De ene handtekeningis de andere nietECP – Den Haag – 3 dec 2013

Bart Hanssens

Agenda

■ Over Fedict en de eID

■ Geavanceerde handtekeningen

■ Standaarden

■ (Wetgeving)

■ Vragen ?

Over Fedict en de eID

Fedict

■ Federale Overheidsdienst (Ministerie) ICT

■ Dienstenintegrator

■ Diensten / consultancy■ Web CMS (Drupal), open standaarden

■ E-gov bouwstenen■ Open source eID middleware & tools■ Federal Service Bus, Federal Authentication Service ■ FedMAN netwerk

Elektronische ID kaart in België

http://commons.wikimedia.org/wiki/File:Belgium_ID_2010_(dutch).jpg

Elektronische ID kaart in België (2)

■ Uitgegeven door de overheid sinds 2003■ Vanaf 12 jaar■ Altijd op zak vanaf 15 jaar

■ Standaard crypto smart card (contact)

■ Elektronisch deel met twee sleutelparen■ Beveiligd met PIN-code■ Inloggen op websites■ Elektronisch tekenen (indien meerderjarig)

■ http://eid.belgium.be/nl/

Intermezzo: 1983

G7 top

http://commons.wikimedia.org/wiki/File:G-7_Summit_1983.jpg

Uitdagingen

■ Wat tekenen■ Document of workflow (ontvangst / goedkeuring...)

■ Handtekening(en)■ Wie■ Wat■ Wanneer

■ Controleren over 10, 30, … jaar■ Evolutie in technologie■ Verdwijnen van bedrijven en organisaties

Geavanceerde handtekeningen

Een elektronische handtekening

From: bart.hanssens@fedict.beDate: Mon, 25 Nov 2013 12:01 Subject: bestelling–------------------------------------Beste,

Bij deze bevestig ik de bestelling van 15 broodjes,gelieve deze morgenvroeg te leveren.

Met vriendelijke groeten,

Bart Hanssens

Geavanceerde elektr.handtekening

■ Uniek verbonden aan ondertekenaar

■ Ondertekenaar moet identificeerbaar zijn

■ Onder exclusieve controle van ondertekenaar

■ Wijzigingen achteraf detecteerbaar

■ Gebaseerd op gekwalificeerd certificaat

■ Gegenereerd door een veilig middel

Hoe werkt het ?

■ Public Key Infrastructure (PKI)■ Private en public key

■ Berekenen controlegetal (hash)

■ Hash wordt getekend met private key

■ Verificatie handtekening met public key

Certificaten

http://commons.wikimedia.org/wiki/File:Alex_K_Yuri_Boleslav_seal.pngBy V. Krychevsky

Certificaten (2)

■ Verbinden een identiteit met een sleutel■ Geldig van / tot■ Getekend door uitgever■ Serienummer, technische informatie ...

■ Certification Authority■ Uitgever van certificaten■ In theorie kan iedereen CA zijn■ In praktijk gespecialiseerde firma's / grote bedrijven

■ Certificate Chain

Controle van certificaten

■ Is het certificaat te vertrouwen ?■ Uitgegeven / getekend door een partij die ik vertrouw ?

■ Is het certificaat nog geldig ?■ Meestal “maar” enkele jaren geldig

■ Werd het certificaat niet ingetrokken ?■ Diefstal / verlies■ Online controle via server (OCSP)■ Of via lijsten van ingetrokken certificaten (CRL)

Timestamps

http://commons.wikimedia.org/wiki/File:Zeitstempel_01.jpg By Oxfordian Kissuth, CC BY-SA

Timestamps (2)

■ Bewijst dat document al bestond op tijdstip X■ Zo snel mogelijk toevoegen

■ Betrouwbare timestamp server■ Tekenen controlegetal document (hash) + tijdstip

Technologische evolutie

http://commons.wikimedia.org/wiki/File:Commodore64.jpgBy Bill Bertram, CC BY-SA

Technologische evolutie (2)

■ Algoritmes kunnen gebroken worden■ “Aanvallen” op hash algoritmes

■ Lengte sleutels kan niet meer voldoende zijn■ Steeds snellere computers

■ => regelmatig “timestamps” toevoegen■ Timestamps zijn ook weer getekend■ Kan met nieuwe(re) algoritmes / langere sleutels

Standaarden

ETSI

■ European Telecommunications Standards Institute

■ Familie van standaarden■ CAdES, XAdES, PAdES■ Verder uitgewerkt d.m.v. “Profiles”■ http://pda.etsi.org/pda/queryform.asp

■ Organiseert “plugtests”■ Testen interoperabiliteit■ http://xades-portal.etsi.org

Verschillende niveaus (profielen)

■ Basisprofielen■ Net voldoende om aan EU richtlijn te voldoen

■ + Tijdstip ondertekening (of z.s.m. erna)■ Betrouwbare timestamp server nodig

■ + Controle geldigheid certificaat■ Via lijsten of online dienst

■ + Beveiliging tegen breken algoritmes■ Opnieuw “timestampen” met nieuwste controles

Familie van standaarden

XMLBasis

XML Lange termijnB

ASELINE PDF

Basis

PDF Lange termijnB

ASELINE “Allerlei”

Basis

“Allerlei”Lange termijnB

ASELINE

XML-DSIG

BASELINE

...

XAdES-EPES

XAdES-BES

XAdES-A

XAdES-X-L

XAdES-T

Familie van standaarden: XAdES

XAdES

■ XAdES■ (Vooral) XML documenten■ Gebaseerd op W3C XML-DSIG■ ETSI TS 101 903 en TS 103 171

■ Meerdere profielen, o.a.■ Basisprofielen BES en EPES■ Lange termijn: XAdES X-L en A

■ O.a. in kantoordocumenten■ ODF: mogelijk, maar niet expliciet in 1.1 (“hint” in 1.2)■ OOXML: mogelijk, maar niet expliciet (XML-DSIG)■ Overige XML-formaten ook mogelijk

XAdES (2)

■ MS-Office 2010■ Goede ondersteuning■ XAdES-X-L mogelijk (extra configuratie nodig)

■ OpenOffice / LibreOffice 4■ Zeer beperkte ondersteuning (XML-DSIG)■ Extensies nodig

■ Andere tools■ https://code.google.com/p/eid-dss/■ http://oficinavirtual.mityc.es/componentes

CMS / PKCS#7

BASELINE

...

CAdES-EPES

CAdES-BES

CAdES-A

CAdES-X-L

CAdES-T

Familie van standaarden: CAdES

Standaarden: CAdES

■ CAdES■ Gebaseerd op Cryptographic Message Syntax■ “Los” bestand of als “envelop” rond bericht / bestand■ ETSI TS 101 733 en TS 103 173

■ Tools■ Bijvoorbeeld Bouncy Castle

PDF Signatures

BASELINE

PAdES Basic

PAdESLong Term

PAdESEnhanced

(BES / EPES)

CAdES-X-L, A

…

CAdES-T

CAdES-BES, EPES

CMS

Familie van standaarden: PAdES

PAdES

■ PAdES■ PDF documenten■ ETSI TR 102 923, TS 102 778 en TS 103 172

■ 6 delen, o.a.■ Deel 3: Enhanced / BES – EPES (basisprofielen)■ Deel 4: LTV (lange termijn)■ Deel 6: tonen van handtekeningen in applicaties

■ PAdES en PDF/A■ In theorie PDF/A-1 (echter niet gespecifieerd)■ In praktijk PDF/A-2

Standaarden: PAdES (2)

■ Adobe Reader 10■ “Reader Extended PDF”■ Edit > Preferences > Signatures > Creation > Signing

Format > CAdES-equivalent■ > Include signature's revocation status

■ Enkele andere tools■ iText, Apache PDFBox, …■ Ascertia, PDF-Tools 3-Heights, e-Contract.be ...■ https://joinup.ec.europa.eu/software/sd-dss

■ FAQ■ http://stf364ms.sites.ac.upc.edu/phpmyfaq

WetgevingRaadpleeg steeds een jurist

Europese richtlijn 1999/93/EG

■ Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen

■ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:NL:HTML

Burgerlijk Wetboek Nederland

■ Boek3, Titel 1, Afdeling 1A, Artikelen 15a – f■ Elektronisch vermogensrechtelijk rechtsverkeer

■ http://wetten.overheid.nl/BWBR0005291/Boek3/Titel1/Afdeling1A/Artikel15a

Besluit van de Commissie

■ Besluit van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt

■ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2011:053:0066:01:NL:HTML

Regeling elektronische handtekening bevoegde instanties

■ Regeling van de Minister van Economische Zaken, Landbouw en Innovatie van 23 mei 2011, nr. WJZ / 11039773, tot implementatie van het besluit nr. 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PbEU L 53)

Dienstenregeling centraal loket en interne markt informatiesysteem

■ Artikel 20a

■ Artikel 20b■ Het centraal loket is zodanig ingericht dat het ten

behoeve van de bevoegde instanties documenten kan verwerken die elektronisch ondertekend zijn met een geavanceerde elektronische XML-, CMS- of PDF-handtekening in het BES- of EPES-formaat en die voldoet aan de technische specificaties uit de bijlage van besluit nr. 2011/130/EU van de Commissie

■ http://wetten.overheid.nl/BWBR0026766/geldigheidsdatum_12-11-2013#3a

Telecommunicatiewet

■ Hoofdstuk 18, Artikelen 18.15 – 18.18

■ http://wetten.overheid.nl/BWBR0009950/Hoofdstuk18/Artikel1818

Vragen ?

Bedankt !Fedict – Federale Overheidsdienst voor ICT

Maria-Theresiastraat 1

1000 Brussel (België)

www.fedict.be

bart.hanssens[at]fedict.be | @BartHanssens