Interview: Bruce Schneier "Computers als zesde zintuig"

auteur
taal
datum
publicatie
Leon Kuunders, Kuunders.info
Nederlands
21 oktober 2001
Informatiebeveiliging
 

 

 

 

Introductie

Bruce Schneier schreef in 1996 zijn ‘bijbel’ voor cryptografen: de bestseller Applied Cryptography. Naast auteur is Schneier (mede)oprichter van het bedrijf Counterpane, dat zich richt op het aanbieden van Managed Security Monitoring diensten. Schneiers blik beperkt zich niet tot de technologische kant van informatiebeveiliging. Hoewel hij cryptografie de sterkste schakel in de beveiligingsketen noemt, benadrukt hij dat alleen het menselijk brein in staat is afwegingen te maken en beslissingen te nemen. Computers zijn vooral sensoren.

Interview

Informatiebeveiliging, en vooral cryptografie als onderdeel daarvan, viert zijn 25e verjaardag. Wat hebben al deze jaren van informatiebeveiliging ons gebracht?

Schneier “Cryptografie is duizenden jaren oud. Wat we vieren is het 25-jarig bestaan van publieke mathematische cryptografie. In de jaren '70 zagen we DES, RSA en Diffie-Helman. Voor de eerste keer in de academische wereld was er een wetenschap op het gebied van mathematische cryptografie en leerden we veel over het maken en breken van algoritmes. Nu, 25 jaar later, zijn we op het punt aangeland waar de wiskunde zo sterk is als we nodig hebben. We kunnen dingen verbeteren, maar er bestaan geen grote onbeantwoorde cryptografische problemen meer die het ons beletten cryptografie toe te passen in de praktijk. De aandacht gaat nu uit naar andere aspecten van beveiliging. Beveiliging is een keten, en de zwakste schakel breekt hem. We hebben cryptografie de sterkste schakel in die keten gemaakt. Betere cryptografie maakt de keten dus niet sterker. Daarom kijken veel mensen naar computerbeveiliging, antivirus, veilige besturingssystemen, veilige databases, veilige communicatieprotocollen, draadloze beveiliging. De beveiliging daarvan is ellendig. De afgelopen 25 jaar hebben ons erg goede cryptografie gebracht en het besef dat beveiliging veel meer is dan dat.”

'Complexiteit is de grootste vijand van beveiliging' is een van de zaken waar u vele keren op heeft gewezen. Denkt u dat besturingssystemen als Windows XP, die erg complex zijn, veilig gemaakt kunnen worden?

Schneier “Waarschijnlijk niet. Hoe complexer, hoe onveiliger. Dat geldt niet alleen voor computerbeveiliging, maar bijvoorbeeld ook voor kerncentrales, goederentransporten en luchtverkeersleiding. Microsoft voegt features aan hun besturingssysteem toe die het beveiligingsniveau verlagen in een poging meer functionaliteit en gebruiksvriendelijkheid te creëren. Met als doel: een groter marktaandeel. Het idee van een veilig besturingssysteem blijft, op zijn minst op korte termijn, waarschijnlijk fictie. We weten nog niet, als wetenschap, hoe we veilig complexe computersystemen kunnen bouwen.”

Volledige openbaarheid of geen openbaarheid? (full disclosure or no disclosure)

Schneier “Volledige openbaarheid. Maar het is een ingewikkeld vraagstuk, een vraagstuk op het gebied van vrijheid van meningsuiting en het schrijven van programma’s die misbruik maken van gepubliceerde kwetsbaarheden in toepassingen. Recentelijk publiceerde Scott Pulp [Microsoft, LK] zijn essay over de kwalijke kant van volledige openbaarheid. Als beveiligingsgemeenschap hebben we echter veel voordeel gehad bij volledige openbaarheid. Ervoor repareerden bedrijven hun zwakheden niet. Ze bedreigden onderzoekers, stopten het nodige in de doofpot en ontkenden het bestaan van hun zwakheden. Dat veranderde als gevolg van het geven van volledige openbaarheid hierover. Geen openbaarheid zou betekenen dat we teruggaan naar af. Tegelijkertijd doen schrijvers van hack tools om in te breken in het systeem van iemand anders iets kwalijks. De vraag is wat beter is voor beveiliging. En volledige openbaarheid is veel beter. Dat heeft de geschiedenis bewezen en zo zal het ook in de toekomst zijn. Maar het is geen duidelijke A versus B.”

In 1999 zei u in een interview dat we binnen afzienbare tijd in een wereld zouden leven waarin geen privacy te verwachten was. In de nasleep van 11 september zijn in de gehele westerse wereld nieuwe wetten aangenomen op dit gebied. Denkt u dat uw voorspelling nu al bewaarheid wordt?

Schneier “Een van de dingen waarvan ik overtuigd geraakt ben is dat we privacybescherming in de vorm van wetgeving nodig hebben. Ooit kon je je deur sluiten om veilig te zijn en privacy te hebben in je eigen huis. Dat kan niet meer als gevolg van moderne afluistertechnieken. Dankzij de technologische vooruitgang is het niet meer mogelijk privacy te garanderen. Dus moeten we onze privacy juridisch beschermen. Je moet er zeker van kunnen zijn dat je telefoongesprek niet wordt afgeluisterd. Of dat je niet met een röntgen warmtesensor door je muren heen wordt afgeluisterd. Technologisch gezien is dat nu allemaal mogelijk. En het wordt erger. De dingen die gedaan kunnen worden zijn zo indringend dat we bescherming nodig hebben die boven die technologische mogelijkheden uit stijgt.”

Door de Amerikaanse Digital Millenium Copyright Act (DMCA) en Security Systems Standards and Certification Act (SSSCA) wordt het voor informatiebeveiligingsspecialisten moeilijker de zwakheden van programma’s die het copyright op software, e-books en dergelijke beschermen te onderzoeken. Het paradoxale is dat het copyright daardoor juist potentieel minder goed beschermd is dan wanneer die zwakheden wel boven water zouden komen. Kunt u twee scenario’s beschrijven, een met en een zonder deze wetten?

Schneier “De crux zit eerder in het auteursrecht zelf. Je kunt het kopiëren van digitaal materiaal niet tegengaan, omdat het de natuur van digitaal materiaal is om gekopieerd te worden. Ieder type bescherming van auteursrecht dat tegen deze natuur ingaat zal mislukken. Sommigen hebben mijn mening opgevat als dat ik tegen auteursrechten ben, maar dat is niet waar. Ik geloof alleen niet dat digitaal materiaal op dezelfde manier beschermd kan worden als voorheen. In de digitale wereld moeten we uitvinden hoe geld verdiend kan worden met digitale content terwijl iedereen het kan kopiëren en distribueren. De grote mediabedrijven houden niet van computers. Zij zouden graag een internet entertainment platform zien, een controleerbaar instrument waarmee mensen digitale content kunnen zien en ernaar kunnen luisteren. Niet een instrument waarmee mensen software en content kunnen controleren.
In een andere wereld is digitale content gratis. Niet omdat mensen hun auteursrecht weggeven, maar omdat dat de manier is waarop ze geld verdienen. Bijvoorbeeld: ik publiceer mijn maandelijkse nieuwsbrief Cryptogram gratis op internet, terwijl ik er de auteursrechten op bezit. Ik doe dat omdat ik daar voordeel bij heb, het is een publiciteitsmiddel. Als ik er 100 US$ voor zou vragen zou ik er rechtstreeks geld aan verdiend hebben, maar veel minder abonnees hebben dan nu het geval is. Het zou mij als security-expert echter geen goed doen, omdat minder mensen het zouden lezen. Het is een andere manier van denken die ook gebruikt kan worden voor andere vormen van content. Dit is een uitdaging. Bedrijven hebben hun toekomst geënt op een betalen-voor-ieder-exemplaar model. Ik denk niet dat dat model zal overleven.”

Kunnen beveiligingsproducten het tempo van cybercriminelen bijhouden en dus voldoende beveiliging bieden?

Schneier “Niet echt. De producten zijn te statisch voor de dynamiek van de wereld. Er is de afgelopen vijf jaar geen enkele revolutie in beveiligingsproducten geweest. Wel is er een duidelijke verschuiving gaande van producten naar services. Antivirus producten ontwikkelen zich tot services omdat de virusindustrie zich te snel ontwikkelt. Hetzelfde geldt voor intrusion detection producten. Het real-time monitoren van log files wordt belangrijker. Nieuwe aanvalsmethodieken en gereedschappen verschijnen razendsnel. Het is voor bedrijven onmogelijk het tempo bij te houden, bijvoorbeeld door het installeren van patches. Dat zou een dagtaak worden. Je hebt mensen nodig die intelligent zijn, beslissingen kunnen nemen. Monitoring is de enige beveiligingsmethode in een dergelijke omgeving: je kunt zien wat een aanvaller doet en je kunt hem stoppen voordat het te laat is. Dat is op geen enkele manier mogelijk in een product. Computers zijn de sensoren, maar het is voorbehouden aan het menselijk brein om de gegevens te analyseren en beslissingen te nemen.”

Het verbinden van de identiteit van mensen aan een elektronisch equivalent in de vorm van een smart card neemt steeds vastere vormen aan. Europa loopt daarin een paar jaar voor op de Verenigde Staten. PKI is het toverwoord. Uw tien risico’s van PKI zijn zeer bekend. Zijn de risico’s van PKI nog steeds zo groot als u dacht?

Schneier “Ik heb geen wijzigingen gezien in de manier waarop PKI werkt. Het ligt niet aan de wiskunde van PKI, maar aan de interactie met de werkelijke wereld. Met PKI weet je dat een document met een privésleutel ondertekend is. Wat je niet weet is of die ene persoon dat gedaan heeft. Of welk proces het ondertekenen heeft doorgemaakt. Begreep de persoon het document toen hij het ondertekende? Heeft de persoon het document eigenlijk wel gezien of heeft de computer het document ondertekend zonder toestemming van de persoon? Hoe is de persoon in het bezit gekomen van de privésleutel? Is de identiteit die aan de privésleutel verbonden is juist? Al deze processen rondom de wiskunde van PKI falen. We komen dan terug bij complexiteit. Wederom is de cryptografie de sterkste schakel. In de PKI beveiligingsketen bevinden zich nog steeds dezelfde risico’s als die ik al eerder uiteengezet heb. Amazon weet dat. Zij gebruiken SSL (Secure Socket Layer, LK) wanneer je online een boek koopt. Zij weten dat PKI niets uitmaakt voor de beveiliging.”

Bestaan er naast biometrie andere manieren om mensen in een elektronische omgeving te identificeren?

Schneier “Het identificeren van mensen in een elektronische omgeving is erg ingewikkeld. Het probleem is dat de persoon niet elektronisch is. Het identificeren van een computer is een moeilijk, maar waarschijnlijk doenlijk, probleem. Maar hoe identificeer je een persoon die achter een computer zit? Hoe maak je de sprong van de computer naar de mens? Dat is het probleem en biometrie lost dat niet op. Bestaat er ook maar een mogelijke manier om met absolute zekerheid de persoon achter de computer te identificeren? Waarschijnlijk niet. Tenzij een tweede persoon aanwezig is, bijvoorbeeld in een internetcafé waar iemand jouw identiteit checkt voordat je achter de computer plaatsneemt. Er zijn dus twee zaken die je moet identificeren: de computer en de persoon die erachter zit. En computers kunnen computers identificeren en mensen kunnen dat met mensen. Het is heel moeilijk om deze te mengen.”

Burgers lijken in het algemeen niet zo bezorgd over hun privacy en de beveiliging van hun computers. Kunnen we daar iets aan doen?

Schneier “Als McDonalds in de Verenigde Staten gratis hamburgers zou verstrekken in ruil voor een DNA-monster zouden ze aan de lopende band gratis lunches uitdelen. Mensen zijn bezorgd over hun privacy, maar willen er niet voor betalen. Na 11 september geven mensen met plezier een deel van hun privacy op om er meer veiligheid voor terug te krijgen. Dat is precies waarom het zo moeilijk is de politiek ervan te overtuigen dat privacy belangrijk is. Veel bedrijven willen privacy wegnemen, geen enkel bedrijf wil privacy teruggeven. Privacy is een recht waarvan je alleen de afwezigheid opmerkt. Europa is veel gevoeliger voor persoonlijke privacy, vanwege de gebeurtenissen tijdens de Tweede Wereldoorlog. Dat heeft zich nooit in de Verenigde Staten afgespeeld. Maar herinneringen vervagen. Misschien is het wel onmogelijk om mensen te overtuigen van het belang van privacy.”

Wanneer publiceert u een nieuw boek en waar gaat het over?

Schneier “Niels Ferguson en ik hebben een contract gesloten met John Wiley and Sons voor een nieuw boek getiteld ‘Practical Cryptography’. Het boek zal in mindere mate gaan over de wiskunde van cryptografie en meer over de manier waarop cryptografie te gebruiken is. Daar zit namelijk het probleem. Het boek komt uit in het voorjaar van 2003.”

Aanvullend op dit interview is de integrale, Engelstalige tekst van het gesprek met Bruce Schneier te vinden via de website van NetSecure Nederland.