e-ok?

"Om zo veel mogelijk diensten mogelijk te maken zonder voor sommige diensten onnodig hoge drempels op te werpen, ligt het voor de hand om authenticatiemiddelen met verschillende beveiligingsniveaus te ondersteunen. Om het voor iedereen overzichtelijk te houden moeten we streven naar een beperkt aantal niveaus, bijvoorbeeld ‘hoog’, ‘midden’ en ‘laag’, of één tot en met vijf sterren", aldus Van Bellen. Hij wil samen met het bedrijfsleven en de overheid komen tot een overkoepelend ‘trustkeurmerk’ voor de verschillende authenticatieniveaus. De eerste plannen daarvoor worden volgende week woensdag gelanceerd op het congres van ECP.NL. Identiteit Authenticatie is onvermijdelijk als het op internet komt tot daadwerkelijk zakendoen. Of het nu gaat om contacten van burgers of bedrijven met de overheid, overheden onderling, bedrijven onderling of van consumenten met bedrijven. Partijen moeten van elkaar kunnen vaststellen of ze zijn wie ze zeggen te zijn. Het verifiëren van de identiteit kan globaal op drie manieren: door iets wat je weet (wachtwoord, pincode, ‘shared secret’), door iets wat je hebt (magneetstripkaart, chipcard, hardware-token, software-token) of door iets wat je bent (biometrie, bijvoorbeeld vingerafdruk of iriscopie). Vaak worden de mogelijkheden in combinatie gebruikt. Uit veel consumentenonderzoek blijkt steeds maar weer dat gebrek aan vertrouwen de belangrijkste reden is voor mensen om af te zien van transacties via internet. Het is vaak onduidelijk hoe betrouwbaar de verschillende authenticatiemiddelen zijn ten opzichte van elkaar en of ze voldoende veilig zijn voor de toepassing waarvoor ze worden gebruikt. Inmiddels dreigt er een wildgroei aan authenticatiemiddelen waardoor men door de bomen het bos niet meer ziet. Voor dienstenaanbieders is het moeilijk om te beslissen welk authenticatiemiddel voor hen het meest geëigend is (zie schema specifieke authenticatieoplossingen). Beveiligingsniveaus Niet voor elke transactie is de zwaarst mogelijke beveiliging vereist. Volgens de wet waarin de digitale handtekeningen worden geregeld en die op 21 mei van dit jaar in werking is getreden, hangt dat af van het doel waarvoor de elektronisch te verzenden gegevens worden gebruikt. In de praktijk zijn er globaal drie verschillende beveiligingsniveaus: laag, midden en hoog. Bij een laag niveau van beveiliging controleert de aanbieder van een dienst of product voordat hij overgaat tot levering eerst extra bij de aanvrager of hij daadwerkelijk iets heeft besteld. Als de kwaliteit van de authentificatiemethode hoger is (midden) dan kan er meteen worden geleverd en wordt de klant daarvan in kennis gesteld. Terugdraaien kan dan eventueel nog achteraf. Bij een hoog authenticatieniveau wordt altijd geleverd en blijft de kennisgeving daarvan aan de klant achterwege, of gebeurt pas veel later. In dat geval draagt bij fraude of misverstanden de dienstaanbieder doorgaans de aansprakelijkheid. PKI De overheid heeft voor de communicatie tussen overheden onderling, overheid-bedrijfsleven en overheid-burger een zware vertrouwensstructuur opgetuigd binnen de zogenaamde Public Key Infrastructure (PKI). Daarbij is er sprake van sleutelparen en certificaten die sleutels aan gebruikers koppelen. Die certificaten worden verstrekt door Certification Service Providers (CSP’s) die aan zware eisen moeten voldoen en die op hun beurt eerst moeten worden toegelaten door de Policy Authority (PA). PinkRoccade is in Nederland tot nu toe het enige bedrijf dat zich officieel een CSP mag noemen, die gekwalificeerde certificaten uitgeeft. Een zo verkregen digitale handtekening geeft veel waarborgen, maar is duur en is volgens velen ‘te zwaar geschut’ voor de authenticatie van het leeuwendeel van de transacties op internet. Daarom wordt gebruikers van elektronische diensten in toenemende mate een keuze uit verschillende eenvoudiger authenticatiemiddelen geboden. Specifieke authenticatieoplossingen Authenticatiemiddel: UserID met wachtwoord Voorbeeld: Aanmelden bij e-mail van Hotmail.com Voordelen: Eenvoudig aan te maken, eenvoudige vervanging bij verlies/vergeten Nadelen: Makkelijk te onderscheppen, makkelijk te raden, gebruiker merkt niet meteen dat het in verkeerde handen is gevallen Authenticatiemiddel: UserID met pincode Voorbeeld: Aanmelden bij internetbankieren Postbank Voordelen: Eenvoudig aan te maken, eenvoudige vervanging bij verlies/vergeten Nadelen: Makkelijk te onderscheppen, gebruiker merkt niet meteen dat het in verkeerde handen is gevallen Authenticatiemiddel: Sofi-nummer met pincode Voorbeeld: Belastingdienst elektronische aangifte, plannen SVB, BKWI Voordelen: Voor iedereen met een sofi-nummer, eenvoudig aan te maken Nadelen: Makkelijk te onderscheppen, gebruiker merkt niet meteen dat het in verkeerde handen is gevallen Authenticatiemiddel: Creditcardgegevens Voorbeeld: Paypal-betaaldienst, betaalsites op internet Voordelen: "Uitgevende bank als ‘trusted third party’, geeft mate van betaalgarantie, geeft bepaalde mate van leeftijdsverificatie; in Amerika: ook adresverificatie" Nadelen: Alleen voor mensen met een creditcard, fraudegevoelig Authenticatiemiddel: ‘One time passwords’ (uit een lijst) Voorbeeld: Transacties via internetbankieren Postbank Voordelen: Toezending via ander kanaal (post), geen gevaar voor onderschepping Nadelen: Probleem bij kwijtraken lijst, omslachtig Authenticatiemiddel: Software-token (met pincode of wachtwoord) Voorbeeld: KvK-register (voorgesteld), PGP-versleuteling Voordelen: Unieke identificatie van (computer van) gebruiker, sterke encryptie mogelijk, eenvoudige uitgifte (online) Nadelen: Niet secure als computer wordt gehackt/virus krijgt Authenticatiemiddel: Hardware-token offline Voorbeeld: Internetbankieren Rabobank Voordelen: Gebruiker merkt het snel als hij token verliest, unieke identificatie Nadelen: Duur fysiek apparaat, niet flexibel (‘non-upgradable’), niet interoperabel Authenticatiemiddel: Hardware-token (offline) + chipcard Voorbeeld: Internetbankieren ABN Amro Voordelen: Gebruiker merkt het snel als hij token verliest, unieke identificatie, trust in bankkaart geeft gebruiker vertrouwen Nadelen: Duur fysiek apparaat, niet flexibel (‘non-upgradable’), niet interoperabel Authenticatiemiddel: gsm Voorbeeld: Verschillende mobiele betaaldiensten Voordelen: Mobiele telefoon is vertrouwd apparaat, gebruiker merkt het snel als hij deze verliest, telefoonmaatschappij als ‘trusted third party’ Nadelen: Alleen voor mensen met een mobiele telefoon, geen verificatie of telefoon niet wellicht gestolen is Authenticatiemiddel: Hardware-token + gsm Voorbeeld: Suggesties voor mobiel betalen via (dual-slot) gsm Voordelen: Mobiele telefoon is vertrouwd apparaat, gebruiker merkt snel als hij token verliest, unieke identificatie van telefoon Nadelen: Dure hardware moet worden ingebouwd in telefoon. Kip-ei-verhaal (diensten versus readers) Authenticatiemiddel: Hardware-token online Voorbeeld: USB-token Voordelen: Online-verificatie mogelijk Nadelen: Geen goede standaard, dure hardware nodig Authenticatiemiddel: ‘Domme’ chipcardlezer + chipcard Voorbeeld: PKI-Overheid Voordelen: Hardware niet al te duur, veilig mits berekeningen op de kaart gebeuren Nadelen: Minder veilig als berekening op pc gebeurt, toetsenbord en scherm pc zijn niet ‘trusted’ Authenticatiemiddel: Embedded Finread of andere reader + chipcard Voorbeeld: Finread-reader in toetsenbord Voordelen: Online-verificatie mogelijk, flexibel door downloaden nieuwe applets Nadelen: Dure hardware, fabrikanten moeten het willen inbouwen, potentieel onveilig voor hackers, computervirussen Authenticatiemiddel: Secure online reader (Finread) + chipcard Voorbeeld: Finread-reader bij pc, bijvoorbeeld bij Interpay-medewerkers Voordelen: Online-verificatie mogelijk, flexibel door downloaden nieuwe applets, veilige reader (eigen scherm, toetsenbord) Nadelen: Dure hardware, kip-ei-probleem Authenticatiemiddel: Biometrie Voorbeeld: Irisscan: Schiphol, handpalmherkenning: intern bij bedrijven Voordelen: Geen mogelijkheid voor ‘family fraud’, unieke identificatie Nadelen: Zeer dure apparatuur, nog steeds foutmarges bij goedkopere biometrie, sociale aspecten Initiatieven Nationale Authenticatievoorziening (NAV) Belangrijke spelers: SVB, BKWI, (Belastingdienst) Doelgroep: Klanten sociale verzekering Middelen: Sofi-nummer + pincode OTV Belangrijke spelers: ICTU Doelgroep: Afnemers overheidsdiensten Middelen: Diverse e-banking authenticatie Belangrijke spelers: ING, ABN-Amro, Rabobank Doelgroep: Klanten van de banken, eventueel burgers Middelen: Offline-tokens met en zonder chipcard, ‘one time passwords’ A-Select Belangrijke spelers: SURF, hoger onderwijs, banken Doelgroep: Studenten en personeel hoger onderwijs Middelen: Diverse, waaronder e-banking Bedrijvenregister KvK’s Belangrijke spelers: Vereniging Kamers van Koophandel, PKI-Overheid Doelgroep: Grote bedrijven, intermediairs Middelen: Chipcards met ‘domme’ reader PKI voor de overheid Belangrijke spelers: ICTU, ministerie van BZK Doelgroep: Overheid, bedrijfsleven, (burgers) Middelen: Smartcards met reader Chipcard in het openbaar vervoer Belangrijke spelers: Ministerie van V&W, consortium Trans Link Doelgroep: Reizigers OV Middelen: Contactloze chipcard EMV Belangrijke spelers: Banken, Interpay Doelgroep: Klanten van de banken, eventueel burgers Middelen: EMV-chipcard en readers Finread Belangrijke spelers: Banken, anderen Doelgroep: Diverse, flexibel Middelen: ‘Slimme’ chipcardlezer voor diverse kaarten e-NIK Belangrijke spelers: Ministerie van BZK Doelgroep: Burgers van Nederland Middelen: Identiteitsbewijs met chip (PKI-Overheid) of zelfs biometrie Biometrie Belangrijke spelers: Diverse Doelgroep: Diverse Middelen: Diverse biometrie (iris-, hand- en gezichtsherkenning hebben beste kans) Samenhang tussen initiatieven OTV en NAV: -De sociale zekerheid wil met NAV snel een oplossing neerzetten die voldoende veilig is voor hun toepassingen (‘niet wachten op PKI’). ICTU wil met de Overheid Toegang Voorziening een portaal vormen voor authenticatie voor overheidsdiensten, waarbij NAV het laagste niveau is, en er een groeipad kan zijn naar hogere niveaus (met PKI als hoog niveau). Overheid en e-banking : -Overleg tussen overheid en banken om banken-infrastructuur te gaan gebruiken bij authenticatie t.b.v. overheidsdiensten. Zou eind 2003 go/no-go-beslissing moeten vallen. Overheid en EMV: -Op langere termijn wordt bezien of er overheid-PKI-functionaliteit op de EMV-chipcards van banken kan worden meegenomen. Hierbij zouden banken als ‘launching customers’ het kip-ei-probleem kunnen doorbreken. Finread en overige : -Finread als standaard wordt ondersteund door onder andere Interpay, maar er zijn nog weinig toepassingen. Finread zal aansluiting moeten zoeken bij andere initiatieven die werken met chipcards (onder andere EMV, e-banking). Er zal niet één partij zijn die de eindgebruiker Finread-readers gaat leveren, want daarvan profiteren de concurrenten die er ook gebruik van kunnen maken (het zogenaamde ‘prisoner’s dilemma’). Mogelijke oplossing is om zoveel diensten met Finread mogelijk te maken dat consument de reader zelf wil betalen.