Kip-ei-probleem vertraagt Identrus
Eind 1998 hebben acht internationaal opererende banken, waaronder ABN Amro, Identrus opgericht. Doel is financiële instellingen in de gelegenheid te stellen hun klanten veilige diensten op de open infrastructuren aan te bieden. De grote betekenis van Identrus is het juridische kader rondom het uitgeven van certificaten en het mogelijk maken van de uitwisselbaarheid van certificaten die door Identrus-banken worden uitgegeven. Vertrouwensomgeving Beweging en vooruitgang zit er wel in Identrus. Het zelfstandige bedrijf Identrus LLC, dat uit de acht initiatiefnemers is voortgekomen, timmert druk aan de weg met voorlichting en de promotie van onder andere ‘Starter Packs’. Identrus maakt een gestage groei door. Er zijn nu zestien banken die deelnemen in het aandelenkapitaal en meer dan vijftig banken die als Identrus-lid zijn ingeschreven. Identrus wil veilige en betrouwbare handelstransacties op het internet mogelijk maken. De uitgifte van certificaten kent een hiërarchische opbouw. Op de top van de piramide bevindt zich de hosting party Pink Roccade, die in opdracht van Identrus de primaire bankcertificaten uitgeeft en beheert. Deelnemende banken ontvangen van Pink Roccade een certificaat dat hen in staat stelt op hun beurt Identrus-certificaten of -paspoorten aan hun grote handelsklanten te verstrekken. De aldus gevormde vertrouwensomgeving voorziet behalve in veilig gevalideerd betalingsverkeer ook in een afgeschermde e-mailomgeving voor documentenuitwisseling die van rechtsgeldige digitale handtekeningen kan worden voorzien. Met de uitrol van Identrus is inmiddels een bescheiden begin gemaakt. Dat wil zeggen dat deelnemende banken het vertrouwensschema aanvaarden als beveiligingsmodel voor de eigen bankproducten, voor zover deze ‘Identrus-ready’ zijn. Momentum Als beveiligde vertrouwensomgeving op basis van een Public Key Infrastructure (PKI) in de open infrastructuur van het internet heeft Identrus een min of meer exclusief karakter. ‘Exclusief’ wil volgens directeur B2B-zaken Eric Kossen van ABN Amro zeggen dat eisen worden gesteld aan het vermogen van de deelnemende financiële instellingen om adequaat met de bijbehorende risico’s om te gaan. “Als bedrijf heeft Identrus het vertrouwensschema ontwikkeld. Het staat banken die aan de toegangsvoorwaarden voldoen toe daarin te participeren”, aldus Kossen. “Met een groeiend aantal van tussen de vijftig en zestig deelnemende financiële instellingen begint Identrus nu momentum te krijgen. Grote multinationale ondernemingen krijgen zo de veilige infrastructuur op mondiale schaal met een behoorlijke bancaire dekking.” Belangrijk voor de verdere groei en het succes is volgens Kossen niet alleen dat zo veel mogelijk banken zich aan de Identrus-standaarden conformeren maar ook dat consultancy-bureaus en grote technologie-georiënteerde aanbieders de Identrus-regelgeving met hun producten ondersteunen. Tevreden stelt Kossen vast dat dit nu aan het gebeuren is. Microsoft heeft met Identrus een contract gesloten om de door de banken ondersteunde ‘Identity Trust’ in Windows 2000 plug-and-play te maken voor onder andere de.NET Enterprise servers en de e-mail-client Outlook Express. Microsoft zou ook al bezig zijn het eerste Identrus-ready pakket voor Windows 2000 te ontwikkelen. Betalingscondities Als raamwerk wil Identrus meer dan B2B-activiteiten stimuleren door het aanbieden van een PKI-platform voor ‘identity trust’ met onderliggende betalingsfaciliteiten. De beveiligde omgeving biedt de banken ook de mogelijkheid om daarbovenop nieuwe en aanvullende multibancaire dienstverleningen te ontwikkelen. Een voorbeeld is het Eleanor-initiatief dat betalingscondities tussen twee partners met verschillende banken regelt. Kossen: “Binnen het Identrus-raamwerk kunnen tussen banken afspraken worden gemaakt zodat handelspartners ook elektronisch zaken kunnen doen onder het voorbehoud van betalingscondities. Dat werkt aldus. Twee partners worden het on-line eens over de levering van goederen tegen een overeengekomen prijs. Zeker bij eerste B2B-contacten tussen partijen kunnen over en weer condities worden gevraagd en gegeven. De afnemer kan worden gevraagd zijn bank een kredietwaardigheidsgarantie te laten afgeven voor de af te sluiten order. De afnemer kan op zijn beurt het betalingsvoorbehoud maken dat bijvoorbeeld een inspectiebedrijf de geëiste kwaliteit van de goederen heeft bevestigd en de verlader heeft gemeld dat de goederen naar het land van bestemming zijn verscheept.” Identrus heeft geen gevolgen voor het Swift-netwerk voor interbancair betalingsverkeer. “De Swift-activiteiten staan op zichzelf”, aldus Kossen. “Wel wordt Swift gemoderniseerd en is er inmiddels een relatie tussen Identrus en Swift ontstaan.” Multi-corner-model ING Group is vorig jaar als ‘level one member’ toegetreden tot de Identrus-gemeenschap en zal er naar verwachting volgend actief mee worden. Volgens Ludger Hochstenbach van ING Payments & Cash Management wil het Identrus-membership van ING niet zeggen dat Identrus ING-breed wordt ingezet. De implementatie zal zich in eerste instantie richten op applicaties in het groothandelssegment waar behoefte aan certificaten bestaat. “De banken die inmiddels in productie zijn, hebben tot nu toe applicaties op de markt gebracht volgens het two- en three-corner-model”, aldus Hochstenbach. “In dit model is de bank die de certificaten verstrekt, dezelfde voor beide handelspartners. Toepassingen op basis van het four- of multi-corner-model, waarvoor Identrus uiteindelijk is bedoeld en waarbij meer dan één bank de certificaten uitgeeft, zijn nog niet geïmplementeerd. Banken als ING die bezig zijn Identrus te implementeren, zullen een begin maken met two- en three-corner-applicaties om eerst de eigen omgeving actief te krijgen.” Lease-contracten Hochstenbach verwacht dat PKI en Identrus voor B2B-contacten in de open infrastructuur de komende jaren steeds belangrijker worden. “Dat wil niet zeggen dat de bestaande beveiligingen van electronic banking-toepassingen onvoldoende zijn. We zien die toepassingen opschuiven naar de open internetomgeving. Zo ontstaan nieuwe mogelijkheden voor de banken. De dienstverlening zal zich niet blijven beperken tot de besloten kring van de klant-bank-relatie. De bank kan nu ook een dienstverlenende rol spelen op het totale traject van de handelstransacties tussen twee of meer bedrijven.” Evert Himmelreich, programmadirecteur PKI van ING, zegt dat klanten meer en meer belangstelling beginnen te tonen voor PKI-oplossingen. Niet alleen voor wat betreft betalingen en betalingscondities op de B2B-marktplaatsen maar ook in de sfeer van contractafsluitingen en het elektronisch ondertekenen van documenten. Als voorbeeld noemt hij het ondertekenen van bankgaranties en lease-contracten. Zowel Hochstenbach als Himmelreich verwachten dat multi-corner-handelscontacten in een veilige, open PKI-omgeving een zaak van lange adem zijn en nog een ontwikkelingsweg van enkele jaren hebben af te leggen. Wanneer verwacht ING de grote toeloop van klanten op Identrus-certificaten? “Een kip-ei-probleem, in zekere zin”, aldus Hochstenbach. “Niet alleen de kopers en de verkopers maar ook de banken van de handelspartners moeten dit soort toepassingen omarmen. Wil Identrus-certificering goed van de grond komen, dan zal er veel aandacht moeten zijn voor het Identrus-ready maken van killer-applicaties.” Rootbeheerder Pink Roccade noemt zich de wereldwijde hosting partner voor Identrus-certificaten en vervult uit dien hoofde vanuit het Apeldoornse rekencentrum de rol ‘root Chief Administrator’. “Voor elke aan te sluiten bank verzorgen wij in opdracht van Identrus LLC de key ceremony: de uitgifte van de basissleutel”, zegt Paul van Wachem, directeur van Pink Roccade Megaplex. Er zijn onafhankelijke instanties die erop toezien dat wij dat op de juiste en veilige manier faciliteren.” Als rootbeheerder verkeert Pink Roccade in een zeer comfortabele positie. Identrus-banken zullen volgens Van Wachem overwegen de door hen te verstrekken certificaten door Pink Roccade te laten uitgeven. Van Wachem neemt waar dat de integratie van PKI bij de banken een grotere impact op de eigen ICT-omgevingen heeft gehad dan aanvankelijk was ingeschat. De legacy-applicaties waren moeilijk te migreren naar PKI-omgevingen, maar inmiddels hebben in elk geval de initiatiefnemende banken deze migratieslag achter de rug. De volgende slag wordt nu om de killerapplicaties te ontwikkelen waardoor de grote bankklanten het aantrekkelijk gaan vinden om de Identrus-omgeving te gebruiken. Op hun beurt worstelen de grote bedrijven met de integratie van PKI op business-niveau in hun eigen organisaties. Identrus – Initiatief van acht internationaal opererende bankinstellingen om elektronische transacties op het internet en andere open netwerkinfrastructuren te beveiligen door gebruik te maken van certificaten voor een Public Key Infrastructure (PKI). Swift – Het gesloten wereldwijde netwerk voor interbancair betalingsverkeer. Two-/three-corner-model – Model waarin één bank betrokken is bij de elektronische zakenafhandeling tussen twee handelspartners. Multi-corner-model – Model waarin twee of meer banken betrokken zijn bij de elektronische zakenafhandeling tussen twee of meer handelspartners. PKI-infrastructuur – Open infrastructuur waarbij een hoge mate van zekerheid bestaat over de identiteit van de communicerende deelnemers onderling, doordat gebruik wordt gemaakt van publieke en private gecertificeerde encryptiesleutels en digitale handtekeningen. Eleanor-initiatief – Uitbreiding van Identrus die het mogelijk maakt beveiligde elektronische betalingen afhankelijk te maken van onderling overeengekomen betalingscondities. De (voorlopige) naam is ontleend aan Eleanor Roosevelt nadat het Identrus-initiatief in het Roosevelt-hotel was genomen. Identity trust – Zie Identrus. Root CA – De top van de piramidestructuur waar de certificaten of paspoorten worden gegenereerd, uitgegeven en beheerd aan financiële instellingen die op hun beurt weer volmacht verlenen voor het uitgeven van certificaten aan Identrus-deelnemers.