino Falcone & Christiano Castelfranchi (2001), The Sociocognitive Dynamics of Trust: Does Trust Create Trust?54 [Falcone, Singh & Tan 2001] Rino Falcone, Munindar Singh & Yoa-Hua Tan (2001), Introduction: Bringing Together Humans and Artificial Agents in Cyber Societies: A New Field of Trust Research54 [Flanner 2002] Robert Flanner (2002), Replace those Shared Drives with Space Drives, The O'Reilly Network (http://www.oreillynet.com/), 28 augustus 2002, http://www.oreillynet.com/pub/a/onjava/2002/08/28/space.html [Hayes 1998] Brian Hayes (1998), Collective Wisdom, American Science: 86 [Mass & Shehory 2001] Yosi Mass & Onn Shehory (2001), Distributed Trust in Open Multiagent Systems1 [McKnight & Chervany 2001] D. Harrison McKnight & Normal L. Chervany (2001), Trust and Distrust Definitions: One Bite at a Time55 [Ming 2002] Ivo Jon Ming (2002), Dubbele sloten op AirPort, MacFan: 45 [Nooteboom, Klos & Jorna 2001] Bart Nooteboom, Thomas Klos & René Jorna (2001), Adaptive Trust and Co-operation: An Agent-Based Simulation Approach54 [Blankesteijn 2003] Herbert Blankesteijn (2003), Een krabbel in cijfers, NRC Handelsblad 24 maart 2003 [Peng 2000] Chengyuan Peng (2000), GSM and GPRS Security, Helsinki University of Technology: Helsinki [Rasmussen & Jansson 1996] Lars Rasmusson & Sverken Jansson (1996), Simulated Social Control for Secure (Position Paper), Swedish Institute of Computer Science [Witkowski, Artikis & Pitt 2001] Mark Wiskowski, Alexander Artikis & Jeremy Pitt (2001), Experiments in Building Experiental Trust in a Society of Objective-Trust Based Agents54 54
Deze artikelen zijn verzameld in het boek Rino Falcone, Munindar Singh & Yao-Hua Tan (Eds) (2001), Trust in Cyber-societies: Integrating the Human and Artificial Perspectives, Springer-Verlag: Berlin Heidelberg 112
Websites [apple I] Developer – RendezVous, http://developer.apple.com/macosx/rendezvous/ [berkeley.edu I] RSA Encryption, http://mathcircle.berkeley.edu/BMC3/rsa/rsa.html [computer I] CiSE: SETI@home, http://www.computer.org/cise/articles/seti.htm [ctd I] Privacy in the Digital Age, http://www.cdt.org/publications/lawreview/1999nova.shtml#III [ietf I] Roaming Support for DHCP Clients, http://www.ietf.org/internet-drafts/draft-guptadhcp-auth-02.txt [KPN I] Internet Everywhere, http://www.kpn.com/br2/ng/catalog/cat_Browser.jsp?c=ok&site=0&channel=1&contentOID= 25402 [netscape I] Introduction to SSL Works, http://developer.netscape.com/docs/manuals/security/sslin/contents.htm [netscape II] International Step-up http://developer.netscape.com/tech/security/stepup/stepup.html [netscape III] How SSL works http://developer.netscape.com/tech/security/basics/index.html [peer-to-peerwg I] What is peer-to-peer? http://www.peer-to-peerwg.org/whatis/index.html [seti I] SETI@home, http://setiathome.ssl.berkeley.edu/ [seti II] Current Total Statistics, http://setiathome.ssl.berkeley.edu/totals.html [seti III] About SETI@home page 1, http://setiathome.ssl.berkeley.edu/about_seti/about_seti_at_home_1.html [seti IV] SETI@home: current progress, http://setiathome.ssl.berkeley.edu/process_page/ [seti V] Candidate List, http://setiathome.ssl.berkeley.edu/Candidates/index.html [seti VI] CPU Types, http://setiathome.ssl.berkeley.edu/stats/cpus.html [smsu.edu I] Metcalfe’s Law, http://www.mgt.smsu.edu/mgt487/mgtissue/newstrat/metcalfe.htm [techtarget.com I] packet-switched – a searchNetworking definition – see also: packetswitching, http://searchnetworking.techtarget.com/sDefinition/0,,sid7_gci212737,00.html [techtarget.com II] virtual private network – a searchNetworking definition, http://searchnetworking.techtarget.com/sDefinition/0,,sid7_gci213324,00.html [umts-forum.org I] UMTS deployment http://www.umtsforum.org/servlet/dycon?ver=Live&db=ztumts&site=umts&page=Resources_Deployment_in dex&lang=en&dom=umts [verisign I] Verisign Corporate Overview http://www.verisign.com/corporate/about/index.html 113
[verisign II] Buy Digital ID http://www.verisign.com/client/enrollment/index.html [vodafone I] Dataoplossingen – Wireless Web, http://www.vodafone.nl/2_xx.asp?cnid=227&qas=471
114
Bijlage bij Hoofdstuk 5: Trust Equivalentierelaties De uitspraak dat een equivalentierelatie geldt, betekent dat het verband tussen bepaalde zaken zowel reflexief, symmetrisch als transitief is, is wellicht een bruikbare uitspraak voor wiskundigen en logici, maar wat betekent dit nu? Waarom is dit zo’n gewichtig begrip. Zowel voor wiskundigen, logici en filosofen? Dit ligt er met name aan dat een equivalentierelatie een grote groep ‘dingen’ (bijvoorbeeld getallen, kleuren, stenen en zelfs mensen) op kan delen in groepen die op een bepaald punt hetzelfde zijn. Het punt waarop ze hetzelfde zijn is datgene waar de equivalentierelatie een uitspraak over doet. Een voorbeeld kan zijn door een relatie als ‘heeft dezelfde kleur als’ op te zetten. Dit betekent bijvoorbeeld dat de hier getoonde kledingstukken (zie figuur 32) tot dezelfde groep behoren want ze zijn allemaal rood. [Kroes 1996, pag. 126-128]
Figuur 32 Voorbeeld van de relatie ‘heeft dezelde kleur als’
In termen van een equivalentierelatie kan gezegd worden dat: 1) ‘heeft dezelfde kleur als’ reflexief is omdat iets altijd dezelfde kleur heeft als de heeft dezelfde kleur als eigen kleur 2) ‘heeft dezelfde kleur als’ symmetrisch is omdat als een bepaalde jas dezelfde kleur heeft een bepaalde trui, die trui dezelfde kleur moet hebben als de jas.
heeft dezelfde kleur als dus heeft dezelfde kleur als
3) ‘heeft dezelfde kleur als’ transitief is omdat als een bepaalde jas dezelfde kleur heeft als een bepaalde trui en die trui dezelfde kleur heeft als een bepaalde polo de jas dezelfde kleur moet hebben als de polo.
heeft dezelfde kleur als en heeft dezelfde kleur als dus
Dit voorbeeld is uiteraard enorm triviaal. Equivalentierelaties hoeven
heeft dezelfde kleur als 115
dan ook niet moeilijk te zijn. De kracht is dat het een verzameling kan opdelen in groepen. Voor leden van deze groepen geldt dat ze op de equivalentierelatie binnen de groep met elkaar gelijk zijn, maar dat ze met leden uit de andere groepen verschillen op de equivalentierelatie. Voor deze groepen bestaat een bepaalde naam: klassen. Het voordeel van een grote groep kunnen opdelen in klassen is dat een lid uit een klasse gebruikt kan worden als ‘voorbeeld’ voor alle leden van de klasse. Als er een klasse ‘dingen met een rode kleur’ is, dan kan een jas uit deze klasse gebruikt worden als ‘voorbeeld’ voor wat rood is. Met spreekt dan ook wel van een representant voor een klasse: de rode jas representeert rode dingen. Het is belangrijk op te merken dat de leden van een klasse niet hetzelfde hoeven te zijn, ze delen alleen allemaal een bepaalde eigenschap. [Kroes 1996, pag. 128-130] In het voorbeeld zouden er ook andere klassen kunnen zijn als ‘dingen met een blauwe kleur’ en ‘dingen met een gele kleur’. In een equivalentierelatie is het niet mogelijk om een onderdeel uit een groep in meerdere klassen in te delen. Op het punt van de equivalentierelatie zijn leden uit de verschillende klassen dan ook allemaal verschillend. Het is aantrekkelijk dat equivalentierelaties groepen op kunnen delen in klassen. Hierdoor is het mogelijk om te spreken over een bepaalde soort gebruikers in plaats van een individuele gebruiker. Het is als het ware een abstractiestap. Het kunnen opdelen van gebruikers in klassen wordt met name aan het einde van hoofdstuk zes gebruikt om met hiërarchie in decentraal ingerichte PKI om te gaan.
116
Bijlagen Hoofdstuk 6: Vergelijking tussen centraal- en decentraal ingerichte PKI 6.A Kosten Vodafone Wireless Web 6.B Kosten KPN Internet Everywhere
117
6.A Kosten Vodafone Wireless Web (Prijzen op basis van [vodafone I] d.d. 30 juli 2003) Vodafone WirelessWeb in combinatie met Vodafone 60, 120, 180, 240 300, 500 en 1000 Prijs (euro) Aansluitkosten Vast bedrag per maand Kosten 1MB na voorraad
Datavoorraad 1MB Gratis 8,40
5MB Gratis 12,61
20MB Gratis 37,82
50MB Gratis 84,03
8,40
2,52
1,89
1,68
Vodafone Corporate GPRS Access in combinatie met zakelijke abonnementen GPRS Standard Prijs (euro) Maandelijkse abonnementkosten Verbruikskosten per MB SMS tekstbericht
Dataverkeer 0-5 MB 7,50
5-10 MB 7,50
> 10 MB 7,50
2,50
2,00
1,50
0,15
0,15
0,15
GPRS 10 Prijs (euro) Maandelijkse abonnementskosten Verbruikskosten per MB SMS tekstbericht
Dataverkeer 0-10 MB 20,00
> 10 MB 20,200
n.v.t. 0,15
1,50 0,15
Vodafone Corporate GPRS Access in combinatie met GPRS-only GPRS Standard Prijs (euro) Aansluitkosten Maandelijkse abonnementkosten Verbruikskosten per MB SMS tekstbericht
Dataverkeer 0-5 MB 44,00 7,50
5-10 MB 44,00 7,50
> 10 MB 44,00 7,50
2,50
2,00
1,50
0,15
0,15
0,15
GPRS 10 Prijs (euro) Aansluitkosten Maandelijkse abonnementskosten Verbruikskosten per MB SMS tekstbericht
Dataverkeer 0-10 MB 44,00 20,00
> 10 MB 44,00 20,200
n.v.t. 0,15
1,50 0,15
118
6.B Kosten KPN Internet Everywhere (Prijzen op basis van [KPN I] d.d. 30 juli 2003) Prijs (euro) Per maand
Databundel 1MB 8,00
5MB 12,50
10MB 20,00
25MB 37,50
Prijs (euro) Per MB Per MB (iMode)
Databundel 1MB 8,00 9,50
5MB 2,50 4,00
10MB 2,00 2,50
25MB 1,50 2,00
119
Bijlagen bij Hoofdstuk 7: Morele aspecten 7.A Beschrijving Utilisme 7.B Beschrijving theorie van Kant 7.C Excel sheets behorende bij Utilisme
120
7.A. Beschrijving Utilisme Het utilisme55 is een vorm van consequentialisme. In het consequentialisme wordt bepaald of een bepaalde handelswijze de juiste is op basis van het resultaat van de handeling. Het gaat dus niet zozeer om de handeling zelf, maar wat de gevolgen ervan zijn. Het utilisme bepaald dat voor die handelswijze gekozen dient te worden waarvan het nut voor de mensheid het grootst is. Nut moet hier gezien worden als positieve effecten voor mensen. Deze positieve gevolgen kunnen voor individuen gelden (individueel nut) of voor alle mensen (maatschappelijk nut). Het maatschappelijk nut is gelijk aan de som van het individuele nut van alle mensen die tot de maatschappij behoren. Een handeling is goed wanneer deze het maatschappelijk nut vergroot. Deze laatste zin wordt criterium A van het utilisme gehoord. Er zijn echter wel een tweetal problemen met betrekking tot dit criterium A: Problemen met betrekking tot het Autonomie principe In de eerste plaats dient het maatschappelijk nut bepaald te worden van een handeling. Dit betekent dat het individuele nut van een handeling voor alle mensen bekend moet zijn. Voor alle mensen moet dus met andere woorden de positieve effecten bekend zijn. Maar wat zijn positieve effecten? Hoewel deze positieve effecten betrekking hebben op begrippen als ‘geluk’ en ‘welzijn’, zijn deze in principe subjectief. Dit wordt het autonomie principe genoemd. Dit principe houdt in dat een ieder vrij is te doen wat hij wil, zolang hij daarbij anderen geen schade of nadeel berokkend. Het gevolg hiervan is dat iedereen zelf kan bepalen wat deze onder geluk of welzijn verstaat en daarmee dus wat nastrevenswaardig is. Daarnaast dient er een manier gevonden te worden om alle positieve effecten te aggregeren tot een eenheid die vergelijking mogelijk maakt. Dit vereist een objectieve maat waarmee gevolgen van handelingen gekwantificeerd kunnen worden. Dit is echter in strijd met het eerder genoemde autonomie principe. De economische wetenschap heeft wel een oplossing gevonden doordat deze spreekt over subjectieve behoeften die bevredigd kunnen worden. De mate waarin behoeften bevredigd worden kan wel gemeten worden en wordt daar dan ook als een maat voor nut gebruikt. Om te bepalen of de gevolgen van een handeling goed zijn of niet wordt er gerekend. Er wordt getracht alle positieve en negatieve effecten van een handelswijze te kwantificeren, waarna deze opgeteld worden. Wanneer het resultaat hiervan positief is, is de handelswijze te bestempelen als goed. Wanneer meerdere handelswijzen met elkaar vergeleken worden, is de handelswijze met het meest positieve saldo het beste. Ongewenste resultaten Het tweede probleem is dat maximalisatie van het maatschappelijk nut (criterium A) kan leiden tot situaties die niet echt wenselijk zijn. Zo kan criterium A leiden tot uitbuiting van individuen, wanneer de nutstoename voor de anderen groter is dan de nutsafname van de uitgebuite groep. Daarnaast zou criterium A kunnen leiden tot de conclusie dat zelfopoffering het beste is voor het maatschappelijk nut. In veel gevallen zal het hier echter gaan om irreëel altruïsme wat in gaat tegen de natuur van de mens. Het pareto-criterium Voor beide problemen is een oplossing in de vorm van het pareto criterium. Dit stelt dat van een handeling in ieder geval niemand slechter mag worden en tenminste één persoon er aan voorruit moet gaan. Deze nieuwe beoordelingsregel van handelingen wordt criterium B 55
Voor deze beschrijving is gebruik gemaakt van [Johnson 2001, pag. 36-43] en [Zandvoort e.a. (red) 2001, pag. 89-108]. 121
genoemd. Criterium B respecteert het autonomie beginsel omdat ieder eigen doelen mag nastreven. Daarnaast staat het geen uitbuiting toe. Tenslotte wordt ook zelfopoffering niet meer verwacht, maar wordt deze ook niet verboden.
122
7.B Beschrijving thoerie van Kant56 In tegenstelling tot het utilisme staan in de theorie van Kant niet de gevolgen van een handeling centraal, maar de vraag of de handeling in overeenstemming is met enige norm. De Duitse filosoof Immanuel Kant heeft getracht om een algemene norm vast te stellen die voor elke handeling bruikbaar is. Centraal in Kant’s ethiek staat de categorische imperatief. Een imperatief is een handelingsvoorschrift. Hij onderscheidde categorische en hypothetische imperatief. Een hypothetische imperatief is voorwaardelijk. Het zijn regels die een handelingswijze voorschrijven wanneer aan een bepaalde voorwaarde voldaan wordt. Deze voorwaarde zou een doel kunnen zijn wat iemand wil gebruiken. Het utilisme kan vanuit deze visie gezien worden als een hypothetische imperatief: “Als je geluk wilt maximaliseren, doe ...”. Een categorische imperatief is onvoorwaardelijk. Het is een handelingsvoorschrift wat altijd geldt, in elke situatie. Nu is alleen de vraag hoe dit voorschrift eruit ziet. Kant geeft zelf drie formuleringen van de categorische imperatief. Merk op dat deze formuleringen wat Kant betreft equivalent zijn. Eerste formulering van de categorische imperatief De eerste formulering die Kant geeft voor de categorische imperatief is de volgende: Handel alleen volgende die maxime waarvan je tegelijkertijd kunt willen dat ze een algemene wet wordt.
Deze regel stelt dat een handelingsmogelijkheid toelaatbaar is wanneer deze door ieder ander ook uitgevoerd zou kunnen worden. Een handelingswijze mag als het ware een algemeen geldend voorschrift worden. Het is belangrijk om op te merken dat deze formulering sterk het concept van gelijkheid bevat: de morele regels zijn voor alle mensen gelijk. Tweede formulering van de van de categorische imperatief De tweede formulering van de categorische imperatief die Kant geeft is: Handel zo dat je de mensheid, zowel in eigen persoon als in de persoon van ieder ander tegelijkertijd altijd ook als doel en nooit enkele als middel gebruikt. Deze regel stelt dat handelingswijzen gebruik van iemand anders mogen maken zonder instemming van die persoon. Het idee is dat wanneer iemand ter kwade trouw wil handelen, deze geen instemming zal vragen. Dit is in overeenstemming met het autonomie principe. Derde formulering van de categorische imperatief De laatste formulering van de categorische imperatief wordt niet gebruikt in de analyse omdat deze sterk lijkt op de eerste formulering en daarnaast betrekking heeft op een ideale inrichting van de maatschappij zoals Kant zich die voorstelde. De formulering wordt hier voor de volledigheid wel behandeld: [Handel alleen volgens een stelregel die ook een algemene wet kan zijn;] dus alleen zo dat de wil zich zelf door zijn stelregel tegelijkertijd als algemeen wetgevend kan beschouwen.
Deze formulering stelt dat handelingswijzen die voldoen aan de eerste formulering van de categorische imperatief kunnen gelden in een maatschappij waar iedereen voor zichzelf wetten maakt waar zij zelf en anderen zich aan houden. Dit kan wanneer deze wetten een grondslag hebben in de categorische imperatief. Kant geloofde namelijk dat iedere mens zelf door redeneren tot de categorische imperatief kan komen.
56
Voor deze beschrijving is gebruik gemaakt van [Johnson 2001, pag. 43-51] en [Zandvoort e.a. (red) 2001, pag. 109-123]. 123
Opvallend is dat hoewel Kant stelt dat handelingen beoordeeld dienen te worden los van de gevolgen van de handelingen, gevolgen van handelingen toch relevant zijn. Het is namelijk wel zo dat de vraag of een handeling een algemene wet kan worden vaak bepaald wordt aan de hand van de gevolgen van die wet. Ook met betrekking tot de tweede formulering van categorische imperatief geldt dat gevolgen wel degelijk relevant zijn. Degenen die moeten instemmen met een handeling zijn namelijk altijd personen die op de een of andere manier met de gevolgen van de handeling te maken zullen hebben. Hierdoor lijkt Kant’s categorische imperatief ineens vrij sterk op criterium B uit het utilisme.
124
7.C Excel sheets behorende bij Utilisme Centraal ingericht PKI Variabelen
Definitie RUN:
Aantallen
Aantal RUN's 6
Gebruikers:
100
Gebruikers
600
Organisatie:
1
Organisatie
6
Certificate Authority 0,33
Certificate Authorities 2
Producent PKI
0,5
Producent PKI
3
Extern adviseurs
1
Extern adviseurs
6
MTP's % gebruikers 1% multiplier
0
handelingsmogelijkheid 1
1
handelingsmogelijkheid 2
2
handelingsmogelijkheid 3
3
handelingsmogelijkheid 4
Nutsfuncties: Gebruikers
Maatschappelijk nut actorgroepen: 5+3*gemak 5+efficientie+effectiviteit+ economische waarde
Organisatie
aantal gebruikers*nut gebruikers aantal organisaties*nut organisaties
Certificate Authority 5+3*economische waarde
aantal CA's*nut CA's
Producent PKI
5+3*economische waarde
aantal producenten*nut producenten
Extern adviseur
5+3*economische waarde
aantal adviseurs*nut adviseurs
MTP
-1-3*materiele waarden-3*Genot
aantal MTP*nut MTP's*-1 (negatief nut)
Totaal maatschappelijk nut:
Som nut actorgroepen
Nutsfuncties actoren Actor Handelings Certificate mogelijkheid Gebruikers Organisatie authorities Producent PKI Extern adviseur MTP 1
5
5
5
5
5
1
2
6,5
6,5
6,5
6,5
6,5
4
3
8
8
8
8
8
7
4
8
8
8
8
8
10
125
(Maatschappelijke) nutsfuncties: Actor Handelings Certificate Producent Extern Maatschappelijk mogelijkheid Gebruikers Organisatie authorities PKI adviseur MTP nut: 1
3000
30
10
15
30
0
3085
2
3900
39
13
19,5
39
-24
3986,5
3
4800
48
16
24
48
-84
4852
4
4800
48
16
24
48
-180 4756
Decentraal ingericht PKI Variabelen
Definitie RUN:
Aantallen
Aantal RUN's 6
Gebruikers:
100
Gebruikers
600
Organisatie:
1
Organisatie
6
Certificate Authority 0
Certificate Authorities 0
Producent PKI
0,5
Producent PKI
3
Extern adviseurs
1
Extern adviseurs
6
MTP's % gebruikers 1% multiplier
0
handelingsmogelijkheid 1
1
handelingsmogelijkheid 2
2
handelingsmogelijkheid 3
3
handelingsmogelijkheid 4
Nutsfuncties: Gebruikers Organisatie
Maatschappelijk nut actorgroepen: 5+3*gemak 5+efficientie+effectiviteit+ economische waarde
aantal gebruikers*nut gebruikers aantal organisaties*nut organisaties
Certificate Authority 5+3*economische waarde
aantal CA's*nut CA's
Producent PKI
5+3*economische waarde
aantal producenten*nut producenten
Extern adviseur
5+3*economische waarde
aantal adviseurs*nut adviseurs
MTP
-1-3*materiele waarden-3*Genot
aantal MTP*nut MTP's*-1 (negatief nut)
Totaal maatschappelijk nut:
Som nut actorgroepen
Nutsfuncties actoren Actor Handelings Certificate mogelijkheid Gebruikers Organisatie authorities Producent PKI Extern adviseur MTP
126
1
5
5
0
5
5
1
2
6,5
6,5
0
6,5
6,5
4
3
8
8
0
8
8
7
4
8
8
0
8
8
10
(Maatschappelijke) nutsfuncties: Actor Handelings Certificate Producent Extern Maatschappelijk mogelijkheid Gebruikers Organisatie authorities PKI adviseur MTP nut: 1
3000
30
0
15
30
0
3075
2
3900
39
0
19,5
39
-24
3973,5
3
4800
48
0
24
48
-84
4836
4
4800
48
0
24
48
-180 4740
127
