4. Fedict
■
Federale Overheidsdienst (Ministerie) ICT
■
Dienstenintegrator
■
Diensten / consultancy
■
■
Web CMS (Drupal), open standaarden
E-gov bouwstenen
■
■
■
Open source eID middleware & tools
Federal Service Bus, Federal Authentication Service
FedMAN netwerk
5. Elektronische ID kaart in België
http://commons.wikimedia.org/wiki/File:Belgium_ID_2010_(dutch).jpg
6. Elektronische ID kaart in België (2)
■
Uitgegeven door de overheid sinds 2003
■
■
Vanaf 12 jaar
Altijd op zak vanaf 15 jaar
■
Standaard crypto smart card (contact)
■
Elektronisch deel met twee sleutelparen
■
■
■
■
Beveiligd met PIN-code
Inloggen op websites
Elektronisch tekenen (indien meerderjarig)
http://eid.belgium.be/nl/
11. Een elektronische handtekening
From: bart.hanssens@fedict.be
Date: Mon, 25 Nov 2013 12:01
Subject: bestelling
–-----------------------------------Beste,
Bij deze bevestig ik de bestelling van 15 broodjes,
gelieve deze morgenvroeg te leveren.
Met vriendelijke groeten,
Bart Hanssens
12. Geavanceerde elektr.handtekening
■
Uniek verbonden aan ondertekenaar
■
Ondertekenaar moet identificeerbaar zijn
■
Onder exclusieve controle van ondertekenaar
■
Wijzigingen achteraf detecteerbaar
■
Gebaseerd op gekwalificeerd certificaat
■
Gegenereerd door een veilig middel
13. Hoe werkt het ?
■
Public Key Infrastructure (PKI)
■
Private en public key
■
Berekenen controlegetal (hash)
■
Hash wordt getekend met private key
■
Verificatie handtekening met public key
15. Certificaten (2)
■
Verbinden een identiteit met een sleutel
■
■
■
■
Certification Authority
■
■
■
■
Geldig van / tot
Getekend door uitgever
Serienummer, technische informatie ...
Uitgever van certificaten
In theorie kan iedereen CA zijn
In praktijk gespecialiseerde firma's / grote bedrijven
Certificate Chain
16. Controle van certificaten
■
Is het certificaat te vertrouwen ?
■
■
Is het certificaat nog geldig ?
■
■
Uitgegeven / getekend door een partij die ik vertrouw ?
Meestal “maar” enkele jaren geldig
Werd het certificaat niet ingetrokken ?
■
■
■
Diefstal / verlies
Online controle via server (OCSP)
Of via lijsten van ingetrokken certificaten (CRL)
18. Timestamps (2)
■
Bewijst dat document al bestond op tijdstip X
■
■
Zo snel mogelijk toevoegen
Betrouwbare timestamp server
■
Tekenen controlegetal document (hash) + tijdstip
20. Technologische evolutie (2)
■
Algoritmes kunnen gebroken worden
■
■
Lengte sleutels kan niet meer voldoende zijn
■
■
“Aanvallen” op hash algoritmes
Steeds snellere computers
=> regelmatig “timestamps” toevoegen
■
■
Timestamps zijn ook weer getekend
Kan met nieuwe(re) algoritmes / langere sleutels
22. ETSI
■
European Telecommunications Standards
Institute
■
Familie van standaarden
■
■
■
■
CAdES, XAdES, PAdES
Verder uitgewerkt d.m.v. “Profiles”
http://pda.etsi.org/pda/queryform.asp
Organiseert “plugtests”
■
■
Testen interoperabiliteit
http://xades-portal.etsi.org
23. Verschillende niveaus (profielen)
■
Basisprofielen
■
■
+ Tijdstip ondertekening (of z.s.m. erna)
■
■
Betrouwbare timestamp server nodig
+ Controle geldigheid certificaat
■
■
Net voldoende om aan EU richtlijn te voldoen
Via lijsten of online dienst
+ Beveiliging tegen breken algoritmes
■
Opnieuw “timestampen” met nieuwste controles
24. Familie van standaarden
XML
B Lange termijn
A
S
E
L
I
N
XML
E
Basis
PDF
B Lange termijn
A
S
E
L
I
N
PDF
E
Basis
“Allerlei”
B Lange termijn
A
S
E
L
I
N
“Allerlei”
E
Basis
25. Familie van standaarden: XAdES
XAdES-A
B
A
S
E
L
I
N
E
XAdES-X-L
...
XAdES-T
XAdES-EPES
XAdES-BES
XML-DSIG
26. XAdES
■
XAdES
■
■
■
■
Meerdere profielen, o.a.
■
■
■
(Vooral) XML documenten
Gebaseerd op W3C XML-DSIG
ETSI TS 101 903 en TS 103 171
Basisprofielen BES en EPES
Lange termijn: XAdES X-L en A
O.a. in kantoordocumenten
■
■
■
ODF: mogelijk, maar niet expliciet in 1.1 (“hint” in 1.2)
OOXML: mogelijk, maar niet expliciet (XML-DSIG)
Overige XML-formaten ook mogelijk
28. Familie van standaarden: CAdES
CAdES-A
B
A
S
E
L
I
N
E
CAdES-X-L
...
CAdES-T
CAdES-EPES
CAdES-BES
CMS / PKCS#7
29. Standaarden: CAdES
■
CAdES
■
■
■
■
Gebaseerd op Cryptographic Message Syntax
“Los” bestand of als “envelop” rond bericht / bestand
ETSI TS 101 733 en TS 103 173
Tools
■
Bijvoorbeeld Bouncy Castle
30. Familie van standaarden: PAdES
B
A
S
E
L
I
N
E
PAdES
Long Term
CAdES-X-L, A
…
CAdES-T
PAdES
Enhanced
(BES / EPES)
CAdES-BES, EPES
PAdES Basic
CMS
PDF Signatures
31. PAdES
■
PAdES
■
■
■
6 delen, o.a.
■
■
■
■
PDF documenten
ETSI TR 102 923, TS 102 778 en TS 103 172
Deel 3: Enhanced / BES – EPES (basisprofielen)
Deel 4: LTV (lange termijn)
Deel 6: tonen van handtekeningen in applicaties
PAdES en PDF/A
■
■
In theorie PDF/A-1 (echter niet gespecifieerd)
In praktijk PDF/A-2
34. Europese richtlijn 1999/93/EG
■
Richtlijn 1999/93/EG van het Europees
Parlement en de Raad van 13 december 1999
betreffende een gemeenschappelijk kader
voor elektronische handtekeningen
■
http://eur-lex.europa.eu/LexUriServ/LexUri
Serv.do?uri=CELEX:31999L0093:NL:HTML
35. Burgerlijk Wetboek Nederland
■
Boek3, Titel 1, Afdeling 1A, Artikelen 15a – f
■
■
Elektronisch vermogensrechtelijk rechtsverkeer
http://wetten.overheid.nl/BWBR0005291/Boek3/
Titel1/Afdeling1A/Artikel15a
36. Besluit van de Commissie
■
Besluit van de Commissie van 25 februari
2011 tot vaststelling van
minimumvoorschriften voor de
grensoverschrijdende verwerking van
documenten die door de bevoegde
autoriteiten elektronisch zijn ondertekend
krachtens Richtlijn 2006/123/EG van het
Europees Parlement en de Raad betreffende
diensten op de interne markt
■
http://eur-lex.europa.eu/LexUriServ/LexUriS
erv.do?uri=OJ:L:2011:053:0066:01:NL:HTML
37. Regeling elektronische
handtekening bevoegde instanties
■
Regeling van de Minister van Economische
Zaken, Landbouw en Innovatie van 23 mei
2011, nr. WJZ / 11039773, tot implementatie
van het besluit nr. 2011/130/EU van de
Commissie van 25 februari 2011 tot
vaststelling van minimumvoorschriften voor
de grensoverschrijdende verwerking van
documenten die door de bevoegde
autoriteiten elektronisch zijn ondertekend
krachtens Richtlijn 2006/123/EG van het
Europees Parlement en de Raad betreffende
diensten op de interne markt (PbEU L 53)
38. Dienstenregeling centraal loket en
interne markt informatiesysteem
■
Artikel 20a
■
Artikel 20b
■
■
Het centraal loket is zodanig ingericht dat het ten
behoeve van de bevoegde instanties documenten kan
verwerken die elektronisch ondertekend zijn met een
geavanceerde elektronische XML-, CMS- of PDFhandtekening in het BES- of EPES-formaat en die
voldoet aan de technische specificaties uit de bijlage
van besluit nr. 2011/130/EU van de Commissie
http://wetten.overheid.nl/BWBR0026766/geld
igheidsdatum_12-11-2013#3a