Focus op Veiligheid =================== Onderzoek computerbeveiliging krijgt nieuwe stimulans Sytse van der Schaaf Computable 35, 29 aug. 2003, p.12-13. Aan de vooravond van het Nederlandse ICT-Kenniscongres 2003 op 4 en 5 september publiceert Computable vier interviews met Nederlandse wetenschappers die ict-gerelateerd onderzoek doen met financiële steun van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek. Bart Jacobs, sinds kort als hoogleraar verbonden aan de informatica-afdeling van de Katholieke Universiteit Nijmegen, ziet Nederland hoge ogen gooien in onderzoek naar de beveiliging van ict-systemen. De nieuwe auteurswet, die het kraken van beveiliging strafbaar stelt, zou mogelijk roet in het eten kunnen gooien. Dertien miljoen euro is er aangeboord voor het Sentinels-programma, waarmee de universiteit van Nijmegen en de Universiteit Twente het initiatief namen om hun onderzoek naar computerbeveiliging nieuw leven in te blazen. Het ministerie van Economische Zaken staat voor 5 miljoen euro op de rol, het Nederlandse bedrijfsleven voor 3 miljoen. NWO en Stichting Technische Wetenschappen zullen elk voor 2,5 miljoen euro tekenen. De formele bevestiging van dit budget is nog niet rond. In het najaar behandelt STW de eerste onderzoeksvoorstellen. Bart Jacobs, die zelf de beveiliging van Java-chipkaarten onderzoekt, is optimistich over de bijdrage die dit onderzoek aan de Nederlandse economie kan leveren. "Nederland is een klein land dat keuzes moet maken in zijn expertise-opbouw. De selectie voor computerbeveiliging heeft als bijkomend voordeel dat we controle houden over systemen en gegevens die van nationaal belang zijn", legt Jacobs uit. Hij ziet de komende jaren een hele reeks van chipkaart-toepassingen in Nederland komen die niet zonder een gedegen toetsing van de beveiliging kunnen: de openbaar vervoerkaart, paspoortchip met biometrische kenmerken en nieuwe bankpassen. Ook de proef met het elektronisch stemmen, die voor 2004 op de agenda staat, kan volgens hem niet zonder een kritische toets. Jacobs zit in de expertgroep, die de minister een oordeel aanreikt over het te gebruiken systeem. Voor onafhankelijke auditing à la TNO en Kemakeur van ict-systemen ziet hij ook vanuit het buitenland mogelijk een vraag ontstaan. Volgens Jacobs is het belang van computerbeveiliging in de informatica de afgelopen tien jaar sterk gegroeid. Informatici hebben de meestal door wiskundigen ontwikkelde cryptografische technieken altijd als een blackbox gezien, die door het gebruik alleen al voor afdoende beveiliging zou zorgen. Daar komt men volgens Jacobs steeds meer op terug. Slordig gebruik van encryptiesleutels, slecht functionerende protocollen en lekke besturingssystemen doen de robuustheid van deze cryptografie teniet. De computerbeveiliging heeft daarmee binnen de informatica aan belang gewonnen, meent Jacobs. Het onderzoek van Jacobs en een tiental andere Nijmeegse wetenschappers naar de beveiliging van op Java gebaseerde chipkaarten is bemoedigend. "Het zijn relatief eenvoudige systemen zonder een toetsenbord, waarvan de beveiliging door het open karakter van de software nauwkeurig valt na te gaan." Hij maakt zich meer zorgen over digitale handtekeningen die nu volgens de wet dezelfde juridische status hebben als de papieren versie. Het digitaal ondertekenen van documenten en transacties op een pc via certificaten op een chipkaart vindt hij maar een riskante onderneming. "Wie zegt mij dat ik dat echt ondertekend heb en certificaat en pincode niet afgevangen zijn door een ander", vraagt hij zich af. Een tablet met pincode toestenbord, dat alleen te ondertekenen documenten laadt, vindt hij veiliger. Het voorstel voor de nieuwe auteurswet, dat het kraken van de beveiliging van auteursrechtelijk beschermde ict-systemen strafbaar stelt, verpest volgens Jacobs de sfeer in het onderzoek naar computerbeveiliging. "Juristen verzekeren mij dat het Openbaar Ministerie niet zomaar wetenschappers achter de tralies gaat zetten. Toch zullen zij behoedzamer opereren." Het haalt bovendien de angel uit het in dit specialisme belangrijke kat-en-muis-spel, waarbij onderzoekers zich als een hyena op een systeem of onderzoek van collega's storten om mogelijke fouten te ontdekken. De kwaliteit van ict-systemen is er in ieder geval niet mee gediend.