Towards automatic compliance with cryptographic recommendations

Expressing cryptographic recommendations as code increases automation, insight, and cryptographic maturity. Continue reading
Kristof behaalde begin 2011 een doctoraat in de ingenieurswetenschappen aan de KU Leuven. Hij onderzocht hoe privacy m.b.v. cryptografie verbeterd kon worden. Na een klein jaar als postdoctoraal onderzoeker werd hij eind 2011 onderzoeker bij Smals. Zijn huidige domeinen zijn distributed trust, privacy & analytics, blockchain & smart contracts en toegepaste cryptografie. Hij wordt regelmatig gevraagd als spreker. Meer info op www.cryptov.net
Interests: Privacy, security, applied cryptography, distributed trust, blockchain, smart contracts
Email: kristof.verslypeblah [at] blah blahsmals.be
Twitter: @KristofVerslype
This presentation discusses two concepts developed by Smals Research to de-identify and link personal data originating from multiple sources, in order to make them available for secondary use such as for scientific research.
Languages: | English |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2025/04 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Cryptography, Privacy, GDPR, EHDS, health |
Download: | Download |
This talks was part of the Webinar "Safeguarding Communications and Data in the Age of Quantum Computing". This event, co-hosted by Beltug, EuroCC, Quantum Circle and the Flemish Supercomputer Centrum (VSC), brought together experts and professionals to deliver insights on the path to safe communications and data in the quantum computing age.
This webinar explores the emerging threat of quantum computing to encryption and its potential impact on data security. It introduces the new Post-Quantum Cryptography (PQC) standards and the concept of cryptographic agility, providing strategies for organizations to adapt to evolving security challenges. A real-world use case from Proximus showcases how a leading company is preparing its communications infrastructure for the quantum era, offering practical insights into future-proofing data and ensuring secure communications.
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2025/01 |
Platforms: | Windows |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Cryptography, Quantum, Security |
Download: | Download |
Talk given in 2024 at Devoxx Belgium, the biggest vendor-independent Java conference in the world which takes place in one of the biggest European cinema complexes, the Kinepolis, located in Antwerp, Belgium.
Masks are being used for thousands of years, all across the physical world, for reasons such as physical protection, rituals and hiding the identity of the bearer. Physical masks are probably the oldest privacy protection technology.
When writing and printing, authors of books and articles used pseudonyms to hide their identity. Voltaire, Lenin and Banksy are well known pseudonyms: modern, written versions of the physical mask. In the digital age we now replace citizens’ identifiers by unique codes – having remarkably powerful and even counter-intuitive properties when based on cryptography.
The public sector has two seemingly contradictory tasks: protecting citizens and their privacy, while maximizing value and efficiency for individuals and society. So should we minimize or maximize data?
The Belgian public sector increasingly adopts cryptography for pseudonymization – a crucial, and yet sufficiently practical element in realizing the seemingly impossible.
In this talk, Kristof introduces three practical cryptographic systems for pseudonymization. He has designed them, based on specific needs within social security and healthcare. If you live in Belgium, your personal data is probably already protected by one of these systems, today.
Languages: | English |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2024/10 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Cryptography, Pseudonymisation, Privacy, Security |
Download: | Download |
(Nederlandstalige tekst : zie onder)
Lors du webinaire, Kristof Verslype présente trois systèmes de pseudonymisation des numéros de registre national qu'il a lui-même conçus sur base des besoins concrets des secteurs de la sécurité sociale et des soins de santé:
- le service de pseudonymisation aveugle d’eHealth pour protéger les données médicales personnelles en production ;
- la pseudonymisation préservant la structure pour protéger les données à caractère personnel dans les environnements de non-production existants ;
- “Oblivious Join” pour le croisement distribué et la pseudonymisation des données fournies par différentes instances à des fins de recherche.
Articles de blog pertinents
- Introduction au nouveau service de pseudonymisation eHealth
- Protection des données par la pseudonymisation préservant la structure des numéros de registre national
Languages: | English |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2024/06 |
Keywords: | Pseudonymisation, Cryptography, Privacy, Security |
Download: | Download |
Smals Research has given a much-appreciated talk at Devoxx Belgium 2023 in a full cinema hall (capacity 500 persons) in Antwerp. The topic was quantum computers and their impact on modern cryptography. The abstract: Cryptography – securing data with mathematical principles – is crucial in today's society, for instance to enable financial transactions, to secure medical records and to protect our national interests. In the future, computers could be built, based on principles from quantum physics. These computers threaten to undermine the foundations of modern cryptography. If we are to believe the popular media and a number of companies, this quantum age is rapidly approaching. Along with the ambiguity, anxiety also grows. This talk aims to clarify this complex matter. It discusses the basics of quantum computers, the complexity of building them, the threat they pose, and the preparations we need to make.
Languages: | English |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2023/10 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Security, Quantum, Cryptography |
Download: | Download |
Smals Research has given a guest lecture on quantum computers and their impact on modern cryptography as part of the study program 'Digital & IT Essentials'. This postgraduate programme is organised in cooperation with the Université Libre de Bruxelles. The main objective of this programme is to give enough holistic IT culture so you have less fear to enter IT and become a bridge builder between IT and business.
https://www.vub.be/en/studying-vub/all-study-programmes-vub/bachelors-and-masters-programmes-vub/postgraduate-digital-it-essentials
Languages: | English |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2023/04 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Quantum, Cryptography |
Download: | Download |
Presentatie gegeven door Kristof Verslype op Cybersec Europe getiteld Kwantumcomputers Vs. Cryptografie
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2022/05 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Quantum, Cryptography, Security |
Download: | Download |
Slides van de webinar voor Smals Academy op 21/12/2021
(texte français : voir ci-dessous)
Het wordt voor de overheid steeds makkelijker om grote hoeveelheden persoonsgegevens te verzamelen en te verwerken. Dit creëert enerzijds heel wat opportuniteiten maar tegelijkertijd moet echter rekening gehouden worden met de privacy van de burger, wat een juridische basis vindt in de GDPR.
Met traditionele aanpakken en technologieën kan het omslachtig tot zelfs onmogelijk zijn om functionele noden en privacyvereisten met elkaar in balans te brengen. Er is dan ook een toenemende behoefte aan Privacy-enhancing technologies (PETs): geavanceerde technologieën om de privacy te verbeteren.
Het webinar biedt antwoord op vragen zoals:
- Hoe vinden we onze weg in het brede scala aan privacybevorderende technologieën?
- Waar worden ze reeds toegepast?
- Wat zijn de toepassingsmogelijkheden in de publieke sector?
- Wat zijn de caveats?
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2021/12 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Privacy, security |
Download: | Download |
De termen “anonimisatie” en “pseudonimisatie” worden geregeld fout gebruikt, hoewel de GDPR ze wel scherp definieert. Deze verwarring bemoeilijkt niet enkel discussies, maar kan bovendien verregaande consequenties hebben. Er wordt bijvoorbeeld vaak over anonimisatie gesproken hoewel er nog steeds significante identificatierisico’s overblijven en de GDPR dus van toepassing blijft. Deze presentatie gaat uitgebreid in op anonimisering en pseudonimisering en werd positief onthaald door de DPO’s van de sociale zekerheid en de ziekenhuizen.
Les termes "anonymisation" et "pseudonymisation" sont régulièrement mal utilisés, bien que le RGPD les définisse de manière précise. Cette confusion complique les discussions et peut en outre être lourde de conséquences. Par exemple, on parle souvent d'anonymisation alors qu’il subsiste d’importants risques d'identification et que le RGPD reste donc d’application. Cette présentation traite en détail de l'anonymisation et de la pseudonymisation et a été bien accueillie par les DPO de la sécurité sociale et des hôpitaux.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2021/09 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | GDPR, Anonymisation, Pseudonymisation, Security |
Download: | Download |
-- NL --
Voor wie wil proeven van de wondere wereld der quantum computing is er IBM Quantum Experience. Deze service laat toe om op een visuele wijze enkele qubits te manipuleren, dus om kleine algoritmes voor kwantumcomputers te schrijven en uit te voeren op een IBM kwantumcomputer.
-- FR --
Pour ceux qui souhaitent un aperçu du monde merveilleux de l'informatique quantique, il y a l'IBM Quantum Experience. Ce service permet de manipuler visuellement quelques qubits, c'est-à-dire d'écrire et d'exécuter de petits algorithmes pour les ordinateurs quantiques sur un ordinateur quantique IBM.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Quick Review |
Date: | 2020/12 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Quantum |
Download: | Download |
Slides van de webinar voor Smals Academy op 24/11/2020.
Cryptografie – het beveiligen van gegevens m.b.v. wiskundige principes – is cruciaal in onze hedendaagse samenleving. In deze webinar wordt door Kristof Verslype, cryptograaf bij Smals Research, dieper ingegaan op de problematiek en mythe van de kwantumcomputers en welke de gevolgen zijn voor de moderne cryptografie. Volgende aspecten komen aan bod:
- De basisprincipes van kwantumcomputers
- De complexiteit om ze te bouwen
- De bedreiging die ze vormen voor de moderne cryptografie
- De voorbereidingen de we kunnen/moeten treffen
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2020/11 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Cryptography, Quantum, Security |
Download: | Download |
Bijlage (Research report) bij de slides van de webinar voor Smals Academy op 24/11/2020.
Cryptografie – het beveiligen van gegevens m.b.v. wiskundige principes – is cruciaal in onze hedendaagse samenleving. In deze webinar wordt door Kristof Verslype, cryptograaf bij Smals Research, dieper ingegaan op de problematiek en mythe van de kwantumcomputers en welke de gevolgen zijn voor de moderne cryptografie. Volgende aspecten komen aan bod:
- De basisprincipes van kwantumcomputers
- De complexiteit om ze te bouwen
- De bedreiging die ze vormen voor de moderne cryptografie
- De voorbereidingen de we kunnen/moeten treffen
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Research reports |
Date: | 2020/11 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Cryptography, Quantum, Security |
Download: | Download |
Keynote given at workshop: “Tackling privacy challenges in software engineering - An SME perspective”, organized by KU Leuven on 21 January 2020
Government institutions inevitably process large amounts of - sometimes very sensitive - personal data as part of their mission. This must be done in an efficient and safe manner. Traditional approaches, including the use of classical cryptography, unfortunately do not always result in elegant solutions. This talk shows how advanced cryptographic building blocks can be used in real-world scenarios in the government field in order to take the protection of personal data ta a new level.
Languages: | English |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2020/01 |
Platforms: | Windows |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | privacy, Cryptography |
Download: | Download |
NL
ARX is een uitgebreide tool om gevoelige persoonsgegevens zo goed als mogelijk te anonimiseren. De tool richt zich op microdata, dus data met records op het niveau van het individu. De algoritmes die ARX ondersteunen, waaronder k-anonymity, l-diversity en t-closeness, zijn gebaseerd op wetenschappelijk & gepubliceerd onderzoek. Verder kan ofwel gebruik gemaakt worden van de grafische user interface, ofwel van de API.
FR
ARX est un vaste outil permettant d’anonymiser le plus possible des données personnelles sensibles. L'outil n’est pas axé sur les mégadonnées, mais sur ce qu'il appelle "microdonnées", à savoir des lots de données qui contiennent relativement peu d'attributs. Les algorithmes que supportent ARX, notamment k-anonymity, l-diversity et t-closeness, reposent sur des recherches scientifiques et publiées. Il est à noter également que l'interface utilisateur graphique ou l’API peuvent être utilisées
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Quick Review |
Date: | 2019/12 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | privacy, anonymisation, personal data, PII |
Download: | Download |
NEDERLANDS
Overheidsinstellingen verwerken in het kader van hun opdracht onvermijdelijk grote hoeveelheden – soms erg gevoelige – persoonsgegevens. Dit dient zowel op een efficiënte als op een veilige manier te gebeuren. Traditionele benaderingen, waaronder het gebruik van klassieke cryptografie, zijn helaas niet steeds afdoende.
Stel, bij wijze van voorbeeld, dat de FOD justitie in het kader van een terrorismedossier aan verschillende bedrijven en overheidsinstellingen informatie over een specifieke burger opvraagt. De bevraagde entiteiten komen allen te weten dat er een onderzoek loopt naar deze persoon, wat zowel de privacy van de burger als de confidentialiteit van het onderzoek in het gedrang kan brengen.
Geavanceerde cryptografie kan hiervoor op een elegante manier een oplossing bieden en stelt ons zelfs in staat om zaken te realiseren die intuïtief gewoon onmogelijk lijken. Ondanks het potentieel zijn de mogelijkheden van geavanceerde cryptografie vandaag nog te weinig gekend.
Deze infosessie wil dan ook een bewustzijn rond de mogelijkheden van geavanceerde cryptografie creëren zodat u voortaan cases zult herkennen waarin deze aanpak een uitweg kan bieden. Diverse cryptografische bouwblokken worden op een toegankelijke manier besproken, alsook het – zowel theoretische als praktische – werk dat Smals Research hierrond verricht heeft. Verder komen mogelijke en concrete cases aan bod waar geavanceerde cryptografie toegepast kan worden.
FRANCAIS
Dans le cadre de leur mission, les institutions publiques traitent inévitablement de grandes quantités de données à caractère personnel, lesquelles sont parfois très sensibles. Ce traitement doit être à la fois sûr et efficace. Malheureusement, les approches traditionnelles, notamment l'usage de la cryptographie classique, ne sont pas toujours suffisantes.
Supposons, par exemple, que le SPF Justice demande des informations à diverses entreprises et institutions publiques à propos d'un citoyen dans le cadre d'un dossier de terrorisme. Toutes les entités interrogées sauront ainsi que cette personne fait l'objet d'une enquête, ce qui peut compromettre tant la vie privée du citoyen que la confidentialité de l'enquête.
La cryptographie avancée peut offrir une solution élégante à ce problème et nous permet même de réaliser des choses qui semblent a priori impossibles. En dépit de ce potentiel, les possibilités de la cryptographie avancée sont encore trop peu connues aujourd'hui.
L'objectif de cette séance est donc de vous sensibiliser aux possibilités de la cryptographie avancée pour vous permettre d'identifier les cas où cette approche peut s'avérer utile. Différents composants cryptographiques y seront abordés en des termes simples. Vous y découvrirez également les travaux - théoriques et pratiques - que Smals Research a réalisés en la matière. En outre, des cas potentiels et concrets où la cryptographie avancée peut être appliquée seront abordés.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2019/12 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Cryptography, privacy, personal data, security, GDPR |
Download: | Download |
Many blockchain Proof-of-Concepts have emerged in the last two-three years. In spite of the hype, very few went beyond the PoC-phase. Why is it so hard to get blockchain applications live? In 2018 Smals Research has been working on a blockchain project with a clear ambition to go beyond the PoC. This talk shares some valuable lessons from the field, based on our own hands-on experience.
Languages: | English |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2019/03 |
Platforms: | Windows |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Blockchain, Security, Privacy |
Download: | Download |
NEDERLANDS
De afgelopen twee jaar schoten blockchainprojecten wereldwijd als paddenstoelen uit de grond. Ondertussen is de hype wat gaan liggen en kunnen we een balans opmaken. Smals Research werkte bovendien zelf concreet met de technologie in een realistische setting. Wat zijn daarbij onze bevindingen? Welke andere opvallende projecten werden binnen en buiten België opgezet en welke lessen kunnen we daaruit trekken? Deze infosessie geeft een zicht op de stand van zaken anno 2018.
De verwachtingen in de technologie zijn nog steeds enorm. Toch staan tussen droom en daad wetten en praktische bezwaren. Hoe zit het bijvoorbeeld met de GDPR en privacy? En wat met schaalbaarheid? Ondanks de vele open vragen kunnen vandaag reeds een aantal cruciale aspecten uitgeklaard worden.
Ook Smals Research is aan de slag gegaan met de technologie en ontwikkelde een werkende proof of concept. We hielden daarbij rekening met diverse aspecten die bij blockchainprojecten te vaak over het hoofd worden gezien. Tijdens de infosessie hoort u alles over onze aanpak en bevindingen.
Was u in maart 2017 erbij tijdens onze infosessie over blockchain en smart contracts? Deze infosessie is geen herhaling van de vorige! De focus lag toen op technologische principes. Dit keer nemen we concrete ervaringen en resultaten onder de loep.
Wat krijgt u te zien in deze infosessie?
- Een beknopte introductie tot blockchain en smart contracts
- Een aantal blockchainprojecten uit binnen- en buitenland en de lessons learned
- De blockchainstrategie van Smals Research
- Een concreet door Smals Research uitgewerkt blockchainproject
- Een aantal spanningsvelden tussen blockchaintechnologie en de realiteit, waaronder privacy
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2018/11 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Blockchain, Privacy, smart contract |
Download: | Download |
MultiChain is een blockchain technologie die toelaat om zelf permissioned (afgeschermde, private) blockchain netwerken op te zetten, te beheren en erin te participeren. MultiChain laat toe om snel tot concrete resultaten te komen en is bovendien vrij efficiënt. Anderzijds mankeert het meer geavanceerde features zoals ondersteuning voor smart contracts.
MultiChain est une technologie blockchain pour l'implémentation et l'exploitation d'un réseau blockchain privé. Cette technologie est relativement efficace et permet d'obtenir des résultats rapidement. Néanmoins, certaines fonctionnalités avancées telles que la gestion des "smart contract" sont absentes.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Quick Review |
Date: | 2018/05 |
Platforms: | Windows, Linux, Mac OS X |
License: | Open Source |
Keywords: | Blockchain |
Download: | Download |
Bitcoin has obtained a mythical status. Its market value skyrocketed and traditional media all over the world are writing about it. Bitcoin believers present an overly positive image and appoach the technology all too often in an unscientific, almost religious, way. This talks reveals several severe issues by shedding a rare critical light on the cryptocurrency.
This presentation has been given at InfoSecurity Belgium 2018
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2018/03 |
Platforms: | Windows |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Bitcoin, Blockchain, Privacy, Security |
Download: | Download |
Presentation given at Infosecurity Belgium by Kristof Verslype on 23 March 2017.
What if a research team wants to analyse large sets of personal data? Say it needs medical, financial and demographic data of all citizens with a wage of at least EURO 40.000, born after 1990 and who are self-employed as a secondary activity. Data sets managed by different government institutions would need to be linked together. Such requests are common, and any government should be able to answer them. Yet is it possible with due respect for the privacy of citizens in an era of big data? Smals Research examined the boundaries of what is technically possible.
Languages: | English |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2017/03 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | GDPR, Big Data, Cryptography |
Download: | Download |
--- Nederlands ---
Bitcoin stuurde een schokgolf door de financiële wereld. Voor het eerst was het mogelijk om geld snel te transfereren naar de andere kant van de wereld zonder dat daarbij een centrale, machtige bank betrokken was. De ruggengraat van Bitcoin is de blockchain-technologie.
Al snel werd ontdekt dat deze blockchain-technologie een veel ruimer potentieel had dan enkel financiële transacties. Het kan in allerlei processen de taken van en het vertrouwen in intermediaire of centrale partijen sterk reduceren. Soms worden deze partijen zelfs volledig overbodig. Dit laat toe deze processen efficiënter te organiseren. Wereldwijd experimenteren bedrijven en overheden dan ook met deze technologie.
Het potentieel van blockchain kreeg bovendien een enorme boost met de komst van smart contracts, die door middel van blockchain-technologie toelaten om regels tussen verschillende partijen af te dwingen zonder centrale, vertrouwde partij.
De verwachtingen in blockchain en smart contracts liggen dan ook hoog. Het is de meest gehypte technologie van de laatste jaren en er worden honderden miljoenen euro’s in geïnvesteerd. In de pers en op seminaries lezen en horen we meestal slechts echo’s van de hype en uitdagingen worden genegeerd. Weinigen weten hoe deze technologie echt werkt.
Deze infosessie
• gaat wel didactisch in op de achterliggende principes.
• biedt wel een gebalanceerde kijk op de technologie, haar potentieel en uitdagingen.
• geeft wel aan wanneer blockchain voor u een meerwaarde kan betekenen.
• bespreekt wel uitgebreid een overheidstoepassing, die zowel conceptueel als praktisch uitgewerkt werd. Daarbij worden uitdagingen zoals privacy niet onder de mat geveegd. Door middel van een proof-of-concept werd bovendien de praktische inzetbaarheid aangetoond.
Smals research deelt graag met u haar expertise. De infosessie focust op de technische kant van het verhaal. Er wordt dus niet ingegaan op juridische en maatschappelijke aspecten.
De sessie is hier te herbekijken.
--- français ---
Bitcoin a littéralement secoué le monde financier, en permettant pour la première fois de transférer de l'argent à l'autre bout du monde sans l'intervention d'une puissante banque centrale. Bitcoin repose sur la technologie blockchain.
Il est rapidement apparu que le potentiel de la technologie blockchain dépassait nettement les pures transactions financières. Dans divers processus en effet, elle permet de réduire considérablement les tâches des parties intermédiaires et centrales ainsi que la dépendance envers ces dernières. Parfois, ces parties deviennent même totalement superflues, de sorte que les processus peuvent être organisés plus efficacement. Pas étonnant dès lors que des entreprises et des administrations du monde entier s'essaient à cette technologie.
Le potentiel de blockchain a en outre grimpé en flèche avec l'arrivée des smart contracts qui, au moyen de la technologie blockchain, permettent d'imposer des règles entre différents intervenants sans l'entremise d'un tiers de confiance central.
Les attentes envers la technologie blockchain et les smart contracts sont par conséquent élevées. Cette technologie est au centre de toutes les attentions ces dernières années et fait l’objet d'investissements de plusieurs centaines de millions d'euros. Le hype suscite exclusivement des échos dans la presse et aux séminaires, tandis que les défis ne sont pas abordés. En effet, beaucoup ignorent comment cette technologie fonctionne réellement.
Cette séance d’info
• aborde les principes sous-jacents de manière didactique.
• offre un aperçu équilibré de la technologie, de son potentiel et de ses défis.
• indique quand le blockchain peut vous apporter une plus-value.
• présente en détail une application gouvernementale, élaborée sur les plans conceptuel et pratique... Les défis tels que le respect de la vie privée sont également traités. La faisabilité pratique a en outre été démontrée à l'aide d'une preuve de concept.
Smals Research partage volontiers son expertise. La séance d’info est axée sur l'aspect technique.
Les aspects juridiques et sociaux ne sont donc pas abordés.
La session peut être consultée à nouveau ici.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2017/03 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Blockchain, smart contract, cryptography, privacy |
Download: | Download |
Author: | Kristof Verslype |
Category: | Annexe |
Date: | 2016/04 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Data archipel |
Download: | Download |
--- Nederlands ---
Data-anonimisatietechnieken hebben als doel om de link tussen de te analyseren gegevens en het individu onomkeerbaar te verwijderen, maar in deze “big data”-context hebben ze serieuze beperkingen. Ook het opzetten van een centraal datawarehouse, waar overheidsbedrijven persoonsgegevens aan bezorgen, biedt geen adequate oplossing. Hier kunnen immers veiligheidsrisico’s aan verbonden zijn. Bovendien kunnen overheden terughoudend zijn om hieraan mee te werken. Ze verliezen immers de controle op de persoonsgegevens waarvoor ze wettelijk verantwoordelijk blijven.
De centrale vraag van deze infosessie is dus: “Kunnen we met respect voor de privacywetgeving persoonsgegevens afkomstig van verschillende (overheids)bedrijven efficiënt en veilig kruisen, terwijl deze bedrijven de controle behouden over de door hen beheerde persoonsgegevens?”
De infosessie gaat in op de belangrijkste anonimisatietechnieken en de beperkingen ervan. Daarna wordt in primeur de “data archipel” voorgesteld: een flexibel en origineel concept, uitgedacht door Smals Research met medewerking van de KU Leuven. Het concept tracht een antwoord te bieden op de bovengestelde vraag. Op een begrijpelijke manier wordt ingegaan op aspecten zoals de achterliggende cryptografie, deanonimisatie en sleutelbeheer. Een korte demo van de proof-of-concept wordt toegelicht. Gezien het conceptuele karakter en de open uitdagingen van de data archipel willen we naast informatie overbrengen ook feedback verzamelen en meenemen in eventueel toekomstig onderzoek.
--- français ---
Les techniques d'anonymisation de données sont destinées à supprimer irrévocablement le lien entre les données à analyser et l'individu. Toutefois, ces techniques présentent clairement des limites dans ce contexte "Big Data". Même la mise sur pied d'un datawarehouse central, auquel des entreprises publiques transmettent des données personnelles, n'offre pas de solution adéquate en raison des risques potentiels en termes de sécurité. Sans compter que les autorités peuvent y être réticentes. En effet, elles perdent ainsi le contrôle des données personnelles dont elles demeurent légalement responsables.
La question fondamentale de cette séance d'information est donc la suivante : “Dans le respect de la législation de la vie privée, pouvons-nous croiser de manière sûre et efficace des données personnelles issues de différentes entreprises (publiques) tout en veillant à ce que ces dernières gardent le contrôle de ces données ?”
La séance d’information sera consacrée aux principales techniques d'anonymisation et à leurs restrictions. Ensuite, le "data archipel" sera présenté en primeur : un concept flexible et original, pensé par l'équipe Smals Research en collaboration avec la KU Leuven. Le but de ce concept est de tenter de répondre à la question susmentionnée. Les aspects tels que le chiffrement sous-jacent, la désanonymisation et la gestion des clés cryptographiques seront abordés en termes clairs. Une courte démo du proof-of-concept sera commentée. Vu le caractère conceptuel et les défis ouverts du data archipel, nous souhaitons non seulement procurer des informations, mais aussi recueillir du feed-back que nous pourrons mettre à profit dans une éventuelle étude future.
Annexes: | |
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Presentation |
Date: | 2016/04 |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | data archipel, anonimisatie, privacy, cryptografie, Analytics |
Download: | Download |
Analytics op persoonsgegevens moet steeds in overeenstemming gebeuren met de privacywetgeving, waarbij principes zoals finaliteit, proportionaliteit, transparantie en information security practices gerespecteerd dienen te worden. De fragmentatie van de overheid levert een bijkomende uitdaging op. Wanneer namelijk persoonsgegevens uit verschillende bronnen gekruist worden in één centraal datawarehouse, blijven de aanleverende overheidsbedrijven enerzijds wel verantwoordelijk voor de persoonsgegevens, maar anderzijds verliezen ze alle controle erop.
Deze tekst presenteert op een toegankelijke manier het door Smals Research ontwikkelde concept van de data archipel, dat gebruikmakend van cryptografie drie moeilijk te combineren zaken realiseert: 1) het kruisen van persoonsgegevens voor analyse is vlot mogelijk, 2) de privacy van de betrokken burger wordt beschermd en 3) de aanleverende overheidsbedrijven behouden controle op de persoonsgegevens waar ze verantwoordelijk voor blijven.
Annexes: | |
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Research Note |
Date: | 2016/03 |
Keywords: | Privacy, Big Data, Cryptography, Analytics |
Download: | Download |
Burgerparticipatie of citizen engagement is een brede term die gedefinieerd wordt als individuele of collectieve acties door burgers om zaken van algemeen belang te identificeren en aan te pakken. Dit kan onder meer gaan over cultuur, ontspanning, milieu, versterking van het sociale weefsel, verbetering van het publieke domein, economie en democratie.
Dit document heeft als doel om het concept "citizen engagement" van nabij te bekijken en te kijken hoe de overheid en IT hier een rol in kunnen spelen. Idealiter komen we tot een IT-platform voor burgerinitiatieven waar zowel burgers als overheid aan kunnen bijdragen, zonder echter uit het oog te verliezen dat IT op zich enkel een ondersteunende rol kan en mag spelen naast tal van andere (veel belangrijkere) factoren.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Deliverable |
Date: | 2015/03 |
Platforms: | Windows |
License: | CC Attribution-NonCommercial-ShareAlike |
Keywords: | Citizen engagement |
Download: | Download |
File sync & share (FSS) systemen zoals Dropbox, Box en OneDrive hebben bij gebruik in principe toegang tot je potentieel gevoelige gegevens. Server-side encryptie verandert hier niets aan gezien de dienstverleners zelf de bijhorende sleutels beheren. BoxCryptor wil deze kwestie verhelpen.
Les systèmes de File Sync & Share (FSS) tels que Dropbox, Box et OneDrive ont en principe accès aux données potentiellement sensibles que les utilisateurs sauvegardent sur leurs serveurs. Le chiffrement de ces données côté serveur ne change rien en soi étant donné que ces prestataires de service gèrent eux-mêmes les clés de chiffrement associées. BoxCryptor vise à remédier à ce problème.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Quick Review |
Date: | 2014/10 |
Platforms: | Windows |
License: | Commercial |
Keywords: | FSS, Dropbox |
Download: | Download |
ownCloud is een open source product voor Enterprise File Sharing. Het is een robuuste oplossing voor zgn. file sync & share (het delen en synchroniseren van bestanden tussen verschillende gebruikers en devices) en biedt een alternatief voor public cloud oplossingen zoals Dropbox, Box, OneDrive, Google Drive e.d. ownCloud kan on-premise geïnstalleerd worden en biedt alle nodige functionaliteiten van een volwaardig FSS-systeem.
In deze open source review worden de functionaliteiten van ownCloud overlopen samen met de uitgevoerde testen, waarna de oplossing getoetst wordt op maturiteit en kwaliteit via het open source maturiteitsmodel van de sectie Onderzoek. ownCloud is wat ons betreft een robuuste volwassen oplossing en behaalt een meer dan acceptabele score. Een aanrader indien u zelf FSS-functionaliteit wil aanbieden zonder naar de public cloud te willen gaan.
-------------------
ownCloud est un produit open source de partage de fichiers d’entreprise. Il s’agit d’une solution robuste de « file sync & share » (partage et synchronisation de fichiers entre différents utilisateurs et appareils) qui offre une alternative aux solutions de cloud public telles que Dropbox, Box, OneDrive, Google Drive… ownCloud peut être installé sur site et offre toutes les fonctionnalités d’un système FSS à part entière.
Dans cette open source review, les fonctionnalités de ownCloud sont passées en revue conjointement aux tests effectués, après quoi la solution est éprouvée en termes de maturité et de qualité à l’aide du modèle de maturité open source de la section Recherche de Smals. En ce qui nous concerne, ownCloud constitue une solution mature robuste qui obtient un score plus qu’honorable. Nous vous le recommandons si vous souhaitez vous-même proposer une fonctionnalité FSS sans vous diriger vers le cloud public.
Annexes: | |
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | OSS Review |
Date: | 2014/06 |
License: | Open Source |
Keywords: | ownCloud, Enterprise File Sharing, EFS, File Sync & Share, FSS, Cloud, Dropbox, file sharing |
Download: | Download |
Deze infosessie gaat na hoe overheden met de realiteit van cloud computing om kunnen gaan. Daarbij worden drie pistes verkend:
De cloud eist een steeds prominentere rol op in het IT-landschap. Er kan relatief snel gebruik van gemaakt worden, biedt een ongekende flexibiliteit en dit tegen lage prijzen.
Voor overheden stelt zich dan de vraag welke houding aan te nemen tegenover het gebruik van de cloud.
Vooral met betrekking tot gevoelige gegevens kan dit vraagtekens oproepen.
In deze research nota overlopen wij de situatie in een aantal landen, zonder daarbij te claimen exhaustief te zijn.
Dit document is een update van de publicatie van juli 2013 (situatie Nederland, Frankrijk, UK, Singapore).
Le cloud occupe une place toujours plus importante dans le paysage informatique. Il peut être utilisé dans un délai relativement court et offre une flexibilité inédite, et ce à faible coût.
Pour l'administration publique, la question est de savoir quelle attitude adopter face à l’utilisation du cloud.
Notamment en ce qui concerne les données sensibles, il y a matière à s’interroger.
Dans cette research note, nous examinons la situation dans plusieurs pays, sans toutefois prétendre être exhaustifs.
Ce document est une update de la publication de juillet 2013 (situation aux Pays-Bas, en France, au Royaume-Uni, à Singapour).
Annexes: | |
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Research Note |
Date: | 2013/12 |
Keywords: | Cloud Computing, Security |
Download: | Download |
De cloud eist een steeds prominentere rol op in het IT-landschap. Er kan relatief snel gebruik van gemaakt worden, biedt een ongekende flexibiliteit en dit tegen lage prijzen.
Voor overheden stelt zich dan de vraag welke houding aan te nemen tegenover het gebruik van de cloud.
Vooral met betrekking tot gevoelige gegevens kan dit vraagtekens oproepen.
In deze research nota overlopen wij de situatie in een aantal landen, zonder daarbij te claimen exhaustief te zijn.
Le cloud occupe une place toujours plus importante dans le paysage informatique. Il peut être utilisé dans un délai relativement court et offre une flexibilité inédite, et ce à faible coût.
Pour l'administration publique, la question est de savoir quelle attitude adopter face à l’utilisation du cloud.
Notamment en ce qui concerne les données sensibles, il y a matière à s’interroger.
Dans cette research note, nous examinons la situation dans plusieurs pays, sans toutefois prétendre être exhaustifs.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Research Note |
Date: | 2013/07 |
Keywords: | Cloud Computing, Security |
Download: | Download |
AlienVault est un précieux outil qui est parvenu à intégrer proprement de nombreux logiciels open source existants (Nessus, Snort, Nagios...) dans un outil SIEM (Security Informaton & Event Management) proposant des tableaux de bord assez synoptiques. S’il ne peut pas se mesurer aux meilleurs produits SIEM, il s’avère néanmoins intéressant pour une première prise de connaissance pratique avec le SIEM.
AlienVault is een waardevolle tool die erin geslaagd is heel wat reeds bestaande open source software (Nessus, Snort, Nagios, etc.) netjes te integreren in een SIEM (Security Informaton & Event Management) tool die vrij overzichtelijke dashboards aanbiedt. Desondanks kan hij niet tippen aan de top SIEM-producten. Wel interessant voor een eerste praktische kennismaking met SIEM.
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Quick Review |
Date: | 2012/08 |
License: | GNU General Public License |
Keywords: | Network Security, Security |
Download: | Download |
De IT-gerelateerde veiligheidsrisico’s voor bedrijven en overheidsinstellingen kennen een stijgende trend. Er bestaan verschillende – vaak complementaire – methoden om hiermee om te gaan. Dit rapport focust op SIEM (Security Information and Event Management), waarbij veiligheidsgerelateerde logs naar een centraal systeem gestuurd worden voor analyse om security threats te detecteren. Een belangrijk aspect hierbij is de correlatie, waarbij verbanden tussen logs gezocht worden.
Annexes: | |
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Research Note |
Date: | 2012/07 |
Keywords: | Network Security, Security |
Download: | Download |
IT-infrastructuren worden complexer en dynamischer, de cyberaanvallen gesofisticeerder en de aanvallers professioneler. Zowel interne als externe aanvallen vormen een bedreiging.
In een moderne IT-infrastructuur van een bedrijf worden vandaag de dag al snel miljoenen security gerelateerde logs door honderden of meer devices gegenereerd, potentieel vanaf verschillende geografisch verspreide locaties. Typisch zijn er op een dag hoogstens enkele incidenten. De uitdaging is om aan de hand van die miljoenen logs die paar incidenten in real-time te extraheren. Indien nodig kan dan ingegrepen worden om de schade te minimaliseren of kunnen achteraf maatregelen genomen worden om dergelijke incidenten in de toekomst te voorkomen. Dergelijke reactieve maatregelen vallen echter buiten de basisfunctionaliteit van SIEM.
Het extraheren van incidenten uit logs is wat SIEM-systemen op een geautomatiseerde manier beloven te doen. Daarnaast bieden ze de mogelijkheid achteraf uitgebreide analyses op de verzamelde logs te doen.
Annexes: | |
Languages: | Nederlands |
Author: | Kristof Verslype, Bob Lannoy |
Category: | Presentation |
Date: | 2012/03 |
Keywords: | Network Security, Security |
Download: | Download |
IT-infrastructuren worden complexer en dynamischer, de cyberaanvallen gesofisticeerder en de aanvallers professioneler. Zowel interne als externe aanvallen vormen een bedreiging.
In een moderne IT-infrastructuur van een bedrijf worden vandaag de dag al snel miljoenen security gerelateerde logs door honderden of meer devices gegenereerd, potentieel vanaf verschillende geografisch verspreide locaties. Typisch zijn er op een dag hoogstens enkele incidenten. De uitdaging is om aan de hand van die miljoenen logs die paar incidenten in real-time te extraheren. Indien nodig kan dan ingegrepen worden om de schade te minimaliseren of kunnen achteraf maatregelen genomen worden om dergelijke incidenten in de toekomst te voorkomen. Dergelijke reactieve maatregelen vallen echter buiten de basisfunctionaliteit van SIEM.
Het extraheren van incidenten uit logs is wat SIEM-systemen op een geautomatiseerde manier beloven te doen. Daarnaast bieden ze de mogelijkheid achteraf uitgebreide analyses op de verzamelde logs te doen.
Annexes: | |
Languages: | Nederlands |
Author: | Kristof Verslype |
Category: | Management Summary |
Date: | 2012/03 |
Keywords: | Network Security, Security |
Download: | Download |
Expressing cryptographic recommendations as code increases automation, insight, and cryptographic maturity. Continue reading →
L’expression de recommandations cryptographiques sous forme de code augmente l’automatisation, la compréhension et la maturité cryptographique. Continue reading →
Cryptografische aanbevelingen uitdrukken als code verhoogt automatisering, inzicht en cryptografische maturiteit. Continue reading →
La cryptographie est indispensable dans notre société actuelle. Les algorithmes cryptographiques qui étaient autrefois considérés comme extrêmement sûrs sont aujourd’hui totalement inadaptés. Il faudra un jour, par exemple avec l’avènement probable de puissants ordinateurs quantiques, s’affranchir progressivement ou très rapidement des méthodes cryptographiques qui sont la norme aujourd’hui. Cet article examine les préparatifs que nous pouvons faire à cette fin. Continue reading →
Cryptografie is onmisbaar in onze huidige samenleving. Cryptografische algoritmes die ooit als extreem veilig beschouwd werden, zijn vandaag volstrekt onvoldoende. Ooit zullen we, bijvoorbeeld door de komst van krachtige kwantumcomputers, geleidelijk of erg snel moeten migreren, weg van cryptografische methodes die vandaag de norm zijn. Dit artikel gaat in op de voorbereidingen die we kunnen treffen om dit zo snel en efficiënt als mogelijk te laten gebeuren. Continue reading →
Le nouveau service de pseudonymisation d’eHealth offre des garanties de sécurité élevées et est actuellement utilisé pour protéger la vie privée des citoyens, notamment lors du stockage et du traitement des ordonnances électroniques. Ce service se prête en outre particulièrement bien au croisement et à la pseudonymisation de données à caractère personnel dans le cadre de projets de recherche. Le présent article expose la manière dont cela serait possible d’un point de vue conceptuel. Continue reading →
De nieuwe pseudonimiseringsdienst van eHealth biedt hoge veiligheidsgaranties en wordt momenteel ingezet om de privacy van de burger te beschermen onder meer bij de opslag en verwerking van elektronische voorschriften. Deze dienst leent zich daarnaast ook bijzonder goed voor het kruisen en pseudonimiseren van persoonsgegevens in het kader van onderzoeksprojecten. Dit artikel licht toe hoe dit conceptueel mogelijk zou zijn. Continue reading →
Les ordinateurs quantiques risquent un jour d’être capables de casser la cryptographie moderne à clé publique. Outre la standardisation de nouveaux algorithmes cryptographiques résistants aux ordinateurs quantiques, la distribution quantique de clé (“Quantum Key Distribution” – QKD) est présentée comme une alternative encore plus sûre. Cet article examine de plus près cette technique. Continue reading →
Bon nombre de systèmes dans le secteur public stockent des données personnelles sensibles. Il faut éviter qu’un adversaire interne ou externe puisse établir un lien entre ces données et des personnes physiques. Une mesure précieuse consiste à ne plus stocker les données sous des numéros de registre national, mais sous des pseudonymes. Cet article est une introduction à un service de pseudonymisation securisé, offert par eHealth et conçu par Smals Research. Continue reading →
De kans bestaat dat Kwantumcomputers op een dag in staat zullen zijn om de moderne publieke sleutelcryptografie te breken. Naast de standaardisatie van nieuwe, kwantumresistente cryptografische algoritmes, wordt Quantum Key Distribution (QKD) als een nog veiliger alternatief naar voor geschoven. Dit artikel gaat dieper in op deze technologie. Continue reading →