H7: Certificaten - HOGENT

Summary

This presentation covers the topic of digital certificates, including their use in various applications like online banking and personal authentication. It details the function and operation of certificate authorities, and how they ensure the trust and validity of digital identities.

Full Transcript

H7: certificaten

1
7.1 Waarom nood aan
certificaten?

2
Problemen
Symmetrische encryptie
⚠️ Je moet fysiek afspreken om sleutel uit te wisselen
Asymmetrische encryptie
⚠️ Je moet de juiste publieke sleutel kunnen bemachtigen
Wat bij een MitM attack?
Een hacker onderschept een publieke sleutel, vervangt
deze door zijn eigen publieke sleutel en stuurt deze door
Niemand heeft door dat een hacker de geëncrypteerde
data kan aflezen
Hoe kunnen we garanderen dat een publieke sleutel bij
een bepaalde persoon of organisatie hoort?
3
Digital Certificates Explained - How digital certificates bind owners to their public key

Van begin tot 5m02s

4
7.2 De oplossing:
certificaten

5
Certificaten: een digitaal paspoort
Iedereen vertrouwt een 3e persoon of organisatie
De Certificate Authority (CA)
Deze deelt "identiteitskaarten" oftewel certificaten uit
Dankzij de identiteitskaart/certificaat kan iemand bewijzen dat hij of
zij daadwerkelijk die persoon is
Geen geldige identiteitskaart/certificaat? Niet te vertrouwen!

6
Bv. iedereen vertrouwt de overheid
Inloggen met identiteitskaart op overheidswebsites, tonen bij
politiecontroles, afgeven bij het stemmen,...
Bewijst dat je een Belgische staatsburger bent

7
Speaker notes

https://www.ibz.rrn.fgov.be/nl/identiteitsdocumenten/eid/
https://eid.belgium.be/nl
Bv. iedereen vertrouwt HOGENT
studentenkaart voor goedkoper eten in resto, afgeven tijdens
examens, uitlenen bibliotheek, toegang fietsenstallingen,
printen op campus, studentenkortingen voor o.a. bioscoop,...
Bewijst dat je een student aan HOGENT bent

8
Speaker notes

https://www.hogent.be/student/een-vlotte-start/studentenkaart/
https://www.ugent.be/student/nl/administratie/studentenkaart
Bv. iedereen vertrouwt jouw bank
Met bankkaart kan je jouw rekening bekijken, geld afhalen,
geld overschrijven, online betalen,....
Je kan zelfs geld afhalen aan bankautomaten van andere
banken.
Bewijst dat je de eigenaar bent van een specifieke rekening bij
een bepaalde bank.

9
Speaker notes

https://www.kbc.be/particulieren/nl/betalen/betaalkaarten/debetkaarten/bankkaart.html

7.3 Certificate authorities
Hoe doen we dit online?
Online werken we met Certificate Authorities (CA's) als 3e
vertrouwenspersoon/-organisatie
CA genereert certificaten (== digitale identiteitskaarten) voor
gebruikers die dit aanvragen
Gebruikers kunnen elkaar controleren via deze certificaten of
ze daadwerkelijk met de gewenste persoon communiceren
Een certificaat koppelt een publieke sleutel van een gebruiker
aan zijn identiteit.
M.a.w. "Dit is mijn publieke sleutel en je kan het
controleren bij de CA via mijn certificaat"

10
Certicaten aanvragen, maken en verifiëren gebeurt allemaal met
asymmetrische encryptie
Iedereen (CA's en gebruikers) heeft dus een asymmetrisch
sleutelpaar (publieke en private sleutel) nodig!

11
Hoe ziet een certificaat er uit?
Een certificaat is een digitaal ondertekend tekstbestand
Het structuur van het tekstbestand is vastgelegd volgens de X.509
standaard

12
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
72:14:11:d3:d7:e0:fd:02:aa:b0:4e:90:09:d4:db:31
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Texas, L=Houston, O=SSL Corp, CN=SSL.com EV SSL Intermediate CA
RSA R3
Validity
Not Before: Apr 18 22:15:06 2019 GMT
Not After : Apr 17 22:15:06 2021 GMT
Subject: C=US, ST=Texas, L=Houston, O=SSL Corp/serialNumber=NV20081614243,
CN=www.ssl.com/postalCode=77098/businessCategory=Private Organization/street=3100
Richmond Ave/jurisdictionST=Nevada/jurisdictionC=US
Subject Public Key Info:

13
Certificaten aanvragen
1. De gebruiker genereert een certificate signing request (CSR).
Bevat zijn publieke sleutel
Bevat zijn informatie (zijn identiteit): naam, adres,...

14
2. De CA ontvangt de CSR en controleert de identiteit van de gebruiker
aan de hand van de informatie in de CSR.

15
3. De CA creëert het gevraagd certificaat en ondertekent dit met zijn
private sleutel.
Het certificaat is nu 100% zeker afkomstig van de CA
Indien het certificaat vervalst wordt, wordt de handtekening
ongeldig (en dus ook het certificaat)

16
Kortom

17
Certificaten verifiëren
Alice wil een geëncrypteerd bericht versturen naar Bob
In H4 stuurde Bob simpelweg zijn publieke key door
⚠️ Dit kan onderschept en vervalst worden!
In plaats van de publieke sleutel, stuurt Bob beter zijn certificaat
naar Alice
Het certificaat bevat de publieke sleutel en is ondertekend door
de CA

18
Het certificaat is ondertekend met de private sleutel van de CA
Alice kan de geldigheid dus nagaan dankzij de publieke sleutel
van de CA
✅ Indien geldig: de publieke sleutel in het certificaat is
volgens de CA inderdaad van Bob
⚠️ Indien niet geldig: Bob is niet wie hij zegt dat hij is!
Mogelijks een MitM aanval!
Alice kan nu ook indien gewenst haar certificaat geven aan Bob
Bob kan dan ook op dezelfde manier achterna gaan of hij
daadwerkelijk met Alice praat

19
Speaker notes

Eigenlijk worden er hashes gebruikt van de certificaten. Meer details vind je op volgende links:
https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/concept/pki-security-overview.html.
https://cheapsslsecurity.com/blog/digital-signature-vs-digital-certificate-the-difference-explained/
De publieke sleutel van de CA
Hoe geraken gebruikers aan de publieke sleutel van de CA?
Is dit ook niet onderhevig aan een mogelijke MitM aanval?
Wie ondertekent het certificaat van de CA zelf?

20
Verspreiden van CA certificaten
CA heeft zelf ook een certificaat
CA-certificaten worden geïnstalleerd samen met programma's die
gebruik maken van certificaten
OS, web browsers (HTTPS), VPN clients, SSH clients,....
Gebruik je een eigen CA, dan moet je deze manueel toevoegen
Anders krijg je een gelijkaardige fout als deze:

21
Bv. Windows

22
Bv. Firefox
Settings > Privacy & Security > Security > View certificates > Authorities

23
24
Bv. Chrome
Settings > Privacy and Security > Manage certificates > Trusted Root
Certification Authorities

25
Digital Certificates Explained - How digital certificates bind owners to their public key

Van 5m03s tot eind

26
Wie ondertekent het CA certificaat?
CA heeft zelf ook een certificaat
Wie ondertekent deze?
De CA ondertekent zelf zijn certificaat
self signed certificate

27
Iedereen kan een self signed certificate genereren
Maar geniet geen vertrouwen van een CA!
Word vaak gebruikt binnen een privaat netwerk (bv. om te
testen)
Geeft meestal een foutmelding
Test het zelf eens uit: https://self-signed.badssl.com

28
7.4 Toepassing: HTTPS

29
HTTP
Vroeger werd al het webverkeer plaintext verstuurd via het HTTP
(webverkeer) protocol
Iedereen kon inloggegevens afluisteren (bv. op wifi)

30
HTTPS
Tegenwoordig gebruiken browsers en web servers certificaten
Praten zeker met de juiste gesprekspartner (geen MitM)
Certificaten bevatten een publieke key en zorgen voor de
mogelijkheid tot encryptie
Gebruik van certificaten gebeurt volgens TLS/SSL protocol
HTTP + TLS/SSL == HTTPS

31
32
De browser vertelt je of je via HTTP of via HTTPS surft
Probeer gerust, zie je het verschil?
https://letsencrypt.org
http://httpforever.com

33
Websites leiden je vaak automatisch om naar https:// als je naar de
http:// versie surft
Indien niet, geeft jouw browser vaak een foutmelding ("HTTPS
only mode")
Wil je toch doorgaan, dan moet je dat expliciet aanklikken

34
HTTPS is geen internetpolitie
HTTPS belooft enkel
Dat er geen MitM is
Dat de verbinding tussen client en webserver geëncrypteerd is
HTTPS biedt geen bescherming tegen malafide websites!
Bv https://h0g3nt.be
Geeft groen slot (als website bestaat)
Immers garantie geen MitM en encryptie
Wat de website voor de rest doet is niet van belang
voor HTTPS

35
7.5 Toepassing: VPN

36
VPN
Beveiligde communicatie over publiek netwerk
Maakt privénetwerk over het publieke internet aan tussen
verschillende fysieke locaties
Wordt vaak voorgesteld als een geëncrypteerde "tunnel"

37
Gebruikt voor het verbinden van verschillende geografische
locaties
Bv. 2 kantoren op verschillende geografische locatie kunnen zo
via het internet op een veilige manier verbonden worden
Bv. Verschillende campussen van HOGENT op zelfde netwerk
Gebruikers hebben dit niet door

38
Gebruikt voor work@home
Bv. thuis verbinden met intranet school/bedrijf
Lijkt alsof je rechtstreeks op het school-/bedrijfsnetwerk werkt

39
Gebruikt voor privacy en tegen geo-restrictions
Bv. Belgacom/Telenet mag niet zien naar wat ik surf
Bv. Websitebeheerder mag niet zien wie ik ben
Bv. Ik wil een serie bekijken op Netflix die enkel aan
Amerikaanse kijkers wordt aangeboden

40
Gebruikt TLS/SSL certificaten
Geen MitM
Encryptie

Er zijn ook niet TLS/SSL VPN systemen zoals IPsec
Out of scope voor deze cursus
41
Casus: VPN voor privacy
3rd party VPN provider
Bv. ProtonVPN, NordVPN, Surfshark VPN, Private Internet
Access, Mullvad VPN, ExpressVPN,...
Ook wel consumer VPN service genoemd
Word veel reclame voor gemaakt (bv. op youtube)
Doen ze wat ze beloven?
42
Speaker notes

https://www.thoughtleaders.io/blog/vpn-wars
https://www.youtube.com/watch?v=wE8MJCk633s
VPN logging policy
VPN biedt geen oneindige privacy, enkel in bepaalde gevallen
De VPN server ziet alles
Is eigenlijk een bewuste MitM aanval
Vertrouw jij jouw VPN provider?
Houden ze logs bij? (logging policy)
Wat doen ze met jouw data?
VPN-bedrijven zijn niet immuun voor de wet
Sommige bedrijven bieden wel een transparency report
aan (wat gebeurt er als de rechtbank aanklopt?)

43
Speaker notes

https://overengineer.dev/blog/2019/04/08/very-precarious-narrative/
https://proton.me/legal/transparency
https://www.reddit.com/r/ProtonMail/comments/pil6xi/climate_activist_arrested_after_protonmail/
https://www.privacyguides.org/en/basics/vpn-overview/
44
Speaker notes

https://www.malwarebytes.com/blog/news/2022/01/cybercriminals-friend-vpnlab-net-shut-down-by-law-enforcement
https://edition.cnn.com/2021/06/30/tech/doublevpn-law-enforcement/index.html
https://protonvpn.com/blog/transparency-report/
https://nordvpn.com/blog/nordvpn-introduces-transparency-reports/
45
Speaker notes

https://protonvpn.com/features/no-logs-policy
https://nordvpn.com/blog/nordvpn-no-logs-audit-2023/
46
Anonimiteit
🔒 Jouw ISP ziet niet wat je doet
Ze zien wel dat je een VPN tunnel gebruikt
🔒 De website waar je naartoe surft ziet niet jouw IP-adres
Ze zien het IP-adres van de VPN server als verzender
Neem een VPN server in een ander land om geo-restrictions te
voorkomen

47
Geen anonimiteit
Wie ziet er wel wat er heen en weer gestuurd wordt
🔓 Alle ISP's vanaf de VPN server tot de website
🔓 De VPN server
De website waar naar gesurft wordt ziet uiteraard ook het verkeer
Vergeet niet dat HTTPS ook encrypteert

48
Andere nadelen
Niet alle VPN's laten alles toe
Gratis VPN's laten vaak geen P2P door
Snelheid is vaak gelimiteerd

49
Conclusie
VPN's hebben voor- en nadelen
Weet wat ze wel en niet kunnen
Beslis voor jezelf
Of je een VPN gebruikt
Wanneer/waarvoor je een VPN gebruikt
Welke VPN provider je vertrouwt

50
51