Toelichting SHA-2 Release Zorg CSP (UZI-register en ZOVAR)
|
|
- Regina Annelies Hendrickx
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Toelichting SHA-2 Release Zorg CSP (UZI-register en ZOVAR) Versie 1.0 Datum 26 november 2010 Status definitief
2 Inhoud 1 Inleiding Doelstelling Disclaimer Versie historie 4 2 Inhoudelijke wijzigingen in SHA-2 release Achtergrond en noodzaak voor de release Ondertekening certificaten Risico s in het gebruikte SHA-1 hashing algoritme Planning en tijdspad Toelichting wijzigingen Nieuwe Staat der Nederlanden Root CA en CA hiërarchie Gebruik van SHA256 with RSA Encryption als het signing algorithm voor alle certificaten en CRL s Aanpassing RSA sleutellengte Geldigheidsduur CA certificaten SHA-256 support bij gebruik van UZI-pas (update SafeSign middleware) 8 3 Impact analyse Inleiding Impact voor zorgaanbieders Impact ketenpartners (LSP, SBV-Z) Pashouders en GBZ-en gaan SHA-2 certificaten gebruiken Introductie SHA-2 certificaten op centrale voorzieningen Ondersteuning SHA-256 in operating systeem en/of applicatie 10 Toelichting verschillende niveaus SHA-2 support Ondersteuning SHA-256 in Microsoft Windows XP Ondersteuning SHA-256 in Microsoft Windows Vista Ondersteuning SHA-256 in Mac OS X Ondersteuning SHA-256 in Linux Ondersteuning SHA-256 in Windows 2003 server Ondersteuning SHA-256 in Windows Support in standaardapplicaties Impact voor XIS leveranciers (FAQ) Ondersteunt de nieuwe SHA-2 pas nog steeds SHA-1 with RSA encryption? Blijven bestaande XIS applicaties dus gewoon werken? Wat is het effect van de langere sleutellengten? Wat moet een software ontwikkelaar doen om de SHA-256 functionaliteit van de middleware te gebruiken? Is SHA-256 ook te gebruiken met Microsoft Crypto API? Is het mogelijk om SHA-256 te gebruiken voor een Elektronische handtekening met een G1 of G2 UZI-pas? 20 Pagina 2 van 20
3 Lijst met figuren Figuur 1: Huidige ondertekeningsalgoritme in certificaten UZI-register 5 Figuur 2: Illustratie stap 1: berekening hash-waarde 5 Figuur 3: Illustratie stap 2: RSA encryptie van de hash-waarde 5 Figuur 4: CA model productieomgeving SHA-2 generatie (G21) 7 Figuur 5: Illustratie keuze hashing algoritme binnen MS-Outlook applicatie 11 Figuur 6: Correcte weergave SHA256 with RSA encryption algoritme in Windows XP met SP3 12 Figuur 7: Correcte weergave SHA256 with RSA encryption algoritme in Windows Vista 13 Figuur 8: Correcte weergave SHA256 with RSA encryption algoritme in Mac OS X sleutelhanger 13 Figuur 9: Correcte weergave SHA-2 algoritme in FireFox op Mac OS X 13 Figuur 10: Foutmelding op Windows 2003 server systeem zonder SHA-256 support 14 Figuur 11: FireFox SHA-256 support op Windows 2003 server systeem 16 Lijst met tabellen Tabel 1: RSA sleutellengte in SHA-2 generatie (G21) 8 Tabel 2: Levensduur certificaten SHA-2 generatie (G21) 8 Copyright CIBG te Den Haag Niets uit deze uitgave mag verveelvoudigd en/of openbaar worden gemaakt (voor willekeurig welke doeleinden) door middel van druk, fotokopie, microfilm, geluidsband, elektronisch of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van CIBG. Pagina 3 van 20
4 1 Inleiding 1.1 Doelstelling Dit document geeft een inhoudelijke toelichting bij de SHA-2 release van de Zorg CSP 1 die gepland is in 2009/2010. Een belangrijk doel is een eerste analyse van de impact voor partijen die certificaten van de Zorg CSP gebruiken of vertrouwen. De doelgroep van dit document zijn ICT projectleiders, specialisten en programmeurs van zowel zorgaanbieders als XIS-leveranciers. Om de invoering van SHA-2 in het zorgveld optimaal te ondersteunen is een aparte landingspagina gemaakt op de website met praktische informatie. Zie Disclaimer Bij het opstellen van deze versie was nog geen praktische test mogelijk met SHA-2 UZI-passen of servercertificaten. Wel zijn testen uitgevoerd met het nieuwe Root CA certificaat. Zodra er meer of specifiekere informatie is, zal er een update van dit document komen. 1.3 Versie historie Versie Datum Status Toevoegingen en wijzigingen sep Concept Eerste extern gepubliceerde versie op basis van analyse en beperkte testen met het nieuwe Root CA certificaat okt Concept Inhoudelijke wijzigingen: Update met hotfix voor Windows 2003; Opmerking OCSP signer certificaten (par ); nov Definitief Wijzigingen: Voorblad in rijksbrede overheidshuisstijl; Par. 1.1 link naar SHA-2 landingspagina; 1 De Zorg CSP omvat zowel het UZI-register (doelgroep zorgverleners) als ZOVAR (doelgroep zorgverzekeraars). In het kader van deze release zijn alle wijzigingen en consequenties voor UZI-register servercertificaten en ZOVAR servercertificaten gelijk tenzij expliciet anders is vermeld. Pagina 4 van 20
5 2 Inhoudelijke wijzigingen in SHA-2 release 2.1 Achtergrond en noodzaak voor de release Ondertekening certificaten Het UZI-register ondertekent momenteel de uitgegeven certificaten met een combinatie van het RSA en SHA-1 algoritme: SHA-1 with RSA Encryption. Figuur 1 laat zien hoe dit in de Microsoft viewer zichtbaar is. Figuur 1: Huidige ondertekeningsalgoritme in certificaten UZI-register Het proces van ondertekenen vindt plaats in 2 stappen. Allereerst berekent de CA de hash-waarde van de certificaatgegevens. Een hash-functie berekent bij een willekeurig bestand een unieke code -ook wel hash, digest, fingerprint genoemdmet een vaste lengte. Voor SHA-1 is de lengte van de hash-waarde 160 bits. Het doel hiervan is het realiseren van integriteit, dat wil zeggen dat iedere wijziging in het originele bestand direct leidt tot een compleet verschillende hash-waarde. Figuur 2: Illustratie stap 1: berekening hash-waarde De tweede stap van de handtekening is het encrypten van de hash-waarde met de private RSA key. Bij een certificaat is dat de private key van de CA die het certificaat ondertekent. Figuur 3: Illustratie stap 2: RSA encryptie van de hash-waarde Pagina 5 van 20
6 De lengte van de handtekening hangt af van de RSA sleutellengte en heeft dus ook een vaste lengte Risico s in het gebruikte SHA-1 hashing algoritme Het gebruikte hash algoritme SHA-1 is een standaard van het Amerikaanse NIST 2. SHA-1 blijkt echter minder veilig dan bij de introductie werd gedacht. Chinese cryptografen hebben aangetoond dat het makkelijker is dan voorheen gedacht om zogenaamde collisions te vinden. Een collision is een dreiging voor hash algoritmen en houdt in dat twee bestanden kunnen worden gevormd die dezelfde hash-waarde opleveren. Dit houdt in dat (theoretisch) de inhoud van een ondertekend bericht of certificaat gewijzigd zou kunnen worden terwijl de handtekening onder het bericht blijft kloppen. Er zijn nog geen collisions voor SHA-1 gevonden, maar de theoretische sterkte van het algoritme is kleiner dan tot nu toe gedacht. Er moet rekening gehouden worden dat de komende jaren nieuwe doorbraken zullen zijn. Daarom heeft NIST vier nieuwe, sterkere algoritmen tot standaard verheven als opvolger van SHA-1: SHA- 224, SHA-256, SHA-384 en SHA-512. Deze worden ook wel gevat onder de verzamelnaam SHA Planning en tijdspad Bovenstaande bedreiging heeft ertoe geleid dat PKI voor de overheid -in navolging van internationale instanties- een overgang naar het SHA-256 algoritme in gang heeft gezet. De huidige planning is dat er na 2010 geen certificaten meer uitgegeven worden waarbij SHA-1 is gebruikt als onderdeel van de ondertekening. De detailplanning van de release zal afzonderlijk gecommuniceerd worden en hangt af van de impactanalyses die de leveranciers van CIBG momenteel uitvoeren. 2.2 Toelichting wijzigingen Deze paragraaf specificeert de wijzigingen die onderdeel zijn van de SHA-2 release Nieuwe Staat der Nederlanden Root CA en CA hiërarchie Met de SHA-256 release wordt er een complete nieuwe CA hiërarchie gecreëerd naast de bestaande eerste en tweede generatie CA s. Figuur 4 geeft het CA model weer voor de productieomgeving van de Zorg CSP die onder de nieuwe Staat der Nederlanden Root CA G2 valt. Het belangrijkste kenmerk van de nieuwe hiërarchie is het gebruik van het SHA-256 hashing algoritme bij de ondertekening van de certificaten. 2 National Institute of Standards and Technology, FIPS PUB 180-1, Secure Hash Standard. Pagina 6 van 20
7 Figuur 4: CA model productieomgeving SHA-2 generatie (G21) Toelichting De naamgeving van de SHA-2 generatie is weergegeven in Figuur 4 die de subject.commonname bevat van de CA certificaten. Voor PKI-overheid is dit de tweede generatie root en domein CA (G2). Om verwarring te voorkomen is besloten de Zorg CSP een versienummer te geven dat zoveel mogelijk gelijk loopt met root en domein CA. Aangezien G2 al gebruikt wordt, is gekozen voor G21. De G1 en G2 hiërarchie zijn verkleind weergegeven en zullen uitfaseren. De G1 hiërarchie produceert nu alleen nog CRL s en zal in december 2010 definitief uitfaseren omdat de geldigheidsduur dan verloopt Gebruik van SHA256 with RSA Encryption als het signing algorithm voor alle certificaten en CRL s. In alle certificaten die de Zorg CSP uitgeeft en in de CA hiërarchie zal ondertekening van certificaten plaatsvinden op basis van SHA-256 hashing in combinatie met het RSA algoritme. Dit geldt ook voor de ondertekening van CRL s. Het algoritme is als volgt gespecificeerd (RFC 4055, Additional RSA Algorithms and Identifiers): OBJECT IDENTIFIER ' ' {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) sha256withrsaencryption(11)} In het certificaat staat deze Object Identifier (OID) twee keer: Certificate.signatureAlgorithm tbscertificate.signature Opmerkingen Het SHA-1 algoritme wordt conform de geldende standaarden (RFC 5280) nog wel gebruikt voor berekening van de zogenaamde key-identifiers in de certificaten. Dit zijn hashes van bijvoorbeeld de public key in het certificaat en Pagina 7 van 20
8 zijn bedoeld als een soort thumbprint die het vergelijken van sleutels vereenvoudigt. Dit levert geen beveiligingsrisico op. Ook OCSP responses zijn ondertekend door de OCSP responder. Momenteel is SHA-1 with RSA Encryption het gebruikte algoritme. Dit zal naar verwachting zo blijven omdat het OCSP protocol zelf nog niet is geupdate voor het gebruik van SHA-256. Waarschijnlijk zal ook het OCSP signer certificaat ondertekend zijn op basis van SHA256 with RSA Encryption Aanpassing RSA sleutellengte Naast aanpassing van het hashing algoritme zijn ook de RSA sleutellengtes vergroot om gedurende de geldigheidsduur van de hiërarchie bestand te zijn tegen cryptografische aanvallen. Certificaat RSA sleutellengte (bits) Stamcertificaat 4096 Domeincertificaat 4096 CSP certificaat 4096 sub-ca certificaat 4096 Eindgebruikercertificaat 2048 Tabel 1: RSA sleutellengte in SHA-2 generatie (G21) Geldigheidsduur CA certificaten De onderstaande tabel geeft een overzicht van de geldigheidsduur van de SHA-2 hiërarchie. Dit is een afweging tussen de verwachtte cryptografische ontwikkelingen en de wens om het aantal vernieuwingen van de hiërarchie te minimaliseren. Certificaat Geldig tot Stamcertificaat Domeincertificaat CSP certificaat sub-ca certificaat Eindgebruikercertificaat Ongewijzigd: 3 jaar Tabel 2: Levensduur certificaten SHA-2 generatie (G21) SHA-256 support bij gebruik van UZI-pas (update SafeSign middleware) Minimale vereiste voor gebruik van een SHA-2 UZI-pas is een update van de SafeSign middleware. Los van de handtekeningen onder certificaten wordt het ook mogelijk om SHA-256 te gebruiken bij het gebruik van de UZI-pas voor het plaatsen van handtekeningen. Dit is met name van belang voor XIS-leveranciers en is in meer detail uitgewerkt in paragraaf Dit is nagenoeg zeker maar dient formeel nog bevestigd te worden door PKI overheid. Pagina 8 van 20
9 3 Impact analyse 3.1 Inleiding De impact van de SHA-2 release hangt sterk af van de toepassing en is in dit hoofdstuk nader toegelicht. Hierbij zijn de volgende onderwerpen onderkend: Impact voor zorgaanbieders. Dit geeft globaal de stappen aan die vereist zijn. Impact voor ketenpartners (LSP en SBV-Z). Hier gaat het om de impact op de centrale voorzieningen binnen AORTA. Vereiste ondersteuning van SHA-256 in operating systeem of applicatie. Dit is een algemeen punt: ieder systeem of applicatie die een certificaat of CRL van het UZI-register verifieert, moet het SHA-256 algoritme ondersteunen. Impact voor XIS-leveranciers. Hierbij is nader ingegaan op het geschikt maken van XIS applicaties. 3.2 Impact voor zorgaanbieders Voor een zorgaanbieder gelden de volgende aandachtspunten bij het geschikt maken van de ICT omgeving voor de SHA-2 release: Randvoorwaarde voor gebruik van de SHA-2 UZI-passen/servercertificaten binnen AORTA is uiteraard dat de centrale voorzieningen al aangepast zijn. Er dient SHA-256 support te zijn in de operating systemen en/of applicaties voor het valideren van certificaten en CRL s. Dit is inhoudelijk verder toegelicht in paragraaf 3.4. De XIS applicatie dient geschikt te zijn. Dit is inhoudelijk verder toegelicht in paragraaf 3.5. Uitvoering hiervan ligt bij de leverancier van de XIS applicatie. Distributie van nieuwe root CA certificaat. PKI overheid is een traject gestart om het nieuwe Root CA certificaat te distribueren via dezelfde kanalen als het huidige Root CA certificaat. Dit betekent dat het nieuwe root CA certificaat minimaal beschikbaar komt via: 1 Het Microsoft trusted root CA program. In dat geval wordt het nieuwe root CA certificaat verspreid via Windows update. Mocht een gebruiker bijvoorbeeld op een website komen die beveiligd is met een SHA-2 servercertificaat dan wordt het nieuwe root CA certificaat automatisch opgehaald. 2 Mozilla. Bij installatie van bijvoorbeeld FireFox zal automatisch het nieuwe Root CA certificaat meegenomen worden. 3 MacOS X. 4 Opera browser. Distributie van de nieuwe CA hiërarchie voor de diverse pastypen. Dit betreft een vergelijkbare actie als bij de vernieuwing van het CSP CA certificaat. Samen met de SHA-2 release zal er een nieuwe SafeSign versie komen. Deze zal op alle werkplekken geïnstalleerd moeten worden waar men de nieuwe passen gaat gebruiken. LET OP! Ook buiten uw organisatie kan de introductie van de SHA-2 release impact hebben. Hieronder zijn twee voorbeelden uitgewerkt. Servercertificaten. Indien u een servercertificaat uit de SHA-2 generatie installeert op uw portal/website met de bijbehorende hiërarchie zal iedereen die uw site bezoekt in staat moeten zijn om de handtekeningen onder de certificaten te controleren. Pagina 9 van 20
10 Secure . Als u een ondertekent met een UZI-pas uit de SHA-2 generatie zal de ontvangende partij een systeem en/of pakket moeten hebben dat in staat is om de handtekeningen onder de certificaten te controleren. 3.3 Impact ketenpartners (LSP, SBV-Z) Pashouders en GBZ-en gaan SHA-2 certificaten gebruiken Vanaf het moment dat er UZI-passen gebruikt worden door zorgverleners of dat GBZ-en een servercertificaat kunnen hebben uit de SHA-2 hiërarchie moeten de centrale LSP en SBV-Z systemen in staat zijn om deze certificaten te controleren. Dit betekent concreet dat op de centrale systemen het volgende uitgevoerd moet zijn: Realiseren van SHA-2 support in applicatie en/of operating systeem. Installatie van het nieuwe root CA certificaat. Installatie van CA hiërarchie van de pastypen die men wil vertrouwen. Dit betreft een vergelijkbare actie als bij de vernieuwing van het CSP CA certificaat. Vergelijkbaar met de eerste en tweede generatie is het de verwachting dat de SHA- 2 hiërarchie niet conflicteert met reeds aanwezige CA certificaten in de certificate store. G1 en G2 UZI-passen en servercertificaten kunnen nog gewoon gebruikt worden en zullen vanzelf uitfaseren Introductie SHA-2 certificaten op centrale voorzieningen Het volgende punt is formeel geen onderdeel van de SHA-2 release van de Zorg CSP maar is hier voor de volledigheid opgenomen. De servercertificaten van LSP en SBV- Z zijn niet uitgegeven door de Zorg CSP maar vallen wel onder de PKI voor de overheid. Dat betekent dat op de centrale systemen op enig moment de servercertificaten onder de nieuwe Root CA van PKI voor de overheid uitgegeven zullen zijn. Alle partijen die vanaf dat moment met LSP of SBV-Z willen communiceren zullen in staat moeten zijn om deze nieuwe certificaten te controleren. Dit betekent concreet dat alle aangesloten systemen het volgende uitgevoerd moeten hebben: Realiseren van SHA-2 support in applicatie en/of operating systeem; Installatie van het nieuwe root CA certificaat; Mogelijk ook installatie van CA hiërarchie. Dit is dus een belangrijk moment: vanaf dat moment zijn alle systemen die nog geen SHA-2 ondersteunen niet meer in staat om een verbinding op te zetten met LSP of SBV-Z. Het advies is om hierbij de globaal de planning aan te houden van PKI voor de overheid om na 2010 geen SHA-1 meer toe te passen Ondersteuning SHA-256 in operating systeem en/of applicatie Onafhankelijk van de toepassing dient ieder systeem en/of applicatie dat een certificaat of CRL van het UZI-register verifieert het SHA-256 algoritme ondersteunen. Zo niet, dan kan het systeem de handtekening die de CA onder het certificaat of CRL heeft gezet niet controleren. Deze paragraaf geeft toelichting bij een aantal operating systemen en geeft eerst een toelichting bij verschillende niveaus van SHA-2 support Toelichting verschillende niveaus SHA-2 support Om spraakverwarring te voorkomen is het goed om onderscheid te maken tussen twee niveaus in SHA-2 support: 1 alleen SHA-2 in de certificaten; 2 SHA-2 zowel in de certificaten als in het applicatie protocol. 4 Deze is overgenomen van NIST: Pagina 10 van 20
11 Alleen in certificaten In deze situatie worden er alleen certificaten gebruikt uit de SHA-2 generatie. Vertrouwende partijen moeten dus in staat zijn om het gebruikte Signature Algorithm in de certificaten te interpreteren: SHA256 with RSA Encryption. Hiervoor zijn er globaal 2 mogelijkheden: 1 Binnen het operating systeem. Dit is vooral van toepassing voor Microsoft omgevingen. Hier wordt de cryptografische functionaliteit gerealiseerd in de Microsoft Cryptographic Module/Cryptographic Service Provider. Op het moment dat deze Module/CSP is aangepast (zie paragraaf 3.4.2) zouden alle applicaties die hier gebruik van maken in staat moeten zijn om met de SHA-2 certificaten overweg te kunnen. Voorbeelden van dergelijke applicaties zijn Internet Explorer, Outlook, Internet Information Server. 2 Binnen de applicatie. Dit is bijvoorbeeld het geval bij Mozilla applicaties zoals FireFox. Deze zijn niet afhankelijk van cryptografische functies in het operating systeem. Dit is een begrijpelijke keuze omdat FireFox beschikbaar is op Windows, MacOS en Linux. Ook als het operating systeem geen SHA-2 support heeft, kan FireFox wel overweg met certificaten die ondertekend zijn met SHA256 with RSA Encryption. Dit is geïllustreerd in paragraaf SHA-2 toepassen in de applicatie Het feit dat certificaten ondertekend zijn met SHA256 with RSA Encryption, zegt nog niets over het cryptografische (hashing) algoritme dat binnen een applicatie in gebruik is. Ter illustratie geeft Figuur 5 weer hoe (via Opties -> Security Settings -> Change Settings) het hashing algoritme geselecteerd kan worden dat Outlook gebruikt om de hashwaarde over het te ondertekenen bericht te berekenen. Hier is nu nog de keuze MD5 en SHA-1. Dit houdt in dat in de certificaten SHA256 with RSA Encryption gebruikt kan zijn, terwijl het bericht is ondertekend op basis van MD5 with RSA encryption. Toepassing van SHA-256 voor berichtondertekening vereist dus een applicatie update van Outlook los van SHA-256 support in Windows XP of Vista. Dit is niet waarschijnlijk op korte termijn. Ook hier geldt dat de ontvanger de handtekening alleen kan controleren als deze eveneens SHA-256 ondersteunt in de client. Figuur 5: Illustratie keuze hashing algoritme binnen MS-Outlook applicatie Bij SSL/TLS speelt een vergelijkbare situatie: het gebruik van SHA-2 certificaten zegt niets over het hashing algoritme binnen het SSL/TLS protocol. Zie ook de Pagina 11 van 20
12 opmerking over OCSP in par Randvoorwaarde is in alle gevallen dat de RFC s waarin deze applicatie protocollen zijn beschreven het gebruik van SHA-256 specificeren. Binnen AORTA is dit relevant bij Token Authenticatie en Elektronische Handtekeningen onder medicatievoorschriften. Voor Token Authenticatie wordt een SHA-1 hash berekend over het token. De Elektronische Handtekening is momenteel nog in de ontwerpfase, maar zal vermoedelijk een SHA-2 hash toepassen om te kunnen voldoen aan het normenkader van de elektronische handtekening. Dit valt verder buiten de scope van dit document Ondersteuning SHA-256 in Microsoft Windows XP Figuur 6 toont het nieuwe root CA certificaat op een XP systeem met Service Pack 3 geïnstalleerd 5. Het Signature algorithm is binnen het operating systeem bekend en is correct weergegeven. Dit betekent dat applicaties die de Microsoft Cryptographic Module overweg kunnen met certificaten uit de SHA-2 generatie. Figuur 6: Correcte weergave SHA256 with RSA encryption algoritme in Windows XP met SP Ondersteuning SHA-256 in Microsoft Windows Vista Onder Windows Vista kan het nieuwe root CA certificaat worden vertrouwd. Ook hier is het Signature algorithm binnen het operating systeem bekend. Dit is zowel met als zonder SP1 het geval. 5 Zoals aangegeven in is dit Service Pack beschikbaar voor Microsoft Windows XP Home Edition; Microsoft Windows XP Media Center Edition; Microsoft Windows XP Professional en Microsoft Windows XP Tablet PC Edition. De functionaliteit binnen SP3 die SHA-256 ondersteunt is de Microsoft Cryptographic Module die als volgt is omschreven: Implements and supports the SHA2 hashing algorithms (SHA256, SHA384, and SHA512) in X.509 certificate validation. This has been added to the crypto module rsaenh.dll. XP SP2 crypto modules Rsaenh.dll/Dssenh.dll/Fips.sys had been certified according to FIPS specifications. The Federal Information Processing Standard (FIPS) standard has been replaced by FIPS 140-2, and these modules have been validated and certified according to this standard. For more information, see the Microsoft Kernel Mode Cryptographic Module. Pagina 12 van 20
13 Figuur 7: Correcte weergave SHA256 with RSA encryption algoritme in Windows Vista Ondersteuning SHA-256 in Mac OS X Op Mac OS X , PowerPC is met succes het nieuwe stamcertificaat en het onderliggende domein CA certificaat toegevoegd aan de sleutelhanger. In de sleutelhanger kan men persoonlijke wachtwoorden opslaan, maar ook certificaten: dus een soort personal certificate store. Figuur 8: Correcte weergave SHA256 with RSA encryption algoritme in Mac OS X sleutelhanger Verder is FireFox op de Mac OS X meestal in gebruik voor web toepassingen die authenticatie met de UZI-pas gebruiken. Ook binnen FireFox is het nieuwe stamcertificaat met succes toe te voegen. Figuur 9: Correcte weergave SHA-2 algoritme in FireFox op Mac OS X Pagina 13 van 20
14 Vervolgacties Testen op andere releases van MacOS X dan Nader onderzoek naar de volgende bevinding: There is a bug in Apple's sha256.c and hmac-sha256.c source code files. If you're running the code on a PPC Mac, you will not encounter the bug, but if you're running Apple's code on an Intel machine (or you compile it using something other than GCC), you may encounter the problem Ondersteuning SHA-256 in Linux Hier zijn nog geen testen op uitgevoerd. Gangbare applicaties en libraries van Mozilla en OpenSSL hebben SHA-256 support op applicatieniveau zodat SHA-256 naar verwachting op Linux werkend is te krijgen. Vervolgacties Testen op de ondersteunde Linux distributies (RHEL 4 en SuSe 10) Ondersteuning SHA-256 in Windows 2003 server CIBG heeft een test uitgevoerd met een Windows 2003 server: Standard Release, met Service Pack 2 en volledig bijgewerkt met alle windows updates tot en met september Issue Hhet openen van het SHA-2 Root certificaat levert op een Windows 2003 server een foutmelding op in de certificate viewer (zie Figuur 10). Omdat er geen support is voor SHA-256 kan Windows 2003 niet vaststellen of het certificaat is gewijzigd. Het detail scherm geeft weer dat het operating systeem het Signature algorithm niet kent en toont daarom de Object Identifier van het algoritme die in het certificaat staat. Figuur 10: Foutmelding op Windows 2003 server systeem zonder SHA-256 support De consequentie hiervan is dat een Windows 2003 server niet in staat is om een certificaat of CRL te controleren die gebruikt maakt van het SHA-256 with RSA encryption algoritme. Pagina 14 van 20
15 Microsoft heeft een Hotfix beschikbaar die dit probleem verhelpt: CIBG heeft vastgesteld dat na installatie van deze hotfix op Windows 2003 server R2 SP1 en SP2 (Intel 32 bits) de nieuwe certificaten wel herkend worden en te installeren zijn in de certificate store. Microsoft heeft wel een disclaimer: WAARSCHUWING: Deze hotfix is niet uitgebreid getest. Daarom is deze uitsluitend bedoeld voor systemen of computers waarop het exacte probleem wordt ondervonden dat in een of meer van de Microsoft Knowledge Base-artikelen in het "KB-artikelnummers"-veld van de tabel onder aan dit e- mailbericht wordt beschreven. Als u niet zeker weet of specifieke compatibiliteitsproblemen of installatieproblemen aan deze hotfix zijn gekoppeld, raden we u aan te wachten op de volgende versie van het servicepack. Dat servicepack bevat een volledig geteste versie van deze hotfix. De werking van deze hotfix zal dus nog getest moeten worden met o.a. de volgende toepassingen: Internet Information Server; Smartcard logon met de UZI-pas in een Windows 2003 domain; Windows Terminal Services. De remote desktop draait op de Windows 2003 server en heeft dus dezelfde cryptografische functionaliteit als de Windows 2003 server; XIS server applicaties die Crypto Service Provider van het Windows 2003 gebruiken. Ook zonder de hotfix is het mogelijk dat er applicaties draaien op de Windows 2003 server die zelf SHA-2 functionaliteit hebben. Ter illustratie is dat met FireFox getest. Hiervoor in FireFox geïnstalleerd op een Windows 2003 server zonder hotfix kb Hierin kan men CA certificaten importeren die de browser vervolgens vertrouwt voor bijvoorbeeld het ondertekenen van servercertificaten. Dit kan via: Tools -> Options -> Tab Encryption -> View Certificates -> Import. Importeer het nieuwe root CA certificaat Klik op Tabblad Authorities Pagina 15 van 20
16 Figuur 11: FireFox SHA-256 support op Windows 2003 server systeem Toelichting De certificate manager laat zien dat het huidige Staat der Nederlanden Root CA certificaat is ingebouwd in Mozilla FireFox als Builtin Object Token. Installatie van de browser is voldoende om dit certificaat te vertrouwen. Het G2 certificaat is geïmporteerd (Software Security Device). Met View / details is zichtbaar dat het SHA-256 with RSA Encryption bekend is en dat het domeincertificaat gekoppeld is aan het root CA certificaat (certificate hierarchy). Vervolgacties 1 Het is niet duidelijk of Microsoft SHA-2 support in de toekomst in Windows 2003 server officieel gaat toevoegen. Er is geen Servicepack meer gepland maar er zijn nog wel security updates mogelijk voor Windows PKI overheid zal deze vraag uitzetten bij Microsoft. 2 Testen met IIS en Apache. 3 Het is onduidelijk wat de consequenties zijn als op een Windows 2003 server het.net framework 3.5 SP1 wordt geïnstalleerd 7. Hierin is wel SHA-256 support opgenomen 8 dus.net applicaties (XIS-en) zouden deze functionaliteit kunnen gebruiken voor signatures binnen de applicatie. Of hierdoor ook certificaat validatie mogelijk wordt, is niet duidelijk. 4 Testen smartcard logon. 6 Zie en 7 Download: 8 Zie: signatures.aspx Pagina 16 van 20
17 3.4.7 Ondersteuning SHA-256 in Windows 2008 Hoewel dit nog niet getest is, zal dit naar verwachting gelijk zijn aan de situatie bij Vista. Vervolgacties 1 Test uitvoeren met Windows 2008 server inclusief smartcard logon Support in standaardapplicaties Hieronder is een aantal standaardapplicaties genoemd waar deze release ook invloed op heeft. Hier zijn ze alleen genoemd. Zodra er testpassen zijn zullen zoveel mogelijk standaardtoepassingen getest worden. Adobe Adobe maakt gebruik van een eigen root CA certificaat en certificate store. Door Adobe-USA wordt onderzocht hoe het stamcertificaat van PKI overheid in de certificate store kan worden opgenomen. PKI overheid bereidt een pilot voor met Adobe en heeft daarbij ook SHA-256 op de agenda staan. Citrix Dit is naar verwachting vergelijkbaar met Window 2003 Terminal Server. Als de 2003 server support heeft voor SHA-256 zal dit voor de citrix client ook beschikbaar zijn. Mozilla Thinderbird client Dit zal naar verwachting gewoon werken omdat hier hetzelfde mechanisme in gebruik is als bij FireFox: SHA-256 support is ingebouwd in de applicatie. Smartcard logon (Windows 2003 en Windows 2008) Dit zal naar verwachting alleen werken bij volledige support binnen Windows 2003 server. Windows 2008 server zal naar verwachting werken. 3.5 Impact voor XIS leveranciers (FAQ) Wat de impact op applicatieniveau is, hangt sterk af van implementatiekeuzes van de leverancier. Dit verklaart het ruime tijdspad dat gekozen is om alle partijen gelegenheid te geven om applicaties aan te passen indien noodzakelijk. Zoals aangegeven in paragraaf is er een minimale variant (alleen certificaten met SHA-256 with RSA encryption als signature algorithm zijn bruikbaar) tot een maximale variant waarbij men SHA-256 ook in de applicatie gebruikt voor het berekenen van hash-waarden. Dit laatste is waarschijnlijk van toepassing in het kader van EMD+ wat onder andere elektronische handtekeningen onder medicatievoorschriften introduceert. Deze paragraaf probeert in de vorm van FAQ s de impact zo volledig mogelijk toe te lichten Ondersteunt de nieuwe SHA-2 pas nog steeds SHA-1 with RSA encryption? Ja, er komt alleen 'security mechanisme 9 ' bij voor het gebruik van SHA-256 naast de huidige security mechanismen. Er verdwijnen geen security mechanismen. Voor applicatieontwikkelaars houdt de SHA-2 support in dat het PKCS#11 security mechanisme CKM_SHA256_RSA_PKCS ook gebruikt kan worden via de middleware. 9 Hier is een security mechanisme bedoeld conform Hoofdstuk 12 van de PKCS#11 standaard. Zie Pagina 17 van 20
18 3.5.2 Blijven bestaande XIS applicaties dus gewoon werken? Nee, dat hangt af van de specifieke configuratie. Het antwoord in paragraaf houdt in dat maatwerk applicatie code die nu SHA-1 hashes berekent via de middleware naar verwachting niet gewijzigd hoeft te worden. Zoals toegelicht in paragraaf dienen minimaal alle systemen die certificaten uit de SHA-2 generatie moeten vertrouwen het SHA-256 algoritme te ondersteunen. Verder moet de applicatie overweg kunnen met grotere RSA sleutels (zie paragraaf 3.5.3) Wat is het effect van de langere sleutellengten? Het effect is dat zowel de certificaten als handtekeningen groter zullen zijn. Vanwege de variabele gegevens van pashouders wisselt de omvang van certificaten en is het niet exact voorspelbaar. Wel is een indicatie te geven. Ter illustratie: het huidige root CA certificaat is 958 bytes en het nieuwe root CA certificaat is bytes. Een belangrijke reden van de toegenomen omvang van certificaten is de omvang van de handtekeningen onder de certificaten. Bij het RSA algoritme geldt de volgende regel: het aantal bytes van de signature is gelijk aan de RSA sleutellengte in bits gedeeld door 8. Bij een 1024-bits RSA key is de signature dus 128 bytes. Handtekeningen onder authenticatie tokens of mediciatievoorschriften worden dus 256 bytes onafhankelijk van het gebruikte hashing algoritme Wat moet een software ontwikkelaar doen om de SHA-256 functionaliteit van de middleware te gebruiken? Dit betreft dus de situatie waarbij men binnen de XIS applicatie een SHA-256 hashwaarde wil gebruiken als onderdeel van handtekening (SHA-256 with RSA encryption). Voor het berekenen van een RSA signature kan men de volgende PKCS#11 functies gebruiken: C_SignInit C_Sign Onderdeel van deze functies is een security mechanisme 9 dat men moet meegeven. Hierbij zijn er twee varianten waarbij hashing wel of geen onderdeel is van het mechanisme. Men kan dus kiezen om de hash-waarde in de applicatie te berekenen en die berekende hash via de middleware aan te bieden aan de UZI-pas voor uitsluitend een RSA bewerking. In de andere variant biedt men de data aan de middleware aan en geeft men een security mechanisme mee dat zowel een hashing algoritme als het RSA algoritme specificeert. De middleware berekent de hash-waarde en de UZI-pas voert de RSA bewerking uit. Hieronder zijn twee stukjes C++ voorbeeld code opgenomen die het verschil illustreren. Hashing in applicatie en alleen RSA bewerking via middleware (UZI-pas) *********************************************************************** void SignVerify(CK_SESSION_HANDLE hsession) { CK_MECHANISM mechanism = {CKM_RSA_PKCS,0,0}; CK_BYTE data[] = "KJLKJLKJASFLKJASFJL AFASghrttyuihjw"; // We use 36 bytes for testing this reflects normal use because // length(md5_hash) + length(sha1_hash) => De toegenomen omvang van het Root CA certificaat is daarmee als volgt te verklaren. De toename is bytes = 528 bytes. De (self-signed) handtekening met een 4096 bits sleutel is 4096 / 8 = 512 bytes. Dit is een toename van 256 bytes t.o.v. de oude situatie met 2048 bits sleutels. De sleutel zelf is 2048 bits groter wat betekent: 2048 / 8 = 256 bytes. De resterende toename van 16 bytes komt voort uit een langere naamgeving. Pagina 18 van 20
19 CK_ULONG datalen = 36; // The result of the signing/encryption/decryption // operation will be 128 byes long because we are using // a 1024 bits key. CK_BYTE signature[128]; CK_ULONG signaturelen = 128; CK_BYTE encrypteddata[128]; CK_ULONG encryptedlen; CK_BYTE decrypteddata[128]; CK_ULONG decryptedlen; FL_CALL(C_SignInit,(hSession,&mechanism,prk)); FL_CALL(C_Sign,(hSession,data,dataLen,signature,&signatureLen)); // if Verify goes wrong cryptoki returns // CKR_SIGNATURE_INVALID (0x000000C0) FL_CALL(C_VerifyInit,(hSession,&mechanism,puk)); FL_CALL(C_Verify,(hSession,data,dataLen,signature,signatureLen)); } } *********************************************************************** Zowel hashing als RSA bewerking via middleware (UZI-pas) Men kan ook een security mechanisme gebruiken waarin de hashfunctie zit. Het onderstaande voorbeeld komt uit de SDK (AuthenticationSample) die voor SafeSign beschikbaar is en op de UZI-site staat. Hier wordt de data gesigned met een combinatie van SHA-1 (eerste hash berekenen in middleware) en vervolgens RSA signing (met private key op de UZI-pas). *********************************************************************** //////////////////////////////////////////////////////////////////// // // SLIDE 8 // Sign the challenge //////////////////////////////////////////////////////////////////// // // Signing can be done as a one-part or multi-part operation, and can // be done using various hash algorithms. Please refer to the // PKCS #11 specification for details. In this example, we use a // single part operation and we use SHA-1 hashing with PKCS #1 // padding. This is a very common combination. CK_MECHANISM sha1pkcs1 = { CKM_SHA1_RSA_PKCS, NULL, 0 }; rv = pp11->c_signinit(hsession, &sha1pkcs1, hprivatekey); CheckRV(rv); // If you use a hash, you can sign an unlimited amount of data, but // for this example, we only use 10 bytes... You can use repeated // calls to C_Sign to determine the size of the signature, as // done below. // The sample data represents the challenge that we would typically Pagina 19 van 20
20 // get from the server when going through an authentication sequence. // Of course, this value would be random and different every time // in a real world scenario. unsigned char ucdata[] = { 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 }; CK_ULONG ulsigsize = 0; // Determine the size of the signature rv = pp11->c_sign(hsession, ucdata, 10, NULL, &ulsigsize); CheckRV(rv); // Allocate space for the signature unsigned char* psignature = new unsigned char[ulsigsize]; // Retrieve the signature rv = pp11->c_sign(hsession, ucdata, 10, psignature, &ulsigsize); CheckRV(rv); printf("signature: \n\n "); for (int i = 0; i < ulsigsize; i++) { if ((i > 0) && ((i % 16) == 0)) { printf("\n "); } } printf("%02x ", psignature[i]); delete[] psignature; printf("\n\n"); *********************************************************************** Is SHA-256 ook te gebruiken met Microsoft Crypto API? Ja, ook bij applicaties die gebruik maken van de Microsoft interface komt er een nieuw security mechanisme via de SafeSign Cryptographic Service Provider. De functie CryptCreateHash zal ook SHA-256 als algoritme ondersteunen. Zie Is het mogelijk om SHA-256 te gebruiken voor een Elektronische handtekening met een G1 of G2 UZI-pas? Ja, de hashwaarde over het te ondertekenen bericht wordt dan in de applicatie berekend en vervolgens wordt met de UZI-pas alleen een RSA signature gezet over deze hash-waarde. Hierbij moet men dus de eerste variant toepassen die is beschreven in paragraaf Pagina 20 van 20
UZI-register Ondertekenen e-mail met Microsoft Outlook versie 2.5 definitief (UZ69.03) 24 november 2014. Versie 1.2. Datum 24 november 2014
UZI-register Ondertekenen e-mail met Microsoft Outlook versie 2.5 definitief (UZ69.03) 24 november 2014 Ondertekenen e-mail met Mozilla Thunderbird Versie 1.2 Datum 24 november 2014 Status Definitief 1
Nadere informatieVersleutelen e-mail met Microsoft Outlook
Versleutelen e-mail met Microsoft Outlook Versie 2.0 Datum 25 november 2014 Status definitief (UZ68.01) UZI-register Ondertekenen e-mail met Microsoft Outlook versie 2.0 definitief (UZ69.03) 24 november
Nadere informatieOndertekenen e-mail met Microsoft Outlook
Ondertekenen e-mail met Microsoft Outlook Versie 2.5 Datum 24 november 2014 Status Definitief (UZ69.03) Inhoud 1 Elektronische ondertekening van e-mail met Microsoft Outlook 3 1.1 Randvoorwaarden 3 1.2
Nadere informatieUZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november 2012. Remco Schaar Consultant UL Transaction Security service
UZI-pas in gebruik Maarten Schmidt Risk en Security manager 22 november 2012 Remco Schaar Consultant UL Transaction Security service Inhoud Agenda Gebruik UZI-pas, wat gaat er wijzigen Alternatief gebruik
Nadere informatieInstallatiehandleiding Windows XP / Vista / Windows 7
Installatiehandleiding Windows XP / Vista / Windows 7 Versie 1.4 Datum 11 januari 2011 Status definitief Inhoud 1 Downloaden installatiebestand 3 2 SafeSign installeren 4 3 Certificaten toevoegen aan de
Nadere informatieToelichting op SDK. Versie 2.0. Datum 11 november 2010 Status definitief
Toelichting op SDK Versie 2.0 Datum 11 november 2010 Status definitief Inhoud 1 Inleiding 3 1.1 Wat is de Software developer kit? 3 1.2 Voor wie is de SDK bedoeld? 3 1.3 1.4 Waarvoor kan de SDK gebruikt
Nadere informatieAan Hoofd ICT Securityofficer. Datum 20 oktober 2011 Betreft Vrijgeven DVS na DigiNotar incident. Geacht heer, mevrouw
> Retouradres Postbus 90801 2509 LV Den Haag Aan Hoofd ICT Securityofficer Directie Bedrijfsvoering Afdeling Financiën Postbus 90801 2509 LV Den Haag Anna van Hannoverstraat 4 T 070 333 44 44 F 070 333
Nadere informatieInstallatiehandleiding Linux
Installatiehandleiding Linux Versie 1.0 Datum 11 januari 2011 Status definitief 1 Installatiehandleiding Linux NB Het UZI-register biedt alleen ondersteuning voor de Ubuntu desktop 10.4 distributie. Deze
Nadere informatieLabo-sessie: Gegevensbeveiliging
Labo-sessie: Gegevensbeveiliging 1 Inleiding Dit labo zal devolgende topics behandelen: eid card Opdracht 1: Digitaal signeren van een MS Office document (zie pagina: 5) Opdracht 2: Digitaal signeren van
Nadere informatieBijlage I. 2. Kies : Weergave op kleine pictogrammen. 3. Kies Java en de tab General : Kamer van Koophandel Nederland
Bijlage I Deel A: Schonen van de Java cache t.b.v. nieuwe versie KvK Handtekeningservice applet Bij de nieuwe release van de KvK handtekeningservice zal de browser op uw werkplekken moeten worden geschoond,
Nadere informatieAandachtspunten PKIoverheid
Aandachtspunten PKIoverheid Tips en aanbevelingen bij PKIoverheid-certificaten en PKI-enabled applicaties Auteur GBO.overheid / PKIoverheid Versie Versie 1.0 Status Definitief Den Haag, 18 oktober 2007
Nadere informatieICT en de digitale handtekening. Door Peter Stolk
ICT en de digitale handtekening Door Peter Stolk Onderwerpen Elektronisch aanleveren van akten Issues bij de start Aanbieders van akten Hoe krijgen we ze zover? Demonstratie Welke technieken hebben we
Nadere informatieGebruikershandleiding
Gebruikershandleiding Installatie smartcard en certificaten CreAim BV Zuiddijk 384C 1505 HE Zaandam T + 31[0]75 631 27 09 F + 31[0]75 612 37 14 I www.creaim.nl Versie 1.4 1 Inleiding Dit document bevat
Nadere informatieeid middleware v2.6 voor Mac OS X
Gebruikshandleiding eid middleware v2.6 voor Mac OS X pagina 1 van 14 Inhoudsopgave Inleiding...3 Installatie...4 De onderdelen van de eid software...5 De PKCS#11 module...6 Toepassing om de kaart te lezen
Nadere informatieConcept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie
Forum Standaardisatie Wilhelmina v Pruisenweg 104 2595 AN Den Haag Postbus 84011 2508 AA Den Haag www.forumstandaardisatie.nl COLLEGE STANDAARDISATIE Concept CS07-05-04I Agendapunt: 04 Bijlagen: - Aan:
Nadere informatieDatum 15 juni 2006 Versie 1.0.6. Exchange Online. Handleiding voor gebruiker Release 1.0
Datum 1.0.6 Exchange Online Handleiding voor gebruiker Release 1.0 1.0.6 Inhoudsopgave 1 Instellingen e-mail clients 2 1.1 Gebruik via Outlook 2003 2 1.2 Gebruik via ActiveSync 15 1.3 Gebruik via andere
Nadere informatieHandleiding voor het inloggen op Terminal Server van GLT-PLUS
Handleiding voor het inloggen op Terminal Server van GLT-PLUS Voor inloggen vanuit huis, GLT en NAM Geschreven door: Business Information Datum: 4-5-2011 ENOVIA: 01335559-0001 rev D ENOVIA nummer: 01335559-0001
Nadere informatieMijn HVW-dossier. Veel voorkomende vragen en problemen
Mijn HVW-dossier Veel voorkomende vragen en problemen Inhoud 1. INSTALLATIE... 3 Welke software heeft u nodig?... 4 Uw installatie testen... 4 2. VRAGEN EN PROBLEMEN... 5 Federaal burgertoken... 6 Nieuwe
Nadere informatieHet aanmaken en installeren van een Servercertificaat onder IIS7
Het aanmaken en installeren van een Servercertificaat onder IIS7 Microsoft Internet Information Services 7 Versie 3.3 Datum 9 augustus 2012 Status definitief Inhoud 1 Inleiding 4 1.1 Inleiding 4 1.2 Disclaimer
Nadere informatieHet aanmaken en installeren van een Servercertificaat onder IIS7 / IIS8
Het aanmaken en installeren van een Servercertificaat onder IIS7 / IIS8 Microsoft Internet Information Services 7 en 8 Versie 4.0 Datum 1 september 2015 Status Definitief Inhoud 1 Inleiding 4 1.1 Inleiding
Nadere informatieBijlage I. 2. Kies : Weergave op kleine pictogrammen. 3. Kies Java en de tab General : Kamer van Koophandel Nederland
Bijlage I Deel A: Schonen van de Java cache t.b.v. nieuwe versie KvK Handtekeningservice applet Bij de nieuwe release van de KvK handtekeningservice zal de browser op uw werkplekken moeten worden geschoond,
Nadere informatieGebruikershandleiding
Gebruikershandleiding Installatie smartcard en certificaten CreAim BV Zuiddijk 384C 1505 HE Zaandam T + 31[0]75 631 27 09 F + 31[0]75 612 37 14 I www.creaim.nl Versie 1.3 1 Inleiding Dit document bevat
Nadere informatieExterne toegang met ESET Secure Authentication. Daxis helpdesk@daxis.nl Versie 2.0
Externe toegang met ESET Secure Authentication Daxis helpdesk@daxis.nl Versie 2.0 Inhoudsopgave: Inhoudsopgave:... 1 Inleiding:... 2 Stap 1: Download eenmalig Eset Secure Authentication op uw smartphone...
Nadere informatieHandleiding Ondertekenen
Handleiding Ondertekenen aan Gebruikers Online Registreren datum 13 juni 2014 kenmerk HL KvK Ondertekenen OR van ir. Ernst Mellink CISSP onderwerp Ondertekenen van opgaven in KvK Online Registreren Versiebeheer
Nadere informatieeid middleware v2.4 en 2.5 voor Windows
Gebruikshandleiding eid middleware v2.4 en 2.5 2006 Zetes NV pagina 1 van 18 Inhoudsopgave Inleiding... 3 Installatie... 4 De onderdelen van de eid software... 6 De module voor het systeemvak in de taakbalk...
Nadere informatieDE ELEKTRONISCHE IDENTITEITSKAART (EID)
DE ELEKTRONISCHE IDENTITEITSKAART (EID) INSTALLATIEGIDS EID MIDDLEWARE HOME VOOR WINDOWS VERSIE 1.1 NL Disclaimer Fedict is niet verantwoordelijk voor om het even welke schade die een derde zou ondervinden
Nadere informatieHANDLEIDING Externe toegang tot het Vesteda netwerk voor Vesteda medewerkers
HANDLEIDING Externe toegang tot het Vesteda netwerk voor Vesteda medewerkers Versie augustus 2009 INHOUDSOPGAVE INLEIDING... 3 MINIMALE VEREISTEN... 3 AANMELDEN... 4 De EERSTE KEER aanmelden met een RSA
Nadere informatieDE ELEKTRONISCHE IDENTITEITSKAART (EID)
DE ELEKTRONISCHE IDENTITEITSKAART (EID) ACROBAT PROFESSIONAL (WINDOWS) VERSIE 1.1.1 NL Disclaimer Fedict is niet verantwoordelijk voor om het even welke schade die een derde zou ondervinden ingevolge eventuele
Nadere informatieNaamgevingsdocument. ACCEPTATIEOMGEVING CIBG Zorg CSP. Versie : 6.4. Datum : 13 augustus 2018 Status : Definitief
Naamgevingsdocument ACCEPTATIEOMGEVING CIBG Zorg CSP Versie : 6.4 Datum : 13 augustus 2018 Status : Definitief Inhoudsopgave 1 Inleiding 4 1.1 Doelstelling 4 1.2 Versie historie 4 2 CA model acceptatieomgeving
Nadere informatieHet aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6
Het aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6 Versie 1.0 Datum 18-06-2008 Status definitief Bestandsnaam 20080618 - ZOVAR Instructie IIS6.doc (ZV30.01) Inhoudsopgave 1 Inleiding
Nadere informatieTechnische instructie Toegang tot Dienstenportaal via Webapplicatie (Internet Explorer) t.b.v. Repad
Technische instructie Toegang tot Dienstenportaal via Webapplicatie (Internet Explorer) t.b.v. Repad Versie 1.0 Technische instructie toegang Dienstenportaal versie 1.0 Colofon Afzendgegevens Dienst Justitiële
Nadere informatieDE IDENTITEITSKAART EN FIREFOX
DE IDENTITEITSKAART EN FIREFOX Deze handleiding is bedoeld voor iedereen die met een elektronische identiteitskaart toegang willen verkrijgen tot beveiligde web sites. In deze handleiding leggen we je
Nadere informatieGebruikershandleiding
Gebruikershandleiding versie: 18 maart 2013 Multrix Desktop Portal Toegang tot uw applicaties via het internet Handleiding Multrix Desktop Portal - NED Pagina 1 van 12 Inleiding Dit document biedt u een
Nadere informatieHandleiding Portaal Altrecht. https://portaal.altrecht.nl
Handleiding Portaal Altrecht https://portaal.altrecht.nl 1 Wat is het Altrecht het nieuwe portaal? 3 Eerst een Citrix client installeren 3 Aan welke eisen moet mijn computer voldoen om te kunnen telewerken:
Nadere informatieHoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO
Handleiding/Manual Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Inhoudsopgave / Table of Contents 1 Verbinden met het gebruik van
Nadere informatieWi-Fi instellingen voor Windows XP
Wi-Fi instellingen voor Windows XP Op de TU/e zijn een viertal Wlan netwerknamen of SSID s beschikbaar: TUE-WPA2 2 Het SSID TUE-WPA2 is voorzien van WPA2 beveiliging. Dit netwerk kan zowel door studenten
Nadere informatieDE ELEKTRONISCHE IDENTITEITSKAART (EID)
DE ELEKTRONISCHE IDENTITEITSKAART (EID) MS OFFICE OUTLOOK 2007 (WINDOWS) VERSIE 1.1.1 NL Disclaimer Fedict is niet verantwoordelijk voor om het even welke schade die een derde zou ondervinden ingevolge
Nadere informatieForum Standaardisatie. Expertadvies: Vervanging MD5 door SHA 2 op lijst met gangbare standaarden. Datum 5 augustus 2010
Forum Standaardisatie Expertadvies: Vervanging MD5 door SHA 2 op lijst met gangbare standaarden Datum 5 augustus 2010 Colofon Projectnaam Versienummer Locatie Organisatie Expertadvies: Vervanging MD5 door
Nadere informatieHandleiding voor het digitaal tekenen van huurcontracten bij UGent
Handleiding voor het digitaal tekenen van huurcontracten bij UGent Inleiding Ondersteunde systemen Stap 1: noodzakelijke software installeren Stuurprogramma installeren van je eid reader Stap 2: Testen
Nadere informatieGelre thuiswerk Portal
Gelre thuiswerk Portal Remote SSL/VPN Wachtwoord wijzigen 1 Inhoud 1. SYSTEEM VEREISTEN ALGEMEEN:... 3 2. VOORBEREIDING REMOTE WERKEN:... 3 3. GELRE WACHTWOORD VERPLICHT WIJZIGEN VIA HET GELRE THUISWERK
Nadere informatieRemote inloggen Gelre Cloud
Remote inloggen Gelre Cloud Remote SSL/VPN toegang op een Windows 10 systeem Inhoud 1 Systeemvereisten... 3 2 Voorbereiding remote werken... 4 3 Aan de slag... 5 4 Veel gestelde vragen (FAQ)... 12 Remote
Nadere informatieDigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief
DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud
Nadere informatieHandleiding - Mogelijke oplossingen voor problemen met het starten van Uw Online Werkplek
Zelfinstructie Deze zelfinstructie is er voor u! Wij krijgen steeds vaker het verzoek van gebruikers om informatie toe te sturen waarmee zij zelf gebruikersvragen kunnen oplossen. Uiteraard zijn wij er
Nadere informatieiprova Suite Systeemeisen iprova 5 Hosting
iprova Suite Systeemeisen iprova 5 Hosting Let op Dit document bevat de systeemeisen voor versie 5.0 van de iprova Suite. Door nieuwe ontwikkelingen kunnen de systeemeisen voor iprova wijzigen. Controleer
Nadere informatieInstallatiehandleiding SafeSign en PKI Klasse X certificaten
Installatiehandleiding SafeSign en PKI Klasse X certificaten Juni 2014 2014 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid
Nadere informatieBeveiliging en controle van PaPyRuSdocumenten
Beveiliging en controle van PaPyRuSdocumenten De pdf-documenten die via BelfiusWeb PaPyRuS ter beschikking worden gesteld en die aangemaakt zijn vanaf 10 juni 2013, zullen op elektronische wijze gecertifieerd
Nadere informatieDE ELEKTRONISCHE IDENTITEITSKAART (EID)
DE ELEKTRONISCHE IDENTITEITSKAART (EID) MS OFFICE 2007 (WINDOWS - WORD EN EXCEL) VERSIE 1.1.1 NL Disclaimer Fedict is niet verantwoordelijk voor om het even welke schade die een derde zou ondervinden ingevolge
Nadere informatieIntramed OnLine instellen en gebruiken. Voor Android tablet of telefoon
Intramed OnLine instellen en gebruiken Voor Android tablet of telefoon Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote Desktop
Nadere informatieInsecurities within automatic update systems
Can patching let a cracker in?. Peter Ruissen Robert Vloothuis RP2 Project OS3 System and Network Engineering University of Amsterdam June 28, 2007 1 2 3 4 Linux distributies Java Runtime Environment Mozilla
Nadere informatieCA model, Pasmodel, Certificaat- en CRL-profielen Zorg CSP
CA model, Pasmodel, Certificaat- en CRL-profielen Zorg CSP Zorg CSP (productieomgeving) Versie : 7.0 Datum : 16 jan. 2014 Status : Definitief Bestandsnaam : 20140116 CA model pasmodel certificaatprofielen
Nadere informatieVeel gestelde vragen nieuwe webloginpagina
Veel gestelde vragen nieuwe webloginpagina Op deze pagina treft u een aantal veel gestelde vragen aan over het opstarten van de nieuwe webloginpagina http://weblogin.tudelft.nl: 1. Ik krijg de melding
Nadere informatieHandleiding Inloggen met SSL VPN
Handleiding Inloggen met SSL VPN Beveiligd verbinding maken met het bedrijfsnetwerk via de Desktop Portal Versie: 24 april 2012 Handleiding SSL-VPN Pagina 1 van 10 Inleiding SSL VPN is een technologie
Nadere informatieMobiDM App Handleiding voor Windows Mobile Standard en Pro
MobiDM App Handleiding voor Windows Mobile Standard en Pro Deze handleiding beschrijft de installatie en gebruik van de MobiDM App voor Windows Mobile Version: x.x Pagina 1 Index 1. WELKOM IN MOBIDM...
Nadere informatieKraamZorgCompleet OnLine instellen en gebruiken. Voor Android tablet of telefoon
KraamZorgCompleet OnLine instellen en gebruiken Voor Android tablet of telefoon Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote
Nadere informatieInstallatie SQL: Server 2008R2
Installatie SQL: Server 2008R2 Download de SQL Server 2008.exe van onze site: www.2work.nl Ga naar het tabblad: Downloads en meld aan met: klant2work en als wachtwoord: xs4customer Let op! Indien u een
Nadere informatieHandleiding SaaS Portal
Handleiding SaaS Portal Inhoud Inhoud... 2 Versiebeheer... 3 Inleiding... 4 Systeem eisen... 5 Ondersteunde besturingssystemen... 5 Ondersteunde RDP clients... 5 RDP clients versie controleren... 5 Updaten
Nadere informatieeid middleware v2.6 voor GNU/Linux
Gebruikshandleiding eid middleware v2.6 pagina 1 van 17 Inhoudsopgave Inleiding...3 Installatie...4 Installatie vanaf broncode...4 Installatie van distributiespecifieke pakketten...5 Systeemvereisten na
Nadere informatieHANDLEIDING Externe toegang tot het Vesteda netwerk voor leveranciers
HANDLEIDING Externe toegang tot het Vesteda netwerk voor leveranciers Versie augustus 2009 INHOUDSOPGAVE INLEIDING... 4 MINIMALE VEREISTEN... 5 Citrix Xenapp Plugin... 5 Citrix Access Gateway Plugin...
Nadere informatieInformatica Pagina 1 van 13. Versiedatum 16/06//2014. Te herzien op
Informatica Pagina 1 van 13 Citrix - Installatie voor extern gebruik - versie juni 2014.docx Naam van de verantwoordelijke: Handtekening: Versiedatum 16/06//2014 Te herzien op Doelgroep Externe Citrix
Nadere informatieSuperOffice Systeemvereisten
Minimale systeemvereisten voor SuperOffice CRM De minimale systeemvereisten voor SuperOffice CRM zijn tevens afhankelijk van het besturingssysteem en de services/applicaties die op het systeem actief zijn.
Nadere informatieInstructie: Thuiswerken / remote werken
Instructie: Thuiswerken / remote werken Om vanaf thuis te kunnen werken zijn er wat extra stappen noodzakelijk. Zo dien je bijvoorbeeld naar een bepaalde internet pagina te gaan en éénmalig op iedere pc
Nadere informatieGebruikershandleiding. Copyright 2013 Media Security Networks BV. All rights reserved.
Gebruikershandleiding NL - Revisie 3.7 YourSafetynet home Copyright 2013 Media Security Networks BV. All rights reserved. INHOUD 1 Inleiding... 3 2 YourSafetynet gebruiken... 3 2.1 Systeemvereisten...
Nadere informatieGebruikershandleiding. Multrix Cloud Portal
Gebruikershandleiding versie: 18 maart 2013 Multrix Cloud Portal Toegang tot uw applicaties en gegevens via het internet Handleiding Multrix Cloud Portal - NED Pagina 1 van 11 Inleiding Dit document biedt
Nadere informatieMijn HVW-dossier. Veel voorkomende vragen en problemen
Mijn HVW-dossier Veel voorkomende vragen en problemen INLEIDING Dit document bevat een overzicht van de meest voorkomende problemen tijdens het aanmelden bij Mijn HVW-dossier. Staat uw probleem of vraag
Nadere informatieCode signing. Door: Tom Tervoort
Code signing Door: Tom Tervoort Wat is code signing? Digitale handtekening onder stuk software Geeft garanties over bron Voorkomt modificatie door derden Bijvoorbeeld met doel malware toe te voegen Ontvanger
Nadere informatieInstallatie handleiding Reinder.NET.Optac
Installatie handleiding Reinder.NET.Optac Versie : 2012.1.0.1 Inhoudsopgave 1 Systeemvereisten... 2 2 Pincode... 2 3 Licentie... 2 4 Installatie... 2 5 Eerste gebruik... 4 Titel Pagina 1 van 6 23-1-2012
Nadere informatieKPN PKIoverheid Handleiding installatie smartcards, kaartlezer en certificaten
KPN PKIoverheid Handleiding installatie smartcards, kaartlezer en certificaten Openbaar 1 van 10 Inhoudsopgave 1 Inleiding 3 1.1 Minimale systeemeisen 3 2 Fase 1: Installatie en aansluiting smartcard lezer
Nadere informatieGelre thuiswerk Portal
Gelre thuiswerk Portal Remote SSL/VPN toegang op een Windows 8 & 8.1 systemen 1 Inhoud 1. SYSTEEM VEREISTEN ALGEMEEN:... 3 2. VOORBEREIDING REMOTE WERKEN:... 3 2.1 Windows 8 interfaces:... 4 3. AAN DE
Nadere informatieSYSTEEMVEREISTEN TRACK VERZUIM 4
SYSTEEMVEREISTEN TRACK VERZUIM 4 Copyright Tredin B.V. te Lelystad Niets uit deze uitgave mag verveelvoudigd en/of openbaar worden gemaakt (voor willekeurig welke doeleinden) door middel van druk, fotokopie,
Nadere informatieInternet Veiligheidspakket van KPN Handleiding Windows XP, Vista, 7,8 Versie 13.04.19
Internet Veiligheidspakket van KPN Handleiding Windows XP, Vista, 7,8 Versie 13.04.19 Inhoudsopgave 1 Inleiding... 3 2 Systeemeisen... 4 3 Installatie... 5 4 Gebruik en instellingen... 12 4.1 Algemeen...
Nadere informatieStandard Parts Installatie Solid Edge ST3
Hamersveldseweg 65-1b 3833 GL LEUSDEN 033-457 33 22 033-457 33 25 info@caap.nl www.caap.nl Bank (Rabo): 10.54.52.173 KvK Utrecht: 32075127 BTW: 8081.46.543.B.01 Standard Parts Installatie Solid Edge ST3
Nadere informatieDigitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan
Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, pril 2006 Ruud Goudriaan Digitale handtekeningen Korte uitleg symmetrische Cryptografie Hoe gebruik je
Nadere informatiePerceptive Process. Technische Specificaties. Versie: 3.4.x
Perceptive Process Technische s Versie: 3.4.x Geschreven door: Product Documentation, R&D Datum: Mei 2015 2015 Lexmark International Technology, S.A. Alle rechten voorbehouden. Lexmark is een hadelsmerk
Nadere informatieHandleiding Telewerken met Windows. Inleiding. Systeemvereisten. Inhoudsopgave
Handleiding Telewerken met Windows Inhoudsopgave Inleiding Systeemvereisten Software installatie Inloggen op de portal Problemen voorkomen Probleemoplossingen Inleiding Voor medewerkers van de GGD is het
Nadere informatieBeschrijving Remote Access functionaliteit RWS DELTAMODEL
Beschrijving Remote Access functionaliteit RWS DELTAMODEL Versie 1.0 Oktober 2012 Frits van de Peppel (KNMI) Pagina 1 van 5 Inleiding Dit document beschrijft de te nemen stappen en beperkingen die van
Nadere informatieKraamZorgCompleet OnLine instellen en gebruiken. Voor Mac OSX
KraamZorgCompleet OnLine instellen en gebruiken Voor Mac OSX (Untitled) Voor Mac OSX Copyright 2012 Convenient en licentiegevers. Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd
Nadere informatieLSP Opt-in handleiding
LSP Opt-in handleiding Dit document beschrijft hoe een praktijk met een aansluiting op het LSP opt-ins van patienten kan versturen. Algemeen Alleen als een praktijk een aansluiting op het LSP heeft is
Nadere informatieDigitaal e-mail certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl
Digitaal e-mail certificaat Ondertekenen en encryptie De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl Index 1 Inleiding... 4 1.1 Algemeen...4 1.2 Leeswijzer...4 2 Private key
Nadere informatieDE IDENTITEITSKAART EN MICROSOFT OUTLOOK E-MAIL
DE IDENTITEITSKAART EN MICROSOFT OUTLOOK E-MAIL Deze handleiding is bedoeld voor iedereen die in Microsoft Outlook e-mails wil ondertekenen met een elektronische identiteitskaart. In deze handleiding leggen
Nadere informatieRIZIV INAMI. eid Gebruikersgids voor Mac
RIZIV INAMI eid Gebruikersgids voor Mac 1 Inhoud 1. Inleiding... 3 2. Installatie van de eid Middleware... 3 2.1 Stap 1... 4 2.2 Stap 2... 5 2.3 Stap 3... 5 3. Configuratie van uw browser... 5 3.1 Safari...
Nadere informatieRIZIV INAMI. eid Gebruikersgids voor PC
RIZIV INAMI eid Gebruikersgids voor PC 1 Inhoud 1. Inleiding... 3 2. Installatie van de eid Middleware... 3 2.1 Stap 1... 3 2.2 Stap 2... 4 2.3 Stap 3... 4 3. Configuratie van uw browser... 4 3.1 Internet
Nadere informatieDoor Niko Visser. Bewijsmomenten met waarborgen voor zekerstelling met ISO 27001
Door Niko Visser Bewijsmomenten met waarborgen voor zekerstelling met ISO 27001 Onderwerpen Inrichting beveiliging bij kadaster Classificatie systemen Plan-do-check-act Audits en onderzoeken Certificering
Nadere informatieINSTALLATIE VAN DE BelD KAARTLEZER
INSTALLATIE VAN DE BelD KAARTLEZER 1. Inleiding Om toegang te krijgen tot het systeem van de Orde van Architecten Vlaamse Raad waarmee u uw digitaal visum kan verkrijgen, dient u te beschikken over een
Nadere informatieCerts 101. Een introductie in Digitale Certificaten. J. Wren Hunt oktober 2004 wren@cacert.org. Copyright, 1996 Dale Carnegie & Associates, Inc.
Certs 101 Een introductie in Digitale Certificaten J. Wren Hunt oktober 2004 wren@cacert.org vertaling Hans Verbeek h.j.verbeek@kader.hcc.nl Copyright, 1996 Dale Carnegie & Associates, Inc. Wat behandelen
Nadere informatieInstallatie SQL Server 2014
Installatie SQL Server 2014 Download de SQL Server Express net advanced Services van de website: https://www.microsoft.com/en-us/download/details.aspx?id=42299 klik op Download. Als u een 64 bit variant
Nadere informatieHandleiding ALGEMENE HANDLEIDING VWORKSPACE. Versie: 1.2. Datum: 10 april 2014. Eigenaar:
Handleiding ALGEMENE HANDLEIDING VWORKSPACE. Versie: 1.2 Datum: 10 april 2014 Eigenaar: I&A 1 Versie Datum Auteur Wijziging 1.0 2-11-2012 Tom Balke 1.1 10-12-2012 Tom Balke Nieuwe versie van vworkspace
Nadere informatieVeelgestelde vragen Server Back-up Online
Veelgestelde vragen Server Back-up Online Welkom bij de Veel gestelde vragen Server Back-up Online van KPN. Geachte Server Back-up Online gebruiker, Om u nog sneller te kunnen helpen zijn veel problemen
Nadere informatieInstallatie SQL Server 2008R2
Installatie SQL Server 2008R2 Download de SQL Server 2008.exe van onze site: www.2work.nl Ga naar tabblad: Downloads en meld aan met: klant2work en wachtwoord: xs4customer Let op! Indien u een Windows
Nadere informatieSafeSign Identity Client. UZI snelstart gids.
SafeSign Identity Client UZI snelstart gids. 1 Table of Contents Document Information... 3 About SafeSign Identity Client... 4 About this document... 5 About A.E.T. Europe B.V.... 6 1 Desktop settings...
Nadere informatieHandleiding Portaal Altrecht. https://portaal.altrecht.nl
Handleiding Portaal Altrecht https://portaal.altrecht.nl Eerst een Citrix client installeren 3 Inlogpagina voor het nieuwe Portaal 4 Hoe kan ik een SMS token aanvragen? 6 Is het mogelijk om een SMS token
Nadere informatieVeelgestelde vragen met betrekking tot het vervangen van SSL certificaten
Veelgestelde vragen met betrekking tot het vervangen van SSL certificaten Versie 1.0 Datum 6 september 2011 Status Definitief Colofon Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius
Nadere informatieHandleiding. vworkspace VGGM. Handleiding voor gebruikers.
Handleiding Handleiding voor gebruikers vworkspace VGGM www.vggm.nl Versienummer 1.4 Versiedatum 16 juni 2016 Versiebeheer Het beheer van dit document berust bij het team ICT Documenthistorie Versie Datum
Nadere informatieVersie: 1.0. Datum: 19 november 2012. Eigenaar:
Handleiding ALGEMENE HANDLEIDING VWORKSPACE. Versie: 1.0 Datum: 19 november 2012 Eigenaar: I&A 1 Versie Datum Auteur Wijziging 1.0 2-11-2012 Tom Balke 1.1 10-12-2012 Tom Balke Nieuwe versie van vworkspace
Nadere informatieHANDLEIDING WERKEN OP AFSTAND
HANDLEIDING WERKEN OP AFSTAND ASP4all Hosting B.V. Energieweg 8 1271 ED Huizen Augustus 2009 Versie 1.0 Copyright 2009, ASP4all Hosting B.V. Niets uit deze uitgave mag worden vermenigvuldigd en/of op andere
Nadere informatie