De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

PKIoverheid “Get connected” 27 oktober 2011. 2Standard Business Reporting Programma Een initiatief van de Nederlandse overheid.

Verwante presentaties


Presentatie over: "PKIoverheid “Get connected” 27 oktober 2011. 2Standard Business Reporting Programma Een initiatief van de Nederlandse overheid."— Transcript van de presentatie:

1 PKIoverheid “Get connected” 27 oktober 2011

2 2Standard Business Reporting Programma Een initiatief van de Nederlandse overheid

3 Inhoud  Encryptie => Theorie  Symmetrische encryptie  Asymmetrische encryptie  Certificaten en SBR  PKIoverheid  Structuur  Domeinen  Eisen  Stellingen 3 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid

4 Encryptie 4 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid

5 Twee vormen van encryptie  Encryptie is het coderen (versleutelen) van gegevens op basis van een bepaald algoritme  Twee vormen:  Symmetrisch  Asymmetrisch 5Standard Business Reporting Programma Een initiatief van de Nederlandse overheid

6 Symmetrische encryptie  Verzender en ontvanger gebruiken dezelfde sleutel  Bijvoorbeeld A = 1G =7M = 13S = 19Y = 25 B = 2H = 8N = 14T = 20Z = 26 C = 3I = 9O = 15U = 21 D = 4J = 10P = 16V = 22 E = 5K = 11Q = 17W = 23 F = 6L = 12R = 18X = 24

7 Bob Ik Vind Je Lief Bob Ik Vind Je Lief Alice Bob 2.15.2 9.11 22.9.14.4 10.5 12.9.5.6 2.15.2 9.11 22.9.14.4 10.5 12.9.5.6 Bob Ik Vind Je Lief Bob Ik Vind Je Lief Symmetrische encryptie

8 Voor- en nadelen symmetrische encryptie  Algoritmen relatief eenvoudig (rekencapaciteit)  Geschikt voor streaming encryptie  Lange sleutels voor voldoende beveiliging  Sleutelmanagement zwakke plek! (hoe draag je de sleutel over!)

9 Asymmetrische encryptie  Verzender en ontvanger maken gebruik van een sleutelpaar  Men spreekt over een public key en een private key, de sleutels zijn verschillend  Wanneer een bericht met een van de sleutels uit een paar wordt versleuteld, kan de andere gebruikt worden om het bericht te ontsleutelen

10 Alice Ik Jou Niet Alice Ik Jou Niet Asymmetrische encryptie Alice Publieke sleutels Alice Ik Jou Niet Alice Ik Jou Niet ZXV !eDr2@@e$ FD*wE1 E17EFe ZXV !eDr2@@e$ FD*wE1 E17EFe Alice Private Bob

11 Bedreiging 1 Alice Publieke sleutels Eve Bob Alice Ik Jou Ook - x- Bob Alice Ik Jou Ook - x- Bob ZXV !eDr2@@e$ FD*wE1 E17EFe ZXV !eDr2@@e$ FD*wE1 E17EFe Alice Ik Jou Ook -x-Bob Alice Ik Jou Ook -x-Bob Xv4 TnTG7 OssN Px3W TE!e Xv4 TnTG7 OssN Px3W TE!e Private

12 Alice Ik Jou Niet Alice Ik Jou Niet Asymmetrische encryptie Alice Publieke sleutels Alice Ik Jou Niet Alice Ik Jou Niet Bob ZXV !eDr2@@e$ FD*wE1 E17EFe ZXV !eDr2@@e$ FD*wE1 E17EFe Alice T5% KAMPP Alb12T E”17( T5% KAMPP Alb12T E”17( Private ZXV !eDr2@@e$ FD*wE1 E17EFe ZXV !eDr2@@e$ FD*wE1 E17EFe Bob Private

13 Bedreiging 2 Alice Publieke sleutels Alice Private Eve Bob Alice Eve Bob Private

14 Voor- en nadelen asymmetrische encryptie  Uitwisseling sleutel kan over onveilig kanaal plaatsvinden  Algoritmen complex, vraagt veel rekencapaciteit  Behoefte aan een betrouwbare partij voor het uitgeven van sleutelparen en het beheren van publieke sleutels

15 Certificaten

16 Certificaat Een certificaat is een bestand met hierin vastgelegd  de geregistreerde naam van de houder  de publieke sleutel van de houder  de geldigheidsduur van het certificaat  de locatie van de 'Certificate Revocation List' (bij de uitgever van het certificaat)  een samenvatting van het certificaat, versleuteld met de privésleutel van een vertrouwde partij. Deze "handtekening" maakt het certificaat moeilijk te vervalsen en is door iedereen d.m.v. de bijbehorende publieke sleutel te controleren.

17 PKI.Overheid is het vertrouwde stelsel binnen SBR Voor certificaten maakt de overheid gebruik van PKIoverheid. PKIoverheid is de public key infrastructure van de overheid

18 Gelaagd vertrouwen Stamcertificaat (Root certificate) Domeincertificaten Certificaatdienstverlener(CSP)certificaten Eindgebruikerscertificaten

19 Certificate service provider Certificate Service Provider TTP-CSP Bob 20.04.09-20.04.12 http://revocation.nl TTP-CSP 46e24a86486a139b13f8f713e8587592349184 75895 90592318b749a1e5374120195e893a8451711b92

20 PKIoverheid heeft een boomstructuur Certificaten Domein Organisatie Persoonsgebonden certificaten Elektronische handtekening Authenticiteitscertificaat Vertrouwelijkheidscertificaat Services certificaten Authenticiteitscertificaat Vertrouwelijkheidscertificaat Servercertificaat Domein Burger Persoonsgebonden certificaten Elektronische handtekening Authenticiteitscertificaat Vertrouwelijkheidscertificaat Domein Autonome Apparaten Autonome apparatencertificaten Authenticiteitscertificaat Vertrouwlijkheidscertificaat Combinatiecertificaat EV SSL certificaten

21 Welke type certificaten zijn er in het domein Organisatie?  Persoonsgebonden certificaten  Gebonden aan een natuurlijk persoon  Persoon kan meerdere persoonsgebonden certificaten hebben.  Elektronische handtekening alleen mogelijk met persoonsgebonden certificaat  Services certificaten

22 Elektronische handtekening De wet stelt de volgende eisen aan de elektronische handtekening:  Zij is op unieke wijze aan de ondertekenaar verbonden;  Zij maakt het mogelijk de ondertekenaar te identificeren;  Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;  Zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord;  Zij is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel ss Telecommunicatiewet; en  Zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen als bedoeld is artikel 1.1, onderdeel vv Telecommunicatiewet.

23 NBA certificaat  Accountants hebben beroepscertificaat  Persoonsgebonden certificaat

24 BIV/Digipoort vereisen services certificaten  BIV maakt gebruik van services certificaten.  Vereisen dus geen elektronische handtekening

25 Services certificaten  Services certificaten zijn niet gebonden aan een persoon, maar aan een apparaat of systeem. Deze certificaten kunnen ook gekoppeld zijn aan een functie (user/groep gebruikers binnen een organisatie – bijvoorbeeld fiscale adviseurs).  Deze certificaten zijn niet bruikbaar voor een elektronische handtekening.

26 Certificaat bevat serienummer  Serienummer identificeert eindgebruiker certificaat.  Serienummer maakt het certificaat direct herleidbaar tot de organisatie.  Serienummer is gemaakt volgens OverheidsIdentificatieNummersystematiek (OIN)

27 2 verplichte toepassingen certificaat gebruik 27Standard Business Reporting Programma Een initiatief van de Nederlandse overheid XBRL 141c334b2674ca13459a3e9692529 3842c5121e4 Port. KvK:54321 http://revocation.nl 141c334b2674ca13459a3e9692529 3842c5121e4 Inter. KvK:12345 http://revocation.nl 141c334b2674ca13459a3e9692529 3842c5121e4 DP. OIN:222 http://revocation.nl Niet vereist, wel toegestaan

28 In de praktijk 3 manieren waarop certificaten binnen SBR gebruikt worden  Het opzetten van een dubbelzijdige SSL-verbinding. Dit dient ter vaststelling van de identiteit van een gebruiker van de infrastructuur.  Het zetten van een handtekening in de WS- securityheader van een SOAP-request. Hiermee wordt de authenticiteit van de kredietrapportage vastgesteld.  Het zetten van een digitale handtekening in de body van de XBRL-instance ter bewaking van de integriteit van het instance-document. - In de praktijk wordt deze nog niet vaak toegepast.

29 In dit kader verder relevant  Authenticiteit: de zekerheid dat gegevens daadwerkelijk afkomstig zijn van de als de afzender aangeduide service.  Integriteit: de zekerheid dat gegevens volledig zijn en ongewijzigd zijn gebleven.

30 Controle van bevoegdheden  Iemand kan optreden namens een ander. Een persoon kan een andere persoon machtigen informatie aan te leveren of op te vragen.  Wij stellen op basis van het bericht of opvraag vast met wie wij te maken hebben, maar hoe weten wij of deze partij bevoegd is?  Hiervoor is een extra controle nodig.

31 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Is inter 12345 bevoegd? Inter 12345 = bevoegd voor 555555 2 weken Servicedesk Machtigingenregister Voorbeeld OPT-OUT

32 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Inter 12345 = bevoegd voor 555555 Mededelingenmagazijn Voorbeeld OPT-OUT Geef mij bericht 555555 141c334b2674ca13459a3e9692529 3842c5121e4 Inter. KvK:12345 http://revocation.nl Ja! Bevoegd? Bericht 555555 Machtigingenregister

33 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Is inter 12345 bevoegd? NEE!!!! 2 weken Stop registratie!!! Machtigingenregister

34 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid Mededelingenmagazijn Voorbeeld OPT-OUT Geef mij bericht 555555 141c334b2674ca13459a3e9692529 3842c5121e4 Inter. KvK:12345 http://revocation.nl Nee!!! Bevoegd? Machtigingenregister BOEF!! Bericht 555555

35 Standard Business Reporting Programma Een initiatief van de Nederlandse overheid www.sbr-nl.nl info@sbr-nl.nl Remco van Wijk remco.van.wijk@logius.nl


Download ppt "PKIoverheid “Get connected” 27 oktober 2011. 2Standard Business Reporting Programma Een initiatief van de Nederlandse overheid."

Verwante presentaties


Ads door Google