Interpay, de organisatie die voor Nederland onder meer het automatische betalingsverkeer regelt, test de data-encryptiemethode Rijndael. De Amerikaanse overheid koos deze beveiliging als opvolger voor de huidige standaard DES.
De afdeling Risk Management van Interpay bestudeert volgens manager productinnovatie Fred Stolk al enige tijd het Belgische algoritme Rijndael. "We zijn er mee aan het stoeien om te zien of we er gaten in kunnen schieten. Het zal nog wel enige tijd duren voor we zeker weten dat de beveilingsmethode veilig is."
Voorlopig houdt Interpay het daarom nog bij standaarden RSA en Triple-DES. Deze twee encryptietechnieken gebruikt het onder meer voor het beveiligen van de netwerkinfrastructuur waarlangs consumenten met een pinpas en een pincode betalingen verrichten.
Overheidsinformatie
Begin deze maand maakten de Amerikanen bekend voor de versleuteling van gevoelige overheidsinformatie in de loop van volgend jaar de Belgische Rijndael-encryptiemethodiek te gebruiken. De Amerikaanse overheid zet Rijndael in als Advanced Encryption Standard (AES), de standaardmethode voor het versleutelen van hun gevoelige gegevens. Net zoals dat geschiedde met de huidige standaard, Data Encryption Standard (DES), zal deze methode ook toepassing vinden in systemen voor het coderen en beveiligen van Internet-verkeer, pin-codes en pinautomaten.
De aanzet voor het ontwikkelen van AES is het verouderen van DES, dat stamt uit 1977. Het populaire DES – het kent honderden toepassingen – gebruikt sleutels van 56 bits. Volgens het National Institute of Standards and Technology (Nist) kunnen hedendaagse snelle computers een met DES versleutelde boodschap binnen enkele uren kraken.
Met de intrede van AES is volgens Nist het gevaar van ontcijfering door derden geweken: "Stel dat er een computer wordt gemaakt die een DES-sleutel in één seconde weet te kraken, dus in die tijd 255 sleutels test op een bericht, dan zou diezelfde machine er bijna honderdvijftigduizend-miljard jaar over doen om een bericht te ontcijferen dat is versleuteld met een 128 bit AES-sleutel. Om dat in perspectief te plaatsen, het heelal is naar schatting zo’n 20 miljard jaar oud."
Voorstellen
De nieuwe encryptiemethode moet voldoende krachtig zijn om tot ver in deze eeuw veiligheid te bieden. Die eis stelde Nist toen het in 1997 encryptiespecialisten uitnodigde AES-voorstellen in te dienen. Meedoen aan die race vereiste dat de versleutelmethode openbaar is en wereldwijd zonder rechten verkrijgbaar.
Het algoritme moet verder, zo schreef het technologie-instituut voor, minimaal een symmetrisch encryptiesysteem zijn. In dat geval zijn de sleutels voor codering en decodering gelijk. Het alternatieve systeem, asymmetrische versleuteling, gebruikt twee verschillende sleutels voor het vercijferen en ontcijferen. Die techniek is weliswaar veiliger, maar minder makkelijk te beheren.
Het standaardisatie-instituut kreeg vijftien voorstellen toegestuurd, afkomstig uit twaalf verschillende landen. In de laatste ronde dongen nog vijf methoden mee: Rijndael, Serpent, RC6, Mars en Twofish. De top drie, stelde de Amerikaanse encryptie-goeroe Phil Zimmerman, bestond naast Rijndael uit het Israelische Serpent – volgens hem de langzaamste maar wel de sterkste encryptiemethode – en Twofish. Die laatste is zijn persoonlijke favoriet, die hij al in de nieuwste versie van zijn versleutelprogramma voor e-mail (PGP) had opgenomen.
Rekenkracht
De ontwikkelaars van Rijndael zijn de Vlamingen Vincent Rijmen en Joan Daemen. Rijmen doet fundamenteel onderzoek op het gebied van cryptografie en informatiebeveiliging bij de Katholieke Universiteit Leuven. Zijn oud-collega Daemen is werkzaam bij het bedrijf Proton World, ontwikkelaar van smart cards.
"Alle vijf de methoden lijken dezelfde afdoende veiligheid te garanderen", concludeerde het Amerikaanse instituut begin deze maand. De keuze voor Rijndael is voornamelijk ingegeven omdat het lage systeemeisen stelt aan de omgeving waarin het moet werken. Daardoor is het geschikt voor gebruik in smart cards en andere toepassingen waarbij weinig rekenkracht ter beschikking staat.
