Hoe mijn kids encryptie uitvonden

DoorRonald Beiboer

​Waarschuwing: Dit column is niet AI gegenereerd en kan daarom menselijk zijn

Het komt misschien onverwacht, maar ook zonder AI is er nog voldoende innovatie in de wereld van 'cyber' security. Deze morgen viel alles op zijn plek. In mijn ogen zijn mijn kids sowieso briljant of zoals mijn dochter het zelf bescheiden verwoord: "Ik heb een briljant brein".

Toch was het mooi om te zien dat mijn kinderen in navolging van de oude Egyptenaren de kracht van encryptie ontdekken. Zoals gebruikelijk bij grote innovaties hadden mijn uitvinders natuurlijk niet door wat ze in handen hadden.

Een ballon als cryptografisch medium

De gebruikte techniek is eenvoudig doch vernuftig. In 'plain text' werd een geheime boodschap op een opgeblazen ballon geschreven. Tot zover niets bijzonders natuurlijk. Vervolgens werd de versleuteling op innovatieve wijze geactiveerd door de ballon leeg te laten lopen. Voor omstanders was vervolgens de boodschap onleesbaar en teruggebracht tot een hoopje zwarte geklieder met een stift ofwel ciphertext. De geheime boodschap werd vervolgens met een slingerworp geheel airgapped verzonden richting mijn zoontje. Automatische algoritmen en 'quantum' kregen geen grip op het bericht, aangezien er geen verbindingen met geavanceerde systemen mogelijk waren.

Geheime boodschap wordt in 'plain text' op de ballon aangebracht

Als ware 'man in the middle' wist ik de ballon behendig te onderscheppen net voordat het bij mijn zoontje belande. Door de end-to-end versleuteling bleef de exacte inhoud echter een raadsel en uiteindelijk belande de ballon dan toch bij mijn zoontje. Daar bleek mijn zoontje de 'key' in handen te hebben. Met wat ferme happen lucht blies hij weer leven in de ballon en werd de originele boodschap weer zichtbaar. Een knap staaltje betaalbare encryptie op kleine schaal.

De risico-analyse: want zo werkt dat nu eenmaal

Na uitvoerige complimenten heb ik een risicoanalyse gedaan van deze vorm van versleuteling. Zo bestaat de kans dat mijn zoontje tijdens de ontsleuteling de private key publiceert waarmee in het vervolg deze vorm van geheimhouding een stuk minder veilig zal zijn.

Het gebrek aan mogelijkheden om de key te roteren is daarmee ook duidelijk een zwakte. Mocht de private key in deze onwaarschijnlijke samenloop van omstandigheden inderdaad uitlekken, dan lijkt er geen mogelijkheid te zijn om geheimhouding in de toekomst op deze manier te waarborgen. Dit zal als geaccepteerd risico worden geregistreerd waarbij een gedegen exitstrategie beschikbaar moet zijn voor het geval dat…

Daarnaast heb ik ze gewezen op mogelijke problemen met de schaalbaarheid van deze vorm van encryptie. Hoe groot kun je ballonnen maken voordat het onpraktisch begint te worden?

Een groot voordeel van de methode lijkt me wel de asymmetrische encryptie. De methode om te versleutelen (het leeg laten lopen van de ballon) kan nooit gebruikt worden om de tekst zichtbaar te maken. Mocht de verzender de 'private key' niet hebben, dan is de ontvanger zelfs de enige die de tekst kan ontsleutelen. Wel zie ik mogelijkheden voor 'reverse engineering' wanneer de encryptiemethode goed onderzocht wordt door experts uit het werkveld.

Een ander risico dat ik heb benoemd is gericht op de 'availability'-pijler in de CIA Triad. Wanneer deze encryptiemethode meerdere malen toegepast wordt met hetzelfde materiaal, verwacht ik dat de boodschap steeds minder helder zal worden. Om dit risico te beperken en als acceptabel restrisico te beschouwen, heb ik geadviseerd een tweede ballon in te zetten ter redundantie.

De menselijke factor blijft het grootste risico

Ter afsluiting hebben we het ook gehad over het risico van social engineering. Mijn zoontje lijkt een geschikt target daarvoor met mijn vrouw als 'actor'. Wanneer deze zowel de geheime boodschap als de encryptiemethode weet te ontfutselen door een combinatie van misleiding en omkoping, liggen de geheimen natuurlijk op straat.

In een korte 1-op-1 heb ik mijn dochter gewezen op het risico van een insider threat. Mijn zoontje heeft immers een hechte band met mijn vrouw en helpt mensen maar al te graag. Een awareness training en eventuele screening zou dit risico kunnen reduceren.

Met al deze nieuwe kennis hebben de kinderen besloten dat het een prima methode is voor dagelijkse boodschappen in de categorie vertrouwlijk. Voor hoger gekwalificeerde data zijn ze nog op zoek naar een nieuwe methode en staan ze open voor ideeën.

Over Ronald

Ronald Beiboer heeft twintig jaar ervaring in de IT en Cyber security en is een toegewijd specialist in Threat Detection and Response (TDR). 

In zijn loopbaan heeft Ronald zich gericht op de beveiliging van kritieke infrastructuur, in een tijdperk waarin IT en OT steeds meer met elkaar verbonden raakten. 

Zijn tijd bij Fox-IT als security architect en productmanager, waar hij onder meer betrokken was bij het ontwerp van SurfSOC, benadrukt zijn diepgaande kennis en toewijding aan het vakgebied. Momenteel is hij werkzaam bij Splunk als cyberbeveiligingsexpert, waar hij teams van klanten helpt hun beveiligingsoperaties te optimaliseren. Ook is hij vrijwilliger bij DIVD geweest, waar hij teamlead was van het SOC.

Ronald hanteert een pragmatische houding en heeft het vermogen om een brug te slaan tussen zowel technische experts als leidinggevenden op tactisch en strategisch niveau, waarbij hij een subtiele balans vindt tussen technische diepgang en toegankelijkheid. Hij schrijft graag over zaken die hem opvallen in de, soms bizarre wereld, van cyber security.

Vergelijkbare berichten