Tijdens mijn voorbereiding op de CompTIA Security+-certificering ben ik flink in de wereld van cryptografie en PKI (Public Key Infrastructure) gedoken. Een Cryptografie. Alleen het woord al klinkt ingewikkeld. Toch draait digitale veiligheid in essentie om één simpel principe: zorgen dat alleen de bedoelde ontvanger toegang heeft tot jouw data. Of je nu een app gebruikt, een e-mail stuurt of verbinding maakt met een website — cryptografie speelt op de achtergrond een hoofdrol.
De afgelopen weken heb ik me verdiept in deze fascinerende wereld. In deze blogpost neem ik je mee in alles wat ik geleerd heb over sleutels, certificaten, encryptie en het onderliggende vertrouwen dat we ‘PKI’ noemen. Geen droge theorie, maar praktische inzichten die je helpen om echt te snappen hoe het werkt.
Symmetrische vs. asymmetrische encryptie
Versleutelen kun je op twee manieren doen: symmetrisch of asymmetrisch.
Bij symmetrische encryptie gebruiken beide partijen dezelfde geheime sleutel om informatie te versleutelen én te ontsleutelen. Denk aan een digitale kluis waarvan beide personen hetzelfde wachtwoord weten. Sneller, maar kwetsbaarder als die sleutel uitlekt.
Bij asymmetrische encryptie is het systeem slimmer verdeeld: iedere gebruiker heeft een sleutelpaar:
- Een publieke sleutel (mag gedeeld worden)
- Een private sleutel (blijft geheim)
Wil je iemand veilig een bericht sturen? Dan versleutel je het met zijn publieke sleutel. Alleen zijn private sleutel kan het bericht weer openen. Zo weet je zeker dat alleen hij het kan lezen.
Digitale handtekeningen – bewijs van herkomst
Encryptie beschermt de inhoud. Maar hoe weet je of het bericht écht van de juiste persoon komt?
Daarvoor bestaan digitale handtekeningen. Die worden gemaakt met de private key van de verzender, en geverifieerd met zijn publieke sleutel. Als ik een bericht ontvang van David en de handtekening klopt met zijn publieke sleutel, weet ik zeker: hij is de afzender én de inhoud is onderweg niet gewijzigd.
PKI: het vertrouwen erachter
Public Key Infrastructure (PKI) is het geheel aan infrastructuur dat dit systeem betrouwbaar maakt. Dat begint bij digitale certificaten, die koppelen wie je bent aan je publieke sleutel. En dat certificaat wordt ondertekend door een Certificate Authority (CA).
Er zijn meerdere soorten certificaten:
- DV (Domain Validation): alleen het domein wordt gecontroleerd.
- OV (Organization Validation): ook de bedrijfsgegevens worden gecontroleerd.
- EV (Extended Validation): strengste controle – en dus hoogste vertrouwen.
Een Root CA is de moeder van alle vertrouwen. Die blijft vrijwel altijd offline om misbruik te voorkomen. Vertrouwen bouw je verder op met intermediate CA’s en RA’s (Registration Authorities) die certificaten uitgeven en beheren.
Wildcard-certificaten en beperkingen
Soms wil je één certificaat gebruiken voor meerdere subdomeinen, bijvoorbeeld mail.mydomain.com, app.mydomain.com, enzovoort. Dan gebruik je een wildcard-certificaat zoals *.mydomain.com.
Let op: dat werkt maar één laag diep. Een adres als dev.www.mydomain.com valt daar dus niet onder, omdat het twee subdomeinen bevat.
Aanvallen op encryptie – en hoe je ze voorkomt
Zoals altijd is niets 100% veilig. Er zijn verschillende manieren waarop aanvallers proberen encryptie te kraken:
- Downgrade-aanval: de gebruiker wordt verleid om een zwakkere versleuteling te gebruiken, bijvoorbeeld een verouderde TLS-versie.
- Collision-aanval: twee verschillende invoerwaarden genereren dezelfde hash, wat leidt tot vertrouwensproblemen.
- Replay-aanval: eerder verstuurde berichten worden opnieuw verzonden door een aanvaller.
Goed sleutelbeheer en up-to-date protocollen (zoals TLS 1.3) helpen je deze aanvallen te voorkomen.
Sleutels beheren: hoeveel en hoe?
Een vaak onderschat onderdeel van cryptografie is het beheer van sleutels. In een organisatie met symmetrische encryptie en 10 gebruikers, heb je 45 unieke sleutelparen nodig — één voor elke combinatie van twee gebruikers.
Voeg je een 11e gebruiker toe? Dan komen daar 10 nieuwe sleutels bij.
Bij asymmetrische encryptie is dat veel eenvoudiger: elke gebruiker heeft slechts één eigen sleutelpaar. Voeg je iemand toe? Dan heb je gewoon één nieuw sleutelpaar nodig.
Professionele organisaties gebruiken hiervoor een HSM (Hardware Security Module): een speciaal apparaat dat sleutels veilig genereert, opslaat en beheert.
Wat ik heb geleerd
Na 20 oefenvragen over cryptografie besef ik pas hoeveel vertrouwen er dagelijks nodig is om simpelweg een e-mail te sturen of een website te bezoeken. Elke klik, elke verbinding is gebaseerd op goed ingerichte certificaten, sleutelbeheer en versleuteling.
Wat me het meest bijblijft:
- Public en private keys werken altijd in paren, maar je gebruikt ze in tegengestelde richting (encryptie vs. ondertekening).
- Certificaten zijn meer dan een ‘slotje’ – ze vormen de ruggengraat van digitale identiteit.
- PKI is een briljant, maar complex ecosysteem. Als één onderdeel faalt, valt het hele vertrouwen om.
Wil je hier ook mee oefenen?
Deze blogpost is gebaseerd op 20 oefenvragen uit een cybersecurity-studieboek. Wil jij zelf ook oefenen, bijvoorbeeld voor je Security+ of EXIN-examen? Stuur me een berichtje of kijk binnenkort op mijn site – ik deel binnenkort een gratis oefenblad én cheat sheet over dit onderwerp.