De recente problemen bij Diginotar zijn voor mij gewoon een bevestiging van wat wij al jaren prediken: 'It's the user, stupid'. Authenticatie en security zijn echt niet alleen maar op te lossen met technische bouwstenen – vroeg of laat komen we echt bij 'het probleem tussen het scherm en het keyboard' terecht: de eindgebruiker.
Wat we daarmee bedoelen is dat online veiligheid met alleen technische-hulpmiddelen, of het nu op websites of in transactionele toepassingen binnen/tussen bedrijven is, op geen enkele manier waterdicht te maken is. We mogen nog zoveel miljoenen als we willen besteden aan moderne PKI-oplossingen, digitale handtekeningen, certificate authorities, enzovoort enzoverder, de techniek blijft altijd kwetsbaar. De Diginotar-case maakt dat overduidelijk: op een of andere manier hebben hackers een exploit gevonden die hen heeft toegelaten om een heel erg centralistisch opgezette beveiligingsinfrastructuur van binnenuit te kraken.
Dit staat in schril contrast met de benadering die mijn collega's en ikzelf voorstaan: wij beweren al jaren dat authenticatie geen technisch probleem mag zijn, en dat het een gebruikersprobleem is, en als dusdanig moet worden opgelost. Het is de eindgebruiker en de manier waarop hij/zij omgaat met authenticatieprocessen die moet veranderen: authenticatie moet minder beschouwd worden als een technisch euvel, maar eerder een rol toebedeeld krijgen in de optimalisatie van operationele werkstromen. Authenticatie moet niet moeilijk zijn, maar moet makkelijk worden – op een praktische, en toch veilige manier.
Het beste voorbeeld dat wij hiertoe altijd hebben aangehaald is de UZI-pas in de zorgsector: technisch zogezegd (de Diginotar case maakt dat pijnlijk duidelijk) een veiliger oplossing, maar vanuit praktisch perspectief voor een zorgverlener een draak van een oplossing. Veel te moeilijk in gebruik, en net daarom (zorgverleners vergeten de pasjes, lenen de pasjes uit, schrijven de pin op de kaart, etc) weer onveiliger. Zorginstellingen zijn veel beter af met een, vanuit theoretisch oogpunt veel onveiliger, maar praktisch gezien net veel veiliger, oplossing op basis van proximity cards of vingerafdrukken. Die oplossingen werken, zijn goedkoper, makkelijker inzetbaar, en erg praktisch veilig.
Let op: dit is geen pleidooi voor het gewoon buiten beschouwing laten van de technische beveiliging. Het is een pleidooi voor een redelijke, praktische en pragmatische aanpak van authenticatie-beveiliging die in de eerste plaats aandacht heeft voor de gebruiker . Want hoe je het ook wendt of keert, zonder de gebruiker aan onze kant blijft beveiliging van authenticatie altijd een zeepbel die vroeg of laat wordt doorgeprikt.
’t is toch wel wat zielig. Je biedt systemen aan om veilig en eenvoudig gegevens in te voeren, op te vragen en te bewerken en als je beveiliging faalt dan heeft de gebruiker het gedaan. Die arme gebruiker, die al tientallen wachtwoorden, pincodes, nummers, loginnamen en weet ik wat allemaal meer moet onthouden en die constant wordt belaagd door mensen die niet van andermans zaken af kunnen blijven. Dat laatste is geen technisch probleem, maar een structureel maatschappelijk probleem dat de komende jaren alleen maar erger wordt. De oplossing daarvoor ligt dus ook niet in de ICT of andere techniek, maar in de bereidheid van mensen anderen als gelijkwaardig te zien en ieder zijn deel van de “vruchten der aarde” te gunnen. In de tussentijd broddelen we lekker door. Oplossingen genoemd in bovenstaand stukje, met vingerafdruk e.d. leiden alleen maar tot zwaardere criminaliteit. Betere oplossingen geven slechts tijdelijk verlichting zolang de kern van het probleem niet in de techniek ligt.
Met name voor een informatiebeveiliger is het belangrijk om de bron en achtergrond van informatie na te gaan voordat je oordeelt. Dat heeft Criticaster gedaan en hij komt dan ook tot zijn gefundeerde en redelijk waarschijnlijke conclusie, helaas zijn er ook enkele ongenuanceerde reacties.
In het artikel wordt inderdaad een verwarrende koppeling gelegd tussen gebruikersfout en de Diginota-hack. De boodschap t.a.v. gebruikersadoptie van security-middelen is daarentegen wel correct, ongeacht vermeend commercieel belang (wie heeft dat niet?).
Techneuten verzinnen en bouwen (perfecte) beveiligingsoplossingen die nogal eens niet passen bij het natuurlijk gedrag van de gebruiker. Daardoor zal die gebruiker manieren zoeken en vinden die om de
technische beveiliging heen gaan, ongeacht welk awareness programma je er tegenaan gooit. Techniek
zal dus (beter) moeten aansluiten bij het werk- en gedragsproces van de gebruiker.
Hoe gebruikersvriendelijk het authenticatiemiddel, hoe meer de gebruiker bereid zal zijn het te gebruiken. Dat betekent wel dat er concessies aan die “perfecte beveiligingsoplossing” moeten worden gedaan. Ergens in dat compromis ligt de optimale beveiliging.
De strekking van dit artikel is me wel duidelijk alleen denk ik niet dat het Diginotar debacle een goede kapstok is om deze mening aan te hangen. Wie beveiligd de beveiliger is heel wat anders dan de vraagstelling wat is praktisch gezien goede beveiliging.
Een volledig afdekkende beveiliging is onmogelijk. Aan zware beveiliging zit een veelvoud van wettelijk en sociaal acceptabele beperkingen maar staat de laatste tijd zwaar onder druk. Maar dat is eigenlijk niet het grootste probleem. Dat is het feit dat je door relatief zwakke beveiliging eenmalig te omzeilen je bij dusdanig veel systemen kan komen dat al snel niet meer te overzien wat de mogelijke schade is.
In praktische zin is het belangrijk om je hele infrastructuur zo in te delen dat courante gegevens eenvoudig toegankelijk zijn maar beperkt beschikbaar zijn tot het domein van de gebruiker waarin dat relevant is. Aanvullende informatie kun je dan zwaarder beveiligen.
En eigenlijk zou de wetgeving hier ook op aangepast moeten worden zodat het ook afgedwongen kan worden.
Een opmerkingen over verantwoordelijkheden: de Nederlandse bevolking heeft niet om een DigID, een OV-chipkaart of om internetbankieren, etc…. gevraagd.
Een aanbieder van bovenste zaken kan m.i. dan ook de grootste verantwoordelijkheid bij de gebruiker neerleggen.
Gebruikers hebben de mogelijkheid om End-to-End Peer-to-Peer authentication en security toe te passen in plaats van Trusted Third Party (TTP) authentication en security zoals met PKI en Certificaten. Dat hiervoor een goede reden is, is bijvoorbeeld te lezen in het paper dat op http://cryptome.org/ssl-mitm.pdf gedownload kan worden. Gegeven het feit dat de problemen met TTP authenticatie reeds langer bekend waren en ook niet op korte termijn opgelost zullen zijn is het Freemove Quantum Exchange Systeem ontworpen dat sinds 2007 operationeel is en tot minimaal 2030 operationeel zal blijven. Dit systeem is in tegenstelling tot de huidige op TTP gebaseerde systemen gebaseerd op P2P security en authentication. Verder heeft het onafhankelijke bron- en kanaalcodering, is het gebaseerd op true- en niet op pseudorandomness, heeft het gescheiden security en authentication en ondersteund het information-theoretische en rekenkundige symmetische private key en asymmetrische public key schema’s. Dit systeem is dus onafhankelijk van CA’s en ongevoelig voor illegale certificaten en hacks bij CA’s. Meer informatie over dit systeem is bijvoorbeeld te vinden op http://bit.ly/fqxch en http://bit.ly/fqxwuala
Na bovenstaande opmerkingen gelezen te hebben, moet ik uiteraard zelf ook even in de pen/het keyboard kruipen om eea recht te zetten.
1. De titel van dit artikel is niet door mijzelf gekozen, maar door de redactie van Computable. Het is mijn mening dat zij een totaal verkeerde titel hebben gekozen, die geenszins past bij de toon of de intentie van mijn artikel. Op GEEN ENKELE manier, heb ik in het artikel ooit de arme eindgebruiker willen beschuldigen in het Diginotar debacle. In tegendeel zelfs. Het is in mijn beleving compleet absurd om een eindgebruiker van iets te beschuldigen waar hij geen enkele invloed op heeft.
2. Voor alle duidelijkheid: ikzelf en mijn werkgever zijn grote voorstanders van een FUNCTIONELE, eindgebruikers-centrische benadering van informatiebeveiliging. Wij zijn er van overtuigd dat louter technische bendareringen (zoals die van Diginotar) altijd gedoemd zijn om te mislukken – wat in het geval van deze case nog maar eens overduidelijk is geworden.
Ik wens mij nogmaals te excuseren voor de foutieve lezing van het artikel, de misplaatste titel, en de misverstanden die hierdoor ontstaan zijn.
Groet
Rik