Naar de hoofdinhoud gaan

VIP-THREAT-001

VeriSeal Bedreigings- en Tegenstander Model

Versie: 2.0
Status: Normatief Beveiligingsprofiel
Classificatie: Openbare Beveiligingsspecificatie

1. Reikwijdte

Dit document definieert het formele tegenstander- en bedreigingsmodel van toepassing op:

  • VIP-STD-001 (Integrity Core)
  • VIP-STD-002 (Ledger Profiel)
  • VIP-STD-003 (Signature Profiel)
  • VIP-STD-004 (Time Anchoring Profiel)
  • VIP-STF-005 (Verification & Conformance Framework)

Dit document definieert:

  • Beveiligingsdoelstellingen
  • Classificatie van activa
  • Capaciteiten van tegenstanders
  • Aanvalsoppervlakken
  • Formele beveiligingsclaims
  • Restanten risico's

2. Beveiligingsdoelstellingen

Het VeriSeal Integrity Framework streeft ernaar te garanderen:

  1. Deterministische integriteit
  2. Manipulatie detectie
  3. Structurele onveranderlijkheid
  4. Cryptografische authenticiteit (indien signature profiel gebruikt)
  5. Continuïteit van het grootboek
  6. Onafhankelijke tijdscorroboratie (indien anchoring profiel gebruikt)

Het framework garandeert expliciet NIET:

  • Waarheidsgetrouwheid van inhoud
  • Identiteitsvalidatie (tenzij extern systeem gebruikt)
  • Juridische afdwingbaarheid
  • Semantische correctheid
  • Legitimiteit van inhoud

VeriSeal is een integriteitsframework, geen waarheidsysteem.

3. Activa

De volgende activa zijn beveiligingskritisch:

  • Canoniek bewijsobject
  • Deterministische proof_hash
  • Grootboekvermelding
  • previous_entry_hash continuïteit
  • Handtekeningmateriaal
  • Anchoring referentie
  • Verificatie metadata

De integriteit van deze activa MOET behouden blijven.

4. Klassen van Tegenstanders

4.1 Passieve Waarnemer

Capaciteiten:

  • Volledige leesrechten
  • Verkeersobservatie

Kan niet:

  • Opgeslagen gegevens wijzigen

4.2 Actieve Wijziger

Capaciteiten:

  • Poging tot recordwijziging
  • Poging tot recordvervanging
  • Poging tot herordening van het grootboek

4.3 Cryptografische Aanvaller

Capaciteiten:

  • Poging tot hash-collision
  • Poging tot handtekeningvervalsing
  • Poging tot ankervervalsing
  • Poging tot herhaling

Beperkt door klassieke cryptografische aannames.

4.4 Insider Tegenstander

Capaciteiten:

  • Records wijzigen vóór verzegeling
  • Privésleutels compromitteren
  • Opslaglaag manipuleren

Mitigatie is operationeel, niet op protocolniveau.

5. Bedreigingscategorieën

5.1 Serialisatie-aanvallen

Aanval: Manipuleren van veldvolgorde of codering om hash te wijzigen.

Mitigatie:

  • Strikte canonisatie (VIP-STD-001)
  • Byte-niveau determinisme
  • Deterministische hashing

5.2 Hash-vervanging

Aanval: Vervangen van proof_hash door alternatieve waarde.

Mitigatie:

  • Deterministische herberekening
  • Handtekeningbinding (VIP-STD-003)

5.3 Herordening van het Grootboek

Aanval: Herordenen van vermeldingen om chronologie te manipuleren.

Mitigatie:

  • previous_entry_hash chaining
  • Deterministische grootboekverificatie

5.4 Herhalingsaanvallen

Aanval: Herbruik van geldig bewijs in ongewenste context.

Mitigatie:

  • Unieke proof_id
  • Contextbinding
  • Tijdverankering (optioneel)

5.5 Handtekeningaanvallen

Inclusief:

  • Vervalsing
  • Manipuleerbaarheid
  • Zwakke willekeurigheid

Mitigatie:

  • Deterministisch ondertekenen (RFC 6979)
  • Low-S normalisatie (ECDSA)
  • Ed25519 aanbevolen
  • Beveiligd sleutelbeheer (implementatievereiste)

5.6 Ankervervalsing

Aanval: Aanbieden van gefabriceerde externe tijdreferenties.

Mitigatie:

  • Publiek verifieerbare verankeringssystemen
  • Onafhankelijke herberekening
  • Multi-anker strategieën (optioneel)

6. Vertrouwensgrenzen

Vertrouwensgrenzen bestaan tussen:

  1. Bewijsgeneratie
  2. Grootboekopslag
  3. Handtekeningautoriteit
  4. Ankerautoriteit
  5. Verificatieactor

Het protocol veronderstelt:

  • Onafhankelijke verificateur
  • Openbare ankertransparantie
  • Beveiligde sleutelbewaring

7. Formele Beveiligingsclaims

Onder klassieke cryptografische aannames:

Als:

  • SHA-256 blijft botsingsbestendig
  • ECDSA / Ed25519 blijven veilig
  • RSA-factorisatie blijft computationeel onhaalbaar

Dan:

  • Manipulatie is detecteerbaar
  • Herziening van het grootboek is detecteerbaar
  • Handtekeningvervalsing is onhaalbaar
  • Ankervervalsing is detecteerbaar

Deze garanties verslechteren proportioneel als aannames falen.

8. Restanten Risico's

Het framework elimineert niet:

  • Compromittering van privésleutels
  • Zwakke entropie in handtekeninggeneratie
  • Implementatiefouten
  • Opslagcorruptie
  • Insider manipulatie vóór verzegeling
  • Denial-of-service aanvallen

Deze vallen buiten protocolgaranties.

9. Denial of Service

Het protocol biedt niet:

  • Bescherming tegen opslaguitputting
  • Beschikbaarheidsgaranties voor ankerendpunten
  • Weerstand tegen netwerkoverstroming

Operationele mitigatie vereist.

10. Post-Quantum Overwegingen

Versie 2.0 biedt geen post-quantum beveiliging.

Toekomstige herzieningen KUNNEN omvatten:

  • Hash wendbaarheid
  • PQ handtekeningalgoritmen
  • Hybride handtekeningmodi

11. Conclusie

Het VeriSeal framework biedt deterministische manipulatie detectie onder klassieke cryptografische aannames.

Beveiligingsgaranties zijn afhankelijk van:

  • Strikte canonisatie
  • Deterministische hashing
  • Correcte grootboek chaining
  • Beveiligd sleutelbeheer
  • Publiek verifieerbare verankering

Implementatiediscipline is verplicht.

VeriSeal definieert integriteitsgaranties — geen vertrouwensgaranties.