Ecp digitalehandtekening 20131203
Upcoming SlideShare
Loading in...5
×
 

Ecp digitalehandtekening 20131203

on

  • 283 views

Overzicht concepten en standaarden ivm digitale handtekeningen

Overzicht concepten en standaarden ivm digitale handtekeningen

Statistics

Views

Total Views
283
Views on SlideShare
277
Embed Views
6

Actions

Likes
0
Downloads
2
Comments
0

2 Embeds 6

https://twitter.com 4
http://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Ecp digitalehandtekening 20131203 Ecp digitalehandtekening 20131203 Presentation Transcript

  • De ene handtekening is de andere niet ECP – Den Haag – 3 dec 2013 Bart Hanssens
  • Agenda ■ Over Fedict en de eID ■ Geavanceerde handtekeningen ■ Standaarden ■ (Wetgeving) ■ Vragen ?
  • Over Fedict en de eID
  • Fedict ■ Federale Overheidsdienst (Ministerie) ICT ■ Dienstenintegrator ■ Diensten / consultancy ■ ■ Web CMS (Drupal), open standaarden E-gov bouwstenen ■ ■ ■ Open source eID middleware & tools Federal Service Bus, Federal Authentication Service FedMAN netwerk
  • Elektronische ID kaart in België http://commons.wikimedia.org/wiki/File:Belgium_ID_2010_(dutch).jpg
  • Elektronische ID kaart in België (2) ■ Uitgegeven door de overheid sinds 2003 ■ ■ Vanaf 12 jaar Altijd op zak vanaf 15 jaar ■ Standaard crypto smart card (contact) ■ Elektronisch deel met twee sleutelparen ■ ■ ■ ■ Beveiligd met PIN-code Inloggen op websites Elektronisch tekenen (indien meerderjarig) http://eid.belgium.be/nl/
  • Intermezzo: 1983
  • G7 top http://commons.wikimedia.org/wiki/File:G-7_Summit_1983.jpg
  • Uitdagingen ■ Wat tekenen ■ ■ Handtekening(en) ■ ■ ■ ■ Document of workflow (ontvangst / goedkeuring...) Wie Wat Wanneer Controleren over 10, 30, … jaar ■ ■ Evolutie in technologie Verdwijnen van bedrijven en organisaties
  • Geavanceerde handtekeningen
  • Een elektronische handtekening From: bart.hanssens@fedict.be Date: Mon, 25 Nov 2013 12:01 Subject: bestelling –-----------------------------------Beste, Bij deze bevestig ik de bestelling van 15 broodjes, gelieve deze morgenvroeg te leveren. Met vriendelijke groeten, Bart Hanssens
  • Geavanceerde elektr.handtekening ■ Uniek verbonden aan ondertekenaar ■ Ondertekenaar moet identificeerbaar zijn ■ Onder exclusieve controle van ondertekenaar ■ Wijzigingen achteraf detecteerbaar ■ Gebaseerd op gekwalificeerd certificaat ■ Gegenereerd door een veilig middel
  • Hoe werkt het ? ■ Public Key Infrastructure (PKI) ■ Private en public key ■ Berekenen controlegetal (hash) ■ Hash wordt getekend met private key ■ Verificatie handtekening met public key
  • Certificaten http://commons.wikimedia.org/wiki/File:Alex_K_Yuri_Boleslav_seal.png By V. Krychevsky
  • Certificaten (2) ■ Verbinden een identiteit met een sleutel ■ ■ ■ ■ Certification Authority ■ ■ ■ ■ Geldig van / tot Getekend door uitgever Serienummer, technische informatie ... Uitgever van certificaten In theorie kan iedereen CA zijn In praktijk gespecialiseerde firma's / grote bedrijven Certificate Chain
  • Controle van certificaten ■ Is het certificaat te vertrouwen ? ■ ■ Is het certificaat nog geldig ? ■ ■ Uitgegeven / getekend door een partij die ik vertrouw ? Meestal “maar” enkele jaren geldig Werd het certificaat niet ingetrokken ? ■ ■ ■ Diefstal / verlies Online controle via server (OCSP) Of via lijsten van ingetrokken certificaten (CRL)
  • Timestamps http://commons.wikimedia.org/wiki/File:Zeitstempel_01.jpg By Oxfordian Kissuth, CC BY-SA
  • Timestamps (2) ■ Bewijst dat document al bestond op tijdstip X ■ ■ Zo snel mogelijk toevoegen Betrouwbare timestamp server ■ Tekenen controlegetal document (hash) + tijdstip
  • Technologische evolutie http://commons.wikimedia.org/wiki/File:Commodore64.jpg By Bill Bertram, CC BY-SA
  • Technologische evolutie (2) ■ Algoritmes kunnen gebroken worden ■ ■ Lengte sleutels kan niet meer voldoende zijn ■ ■ “Aanvallen” op hash algoritmes Steeds snellere computers => regelmatig “timestamps” toevoegen ■ ■ Timestamps zijn ook weer getekend Kan met nieuwe(re) algoritmes / langere sleutels
  • Standaarden
  • ETSI ■ European Telecommunications Standards Institute ■ Familie van standaarden ■ ■ ■ ■ CAdES, XAdES, PAdES Verder uitgewerkt d.m.v. “Profiles” http://pda.etsi.org/pda/queryform.asp Organiseert “plugtests” ■ ■ Testen interoperabiliteit http://xades-portal.etsi.org
  • Verschillende niveaus (profielen) ■ Basisprofielen ■ ■ + Tijdstip ondertekening (of z.s.m. erna) ■ ■ Betrouwbare timestamp server nodig + Controle geldigheid certificaat ■ ■ Net voldoende om aan EU richtlijn te voldoen Via lijsten of online dienst + Beveiliging tegen breken algoritmes ■ Opnieuw “timestampen” met nieuwste controles
  • Familie van standaarden XML B Lange termijn A S E L I N XML E Basis PDF B Lange termijn A S E L I N PDF E Basis “Allerlei” B Lange termijn A S E L I N “Allerlei” E Basis
  • Familie van standaarden: XAdES XAdES-A B A S E L I N E XAdES-X-L ... XAdES-T XAdES-EPES XAdES-BES XML-DSIG
  • XAdES ■ XAdES ■ ■ ■ ■ Meerdere profielen, o.a. ■ ■ ■ (Vooral) XML documenten Gebaseerd op W3C XML-DSIG ETSI TS 101 903 en TS 103 171 Basisprofielen BES en EPES Lange termijn: XAdES X-L en A O.a. in kantoordocumenten ■ ■ ■ ODF: mogelijk, maar niet expliciet in 1.1 (“hint” in 1.2) OOXML: mogelijk, maar niet expliciet (XML-DSIG) Overige XML-formaten ook mogelijk
  • XAdES (2) ■ MS-Office 2010 ■ ■ ■ OpenOffice / LibreOffice 4 ■ ■ ■ Goede ondersteuning XAdES-X-L mogelijk (extra configuratie nodig) Zeer beperkte ondersteuning (XML-DSIG) Extensies nodig Andere tools ■ ■ https://code.google.com/p/eid-dss/ http://oficinavirtual.mityc.es/componentes
  • Familie van standaarden: CAdES CAdES-A B A S E L I N E CAdES-X-L ... CAdES-T CAdES-EPES CAdES-BES CMS / PKCS#7
  • Standaarden: CAdES ■ CAdES ■ ■ ■ ■ Gebaseerd op Cryptographic Message Syntax “Los” bestand of als “envelop” rond bericht / bestand ETSI TS 101 733 en TS 103 173 Tools ■ Bijvoorbeeld Bouncy Castle
  • Familie van standaarden: PAdES B A S E L I N E PAdES Long Term CAdES-X-L, A … CAdES-T PAdES Enhanced (BES / EPES) CAdES-BES, EPES PAdES Basic CMS PDF Signatures
  • PAdES ■ PAdES ■ ■ ■ 6 delen, o.a. ■ ■ ■ ■ PDF documenten ETSI TR 102 923, TS 102 778 en TS 103 172 Deel 3: Enhanced / BES – EPES (basisprofielen) Deel 4: LTV (lange termijn) Deel 6: tonen van handtekeningen in applicaties PAdES en PDF/A ■ ■ In theorie PDF/A-1 (echter niet gespecifieerd) In praktijk PDF/A-2
  • Standaarden: PAdES (2) ■ Adobe Reader 10 ■ ■ ■ ■ Enkele andere tools ■ ■ ■ ■ “Reader Extended PDF” Edit > Preferences > Signatures > Creation > Signing Format > CAdES-equivalent > Include signature's revocation status iText, Apache PDFBox, … Ascertia, PDF-Tools 3-Heights, e-Contract.be ... https://joinup.ec.europa.eu/software/sd-dss FAQ ■ http://stf364ms.sites.ac.upc.edu/phpmyfaq
  • Wetgeving Raadpleeg steeds een jurist
  • Europese richtlijn 1999/93/EG ■ Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen ■ http://eur-lex.europa.eu/LexUriServ/LexUri Serv.do?uri=CELEX:31999L0093:NL:HTML
  • Burgerlijk Wetboek Nederland ■ Boek3, Titel 1, Afdeling 1A, Artikelen 15a – f ■ ■ Elektronisch vermogensrechtelijk rechtsverkeer http://wetten.overheid.nl/BWBR0005291/Boek3/ Titel1/Afdeling1A/Artikel15a
  • Besluit van de Commissie ■ Besluit van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt ■ http://eur-lex.europa.eu/LexUriServ/LexUriS erv.do?uri=OJ:L:2011:053:0066:01:NL:HTML
  • Regeling elektronische handtekening bevoegde instanties ■ Regeling van de Minister van Economische Zaken, Landbouw en Innovatie van 23 mei 2011, nr. WJZ / 11039773, tot implementatie van het besluit nr. 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PbEU L 53)
  • Dienstenregeling centraal loket en interne markt informatiesysteem ■ Artikel 20a ■ Artikel 20b ■ ■ Het centraal loket is zodanig ingericht dat het ten behoeve van de bevoegde instanties documenten kan verwerken die elektronisch ondertekend zijn met een geavanceerde elektronische XML-, CMS- of PDFhandtekening in het BES- of EPES-formaat en die voldoet aan de technische specificaties uit de bijlage van besluit nr. 2011/130/EU van de Commissie http://wetten.overheid.nl/BWBR0026766/geld igheidsdatum_12-11-2013#3a
  • Telecommunicatiewet ■ Hoofdstuk 18, Artikelen 18.15 – 18.18 ■ http://wetten.overheid.nl/BWBR0009950/Hoofd stuk18/Artikel1818
  • Vragen ?
  • Bedankt ! Fedict – Federale Overheidsdienst voor ICT Maria-Theresiastraat 1 1000 Brussel (België) www.fedict.be bart.hanssens[at]fedict.be | @BartHanssens