9/27/2011    Identiteit & authenticatie    SIG IB    SIG-IB IAM themadag    Maarten Wegdam    19 september @ UMC Utrecht  ...
9/27/2011       [Healthcare professionals’ experiences with EHR-System access   3       control mechanisms. A. Faxvaag a.o...
9/27/2011        Vier ontwikkelingen      Authenticatie middelen: de mobiel en context           Werknemers vs patiënten v...
9/27/2011                Indeling authn middelen                               knowlegde based    PKI token               ...
9/27/2011     Vier types van mobiele authn            SMS one-time-passwords                         p            Mobile a...
9/27/2011      Mobile apps      • Goedkoop       • Alleen voor smartphones, platform issues …      • Bv Versign VIP11    ...
9/27/201113     Mobile PKI     • Challenge response via SMSjes       Challenge-response     • Gebruikt SIM als secure elem...
9/27/2011               Mobile PKI         [M. Oostdijk e.a., Mobile PKI, inloggen en ondertekenen met15         je mobiel...
9/27/2011         SIM augmented token (sticker)         • Sticker met embedded chip tussen SIM kaart en           telefoon...
9/27/2011      Vier ontwikkelingen     Authenticatie middelen: de mobiel en context       Werknemers vs patiënten vs partn...
9/27/2011     Patiënten & patiëntportalen                                                           Afspraken, EDP,       ...
9/27/2011      Vier ontwikkelingen     Authenticatie middelen: de mobiel en context        Werknemers vs patiënten vs part...
9/27/2011        Trust framework/ afsprakenstelsels           Afspraken waar alle spelers zich                 aan moeten ...
9/27/2011      Public Key Infrastructures      • Ook een vorm van trust framework      • Met name voor SSL27      Vier ont...
9/27/2011authenticatie                    registratie                    betrouw-   middel                          p     ...
9/27/2011          Four levels                        no or minimal confidence in the assertedlevel 1                     ...
9/27/2011             5 take-aways / stellingen     Smartcards zijn oud, mobiel is het nieuwe authenticatiemiddel         ...
9/27/2011     backup35     Digitale identiteit        authenticatie (wachtwoord etc)         Attributen         Att ib t  ...
9/27/2011        Attribuut verificatie37        Technische (federatie) standaarden        convergeren (enigzins)     OpenI...
9/27/2011            NLse identity initiatieven 2010-2011                                        OpenIDplus.nl            ...
Upcoming SlideShare
Loading in...5
×

Identiteit & Authenticatie voor UMCs SIG Informatie Beveiliging IAM themadag - 19 sept 2011

596

Published on

Voor de Identity & Access Management themadag van de Special Interest Group Informatie Beveiliging van de UMCs. Dit was op 19 september 2011, met security officers en andere geinteresseerde profesionals van de UMCs en grote Nederlandse ziekenhuizen. Lokatie was UMCU.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
596
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Identiteit & Authenticatie voor UMCs SIG Informatie Beveiliging IAM themadag - 19 sept 2011"

  1. 1. 9/27/2011 Identiteit & authenticatie SIG IB SIG-IB IAM themadag Maarten Wegdam 19 september @ UMC Utrecht Met input van Martijn Oostdijk, Bob Hulsebosch2 1
  2. 2. 9/27/2011 [Healthcare professionals’ experiences with EHR-System access 3 control mechanisms. A. Faxvaag a.o., IMEI 2011] not-for-profit ICT voorheen Telematicaonderzoeksinstituut Instituut multidisciplinair, ~50 innovatieprojectenonderzoekers/advisors identity, principal researcher, p privacy, trust y, lid MT Maarten Wegdam gepromoveerd in CV: KPN Research, Informatica (RuG, UT) Bell Labs, UD@UT 4 2
  3. 3. 9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance5 Principes van authenticatie Binden van geb u e gebruiker Tamper resistent Multi-factor hardware Sterke crypto Multi-channel Gebaseerd op [M. Oostdijk (Novay) , Authenticatiemiddelen:6 Stand van zaken, 2010] 3
  4. 4. 9/27/2011 Indeling authn middelen knowlegde based PKI token weet software token hebt bent biological OTP token behavioral challenge response token7 Mobile-centric identity Mobiel als authenticatiemiddel ob e a s aut e t cat e dde • Personal device • Altijd bij je • Geen (weinig) additionele hardware kosten • Tweede (?) kanaal • Diversiteit telefoon platformen … Authenticatie voor mobiele diensten • Usability uitdagingen, bv wachtwoorden • Geen tweede kanaal meer8 4
  5. 5. 9/27/2011 Vier types van mobiele authn SMS one-time-passwords p Mobile apps, bv OTP generators of tiQR SIM-based, bv Mobile PKI SIM augmented token (sticker)9 SMS One-time-password • Makkelijk bekend & mature Makkelijk, • Variabele kosten, ~5ct per SMS • Minder veilig voor mobiele diensten, geen 2de kanaal meer • Threats voor mobiele platformen nemen toe • GSM encryptie niet meer veilig (SMS interception) → in ieder geval de perceptie10 5
  6. 6. 9/27/2011 Mobile apps • Goedkoop  • Alleen voor smartphones, platform issues … • Bv Versign VIP11 • Gebruikersvriendelijker voorbeeld van Mobile App • Mobile App gedraagt zich als authenticatie-token • “Handsfree” – geen codes overtypen maar gebruik van 2D-barcodes (QR) en Internet • Open source en standaard gebaseerd (OATH) • Zie: https://tiqr.org/ 12 6
  7. 7. 9/27/201113 Mobile PKI • Challenge response via SMSjes Challenge-response • Gebruikt SIM als secure element • Afhankelijk van de operator: “huur” van ruimte op de SIM kaart • Vereist in NL een SIM swap: duur • Werkt op alle mobieltjes • Vrij gebruikersvriendelijk14 7
  8. 8. 9/27/2011 Mobile PKI [M. Oostdijk e.a., Mobile PKI, inloggen en ondertekenen met15 je mobiel, PviB juli 2010, Novay & SURFnet] SIM augmented token (sticker) DP Nano contact plate DP Nano chip SIM contact plate Serial number16 8
  9. 9. 9/27/2011 SIM augmented token (sticker) • Sticker met embedded chip tussen SIM kaart en telefoon • Stikker bevat SIM apps • Geen afhankelijkheden mobiele operator ! • Geïmplementeerd in VASCO Digipass Nano product • Event-based one-time-password (TAN) • Vrij gebruikersonvriendelijk [M. Oostdijk, M. Wegdam, Evaluation VASCO Digipass17 Nano, Mei 2011, in opdracht van SURFnet] Context & authn/authz? Context als vierde factor • Extra zekerheid, bijvoorbeeld gebruiker is thuis • Veiliger, goedkoper of makkelijker? • Simpele toepassing is IP-address-al-eerder- gebruikt? Context-enhanced authorization • Context meenemen in autorisatie beslissingen • Bijvoorbeeld: als arts op eerste hulp afdeling is dan toegang tot alle dossiers, anders alleen eigen patienten • Novay recent onderzoeksproject gestart met IBM en een grote bank op dit gebied.18 9
  10. 10. 9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance19 Verschillende groepen werknemers patiënten/ tië t / keten- k t cliënten partners20 10
  11. 11. 9/27/2011 Patiënten & patiëntportalen Afspraken, EDP, eHealth • 25 leveranciers • 14 gebruiken eigen gebruikersnaam/wachtwoord, o.a. UMCU, UMC Radboud, AZM • 1 eigen gebruikersnaam/wachtwoord + SMS • 1 eigen gebruikersnaam/wachtwoord en face-2-face controle • 4 Di iD l DigiD laag ( b ik (gebruikersnaam/wachtwoord), o.a. UMCG / ht d) • 3 DigiD midden (SMS), o.a. Erasmus MC • 2 certificaat met wachtwoord [M. Heldoorn e.a., Patiëntportalen in Nederland,21 NPCF, Nictiz, mei 2011] Wat is er nodig? • DigiD niveau midden? • Binding d.m.v. GBA adres • SMS one-time-password • Niet goed genoeg voor landelijke EDP, aldus PWC e.a. in 2010 • eNIK to the rescue ???? • Elektronische Nederlandse identiteitskaart • Besluit najaar (?) 2011 • Iedereen heeft er één in 2018 ? • En hoe autorisatie te regelen? bv mantelzorgers [M. Wegdam, e-identity: zorgeloze identificatie van22 zorgconsumenten, voor Nictiz, april 2010] 11
  12. 12. 9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance23 Gebruiker centraal door hergebruik identiteiten Voorbeeld: identity provider gebruiker relying party24 12
  13. 13. 9/27/2011 Trust framework/ afsprakenstelsels Afspraken waar alle spelers zich aan moeten houden Meer vertrouwen en een gezond ecosysteem • Nieuwe identity providers kunnen toetreden • Dienstenaanbieders kunnen makkelijk gebruik maken van alle identity providers (schaalbaarheid) • Balanceren van belangen van identity providers, dienstenaanbieders en gebruikers • Privacy afspraken • Governance / audits 25 Trust frameworks26 [OIX website] 13
  14. 14. 9/27/2011 Public Key Infrastructures • Ook een vorm van trust framework • Met name voor SSL27 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance28 14
  15. 15. 9/27/2011authenticatie registratie betrouw- middel p proces baarheid 29 Levels of Assurance • Standardiseer op discrete levels • Combi technologie EN proces • Voordeel: schaalbaarheid, ontkoppeling • Vier levels [NIST] [STORK] [eHerkenning] Assurance Levels authenticatie 1 2 3 4 1 Level 1 Level 1 Level 1 Level 1 Assurance 2 Level 1 Level 2 Level 2 Level 2 Levels voor registratie 3 Level 1 Level 2 Level 3 Level 330 4 Level 1 Level 2 Level 3 Level 4 15
  16. 16. 9/27/2011 Four levels no or minimal confidence in the assertedlevel 1 identity, or no assurance at all.No or minimal assurance medium confidence in the asserted identitylevel 2:Low assurance high impact, high damages in case of anLevel 3: identity misuse.Substantial assurance addresses those services where damageLevel 4: caused by an identity misuse might have aHigh assurance heavy impact.31 Based on EU STORK D2.3 (B. Hulsebosch a.o., Novay) Voorbeelden (eHerkenning) Geen/minale controle identiteit Gebruikersnaam / wachtwoord G b ik ht d Kopie identiteitsbewijs, aangetekende post SMS OTP, OTP token, certificaat Origineel identiteitsbewijs, controle identiteit bij ontvangst SMS OTP OTP token certificaat OTP, token, Origineel identiteitsbewijs, fysieke verschijning Gekwalificeerd certificaat, PKI Overheid32 16
  17. 17. 9/27/2011 5 take-aways / stellingen Smartcards zijn oud, mobiel is het nieuwe authenticatiemiddel j , Context kan helpen authn & authz beter te maken Hergebruik van externe identiteiten, niet zonder risico maar wel de weg te gaan, zeker voor patiënten en partners Levels of Assurance concept helpt flexibiliteit met controle te combineren bij verschillende (externe) identiteiten Wildgroei op identiteitsoplossingen patientenportalen, neemt de zorgsector dit wel serieus genoeg?33 Vragen en discussiewww.novay.nl | maarten.wegdam@novay.nl | 053-4850414 | @maartenwegdam |http://maarten.wegdam.name (blog) | http://www.linkedin.com/in/wegdam34 17
  18. 18. 9/27/2011 backup35 Digitale identiteit authenticatie (wachtwoord etc) Attributen Att ib t Pietje Puk Kalverstraat 1 1234AB Amsterdam 11-12-1913 te Amstelveen Man ….36 18
  19. 19. 9/27/2011 Attribuut verificatie37 Technische (federatie) standaarden convergeren (enigzins) OpenID/ • Web 2 0 / social netwerking 2.0 • OpenID.org en IETF oAuth • OpenID Connect is nieuwe versie • Higher-security SAML • OASIS • Onderwijs, overheid, in-company Others? • Geen significante anderen, op dit moment …38 19
  20. 20. 9/27/2011 NLse identity initiatieven 2010-2011 OpenIDplus.nl OpenIDplus nl eNIK NIK C2G C2B B2G B2B Branche specifiek Digitaal Paspoort (Sivi)C = consumer/citizenB = business 39G = government 20

×