ecp digitalehandtekening 20131203
DESCRIPTION
Overzicht concepten en standaarden ivm digitale handtekeningenTRANSCRIPT
De ene handtekeningis de andere nietECP – Den Haag – 3 dec 2013
Bart Hanssens
Agenda
■ Over Fedict en de eID
■ Geavanceerde handtekeningen
■ Standaarden
■ (Wetgeving)
■ Vragen ?
Over Fedict en de eID
Fedict
■ Federale Overheidsdienst (Ministerie) ICT
■ Dienstenintegrator
■ Diensten / consultancy■ Web CMS (Drupal), open standaarden
■ E-gov bouwstenen■ Open source eID middleware & tools■ Federal Service Bus, Federal Authentication Service ■ FedMAN netwerk
Elektronische ID kaart in België
http://commons.wikimedia.org/wiki/File:Belgium_ID_2010_(dutch).jpg
Elektronische ID kaart in België (2)
■ Uitgegeven door de overheid sinds 2003■ Vanaf 12 jaar■ Altijd op zak vanaf 15 jaar
■ Standaard crypto smart card (contact)
■ Elektronisch deel met twee sleutelparen■ Beveiligd met PIN-code■ Inloggen op websites■ Elektronisch tekenen (indien meerderjarig)
■ http://eid.belgium.be/nl/
Intermezzo: 1983
G7 top
http://commons.wikimedia.org/wiki/File:G-7_Summit_1983.jpg
Uitdagingen
■ Wat tekenen■ Document of workflow (ontvangst / goedkeuring...)
■ Handtekening(en)■ Wie■ Wat■ Wanneer
■ Controleren over 10, 30, … jaar■ Evolutie in technologie■ Verdwijnen van bedrijven en organisaties
Geavanceerde handtekeningen
Een elektronische handtekening
From: [email protected]: Mon, 25 Nov 2013 12:01 Subject: bestelling–------------------------------------Beste,
Bij deze bevestig ik de bestelling van 15 broodjes,gelieve deze morgenvroeg te leveren.
Met vriendelijke groeten,
Bart Hanssens
Geavanceerde elektr.handtekening
■ Uniek verbonden aan ondertekenaar
■ Ondertekenaar moet identificeerbaar zijn
■ Onder exclusieve controle van ondertekenaar
■ Wijzigingen achteraf detecteerbaar
■ Gebaseerd op gekwalificeerd certificaat
■ Gegenereerd door een veilig middel
Hoe werkt het ?
■ Public Key Infrastructure (PKI)■ Private en public key
■ Berekenen controlegetal (hash)
■ Hash wordt getekend met private key
■ Verificatie handtekening met public key
Certificaten
http://commons.wikimedia.org/wiki/File:Alex_K_Yuri_Boleslav_seal.pngBy V. Krychevsky
Certificaten (2)
■ Verbinden een identiteit met een sleutel■ Geldig van / tot■ Getekend door uitgever■ Serienummer, technische informatie ...
■ Certification Authority■ Uitgever van certificaten■ In theorie kan iedereen CA zijn■ In praktijk gespecialiseerde firma's / grote bedrijven
■ Certificate Chain
Controle van certificaten
■ Is het certificaat te vertrouwen ?■ Uitgegeven / getekend door een partij die ik vertrouw ?
■ Is het certificaat nog geldig ?■ Meestal “maar” enkele jaren geldig
■ Werd het certificaat niet ingetrokken ?■ Diefstal / verlies■ Online controle via server (OCSP)■ Of via lijsten van ingetrokken certificaten (CRL)
Timestamps
http://commons.wikimedia.org/wiki/File:Zeitstempel_01.jpg By Oxfordian Kissuth, CC BY-SA
Timestamps (2)
■ Bewijst dat document al bestond op tijdstip X■ Zo snel mogelijk toevoegen
■ Betrouwbare timestamp server■ Tekenen controlegetal document (hash) + tijdstip
Technologische evolutie
http://commons.wikimedia.org/wiki/File:Commodore64.jpgBy Bill Bertram, CC BY-SA
Technologische evolutie (2)
■ Algoritmes kunnen gebroken worden■ “Aanvallen” op hash algoritmes
■ Lengte sleutels kan niet meer voldoende zijn■ Steeds snellere computers
■ => regelmatig “timestamps” toevoegen■ Timestamps zijn ook weer getekend■ Kan met nieuwe(re) algoritmes / langere sleutels
Standaarden
ETSI
■ European Telecommunications Standards Institute
■ Familie van standaarden■ CAdES, XAdES, PAdES■ Verder uitgewerkt d.m.v. “Profiles”■ http://pda.etsi.org/pda/queryform.asp
■ Organiseert “plugtests”■ Testen interoperabiliteit■ http://xades-portal.etsi.org
Verschillende niveaus (profielen)
■ Basisprofielen■ Net voldoende om aan EU richtlijn te voldoen
■ + Tijdstip ondertekening (of z.s.m. erna)■ Betrouwbare timestamp server nodig
■ + Controle geldigheid certificaat■ Via lijsten of online dienst
■ + Beveiliging tegen breken algoritmes■ Opnieuw “timestampen” met nieuwste controles
Familie van standaarden
XMLBasis
XML Lange termijnB
ASELINE PDF
Basis
PDF Lange termijnB
ASELINE “Allerlei”
Basis
“Allerlei”Lange termijnB
ASELINE
XML-DSIG
BASELINE
...
XAdES-EPES
XAdES-BES
XAdES-A
XAdES-X-L
XAdES-T
Familie van standaarden: XAdES
XAdES
■ XAdES■ (Vooral) XML documenten■ Gebaseerd op W3C XML-DSIG■ ETSI TS 101 903 en TS 103 171
■ Meerdere profielen, o.a.■ Basisprofielen BES en EPES■ Lange termijn: XAdES X-L en A
■ O.a. in kantoordocumenten■ ODF: mogelijk, maar niet expliciet in 1.1 (“hint” in 1.2)■ OOXML: mogelijk, maar niet expliciet (XML-DSIG)■ Overige XML-formaten ook mogelijk
XAdES (2)
■ MS-Office 2010■ Goede ondersteuning■ XAdES-X-L mogelijk (extra configuratie nodig)
■ OpenOffice / LibreOffice 4■ Zeer beperkte ondersteuning (XML-DSIG)■ Extensies nodig
■ Andere tools■ https://code.google.com/p/eid-dss/■ http://oficinavirtual.mityc.es/componentes
CMS / PKCS#7
BASELINE
...
CAdES-EPES
CAdES-BES
CAdES-A
CAdES-X-L
CAdES-T
Familie van standaarden: CAdES
Standaarden: CAdES
■ CAdES■ Gebaseerd op Cryptographic Message Syntax■ “Los” bestand of als “envelop” rond bericht / bestand■ ETSI TS 101 733 en TS 103 173
■ Tools■ Bijvoorbeeld Bouncy Castle
PDF Signatures
BASELINE
PAdES Basic
PAdESLong Term
PAdESEnhanced
(BES / EPES)
CAdES-X-L, A
…
CAdES-T
CAdES-BES, EPES
CMS
Familie van standaarden: PAdES
PAdES
■ PAdES■ PDF documenten■ ETSI TR 102 923, TS 102 778 en TS 103 172
■ 6 delen, o.a.■ Deel 3: Enhanced / BES – EPES (basisprofielen)■ Deel 4: LTV (lange termijn)■ Deel 6: tonen van handtekeningen in applicaties
■ PAdES en PDF/A■ In theorie PDF/A-1 (echter niet gespecifieerd)■ In praktijk PDF/A-2
Standaarden: PAdES (2)
■ Adobe Reader 10■ “Reader Extended PDF”■ Edit > Preferences > Signatures > Creation > Signing
Format > CAdES-equivalent■ > Include signature's revocation status
■ Enkele andere tools■ iText, Apache PDFBox, …■ Ascertia, PDF-Tools 3-Heights, e-Contract.be ...■ https://joinup.ec.europa.eu/software/sd-dss
■ FAQ■ http://stf364ms.sites.ac.upc.edu/phpmyfaq
WetgevingRaadpleeg steeds een jurist
Europese richtlijn 1999/93/EG
■ Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen
■ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:NL:HTML
Burgerlijk Wetboek Nederland
■ Boek3, Titel 1, Afdeling 1A, Artikelen 15a – f■ Elektronisch vermogensrechtelijk rechtsverkeer
■ http://wetten.overheid.nl/BWBR0005291/Boek3/Titel1/Afdeling1A/Artikel15a
Besluit van de Commissie
■ Besluit van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt
■ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2011:053:0066:01:NL:HTML
Regeling elektronische handtekening bevoegde instanties
■ Regeling van de Minister van Economische Zaken, Landbouw en Innovatie van 23 mei 2011, nr. WJZ / 11039773, tot implementatie van het besluit nr. 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PbEU L 53)
Dienstenregeling centraal loket en interne markt informatiesysteem
■ Artikel 20a
■ Artikel 20b■ Het centraal loket is zodanig ingericht dat het ten
behoeve van de bevoegde instanties documenten kan verwerken die elektronisch ondertekend zijn met een geavanceerde elektronische XML-, CMS- of PDF-handtekening in het BES- of EPES-formaat en die voldoet aan de technische specificaties uit de bijlage van besluit nr. 2011/130/EU van de Commissie
■ http://wetten.overheid.nl/BWBR0026766/geldigheidsdatum_12-11-2013#3a
Telecommunicatiewet
■ Hoofdstuk 18, Artikelen 18.15 – 18.18
■ http://wetten.overheid.nl/BWBR0009950/Hoofdstuk18/Artikel1818
Vragen ?
Bedankt !Fedict – Federale Overheidsdienst voor ICT
Maria-Theresiastraat 1
1000 Brussel (België)
www.fedict.be
bart.hanssens[at]fedict.be | @BartHanssens