Week 4

Question 1

Waarom security?

Answer 1

1. Verminder risico

2. Bescherm informatie

Question 2

Wat is compliance?

Answer 2

= in lijn liggen met de wet- en regelgeving.

Denk aan ISO-certificering, wetten, autoriteit.

Question 3

Wat houden de 3 belangrijke kernwoorden in?

Answer 3

1. Availability => 24/7 beschikbaar
2. Integrity => Restrict unapproved changes, moet kunnen vertrouwen dat informatie correct (betrouwbaar) is.
3. Confidentiality = vertrouwelijkheid => Zorg dat alleen toegang gegeven wordt aan de mensen die iets te zoeken hebben.

Question 4

Wat is het AAA model?

Answer 4

Security concept van Confidentiality
1. Authenticatie
= Identiteit bewijzen / Wie ben jij?
2. Autorisatie
= Beperken toestemming / Wat mag jij?
3. Accounting
= Loggen van activiteiten / Wat is er gebeurd?

Question 5

Wat is de CIA triat?

Answer 5

Confidentiality
Integrity
Availability

Question 6

Wat is Role Based Access Control?

Answer 6

RBCA is het kunnen aanpassen van rechten/regels op basis van een rol, denk aan het rollensysteem van Discord.
Dit zorgt ervoor dat je niet per persoon de autorisatie hoeft te regelen.

Question 7

Wat is Defense-in-depth/Castle Approach/Honinggraat-methode?

Answer 7

Een confidentiality concept waarbij je meerdere lagen beveiliging hebt. Denk aan een kasteel waarbij je door meerdere muren of langs meerdere obstakels moet komen, zodat het moeilijker is om door te breken.

Question 8

Benoem enkele Security concepts en bij welk aspect van de CIA triat ze horen?

Answer 8

1. Role Based Access Control ()
2. Defence-in-depth ()
3. Cryptography ()
4. Encryption / Decryption ()
5. Hardening (Availability)
   = Zet uit wat je niet gebruikt.

Question 9

Wat is symmetrische encryptie?

Answer 9

Beide partijen hebben een afgesproken, geheime sleutel en kunnen daarmee encrypte data decrypten.
- Goed voor grote hoeveelheden data.

Question 10

Wat is ciphertekst?

Answer 10

Tekst die is ge-encrypt (met een key).

Question 11

Wat is asymmetrische encryptie?

Answer 11

Iedereen heeft een public en een private key. Met de public key encrypt je data, met de private key decrypt je data.

• Niet geschikt voor bulk data transport.
• Wel geschikt voor encrypten van secret key.

Question 12

Wat gebeurt er per kernwoord van de CIA Triad als je er niet aan kan voldoen?

Answer 12

1. Availability => Destruction
   - Failure
   - Human error
   - Disaster
   - Attack
2. Integrity => Alteration
   - Corruption
   - Human error
   - Attack
3. Confidentiality => Disclosure
   - Menselijk handelen
   - Social engineering als gevolg van M.H.

Question 13

Wat zijn mogelijke oplossingen (preventief en corrigerend) voor de problemen die kunnen ontstaan bij de CIA Triad?

Answer 13

1. Failure, Disaster => Redudantie
2. Human Error, Attack => Awareness, Backup
3. Attack => Monitoren, Awareness
4. Integrity => Backup
5. Attack => Detecteren, anticiperen

Question 14

Benoem enkele security concepts bij elk van de CIAT-kernwoorden.

Answer 14

1. Confidentiality
   - Access control (AAA-model)
   - Multifactor Authentication
   - Role Based Access Control
   - Defense-In-Depth
   - Encryptie ((a)symmetrisch)
2. Integrity
   - Hashing
3. Availability
   - Redundancy
   - Defense-in-depth

Question 15

Hoe werkt het versturen van data a.d.h.v. public en private keys?

Answer 15

Situatie 1: A wilt bewijzen dat zij A is.
A stuurt B een bericht.
A encrypt bericht met private key.
Als B de public key van A op het bericht gebruikt en het werkt, dan is bevestigd dat het bericht van A is.

Situatie 2: B, C, D willen A data sturen.
A geeft iedereen haar public key. Iedereen kan een bericht encrypten met de public key van A. Alleen A kan deze berichten dan lezen met haar private key.
Hoe? De public en private key van A zijn als paar gegeneerd. Daardoor ‘weet’ de public key van A hoe het bericht encrypt moet worden voor de private key van A om het te decrypten.

Question 16

Hoe kan het dat andere mensen niet zomaar jouw private key kunnen berekenen a.d.h.v. jouw public key?

Answer 16

Volgens online bronnen zou dit miljarden jaren duren.
Het algoritme voor het maken van een public en private key is vrij complex en gebruikt zéér grote getallen.

Probeer maar eens een willekeurig bankrekeningnummer te bedenken en daarbij de juiste pincode te gokken.

Probeer dat nu eens in de context van een bankrekeningnummer en pincode van honderden, duizenden of tienduizenden karakters lang.

Succes.

Question 17

Wat is plain-text?
En cipher?
En ciphertext?

Answer 17

Plain-text => niet-versleutelde data
Cipher => Versleutelingsalgoritme
Ciphertext => Versleutelde bericht

Question 18

Welke 2 mogelijkheden zijn er met asymmetric encryption?

Answer 18

1. Authentication
   = Encrypten met private key, decrypten met public key.
2. ‘Normale’ asymmetrische encryptie (confidentiality)
   Encrypten met public key, decrypten met private key.

Question 19

Wat is een digitale handtekening?

Answer 19

= Het encrypten van een nonce met de private key.

Question 20

Wat zijn de tegenhangers van de CIA Triad?

Answer 20

Confidentiality => Disclosure
Integrity => Alteration
Availability => Destruction

Question 21

Wat zijn belangrijke eigenschappen van Hashing?

Answer 21

• One way functie (oorspronkelijke input is niet terug te halen)
• Output heeft vaste grootte, ongeacht input-grootte.
• Input is niet te bedenken bij een gegeven hashwaarde.
• Cryptografische hashwaarde = ‘fingerprint’
• Hedendaagse hashfunctie = SHA-256

Question 22

Hoe werkt authentication a.d.h.v. public en private keys?

Answer 22

1. A identificeert zich.
2. B zegt “Bewijs het maar”.
3. B stuurt een nonce (= random data) naar A.
4. A encrypt de nonce met KA^-
5. B decrypt de nonce met KA^+ = bewijs