Gebruiker 1 Gebruiker 2. Groep 1. Project. Gebruiker 3. Factsheet TRES ZorgTTP, augustus 2013

Transcriptie

1 Factsheet TRES ZorgTTP, augustus 2013 Inleiding In deze factsheet wordt beknopt de door LUMC/ADM en ZorgTTP ontwikkelde dienst TRES ten behoeve van encryptie van data beschreven. TRES is een encryptiedienst die het mogelijk maakt om data-elementen naar keuze zoals bijvoorbeeld een Burgerservice nummer (BSN) te encrypteren en te decrypteren. Hierbij is het mogelijk om de originele waarde terug te krijgen, mits de aanvrager daartoe gerechtigd is binnen TRES. Middels TRES kunnen rechten op fijnmazig niveau toegekend worden aan gebruikers die deze encrypties en/of decrypties mogen uitvoeren. TRES is daarmee een voorbeeld van een Privacy Enhancing Technology (PET) en beveiligingsmaatregel binnen database omgevingen. TRES en pseudonimisatie ZorgTTP levert naast TRES ook dienstverlening op het gebied van onomkeerbare pseudonimisatie. TRES en pseudonimisatie zijn complementaire diensten die naast elkaar kunnen worden ingezet. TRES biedt privacybescherming binnen omgevingen waar met persoonsgegevens gewerkt mag worden. Onomkeerbare pseudonimisatie brengt persoonsgegevens in de vorm van een onomkeerbaar afgeleide naar omgevingen waar niet met persoonsgegevens gewerkt mag worden, maar wel behoefte bestaat om individuen op individueel niveau te kunnen onderscheiden en in tijd te kunnen volgen. Gebruikers en rechten Iedere gebruiker binnen TRES heeft een eigen sleutel waarmee geëncrypteerd en gedecrypteerd kan worden. Een gebruiker kan voor zijn eigen sleutel encryptie- en/of decryptierechten krijgen. Standaard heeft een gebruiker zowel encryptie- als decryptierechten voor zijn eigen sleutel. Binnen TRES worden gebruikersaccounts van verschillende afnemers/voor verschillende doeleinden van elkaar gescheiden middels projecten. Ieder gebruikersaccount is onderdeel van één project. Gebruikers binnen eenzelfde project kunnen elkaars sleutel gebruiken, indien zij daartoe voldoende rechten hebben. De rechten voor het gebruik van de sleutels worden bepaald door de opdrachtgever. Binnen een project kunnen gebruikers gegroepeerd worden in één of meerdere groepen. Binnen een groep kan iemand encryptie- en/of decryptierechten hebben. Wanneer iemand decryptierechten heeft in een groep, mag hij alle geëncrypteerde waarden met sleutels van de gebruikers in die groep decrypteren. Wanneer iemand encryptierechten heeft in een groep, kunnen zijn geëncrypteerde waarden worden gedecrypteerd door leden van de groep die decryptierechten hebben. Gebruiker 1 Gebruiker 2 Groep 1 Project Gebruiker 3 Factsheet TRES versie 1.1 1

2 Gebruikers kunnen verder nog drie verschillende permissies krijgen: 1. Data entry: gebruiker mag aanroepen op TRES uitvoeren vanuit geïntegreerde iframeschermen in een externe applicatie; 2. Webservice: gebruiker mag middels de webservice van TRES aanroepen uitvoeren in XML- of JSON-formaat; 3. Namens andere gebruiker: gebruiker mag namens een andere gebruiker binnen hetzelfde project een encryptie uitvoeren. Het is nooit mogelijk om namens een andere gebruiker een decryptie uit te voeren. Het is tevens niet mogelijk om een encryptie namens een gebruiker uit een ander project uit te voeren. Encryptie- en decryptiefunctionaliteit In essentie biedt TRES twee functies aan: de encryptie en de decryptie van data. De data is hierbij veelal een korte string van maximaal enkele honderden tekens. De gebruiker biedt een string aan voor encryptie en ontvangt een encryptieresultaat. De aangeboden string mag uit ieder mogelijk karakter bestaan (er zijn geen restricties op de te hanteren tekenreeks). Daarnaast kunnen de volgende parameters worden gespecificeerd voor de encryptie: Namens andere gebruiker: verzoek om de sleutel van een te specificeren gebruiker te gebruiken voor encryptie. Dit mag enkel een gebruiker zijn binnen hetzelfde project en vereist noodzakelijke rechten voor de gebruiker die de encryptie uitvoert; Maak search image: specificatie of er wel/geen search image moet worden meegeleverd in het encryptieresultaat. Een search image is een string die voor gelijke invoer voor alle gebruikers binnen een project leidt tot dezelfde uitvoer. Dit maakt een zoekfunctionaliteit mogelijk in een geëncrypteerde dataset; Gebruik salt: specificatie of er wel/geen salt gebruikt moet worden bij de encryptie. Wanneer er een salt gebruikt wordt, zal er voor gelijke invoer met gelijke sleutel steeds een verschillend encryptieresultaat zijn. Het aanbieden van een encryptieresultaat resulteert in het retourneren van de originele waarde, mits de gebruiker decryptierechten heeft. Het encryptieresultaat kent de volgende opbouw: <Protocolversie><GUID van sleutel/sleuteleigenaar><geëncrypteerde String><Search Image><Signature> Protocolversie: de protocolversie die de opbouw van het encryptieresultaat specificeert; GUID van sleutel: de globally unique identifier (een unieke code) die de gebruikte sleutel (en daarmee gebruiker) uniek identificeert; Geëncrypteerde string: de feitelijk geëncrypteerde string dat het resultaat is van de encryptie middels de genoemde sleutel; Search image: indien gewenst wordt er een search image geretourneerd ten behoeve van zoekoperaties in het systeem waar de geëncrypteerde waarden worden opgeslagen; Signature: een signature is berekend over alle bovenstaande velden om de integriteit van de geëncrypteerde waarde te controleren bij de decryptie-operatie. Opgemerkt dient te worden dat TRES nooit data opslaat anders dan de gebruikersgegevens, hun rechten en de sleutels. Factsheet TRES versie 1.1 2

3 Encryptie- en decryptievoorbeelden Voorbeeld 1 Een gebruiker wil een BSN encrypteren middels TRES. De gebruiker levert het BSN aan middels een aanroep bij TRES: TRES-accountgegevens, BSN Gebruiker TRES Het BSN komt aan bij TRES met een encryptieverzoek; TRES bepaalt middels welk account gebruiker is ingelogd; TRES bepaalt of de gebruiker mag encrypteren; TRES bepaalt welke sleutel bij het gebruikersaccount van de gebruiker behoort; TRES encrypteert het BSN; TRES bepaalt tevens het search image indien dat gewenst is. Dit gebeurt middels het verkrijgen van een project specifieke sleutel en vervolgens het bepalen van een hash van het BSN, waarna de hash geëncrypteerd wordt middels de project specifieke sleutel; Het totale encryptieresultaat wordt geretourneerd naar de gebruiker; Het BSN is nu omgezet in het volgende encryptieresultaat, bestaande uit de velden zoals hierboven weergegeven: <3><df6ee324f8c7><H4tQ18MnpOSR==><g5aESN9kOX7jOsfDno==><kRne76BMf+J09I1XFMMbMh85EIU=> In dit encryptieresultaat is te zien dat de encryptie is uitgevoerd met de sleutel van gebruiker met unieke code df6ee324f8c7. Wanneer een andere gebruiker binnen hetzelfde project hetzelfde BSN zou hebben versleuteld, dan zou het encryptieresultaat er als volgt uit kunnen zien: <3><a2ff62038bad><G2r016AlgOwT==><g5aESN9kOX7jOsfDno==><qFFe52gqvkpyuR4GTMH24TAarXP=> Dit encryptieresultaat laat zien dat het tot stand is gekomen middels een andere sleutel (a2ff62038bad), waardoor de versleutelde waarde anders is. Echter, de onderstreepte waarde (het search image) is hetzelfde, omdat hetzelfde BSN versleuteld is door twee gebruikers die in hetzelfde project zitten. Bij decryptie dient de gebruiker de waarde opnieuw aan te bieden aan TRES bij het aanroepen van de decryptiefunctie: De volledige geëncrypteerde string, zoals hierboven weergegeven, komt aan bij TRES met een decryptieverzoek; TRES bepaalt middels welk account gebruiker is ingelogd; TRES bepaalt of het encryptieresultaat niet corrupt is door de signature van het encryptieresultaat te valideren. Indien het encryptieresultaat corrupt is, zal er een foutmelding geretourneerd worden naar de gebruiker en is decryptie niet mogelijk; TRES bepaalt of de gebruiker mag decrypteren op basis van de gespecificeerde sleutel in het encryptieresultaat; TRES zoekt de sleutel op waarna gerefereerd wordt in het encryptieresultaat; TRES decrypteert de geëncrypteerde string; Factsheet TRES versie 1.1 3

4 Het gedecrypteerde BSN wordt geretourneerd naar gebruiker; Voorbeeld 2 In dit voorbeeld zijn er meerdere gebruikers betrokken met ieder verschillende rechten. Hierbij wordt gebruikgemaakt van de eerder genoemde groepenfunctionaliteit. Gebruiker 1 Gebruiker 2 Gebruiker 3 Groep 1 Gebruiker GUID Encryptierechten in groep 1 Decryptierechten in groep 1 Gebruiker 1 df6ee324f8c7 Ja Ja Gebruiker 2 a2ff62038bad Ja Ja Gebruiker 3 d3f a Nee Nee Gebruikers 1 en 2 zitten in één groep en zouden bijvoorbeeld in de praktijk onderdeel uit kunnen maken van één maatschap binnen een ziekenhuis, waarbij beide gebruikers elkaars data mogen zien en dus decryptierechten hebben voor elkaars data. Gebruiker 3 maakt geen onderdeel uit van die groep en mag geëncrypteerde waarden van gebruikers 1 en 2 niet decrypteren. Andersom kunnen gebruikers 1 en 2 ook geen geëncrypteerde waarden van gebruiker 3 decrypteren. Wanneer gebruiker 1 een BSN wil encrypteren, gebeurt dat zoals benoemd bij voorbeeld 1 en kan dat bijvoorbeeld het volgende encryptieresultaat opleveren: <3><df6ee324f8c7><K9tR19MnpOTN==><u7aESN9kOX7jOsfDpr==><pNte96BHf+J09I1XFMMbMh85=> In dit encryptieresultaat is te zien dat de encryptie door gebruiker 1 is uitgevoerd, daar de GUID df6ee324f8c7 overeenkomt met die van gebruiker 1. Gebruiker 1 kan dit encryptieresultaat ergens opslaan waar overige gebruikers ook toegang toe hebben (e.g. ProMISe-database). Wanneer gebruiker 2 deze geëncrypteerde waarde probeert te decrypteren, zal TRES detecteren dat de waarde geëncrypteerd is met een sleutel van gebruiker 1 en dat gebruiker 2 bij gebruiker 1 in groep 1 zit. Tevens zal TRES zien dat gebruiker 2 decryptierechten heeft in die groep en dat gebruiker 2 dus gerechtigd is om de waarde te decrypteren. Wanneer gebruiker 3 dit zou proberen, zal dat niet lukken, daar gebruiker 3 niet in dezelfde groep zit als gebruiker 1 en dus geen decryptierechten heeft voor dit encryptieresultaat. Factsheet TRES versie 1.1 4

5 TRES i.c.m. ProMISe TRES kan gebruikt worden om bijvoorbeeld het BSN te encrypteren in een database, zoals bijvoorbeeld in ProMISe. ProMISe is een klinische datamanagement omgeving en is ontwikkeld door de afdeling ADM van het LUMC. Binnen ProMISe zijn tal van medische datasets ondergebracht die middels TRES beveiligd kunnen worden. Wanneer TRES in combinatie met ProMISe gebruikt wordt, kan dat als volgt gaan wanneer een gebruiker een waarde wil invoeren in de ProMISe-database. ProMISe Gebruiker TRES Inloggen bij ProMISe Openen nieuw dossier Inloggen bij TRES BSN Overige dossierinformatie Het bovenstaande schema laat zien dat een gebruiker eerst inlogt bij ProMISe en separaat bij TRES. Iedere ProMISe-gebruiker heeft een separaat TRES-account en dit vereist dus een aparte inloghandeling. Dit is ten behoeve van de beveiliging; Daarna verzoekt de gebruiker een nieuw dossier te openen in ProMISe en wil daarbij het BSN enkel geëncrypteerd opslaan; Wanneer de gebruiker een BSN invult in het ProMISe-scherm, wordt deze vanuit de browser van de gebruiker automatisch geëncrypteerd middels TRES zonder tussenkomst van ProMISe; De gebruiker geeft uiteindelijk enkel het geëncrypteerde BSN en eventueel overige dossierinformatie door aan ProMISe, zonder dat ProMISe op enig moment toegang heeft gehad tot het zichtbare BSN. Dankzij een koppelmodule in TRES is het eenvoudig om geregistreerde gebruikers uit ProMISe over te nemen in TRES indien dat gewenst is. Bovenstaande karakteristieken van ProMISe in combinatie met TRES zijn ook mogelijk met andere datamanagement omgevingen en zouden ook op andere punten gekoppeld kunnen worden. Zo is het bijvoorbeeld ook mogelijk om de encryptie van waarden niet vanuit de browser van de gebruiker te laten verlopen, maar middels de webapplicatie van de opdrachtgever. Factsheet TRES versie 1.1 5