PKIoverheid

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
PKIoverheid certificaathiërarchie.

PKIoverheid is de Public Key Infrastructure (PKI) van de Nederlandse overheid. Net als elke andere PKI is het een systeem waarmee uitgiften en beheer van digitale certificaten kan worden gerealiseerd. PKIoverheid wordt beheerd door Logius.

Authenticiteit & encryptie[bewerken]

Om vast te stellen of een systeem of een persoon inderdaad is die hij zegt dat hij is, kunnen certificaten gebruikt worden. Als men bijvoorbeeld wil internetbankieren via abnamro.nl, wil men graag weten dat dit niet een gekopieerde phishing-site is, maar echt de ABN AMRO bank is. Dit is mogelijk door in het SSL-certificaat te kijken. Hierin staat bijvoorbeeld dat het certificaat is uitgegeven door VeriSign. Feitelijk zegt men dus: Ik weet zeker dat het de echte ABN AMRO-site is, omdat de vertrouwde derde partij VeriSign dat zegt. Hierbij wordt gebruikgemaakt van een servercertificaat, zodat de klant (client) de bank (server) kan identificeren.

Andersom wil een bank (server) ook de klant (client) identificeren. Hiervoor gebruiken banken de betaalkaart i.c.m. een lezer. Een PKIoverheid-certificaat kan ook op bijvoorbeeld een smartcard zoals de Rijkspas worden gezet, waardoor een rechtsgeldige digitale handtekening kan worden gezet. Hierbij wordt dus gebruikgemaakt van een client-certificaat.

Daarnaast kunnen diezelfde certificaten gebruikt worden ten behoeve van encryptie van de (te transporteren) data.

Verschil andere PKI's[bewerken]

Qua techniek is PKIoverheid identiek aan een andere PKI. Een groot verschil is de technische hoogste autoriteit (root CA). In een commerciële PKI-variant is dat bijvoorbeeld VeriSign. Bij PKIoverheid is dat de Staat der Nederlanden. De Nederlandse overheid is verantwoordelijk voor het stamcertificaat op de root CA, waardoor PKIoverheid niet afhankelijk is van (buitenlandse) commerciële partijen. PKIoverheid is een stelsel van voorwaarden voor het uitgeven van certificaten. Commerciële CA's (Certificate Services Providers genoemd - CSP-) kunnen aansluiten bij PKIoverheid. De CA van deze CSP wordt dan opgenomen in de hiërarchie van PKIoverheid. PKIoverheid geeft zelf geen eindgebruikerscertificaten uit, alleen certificaten aan de CSP's. PKIoverheid stelt voorwaarden voor uitgifte van certificaten. Deze zijn overeenkomstig aan de voorwaarden voor gekwalificeerde certificaten. Eén van die voorwaarden is dat de aanvrager fysiek zijn gezicht moet laten zien (identificeren) bij bijvoorbeeld een notaris. Deze voorwaarden gelden niet alleen voor de persoonsgebonden certificaten, maar ook voor de certificaten op organisatieniveau. PKIoverheid streeft naar één hoog betrouwbaarheidsniveau voor alle certificaattypen.

Gebruik[bewerken]

Bij een aantal (overheids) diensten, zoals DigiD, Digikoppeling en E-factureren[1], kunnen PKIoverheid-certificaten worden gebruikt. Afhankelijk van de specifieke toepassing, zijn deze zelfs verplicht[2]. Er is nog geen beleid over wanneer een PKIoverheid-certificaat moet worden gebruikt dan wel een commerciële-PKI-certificaat[3].

Uitgifte[bewerken]

De uitgifte van certificaten doet Logius niet zelf, maar wordt gedaan door een gecertificeerde ‘Certificate Service Provider’ (CSP) of ‘Certificaat Dienstverlener’[4]. Wildcard certificaten worden niet uitgegeven onder PKIoverheid, maar er mogen wel Subject Alternative Name (SAN) velden gebruikt worden in PKIoverheid certificaten. [5]

Hierdoor kunnen meerdere subdomeinen in één certificaat worden ondergebracht. [6]

Commerciële Certification Service Providers NL:

  1. ESG de Electronische Signatuur B.V.
  2. KPN Corporate Market
  3. QuoVadis Trustlink B.V.
  4. Digidentity

Broken trust[bewerken]

Als gevolg van een digitale inbraak in de systemen van één van de Certificaatautoriteiten, te weten DigiNotar [7] kon de betrouwbaarheid van de certificaten die uitgegeven waren door dit bedrijf (onder de PKIoverheid-root), niet meer gegarandeerd worden en werden alle certificaten van DigiNotar ingetrokken. Dit had vrij grote gevolgen voor de beschikbaarheid van diverse elektronische communicatiesystemen van de overheid[8], zoals DigiD, de RDW, het Kadaster en de Belastingdienst.

Externe link[bewerken]

Bronnen, noten en/of referenties