Voor de Identity & Access Management themadag van de Special Interest Group Informatie Beveiliging van de UMCs. Dit was op 19 september 2011, met security officers en andere geinteresseerde profesionals van de UMCs en grote Nederlandse ziekenhuizen. Lokatie was UMCU.

1. 9/27/2011
Identiteit & authenticatie
SIG IB
SIG-IB IAM themadag
Maarten Wegdam
19 september @ UMC Utrecht
Met input van
Martijn Oostdijk, Bob Hulsebosch
2
1

2. 9/27/2011
[Healthcare professionals’ experiences with EHR-System access
3
control mechanisms. A. Faxvaag a.o., IMEI 2011]
not-for-profit ICT voorheen Telematica
onderzoeksinstituut Instituut
multidisciplinair, ~50 innovatieprojecten
onderzoekers/advisors
identity,
principal researcher, p
privacy, trust
y,
lid MT
Maarten
Wegdam
gepromoveerd in CV: KPN Research,
Informatica (RuG, UT) Bell Labs, UD@UT
4
2

3. 9/27/2011
Vier ontwikkelingen
Authenticatie middelen: de mobiel en context
Werknemers vs patiënten vs partners
Externe identiteiten & trust frameworks
Levels of Assurance
5
Principes van authenticatie
Binden van
geb u e
gebruiker
Tamper
resistent Multi-factor
hardware
Sterke crypto Multi-channel
Gebaseerd op [M. Oostdijk (Novay) , Authenticatiemiddelen:
6
Stand van zaken, 2010]
3

4. 9/27/2011
Indeling authn middelen
knowlegde based
PKI token
weet
software token
hebt bent biological
OTP token
behavioral
challenge response token
7
Mobile-centric identity
Mobiel als authenticatiemiddel
ob e a s aut e t cat e dde
• Personal device
• Altijd bij je
• Geen (weinig) additionele hardware kosten
• Tweede (?) kanaal
• Diversiteit telefoon platformen …
Authenticatie voor mobiele diensten
• Usability uitdagingen, bv wachtwoorden
• Geen tweede kanaal meer
8
4

5. 9/27/2011
Vier types van mobiele authn
SMS one-time-passwords
p
Mobile apps, bv OTP generators of tiQR
SIM-based, bv Mobile PKI
SIM augmented token (sticker)
9
SMS One-time-password
• Makkelijk bekend & mature
Makkelijk,
• Variabele kosten, ~5ct per SMS
• Minder veilig voor mobiele diensten, geen 2de
kanaal meer
• Threats voor mobiele platformen nemen toe
• GSM encryptie niet meer veilig (SMS
interception) → in ieder geval de perceptie
10
5

6. 9/27/2011
Mobile apps
• Goedkoop 
• Alleen voor smartphones, platform issues …
• Bv Versign VIP
11
• Gebruikersvriendelijker voorbeeld van Mobile App
• Mobile App gedraagt zich als authenticatie-token
• “Handsfree” – geen codes overtypen maar gebruik
van 2D-barcodes (QR) en Internet
• Open source en standaard gebaseerd (OATH)
• Zie: https://tiqr.org/
12
6

7. 9/27/2011
13
Mobile PKI
• Challenge response via SMSjes
Challenge-response
• Gebruikt SIM als secure element
• Afhankelijk van de operator: “huur” van ruimte
op de SIM kaart
• Vereist in NL een SIM swap: duur
• Werkt op alle mobieltjes
• Vrij gebruikersvriendelijk
14
7

8. 9/27/2011
Mobile PKI
[M. Oostdijk e.a., Mobile PKI, inloggen en ondertekenen met
15
je mobiel, PviB juli 2010, Novay & SURFnet]
SIM augmented token (sticker)
DP Nano
contact plate
DP Nano chip
SIM contact plate
Serial number
16
8

9. 9/27/2011
SIM augmented token (sticker)
• Sticker met embedded chip tussen SIM kaart en
telefoon
• Stikker bevat SIM apps
• Geen afhankelijkheden mobiele operator !
• Geïmplementeerd in VASCO Digipass Nano
product
• Event-based one-time-password (TAN)
• Vrij gebruikersonvriendelijk
[M. Oostdijk, M. Wegdam, Evaluation VASCO Digipass
17
Nano, Mei 2011, in opdracht van SURFnet]
Context & authn/authz?
Context als vierde factor
• Extra zekerheid, bijvoorbeeld gebruiker is thuis
• Veiliger, goedkoper of makkelijker?
• Simpele toepassing is IP-address-al-eerder-
gebruikt?
Context-enhanced authorization
• Context meenemen in autorisatie beslissingen
• Bijvoorbeeld: als arts op eerste hulp afdeling is dan
toegang tot alle dossiers, anders alleen eigen
patienten
• Novay recent onderzoeksproject gestart met IBM en
een grote bank op dit gebied.
18
9

10. 9/27/2011
Vier ontwikkelingen
Authenticatie middelen: de mobiel en context
Werknemers vs patiënten vs partners
Externe identiteiten & trust frameworks
Levels of Assurance
19
Verschillende groepen
werknemers
patiënten/
tië t / keten-
k t
cliënten partners
20
10

11. 9/27/2011
Patiënten & patiëntportalen
Afspraken, EDP,
eHealth
• 25 leveranciers
• 14 gebruiken eigen gebruikersnaam/wachtwoord, o.a.
UMCU, UMC Radboud, AZM
• 1 eigen gebruikersnaam/wachtwoord + SMS
• 1 eigen gebruikersnaam/wachtwoord en face-2-face
controle
• 4 Di iD l
DigiD laag ( b ik
(gebruikersnaam/wachtwoord), o.a. UMCG
/ ht d)
• 3 DigiD midden (SMS), o.a. Erasmus MC
• 2 certificaat met wachtwoord
[M. Heldoorn e.a., Patiëntportalen in Nederland,
21 NPCF, Nictiz, mei 2011]
Wat is er nodig?
• DigiD niveau midden?
• Binding d.m.v. GBA adres
• SMS one-time-password
• Niet goed genoeg voor landelijke EDP, aldus PWC
e.a. in 2010
• eNIK to the rescue ????
• Elektronische Nederlandse identiteitskaart
• Besluit najaar (?) 2011
• Iedereen heeft er één in 2018 ?
• En hoe autorisatie te regelen? bv mantelzorgers
[M. Wegdam, e-identity: zorgeloze identificatie van
22
zorgconsumenten, voor Nictiz, april 2010]
11

12. 9/27/2011
Vier ontwikkelingen
Authenticatie middelen: de mobiel en context
Werknemers vs patiënten vs partners
Externe identiteiten & trust frameworks
Levels of Assurance
23
Gebruiker centraal door hergebruik identiteiten
Voorbeeld:
identity
provider
gebruiker relying party
24
12

13. 9/27/2011
Trust framework/ afsprakenstelsels
Afspraken waar alle spelers zich
aan moeten houden
Meer vertrouwen en een gezond ecosysteem
• Nieuwe identity providers kunnen toetreden
• Dienstenaanbieders kunnen makkelijk gebruik maken van
alle identity providers (schaalbaarheid)
• Balanceren van belangen van identity providers,
dienstenaanbieders en gebruikers
• Privacy afspraken
• Governance / audits
25
Trust frameworks
26
[OIX website]
13

14. 9/27/2011
Public Key Infrastructures
• Ook een vorm van trust framework
• Met name voor SSL
27
Vier ontwikkelingen
Authenticatie middelen: de mobiel en context
Werknemers vs patiënten vs partners
Externe identiteiten & trust frameworks
Levels of Assurance
28
14

15. 9/27/2011
authenticatie registratie betrouw-
middel p
proces baarheid
29
Levels of Assurance
• Standardiseer op discrete levels
• Combi technologie EN proces
• Voordeel: schaalbaarheid, ontkoppeling
• Vier levels [NIST] [STORK] [eHerkenning]
Assurance Levels authenticatie
1 2 3 4
1 Level 1 Level 1 Level 1 Level 1
Assurance 2 Level 1 Level 2 Level 2 Level 2
Levels voor
registratie 3 Level 1 Level 2 Level 3 Level 3
30 4 Level 1 Level 2 Level 3 Level 4
15

16. 9/27/2011
Four levels
no or minimal confidence in the asserted
level 1
identity, or no assurance at all.
No or minimal assurance
medium confidence in the asserted identity
level 2:
Low assurance
high impact, high damages in case of an
Level 3:
identity misuse.
Substantial assurance
addresses those services where damage
Level 4: caused by an identity misuse might have a
High assurance heavy impact.
31
Based on EU STORK D2.3 (B. Hulsebosch a.o., Novay)
Voorbeelden (eHerkenning)
Geen/minale controle identiteit
Gebruikersnaam / wachtwoord
G b ik ht d
Kopie identiteitsbewijs, aangetekende post
SMS OTP, OTP token, certificaat
Origineel identiteitsbewijs, controle identiteit bij ontvangst
SMS OTP OTP token certificaat
OTP, token,
Origineel identiteitsbewijs, fysieke verschijning
Gekwalificeerd certificaat, PKI Overheid
32
16

17. 9/27/2011
5 take-aways / stellingen
Smartcards zijn oud, mobiel is het nieuwe authenticatiemiddel
j ,
Context kan helpen authn & authz beter te maken
Hergebruik van externe identiteiten, niet zonder risico maar wel
de weg te gaan, zeker voor patiënten en partners
Levels of Assurance concept helpt flexibiliteit met controle te
combineren bij verschillende (externe) identiteiten
Wildgroei op identiteitsoplossingen patientenportalen, neemt de
zorgsector dit wel serieus genoeg?
33
Vragen en discussie
www.novay.nl | maarten.wegdam@novay.nl | 053-4850414 | @maartenwegdam |
http://maarten.wegdam.name (blog) | http://www.linkedin.com/in/wegdam
34
17

18. 9/27/2011
backup
35
Digitale identiteit
authenticatie (wachtwoord etc)
Attributen
Att ib t
Pietje Puk
Kalverstraat 1
1234AB Amsterdam
11-12-1913 te Amstelveen
Man
….
36
18

19. 9/27/2011
Attribuut verificatie
37
Technische (federatie) standaarden
convergeren (enigzins)
OpenID/ • Web 2 0 / social netwerking
2.0
• OpenID.org en IETF
oAuth • OpenID Connect is nieuwe versie
• Higher-security
SAML • OASIS
• Onderwijs, overheid, in-company
Others? • Geen significante anderen,
op dit moment …
38
19

20. 9/27/2011
NLse identity initiatieven 2010-2011
OpenIDplus.nl
OpenIDplus nl
eNIK
NIK
C2G C2B
B2G B2B
Branche specifiek
Digitaal Paspoort (Sivi)
C = consumer/citizen
B = business
39
G = government
20