Over PKI, digital signing en de eID - Atelier Beeldende psychologie

We zijn al een tijdje bezig met het implementeren van de eID in het Partena Onlinekantoor. Woensdag 28/6/2006 ben ik naar een gespecialiseerde opleiding van IT Works geweest rond het onderwerp PKI en digital signing. Als psychologe was deze behoorlijk informatica technische opleiding een ware uitdaging 😉 Eén troost, een collega Project Manager e-Business van GFDI heeft me vergezeld en vond het op momenten ook wel technisch en saai.

Maar, we hebben er toch wel één en ander van opgestoken:

Een mooie definitie van PKI of Public Key Infrastructure vind je op http://eid.belgium.be/. “Een PKI (afkorting van Public Key Infrastructure) is een systeem dat aan gebruikers van elektronische communicatiediensten digitale sleutelparen (telkens bestaande uit een private sleutel en een publieke sleutel) ter beschikking stelt, aan de hand waarvan zij hun elektronische communicatie kunnen beveiligen en authentiseren (d.w.z. te waarborgen dat de communicatie van een bepaalde bron afkomstig is en niet gewijzigd is t.o.v. het moment van verzending door deze bron).”
De sleutelparen worden aan door een Registry Authority en eenduidig verbonden aan één of meerdere certificaten uitgereikt door derde partij, de Certification Authority, die hierbij dus een garantie verleent.
Het certificaat (deze garantie) kan op een zeer laag niveau liggen: een CA garandeert dat dit e-mail adres aan een bepaalde persoon is gekoppeld, of zeer hoog, de CA garandeert de identiteit van de persoon of nog verder hij garandeert dat die persoon de een mandaat heeft om een bepaalde transactie te doen vb. ondertekenen van een financiële transactie.
De hamvraag hierbij is: if things go wrong, who pays?! Dus het heeft te maken met “trust” tussen de partijen die elektronisch samenwerken en risicobeheer hierrond,? Wat in geval van verlies van certificaten? Wat in geval van diefstal? Hier spreken we dus over “Card stop” procedures, helpdesk support, incident management. Dit alles moet gegoten worden in afspraken tussen de verschillende partijen (certificate policies en certificate practice statements). Dit alles heeft dus een serieus prijskaartje. Hoeveel ben je bereid te investeren? Hoe minder hoe meer risico.

Dus bij de start van een PKI project start alles met de vragen:

waarvoor willen we het gebruiken?
wat hebben we nodig?
In welke context werken we?
Wat zijn mogelijke risico?s en welk budget hangt hieraan vast?
Hoe vertalen we dit naar nieuwe procedures?
Op de laatste plaats komt: Welke technologie en technische architectuur hebben we hiervoor nodig?

Van daaruit werd het verhaal doorgetrokken naar een aantal toepassingen van PKI?s. Het mooiste voorbeeld is de eID. De elektronische identiteitskaart in België bevat 2 certificaten: 1 voor de authentificatie van de natuurlijke persoon en 1 voor de digitale handtekening uitgegeven en gecontroleerd door de Belgische overheid. Dit betekent dat in dit systeem wordt gewerkt met een ?strong authentification? formule: een advanced electronic signature + qualified certificate + Secure Signature Creation Devices (SSCD). Dit laatste verwijst naar de garantie dat het voldoet aan de Europese Electronic Signature Directives (European Union Directive 1999/93/EC on Electronic Signature).

Een zeer dure aangelegenheid die volledig door de Staat wordt gedragen. De toepassingen zijn vooral gericht op de elektronische authentificatie bij inloggen en het digitaal ondertekenen van documenten, mails, formulieren, transacties,?

Technisch is alles klaar. Maar wat met de juridische kant van de zaak?
Alles start met de directieve van 1999/93/EC rond de elektronische handtekening. http://mineco.fgov.be/internet_observatory/pdf/legislation/dir_1999-12-13_nl.pdf Hiervan is de Belgische wet van 9/7/2001 letterlijk afgeleid. De basis is dat een elektronische handtekening wettelijk bindend is als de partijen die de handtekening plaatsen beiden regels hierrond hebben afgesproken (Certificate Policy en Certification Practice Statement) en zich er akkoord mee verklaren.

Belangrijk concepten die hierbij vastgelegd moeten worden:

?what you see is what you sign (WYSIWYS).? Je moet zorgen dat er geen ?onzichtbare? gegevens mee worden getekend of dat de gegevens die worden getekend nadien kunnen aangepast worden. We denken aan oplossingen zoals PDF.
Wat gebeurt er met het archiveren? Er moet een link zijn tussen de handtekening, de gegevens en het moment waarop de handtekening is geplaatst. Hierrond is nu een nieuwe wetgeving in de maak die het concept timestamping en elektronisch archiveren zal bepalen. Het aspect tijd is zeer belangrijk. Er bestaat immers een ?grijze zone? waarop je een certificaat verifieert bij de Certification Authority die op dat ogenblik nog niet over de laatste gegevens beschikt. Er is een ?delay.? Dus het tijdsaspect is onontbeertlijk om nadien te bewijzen of een handtekening al dan niet geldig was op het tijdstip van tekenen.

Ik zal je de technische architecturen voor aanmaak, registratie, verlies, herstel, validatie van certificaten besparen. Maar technisch heel wat mogelijk. De grootste nood zit in het aanbieden van correcte toepassingen, een betere wetgeving en instituten die de toepassing van de wetten ook controleren zoals het DIS Instituut (Digital Identity Standards Institute). http://www.disinstitute.be/

De opleiding werd afgesloten met een aantal cases waarvan 2 me zijn opgevallen als de sterkste:

Vlaamse Maatschappij voor Watervoorziening: Gebruik van de eID in de verhuisprocedure. In de dienstverlening met de ruim 1 mio contracten met klanten is verhuizen een cruciaal proces: 150.000 verhuizers per jaar. Het papieren circuit start van 3 ingevulde en getekende exemplaren met manuele input en een behoorlijke duurtijd. Hieraan hangt een administratieve kost van > 100 Euro/verhuis. De vervanging van het papieren proces met 13 stappen naar een digitaal proces met e-authentificatie en elektronisch ondertekenen in 6 stappen via de website betekent voordelen voor alle partijen. Geen papier, geen manuele input, minder fouten, snellere behandeling en betaling. In kost het grootste voordeel voor de maatschappij. Maar ook de klant is tevreden door het vlotter verlopen van zijn verhuis, geen vakantie meer moeten nemen om de verhuis te regelen,?
Carenet is een reeks van webdiensten die een beveiligde uitwisseling van informatie tussen de verschillende actoren in de zorgsector zoals ziekenhuizen, verplegers, het RIZIV, ziekenfondsen? mogelijk maakt. Hierdoor worden een hele reeks papieren documenten vervangen door het elektronische uitwisselen van gegevens. Voor het ogenblik zijn reeds een 180 ziekenhuizen in productie. Ook deze case toont zijn voordelen aan. Verhoging van de correctheid van de gegevens en de snelheid van de gegevens, minder menselijke tussenkomsten, grote besparing op portkosten.

Conclusies:

Start met de denkoefening van wat je wilt doen met de eID
Vertrek vanuit de business en bouw een goeie juridische expertise in.
Begin met 1 proces die ROI voor de organisatie en een voordeel voor de klant garanderen
Geen grote risico?s. Implementeer in kleine stappen want there?s no way back.

Ilse Jansoone

Related posts

Tentoonstelling met performance: Silent Songs

Uitnodiging: Open atelierdag