Is PKIoverheid nog te vertrouwen?

Diginotar, een groot-leverancier van onder meer PKIoverheid-certificaten, ligt onder vuur. PKIoverheid-certificaten worden gebruikt bij onder andere DigiD en gekwalificeerde elektronische handtekeningen. In juli is er op hun systemen ingebroken door hackers. Die hackers hadden valse certificaten aangemaakt. Diginotar had de inbraak al gauw in de gaten en heeft alle valse certificaten ingetrokken. Op één na...

 

Om een lang verhaal kort te houden: Microsoft en Mozilla (bekend van o.m. Firefox) hebben besloten om Diginotar niet langer meer te vertrouwen. Kunnen wij als overheid Diginotar nog wel vertrouwen? Vooralsnog blijkt het antwoord hierop "ja" te zijn. PKIoverheid is niet gekraakt en de Nederlandse overheid beschouwt deze certificaten nog steeds als betrouwbaar.

 

Wil je meer weten over deze toestand, dan raad ik je aan om de factsheet van Govcert te lezen. Govcert is het Cyber Security en Incident Response Team van de overheid.

 

Zie ook het nieuwsbericht van Logius, onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

 

Weergaven: 656

Hierop reageren

Berichten in deze discussie

Permalink Antwoord van Yvonne Welings op 31 Augustus 2011 op 9.27
@Marco, ik heb de berichten wel voorbij zien komen, maar geldt dit ook voor e-herkenning ?
Permalink Antwoord van Marco Klerks op 31 Augustus 2011 op 10.48

@Yvonne Ja, bij mijn weten maakt eHerkenning ook gebruik van Diginotar-certificaten.

 

Momenteel wordt er door Fox-IT een forensisch onderzoek gehouden. Naar verwachting zal eind deze week hier het eerste rapport van opgeleverd worden. (bron)

Permalink Antwoord van Marco Klerks op 31 Augustus 2011 op 14.03

Nog een leestip: http://tweakers.net/nieuws/76484/overheid-vertrouwt-blunderende-ssl...

 

Het valt mij op dat het in alle artikelen tot nu toe gaat over de gevolgen voor de websites van de overheid. Kan iemand meer duidelijkheid bieden over de gevolgen voor de elktronische ondertekening van documenten?

Permalink Antwoord van Marco Klerks op 31 Augustus 2011 op 19.51
Op WebWereld staat een mooie analyse over de vertrouwensbreuk bij #Diginotar en hoe dit hersteld kan worden (indien nog mogelijk).
Permalink Antwoord van Marco Klerks op 2 September 2011 op 10.56

Gisteren heb ik 's avonds op het Bossche intranet het volgende bericht geplaatst. Ik zet het ook hier neer, zodat anderen de tekst kunnen hergebruiken. Ik heb geprobeerd de situatie zo helder mogelijk uit te leggen.

DigiNotar onder vuur

Momenteel ligt DigiNotar internationaal onder vuur. DigiNotar levert certificaten die gebruikt worden bij onder andere DigiD en de digital handtekening. De digitale handtekening wordt in onze organisatie gebruikt bij de Wabo. DigiNotar wordt niet meer door iedereen vertrouwd. Hieronder staat uitgelegd wat er is gebeurd en wat hiervan de gevolgen zijn.

 

 

Wat doet zo'n certificaat?

Zo'n certificaat kan aan een document of een website gehangen worden. Dat certificaat laat zien dat het document of de website echt is. Je kunt bijvoorbeeld zien dat het document écht van de gemeente is. Of dat de website écht van de overheid is.

DigiD gebruikt bijvoorbeeld ook zo'n certificaat. Stel je voor dat een burger op een website zit die lijkt op DigiD, maar dat niet is! Kwaadwillende mensen kunnen zo achter de DigiD-inloggevens van burgers komen.

Een certificaat maakt een document of een website dus 100% betrouwbaar.

 

Wat is er gebeurd?

Hackers hebben op DigiNotar's systemen ingebroken. Zij hebben daar valse certificaten aangemaakt. Helaas is het DigiNotar niet gelukt om alle valse certificaten op te sporen en in te trekken. Daarom hebben enkele grote software-bedrijven, waaronder Microsoft, besloten om DigiNotar-certificaten niet meer te vertrouwen.

DigiNotar geeft twee soorten certificaten uit: Public 2025 en PKIoverheid. Wij gebruiken PKIoverheid. Vooralsnog lijken er geen PKIoverheid-certificaten te zijn vervalst. Het Ministerie van BZK heeft daarom aangegeven dat de door DigiNotar uitgegeven PKIoverheid-certificaten nog altijd betrouwbaar zijn. Zij is in gesprek met de grote software-leveranciers om hen hiervan te overtuigen.

Momenteel vindt er ook een forensisch onderzoek plaats. Op zeer korte termijn zullen de eerste resultaten hiervan bekend gemaakt worden.

 

Wat zijn voor ons de gevolgen?

Opent een buger een website of een document met een certificaat? Dan kan zij een melding krijgen dat het certificaat onbetrouwbaar is. Zij heeft dan geen zekerheid dat de website of het document echt is. Mogelijk belt zij dan naar de gemeente. Wat kun je dan zeggen?

Gaat het om een website zoals DigiD? Dan kun je de burger vragen om de website in een andere browser te proberen. Verschillende browsers gaan namelijk verschillend met de certificaten om. Is dit geen geschikte oplossing? Dan kan de burger ook op de ouderwetse manier zaken doen met de gemeente, namelijk per post. (bron)

Gaat het om een document zoals een Wabo-beschikking? Dan kun je de burger doorverbinden met de behandelende afdeling. Zij kunnen aangeven of zij inderdaad dat document hebben opgestuurd. Overigens zijn de documenten nog atijd rechtsgeldig.

 

Wat gaan wij hieraan doen?

Voorlopig gaan we nog geen concrete stappen nemen. De Rijksoverheid en DigiNotar werken nog aan eerherstel. Mocht dit niet lukken, dan zullen wij mogelijk op zoek moeten gaan naar een andere leverancier van certificaten.

Uiteraard houden we de ontwikkelingen nauw in het oog. Met name GOVCERT.NL is hierbij een belangrijke bron. In een factsheet houden zij de stand van zaken bij.

 

Mocht je over dit bericht nog vragen hebben, dan kun je deze stellen aan Marco Klerks.

Permalink Antwoord van Marco Klerks op 2 September 2011 op 11.04
Overigens volgen wij wel het advies van Logius op dat zij via de e-mail verspreid heeft. Deze e-mail zag ik pas vanmorgen, dus de inhoud was nog niet opgenomen in mijn intranet-bericht.
Permalink Antwoord van Marco Klerks op 3 September 2011 op 9.30
Permalink Antwoord van Yvonne Welings op 3 September 2011 op 18.13

Voor de vijf 'beveiligingsflaters' van Diginotar, zie deze link.

Permalink Antwoord van Marco Klerks op 3 September 2011 op 20.25

Inmiddels worden de PKIoverheid-certificaten van Diginotar ook niet meer vertrouwd door Microsoft Internet Explorer, Firefox en Google Chrome. De Rijksoverheid heeft het vertrouwen opgezegd en vervangt geleidelijk de certificaten door die van een andere leverancier. Ondertussen heeft zij ook het operationeel beheer over de certificaten overgenomen van Diginotar.

 

Het zwaard van Damocles suist naar beneden.

 

Voor wie wil overstappen naar een andere PKIoverheid-leverancier is dit lijstje handig

 

Overigens is er ook een document verschenen met antwoorden op vragen waar burgers misschien mee zitten.

Permalink Antwoord van Yvonne Welings op 6 September 2011 op 21.08
Lees ook verantwoordelijkheidsgevoel van diginotar in Trouw.
Permalink Antwoord van Yvonne Welings op 9 September 2011 op 21.39
Op de VNG website aandacht voor de aanpak van de problemen rondom de digid, zie deze link.
Permalink Antwoord van Bas de Groot op 16 September 2011 op 10.52

Antwoorden op discussie

RSS

Partner(s)

Sponsor(s)

http://www.elveo.nl

Direct naar...

Vind BREED!

- Twitter

- LinkedIn

- RSS: alle activiteiten

- RSS: nieuwe discussies

- RSS: nieuwe blogs

- E-mail

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden