PKIoverheid

PKIoverheid is de public key infrastructure (PKI) van de Nederlandse overheid. Net als elke andere PKI is het een afsprakenstelsel om digitale certificaten uit te geven en te beheren. PKIoverheid wordt beheerd door Logius.

PKIoverheid certificaathiërarchie.

Authenticiteit & encryptie

Om vast te stellen of een systeem of een persoon inderdaad is die hij zegt dat hij is, kunnen certificaten gebruikt worden. Als men bijvoorbeeld wil internetbankieren via abnamro.nl, wil men graag weten dat dit niet een gekopieerde phishing-site is, maar echt de ABN AMRO bank is. Dit is mogelijk door in het SSL-certificaat te kijken. Hierin staat bijvoorbeeld dat het certificaat is uitgegeven door VeriSign. Feitelijk zegt men dus: Ik weet zeker dat het de echte ABN AMRO-site is, omdat de vertrouwde derde partij VeriSign dat zegt. Hierbij wordt gebruikgemaakt van een servercertificaat, zodat de klant (client) de bank (server) kan identificeren.

Andersom wil een bank (server) ook de klant (client) identificeren. Hiervoor gebruiken banken de betaalkaart i.c.m. een lezer. Een PKIoverheid-certificaat kan ook op bijvoorbeeld een smartcard zoals de Rijkspas worden gezet, waardoor een rechtsgeldige digitale handtekening kan worden gezet. Hierbij wordt dus gebruikgemaakt van een client-certificaat.

Daarnaast kunnen diezelfde certificaten gebruikt worden ten behoeve van encryptie van de (te transporteren) data.

Wettelijk

Voortvloeiend uit o.a. de Wet Elektronische handtekening is o.a. de Telecommunicatiewet in artikel 18.15 aangepast, waarin het gebruik van certificaten wettelijk is geregeld. Citaat: 'Certificaten die als gekwalificeerd certificaat aan het publiek worden aangeboden of afgegeven, voldoen aan de eisen gesteld bij of krachtens algemene maatregel van bestuur.'

Verschil andere PKI's

Qua techniek is PKIoverheid identiek aan een andere PKI. Een groot verschil is de technische hoogste autoriteit (root CA). In een commerciële PKI-variant is dat bijvoorbeeld VeriSign. Bij PKIoverheid is dat de Staat der Nederlanden. De Nederlandse overheid is verantwoordelijk voor het stamcertificaat op de root CA, waardoor PKIoverheid niet afhankelijk is van (buitenlandse) commerciële partijen. PKIoverheid is een stelsel van voorwaarden voor het uitgeven van certificaten. Commerciële CA's (Certificate Services Providers genoemd - CSP-) kunnen aansluiten bij PKIoverheid. De CA van deze CSP wordt dan opgenomen in de hiërarchie van PKIoverheid. PKIoverheid geeft zelf geen eindgebruikerscertificaten uit, alleen certificaten aan de CSP's. PKIoverheid stelt voorwaarden voor uitgifte van certificaten. Deze zijn overeenkomstig aan de voorwaarden voor gekwalificeerde certificaten. Eén van die voorwaarden is dat de aanvrager fysiek zijn gezicht moet laten zien (identificeren) bij bijvoorbeeld een notaris. Deze voorwaarden gelden niet alleen voor de persoonsgebonden certificaten, maar ook voor de certificaten op organisatieniveau. PKIoverheid streeft naar één hoog betrouwbaarheidsniveau voor alle certificaattypen.

Gebruik

Bij een aantal (overheids) diensten, zoals DigiD, Digikoppeling en e-Factureren[1], kunnen PKIoverheid-certificaten worden gebruikt. Afhankelijk van de specifieke toepassing, zijn deze zelfs verplicht[2]. Er is nog geen beleid over wanneer een PKIoverheid-certificaat moet worden gebruikt dan wel een commerciële-PKI-certificaat[3].

Uitgifte

De uitgifte van certificaten doet Logius niet zelf, maar wordt gedaan door een gecertificeerde ‘Certificate Service Provider’ (CSP) of ‘Certificaat Dienstverlener’[4]. Wildcard certificaten worden niet uitgegeven onder PKIoverheid, maar er mogen wel Subject Alternative Name (SAN) velden gebruikt worden in PKIoverheid certificaten.[5] Hierdoor kunnen meerdere subdomeinen in één certificaat worden ondergebracht.[6]

Onder PKIoverheid worden ook uitgebreid gevalideerde certificaten (Extended Validation Certificates) uitgegeven. Bij een geldig EV-certificaat verschijnt een groene balk in de adresbalk. eHerkenning maakt bijvoorbeeld gebruik van zo'n type PKIoverheid certificaat. Tevens worden er PKIoverheid Qualified Website Authentication Certificates (QWAC certificaat) uitgegeven, die aan de eIDAS verordening voldoen.

Vertrouwen

Als gevolg van een reeks digitale inbraken in de systemen van een van de Certificaatautoriteiten, DigiNotar[7] kon de betrouwbaarheid van de certificaten die uitgegeven waren door dit bedrijf (onder de PKIoverheid-root), niet meer gegarandeerd worden en werden alle certificaten van DigiNotar ingetrokken. Dit had grote gevolgen voor de beschikbaarheid van diverse elektronische communicatiesystemen van de overheid[8], zoals DigiD, de RDW, het Kadaster en de Belastingdienst.

Externe link

PKIoverheid.nl

Bronnen, noten en/of referenties

e-Factureren op digicommissaris.nl^{[dode link]}
PKIoverheid op ForumStandaardisatie.nl
Pas toe en leg uit forum notitie
Lijst commerciële PKIoverheid CSP's
Wildcard certificaten en Subject Alternative Name (SAN) informatie op en.wikipedia.org
'In dit veld MOGEN meerdere FQDN’s worden gebruikt' op blz. 66^{[dode link]}
Interim Report van Fox-IT over inbraak systemen DigiNotar, downloaded 11 september 2011
GovCert Factsheet DigiNotar hack, update 5 september 2011. Bezocht 11 september 2011

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[1] -Factureren op digicommissaris.nl^{[dode link]}

[2] PKIoverheid op ForumStandaardisatie.nl

[3] Pas toe en leg uit forum notitie

[4] Lijst commerciële PKIoverheid CSP's

[5] Wildcard certificaten en Subject Alternative Name (SAN) informatie op en.wikipedia.org

[6] 'In dit veld MOGEN meerdere FQDN’s worden gebruikt' op blz. 66^{[dode link]}

[7] Interim Report van Fox-IT over inbraak systemen DigiNotar, downloaded 11 september 2011

[8] GovCert Factsheet DigiNotar hack, update 5 september 2011. Bezocht 11 september 2011