Over encryptie: van ROT-13 naar Word-6

Encryptie is een geavanceerde en vooral heel wiskundige discipline. Zo nu en dan kom je op internet daarom de meest vreemde vormen van encryptie tegen die door bedrijven in de praktijk worden gebruikt. In deze (niet al te serieuze) post wil ik uitleggen hoe je een goede encryptie kunt herkennen en hoe je valkuilen kunt voorkomen waar zelfs grote Nederlandse bedrijven intrappen.

Het doel van een goede encryptie is voorkomen dat mensen die niets te maken hebben met een bepaald stuk informatie, deze ook niet kunnen lezen. Veelvoorkomende cryptografische primitieven zijn bijvoorbeeld RSA, DES en AES, welke, zo blijkt nu, allemaal gebouwd zijn met heel incorrecte aannames, waaronder het geloof onder cryptologen dat het moeilijk is om een product van twee grote priemgetallen te ontbinden in factoren.

In de praktijk worden door bedrijven een heel ander soort encryptie gebruikt. KPN maakte onlangs nog bekend dat zij het krachtige UTF-8 gebruiken om wachtwoorden te beschermen. Voor encryptie is UTF-8 afhankelijk van Unicode om een mapping van karakters naar een numerieke waarde te maken, zodat UTF-8 zelf in staat is om deze numerieke waarden te representeren in een onherkenbare reeks bits, welke zonodig over meer dan 1 byte per karakter kan worden uitgesmeerd.

Zelf vroeg ik me af waarom KPN er niet voor koos om ROT-13 toe te passen voor het versleutelen van wachtwoorden, om de simpele reden dat 13 een hoger getal is dan 5. Bovendien wordt ROT-13 expliciet genoemd op de Wikipedia-pagina over encryptie. ROT-13 vervangt alle letters in een wachtwoord door er in het alfabet 13 bij op te tellen. Zo wordt de A bijvoorbeeld een N, de B een O, tot en met de Z die een M wordt.

Vandaag leerde een vriend mij echter dat het niet van belang is om te kijken naar het getal achter de naam, want omdat deze achteraan staat heeft deze de laagste significantie. Het blijkt dat UTF-8 sterker is dan ROT-13, omdat de U later in het alfabet komt dan R!

Ik begreep niet meteen waarom dit inderdaad waar zou kunnen zijn, totdat ik las dat de Belgische politie heeft besloten om weer terug te gaan naar Word-6. Hoewel het artikel op Webwereld suggereert dat dit een slechte situatie is, beseft de redactie daar waarschijnlijk niet dat de W een heel stuk verder in het alfabet zit dan de P van “Pol Office”, het programma dat Word-6 zou vervangen.

Word-6 maakt overigens gebruik van een techniek waarbij een wachtwoord wordt verborgen in een grote en ingewikkelde reeks aan onnodig lijkende opmaakcodes. Deze opmaakcodes maken het echter mogelijk dat er ook afbeeldingen, zoals captcha’s bij het wachtwoord opgeslagen kunnen worden.

Zelf heb ik nog uit proberen te zoeken waarom XML niet geschikt kan zijn als een nog betere encryptie. Hoewel de encryptie weer een letter beter dan Word-6, zijn er twee redenen waarom XML nog niet rijp is voor gebruik door veel bedrijven. Allereerst wordt XML gebruikt door allerlei zwakke en verouderde technieken, zoals AJAX, de laatste versies van HTML, maar ook het OpenDocument-formaat, welke door de openheid totaal ongeschikt is voor opslag van wachtwoorden. Het tweede grote probleem van XML is dat er ondersteuning is voor namespaces, die het mogelijk maken dat derde partijen een uitbreiding doen op het schema van je wachtwoord, waardoor ze potentieel toegang kunnen verkrijgen tot de informatie die met dat wachtwoord is afgeschermd.

Zelf gebruik ik overal nog ROT-13 om mijn wachtwoorden te versleutelen, maar na dit korte onderzoek heb ik besloten om maar eens over te gaan stappen op Word-6. Ik bedoel maar zo: als dat voor de Belgische politie goed genoeg wordt bevonden, moet ’t wel een stevige vorm van encryptie zijn, nietwaar?

Een gedachte over “Over encryptie: van ROT-13 naar Word-6

  1. Als we beide theorieën nu eens combineren,
    zowel letter als laatste cijfer, wat dacht je van Word 2010 ?
    Zoveel bagger om heen wachtwoord heen, dat vind je NOOIT !!!

    Of beter nog, Word 356 probleem daarmee is alleen dat je wachtwoorden dan in de cloud opslaat,
    en Cloud begint met een C.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s