Omvangrijke implementatie van digitale certificaten rijksoverheid nog ver weg

Beveiligd Verkeer Nederland

Dit artikel delen:

Halverwege december vorig jaar is het stamcertificaat voor de rijksoverheid bij Pinkroccade aangemaakt. Deze basis voor de digitale identiteit van de overheid lijkt een belangrijke stap richting elektronische identificatie op grote schaal in Nederland. Toch zullen om diverse redenen de eerste projecten de nodige tijd kosten en bescheiden van opzet zijn.

Kater
Na de opkomst van internet beseften veel organisaties dat ze digitale identificatie nodig hadden als ze het wereldwijde netwerk of varianten daarvan wilden gebruiken voor het beveiligd versturen van informatie of het onweerlegbaar uitvoeren van online transacties. Dit leidde tot een golf van pki-implementaties (public key infrastructure).
Dergelijke systemen maken het mogelijk om gebruikers via internet of een ander open netwerk beveiligd te laten samenwerken doordat het beheer, de uitgifte en controle van digitale certificaten voor identificatie, authenticatie of codering bij een onafhankelijke derde partij (thrusted third party) ligt. Het certificaat bestaat uit een geheim, privaat deel en een openbaar, publiek onderdeel, dat via een netwerk bij de derde partij op geldigheid is te controleren. Dit heet ook wel asymmetrische versleuteling, omdat een certificaat bestaat uit twee sleutels.
In de praktijk bleek het inrichten van pki-omgevingen op zich een haalbare kaart. Alleen het prijskaartje dat een stringent beveiligingsprotocol en de complexe aanpassing van bedrijfsprocessen met zich meebrachten, heeft menige organisatie een flinke kater bezorgd. Deze kennis is uitgangspunt bij de nieuwe initiatieven rond digitale certificaten. Toverwoord in de huidige pki-markt is uitbesteding. De kosten kunnen omlaag als het uitgeven en beheren van sleutels en aanverwante zaken als dienst wordt afgenomen, is nu het adagium. Alle vijf aanbieders van pki-diensten gaan in hun productenaanbod uit van uitbesteding.
Het aanmaken van het stamcertificaat voor de rijksoverheid op 17 december in de Apeldoornse vestiging van Pinkroccade is een hele ceremonie geweest. In een grote kluis is in aanwezigheid van de betrokken ambtenaren en een notaris het sleutelmateriaal aangemaakt. Dit gebeurde met cryptografische modules op een in de kluis geplaatst geïsoleerd server-systeem. Daarna is het sleutelmateriaal in een met fysieke sleutels beveiligde brandkast geplaatst. "Dit was één van de vele stappen die nodig waren voor het activeren van dit certificaat", zegt Henk Hendriks, directeur van de vertrouwelijkheidsdienstentak bij Pinkroccade.
Na aanmaak is het openbare deel van het stamcertificaat gepubliceerd op een server-systeem dat fysiek gescheiden is van de servers in de kluis. Verder zijn er de van de stam afgeleide certificaten voor de drie domeinen te vinden, waarin de elektronische identificatie van de overheid is opgedeeld: overheid/overheid, overheid/bedrijfsleven en overheid/burger. Deze zullen als basis dienen voor de certificaten die dienstverleners, die in één van deze domeinen certificaten aan afnemers willen uitgeven, hun geldigheid verleent.
In de toekomst zal ook informatie over deze dienstverleners op het server-systeem terecht komen. Zover is het nu nog niet. Daarnaast is er straks een lijst te vinden met ingetrokken certificaten, zodat te controleren is of een op het stamcertificaat gebaseerde digitale identiteit nog bruikbaar is.

Extreme beveiliging

Ook de beveiliging van dit publicatie-server-systeem is extreem uitgevoerd. Het bevindt zich aan de rand van de computerzaal waar Pinkroccade de serversystemen voor derden bewaakt. Hier zijn vier aparte kamers aangebracht, waar het bedrijf voor zichzelf en andere opdrachtgevers de infrastructuur voor pki-omgevingen (public key infrastructure) in heeft ondergebracht. Verisign bewaart in één van de ruimtes het stamcertificaat voor Benelux-landen. Het bankennetwerk Identrus heeft er één, Pinkroccade zelf ook en sinds kort is er dus de kamer voor de rijksoverheid.
Om in de computerzaal te belanden moeten mensen meerdere beveiligingsroutines doorlopen. De toegang tot een pki-kamer is nog veel strenger ingericht. Alleen twee geautoriseerde beheerders krijgen na een scan van hun hand toegang tot een ruimte. Ze zijn met zijn tweeën om elkaar op de vingers te zien. Daarnaast registreert een camera hun handelingen. Fysieke toegang tot de servers is nodig, omdat er - afgezien van het directory-onderdeel - geen koppeling met een netwerk bestaat. Er ligt alleen een lijn van de servers naar de controlekamer die de computerzaal overziet, om uitval of andere storingen in het systeem te registreren.
Volgens Hendriks heeft Pinkroccade beperkte zeggenschap over het stamcertificaat. "Mensen geven wel eens aan bang te zijn dat een commercieel bedrijf met het stamcertificaat zich toegang zou kunnen verschaffen tot alle overheidsinformatie die met een onderliggend certificaat versleuteld is. Dat is een onjuiste voorstelling van zaken", vervolgt Hendriks. Alleen in aanwezigheid van meerdere belanghebbenden vanuit de overheid en met fysieke sleutels die in hun eigendom zijn, zou dat kunnen.

Kleinschalige projecten

Jan Moelker, beleidsambtenaar bij het ministerie van Binnenlandse Zaken was één van de aanwezigen bij de aanmaak van het stamcertificaat. Hij stuurt vanuit het ministerie van Binnenlandse Zaken de projectgroep PKI Overheid aan die samen met andere rijksoverheidsinstellingen de implementatie van pki-systemen, gebaseerd op het stamcertificaat, begeleidt. De Nederlandse overheid moet volgens Moelker starten met kleinschalige projecten. Als voorbeelden noemt hij het beveiligen van elektronische transacties tussen overheidsinstellingen en de digitalisering van de papierstroom tussen overheid en bedrijfsleven, waar zijn eigen ministerie hard aan werkt.

Diginotar
Ruim zeventig notariskantoren zijn aangesloten bij dit initiatief uit de notariswereld. Diginotar heeft een eigen pki-infrastructuur bij zijn vestiging in Beverwijk. Het platform is gebaseerd op technologie van Baltimore. Diginotar wil dit jaar het certificeringsschema van http://www.ttp.nl doorlopen en daarmee voldoen aan de Europese Etsi-norm 101456. Begin dit jaar heeft het zijn systeem aangepast op overheidscertificaten.
 
Enschedé-Sdu
De paspoortendrukkerij van dit uitgeefconcern is druk bezig om zijn elektronische vertrouwelijkheidsdiensten verder uit te bouwen. Het bedrijf heeft eigen pki-software ontwikkeld gebaseerd op open standaarden en is zelf verantwoordelijk voor het beheer van het platform, waarmee het zijn klanten bedient. Enschedé-Sdu wil dit jaar het certificeringsschema van Ttp.nl doorlopen en daarmee voldoen aan de Europese Etsi-norm 101456. Begin dit jaar heeft het zijn systeem aangepast aan overheidscertificaten.
 
KPN
Het telecombedrijf KPN heeft zijn vertrouwelijkheidsdiensten ondergebracht bij het bedrijfsonderdeel KPN Entercom Solutions. Uitgangspunt bij de pki-diensten van KPN zijn applicaties. Daarnaast kan KPN zorgen voor integratie van de pki-functionaliteit. Het heeft zijn pki-aanbod gestoeld op de infrastructuur en diensten van Verisign. KPN wil dit jaar het certificeringsschema van Ttp.nl doorlopen en daarmee voldoen aan de Europese Etsi-norm 101456.
 
Pinkroccade
De ict-dienstverlener richt zich in zijn divisie Trusted e-business services op het huisvesten en beheren van pki-omgevingen. Daarnaast geeft beveiligingsadvies op dit vlak. Pinkroccade gebruikt meerdere technologieën. De infrastructuur voor het stamcertificaat van de overheid is gebaseerd op Baltimore-software. Verder heeft het bedrijf met Verisign-technologie een eigen pki-omgeving ingevuld. Pinkroccade heeft het certificeringsschema van Ttp.nl eind vorig jaar doorlopen en is daarmee Etsi 101456 gekwalificeerd.
 
Ubizen
Deze van oorsprong Belgische ict-dienstverlener zet ook in op de Nederlandse markt voor pki-diensten. Ubizen gebruikt eigen technologie om zijn afnemers van certificaatdiensten te voorzien. Eind vorig jaar vergrootte het zijn belang in de certificatenfabriek van Globalsign tot ruim 90 procent. Ubizen wil dit jaar het certificeringsschema van Ttp.nl doorlopen en daarmee Etsi-norm 101456 behalen. In België heeft het dit kwaliteitsstempel al binnen.
Alleen diensten die met digitale identificatie op korte termijn aanzienlijke besparingen in het vooruitzicht stellen, komen in aanmerking voor digitale identificatie op basis van het overheidscertificaat. Reden is dat de werkgroep PKI Overheid gekozen heeft voor een smartcard als drager van het certificaat. De invoering hiervan is een kostbare aangelegenheid. "Smartcards kosten honderd tot tweehonderd euro per werkplek. Je zult heel kritisch deze kosten moeten afzetten tegen de besparingen die digitalisering van het werkproces oplevert om invoering van het systeem financieel te verantwoorden", stelt Moelker. Naast besparingen is het belang van de handeling een ander criterium om digitale identificatie te rechtvaardigen. Als het huidige werkproces geen voorschriften heeft voor identificatie, ligt gebruik van de elektronische equivalent niet voor de hand.
Erg veel financiële armslag heeft de rijksoverheid niet. De invoering van digitale overheidscertificaten concurreert met andere ict-prioriteiten. Medio vorig jaar is een voorstel voor een centrale ict-infrastructuur van de rijksoverheid opgesteld dat het gebruik van digitale certificaten bij de rijksoverheid als belangrijk actiepunt noemt. Maar de basisinfrastructuur kent ook andere onderdelen, die meer prioriteit genieten. Ketenintegratie van overheidsprocessen is een belangrijk voorbeeld daarvan.
De stap van de Belgische overheid om alle burgers komend jaar van een digitale identiteitskaart te voorzien noemt Moelker 'op korte termijn in Nederland niet verstandig.' België heeft bij Ubizen zestien miljoen digitale certificaten besteld. Volgens Moelker wegen de investeringen die voor het gebruik van dit certificaat nodig zijn, niet op tegen de schaarse contacten die de centrale overheid met burgers heeft. Pas als binnen de overheid en tussen overheid en bedrijfsleven genoeg ervaring is opgedaan, komt een digitale identiteitskaart voor burgers aan de beurt.

Hoge eisen

Het strakke budget in combinatie met de hoge eisen die de werkgroep PKI Overheid aan pki-projecten stelt zal het gebruik van overheidscertificaten dit jaar niet in een stroomversnelling brengen. Zo maakt de werkgroep bijvoorbeeld een uitdrukkelijke keuze voor -dure- smartcards. Certificaten in softwareformaat, die bijvoorbeeld gebruikt worden om serversystemen van een digitale identiteit te voorzien, zijn goedkoper in het gebruik. Ook al is de beveiliging van deze vorm van een ander niveau en beslaat het hooguit een beperkt deel van het automatiseringsproces, het zorgt wel voor de nodige ervaring met digitale certificaten binnen organisaties.
Toch houdt de rijksoverheid vast aan de eis voor het gebruik van smartcards. "Betrokken organisaties moeten zich realiseren dat het gebruik van certificaten in softwareformaat niet onder het stamcertificaat van de overheid vallen. Willen organisaties voldoen aan het overheidsbeleid en een digitale sleutelbos voorkomen, dan zal na de invoering van softwarematige certificaten een overstap op smartcards moeten volgen, om te voldoen aan het programma van eisen van PKI Overheid", aldus Moelker. Een kosten/baten-analyse voor het hele traject moet duidelijk maken of deze weg haalbaar is.
Peter Moll, product manager bij KPN Entercom Solutions, stelt dat de eis om een fysieke certificaatdrager te gebruiken handen vol geld kost. KPN heeft Vecozo, een netwerk waarmee zorgverzekeraars declaraties elektronisch verwerken, inmiddels van 25 duizend certificaten in softwareformaat voorzien. "Deze organisatie kan met dergelijke certificaten heel goed uit de voeten. Ze beveiligen er hun online transactieverkeer en voorzien in een sterke vorm van authenticatie. Natuurlijk is het risico afgewogen van de softwarematige aanpak, maar het is geen definitieve keuze. In een later stadium kan altijd nog voor een hardwarematige variant gekozen worden." Moll constateert dat de hoge eisen van de werkgroep vertragend zouden kunnen werken op de initiatieven in het publieke domein.
Ook Surfnet, de beheerder van een glasvezelnetwerk voor hogescholen en universiteiten in Nederland, kiest uitdrukkelijk voor een laagdrempelige insteek bij de verbreiding van digitale identificatie. Het heeft een pki-omgeving ingericht, waar hogescholen en universiteiten certificaten uit de muur kunnen trekken. "Als instellingen geen uitzonderlijk hoge eisen stellen aan versleuteling stellen, maar toch transacties over internet willen beveiligen, is dit een goede benadering", zegt Andres Steijaert, product manager bij de organisatie. Hij verwacht veel van de nieuwe dienst.

Aanpassing

Een andere keuze van de werkgroep PKI Overheid vormt ook een mogelijke rem op de verbreiding van digitale identificatie. De rijksoverheid kiest voor een certificaat dat bestaat uit drie sleutelparen; één voor de digitale handtekening, één voor authenticatie en één voor versleuteling. Twee sleutelparen zijn minimaal verplicht, als certificatendienstverleners voor de overheid aan de slag willen. In veel applicaties zit standaard al functionaliteit ingebakken om met digitale certificaten te werken. Alleen zijn dat certificaten die bestaan uit één sleutelpaar. Applicaties moeten op de schop om het overheidscertificaat aan te kunnen. Standaardbrowsers hebben deze functionaliteit bijvoorbeeld niet aan boord.
Volgens Zivko Lazarov, productmanager bij Diginotar, zijn de systemen inmiddels al wel zover ontwikkeld dat aanpassingen in de certificaten geen groot technisch probleem hoeven te zijn. Voorwaarde is wel dat er bij de inrichting en het gebruik van de pki-dienst voldoende rekening is gehouden met dergelijke aanpassingen. Lazarov stelt dat verhoging van het aantal sleutelparen niet meer dan een software-aanpassing op de centrale server hoeft te betreffen. Wel geeft hij te kennen dat het een hele klus kan zijn om organisaties te bewegen deze verandering door te voeren.

 
Sytse van der Schaaf, redacteur

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2003-01-31T00:00:00.000Z Sytse van der Schaaf
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.