Het buzzwoord risico bij encryptie

Tijdens de 33ste editie van de ComputerChaosClub bijeenkomst in Hamburg kwam het enkele keren ter sprake, de constatering dat encryptie nu wel echt grote vorderingen maakt.

Zo was er Klaus Landfeld, in zijn functie als vertegenwoordiger van het grootste internet knooppunt ter wereld, die in zijn talk over de situatie rond het aftappen van dit IX opmerkte dat een paar jaar geleden nog 15% van het verkeer versleuteld was en dat inmiddels de 50% is gepasseerd. Een zijdelingse opmerking, maar wel een die met applaus werd ontvangen. Hij was niet de enige, zijn talk is echter wel typerend en met Engelse ondertiteling beschikbaar.

Encryptie was niet alleen daar een topic dat diverse keren op verschillende manieren ter sprake kwam. Als je goed kijkt naar wat er het afgelopen jaar is gebeurd in het “internet landschap” dan zie je er steeds meer en voor een steeds breder publiek over wordt gepubliceerd. Natuurlijk is met het offensief dat Lets’ Encrypt is gestart en de aankondigingen van Google en consorten over zaken als CA’s ook wel de nodige ophef ontstaan waardoor het loont er over te schrijven. De sector zelf, daarmee worden in de eerste plaatst bedoeld de certificaatleveranciers en resellers wat vaak providers zijn, liften hier niet alleen op mee ze voeden die discussie ook.

Met deze situatie is niets mis zo op het eerste gezicht. Maar kijk eens iets verder dan je eigen omzet, kijk ook eens naar de kretologie die gehanteerd wordt en zet dat af tegen de praktijk. Het is echt goed dat de meeste providers, hosters en datacenters in staat zijn data te versleutelen en ook het verkeer van A naar B op die manier af te schotten. De term die hier vaak aan gekoppeld is luidt “end-to-end encryptie” Die term is, als je hem betrekt op de situatie van de klant, feitelijk niet juist. Van echte end-to-end is sprake als er aan 3 voorwaarden is voldaan: de aanbieder heeft zelf geen sleutels, de data in transit kan niet decrypt worden en opslag moet in elke fase encrypted zijn. Over punt een is weinig discussie, punt twee leidt al vaker tot vragen en punt 2 en 3 zijn voor heel wat instellingen en organisaties bij nader inzien meer een illusie of wens dan realiteit (handig hè dat BYOD beleid).

Een aanbieder die dat laatste negeert in zijn communicatie of daar zijn klanten niet op wijst, omdat het begrijpelijk al snel buiten zijn scope valt, zorgt er voor dat encryptie tot een buzzwoord of marketingkreet degradeert. Als we in 2017 alles op en rond de digitale snelweg (lekker gedateerde term) veiliger willen maken moeten we dat soort valkuilen tijdig herkennen en vermijden.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.