Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdJuliaan Vink Laatst gewijzigd meer dan 10 jaar geleden
1
PKIoverheid “Get connected” 27 oktober 2011
2
2Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
3
Inhoud Encryptie => Theorie Symmetrische encryptie Asymmetrische encryptie Certificaten en SBR PKIoverheid Structuur Domeinen Eisen Stellingen 3 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
4
Encryptie 4 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
5
Twee vormen van encryptie Encryptie is het coderen (versleutelen) van gegevens op basis van een bepaald algoritme Twee vormen: Symmetrisch Asymmetrisch 5Standard Business Reporting Programma Een initiatief van de Nederlandse overheid
6
Symmetrische encryptie Verzender en ontvanger gebruiken dezelfde sleutel Bijvoorbeeld A = 1G =7M = 13S = 19Y = 25 B = 2H = 8N = 14T = 20Z = 26 C = 3I = 9O = 15U = 21 D = 4J = 10P = 16V = 22 E = 5K = 11Q = 17W = 23 F = 6L = 12R = 18X = 24
7
Bob Ik Vind Je Lief Bob Ik Vind Je Lief Alice Bob 2.15.2 9.11 22.9.14.4 10.5 12.9.5.6 2.15.2 9.11 22.9.14.4 10.5 12.9.5.6 Bob Ik Vind Je Lief Bob Ik Vind Je Lief Symmetrische encryptie
8
Voor- en nadelen symmetrische encryptie Algoritmen relatief eenvoudig (rekencapaciteit) Geschikt voor streaming encryptie Lange sleutels voor voldoende beveiliging Sleutelmanagement zwakke plek! (hoe draag je de sleutel over!)
9
Asymmetrische encryptie Verzender en ontvanger maken gebruik van een sleutelpaar Men spreekt over een public key en een private key, de sleutels zijn verschillend Wanneer een bericht met een van de sleutels uit een paar wordt versleuteld, kan de andere gebruikt worden om het bericht te ontsleutelen
10
Alice Ik Jou Niet Alice Ik Jou Niet Asymmetrische encryptie Alice Publieke sleutels Alice Ik Jou Niet Alice Ik Jou Niet ZXV !eDr2@@e$ FD*wE1 E17EFe ZXV !eDr2@@e$ FD*wE1 E17EFe Alice Private Bob
11
Bedreiging 1 Alice Publieke sleutels Eve Bob Alice Ik Jou Ook - x- Bob Alice Ik Jou Ook - x- Bob ZXV !eDr2@@e$ FD*wE1 E17EFe ZXV !eDr2@@e$ FD*wE1 E17EFe Alice Ik Jou Ook -x-Bob Alice Ik Jou Ook -x-Bob Xv4 TnTG7 OssN Px3W TE!e Xv4 TnTG7 OssN Px3W TE!e Private
12
Alice Ik Jou Niet Alice Ik Jou Niet Asymmetrische encryptie Alice Publieke sleutels Alice Ik Jou Niet Alice Ik Jou Niet Bob ZXV !eDr2@@e$ FD*wE1 E17EFe ZXV !eDr2@@e$ FD*wE1 E17EFe Alice T5% KAMPP Alb12T E”17( T5% KAMPP Alb12T E”17( Private ZXV !eDr2@@e$ FD*wE1 E17EFe ZXV !eDr2@@e$ FD*wE1 E17EFe Bob Private
13
Bedreiging 2 Alice Publieke sleutels Alice Private Eve Bob Alice Eve Bob Private
14
Voor- en nadelen asymmetrische encryptie Uitwisseling sleutel kan over onveilig kanaal plaatsvinden Algoritmen complex, vraagt veel rekencapaciteit Behoefte aan een betrouwbare partij voor het uitgeven van sleutelparen en het beheren van publieke sleutels
15
Certificaten
16
Certificaat Een certificaat is een bestand met hierin vastgelegd de geregistreerde naam van de houder de publieke sleutel van de houder de geldigheidsduur van het certificaat de locatie van de 'Certificate Revocation List' (bij de uitgever van het certificaat) een samenvatting van het certificaat, versleuteld met de privésleutel van een vertrouwde partij. Deze "handtekening" maakt het certificaat moeilijk te vervalsen en is door iedereen d.m.v. de bijbehorende publieke sleutel te controleren.
17
PKI.Overheid is het vertrouwde stelsel binnen SBR Voor certificaten maakt de overheid gebruik van PKIoverheid. PKIoverheid is de public key infrastructure van de overheid
18
Gelaagd vertrouwen Stamcertificaat (Root certificate) Domeincertificaten Certificaatdienstverlener(CSP)certificaten Eindgebruikerscertificaten
19
Certificate service provider Certificate Service Provider TTP-CSP Bob 20.04.09-20.04.12 http://revocation.nl TTP-CSP 46e24a86486a139b13f8f713e8587592349184 75895 90592318b749a1e5374120195e893a8451711b92
20
PKIoverheid heeft een boomstructuur Certificaten Domein Organisatie Persoonsgebonden certificaten Elektronische handtekening Authenticiteitscertificaat Vertrouwelijkheidscertificaat Services certificaten Authenticiteitscertificaat Vertrouwelijkheidscertificaat Servercertificaat Domein Burger Persoonsgebonden certificaten Elektronische handtekening Authenticiteitscertificaat Vertrouwelijkheidscertificaat Domein Autonome Apparaten Autonome apparatencertificaten Authenticiteitscertificaat Vertrouwlijkheidscertificaat Combinatiecertificaat EV SSL certificaten
21
Welke type certificaten zijn er in het domein Organisatie? Persoonsgebonden certificaten Gebonden aan een natuurlijk persoon Persoon kan meerdere persoonsgebonden certificaten hebben. Elektronische handtekening alleen mogelijk met persoonsgebonden certificaat Services certificaten
22
Elektronische handtekening De wet stelt de volgende eisen aan de elektronische handtekening: Zij is op unieke wijze aan de ondertekenaar verbonden; Zij maakt het mogelijk de ondertekenaar te identificeren; Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; Zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord; Zij is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel ss Telecommunicatiewet; en Zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen als bedoeld is artikel 1.1, onderdeel vv Telecommunicatiewet.
23
NBA certificaat Accountants hebben beroepscertificaat Persoonsgebonden certificaat
24
BIV/Digipoort vereisen services certificaten BIV maakt gebruik van services certificaten. Vereisen dus geen elektronische handtekening
25
Services certificaten Services certificaten zijn niet gebonden aan een persoon, maar aan een apparaat of systeem. Deze certificaten kunnen ook gekoppeld zijn aan een functie (user/groep gebruikers binnen een organisatie – bijvoorbeeld fiscale adviseurs). Deze certificaten zijn niet bruikbaar voor een elektronische handtekening.
26
Certificaat bevat serienummer Serienummer identificeert eindgebruiker certificaat. Serienummer maakt het certificaat direct herleidbaar tot de organisatie. Serienummer is gemaakt volgens OverheidsIdentificatieNummersystematiek (OIN)
27
2 verplichte toepassingen certificaat gebruik 27Standard Business Reporting Programma Een initiatief van de Nederlandse overheid XBRL 141c334b2674ca13459a3e9692529 3842c5121e4 Port. KvK:54321 http://revocation.nl 141c334b2674ca13459a3e9692529 3842c5121e4 Inter. KvK:12345 http://revocation.nl 141c334b2674ca13459a3e9692529 3842c5121e4 DP. OIN:222 http://revocation.nl Niet vereist, wel toegestaan
28
In de praktijk 3 manieren waarop certificaten binnen SBR gebruikt worden Het opzetten van een dubbelzijdige SSL-verbinding. Dit dient ter vaststelling van de identiteit van een gebruiker van de infrastructuur. Het zetten van een handtekening in de WS- securityheader van een SOAP-request. Hiermee wordt de authenticiteit van de kredietrapportage vastgesteld. Het zetten van een digitale handtekening in de body van de XBRL-instance ter bewaking van de integriteit van het instance-document. - In de praktijk wordt deze nog niet vaak toegepast.
29
In dit kader verder relevant Authenticiteit: de zekerheid dat gegevens daadwerkelijk afkomstig zijn van de als de afzender aangeduide service. Integriteit: de zekerheid dat gegevens volledig zijn en ongewijzigd zijn gebleven.
30
Controle van bevoegdheden Iemand kan optreden namens een ander. Een persoon kan een andere persoon machtigen informatie aan te leveren of op te vragen. Wij stellen op basis van het bericht of opvraag vast met wie wij te maken hebben, maar hoe weten wij of deze partij bevoegd is? Hiervoor is een extra controle nodig.
31
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Is inter 12345 bevoegd? Inter 12345 = bevoegd voor 555555 2 weken Servicedesk Machtigingenregister Voorbeeld OPT-OUT
32
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Inter 12345 = bevoegd voor 555555 Mededelingenmagazijn Voorbeeld OPT-OUT Geef mij bericht 555555 141c334b2674ca13459a3e9692529 3842c5121e4 Inter. KvK:12345 http://revocation.nl Ja! Bevoegd? Bericht 555555 Machtigingenregister
33
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Is inter 12345 bevoegd? NEE!!!! 2 weken Stop registratie!!! Machtigingenregister
34
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Mededelingenmagazijn Voorbeeld OPT-OUT Geef mij bericht 555555 141c334b2674ca13459a3e9692529 3842c5121e4 Inter. KvK:12345 http://revocation.nl Nee!!! Bevoegd? Machtigingenregister BOEF!! Bericht 555555
35
Standard Business Reporting Programma Een initiatief van de Nederlandse overheid www.sbr-nl.nl info@sbr-nl.nl Remco van Wijk remco.van.wijk@logius.nl
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.