Download whitepapers, case studies
en onderzoeken over ICT-onderwerpen
Computable IT Knowledge Base
  Dagelijks het laatste
ICT-nieuws in je inbox?
Computable e-mail nieuwsbrief

security / Opinie

28-05-2004 00:00 | Door Lex Borger | Er zijn nog geen reacties op dit artikel | Permalink

Storende pki-fouten

Als consultant informatiebeveiling ben ik regelmatig betrokken bij pki-ontwerpen en -implementaties, schrijft Lex Borger. In 'Wachtwoord wekt illusies' (Computable, 16 april 2004) komen een aantal storende fouten voor. Het artikel draagt daardoor niet effectief bij aan een beter algemeen begrip voor het gebruik van pki.

Mijn kritiek omvat vijf hoofdpunten. Ten eerste is de beveiliging zoals beschreven veel complexer dan 'het account aanmaken' en 'inloggen'. Kijk maar alleen al naar het aantal nodige woorden om het een en ander uit te leggen. De sterke punten van pki zijn wel goed aangegeven: interne fraude is moeilijker en de beveiliging is breder toepasbaar.
Ten tweede is het certificaat niet, zoals de auteur aangeeft, geheim. De privé-sleutel van het pki-sleutelpaar is de informatie die geheim moet blijven. Het certificaat mag overal naartoe gestuurd worden; het bevat de publieke sleutel en de daaraan gekoppelde identiteit. De privé-sleutel moet ook altijd en automatisch vercijferd opgeslagen worden. Daartoe dient gewoonlijk de pincode - hier ook neem ik aan, al is dit anders beschreven.
 

Ten derde is misbruik nog steeds op meerdere manieren mogelijk. Niet alleen onderschepping van de privé-sleutel met pincode is een risico, ook foutieve of frauduleuze registratie bij een arts of zelfs 'hacking' van de server van een arts zijn belangrijke risico's.
Ten vierde gaat de arts privacygevoelige informatie opslaan: de kopie van het legitimatiebewijs. Dit heeft hij anders niet nodig en dat roept vragen op. Mag dit in het kader van de WBP (wet bescherming persoonsgegevens)? Wil de patiënt dit wel? Kan een arts legitimatiebewijzen wel goed toetsen - weet hij hoe een Ghanees paspoort eruit ziet? Is de arts verantwoordelijk voor fouten die hij hierbij maakt? Hoe is dat bepaald?
Ten vijfde vult de arts enkele belangrijke onderdelen van een pki in. Hij wordt ra (registratie autoriteit) én ca (certificatie autoriteit). Waarom zou een arts dat willen? Onder welk beleid valt hij bij deze uitvoering (certification policy)? Kan en wil een arts voor deze activiteiten een cps (certificate practice statement) opzetten en naleven? Hoe komt een arts aan de privé-sleutel waarmee zijn uitgegeven certificaten getekend worden? Hoe weet de patiënt dat de server van de arts voldoende beveiligd is?
Er is in het artikel vooral aandacht voor de techniek en niet voor de organisatie van de pki-beveiliging. In de technische informatie zitten feitelijke onjuistheden en onvolledigheden. Ik hoop die hierbij voldoende toegelicht te hebben om de lezer een beter beeld van de werking van zo'n pki en de vragen die nog open blijven staan te geven.< BR>
 
Lex Borger, Cissp, principal consultant information security
reageer print stuur door
Reageer
rssMeer Security
Security Whitepapers

Security 3.0: de nieuwste generatie beveiligingsoplossingen (klad)

Het gebeurt nog te veel dat ondernemingen zich slechts beveiligen tegen problemen die zich reeds hebben voorgedaan, waardoor er een onbetrouwbaar systeem van controls ontstaat. Deze whitepaper licht ontwikkelingen in beveiligingsoplossingen toe en gaat daarbij met name in op de nieuwste generatie...... Download nu

Security èn toegevoegde waarde met een goede secure desktop solution

De toegenomen mobiliteit van medewerkers en de bijbehorende wens om overal te kunnen communiceren, maar ook overheidsmaatregelen voor informatiemanagement compliceren de rol van IT-afdelingen. Deze whitepaper belicht geïntegreerde security-oplossingen die niet alleen hun primaire taak goed...... Download nu

Meer Security whitepapers

Computable Events Security

event

Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:

Security Producten

SonicWALL beveiliging voor EBS en SBS

28-11 12:07   SonicWALL, specialist in de beveiliging van netwerkinfrastructuur, kondigt Email Security en Network Security Appliance voor Windows Small Business Server (SBS) en Essential...

Meer security producten
Security Praktijk

Transparante systeemtoegang voor 17.000 UWV-medewerkers

16-07 11:15   Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...

Meer security praktijk
Security Achtergrond

Lege stoelen bij Pinewood

13-11 09:48   Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...

Meer security achtergrond
Security Opinie

Sociale netwerken als nieuwe virusbron

24-11 17:31   Steeds meer mensen ontdekken de kracht van sociale netwerken. Zeker in deze tijd waarin veel mensen weer op zoek gaan/moeten naar een nieuwe baan blijken de sociale netwerken erg...

Meer security opinie
IT Directory

Bekijk de leveranciers op het gebied van Security.