Ecp digitalehandtekening 20131203

535 views
420 views

Published on

Overzicht concepten en standaarden ivm digitale handtekeningen

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
535
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ecp digitalehandtekening 20131203

  1. 1. De ene handtekening is de andere niet ECP – Den Haag – 3 dec 2013 Bart Hanssens
  2. 2. Agenda ■ Over Fedict en de eID ■ Geavanceerde handtekeningen ■ Standaarden ■ (Wetgeving) ■ Vragen ?
  3. 3. Over Fedict en de eID
  4. 4. Fedict ■ Federale Overheidsdienst (Ministerie) ICT ■ Dienstenintegrator ■ Diensten / consultancy ■ ■ Web CMS (Drupal), open standaarden E-gov bouwstenen ■ ■ ■ Open source eID middleware & tools Federal Service Bus, Federal Authentication Service FedMAN netwerk
  5. 5. Elektronische ID kaart in België http://commons.wikimedia.org/wiki/File:Belgium_ID_2010_(dutch).jpg
  6. 6. Elektronische ID kaart in België (2) ■ Uitgegeven door de overheid sinds 2003 ■ ■ Vanaf 12 jaar Altijd op zak vanaf 15 jaar ■ Standaard crypto smart card (contact) ■ Elektronisch deel met twee sleutelparen ■ ■ ■ ■ Beveiligd met PIN-code Inloggen op websites Elektronisch tekenen (indien meerderjarig) http://eid.belgium.be/nl/
  7. 7. Intermezzo: 1983
  8. 8. G7 top http://commons.wikimedia.org/wiki/File:G-7_Summit_1983.jpg
  9. 9. Uitdagingen ■ Wat tekenen ■ ■ Handtekening(en) ■ ■ ■ ■ Document of workflow (ontvangst / goedkeuring...) Wie Wat Wanneer Controleren over 10, 30, … jaar ■ ■ Evolutie in technologie Verdwijnen van bedrijven en organisaties
  10. 10. Geavanceerde handtekeningen
  11. 11. Een elektronische handtekening From: bart.hanssens@fedict.be Date: Mon, 25 Nov 2013 12:01 Subject: bestelling –-----------------------------------Beste, Bij deze bevestig ik de bestelling van 15 broodjes, gelieve deze morgenvroeg te leveren. Met vriendelijke groeten, Bart Hanssens
  12. 12. Geavanceerde elektr.handtekening ■ Uniek verbonden aan ondertekenaar ■ Ondertekenaar moet identificeerbaar zijn ■ Onder exclusieve controle van ondertekenaar ■ Wijzigingen achteraf detecteerbaar ■ Gebaseerd op gekwalificeerd certificaat ■ Gegenereerd door een veilig middel
  13. 13. Hoe werkt het ? ■ Public Key Infrastructure (PKI) ■ Private en public key ■ Berekenen controlegetal (hash) ■ Hash wordt getekend met private key ■ Verificatie handtekening met public key
  14. 14. Certificaten http://commons.wikimedia.org/wiki/File:Alex_K_Yuri_Boleslav_seal.png By V. Krychevsky
  15. 15. Certificaten (2) ■ Verbinden een identiteit met een sleutel ■ ■ ■ ■ Certification Authority ■ ■ ■ ■ Geldig van / tot Getekend door uitgever Serienummer, technische informatie ... Uitgever van certificaten In theorie kan iedereen CA zijn In praktijk gespecialiseerde firma's / grote bedrijven Certificate Chain
  16. 16. Controle van certificaten ■ Is het certificaat te vertrouwen ? ■ ■ Is het certificaat nog geldig ? ■ ■ Uitgegeven / getekend door een partij die ik vertrouw ? Meestal “maar” enkele jaren geldig Werd het certificaat niet ingetrokken ? ■ ■ ■ Diefstal / verlies Online controle via server (OCSP) Of via lijsten van ingetrokken certificaten (CRL)
  17. 17. Timestamps http://commons.wikimedia.org/wiki/File:Zeitstempel_01.jpg By Oxfordian Kissuth, CC BY-SA
  18. 18. Timestamps (2) ■ Bewijst dat document al bestond op tijdstip X ■ ■ Zo snel mogelijk toevoegen Betrouwbare timestamp server ■ Tekenen controlegetal document (hash) + tijdstip
  19. 19. Technologische evolutie http://commons.wikimedia.org/wiki/File:Commodore64.jpg By Bill Bertram, CC BY-SA
  20. 20. Technologische evolutie (2) ■ Algoritmes kunnen gebroken worden ■ ■ Lengte sleutels kan niet meer voldoende zijn ■ ■ “Aanvallen” op hash algoritmes Steeds snellere computers => regelmatig “timestamps” toevoegen ■ ■ Timestamps zijn ook weer getekend Kan met nieuwe(re) algoritmes / langere sleutels
  21. 21. Standaarden
  22. 22. ETSI ■ European Telecommunications Standards Institute ■ Familie van standaarden ■ ■ ■ ■ CAdES, XAdES, PAdES Verder uitgewerkt d.m.v. “Profiles” http://pda.etsi.org/pda/queryform.asp Organiseert “plugtests” ■ ■ Testen interoperabiliteit http://xades-portal.etsi.org
  23. 23. Verschillende niveaus (profielen) ■ Basisprofielen ■ ■ + Tijdstip ondertekening (of z.s.m. erna) ■ ■ Betrouwbare timestamp server nodig + Controle geldigheid certificaat ■ ■ Net voldoende om aan EU richtlijn te voldoen Via lijsten of online dienst + Beveiliging tegen breken algoritmes ■ Opnieuw “timestampen” met nieuwste controles
  24. 24. Familie van standaarden XML B Lange termijn A S E L I N XML E Basis PDF B Lange termijn A S E L I N PDF E Basis “Allerlei” B Lange termijn A S E L I N “Allerlei” E Basis
  25. 25. Familie van standaarden: XAdES XAdES-A B A S E L I N E XAdES-X-L ... XAdES-T XAdES-EPES XAdES-BES XML-DSIG
  26. 26. XAdES ■ XAdES ■ ■ ■ ■ Meerdere profielen, o.a. ■ ■ ■ (Vooral) XML documenten Gebaseerd op W3C XML-DSIG ETSI TS 101 903 en TS 103 171 Basisprofielen BES en EPES Lange termijn: XAdES X-L en A O.a. in kantoordocumenten ■ ■ ■ ODF: mogelijk, maar niet expliciet in 1.1 (“hint” in 1.2) OOXML: mogelijk, maar niet expliciet (XML-DSIG) Overige XML-formaten ook mogelijk
  27. 27. XAdES (2) ■ MS-Office 2010 ■ ■ ■ OpenOffice / LibreOffice 4 ■ ■ ■ Goede ondersteuning XAdES-X-L mogelijk (extra configuratie nodig) Zeer beperkte ondersteuning (XML-DSIG) Extensies nodig Andere tools ■ ■ https://code.google.com/p/eid-dss/ http://oficinavirtual.mityc.es/componentes
  28. 28. Familie van standaarden: CAdES CAdES-A B A S E L I N E CAdES-X-L ... CAdES-T CAdES-EPES CAdES-BES CMS / PKCS#7
  29. 29. Standaarden: CAdES ■ CAdES ■ ■ ■ ■ Gebaseerd op Cryptographic Message Syntax “Los” bestand of als “envelop” rond bericht / bestand ETSI TS 101 733 en TS 103 173 Tools ■ Bijvoorbeeld Bouncy Castle
  30. 30. Familie van standaarden: PAdES B A S E L I N E PAdES Long Term CAdES-X-L, A … CAdES-T PAdES Enhanced (BES / EPES) CAdES-BES, EPES PAdES Basic CMS PDF Signatures
  31. 31. PAdES ■ PAdES ■ ■ ■ 6 delen, o.a. ■ ■ ■ ■ PDF documenten ETSI TR 102 923, TS 102 778 en TS 103 172 Deel 3: Enhanced / BES – EPES (basisprofielen) Deel 4: LTV (lange termijn) Deel 6: tonen van handtekeningen in applicaties PAdES en PDF/A ■ ■ In theorie PDF/A-1 (echter niet gespecifieerd) In praktijk PDF/A-2
  32. 32. Standaarden: PAdES (2) ■ Adobe Reader 10 ■ ■ ■ ■ Enkele andere tools ■ ■ ■ ■ “Reader Extended PDF” Edit > Preferences > Signatures > Creation > Signing Format > CAdES-equivalent > Include signature's revocation status iText, Apache PDFBox, … Ascertia, PDF-Tools 3-Heights, e-Contract.be ... https://joinup.ec.europa.eu/software/sd-dss FAQ ■ http://stf364ms.sites.ac.upc.edu/phpmyfaq
  33. 33. Wetgeving Raadpleeg steeds een jurist
  34. 34. Europese richtlijn 1999/93/EG ■ Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen ■ http://eur-lex.europa.eu/LexUriServ/LexUri Serv.do?uri=CELEX:31999L0093:NL:HTML
  35. 35. Burgerlijk Wetboek Nederland ■ Boek3, Titel 1, Afdeling 1A, Artikelen 15a – f ■ ■ Elektronisch vermogensrechtelijk rechtsverkeer http://wetten.overheid.nl/BWBR0005291/Boek3/ Titel1/Afdeling1A/Artikel15a
  36. 36. Besluit van de Commissie ■ Besluit van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt ■ http://eur-lex.europa.eu/LexUriServ/LexUriS erv.do?uri=OJ:L:2011:053:0066:01:NL:HTML
  37. 37. Regeling elektronische handtekening bevoegde instanties ■ Regeling van de Minister van Economische Zaken, Landbouw en Innovatie van 23 mei 2011, nr. WJZ / 11039773, tot implementatie van het besluit nr. 2011/130/EU van de Commissie van 25 februari 2011 tot vaststelling van minimumvoorschriften voor de grensoverschrijdende verwerking van documenten die door de bevoegde autoriteiten elektronisch zijn ondertekend krachtens Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt (PbEU L 53)
  38. 38. Dienstenregeling centraal loket en interne markt informatiesysteem ■ Artikel 20a ■ Artikel 20b ■ ■ Het centraal loket is zodanig ingericht dat het ten behoeve van de bevoegde instanties documenten kan verwerken die elektronisch ondertekend zijn met een geavanceerde elektronische XML-, CMS- of PDFhandtekening in het BES- of EPES-formaat en die voldoet aan de technische specificaties uit de bijlage van besluit nr. 2011/130/EU van de Commissie http://wetten.overheid.nl/BWBR0026766/geld igheidsdatum_12-11-2013#3a
  39. 39. Telecommunicatiewet ■ Hoofdstuk 18, Artikelen 18.15 – 18.18 ■ http://wetten.overheid.nl/BWBR0009950/Hoofd stuk18/Artikel1818
  40. 40. Vragen ?
  41. 41. Bedankt ! Fedict – Federale Overheidsdienst voor ICT Maria-Theresiastraat 1 1000 Brussel (België) www.fedict.be bart.hanssens[at]fedict.be | @BartHanssens

×