Centre of Expertise Cyber Security

Studenten project: Een onderzoek naar end-to-end encryptie

Is men onvoldoende bewust van de risico’s bij het verzenden van informatie naar een ander, waarbij het steeds risico bestaat dat het onderschept kan worden door een derde of dat de data vanuit de provider lekt?

Een student aan het woord over zijn onderzoek bij het kenniscentrum Cyber Security

Kun je je voorstellen?

‘Ik ben Miguel Chehin en ben een 3e jaar student op de opleiding Information Security Management (ISM). Ik doe als stagiaire onderzoek  naar de veiligheidsgraad van commerciële end-to-end encryptie. Mijn begeleider is senior onderzoeker Daniel Meinsma bij het Centre of expertise Cyber Security.’

Je doet onderzoek naar end-to-end versleuteling. Wat houdt end-to-end versleuteling in?

‘Om dit te begrijpen moeten we eerst weten hoe standaard data communicatie werkt.

Bij elk communicatie systeem (denk aan email) wordt data verstuurd met behulp van verschillende partijen. Laten we Gmail als voorbeeld nemen. Op het moment dat jij een email verstuurt vanaf jouw computer of telefoon wordt die mail via de internet provider toegestuurd naar de servers van google, eenmaal aangekomen op google wordt die mail gearchiveerd en doorverwezen naar de toegewezen bestemming. Dit betekent dat het mailtje open en bloot op de servers van google staat waardoor google toegang zou kunnen krijgen op alle data die te vinden is in de email. Maar dit betekent ook dat de internet provider die de data verstuurt richting google toegang zou kunnen hebben.

Hoe ik end-to-end encryptie zie is:
end-to-end encryptie is het bieden van een communicatiesysteem waarbij alleen de communicerende partijen toegang hebben tot de data, en dus niet alle andere partijen er tussen in (denk aan internet of telecom providers, maar ook hackers). Het communicatiesysteem is dusdanig opgebouwd dat het zorgt dat de data wordt versleuteld vóórdat het via het internet wordt verstuurd en alleen de ontvangende partij in bezit is van de sleutel om het bericht te ontcijferen. Dit maakt het bericht dus onleesbaar voor alle tussenpartijen.’

Wat is het doel van het onderzoek naar commerciële end-to-end encryptie?

‘De hoofdvraag van mijn stage onderzoek is ‘is commerciële end-to-end encryptie veilig?’.
Het doel van dit onderzoek voor mij is dat ik geïnteresseerde kan helpen updaten met nieuwe informatie over het onderwerp end-to-end versleuteling. Mijn inziens is men onvoldoende bewust van de risico’s bij het verzenden van informatie naar een ander waarbij het risico bestaat dat het onderschept kan worden door een derde of dat de data vanuit de provider lekt, dit komt mede doordat men vertrouwd op de veiligheidsclaims die meer marketing gericht zijn dan op de technische veiligheid.

Toen ik werkzaam was voor een cyber security bedrijf werd er constant tijdens awareness trainingen de volgende vraag gesteld “ hoe kan ik veilig gevoelige bestanden delen met externe partijen?”

In de eerste instantie lijkt die vraag makkelijk te beantwoorden, gebruik end-to-end encrypted software!

Voordat je iets kan adviseren aan klanten moet je weten hoe het werkt en volledig achter het product staan. Hier begon het onderzoek voor mij naar end-to-end encryptie die reeds wordt aangeboden op de markt.

De term end-to-end encryptie is door de jaren heen een marketing term geworden omdat het een gevoel van veiligheid met zich meebrengt. Daar spelen veel bedrijven goed op in door te zeggen dat zij end-to-end encrypted data communicatie aanbieden.

Tijdens dit onderzoek wordt er gekeken of bedrijven daadwerkelijk end-to-end encryptie leveren of dat het voornamelijk marketing claims zijn, waardoor er sprake zou zijn van schijnveiligheid. 

Het doel is uiteindelijk om de gemiddelde consument kritisch te laten kijken naar de diensten en of producten die ze afnemen. Met de take-away: neem niet klakkeloos alles over dat advertenties voorschotelen.’

De voorlopige conclusies en resultaten hebben we besproken in dit interview. Volgt er nog een publicatie?

We beschikken nu over de voorlopige conclusies en resultaten van mijn onderzoek ‘is commerciële end-to-end encryptie veilig?’. Eind januari 2021 komt hier een publicatie over uit. Voorlopige resultaten wijzen al uit dat “echte” end-to-end encryptie theoretisch niet mogelijk is en dat de meeste bedrijven marketing trucjes gebruiken om toch te spreken van “end-to-end” encryptie zonder dat ze daar echt gebruik van maken.

Het onderwerp end-to-end encryptie vind ik dermate intrigerend dat ik in mijn vrije tijd in de toekomst, nadat ik dit onderzoek heb afgerond, verder zelfstandig zal oppakken. Wil je op de hoogte blijven, volg mij dan op LinkedIn.

Tips     

  • Het allerbelangrijkste dat ik kan meegeven is kritisch denken. Bedrijven zullen er alles aan doen om hun product te verkopen, val dus niet zomaar voor alle marketing claims.
  • Vraag jezelf af hoe waardevol de data is die je wilt versturen en doe vervolgens onderzoek naar een methode die jij veilig genoeg acht.