Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Business
Redactie TechPulse

'PKI was niet nodig, maar is opgepikt door de overheid.'

De beveiligingstechnologie Public Key Infrastructure is al dertig jaar oud. Pas nu overheden de technologie hebben opgepikt, lijkt PKI een hoge vlucht te kennen.

We vragen Stijn Bijnens, CEO van Ubizen, hoe het nu verder zal gaan.

IT Professional: PKI bestaat 30 jaar. Een tocht over rozen?
Stijn Bijnens: In zijn dertigjarig bestaan is de technologie eigenlijk nooit doorgebroken. In de jaren 1999-2000 was er wel een hype met het dotcomgebeuren. Bedrijven die toen actief met PKI bezig waren, zoals Baltimore, Verisign en Entrust, haalden hoge waarderingen. Maar dat is op een zware kater uitgedraaid.

Vanaf de tweede helft van 2000 zijn al die bedrijven gecracht op de beurs en is er een negatieve connotatie gekomen aan PKI. Sommigen beweerden dat de afkorting stond voor ‘Please Kill It’. Het heeft dan vijf jaar geduurd tot we er nog eens iets van hoorden.

Was PKI zijn tijd dan te ver vooruit?
Grote bedrijven en banken hebben destijds geïnvesteerd in PKI-technologie, maar de meeste projecten mislukten. Een van de redenen was dat de technologie moest kunnen steunen op organisatiediagrammmen die er helemaal niet waren. Een bedrijf moest dus eerst zijn eigen organisatie in kaart brengen. De PKI-projecten raakten daarom vaak de kern van HR-management. Daar waren bedrijven niet klaar voor.

Een tweede probleem was de onduidelijkheid van hoe PKI te gebruiken. De applicaties werkten nog niet met PKI. Dan bedoel ik belangrijke toepassingen zoals MS Office en back-end toepassingen als databanken en document management systemen.

Derde probleem waren de readers. Er waren onvoldoende standaarden. USB bestond nog niet en de seriële poort stak al vol, zodat readers er niet meer bij konden. Maar het grootste probleem was dat PKI niet nodig was. Er was geen behoefte aan confidentiële email. Paswoorden werden als voldoende beveiliging beschouwd. Het was te vroeg voor een belangrijke rol van PKI in de zakenwereld. Pas als de wet sterke authenticatie of digitale handtekeningen verplicht, zal men het echt gebruiken.

Wat is de rol van de overheid voor PKI?
Meestal hinkt de overheid achterop met technologieën die al wel in grote bedrijven en banken worden gebruikt. Maar in PKI lopen de overheden voor, omdat ze sterke authenticatie nodig hebben voor online-diensten naar de burgers, voor dataprotectie en voor grenscontroles. De overheden hebben PKI opnieuw opgevist, omdat die de beste beveiliging biedt. Een overheid heeft een wettelijk kader nodig en PKI kan dat bieden: authenticatie, digitale handtekening, bewijskracht.

Je ziet nu ook wereldwijd initiatieven. Zelfs in de VS, terwijl dat toch geen typisch smartcardland is. De identiteitskaart is er zelfs nog niet ingeburgerd. Ook in Australië heeft het parlement nu een budget goedgekeurd voor een access card. Om politieke redenen noemen ze het geen identiteitskaart, maar het is toch een uniek identificatiesysteem.

De overheid heeft al veel persoonsgegevens en lijkt dus het wel logisch dat zij er als eerste mee beginnen…
In de meeste Europese landen is er al een papieren identiteitskaart. Een elektronische identiteitskaart is gewoon een equivalent, wat het makkelijker maakt om te implementeren. Maar je moet het nog steeds maar doen.

Zijn de initiële problemen van PKI nu eigenlijk van de baan?
Het kip-en-eiprobleem is opgelost. Wat komt eerst: authenticatie of de applicaties? Microsoft bouwt in Vista PKI in als één van de basiscomponenten. Oracle is er ook mee bezig. Adobe gebruikt het voor beveiliging en ondertekening van documenten. De grote softwaremakers implementeren het. Daardoor moeten bedrijven geen custom integraties meer doen. Ondertussen zijn ook de kaartlezers gestandaardiseerd en kosten ze maar 20 euro meer.

PKI is nog steeds complexe technologie, maar ze kan tegenwoordig geoutsourcet worden. De complexiteit kan dus buitenshuis worden gehouden. Je gebruikt dan een managed service provider die de certificaten aanbiedt.

De bedrijfsstructuur moet wel nog steeds in kaart worden gebracht. Maar dat is geen louter technologische PKI-zaak. Eender welke concurrerende technologie heeft diezelfde voorvereiste. Directory services zijn nu ook meer doorgedrongen, met bijvoorbeeld Active Directory van Microsoft. Er begint dus een maturiteit te ontstaan.

RFID en PKI worden vaak als concurrerende technologieën beschouwd. Is RFID geschikt voor privacygevoelige toepassingen?
RFID is oorspronkelijk ontwikkeld om blikken soep en containers te kunnen volgen in WalMart. Het is gemaakt voor tracking en tracing van objecten. Men is het dan gaan gebruiken om mensen te identificeren. Bij de nieuwe reispas maken veel landen gebruik van RFID.

Het grote voordeel is dat het contactloos is. Maar dat maakt het ook zo gevaarlijk. Iemand kan uw hele doen en laten volgen en dat opent een problematiek rond privacy. RFID is een technologie om gegevens te bewaren en te verzenden. PKI is een beveiligingsstandaard.

Eigenlijk kan je de twee combineren. Je zou een contactloze PKI-kaart kunnen maken. Het e-paspoort gebruikt wel PKI, maar enkel om te verifiëren of de data onveranderd zijn gebleven. Wat maakt dat je de gegevens dus niet kan wijzigen, maar wel kopiëren. Het zijn dus geen echte PKI-transacties, wel een ondertekening van de data.

Het systeem van eID werkt met een private sleutel op je identiteitskaart, die je gebruikt om aan te loggen op een pc. Die sleutel activeer je met een PIN-code en hij kan niet uit de kaart worden gehaald. Met een publieke sleutel, die iedereen mag kennen, kan je dan achteraf de transactie nagaan. Die laatste kan je niet kopiëren. Met RFID, daarentegen, kan je de data op elk ogenblik lezen zonder dat de gebruiker het moet activeren.

Is er meer wetgeving nodig voor PKI?
Eigenlijk is er al een wetgeving voor PKI. Rond de digitale handtekening is er een Europese wetgeving die dan door elk land overgenomen werd. Als je iets ondertekent met je private sleutel, heeft die handtekening wettelijke waarde. En er is de dataprivacywetgeving die zegt dat je de gegevens van je werknemers moet beschermen. De wijze waarop is niet gespecificeerd, maar het principe staat vast.

Banken hebben zelfs een verplichting tot sterke authenticatie. Zij mogen hun transacties niet enkel beveiligen met een paswoord, zoals dat in Amerika wel kan. Ik denk dat er in de toekomst nog wetgevingen gaan komen over hoe je documenten confidentieel moet houden. Er is immers een trend naar regulatory compliance.

Voor er echt nieuwe wetten komen, zal er eerst iets serieus verkeerd moeten gaan. Net zoals in de scheepvaart moet er eerst een ongeluk zijn me een enkelwandige tanker voor de regels voor dubbelwandige tankers weer worden geactiveerd. Veel zaken worden nu nog niet afgedwongen. Er is sterke wetgeving rond dataprivacy, maar ik denk niet dat veel bedrijven in overeenstemming zijn met die wetgeving. Toch halen te weinig incidenten de oppervlakte.

In California is er al twee jaar een regel die verplicht om bekend te maken als er gevoelige data worden gestolen. Omdat dat gênant is, gaf dat een enorme boost aan security. Niemand wil met slecht nieuws op de cover van een krant. Ik vind dat zo’n wetgeving hier ook moet komen. Maakt de eID nieuwe vormen van criminaliteit mogelijk? EID lost juist veel problemen op, zoals identiteitsdiefstal en phishing. Het stelen van identiteiten was makkelijk doordat men met paswoorden werkte. Paswoord en login zijn makkelijk te stelen en te gebruiken.

Bij sociale engineering kan dat nog, maar elke transactie vereist tussenkomst van het slachtoffer. Nu moet de eigenaar van de eID alles zelf doen, omdat je de kaart nodig hebt en een pincode. Een slachtoffer kan in de val worden gelokt en verkeerde transacties doen, maar hij moet de transacties persoonlijk uitvoeren. Als de gebruiker stom is, is er niets aan te doen. Een smartcard is dus op dit ogenblik de meest betaalbare veilige oplossing die werkbaar is.

Het Nederlandse systeem PKIoverheid werkt zonder smartcard. De overheid beheert paswoorden en zorgt voor authenticatie. Is dat systeem haalbaar?
Het Nederlandse systeem is vrij toegankelijk. Hier doet iedereen mee, of je het wil of niet, of je het gebruikt of niet. Het grote voordeel van het Belgische systeem is dat de applicatieontwikkelaars meer gemotiveerd zijn om toepassingen te gaan integreren.

Ten tweede maakt de smartcard dat de beveiliging beter is. Al moet wel steeds de afweging worden gemaakt tussen kost, gebruiksvriendelijkheid en veiligheid. Het is een beetje risicobeheer. De smartcard is veiliger, maar je moet je afvragen of een minder veilig systeem ook niet voldoet voor een bepaalde toepassing. Als je naar transacties van een hogere waarde of confidentialiteit zijn, is een betere beveiliging nodig.

Maar er is ook een perceptieverschil. In de VS wordt voor internetbankieren alleen paswoorden gebruikt en iedereen vindt het goed genoeg. Volgens de banken is de kost van de fraude lager dan de kost van iedereen een smart card te geven.

Is er nog een rol weggelegd voor biometrie?
Biometrie heeft beperkingen. Mensen willen niet dat in hun oog gekeken wordt. Stemherkenning is opneembaar, en vingerafdrukken zijn makkelijk te beschadigen. Al is in de nauwkeurigheid van de technologie wel vooruitgang te merken.

Biometrie wordt een aanvullend systeem bovenop PKI. Voor de identiteitskaart kan je bijvoorbeeld de pincode vervangen door een vingerafdruk. Dan kan niemand de kaart stelen en de pincode achterhalen.

blogbusinessitprofessional
TechPulse
Redactie TechPulse

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business