Het ABC van encryptie

Bron: Nicolette van den Hout

De data van Elsevier Nextens wordt versleuteld opgeslagen op de servers van het Microsoft Azure Platform. Dat versleutelen noemen we encryptie, een belangrijke schakel binnen de cirkel van beveiliging. Hoe werkt encryptie van data en hoe werkt dat voor Nextens?

Wat is encryptie?

De data van Nextens wordt versleuteld (door middel van encryptie) opgeslagen in de cloud. Encryptie is het versleutelen van gegevens waardoor het voor onbevoegden bijna onmogelijk wordt de gegevens uit te lezen. Alleen met behulp van de juiste sleutel, een geheim wachtwoord dat uit cijfers, letters en/of speciale tekens bestaat, kunnen de originele gegevens worden ontcijferd.

Hoe veilig is encryptie?

Hoe veilig de encryptie is, is afhankelijk van het gebruikte encryptie algoritme en het aantal bits. Hoe hoger het aantal bits, 128, 192 of 256, hoe sterker de versleuteling. Hoe ‘slim’ de versleuteling is, hangt weer af van het gebruikte encryptie. Tot een aantal jaar geleden was de Data Encryption Standard (DES)-methode populair. Ook de Amerikaanse veiligheidsdiensten maakten daar gebruik van. Maar door de steeds sneller wordende computers, bleek deze methode eenvoudig te kraken en werd het eind jaren ’90 tijd voor een nieuwe encryptiestandaard. Hiervoor werd een wedstrijd uitgeschreven. Deze werd gewonnen door de Vlaamse cryptografiespecialisten Vincent Rijmen en Joan Daemen met hun Rijndael-algoritme.

Welke encryptie gebruikt Nextens?

Het Rijndael-algoritme wordt op dit moment als het meest robuust aangemerkt. Het algoritme bestaat uit de bitssleutels 128, 192 en 256. Sinds 2002 staat het Rijndael-algoritme beter bekend als AES, Advanced Encryption Standard. Ook Nextens maakt gebruikt van de AES-encryptie met de sterke versleuteling van 256 bits.

Wie komen er bij de gegevens?

De data kan alleen worden uitgelezen als je de sleutel hebt om het vervolgens terug te zetten naar leesbare data. Nextens-gebruikers zijn zelf eigenaar van de data. Reed Business Information, het moederbedrijf van Nextens, heeft zelf geen toegang tot deze gegevens. Er zijn drie uitzonderingen:

  • als er sprake is van oneigenlijk gebruik van de applicatie;
  • als het noodzakelijk blijkt te zijn om ondersteuning te bieden aan de gebruiker. In dit geval gebeurt het altijd in samenspraak en goede afstemming met de gebruiker. Dit is tevens contractueel vastgelegd en is onderhevig aan lopende wet- en regelgeving over cloud-gebruik;
  • de derde uitzondering is de FIOD. De FIOD kan alleen de data opvragen als daar een wettelijke grondslag voor is.

Wettelijke maatregelen

Het kabinet heeft onderzocht of het wettelijke maatregelen wil nemen tegen encryptie van computergegevens, maar zag daar toch van af. De afweging was de beveiliging van dataverkeer en de bestrijding van terroristische en criminele activiteiten. Het kabinet wijst erop dat overheid, bedrijfsleven en burgers in toenemende mate gebruikmaken en afhankelijk zijn van encryptie. Tegelijkertijd beseft het kabinet dat encryptie de opsporing van terroristen en criminelen lastiger maakt. Encryptie is bovendien een wereldwijde praktijk. Dat maakt de mogelijkheden voor nationale maatregelen beperkt.

terug