Een plan om PKI te laten slagen

PKI: Een korte uitleg over het technisch bouwwerk

Voor een gebruiker die gebruik maakt van PKI is tekenen van een bestand relatief simpel: gewoon ergens een knopje indrukken of klikken, en een bestand is getekend. Technisch op de achtergrond wordt het bestand samen met de zogenaamde Private Key door een programma gehaald, wat een lang binair getal oplevert. Je kunt de handtekening controleren door bestand, het binaire getal en de Public Key door een “Klopt het” programma te halen. Als dit met elkaar klopt, dan klopt de handtekening. Als iemand heeft gerommeld met het bestand of een andere Private Key heeft gebruikt, dan krijg je een melding.
De Public Key is opgenomen in een bestand, en dit bestand heet een certificaat. Iemand die digitale handtekeningen wil zetten heeft dus zowel de Private Key nodig als het certificaat.

Om de werking van het “Klopt het” te programma te begrijpen moet je een gedachtesprongetje maken: het certificaat is namelijk zelf ook weer een bestand, en dit kan je dus ook van digitale handtekening voorzien, en die handtekening kan je dan weer controleren met hetzelfde "Klopt het?" programma. En dit spel kan doorgaan, met telkens weer een nieuw certificaat dat gebruikt wordt om een onderliggend certificaat te valideren. Op een gegeven moment stopt het spel, het laatste certificaat is het Root certificaat.

Staat der Nederlanden
Binnen de overheid stop je bij het Root certificaat van de Staat der Nederlanden. Als je dit opent in Internet Explorer, dan zie je de tekst: "This CA Root certificate is not trusted. To enable trust, install this certificate in the Trusted Root Certification Authorities store". Wees niet ongerust, het is echt wel te vertrouwen, het is bij Algemene Maatregel Van Bestuur gepubliceerd in de Staatscourant, en ondertekend door de verantwoordelijk Minister. En de Minister is weer aangesteld door de Koningin, en die heeft daarvoor haar handtekening gezet.
De tekst betekent alleen dat Microsoft het niet vertrouwt. Want om vertrouwen te krijgen van Microsoft moet het het Root certificaat zijn opgenomen in de Microsoft Browser, en Microsoft laat zich hier fors voor betalen. De Staat der Nederlanden zal nooit hiertoe het inititatief nemen, een Nation State laat zich niet autoriseren door particuliere bedrijven.

Van bedrijven als Versign en haar dochter Thawte zijn door Microsoft wel certificaten opgenomen. Zij geven eindgebruikers certificaten uit met een bijbehorende Private Key. Ze doen hun best zo goed mogelijk de identiteit te controleren van degene die het aanvraagt. Men doet dit door te rade te gaan bij Dun & Bradstreet, die zelf dit weer controleert via de Kamer van Koophandel. Let dus op: uiteindelijk is het de Kamer van Koophandel die de uiterste autoriteit is, alle andere bedrijven zijn slechts een tussenschakel naar de Kamer van Koophandel. Het actieplan van Lizatec is gebaseerd op een directe rol van de Kamer van Koophandel. Door het uitschakelen van tussenstations wordt natuurlijk de kans op fraude veel kleiner.

Werkt het systeem in de praktijk?

Software leveranciers lopen altijd voor op gebruikers bij het onderkennen en gebruiken van technische mogelijkheden.
Een aantal jaren geleden had ook Lizatec een Verisign certificaat, dat wij gebruikten om onze software van een digitale handtekening te voorzien. Hierdoor wisten gebruikers zeker dat er niemand met een programma had gerotzooid. Bij een steekproef bleek tot onze teleurstelling echter dat niemand van onze eindgebruikers ons mooie certificaat ooit had gezien. Iemand die software installeert download het namelijk meestal naar de harde schijf, en runt het dan. Het in de browser opgenomen "Klopt het"programma wordt dan niet aangeroepen, er wordt dus niets gecontroleerd, en het is ook niet zichtbaar voor gebruikers. Wij hebben het certificaat van Verisign dan ook laten verlopen, en gebruiken het niet meer.
Bijna geen enkele leverancier van software voorziet software overigens van een digitale handtekening. Het downloaden van de site van de leverancier wordt allerwege als voldoende waarborg gezien voor de authenticiteit van software. Net zoals het beschikken over een email adres als voldoende wordt gezien om wachtwoorden te krijgen. Zelf denken wij niet dat het terecht is, men denkt te licht in de ICT over security.

Lees verder...