PKIoverheid “Get connected” 27 oktober 2011
2Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
Inhoud Encryptie => Theorie Symmetrische encryptie Asymmetrische encryptie Certificaten en SBR PKIoverheid Structuur Domeinen Eisen Stellingen 3 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
Encryptie 4 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
Twee vormen van encryptie Encryptie is het coderen (versleutelen) van gegevens op basis van een bepaald algoritme Twee vormen: Symmetrisch Asymmetrisch 5Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
Symmetrische encryptie Verzender en ontvanger gebruiken dezelfde sleutel Bijvoorbeeld A = 1G =7M = 13S = 19Y = 25 B = 2H = 8N = 14T = 20Z = 26 C = 3I = 9O = 15U = 21 D = 4J = 10P = 16V = 22 E = 5K = 11Q = 17W = 23 F = 6L = 12R = 18X = 24
Bob Ik Vind Je Lief Bob Ik Vind Je Lief Alice Bob Bob Ik Vind Je Lief Bob Ik Vind Je Lief Symmetrische encryptie
Voor- en nadelen symmetrische encryptie Algoritmen relatief eenvoudig (rekencapaciteit) Geschikt voor streaming encryptie Lange sleutels voor voldoende beveiliging Sleutelmanagement zwakke plek! (hoe draag je de sleutel over!)
Asymmetrische encryptie Verzender en ontvanger maken gebruik van een sleutelpaar Men spreekt over een public key en een private key, de sleutels zijn verschillend Wanneer een bericht met een van de sleutels uit een paar wordt versleuteld, kan de andere gebruikt worden om het bericht te ontsleutelen
Alice Ik Jou Niet Alice Ik Jou Niet Asymmetrische encryptie Alice Publieke sleutels Alice Ik Jou Niet Alice Ik Jou Niet ZXV FD*wE1 E17EFe ZXV FD*wE1 E17EFe Alice Private Bob
Bedreiging 1 Alice Publieke sleutels Eve Bob Alice Ik Jou Ook - x- Bob Alice Ik Jou Ook - x- Bob ZXV FD*wE1 E17EFe ZXV FD*wE1 E17EFe Alice Ik Jou Ook -x-Bob Alice Ik Jou Ook -x-Bob Xv4 TnTG7 OssN Px3W TE!e Xv4 TnTG7 OssN Px3W TE!e Private
Alice Ik Jou Niet Alice Ik Jou Niet Asymmetrische encryptie Alice Publieke sleutels Alice Ik Jou Niet Alice Ik Jou Niet Bob ZXV FD*wE1 E17EFe ZXV FD*wE1 E17EFe Alice T5% KAMPP Alb12T E”17( T5% KAMPP Alb12T E”17( Private ZXV FD*wE1 E17EFe ZXV FD*wE1 E17EFe Bob Private
Bedreiging 2 Alice Publieke sleutels Alice Private Eve Bob Alice Eve Bob Private
Voor- en nadelen asymmetrische encryptie Uitwisseling sleutel kan over onveilig kanaal plaatsvinden Algoritmen complex, vraagt veel rekencapaciteit Behoefte aan een betrouwbare partij voor het uitgeven van sleutelparen en het beheren van publieke sleutels
Certificaten
Certificaat Een certificaat is een bestand met hierin vastgelegd de geregistreerde naam van de houder de publieke sleutel van de houder de geldigheidsduur van het certificaat de locatie van de 'Certificate Revocation List' (bij de uitgever van het certificaat) een samenvatting van het certificaat, versleuteld met de privésleutel van een vertrouwde partij. Deze "handtekening" maakt het certificaat moeilijk te vervalsen en is door iedereen d.m.v. de bijbehorende publieke sleutel te controleren.
PKI.Overheid is het vertrouwde stelsel binnen SBR Voor certificaten maakt de overheid gebruik van PKIoverheid. PKIoverheid is de public key infrastructure van de overheid
Gelaagd vertrouwen Stamcertificaat (Root certificate) Domeincertificaten Certificaatdienstverlener(CSP)certificaten Eindgebruikerscertificaten
Certificate service provider Certificate Service Provider TTP-CSP Bob TTP-CSP 46e24a86486a139b13f8f713e b749a1e e893a b92
PKIoverheid heeft een boomstructuur Certificaten Domein Organisatie Persoonsgebonden certificaten Elektronische handtekening Authenticiteitscertificaat Vertrouwelijkheidscertificaat Services certificaten Authenticiteitscertificaat Vertrouwelijkheidscertificaat Servercertificaat Domein Burger Persoonsgebonden certificaten Elektronische handtekening Authenticiteitscertificaat Vertrouwelijkheidscertificaat Domein Autonome Apparaten Autonome apparatencertificaten Authenticiteitscertificaat Vertrouwlijkheidscertificaat Combinatiecertificaat EV SSL certificaten
Welke type certificaten zijn er in het domein Organisatie? Persoonsgebonden certificaten Gebonden aan een natuurlijk persoon Persoon kan meerdere persoonsgebonden certificaten hebben. Elektronische handtekening alleen mogelijk met persoonsgebonden certificaat Services certificaten
Elektronische handtekening De wet stelt de volgende eisen aan de elektronische handtekening: Zij is op unieke wijze aan de ondertekenaar verbonden; Zij maakt het mogelijk de ondertekenaar te identificeren; Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; Zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord; Zij is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel ss Telecommunicatiewet; en Zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen als bedoeld is artikel 1.1, onderdeel vv Telecommunicatiewet.
NBA certificaat Accountants hebben beroepscertificaat Persoonsgebonden certificaat
BIV/Digipoort vereisen services certificaten BIV maakt gebruik van services certificaten. Vereisen dus geen elektronische handtekening
Services certificaten Services certificaten zijn niet gebonden aan een persoon, maar aan een apparaat of systeem. Deze certificaten kunnen ook gekoppeld zijn aan een functie (user/groep gebruikers binnen een organisatie – bijvoorbeeld fiscale adviseurs). Deze certificaten zijn niet bruikbaar voor een elektronische handtekening.
Certificaat bevat serienummer Serienummer identificeert eindgebruiker certificaat. Serienummer maakt het certificaat direct herleidbaar tot de organisatie. Serienummer is gemaakt volgens OverheidsIdentificatieNummersystematiek (OIN)
2 verplichte toepassingen certificaat gebruik 27Standard Business Reporting Programma Een initiatief van de Nederlandse overheid XBRL 141c334b2674ca13459a3e c5121e4 Port. KvK: c334b2674ca13459a3e c5121e4 Inter. KvK: c334b2674ca13459a3e c5121e4 DP. OIN:222 Niet vereist, wel toegestaan
In de praktijk 3 manieren waarop certificaten binnen SBR gebruikt worden Het opzetten van een dubbelzijdige SSL-verbinding. Dit dient ter vaststelling van de identiteit van een gebruiker van de infrastructuur. Het zetten van een handtekening in de WS- securityheader van een SOAP-request. Hiermee wordt de authenticiteit van de kredietrapportage vastgesteld. Het zetten van een digitale handtekening in de body van de XBRL-instance ter bewaking van de integriteit van het instance-document. - In de praktijk wordt deze nog niet vaak toegepast.
In dit kader verder relevant Authenticiteit: de zekerheid dat gegevens daadwerkelijk afkomstig zijn van de als de afzender aangeduide service. Integriteit: de zekerheid dat gegevens volledig zijn en ongewijzigd zijn gebleven.
Controle van bevoegdheden Iemand kan optreden namens een ander. Een persoon kan een andere persoon machtigen informatie aan te leveren of op te vragen. Wij stellen op basis van het bericht of opvraag vast met wie wij te maken hebben, maar hoe weten wij of deze partij bevoegd is? Hiervoor is een extra controle nodig.
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Is inter bevoegd? Inter = bevoegd voor weken Servicedesk Machtigingenregister Voorbeeld OPT-OUT
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Inter = bevoegd voor Mededelingenmagazijn Voorbeeld OPT-OUT Geef mij bericht c334b2674ca13459a3e c5121e4 Inter. KvK: Ja! Bevoegd? Bericht Machtigingenregister
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Is inter bevoegd? NEE!!!! 2 weken Stop registratie!!! Machtigingenregister
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Mededelingenmagazijn Voorbeeld OPT-OUT Geef mij bericht c334b2674ca13459a3e c5121e4 Inter. KvK: Nee!!! Bevoegd? Machtigingenregister BOEF!! Bericht
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Remco van Wijk