2 november 2006 11:24

Open source beveiligt geldtransacties Banksys

Banksys heeft net een project afgerond om een aantal diensten ter ondersteuning van het elektronische betaalverkeer te versleutelen met Opentrust van het Franse IdealX. Zoals bijna elk product dat met ‘open-‘ begint, is het openbronsoftware. In dit geval is het product gebaseerd op OpenSSL. IdealX heeft de software op maat aangepast voor Banksys. Op dit ogenblik is Banksys dan wel overgenomen door Atos Origin, het project is nog volledig van Banksys.

Peter Johannes, hoofd van Security Architecture & Policies bij Banksys, noemt het gunstige commerciële model van IdealX als belangrijkste reden voor de keuze voor openbronsoftware. IdealX gebruikt geen licentie per gebruiker, maar wel een soort ‘clubbijdrage’ per klant. Het bedrijf ziet zichzelf niet als softwareleverancier, maar als een facilitator die open source technologieën samenbrengt.

Opentrust wordt bij Banksys gebruikt ter ondersteuning van SSL-terminals, de betaalterminals die via het internet werken. Het zorgt ook voor de versleuteling bij beveiligde lijnen van banken en bij e-commerce. Die toepassingen lopen ver uit elkaar. Het enige wat ze gemeen hebben, is het gebruik van certificaten als basis van het versleutelingsprotocol (SSL, IPSec, 3D-Secure, enzovoort).

‘Omdat er zoveel verschillende toepassingen zijn, hebben we op dit ogenblik veertien trust authorities nodig, met elk een aantal certificaten van sleutelparen,’ volgens Peter Johannes, ‘Vanwege die vele authorities was een commercieel product onwerkbaar. Dan hadden we teveel verschillende licenties moeten betalen. Met open source hebben we gekozen voor een model dat toelaat om meer root sleutels bij te maken en dat niet gebonden is aan het gebruik of aantallen geproduceerde certificaten.

‘Het grote nadeel van OpenSSL, is dat het snel evolueert,’ zegt Johannes, ‘waardoor Banksys op gevoelige plaatsen moet zorgen dat het systeem altijd up-to-date is. Dat is moeilijk te organiseren, omdat het releasestramien bij Banksys meerdere tests vereist. Al zijn de updates van OpenSSL niet altijd veiligheidsupdates. Er worden vaak gewoon features toegevoegd. De overstap van OpenSSL 9.7 naar 9.8 voegt bijvoorbeeld een aantal nieuwe hash-algoritmes toe om alternatieven te bieden voor de sterk verzwakte SHA-1 en md5. De ondersteuning van deze evolutie, en ervoor zorgen dat de PKI up to date blijft, valt buiten het bestek van Banksys. Daarom zijn partijen als IdealX voor ons erg interessant’

EXPERIMENTEN SINDS 2004
Begin 2004 begon Banksys te experimenteren met Open-SSL. ‘Dat is het voordeel van open source software,’ zegt Peter Johannes, ‘je kan met weinig moeite de technologie op voorhand in een ontwikkelomgeving gaan testen. We gingen na of OpenSSL wel te koppelen was met de hardware en de reeds beschikbare versleuteling. Tegen de herfst van 2005 wisten we wat we wilden.’

‘In maart 2006 kozen we dan voor IdealX. RedHat kon gelijkaardige technologie bieden, maar ze hebben nooit geantwoord op onze vraag. IdealX zou zijn standaardproduct laten evolueren voor Banksys. Ze zouden zorgen voor integratie met de hardware security modules en het importeren van wat er al was van PKI (Public Key Infrastructure), want er waren al Certification Authorities actief. In juli 2006 kwam IdealX een opleiding geven. Midden oktober werd de technologie in productie genomen. Dat was ook de timing die we hadden afgesproken.’

De specificatiefase verliep heel intens, volgens Peter Johannes. Drie mensen van IdealX kwamen twee dagen naar Banksys. Ze kregen de specificaties mee op basis van de experimenten die Banksys zelf al had gedaan met Open-SSL. Een deel van de code was immers als geschreven. De andere intensieve fase was de oplevering met de training die in totaal twee weken duurde. Zowel de technische materie als de functionele kant en over de configuratie werden overgedragen. Het budget is niet overschreden. ‘Kon ook niet,’ volgens Peter Johannes, ‘IdealX werkt met een vaste prijs. Daarin zitten alle licenties vervat, alsook het projectwerk en de support voor het eerste jaar.’