Nov
18
Posted in: Digitale Identiteit
Het is alweer enige tijd geleden dat het openid protocol 2.0 is geintroduceerd. In de tussentijd zijn er allerlei aanvullingen ontwikkeld, maar nooit een nieuwe versie gedefinieerd. Na de laatste IIW bijeenkomst lijkt daar verandering in te komen. De volgende doelstellingen zijn geformuleerd:
- Integrating the UX extension (in which the user interacts with the OP in a pop-up window) into the core specification: 12
- Evolving the discovery specification for OpenID, including adding OpenIDs using e-mail address syntax: 10
- Integrating attributes (claims) into the core specification: 9
- Integrating the OAuth Hybrid specification into the core specification: 8
- Supporting an optional active client (identity selector) and non-browser applications: 8
- Improve security, including investigating enabling use at levels of assurance above NIST level 1: 8
- Better support for mobile devices: 8
- Addressing the problem of long URLs (where browsers limit URL length to 2048 or sometimes 256 characters):
Lees meer in deze post
Nov
10
Posted in: Digitale Identiteit
Belangrijk onderdeel voor het accepteren van een digitale identiteit die is uitgegeven door een derde partij zijn de liabilities. Wat als de identiteit niet juist is, wat is het niveau van uitgifte etc.. Binnen OpenID wordt hier voolop aandacht aan besteedt. Een goede omschrijving van de problematiek kan je hier lezen:
Een amerikaans artikel, maar wel duidelijk in de problematiek.
Sep
28
Posted in: Elektronische Handtekening
Twee weken geleden heeft ETSI de nieuwe PADES standaard geintroduceerd.
Volgens deze standaard is het mogelijk om juridisch rechtsgeldige handtekeningen te zetten op basis van het PDF document formaat. Ondanks dat PDF handtekeningen al veel gebruikt worden, ontbrak het nog aan een officiële standaard.
De standaard is te downloaden op de site van ETSI
Adobe heeft meegewerkt aan de ontwikkeling van deze standaard. Naast PDF is er ook de XADES standaard (XML) en CADES standaard voor Cryptomatic. Een detail whitepaper over de ADES standaard is te vinden op de site van Adobe
Aug
25
Posted in: Digitale Identiteit
Tot mijn grote schrik zag ik dat het alweer 5 maanden geleden is dat ik een artikel plaatste op mijn weblog. Na mijn besluit om per 1 januari voor mijn zelf te starten met Evidos zijn er genoeg ontwikkelingen om iets over te publiceren. Ik heb het nog even geprobeerd met mijn Twitter account @papierloos, maar daar moet ik nog een beetje aan wennen, ik hoop het binnenkort weer een keertje te proberen.
Sinds januari ben ik druk met de verdere ontwikkeling van openid in Nederland. Op openid.startpagina.nl is een overzicht gemaakt van interessante informatie. Op dit moment wordt aan de openid.nl site gewerkt. Het openid event was een succes en ik wijs iedereen graag op het videoverslag.
Ondertussen help ik verschillende organisaties bij het accepteren van externe authenticatievoorzieningen als DigiD, eHerkenning of OpenID. Belangrijk punt hierbij zijn de discussies over het betrouwbaarheidsniveau voor authenticatie. Het ziet er naar uit dat internationaal, maar ook in Nederland concrete stappen gemaakt worden om deze LOA’s (levels of assurance) langzaam te standaardiseren.
Op openid.net staat een goed artikel over de ontwikkelingen om OpenID te accepteren op Overheid websites. Het lijkt erop dat ook hier een vorm van eHerkenning wordt gestart.
Tot slot wijs ik graag nog even op het weblog dat DigiNotar sinds kort is gestart. Ik heb er vertrouwen in dat Bart, Jaap, Zivko, Marcel en alle andere kennis experts leuke “onafhankelijk en vertrouwde” artikelen zullen plaatsen
Mar
26
Posted in: Elektronische Handtekening, papierloos
25 maart stond er in Trouw een leuk artikel “Het papierloze kantoor is veiliger, sneller en groener” over de voortgang in het papierloos werken bij de grotere organisaties. Ondanks de langzame start zie je dat steeds meer organisaties de weg naar het papierloze tijdperk weten te vinden.
De kredietcrisis kan hierbij een belangrijke katalysator zijn omdat hierdoor kosten besparen en duurzaam ondernemen hoog op de agenda staan.
Ik had nog even contact met Maaike Bezemer van Trouw om een aantal van de ontwikkelingen toe te lichten.
Mar
09
Posted in: Elektronische Handtekening
Bijgaand een uitspraak van een rechter in Amerika, waarbij het niveau van de elektronische handtekening niet wordt goedgekeurd en daarmee geen rechtsgeldige handtekening is gerealiseerd.
In deze casus ging het om een medewerker die een elektronische handtekening had geplaatst op een intern document op basis van een gebruikersnaam/ wachtwoord dat uitgegeven was door het bedrijf van de medewerker.
Bij het vaststellen van het niveau van de elektronische handtekening kijkt de rechter naar de betrouwbaarheid van het proces van identificatie. In dit geval is het proces van identificatie het uitreiken van een interne gebruikersnaam en wachtwoord aan de medewerker. De rechter vond dat het bedrijf niet genoeg maatregelen had getroffen om de intranet wachtwoorden af te schermen en alleen de geautoriseerde medewerker toegang te geven. Ook systeembeheerders hadden immers de handtekening kunnen plaatsen.
Bij het realiseren van de elektronische handtekening is het belangrijk om het proces van identificatie zo betrouwbaar mogelijk in te richten.
Ik denk dat er nog veel van dergelijke zaken zullen volgen in de toekomst.
Mar
09
Posted in: Elektronische Handtekening
Door de crisis zijn veel organisaties gedwongen om anders te gaan werken en kosten te besparen.
Samen met het personeel vinden brainstormsessies plaats hoe en met welke projecten de crisis te bezweren. Zo ook de coalitie.
In veel gevallen staat het thema “papierloos” hoog op de agenda.
Projecten die het gebruik van papier in een waardeketen beperken zijn waardevolle projecten aangezien ze vaak:
- Voordeel en gemak opleveren voor de gebruikers
- Op de korte termijn kosten kunnen besparen (Verzendkosten, personeel, snellere verwerking, opslag)
- Ze maatschappelijk verantwoord zijn en bijdragen aan innovatie.
Het vrijgeven van de mogelijkheid voor elektronisch factureren is hier een voorbeeld van, maar tal van organisaties gaan bijvoorbeeld contracten en orders elektronisch verwerken.
Om voor 100% papierloos te werken is het wel vaak van belang om ook de papieren handtekening te vervangen door een elektronische handtekening.
Feb
22
Posted in: Elektronische Handtekening
In de periode van 16-22 februari organiseert ETSI een interoperabiliteit test voor de geavanceerde handtekening. Leveranciers van elektronische handtekening producten testen hierbij de samenwerking tussen de verschillende ondertekeningsproducten en of deze voldoen aan de technische standaarden:
XAdES & CAdES
Doel van deze testen is te zorgen dat elektronisch getekende documenten op een eenvoudige wijze uit te wisselen zijn tussen bedrijven onderling.
Binnen deze standaarden worden elementen gedefinieerd als:
- Onafhankelijk tijdstip van ondertekening
- Geldigheid en vertrouwensniveau van de identiteit bij ondertekening
- Archiveren van de handtekening
Jan
31
Posted in: Digitale Identiteit
Eind januari was er enige ophef over een nieuwe shirtsponsor voor Feyenoord.
Een e-mail die afkomstig lijkt van de perswoordvoerder van Feyenoord, heeft op menig redactie voor gefronste wenkbrauwen gezorgd. De club zou een nieuwe shirtsponsor hebben gevonden in Fisherman’s Friend. Het ging om een vervalsing, maar verschillende journalisten trapten in de grap.
In dit geval was de schade beperkt. Maar eind september was er het zes jaar oude nieuwsbericht over American Airlines dat het aandeel 75% liet dalen.
Al met al een paar duidelijke voorbeelden dat de authenticiteit van een persbericht steeds belangrijker wordt om grote schade te voorkomen. Waarom maken huidige persvoorlichters, nieuwsverspreiders als ANP of Bloomberg nog geen gebruik van een digitale identiteit?
Hoe eenvoudig is het om de elektronische nieuwsberichten te voorzien van een elektronisch waarmerk! XML berichten kunnen voorzien worden van een XML handtekening, PDF berichten kunnen tegenwoordig eenvoudig gewaarmerkt worden en een e-mail bericht biedt ook eenvoudige mogelijkheden.
Opvallend genoeg zijn er nog weinig activiteiten op dit gebied, zowel internationaal en nationaal, terwijl de risico’s toch vrij groot zijn.
Dec
30
Posted in: PKI
Een nogal technische titel voor deze blogpost, maar ik kon even niet anders bedenken. Of toch “Stro-huisje van biggetje omver geblazen….”
In eigen bewordingen in het kort een schets van de problematiek zoals deze gepresenteerd is op het Chaos Communication Congres in Berlijn:
Voor de uitgifte van digitale identiteitsbewijzen uit een PKI wordt gebruik gemaakt van een hashwaarde om aan te tonen dat de inhoud van het identiteitsbewijs niet gewijzigd is. De hashwaarde is een rekensom die de inhoud van het identiteitsbewijs weergeeft in een unieke cijferreeks. Wordt de inhoud van het identiteitsbewijs gewijzigd dan zal deze unieke cijferreeks anders zijn. Nu zijn er verschillende methodes om deze cijferreeks te berekenen, de bekende zijn MD5, SHA1 en SHA256.
Deze methodes zijn te vergelijken met de drie huisjes van de drie biggetjes. MD5 is het huisje van Stro, SHA256 is het huisje van beton. Onderzoekers van de TU Eindhoven hebben bewezen dat het gebruik van de MD5 hash in digitale identiteitsbewijzen niet meer veilig is. Een en ander is gepubliceerd in een whitepaper.
Elke, zichzelf respecterende, certificaatuitgever maakt al tijden geen gebruik meer van het MD5 algoritme en is al in de weer met sha256. Zo is de nieuwe root van PKIOverheid ook gebaseerd op sha256. DigiNotar geeft geen certificaten uit op basis van dit md-5 algoritme.
Allereerst moeten we trotst zijn op dit Nederlandse onderzoek, het bewijst maar weer eens de goede expertise die we op dit gebied in huis hebben. Na de publicatie zijn er wereldwijd de nodige discussies op gang gekomen. Daarnaast zijn er toch verschillende, op het oog vertrouwde, goedkope CA’s, die dergelijke identiteitsbewijzen hebben uitgegeven.
Wederom een bewijs dat het kiezen van een goede certificaat instantie verder gaat dan alleen te kijken naar snelheid en prijs. Net als het biggetje dat ging voor stro en uiteindelijk bij zijn broertje in het stenen huisje moest schuilen…
