PKI voor de Nederlandse Politie Afstudeerverslag

Transcriptie

1 PKI voor de Nederlandse Politie Afstudeerverslag H.S. Leisink Begeleider TU Delft: dr. M.E.M. Spruit Begeleider KLPD: A. Mutsaers Delft, 14 mei 2003

2 Samenvatting Dit verslag is het resultaat van een afstudeerstage voor de opleiding Technische Informatica vanuit de TU Delft. De stage bestond uit het onderzoeken van wat een Public Key Infrastructure (PKI) voor de Nederlandse Politie kan betekenen en wat er bij het invoeren van een PKI komt kijken. Omdat de Nederlandse Overheid momenteel bezig is met het opzetten van een overheidsbrede PKI, is er ook gekeken naar wat dit precies inhoudt en of de Nederlandse Politie hierop aan moet sluiten. Een PKI is een infrastructuur die, door gebruik te maken van digitale certificaten, zekerheid biedt op de volgende drie punten: Authenticatie: de afzender of auteur van een elektronisch bericht of document kan met zekerheid vastgesteld worden, waardoor het onmogelijk is om onder iemand anders naam een elektronisch bericht te versturen of te schrijven. Een bijkomend effect van deze authenticatie mogelijkheid is onweerlegbaarheid. De afzender of auteur van een bericht kan achteraf niet meer ontkennen dat hij of zij het desbetreffende bericht verstuurd of geschreven heeft. Tevens kan de authenticatie mogelijkheid gebruikt worden bij het inloggen van gebruikers op een computer of een informatiesysteem. Het kan zelfs gebruikt worden bij het verschaffen van fysieke toegang tot bepaalde ruimtes. Vertrouwelijkheid: een elektronisch bericht of document kan worden versleuteld zodat het onleesbaar wordt voor derden. Alleen diegene voor wie het bericht of document bestemd is kan het bericht ontcijferen en dus lezen. Integriteit: de inhoud van een te versturen elektronisch bericht of document kan worden beveiligd tegen het maken van wijzigingen door derden. Een digitaal certificaat is een digitaal identiteitsbewijs dat op persoonlijke titel wordt uitgegeven door een vertrouwde instantie, zoals bijvoorbeeld het bedrijf waar iemand voor werkt of de Nederlandse Overheid. Omdat de betrouwbaarheid van een PKI afhangt van de vraag of een persoon in het bezit is van het juiste certificaat, dient de uitgifte van deze certificaten op een betrouwbare manier te verlopen. Om deze uitgifte betrouwbaar te kunnen laten verlopen, zijn goede en duidelijke regels en procedures nodig. Er zal veel tijd en geld gaan zitten in het aanleggen van een infrastructuur om aan de eisen, die uit deze regels en procedures voortvloeien, te kunnen voldoen. 1

3 Deze mogelijkheden van een PKI vertalen zich concreet naar bijvoorbeeld betrouwbare inlogprocedures, het veilig kunnen versturen van s of veilige opslag van documenten. Ondanks het feit dat een PKI een vrij nieuwe ontwikkeling is, is er op softwaregebied al voldoende ondersteuning voor. Er zijn genoeg ICT bedrijven die software, diensten of consultancy leveren op het gebied van PKI. Toch moet de uitrol van een PKI niet onderschat worden, omdat zo n uitrol heel wat meer inhoudt dan simpelweg wat software installeren. Een PKI vanuit de Nederlandse Overheid, van waaruit alle overheidsinstellingen, bedrijven en burgers op een veilige manier met elkaar kunnen communiceren, is zeer interessant en biedt veel mogelijkheden. Helaas is PKIoverheid, die de verantwoordelijkheid heeft over deze overheidsbrede PKI, nooit verder gegaan dan het inrichten van een paar computersystemen en het vastleggen van de regels en procedures die nodig zijn voor de uitgifte van certificaten. Binnen de Rechtelijke Organisatie (RO) heeft LIBRO een PKI opgezet. Deze PKI is dusdanig groot opgezet, dat alle overheidsorganisaties daarop aan kunnen sluiten. Het opzetten van een dusdanig grote PKI was eigenlijk een taak geweest van PKIoverheid. Naast dit feit en omdat de RO bezig is haar PKI aan te sluiten bij PKIoverheid, is het voor de Nederlandse Politie beter om bij de PKI van de RO aan te sluiten dan zelf een PKI op te zetten en deze aan te sluiten bij PKIoverheid. Dit zal veel tijd en geld schelen. Een PKI voor de Nederlandse Politie zal goed haalbaar zijn. Zeker gezien het feit dat de PKI uitrol bij de RO goed verloopt en deze organisatie veel overeenkomsten vertoont met de Nederlandse Politie. Gezien de mogelijkheden van een PKI en de hoge mate van beveiliging die een PKI biedt, zal zo n infrastructuur een zeer goede bijdrage kunnen leveren aan de informatiebeveiliging van de Nederlandse Politie. 2

4 Inhoudsopgave 1 De Nederlandse Politie De organisatie Het KLPD Het Politienet Cryptografie Message Digest systeem Symmetrisch sleutelsysteem Asymmetrisch sleutelsysteem Public Key Infrastructure Zekerheid Mogelijkheden van een PKI Digitale handtekening Digitaal certificaat Smartcard Onderdelen van een PKI Certificate Authority Registration Authority Policy Authority Certificate Repository Key Recovery Service / Key Archival System Time Server PKI architecturen Simple PKI architecturen Enterprise PKI architecturen Hybrid PKI architecturen Vertrouwenspad Certificaat type Uitgifte van certificaten Intrekken van certificaten De CA en de RA in de praktijk Organisatorische aspecten van een PKI Identiteit Certificaat type Digitale handtekening Drie punten van betrouwbaarheid

5 4.4.1 Een betrouwbare uitgifteprocedure creëren Het paspoort/certificaat tegen vervalsing beschermen Voldoende informatie aan de gebruikers verschaffen LIBRO Indeling van de infrastructuur De Certificate Authority De Registration Authorities Certificate Repository Het beheren van de PKI Technische aspecten van een PKI PKI middleware Beveiliging van de cliënt Windows Terminal Service De PKI pilot Softwareleverancier Serversoftware De PKI server De gebruikerswebsite Certificaat aanvragen Certificaat Activeren KPP Certificaat Installeren High Encryption Pack Installeren De RA website Wachtende aanvragen Afgewezen aanvragen Sleutelbeheer OpenSSL Configuratie van OpenSSL CA aanmaken Gebruikercertificaat aanmaken CRL genereren Resultaten van de pilot PKI toepassingen binnen het KLPD Inloggen Single Sign-on Veilig opslaan van documenten C Virtual Private Network PKI en de Nederlandse Overheid Taskforce PKIoverheid Juridische status van een digitale handtekening [9]

6 9 Beveiliging: de menselijke factor Verkeerd handelen Verantwoordelijkheden binnen een PKI Social engineering Alternatieven voor PKI PGP Kerberos A Afkortingen 69 B PKI Kenmerken 71 B.1 Functionele kenmerken B.2 Technische kenmerken

7 Inleiding De laatste fase van de opleiding Technische Informatica aan de Technische Universiteit in Delft is het afstuderen. Dit kan intern, dus binnen de universiteit, gedaan worden of extern, bij een bedrijf of organisatie. Het onderzoek waar dit verslag het resultaat van is, is extern gedaan, namelijk bij het Korps Landelijke Politiediensten (KLPD), dat onderdeel is van de Nederlandse Politie. Het KLPD ligt verspreid over 120 locaties. Ze hebben te maken met communicatie met schepen, auto s en helikopters. Ze werken met zeer vertrouwelijke informatie en communiceren met veel externe partners. Dit alles maakt het KLPD een goede en interessante plek om te beginnen met het PKI onderzoek voor de Nederlandse Politie. Doelstellingen Gezien de functies van de Nederlandse Politie is veel van de informatie waarover deze organisatie beschikt en waar zij mee werkt, zeer vertrouwelijk. De opslag en het transport van deze gegevens dient dan ook veilig en betrouwbaar te gebeuren, ook als het gaat om digitale informatie. Om deze reden is de Nederlandse Politie erg geïnteresseerd in de nieuwste technieken op het gebied van informatiebeveiliging. Een van deze nieuwe technieken is een Public Key Infrastructure (PKI). Een PKI is een infrastructuur voor de uitgifte en het gebruik van digitale identiteitsbewijzen. Met behulp van zo n identiteitsbewijs kan veilig gecommuniceerd kan worden over computernetwerken, zelfs over het Internet. De Nederlandse Overheid is momenteel al bezig met het ontwerpen en opzetten van een Public Key Infrastructure. Op deze PKI, die opgezet is door PKIoverheid, kunnen o.a. overheidsinstanties nu al aansluiten. Het is dus voor de Nederlandse Politie interessant om te weten wat de mogelijkheden van deze overheidsbrede PKI zijn en of zij hierop moeten aansluiten of niet. Vanwege deze 2 redenen, het KLPD is geïnteresseerd in de nieuwste beveiligingstechnieken en zij willen weten wat een PKI vanuit de Overheid te bieden heeft, heeft het KLPD de opdracht gegeven om de volgende zaken omtrent PKI uit te zoeken: Wat zijn de mogelijkheden van een PKI en zijn deze nuttig voor de Nederlandse Politie? 6

8 Wat komt er kijken bij de invoering van een PKI en is dit voor de Nederlandse Politie haalbaar? Wat houdt de PKI vanuit de Nederlandse Overheid in en is het interessant voor de Nederlandse Politie om hierbij aan te sluiten? Plan van Aanpak Middels een literatuurstudie is onderzocht wat een PKI precies is en hoe PKI in theorie werkt. Door middel van een pilot is praktische kennis en ervaring opgedaan. Tevens is onderzocht of een PKI technisch gezien haalbaar is binnen het politienetwerk. Omdat een PKI niet een doel maar een middel moet zijn, is onderzocht wat mogelijke toepassingen van een PKI zijn voor het KLPD en waar mogelijk voor de gehele Nederlandse Politie. Vervolgens is met de resultaten van bovenstaande onderzoeken een mogelijke indeling en opzet van een PKI voor de Nederlandse Politie gemaakt. Indeling rapport Omdat het afstudeerwerk is gedaan in opdracht van het KLPD, zal als eerst een beschrijving gegeven worden van deze organisatie en van de Nederlandse Politie. Daarna zal uitgelegd worden wat een PKI is en wat de mogelijkheden zijn van zo n infrastructuur. In hoofdstuk 4 zal ingegaan worden op de vraag hoe een PKI er voor de Nederlandse Politie er organisatorisch gezien uit moeten komen te zien. Hoewel bij het opzetten van een PKI het meeste werk gaat zitten in de organisatie ervan, zullen er ook een aantal technische aspecten zijn waar de nodige aandacht aan geschonken zal moeten worden. Deze aspecten zullen in hoofdstuk 5 besproken worden. Tijdens het afstudeerwerk is onderzoek gedaan naar hoe PKI in de praktijk werkt en is bekeken welke toepassingen PKI heeft voor de Nederlandse Politie. Het onderzoek zelf en de resultaten ervan zullen in hoofdstuk 6 en 7 beschreven worden. Een van de redenen waarom de Nederlandse Politie meer wilde weten over PKI is vanwege het feit dat de Nederlandse Overheid momenteel bezig is met het opzetten van een overheidsbrede PKI. Meer over de Nederlandse Overheid en PKI in hoofdstuk 8. Omdat informatiebeveiliging ook voor een belangrijk deel afhangt van de gebruikers van de desbetreffende informatiesystemen, zal in hoofdstuk 9 dieper worden ingegaan op de menselijke factor in informatiebeveiliging. 7

9 In hoofdstuk 10 zullen twee mogelijke alternatieven voor PKI besproken worden. Dit verslag zal afgesloten worden met de conclusies van het onderzoek en aanbevelingen ten aanzien van een PKI voor de Nederlandse Politie. 8

10 Hoofdstuk 1 De Nederlandse Politie 1.1 De organisatie De Nederlandse Politie is opgedeeld in 26 korpsen, 25 regionale en 1 landelijk korps, het Korps Landelijke Politiediensten (KLPD). In totaal heeft de Nederlandse Politie ongeveer mensen in dienst, waarvan er ongeveer 3500 werkzaam zijn bij het KLPD. 1.2 Het KLPD Het KLPD is een nationaal en internationaal werkend korps en is gevestigd, verspreid over 105 locaties, door heel Nederland. Daarnaast heeft het KLPD nog 15 vestigingen in het buitenland. Van alle binnenlandse vestigingen zijn die in Driebergen en Zoetermeer de grootste. De taken van het KLPD zijn onder te verdelen in zelfstandig, ondersteunend en coördinerend. Zelfstandige taken: Met de uitvoering van zelfstandige, operationele taken draagt het KLPD rechtstreeks bij aan de veiligheid in de samenleving. Enkele voorbeelden van zelfstandige taken zijn: Rechercheonderzoeken van nationaal belang. Onderzoek naar luchtvaartongevallen en de naleving van de luchtvaartwetgeving. Handhaven en toezicht houden op de verkeersveiligheid op de autosnelwegen. Persoonsbeveiliging van leden van het Koninklijk Huis en door de minister aangewezen te beveiligen personen. Politietoezicht op stations, perrons en in treinen. Ondersteunende taken: Het KLPD biedt, indien nodig, ondersteuning aan de activiteiten van de regiokorpsen bij bijvoorbeeld rampen, complexe ongevallen of grootschalige evenementen. Deze ondersteuning kan geboden worden in de vorm van materieel, technologie of speciaal getrainde mensen. Enkele voorbeelden van ondersteunende taken: 9

11 Het beheer van de nationale collectie van vingerafdrukken. Mobiele commandofaciliteit bij grootschalig politieoptreden. Inzet van het Landelijk Verkeer Bijstands Team bij ongevallen. 112 en Landelijk Telefoonnummer Politie. Het operationeel inzetten van politiehonden. Coördinerende rol: Het KLPD vormt een verbindende schakel tussen politie, justitie, bijzondere opsporingsdiensten en buitenlandse zusterorganisaties. Voorbeelden van de coördinerende rol: Landelijke informatie coördinatie openbare orde. Inzet van het Rampen Identificatie Team. Inzet van Bijzondere Bijstands Eenheden. Recherche coördinatie door de Dienst Nationale Recherche Informatie. Het KLPD heeft in totaal twaalf uitvoerende diensten. Deze diensten verrichten de kernactiviteiten van het korps. Daarnaast zijn er nog vier ondersteunende diensten en vier bureaus voor de bedrijfsvoering. 10

12 Binnenkort zullen alle kernteams, die nu nog verdeeld zijn over een aantal korpsen, samengevoegd worden tot de Nationale Recherche, die onderdeel zal worden van het KLPD. Een kernteam is een groep rechercheurs met een bepaald specialisme, zoals bijvoorbeeld drugsbestrijding of het opsporen van mensensmokkel of wapenhandel. Het onderzoek, waar dit verslag het resultaat van is, is uitgevoerd vanuit het Programma Veiligheidsmanagement (PVM). Dit programma is opgezet vanuit en is onderdeel van de Korpsstaf van het KLPD (bovenste vakje in het schema). 1.3 Het Politienet Alle 26 korpsen van de Nederlandse Politie zijn aangesloten op het landelijke politienetwerk, het Politienet. Dit Politienet, welke beheerd wordt door ITO 1, is een gesloten TCP/IP computernetwerk. Er zijn echter een aantal koppelvlakken met een paar vertrouwde organisaties, zoals bijvoorbeeld het Nederlands Forensisch Instituut (NFI), het Ministerie van Justitie en het Ministerie van Binnenlandse Zaken. Via deze koppelvlakken wordt er informatie uitgewisseld. Momenteel is de Nederlandse Politie bezig met een grote reorganisatie van het Politienet. Het moet over een half jaar één groot transparant landelijk netwerk worden in plaats van 26 aaneengeschakelde losse netwerken. Het moet dan voor agenten uit bijvoorbeeld Groningen mogelijk zijn om in Maastricht in te loggen waarbij ze hun eigen gegevens op de desktop krijgen. Daarnaast wil de Nederlandse Politie meer gebruik gaan maken van Internet voor de uitwisseling van gegevens met externe partners. 1 Zie voor meer informatie. 11

13 Hoofdstuk 2 Cryptografie Omdat cryptografie de onderliggende techniek is van een PKI, zal eerst de cryptografie die voor een PKI van toepassingen is in het kort uitgelegd worden. Cryptografie is een techniek om een bericht te vercijferen, waardoor het voor anderen onleesbaar is geworden. Om berichten te vercijferen en te ontcijferen wordt gebruikt gemaakt van één of twee sleutels en een vercijferalgoritme. Een sleutel is een reeks van tekens waarmee op wiskundige wijze een blok data omgezet kan worden in een andere blok data. Een sleutel kan een woord of zelfs een zin in houden. In het geval van een elektronische sleutel is het vaak een bepaald aantal willekeurige characters. Met behulp van de volgende 3 systemen kan een bericht vercijferd worden[2]: Message Digest systeem symmetrisch sleutelsysteem asymmetrisch sleutelsysteem 2.1 Message Digest systeem Een Message Digest (MD) systeem is een hash-functie die een tekst van variabele lengte om kan zetten naar een cijfertekst (dit wordt de MD genoemd) met een vaste lengte. Een hash-functie moet aan de volgende eisen voldoen alvorens deze veilig genoemd kan worden: 1. Het moet ondoenlijk zijn om op basis van de MD het oorspronkelijke bericht te bepalen. 2. Het moet rekenkundig ondoenlijk zijn om 2 verschillende berichten te vinden die dezelfde MD hebben. Een eigenschap van dit systeem is dat vercijferde berichten niet meer ontcijferd kunnen worden. Dit lijkt daardoor een onzinnig cryptografisch systeem, later zal blijken dat er toch toepassingen zijn voor MD systemen. Voorbeelden van hash-functies zijn SHA1 en MD5. 12

14 2.2 Symmetrisch sleutelsysteem Bij een symmetrisch sleutelsysteem wordt gebruik gemaakt van één sleutel waarmee een bericht vercijferd en weer ontcijferd kan worden. K(M) = C K(C) = M K: sleutel, M: bericht, C: vercijferd bericht Alle personen die veilig met elkaar willen communiceren moeten dus over dezelfde sleutel beschikken. Als een persoon met 50 andere personen afzonderlijk wil communiceren, dan dient deze persoon dus over 50 verschillende sleutels te beschikken. Dit uitwisselen en bewaren van al die sleutels is erg lastig. Om dit probleem te omzeilen is het asymmetrisch sleutelsysteem bedacht. Voorbeelden van symmetrische sleutelsystemen zijn DES, 3DES, IDEA, Blowfish en Rijndael. 2.3 Asymmetrisch sleutelsysteem Bij een asymmetrisch sleutelsysteem beschikt iedere gebruiker over een eigen sleutelset, bestaande uit één publieke sleutel en één geheime sleutel. Beide sleutels zijn uiteraard verschillend, maar horen wel bij elkaar. De publieke sleutel mag aan iedereen weggeven worden. Met behulp van deze sleutel kunnen anderen, die jou een bericht willen sturen, hun bericht vercijferen. Zo n vercijferd bericht kan vervolgens alleen met de geheime sleutel ontcijferd worden. Deze geheime sleutel dient dus om die reden goed en veilig bewaard te worden. Hij mag dus niet in handen vallen van anderen. P (M) = C S(C) = M P : publieke sleutel, S: geheime sleutel M: bericht, C: vercijferd bericht Stel Andries wil veilig communiceren met Sanne. Andries vraagt de publieke sleutel P (s) van Sanne op, codeert het bericht met P (s) en stuurt dit op naar Sanne. Het bericht kan alleen ontcijferd worden met S (s), waar uiteraard alleen Sanne over beschikt. Andries P (s) (M) = C P (s) C P : publieke sleutel, S: geheime sleutel M: bericht, C: vercijferd bericht Sanne S (s) (C) = M Dit sleutelsysteem wordt asymmetrisch genoemd, omdat een bericht dat vercijferd is met een publieke sleutel ontcijferd kan worden met de bijbehorende geheime sleutel en een bericht dat vercijferd is met een geheime sleutel kan op zijn beurt weer ontcijferd worden met de bijbehorende publieke sleutel. 13

15 dus naast: P (M) = C 1 S(C 1 ) = M geldt ook: S(M) = C 2 P (C 2 ) = M P : publieke sleutel, S: geheime sleutel M: bericht, C: vercijferd bericht Deze eigenschap is noodzakelijk voor digitale handtekeningen, zoals later in dit verslag zal blijken. Een voorbeeld van een asymmetrisch sleutelsysteem is RSA. Het asymmetrische systeem lijkt veilig, maar er zit een addertje onder het gras. Beschouw weer de situatie waarin Andries een bericht naar Sanne wil sturen. Sanne stuurt zijn publieke sleutel P (s) naar Andries. Hacker Ronald wil echter meeluisteren. Hij vangt P (s) af en vervangt deze stiekum door zijn eigen publieke sleutel P (r). Andries vercijfert zijn bericht (M) met de publieke sleutel die hij van Sanne ontvangen heeft (P (r) ). Hij stuurt het vercijferde bericht (C 1 ) naar Sanne, maar Ronald vangt dit bericht weer af. Ronald ontcijfert dit met zijn eigen geheime sleutel S (r), vercijfert het weer met de publieke sleutel van Sanne P (s) en stuurt dit (C 2 ) door. Sanne ontvangt het vercijferde bericht van Andries en ontcijfert dit weer met zijn eigen geheime sleutel S (s). Sanne heeft niet door dat Ronald nu ook over het originele bericht M geschikt. Andries P (r) (M) = C 1 P (r) P (s) C 1 Ronald S (r) (C 1 ) = M P (s) (M) = C 2 C 2 Sanne S (s) (C 2 ) = M P : publieke sleutel, S: geheime sleutel M: bericht, C: vercijferd bericht Dit probleem geldt natuurlijk ook voor het symmetrische sleutelsysteem, maar daarbij is het gevaar van een sleutel opsturen veel duidelijker. Met een onderschepte sleutel kunnen berichten direct ontcijferd worden. Het hele probleem ligt dus bij de betrouwbaarheid van een sleutel. Hoe weet Andries zeker dat de publieke sleutel die hij van Sanne ontvangt, ook daadwerkelijk de publieke sleutel van Sanne is. Om hiervan zeker te zijn zou hij deze sleutel persoonlijk bij Sanne kunnen gaan ophalen. Deze methode wordt echter lastig als Andries niet alleen met Sanne, maar ook met 50 andere mensen wil gaan communiceren. En wat nou als Andries met iemand in Australië wil gaan communiceren? Het is dit probleem waar een PKI een oplossing voor biedt, namelijk zekerheid bieden over de publieke sleutel van anderen. Meer informatie over cryptografie is te vinden in [5]. 14

16 Hoofdstuk 3 Public Key Infrastructure 3.1 Zekerheid 100% zekerheid bestaat niet. Zo ook niet over de identiteit van een persoon. Als iemand gevraagd wordt zich te identificeren, dan laat diegene in de meeste gevallen een paspoort of ander geldig legitimatiebewijs zien. Iedereen accepteert zo n legitimatiebewijs. Maar waarom precies? Wat wil zo n document precies zeggen? Stel: meneer X laat aan een loket zijn paspoort zien. In dat paspoort staan alle persoonsgegevens van meneer X. Bewijst hij daarmee dat hij persoon X is? De meeste mensen zouden ja als antwoord geven. Maar als we het paspoortsysteem goed bekijken, dan moet het antwoord nee zijn. Wat hij wèl met dit paspoort bewijst, is dat de Nederlandse Overheid de garantie biedt dat hij meneer X is. De meeste mensen hebben vertrouwen 1 in de Nederlandse Overheid, vertrouwen erop dat de overheid het juiste paspoort aan de juiste persoon heeft uitgegeven en hebben vertrouwen in de veiligheid van het paspoort zelf. Om deze redenen accepteren we het paspoort als identiteitsbewijs. Het Nederlandse paspoortsysteem is dus een systeem dat zekerheid biedt over de identiteit van iemand op basis van vertrouwen. 3.2 Mogelijkheden van een PKI Bekijken we vanuit deze invalshoek de digitale wereld en daarbij de computernetwerken, zoals Internet, in het bijzonder, dan zien we dat er vaak heel weinig zekerheid bestaat over die identiteit van de persoon waarmee gecommuniceerd wordt. Een wordt verstuurd zonder dat we echt zekerheid hebben over de vraag wie de ontvangt of van wie een afkomstig is. Inloggen op computersystemen gebeurt in de meeste gevallen nog op basis van de onveilige combinatie van gebruikersnaam en wachtwoord (wachtwoorden kunnen namelijk geraden of afgeluisterd worden), waardoor het dus niet echt zeker is wie er nu precies ingelogd is. Verder worden allerlei transacties en bankzaken gedaan zonder dat we precies weten langs welke weg de verzonden gegevens gaan en wie er dus mee kan lezen. Om aan deze ongewenste situaties een eind te kunnen maken, kan men gebruik maken van een Public Key Infrastructure (PKI). Een 1 We hebben het hier dus niet over politieke opvattingen van de verschillende partijen, maar over de betrouwbaarheid van de Overheid. 15

17 PKI is een infrastructuur dat, door gebruik te maken van digitale certificaten, zekerheid biedt op de volgende drie punten: Authenticatie: de afzender of auteur van een elektronisch bericht of document kan met zekerheid vastgesteld worden, waardoor het onmogelijk is om onder iemand anders naam een elektronisch bericht te versturen of te schrijven. Een bijkomend effect van deze authenticatie mogelijkheid is onweerlegbaarheid. De afzender of auteur van een bericht kan achteraf niet meer ontkennen dat hij of zij het desbetreffende bericht verstuurd of geschreven heeft. Tevens kan de authenticatie mogelijkheid gebruikt worden bij het inloggen van gebruikers op een computer of een informatiesysteem. Het kan zelfs gebruikt worden bij het verschaffen van fysieke toegang tot bepaalde ruimtes. Vertrouwelijkheid: een elektronisch bericht of document kan worden versleuteld zodat het onleesbaar wordt voor derden. Alleen diegene voor wie het bericht of document bestemd is kan het bericht ontcijferen en dus lezen. Integriteit: de inhoud van een te versturen elektronisch bericht of document kan worden beveiligd tegen het maken van wijzigingen door derden. 3.3 Digitale handtekening Om zekerheid te krijgen op het gebied van authentciteit en de integriteit, wordt er gebruik gemaakt van een digitale handtekening. Aan de hand van een digitale handtekening, die aan een bericht of document wordt toegevoegd, kan dus bepaald worden wie de afzender is van een bericht of wie de auteur is van het document. Daarnaast biedt een digitale handtekening de garantie dat het bericht of document sinds het plaatsen van de handtekening niet meer gewijzigd is. Om een digitale handtekening te maken wordt het te ondertekenen bericht gecodeerd met een openbare hash-functie. Het resultaat hiervan, de MD, wordt versleuteld met de geheime sleutel van degene die het bericht ondertekent. De ontvanger van het bericht kan de handtekening controleren door de handtekening te ontcijferen met de publieke sleutel van de afzender. Het resultaat hiervan moet overeen komen met de MD van het bericht die de ontvanger zelf kan berekenen. De reden waarom de MD van een bericht vercijferd wordt en niet het bericht zelf, is omdat een Message Digest algoritme een resultaat levert van een vaste grootte. Om die reden is de grootte van een handtekening ook vast en dus niet afhankelijk van de grootte van het document. Een digitale handtekening is een reeks van bytes die eruit ziet als een reeks willekeurige tekens. Zo n handtekening dient volgens de PKCS#7 standaard aan een bericht of document toegevoegd te worden, zodat programma s deze bytereeks ook zullen herkennen als zijnde een digitale handtekening. Uiteraard hoeft een gebruiker dat niet zelf te doen. Dat behoort de software voor haar 16

18 rekening te nemen. Voorbeelden van openbare hash-functies zijn SHA1 en MD Digitaal certificaat De drie in paragraaf 3.2 genoemde mogelijkheden worden gerealiseerd door gebruik te maken van digitale certificaten. Een digitaal certificaat is een digitaal identiteitsbewijs dat op persoonlijke titel wordt uitgegeven door een vertrouwde instantie, zoals bijvoorbeeld het bedrijf waar iemand voor werkt of de Nederlandse Overheid. Zo n vertrouwde instantie wordt een Trusted Third Party (TTP) genoemd. Een digitaal certificaat is tevens een document dat de relatie tussen de identiteit van een persoon en zijn of haar publieke sleutel vastlegt. Een veel gebruikte certificaatstandaard is X.509. Een X.509 certificaat bestaat uit de volgende gegevens [13]: Versie: Versie nummer van de gebruikte X.509 standaard. Mogelijke waarden zijn 1, 2 of 3. Serienummer: Een unieke waarde die het certificaat identificeert. Gebruikte algoritme voor de digitale handtekening: Het Message Digest algoritme dat gebruikt is voor het maken van de digitale handtekening. Uitgever: De naam van de TTP die het certificaat ondertekend en uitgegeven heeft. Geldigheidsduur: Dit veld bevat het tijdsinterval waarbinnen dit certificaat geldig is. Eigenaar: De persoonsgegevens van de eigenaar van het certificaat, welke de eigenaar op unieke wijze identificeert. De eigenaar kan een persoon zijn, maar ook een instantie of zelfs een machine 2. Publieke sleutel: De publieke sleutel van de eigenaar van het certificaat. Uitgever s id: Unieke waarde die de uitgever identificeert. Eigenaar s id: Unieke waarde die de eigenaar identificeert. Uitbreidingen: Een uitbreiding, waarvan dit veld er meerdere kan bevatten, bestaat uit een unieke waarde en een inhoud. De unieke waarde duidt de betekenis van de inhoud aan, bijvoorbeeld een verwijzing naar een CRL (daarover meer later in dit hoofdstuk). Dit alles is ondertekend met behulp van de geheime sleutel van de uitgever. Het is van groot belang dat zo n certificaat is uitgegeven door een betrouwbare instantie. Immers de betrouwbaarheid van zo n certificaat hangt af van de betrouwbaarheid van de instantie door wie het is uitgegeven. 2 We hebben het dan uiteraard niet meer over persoonsgegevens. 17

19 Versienummer Serienummer Gebruikte algoritme voor de digitale handtekening Uitgever Geheime sleutel van de uitgever Geldigheidsduur Eigenaar Hash Genereer digitale handtekening Publieke sleutel Uitgever s id (vanaf versie 2) Eigenaar s id (vanaf versie 2) Uitbreidingen (vanaf versie 3) Digitale handtekening van de uitgever De publieke sleutel is er één uit een RSA sleutelpaar. Met de andere sleutel uit het RSA sleutelpaar, de geheime sleutel, kan iemand aantonen dat hij of zij de eigenaar is van het bijbehorende certificaat. Om die reden mag de geheime sleutel niet in handen van iemand anders vallen. Dit aantonen gaat als volgt: Stel, Erik wil bewijs hebben van of het certificaat dat hij van Michiel heeft ontvangen ook daadwerkelijk toebehoort aan Michiel. Hij stuurt een willekeurige tekst naar Michiel op. Michiel versleutelt dit met zijn geheime sleutel en stuurt het resultaat hiervan terug naar Erik. Erik ontcijfert dit met de publieke sleutel van Michiel, welke in het certificaat van Michiel zit. Als de originele tekst tevoorschijn komt is het bewijs geleverd. Immers, de vercijferde tekst die Erik terug ontvangt is alleen maar te ontcijferen met de publieke sleutel van Michiel als deze vercijferd is met de geheime sleutel van Michiel. En alleen Michiel beschikt over die geheime sleutel. 18

20 In de rest van dit verslag zal een digitaal certificaat aangeduid worden met alleen de term certificaat. 3.5 Smartcard Het is niet wenselijk om een geheime sleutel op een computer te laten staan waar andere mensen ook bij kunnen. Met deze sleutel kunnen namelijk uit naam van de eigenaar van deze sleutel berichten verstuurd worden of handtekeningen gezet worden. Het is zeer daarom wenselijk dat een geheime sleutel op een draagbaar medium geplaatst wordt zodat de eigenaar deze altijd bij zich kan dragen. Zo n draagbaar medium heet een smartcard. Een smartcard ziet er in de meeste gevallen hetzelfde uit als een bankpasje, die dus in een portemonnaie past, of als een USB stekker, (USB-token) die aan een sleutelbos gehangen kan worden. In het geval van de bankpasversie dient men ook te beschikken over een cardreader, die via een USB-poort of een COM-poort aan de computer wordt gekoppeld. Een USB-token versie kan rechtstreeks of via een verlengsnoertje op de USB-poort van de computer aangesloten worden. Een smartcard is dusdanig beveiligd dat het nagenoeg onmogelijk is om de aanwezige geheime sleutels eruit te krijgen[4]. Indien een smartcard de mogelijkheid biedt om op de kaart zelf een sleutelpaar aan te maken, dan biedt dat de zekerheid dat niemand in het bezit is van een kopie van de aanwezige geheime sleutel. Een nadeel is dat dit soort smartcards niet goedkoop zijn. Een smartcard. Omdat de op de smartcard aanwezige sleutels niet van de smartcard afgehaald kunnen worden maar toch nodig zijn voor allerlei cryptografische berekeningen, is op de smartcard een cryptografische processor aanwezig. Deze processor is in staat de benodigde berekeningen uit te voeren en het resultaat terug te geven. Naast de geheime sleutel behoort ook het bijbehorende certificaat op de smartcard opgeslagen te worden. Op die manier kan het certificaat direct afgegeven worden als daar om gevraagd wordt. 19

21 Een smartcardreader met smartcard. Een USB-token aan een sleutelbos. Er zijn drie manieren om iemand te authenticeren, namelijk door te controleren wat deze persoon heeft: in het bezit zijn van bijvoorbeeld een (digitale) sleutel of een kaart met een magneetstrip. weet: het weten van bijvoorbeeld een wachtwoord of een pincode. is: het hebben van een lichamelijk kenmerk, dat gecontroleerd kan worden door middel van bijvoorbeeld een vingerafdruk of een irisscan (biometrie). Een smartcard valt onder het puntje heeft. De zekerheid over iemands identiteit kan vergroot worden door, naast de smartcard, gebruik te maken van een van de twee andere punten. Dit kan ingevuld worden door gebruik te maken van een smartcard die voor het uitvoeren van een bepaalde handeling een pincode of een vingerafdruk vereist. Zo n pincode of vingerafdruk moet direct op de smartcardreader afgegeven worden, om de kans op afluisteren klein te maken. Dit maakt tevens misbruik van de smartcard bij verlies of diefstal een stuk moeilijker. De smartcard is immers niet direct bruikbaar. 20

22 3.6 Onderdelen van een PKI Certificate Authority De Certificate Authority (CA) is de instantie binnen de PKI die de certificaten uitgeeft. De certificaten worden aangemaakt op een zwaar beveiligde computer waar de geheime sleutel van de CA ligt opgeslagen, de Certificate Server (CS). Deze geheime sleutel van de CA is nodig voor het zetten van de digitale handtekening onder het uit te geven certificaat. Aan de uitgifte gaat een identiteitscontrole van de aanvrager vooraf. Als daarna blijkt dat de aanvrager recht heeft op een certificaat, overhandigt de aanvrager zijn of haar persoonsgegevens en zijn of haar publieke sleutel. Deze combinatie van persoonsgegevens en een publieke sleutel samen met het verzoek dit te ondertekenen heet een Certificate Signing Request (CSR). Zo n CSR wordt door de CA omgezet in een certificaat. Ook een CA is in het bezit van een certificaat, het rootcertificaat. Deze is door de CA zelf ondertekend met behulp van de geheime sleutel van de CA, de rootsleutel. Met de publieke sleutel uit dit certificaat kunnen de handtekeningen van certificaten die door de desbetreffende CA uitgeven zijn, gecontroleerd worden Registration Authority Bij een PKI voor een grote organisatie, kan het controleren van de identiteit van alle aanvragers dusdanig veel tijd kosten, dat dit voor de uitgifte van certificaten vertraging oplevert. In dat geval kan een CA gebruik maken van extra instanties die deze controle op zich nemen. Zo n instantie wordt een Registration Authority (RA) genoemd. Nadat een RA de identiteit heeft gecontroleerd en heeft bepaald dat de aanvrager recht heeft op een certificaat wordt de CSR van de aanvrager opgestuurd naar de CA. Nadat een CSR is omgezet in een certificaat, wordt deze terug gestuurd naar de RA, waar de gebruiker het kan komen afhalen Policy Authority De Policy Authority (PA) bewaakt de policy van een PKI. Deze policy staat uitgewerkt in 2 documenten, de Certiticate Policy (CP) en het Certificate Practice Statement (CPS) [12]. In een Certificate Policy staan alle regels omtrent de uitgifte en het gebruik van een certificaat. Per certificaat type (daarover meer in paragraaf 3.9) is er een Certificate Policy, waardoor het mogelijk is dat een PA over meerdere CP s beschikt. De regels in een CP zijn heel ruim, waardoor een CP vele jaren mee kan gaan. In een CPS staat welke specifieke regels de CA hanteert om aan de CP s te voldoen. Een PA beschikt dus over slechts één CPS voor alle CP s. Tevens staat in de CPS beschreven welke maatregelen de CA genomen heeft om risico s, zoals brand of inbraak, te beperken. Omdat de gebruiker aan de hand van dit document kan bepalen hoe zorgvuldig een CA te werk gaat en dus hoe betrouwbaar een CA is, is dit een zeer belangrijk document. 21

23 3.6.4 Certificate Repository Als gebruikers van een PKI veilig met elkaar willen communiceren, zullen zij dus in het bezit moeten zijn van elkaars certificaat. Deze kunnen ze elkaar natuurlijk toesturen. Het is echter veel gemakkelijker als alle gebruikerscertificaten op een publieke server opgeslagen liggen, zodat iedereen een certificaat kan opvragen op het moment waarop dat nodig is. De meest gebruikte methode is om de certificaten op te slaan in een LDAP (Lightweight Directory Access Protocol) server. LDAP, dat afgeleid is van X.500, is een open standaard en is ideaal voor het opzoeken van persoonsgegevens zoals adres en certificaat vanuit een cliënt [17] Key Recovery Service / Key Archival System Om verschillende redenen kan de geheime sleutel van iemand verloren gaan. In zo n geval zijn documenten die vercijferd zijn met de bijbehorende publieke sleutel niet meer te ontcijferen. Om dit te voorkomen zou men ervoor kunnen kiezen om de geheime sleutels van iedereen als een back-up op te slaat in een Key Archival System. Het mag duidelijk zijn dat zo n Key Archival System goed beschermd dient te worden en dat het hebben van zo n systeem extra eisen stelt aan de betrouwbaarheid van de TTP. Een andere manier om een verloren sleutel terug te krijgen is door gebruik te maken van een Key Recovery Service. Er zijn verschillende manieren om dit te doen, maar de volgende worden het meest gebruikt: Key Escrow: Een geheime sleutel wordt opgedeeld in meerdere delen, die vervolgens over meerdere betrouwbare partijen (escrow agents) verdeeld worden. Om de sleutel te herstellen dienen deze delen eenvoudig weer samengevoegd te worden. Key Encapsulation: Bij deze techniek wordt er voor elke communicatie gebruik gemaakt van een unieke sessiesleutel om de data te versleutelen. Deze sessiesleutel wordt vercijferd met de publieke sleutel van de TTP en bij de te versturen gegevens gevoegd. Op deze manier kan, als dat nodig blijkt, de TTP altijd de data ontcijferen. Een back-up maken van een sleutel houdt in dat er een kopie van de desbetreffende sleutel op een andere plek bewaard worden. Van sleutels waarmee handtekeningen gezet worden, moet om twee redenen geen back-up gemaakt worden: Een digitale handtekening wordt gemaakt met behulp van een geheime sleutel en gecontroleerd met behulp van de bijbehorende publieke sleutel. Is een handtekening eenmaal geplaatst dan is de gebruikte geheime sleutel dus niet meer nodig. Een back-up maken is om die reden dus zinloos. Omdat het zetten van een handtekening kan leiden tot juridische gevolgen is het niet wenselijk dat het, op welke manier dat ook, voor anderen mogelijk is om namens iemand anders een handtekening te zetten. Omdat het niet mogelijk is om geheime sleutels die op een smartcard zijn aangemaakt uit de smartcard te krijgen, zullen sleutels waarvan men een back-up wil hebben buiten de smartcard aangemaakt moeten worden. Zo n geheime sleutel wordt dan, net als een certificaat, op de smartcard geplaatst. 22

24 3.6.6 Time Server Een Time Server is in staat om een document te voorzien van een tijdstempel en dit geheel vervolgens te ondertekenen met een digitale handtekening. Uiteraard bevat de tijdstempel de tijd van het moment van ondertekenen. Dit gebeurt als volgt: de aanvrager van een tijdstempel stuurt een hash van zijn of haar document naar de Time Server. De Time Server voegt daar een tijdstempel bij en ondertekent deze met zijn eigen geheime sleutel. Het resultaat hiervan wordt teruggestuurd naar de aanvrager, die dit bij het document voegt. Natuurlijk kan een gebruiker zelf een tijdstempel aanbrengen, alleen is deze veel minder betrouwbaar. Immers, de gebruiker kan een willekeurig tijdstip nemen voor het maken van de tijdstempel, in plaats van de op dat moment geldende tijd. 3.7 PKI architecturen Er is een aantal CA architecturen mogelijk om een PKI op te zetten. architecturen zijn in 3 hoofdgroepen in te delen: Deze Simple PKI architecturen Enterprise PKI architecturen Hybrid PKI architecturen Simple PKI architecturen Single CA: De meeste eenvoudige PKI architectuur is de Single CA. Er is in deze situatie sprake van maar één CA die de certificaten voor iedereen uitgeeft. Gebruiker CA Gebruiker Basic Trust List: Een uitbreiding van de Single CA architectuur is de Basic Trust List. Hierbij heeft een gebruiker nog steeds een certificaat uit maar 1 CA, maar beschikt hij of zij daarnaast over een lijst met certificaten van andere CA s die deze gebruiker vertrouwt. Hij kan hiermee ook veilig berichten ontvangen van gebruikers uit een andere PKI Enterprise PKI architecturen Hierarchical PKI: In het geval van een grote organisatie die bijvoorbeeld meerdere vestigingen heeft of bestaat uit meerdere grote afdelingen kan het lastig zijn om 1 CA te gebruiken. In zo n geval zal er gebruik gemaakt 23

25 moeten worden van meerdere CA s die op een betrouwbare manier aan elkaar geknoopt worden. Elke vestiging of afdeling krijgt dan een eigen CA. In het geval van een Hierarchical PKI is er sprake van één hoofd CA, de root CA, die in plaats van gebruikers andere CA s onder zich heeft. Deze CA s kunnen, net als gebruikers, door middel van certificaten veilig met elkaar communiceren. De onderliggende CA s kunnen gebruikers dan wel andere CA s onder zich hebben. Op deze manier ontstaat er een boom van CA s met als bladeren de gebruikers. Gebruiker CA Gebruiker Root CA CA CA Gebruiker Gebruiker Mesh PKI: In een Mesh PKI is er geen sprake van een boomstructuur met een root CA, maar hebben de verschillende CA s een onderling netwerk van vertrouwen. Elke CA heeft met tenminste één andere CA uit het netwerk een vertrouwde relatie, doordat ze aan elkaar certificaten hebben uitgereikt, waardoor ze, soms met behulp van een andere CA, allemaal met elkaar verbonden zijn. 24

26 Gebruiker Gebruiker CA Gebruiker CA CA CA Gebruiker Gebruiker Gebruiker Hybrid PKI architecturen In het geval van de Hybrid PKI architecturen is er sprake van vertrouwensrelaties tussen verschillende organisaties. Extended Trust list: De Extended Trust List is hetzelfde als de Basic Trust List met het volgende puntje als extra regel: in het geval dat de andere persoon waarmee iemand wil communiceren zich bevindt in een Hierarchical PKI, wordt niet de CA waar die persoon bij aangemeld is op de lijst gezet, maar de Root CA uit die PKI. Hierdoor kan er in één keer met alle mensen uit die gehele PKI gecommuniceerd worden. Cross-certified Enterprise PKI: in deze situatie heeft een CA 3 van elke organisatie certificaten uitgewisseld met een CA van een andere organisatie. Door middel van deze vertrouwensrelaties kan een medewerker van de ene organisatie veilig communiceren met een medewerker van een andere organisatie zonder zich druk te hoeven maken over de vraag of de CA van de andere organisatie wel veilig genoeg is. Dat is namelijk door een CA uit de eigen PKI al uitgezocht. Bridge CA: een Bridge CA is een overkoepelende CA voor meerdere organisaties. Deze Bridge CA wisselt certificaten uit met één CA 3 uit elke organisatie. Alle berichten die uitgewisseld worden tussen verschillende organisaties worden dus verzonden met behulp van deze Bridge CA. 3 in het geval van een Hierarchical PKI gaat het om de Root CA, in het geval van een Mesh PKI een willekeurige CA. 25

27 3.8 Vertrouwenspad Beschouw de volgende twee PKI s. Twee root CA s hebben elkaar certificaten uitgereikt, waardoor er veilige communicatie tussen de linker PKI en de rechter PKI mogelijk is. Root CA 1 Root CA 2 CA 1 CA 2 Randy Edward Stel, Randy wil Edward een bericht sturen. Hij heeft daarvoor zijn certificaat nodig. Deze vraagt hij op bij een Certificate Repository. Nu moet hij alleen nog controleren of dit certificaat echt en geldig is. Om de echtheid te controleren gaat Randy als volgt te werk. In het certificaat van Edward staat welke CA het ondertekend heeft. Van deze CA (CA 2) vraagt hij het certificaat op. Er zal blijken dat dit CA certificaat geen rootcertificaat is. Er wordt dan gekeken welke CA dat CA certificaat dan ondertekend heeft. Dit blijkt een root CA (root CA 2) te zijn. Nu blijkt de publieke sleutel van deze root CA ook ondertekend te zijn door de eigen root CA van Randy (root CA 1). Daarmee is de root CA van Edward een betrouwbare CA geworden en kan de echtheid van het Edward s certificaat op een betrouwbare manier gecontroleerd worden. In het certificaat van de root CA van Edward (root CA 2) staat een verwijzing naar de CRL van de rechter PKI. Met deze CRL kan vervolgens de geldigheid van Edward s certificaat gecontroleerd worden. Deze hele weg om een certificaat van een andere gebruiker te valideren heet een vertrouwenspad. Dit is in het geval van een kleine PKI makkelijk. In het geval van een grote hybrid PKI architectuur kan dit lastig zijn, omdat er dan onduidelijkheid kan bestaan over welke weg gevolgd moet worden. 3.9 Certificaat type In de meest eenvoudige opzet geeft een CA één type certificaat uit. In dit verslag worden certificaten van hetzelfde type genoemd, wanneer zij ondertekend zijn met behulp van dezelfde geheime CA sleutel. Op basis van de handtekening kan toegang verleend worden tot een informatiesysteem. Is de informatie uit een bepaald informatiesysteem niet openbaar voor alle gebruikers uit de PKI, dan 26

28 kan naast de controle van de handtekening ook nog eens een controle op basis van het serienummer uit het certificaat plaats vinden. Op die manier kan per persoon bepaald worden wie er toegang heeft tot een bepaald informatiesysteem en wie niet. Deze toegangscontrole kan ook geregeld worden door meerdere type certificaten uit te geven, waarbij elk type certificaat dus ondertekend wordt met een aparte geheime CA sleutel. Beschikt een gebruiker niet over het juiste type certificaat, dan krijgt diegene geen toegang tot een bepaald informatiesysteem Uitgifte van certificaten Er zijn natuurlijk verschillende manieren te bedenken waarop een persoon uit een PKI een certificaat zou kunnen verkrijgen. Een manier zou zijn dat iemand via een website persoonsgegevens en een publieke sleutel opstuurt naar een CA met het verzoek deze te ondertekenen. De RA controleert de gegevens en indien de aanvrager recht heeft op een certificaat, wordt er een voor hem of haar aangemaakt. Via een ander kanaal dan internet, bijvoorbeeld de post, wordt een toegangscode opgestuurd waarmee op dezelfde website het certificaat gedownload kan worden. Een andere manier is dat een persoon zich meldt bij een RA. Door middel van zijn paspoort identificeert hij zich. Indien hij of zij recht heeft op een certificaat wordt er voor hem of haar ter plekke een aangemaakt, op basis van de gegevens in het paspoort en zijn of haar publieke sleutel die hij of zij daar persoonlijk overhandigt. Het moge duidelijk zijn dat dit twee heel verschillende manieren zijn om een certificaat uit te geven. De eerste methode kost minder werk en moeite voor de aanvrager, maar is wel stukken minder betrouwbaar dan de tweede methode. Per organisatie zal bekeken moeten worden welke procedure het meest wenselijk is Intrekken van certificaten In een certificaat zijn twee datum velden opgenomen die de periode aangeven waarin het certificaat geldig is. Het kan natuurlijk voorkomen dat een certificaat, om wat voor een reden dan ook, voortijdig ingetrokken moet worden. Bijvoorbeeld omdat de eigenaar van het certificaat van baan verandert of omdat de bijbehorende geheime sleutel zoek geraakt is door verlies of diefstal van de smartcard. Het serienummer wordt dan in een lijst van voortijdig ongeldig verklaarde certificaten geplaatst. Deze lijst wordt vervolgens door de CA voorzien van een digitale handtekening. Zo n lijst wordt een Certificate Revocation List (CRL) [13] genoemd en dient op een openbare plek opgeslagen te worden zodat iedereen deze lijst kan opvragen. Applicaties dienen dus, naast het controleren van de handtekening in een certificaat, ook te controleren of het serienummer van het betreffende certificaat voorkomt in de door de CA uitgegeven CRL. Is het laatste het geval, dan moet het betreffende certificaat geweigerd worden. Een CRL wordt periodiek bijgewerkt. Dat betekent dat er een bepaalde periode zit tussen het moment van aangifte van verlies of diefstal en het moment waarop applicaties ervan op de hoogte zijn dat het betreffende certificaat geweigerd dient te worden. Natuurlijk kan een CRL direct na melding van verlies of diefstal bijgewerkt worden, maar dat betekent dat applicaties bij iedere handeling waar- 27