Confidentialiteit en integriteit bij het uitwisselen van informatie
In het eerste artikel van reeks ‘Integreren kun je leren’ hebben we de verschillende integratiemethoden toegelicht, zoals een iFrame, een API of een widget. In dit artikel gaan we dieper in op de security-aspecten van informatie, dus de manier waarop de data wordt verstuurd. Als we informatie uitwisselen, willen we natuurlijk dat ze juist is en op de juiste manier wordt verstuurd. Daarbij zijn twee aspecten cruciaal: confidentialiteit én integriteit.
1. Confidentialiteit
Confidentialiteit betekent dat de gegevens enkel door geautoriseerde personen bekeken kunnen worden, en dus niet kunnen uitlekken. De verzender moet daarbij de confidentialiteit van de transactie garanderen.
Een voorbeeld: Max geeft een enveloppe aan Katrien. Hij heeft de enveloppe dichtgeplakt, waardoor de confidentialiteit is gewaarborgd. Niemand anders kan tijdens de transactie de informatie in de enveloppe bekijken. Is de enveloppe al open als Max hem aan Katrien geeft? Dan is de confidentialiteit niet gewaarborgd. Je kunt nog verder gaan: stel dat Max de enveloppe aan zijn dochter geeft en zij de enveloppe doorgeeft aan Katrien. Als de enveloppe nog is dichtgeplakt, is de confidentialiteit gewaarborgd. Als de enveloppe al open is niet meer. De vraag ook is dan of de informatie in de enveloppe nog wel van Max komt? Dat brengt ons bij het begrip integriteit.
2. Integriteit
Integriteit betekent dat je zeker bent van de bron van je gegevens: je hebt ze gekregen van iemand die beweert dat hij of zij de gegevens heeft en je kunt controleren dat die persoon ook echt is wie hij of zij beweert.
Opnieuw terug naar ons voorbeeld: als Katrien en Max elkaar ontmoeten bij de overhandiging van de enveloppe, weet zij dat de informatie van hem komt. Als de enveloppe via de dochter van Max gaat, is Katrien daar niet meer zeker van. Op dat moment moeten Katrien en Max op voorhand een sleutel afspreken.
Max kan in de enveloppe een briefje met een wachtwoord doen dat ze op voorhand hebben afgesproken. Als dat briefje in de enveloppe zit, weet Katrien zeker dat de enveloppe van Max komt en is de integriteit gewaarborgd. Als dat briefje er niet inzit, is dat niet het geval. De ontvanger van de transactie controleert dus de integriteit. Dat noemt men ook wel versleutelen of encryptie.
3. Let’s go digital
Bij het voorbeeld van de enveloppe gebeurt alles analoog. Maar ook in een digitale omgeving kun je confidentialiteit en integriteit waarborgen door te versleutelen. En dat is nodig. We gaan er namelijk altijd vanuit dat het kanaal waarlangs we de informatie versturen onveilig is. Je moet de gegevens tijdens de transactie dus wel versleutelen. Daarvoor bestaan verschillende technieken die typisch gebaseerd zijn op wiskundige modellen. De meest gebruikte vandaag zijn SSL en Mutual SSL.
SSL
SSL (‘Secure Socket Layer’) herken je aan het slotje dat je links in de adresbalk ziet voor het webadres. Dat slotje betekent dat de integriteit van de website gewaarborgd is: je bent effectief op de site van bijvoorbeeld Google of KBC. Dat is zo bepaald door een van de 7 wereldwijde autoriteiten die zo’n certificaat kunnen uitdelen. Je kunt het vergelijken met de officiële Instagram- of Twitter-account van bekende mensen of instanties – bij zo’n account verschijnt ook typisch een icoontje.
Mutual SSL
Mutual SSL is SSL, maar dan in twee richtingen: zo ben je zeker over de integriteit van jezelf én van de partner waarmee je spreekt. Het is een sleutel die via het internet – een onveilig kanaal – toch veilig kan worden afgesproken en die je niet kunt achterhalen. Het principe is gebaseerd op het protocol (of de afspraken) om via een onbeveiligd communicatiekanaal een geheime encryptiesleutel uit te wisselen, ontwikkeld door de wiskundigen Diffie-Hellman.
Conclusie
De begrippen ‘integriteit’ en ‘confidentialiteit’ zijn essentieel om de informatie die je verstuurt te beschermen. Belangrijk daarbij is dat je je telkens de vraag stelt tot welk niveau je de informatie wilt beveiligen. Soms is de integriteit essentieel, maar is de confidentialiteit van minder belang. Of omgekeerd. Onthoud dat het internet (en dus bijvoorbeeld ook e-mail) als onveilig kanaal wordt beschouwd. Als je dus digitaal informatie wilt versturen, versleutel je ze best. Bij integraties met KBC houden we daar standaard rekening mee. We spreken met onze partner af hoe we dat technisch opzetten, afhankelijk van zijn noden en digitale maturiteit. Safety first!