Share on Facebook
De Amerikaanse overheid bracht op 25 juni 2010 - in concept - een nationale strategie voor betrouwbare elektronische identiteiten uit. Een belangrijke mijlpaal op het gebied van identity management. De visie is dat personen en organisaties kunnen beschikken over veilige, efficiënte, gemakkelijk te gebruiken en interoperabele oplossingen voor de toegang tot online omgevingen die vertrouwen, privacy, keuzevrijheid en innovatie biedt.
De strategie definieert een “Identity Ecosystem” voor het ondersteunen van online omgevingen. Het vertrouwen in het identity ecosystem kan worden ontleend aan gezaghebbende bronnen voor het vaststellen en controleren van identiteiten.
Hoewel Amerika op het gebied van identiteitsfraude en overheidsgebaseerde identiteitsbronnen sterk verschilt van Europa en Nederland (Amerika kent geen GBA), past de strategie goed op onze Nederlandse infrastructuur voor DigiD, eHerkenning voor bedrijven, OpenID-plus en CidSafe.
Het uitbrengen van de nota is een mijlpaal omdat de Amerikaanse overheid een aantal uitgangspunten voor identitymanagement vaststelt.
De strategie kent vier uitgangspunten:
· de infrastructuur voor identiteitenbeheer moet veilig en robuust zijn;
· oplossingen moeten interoperabel zijn op het gebied van techniek, inhoud en regelgeving;
· voorzieningen moeten de privacy bevorderen en vrijwillig toegepast kunnen worden;
· toepassingen zijn kosten-effectief en gebruikersvriendelijk.
Voor individuen, bedrijven en de overheid worden de volgende voordelen benoemd: veiligheid, efficiency, gebruiksgemak, vertrouwen, privacy en innovatie.
Hoewel een aantal zaken de aandacht trekken, staan er geen echt verassende zaken in de strategie; de verdienste van de nota is dat de Amerikaanse overheid het beleid voor identitymanagement uitdrukkelijk benoemt.
De strategie wordt ook van toepassing verklaard op non-person entities (NPE) waaronder organisaties, hardware (energie meters?), software en elektronische diensten.
Het begrip identity-medium wordt geïntroduceerd waaronder wordt verstaan de opslag (fysiek of virtueel) van authenticatiemiddelen, claims en attributen van een subject. Voorbeelden zijn een InfoCard en een veilige SIM-card in een telefoon. Het al oudere begrip Trustmark wordt aangedragen om via een logo of zegel vertrouwen bij gebruikers te promoten.
Het plan voorziet in verschillende Trustframeworks naast elkaar, die allen voldoen aan een overkoepelend Identity Ecosystem.
Momenteel wordt in Nederland gesproken over hoe de verschillende schema’s voor B2B, B2C en B2G zich onderling verhouden. Uitgangspunt kan gemeenschappelijkheid van uitgangspunten en interoperabiliteit zijn.
Een beperkt aantal bedrijven werken mee aan de drie Nederlandse identity management initiatieven: OpenID-plus, CidSafe en eHerkenning voor bedrijven. Voor die partijen zal het Amerikaanse rapport een bevestiging zijn van wat wij in Nederland doen en voor de overheid sluit het rapport goed aan bij de beleidsvorming rond identity management waar zij momenteel aan werkt.
Op het concept is openbaar commentaar gevraagd, in het najaar wordt de Strategie vastgesteld.
Jaap Kuipers
Share on FacebookVragen in Engeland naar leeftijdscontrole op internet gaven in 2009 ook aanleiding tot Kamervragen in Nederland. Op de vraag hoe voorkomen kan worden dat kinderen via een website messen en gewelddadige games kunnen kopen, werd in de Kamer geantwoord dat leveranciers voor de verkoop van leeftijdsgebonden goederen zich dienen te vergewissen van de leeftijd van de koper. Hierbij werd verwezen naar technische leeftijdscontrolemaatregelen en opgemerkt dat er nog geen betrouwbare leeftijdcontrole systemen zijn, ook in Engeland niet.
Voor diensten waarbij een pakketje wordt bezorgd kan worden gedacht aan leeftijdscontrole bij afgifte, voor puur elektronische diensten werkt dat niet.
Online leeftijdscontrole laat zich goed combineren met inlogtechnieken die de afgelopen jaren zijn ontwikkeld. Om leeftijdscontrole praktisch uitvoerbaar te maken, wordt het tijd om te overleggen hoe de GBA hiervoor direct of indirect kan worden gebruikt. Organisaties die een inlogdienst aan consumenten bieden ( een soort consumenten DigiD zonder BSN ) en de overheid zouden de beschikbare mogelijkheden kunnen testen.
Elektronisch bewijs meerderjarigheid
Via internet kun je een uittreksel uit de GBA opvragen, elektronisch € 10 betalen en per post thuis laten bezorgen. Het ligt voor de hand om de papieren versie te vervangen door een elektronische versie en daarvoor het bedrag en de levertijd tot een minimum te beperken. De consument moet via DigiD een elektronische versie van het uittreksel kunnen downloaden en die aan derden ter beschikking kunnen stellen. Te denken valt aan een uittreksel in de vorm van een pdf-bestand, voorzien van de digitale handtekening van de GBA organisatie. Met een kleine aanpassing is een uittreksel te maken waarop alleen naam en meerderjarigheid wordt vermeld, zonder de feitelijke geboortedatum. Makkelijker is het wanneer een consument op een bestaande dienst kan aansluiten die de leeftijdverificatie in samenspel tussen consument en webwinkel kan afhandelen. Leeftijdsverificatie als dienst of webservice biedt een praktischer oplossing dan het werken met digitaal gewaarmerkte uittreksels.
Het buitenland experimenteert
Equifax, een organisatie in de Verenigde Staten die kredietwaardigheid toetst, experimenteert met een meerderjarigheidsbewijs of Over 18 I-Card. In België kan de eID gebruikt voor leeftijdscontrole en bestaat een KidsCard voor kinderen en in Nederland werkt het OpenIDplus.nl project aan een mogelijkheid om consumenteninformatie, waaronder de leeftijd, aan webwinkels door te geven in combinatie met het inloggen op de website. De vraag naar leeftijdscontrole op internet speelt in het buitenland al langer. In Nederland heeft leeftijdscontrole op internet nog geen duidelijk platform gevonden, hier ligt mogelijk een taak voor ECP-EPN.
Een oplossing voor consumenten
Een ontluikende trend bij het beheer van consumenten- en identiteitsinformatie is ingezet om de gebruiker meer regie te geven over zijn eigen gegevens (user centric identity management, Vendor Relationship Management, OpenID). In een op de gebruiker georiënteerde benadering krijgt de gebruiker van de overheid een digitaal bewijs van meerderjarigheid, dat hij vervolgens zelf kan inzetten op het moment dat een website daarom vraagt. Om succesvol te zijn, moet het verificatieproces voor de consument vereenvoudigd worden door een inlogservice op webwinkels te bieden die na goedkeuring van de gebruiker vragen over de meerderjarigheid kan beantwoorden, aan de hand van gegevens die de overheid aan de consumenten ter beschikking heeft gesteld. Een inlogservice voor webwinkels zal met behoud van privacy over de werkelijke geboortedatum de meerderjarigheidsvraag met alleen ‘ja/nee’ beantwoorden. De verantwoordelijkheid voor het juist beantwoorden van de vraag kan ook worden uitbesteed aan de inlogservice. Een consument kan via een inlogservice, een soort “consumenten-DigiD-zonder-BSN”, met één muisklik toestemming geven om ook andere geverifieerde informatie, zoals aflever- en factuuradres, vrij te geven aan een webdienst. Het voordeel voor de consument is dat bestelformulieren niet steeds opnieuw hoeven te worden ingevoerd en het voordeel voor de webwinkel is meer zekerheid over de kwaliteit van de gegevens.
Vervolgstappen
De oplossingsrichtingen voor leeftijdscontrole op internet zijn inmiddels beschikbaar, daarvoor zijn ook open standaarden beschikbaar. DigiNotar heeft een stap gezet om leeftijdsverificatie te bespreken met vertegenwoordigers van overheid en bedrijfsleven omdat zij voorziet dat leeftijdscontrole onderdeel zal worden van een onafhankelijke consumenten inlogservice.
Jaap Kuipers
Share on FacebookIn maart 2010 heeft een aantal grote bedrijven, waaronder Google, PayPal, Equifax,VeriSign, Verizon en CA Open Identity Exchange (OIX) www.openidentityexchange.org opgericht met steun van de OpenID Foundation (OIDF) en de Information Card Foundation (ICF). De Amerikaanse overheid heeft OIX erkend als organisatie voor het opstellen van "trust frameworks" , waarmee organisaties die een online- of elektronische identiteit verstrekken, kunnen worden gecertificeerd.
Een Trust framework is een model waardoor online dienstverleners de identiteitsgegevens vertrouwen die uitgegeven zijn door een derde partij; de identiteitenverstrekker. In Nederland kennen we dit in de vorm van DigiD, eHerkenning voor bedrijven en het federatief inloggen met SURFfederatie, www.surffederatie.nl
Nieuw is het idee van een trust framework niet, wel dat OpenID en InfoCards een plek hebben gezocht binnen Trust frameworks.
OpenID en Infocards hebben OIX nodig omdat zij zelf onvoldoende organisatorische en juridische voorzieningen bieden voor de door online dienstverleners gevraagde betrouwbaarheidsniveaus in identiteitsgegevens.
Trust frameworks bieden een oplossing voor een schaalvraagstuk: hoe verbinden we een willekeurig groot aantal dienstverleners en identiteitenverstrekkers aan elkaar? De oplossing is gevonden in het plaatsen van een gezamenlijk koppelpunt. Tussen online dienstverleners en verstrekkers van elektronische identiteiten wordt een schakel geplaatst die zorgt voor het afsluiten van contracten, opstellen van regels, kwaliteitscontrole en dergelijke.
Trust frameworks komen al lang voor in de wereld van banken en creditcard maatschappijen.
OIX is voortgekomen uit een publiek private samenwerking. Een vergelijkbare samenwerking kennen we in Nederland bij eHerkenning voor bedrijven waar de overheid identiteitsgegevens (digitale sleutels) accepteert die door gecertificeerde identiteitenverstrekkers worden beheerd.
OIX biedt ruimte voor het gebruik van verschillende Trust frameworks naast elkaar. OIX verwacht dat Trust framework providers met elkaar gaan concurreren.
Een eerste Trust framework is ingevuld voor de Amerikaanse overheid en voldoet aan de eisen die zijn gesteld in het U.S. Identity, Credential, and Access Management (ICAM) Trust Framework Provider Adoption Process (TFPAP) van de U.S. General Services Administration (GSA).
Inloggen bij Amerikaanse overheidswebsites kan nu op basis van OpenID, bijvoorbeeld via Google.
Een voorbeeld: het National Institute of Health accepteert de identiteitsinformatie afkomstig van de deelnemende partijen op basis van OpenID en InfoCard inloggegevens.
Het betrouwbaarheidsniveau waarmee de Amerikanen starten is nu laag. Het is de bedoeling dat OIX hogere betrouwbaarheidsniveaus gaat ondersteunen.
Deze ontwikkeling is vergelijkbaar met de aanpak waarvoor DigiD vijf jaar geleden heeft gekozen, door te starten met het "basis niveau" en door te groeien naar SMS authenticatie.
DigiNotar heeft bestuursleden van OIX over de ontwikkelingen van de Trust frameworks en ontwikkelingen daarvan in Nederland toegelicht.
Uit de gesprekken blijkt belangstelling voor de Nederlandse ontwikkelingen. OIX zou graag willen dat organisaties als DigiNotar met Nederlandse frameworks aansluiten bij OIX.
Nederland gaat eerst eHerkenning voor bedrijven en de consumenten-id uitwerken en zal letten op het op elkaar laten aansluiten van de trust frameworks of "schema's" zodat de bedrijven en consumenten hun digitale identiteit optimaal kunnen hergebruiken.
Jaap Kuipers
Share on FacebookVoor de tweede keer bezocht DigiNotar de Internet Identity Workshop (IIW) nabij San Francisco. Locatie was het Computer History Museum in Mountain View. De Internet Identity Workshop werd voor de tiende keer gehouden en trok meer dan 200 bezoekers met vertegenwoordigers van onder andere Microsoft, Google, Yahoo, PayPal, Facebook, LinkedIn, Vodafone, Nokia Siemens, NTT telecom, T-Labs, de Canadese overheid, PingIdentity, Entrust en Salesforce.
10 medewerkers van Hyves, SIDN, SURFnet, eHerkenning en OpenIdplus zijn met de vertegenwoordiger van DigiNotar opgetrokken voor een eerste kennismaking met de Internet Identity Workshop.
IIW komt voort uit Identity Commons : “… a place for collaboration for those working on the identity (for people) layer of the network.” De nadruk bij Identity Commons ligt op het gebruik van open standaarden en interoperabiliteit. De onderwerpen in de workshop waren onder meer OpenID, OAuth, Identity as a Service (IaaS), identity Federaties, verificatie van gebruikers gegevens, privacy en “data ownership”.
Ten opzicht van de vorige IIW bijeenkomst werd relatief veel aandacht besteed aan “data ownership” en “personal data stores”. Het idee bij personal data stores is dat de consument zeggenschap eist over de eigen data zoals adresgegevens en persoonlijke voorkeuren, profiel informatie. De consument kan besluiten om dienstverleners toegang te geven tot profielgegevens die over haar zijn opgeslagen bij social software sites zoals Facebook of LinkedIn. De toegang kan bijvoorbeeld voor een bepaalde periode of éénmalig worden verstrekt. De consument kan in toenemende mate met een aantal muisclicks toegang krijgen tot websites van derden en gegevens met die derden delen, vraag daarbij is hoe de consument zeggenschap behoudt over de gegevens die zij vrijgeeft. Komt er een moment dat de consument die persoonlijke informatie liever in een eigen vertrouwde omgeving gaat opslaan, los van partijen als Facebook en Google?
Veel belangstelling was er voor OpenID en de protocol ontwikkeling daarvan, dit onderwerp is sterk in beweging doordat de Amerikaanse overheid OpenID ondersteunt.
De Nederlandse delegatie heeft kennis gemaakt met de nieuwste ontwikkelingen en enkele Nederlandse ontwikkelingen gepresenteerd. SIDN presenteerde ENUM en DNSSEC, SURFnet gaf een demonstratie van SIM-ID waarbij met pki-certificaten op een telefoonchipkaart ingelogd kan worden op websites. Het eHerkenning model werd gepresenteerd als raamwerk voor business2government identificatie, hier was van Amerikaanse zijde veel belangstelling voor vanwege de ontwikkeling van Open Identities Exchange (OIX) Trust Frameworks in Amerika.
Naast presentaties gaven de directe contacten met initiatieven zoals OIX en de recente ontwikkelingen bij partijen als Microsoft, PayPal en de Canadese Overheid waardevolle inzichten in de internationale ontwikkelingen van identity management die ook voor Nederlandse consumenten en bedrijven van belang zijn.
De resultaten van de workshops komen op de IIW wiki en bieden een goede bron om op de hoogte te komen van recente ontwikkelingen. Wie uit de eerste hand meer wil weten over het bezoek aan de Internet Identity Workshop is van harte welkom bij j.kuipers@diginotar.nl
Share on FacebookDe beroepsgroep Registeraccountants heeft een begin gemaakt met het elektronisch ondertekenen. Na de publicatie van het besluit van Nivra en NOvAA dat zij het gekwalificeerde certificaat toelaten als variant om de accountantsverklaring in elektronisch vorm te ondertekenen, zijn onlangs de eerste oplage verklaringen bij het HOI –instituut voor media auditing - ondertekend. Zowel door enkele RA’s als ook AA’s. Een grote stap, die toch ook “aarzelend” mag worden genoemd: het is inmiddels meer dan 10 jaar na de publicatie van de Europese richtlijn die de elektronische handtekening gelijkstelt aan de handgeschreven handtekening.
Ook de jaarrekeningen kunnen natuurlijk elektronisch worden ondertekend. Ga eens kijken op een paar websites, bijvoorbeeld van accountantsorganisaties zelf en kijk hoe de jaarrekening netjes elektronisch in PDF wordt gepubliceerd. Maar geen handtekening. Fraude met het “skimmen” van een gescande handtekening (als een plaatje) in jaarrekeningen heeft de beroepsgroep erg voorzichtig gemaakt. Dat is jammer want gebruik van een echte en verifieerbare elektronische handtekening kent dat risico niet. Het had dus ook in één keer goed gekund.
Naast publicaties in PDF vorm is er ook het fenomeen van XBRL. De standaard elektronische uitwisselingsvorm van jaarrekeningen. De feitelijke cijfers staan hier los van de presentatie. Als de controle daarop wordt gebaseerd zal toch deze XBRL moeten worden getekend. En dat kan alleen elektronisch.
Daarmee is gelijk duidelijk geworden dat het invoeren van de elektronische handtekening door RA, AA en zelfs RE, geen kwestie is van alleen maar een gekwalificeerd certificaat aanschaffen. De interne procedures en kwaliteitsrichtlijnen van de kantoren zullen hierop moeten worden aangepast. Vakdirecties zullen de komende tijd met een aantal vragen geconfronteerd worden: Wie is gemandateerd om elektronisch te tekenen? Met welke naam en functie wordt ondertekend? Kan de datum van het rapport verschillen van de datum van ondertekening? Hoe kunnen klanten de handtekening verifiëren? Het elektronische stuk wordt nu het origineel, wat betekent dat voor archivering en verstrekken van kopieën? Hoe gaan we om met klanten die toch een op papier getekende verklaring willen hebben?
Daarnaast zullen ook de applicaties van dienstverleners, zoals het HOI die het spits heeft afgebeten, klaar moeten zijn voor de elektronisch ondertekenen.
In ieder geval staan nu alle lichten voor deze sector nu op groen. Het HOI heeft zelfs aangekondigd dat in 2011 de elektronische handtekening verplicht wordt. Met andere woorden, soms moet je gewoon beginnen en een aantal vragen onderweg oplossen met elkaar.
We zullen het komende jaar zien of de kleine stap in het elektronische tijdperk die nu gezet is met de eerste elektronische ondertekening van de oplage verklaring een “sprong vooruit” gaat worden in 2011. Wij zijn er klaar voor.
Marcel Jak RE CISA, 16 april 2010
Share on FacebookDe ontwikkelingen rondom de digitale poliswet zijn al een tijdlang gaande. Maar nu is het dan zover; de 1e Kamer is akkoord gegaan (lees ons nieuwsbericht). De wet dient nog wel in werking te treden. De verwachting is dat dat op 1 juli aanstaande het geval zal zijn. Banken en Verzekeraars kunnen nu daadwerkelijk het digitale proces rondom de digitale verzekeringspolis in gang zetten.
Niet alleen geeft de nieuwe wet mogelijkheden voor banken en verzekeraars voor het inzetten van de digitale polis, maar ook bij onderstaande rechtshandelingen:
- overdragen van auteursrechten;
- verkopen/leveren van rechten op televisieprogramma’s;
- verkopen/leveren van filmrechten;
- koopakten van woningen;
- verpandingen (van vorderingen);
- cessie van vorderingen.
Meer informatie over bovenstaande: http://www.diginotar.nl/producten/themas/digitalepolis/onderhandseakte.aspx
Share on FacebookIntermediairs gaan langzamerhand gebruik maken van het via XBRL aanleveren van informatie bij Overheid en Banken. Voor de kleinere intermediairs zullen de softwareleverancier de kar nog wel even moeten trekken. Veel onduidelijkheid is er nog over het verplicht registreren van de machtiging die van cliënt aan de intermediair moet zijn verstrekt. Zo blijkt uit de presentaties en reacties van deelnemers tijdens de "Praktijkdag XBRL voor Intermediairs" op 9 maart.
Tijdens de goed bezochte Praktijkdag XBRL voor Intermediairs" op 9 maart jl. lieten diverse leveranciers zien dat zij klaar zijn voor het aanleveren van XBRL. Het is nog niet altijd duidelijk wat nu het voordeel hiervan is voor de (kleine intermediair). Voor veel deelnemers is duidelijk geworden dat het een "technisch kunstje" is dat door de leverancier wel wordt opgelost. Een enkeling grijpt de invoering van XBRL aan om de communicatie tussen intermediair en ondernemer via een internetportaal te laten verlopen. De presentatie van de kleine intermediair Bijl Accountants & Belastingadviseurs liet zien dat een pragmatische aanpak werkt. "Implementeer software die XBRL ondersteunt en verder niet zeuren."
Er is nog veel onduidelijk over het verplichte gebruik van het Autorisatieregister. Het overheidspostkantoor Digipoort/OTP controleert namelijk voor elk bericht of de intermediair de verkregen machtiging van de ondernemer wel geregistreerd heeft in een register. Grote intermediairs voeren veelal een eigen Autorisatieregister. Overigens werd door de deelnemers wel vraagtekens gezet bij de toegevoegde waarde van het controleren van de machtiging door de intermediair zelf.
De kleine intermediair, die niet de mogelijkheid heeft om zelf een autorisatieregister op te zetten, kan zijn machtigingen laten registeren bij een externe autorisatieserviceprovider - Authsp. Het SBR die toezicht houdt op het Digipoort / OTP stelsel, adviseert in die situaties het overleggen van de originele verstrekte machtiging. Dit leidt tot een onevenwichtige situatie tussen de grote en kleine kantoren.
De oplossing kan zijn om te vertrouwen op de beroepsregels en kwaliteitssystemen van de intermediairs. Deze regels zijn veelal voorgeschreven door de brancheorganisatie waarbij intermediairs zijn aangesloten, zoals NOvAA, SRA, NOAB, CB en anderen. Het registreren van de betreffende machtiging kan dan automatisch geschieden als onderdeel van de werkstroom binnen het kantoor. Als deze richting wordt gevolgd, is de onevenwichtigheid tussen de grote en kleine kantoren opgelost.
Overigens is de verwachting dat het huidige systeem Digipoort onderdeel gaat uitmaken van het nu in ontwikkeling zijnde stelsel van eHerkenning. Dit is de opvolging die de marktsektor geeft aan het DigiD voor bedrijven van de Overheid. Als dat zo is, gelden ook de formele eisen van dit stelsel voor de registratie van de machtigingen. De doelgroep zal dus snel haar stem in eHerkenning moeten laten horen om de toepasbaarheid voor de kleinere intermediair te verzekeren.
Marcel Jak
Share on FacebookSTORK is een boeiend project met een gezochte afkorting Secure IdeniTy AcrOss BoRders LinKed. We kijken naar het STORK project omdat daar veel kennis over digitale identiteiten (eID) beschikbaar is en het project direct invloed heeft op wat we in Nederland voor eHerkenning voor bedrijven doen. eHerkenning regelt de digitale identiteit voor bedrijven en wordt de opvolger van DigiD voor bedrijven.
STORK is een Europees project gericht op het gebruiken van de Nederlandse elektronische identiteit in het buitenland en omgekeerd van buitenlandse identiteiten in Nederland. STORK moet het bijvoorbeeld mogelijk maken voor een Italiaanse ondernemer om online een bedrijf in te schrijven in Nederland met gebruik van de locale Italiaanse eID en logingegevens. Het is niet eenvoudig om alle Europese systemen op elkaar aan te sluiten, daar werken de specialisten in STORK verband aan en uit dat werk komen veel bruikbare documenten voort.
Eén van de zaken die wordt uitgezocht is hoe de kwaliteitsniveaus van de verschillende authenticatiemiddelen in de diverse landen met elkaar kunnen worden vergeleken. STORK maakt voor het bepalen van kwaliteitsniveaus gebruik van een Amerikaanse standaard NIST 800-63, NIST definieert vier niveaus. De eisen uit de NIST standaard zijn overgenomen in een STORK scheme en worden voor eHerkenning vertaald naar de Nederlandse situatie. De kwaliteit van een elektronische identiteit hangt onder meer af van de kwaliteit van het aanvraagproces, de controles bij de uitgifte van een authenticatiemiddel en de robuustheid van het authenticatiemiddel zelf. Daarnaast speelt de kwaliteit van de organisatie die de authenticatiemiddelen verstrekt een wezenlijke rol. Het maakt in kosten en kwaliteit nogal wat uit of een eID via een website wordt aangevraagd en vervolgens een wachtwoord per mail wordt verzonden of dat een persoon aan een balie een paspoort toont en na controle registratie plaatsvindt en dat pas daarna een middel per aangetekende post wordt toegezonden.
DigiNotar neemt deel aan het eHerkenning project en brengt ervaring in over wat er in de Nederlandse situatie komt kijken bij het uitgeven van een elektronische identiteit. Op 16 maart ontmoeten we de vertegenwoordigers van STORK in Brussel en we zijn benieuwd hoe de ontwikkelingen in andere landen verlopen, met name bij de Nordic’s omdat daar het nodige wordt gedaan met de mobiele telefoon als authenticatiemiddel.
Jaap Kuipers
Share on Facebook
Berichten zoals elektronische aangifte naar de Belastingdienst via de nieuwe Overheidsdienst Digipoort zijn niet voorzien van een elektronische handtekening.
In een vorige column over SBR / OTP heb ik het ontbreken van de implementatie van encryptie genoemd. Nu wil ik even verder kijken naar het fenomeen van de elektronische handtekening in deze infrastructuur.
In de huidige implementatie wordt de SOAP header getekend door het bedrijf dat het bericht instuurt naar de OTP Digipoort. Deze handtekening wordt gezet op basis van een X509 certificaat dat op naam staat van de betreffende organisatie. Let op, het is de handtekening van de “verstuurder”, dit hoeft niet noodzakelijk dezelfde te zijn als de organisatie wiens gegevens (jaarrekening, aangifte) het betreft. Immers, in 99% van de gevallen worden deze berichten door (fiscaal) intermediairs ingestuurd. Via het “autorisatieregister”, waarover meer in een volgende column, toetst Digipoort of de “verstuurder” hiertoe gemachtigd is door de ondernemer .
Misschien moet bij het woord “handtekening” hier een vraag worden gesteld. Immers, de SOAP header bevat voornamelijk routerings informatie (afzender, geadresseerde); de jaarrekening of aangifte zelf (“instance document”) is afzonderlijk niet voorzien van een elektronische handtekening. Daarbij is het gebruikte organisatiecertificaat niet direct te herleiden naar een natuurlijk persoon (alleen personen zetten toch een handtekening niet waar?). Het SBR/OTP geeft niet expliciet aan wat deze elektronische handtekening over het bericht nu eigenlijk betekent. Waarvoor tekent men eigenlijk als verstuurder? Tevens wordt de handtekening gezet op het bericht tot aan het postkantoor en niet tot en met de uiteindelijke ontvangenr. De conclusie die ik hieruit trek is dat er slechts in technische zin sprake is van een XML/XBRL elektronische handtekening over het bericht naar het postkantoor. Het is gewoon een vorm van authenticatie, vergelijk het als de naam of logo op het briefpapier van de afzender of de stempel van een afzender. Het identificeert, authenticeert, en controleert de integriteit van het bericht, maar vertelt de uiteindelijke ontvanger niet wat de verstuurder nu eigenlijk verklaart met deze “ondertekening”.
Het lijkt nu tijd dat de daadwerkelijke instance documenten (aangiften, jaarrekeningen, andere berichten), worden voorzien van een persoonlijke handtekening van degene die namens de betreffende onderneming gemachtigd is te tekenen voor de inhoud van het betreffende document. De door het Nivra in gang gezette ontwikkeling van het persoonlijke (beroeps) certificaat voor RA creëert hiervoor in ieder geval een belangrijke randvoorwaarde.
(Op persoonlijke titel; Marcel J. Jak)
Share on FacebookHét bericht op het internet over authenticatie is vandaag wel dat GovCert nieuwe ontwikkeling van SMS authenticatiediensten afraadt.
"Aanbieders van sms-authenticatiediensten, bijvoorbeeld voor online bankieren, moeten op korte termijn aanvullende maatregelen nemen om te voorkomen dat kwaadwillenden gerichte aanvallen kunnen uitvoeren op gebruikers van die diensten. Dat zegt het computerincident-responsteam van de Nederlandse overheid Govcert. Volgens de instantie is het uitvoeren van gerichte aanvallen gemakkelijker geworden nu onderzoekers Karsten Nohl en Sacha Kriβler in december een methode presenteerden voor het afluisteren van gsm-verkeer."
Zeker is dat, met enige inspanning, het GSM en ook het SMS verkeer gevoeliger is geworden voor aanvallen. Is daarmee de huidige toepassing van SMS authenticatie onveilig geworden? Hoe werkt SMS authenticatie in het algemeen? Een gebruiker wil toegang tot een website en kiest zijn authenticatie methode.
Na het invullen van gebruikersnaam en wachtwoord ontvangt de gebruiker op de mobiele telefoon een SMS code welke ingevoerd moet worden. Na deze laatste stap krijgt de gebruiker pas toegang. Om misbruik te maken moet de hacker dus ook op het moment van inloggen ingrijpen. De code die via de SMS wordt verstuurd is slechts een bepaalde tijd geldig. Er is dus nog wel meer voor nodig om de identiteitsfraude te plegen dan alleen de mogelijkheid om de SMS code te achterhalen.
Op den duur is de ontwikkeling dat de SMS code niet over de lijn verstuurd wordt, maar dat de elektronische authenticatie in het veilige gedeelte van de SIM chip op de mobiele telefoon zelf plaatsvindt. Voor toepassingen die nu al een hoger authenticatieniveau vereisen, is het alternatief beschikbaar. Maar, vooralsnog de aanbeveling van de auteurs is het uitvoeren van een risico analyse. Grote kans dat uw huidige SMS authenticatie nog wel een tijdje mee kan.