• Identity & Access Management
  • Identity Management
    • Het Belang
    • Voorwaarden
  • Access Management
  • Federative identity management
  • Provisioning
  • Role based access control
  • Single Sign-on
  • Governance, risk & compliance
  • Identity Based security architecture
    • Location based authorisation
    • Network access management
    • Application signing
    • File signing
    • Transaction signing
• IAM4Cloud
• De expertises van Traxion
  • Identity Management Solutions
  • Business Consultancy
    • Digitale overheid
    • Cloud Security
  • Service & Support
• Referenties
• Partners
• Producten
  • IM Sequencer
  • ILM Framework
  • BC producten
• Over Traxion
  • Werken bij Traxion
  • Downloads/ publicaties
  • Nieuws
  • Evenementen
  • Vorige evenementen
  • Contact
• Home

Diginotar! Raakt dit ons?

De drie vragen van de business (of van de CIO)

Dit bestaat uit drie deelvragen:

Wat is er aan de hand?

• Het Nederlandse Diginotar is door Iraanse hackers gekraakt. Diginotar is een Trusted Third Party, een bedrijf dat officiële PKI certificaten levert. PKI certificaten zijn cryptografische sleutels die onder vrijwel ieder beveiligingsmechanisme zitten. De aanvallers hebben nepcertificaten aangemaakt op naam van Diginotar. Toen deze op Internet opdoken besloten de grote softwaremakers zoals Microsoft en Google om Diginotar van de lijst vertrouwde leveranciers te halen. Daarop werkte beveiliging op basis van Diginotar certificaten niet goed meer, zoals vooral bleek bij DigID. Dit dwong de Nederlandse overheid in te grijpen, die uiteindelijk Diginotar in de ban heeft gedaan. Vooral toen duidelijk werd dat de hackers ook lopers hebben kunnen maken. Of er daadwerkelijk lopers zijn gemaakt, zal waarschijnlijk nooit bekend worden.

Is dit éénmalig of een voorproefje van nog meer ellende?

• Diginotar is het slachtoffer geworden van een cyberjihad tussen Iran en de Verenigde Staten. De schade in ons land is wellicht alleen maar Collatoral Damage. Ook zijn er claims dat de aanval vergelding voor de Nederlandse rol in Srebrenica zou zijn. Hoe het ook precies zij: aanvallen met vergelijkbare achtergrond zijn al meer gebeurd (onder meer rond Kirgizië, Georgië, Birma en Syrië). De tijd van de eenzame hacker is al een tijdje voorbij, maar nu gaat de tijd van de cybercrimineel over in de tijd van Cyberwar.
• PKI is het belangrijkste wereldwijde beveiligingsmechanisme, en is daardoor een zeer favoriet doelwit. De kans op herhaling is dan ook aanzienlijk, gegeven dat de twee andere wereldwijde doelen (BGP en DNS) ten eerste veel beter beveiligd zijn en ten tweede ook zelf weer afhankelijk zijn van PKI.
• De wereldwijde PKI infrastructuur is al oud en kwetsbaar, voornamelijk door achterstallig onderhoud door leveranciers en gebruikers. Er is echter vooralsnog geen alternatief.

Hoe kom ik erachter hoe kwetsbaar onze organisatie is?

• Iedere organisatie met computers maakt gebruik van certificaten. Velen ervan zitten ‘verstopt’. Om te weten hoe kwetsbaar je bent, moet je weten
  • hoeveel sleutels er zijn,
  • waar ze zijn,
  • op welke sloten ze passen
  • hoe goed de sloten zijn en
  • hoe je de sleutels en sloten in geval van crisis kunt vervangen.
• En vergeet daarbij niet de sleutels die bij je leveranciers liggen, al dan niet in de Cloud[1].

Waar moet ik aan denken bij netjes oplossen?

• Als je organisatie de bovenstaande vragen correct kan beantwoorden, dan heb je felicitaties verdiend. Je hebt dan namelijk het schier onmogelijke bereikt.
• Zo niet; dan heb je behoefte aan een management oplossing voor certificaten. Als het totaal aantal klein is, zal dat een eenvoudig systeem zijn. Als je duizenden certificaten hebt, dan heb je een navenant systeem nodig. PKI is uiteindelijk een beheervraagstuk, en daarbinnen vooral een logistiek vraagstuk.

Traxion is specialist in het beheer van sleutels die toegang geven tot systemen en data: Identity en Access Management. In de beginjaren van Traxion was dat veelal PKI, vanaf 2003 is het werkveld verbreed naar provisioning. Met de opkomst van de cloud beveiliging komt PKI weer sterk in beeld. En Traxion is haar wortels niet vergeten.

 

[1] Dit zijn de vragen in gewone mensentaal. Voor techneuten zijn de vragen:
Welke certificaten staan op welke machines op het netwerk of buiten?
Welke certificaten zijn ingebed in applicaties?
Hoe zit het met mobiele devices?
Welke certificaten verlopen op welke datum?
Welke certificaten gebruiken welke cryptografische algoritmes (minimaal welke PKCS variant, welke SHA en RSA of DSA?)
Welke certificaten van welke RootCA zijn er in gebruik?
Welke certificaat zijn via welke RootCA’s en InterMediate CA’s gegarandeerd?

Nieuws