NOTA TER INFORMATIE. Gebruik van (PKI) certificaten voor authenticatie van systemen

Transcriptie

1 NOTA TER INFORMATIE Gebruik van (PKI) certificaten voor authenticatie van systemen 1 Inleiding In de zorg wordt massaal gevoelige informatie uitgewisseld. Ziekenhuizen, huisartsen, laboratoria, apotheken, leveranciers, onderzoeksinstellingen, toezichthouders en andere partijen delen elektronische gegevens met elkaar. In al deze processen zijn (centrale en decentrale) systemen (voorzieningen en services) nodig, welke herkend en gevalideerd moeten worden (authetiseren). Om deze systemen te kunnen authentiseren, kan een public key infrastructure (PKI) gebruikt worden. DATUM 5 juni 2018 OPGESTELD DOOR Werkgroep PKI - Architectuurcommunity - ZIN AFGESTEMD MET - BIJLAGE(N) - Een PKI is een authenticatiemiddel dat gebruikt kan worden om veilige gegevensuitwisseling te realiseren. Maar er zijn meer oplossingen om authenticatie van systemen te realiseren. De werkgroep heeft onderzocht welke oplossingen er zijn voor de authenticatie van systemen in de zorg als deeloplossing om veilige gegevensuitwisseling te realiseren. Directe aanleiding voor de werkzaamheden van de werkgroep was namelijk een vraag van het programma MedMij naar de inzet van public key infrastructure (PKI) voor Persoonlijke Gezondheidsomgevingen. Dit heeft de werkgroep als use case genomen om te bepalen wat voor (PKI) oplossing passend is. 2 Conclusie In juni 2017 stelde het programma MedMij het Informatieberaad Zorg de volgende vraag: Voor de invulling van een Public Key Infrastructure (PKI) bestaat voorkeur voor een bestaande PKI. VECOZO, VZVZ en het CIBG zijn mogelijke kandidaten om deze rol te vervullen. MedMij vraagt het Informatieberaad een voorkeur uit te spreken voor een of meer organisaties waartoe wij ons kunnen wenden voor het opzetten van de Public Key Infrastructure voor de zorg. 1 Na gesprekken met vertegenwoordigers van MedMij is de vraag door de werkgroep opnieuw en als volgt geïnterpreteerd: Welke oplossingen er zijn voor de authenticatie van systemen in de zorg als deeloplossing om veilige gegevensuitwisseling te realiseren? De werkgroep PKI/Veilige gegevensuitwisseling in de zorg komt naar aanleiding van bovenstaande vragen tot de volgende conclusies. Het is niet noodzakelijk te kiezen voor een zorgspecifieke PKI oplossing. Het ligt meer voor de hand toe te werken naar een stelseloplossing 1 MedMij stelde nog twee vragen. Een daarvan, over een voorziening van adresinformatie van zorgaanbieders voor patienten, is door een andere werkgroep opgepakt. De derde vraag is niet aan de Architectuurcommunity Zorg voorgelegd. Pagina 1 van 1

2 dat in meerdere (PKI)oplossingen voorziet en waar de nadruk ligt op de eisen die worden gesteld aan uitgevers van PKI certificaten die worden gebruikt binnen de zorg. PKI biedt een gangbare oplossing om certificaten uit te geven en systemen 2 hiermee te authentiseren. Er bestaan ook andere methoden die, afhankelijk van de gebruikscontext, gebruikt kunnen worden voor het uitgeven van certificaten. Gebruik van een PKI heeft als voordeel dat slechts een beperkt aantal partijen vertrouwd hoeft te worden voor het uitgeven van certificaten en voor het verifiëren van deze certificaten bij het gebruik. PKI certificaten zijn gestandaardiseerd: voor het uitgeven van PKI certificaten zijn meerdere uitgevers mogelijk, waaronder zowel de overheid als commerciële aanbieders. Welke certificaatuitgevers c.q. certificaatautoriteiten(ca s) PKI certificaten uit mogen geven moet worden bepaald op basis van een nader te definiëren set van eisen. In de context van systeem authenticatie in MedMij concludeert de werkgroep dat meerdere (commerciële) partijen (PKI s) in staat zijn om geschikte certificaten uit te geven. Daarbij is vooral belangrijk dat deze partijen certificaten kunnen uitgeven waarbij zowel de systeemnaam als de organisatieattributen opgenomen zijn in het certificaat, en dat deze attributen afdoende gevalideerd zijn. Overige attributen kunnen via andere registers of whitelists beschikbaar gesteld worden. 3 Wat is een public key infrastructure (PKI)? Een PKI is een systeem dat partijen in staat stelt om certificaten uit te geven die één of meer attributen koppelt aan een publieke sleutel. Een PKI-certificaat is een computerbestand dat werkt als een digitaal paspoort. Kenmerk van een PKI is dat elk certificaat ondertekend wordt door een (vertrouwde) certificaatautoriteit (CA). De CA zorgt ervoor dat eigenschappen (bijvoorbeeld, domeinnaam, of de naam van een organisatie of een persoon) in het certificaat opgenomen kunnen worden, zodat deze eigenschappen gevalideerd kunnen worden door andere partijen die certificaten van deze CA vertrouwen. De uitgegeven certificaten worden bijvoorbeeld geïnstalleerd op een telefoon, een PC, een UZI-pas, een router of een webserver. Deze apparaten kunnen zich vervolgens authentiseren, en veilige communicatiekanalen opzetten. Een PKI-certificaat kan vier functies hebben: 1. Authenticatie of het vaststellen van een identiteit. De afzender kan met het certificaat aantonen wie (persoon) of wat (systeem) hij is. De ontvanger kan dat ook valideren. Dit wordt bijvoorbeeld toegepast om delen van een website af te schermen. Authenticatie is ook belangrijk om integriteit van 2 Ook personen kunnen op deze wijze worden geauthentiseerd Pagina 2 van 2

3 verstuurde berichten te bewaken. 2. Versleutelen. Door informatie of documenten te versleutelen, zijn ze alleen door de ontvanger weer leesbaar te maken. Beveiligde websites maken hier gebruik van. Zulke sites zijn te herkennen aan het slotje in de adresbalk. 3. Integriteit van gegevens Afzender en ontvanger kunnen door middel van hashing de integriteit van de gegevens bewaken. De hash van de gegevens wordt de afzender met behulp van een PKI certificaat gerealiseerd en door de ontvanger gecontroleerd. 4. Een elektronische handtekening zetten. De afzender kan een formeel bericht of document digitaal ondertekenen. De ontvanger kan die handtekening controleren. Zo kan onweerlegbaar worden aangetoond dat het bericht van de afzender afkomstig is en dat het sinds de ondertekening niet meer is veranderd. Net als paspoorten worden PKI-certificaten uitgegeven en beheerd door een vertrouwde partij, de CA. Uitgevers kunnen commerciële partijen zijn, maar ook de Nederlandse overheid. Het is van belang dat uitgevers van PKI certificaten vertrouwd worden door alle deelnemers. Naast vertrouwen zijn ook eigenschappen zoals, de betrouwbaarheid van het uitgifte- en validatieproces, de snelheid en kosten zijn van belang bij de keuze voor één of meerdere (vertrouwde) CA s. Overigens bieden de meeste CA s verschillende typen certificaten, met verschillende validatieniveaus aan. 4 Wat maakt PKI geschikt? PKI-certificaten worden al op grote schaal toegepast. Binnen de zorg kennen we VECOZO en de UZI-middelen (de UZI-pas en het UZIservercertificaat) van het CIBG als voorbeelden. Ook overheidsdiensten, waaronder de Belastingdienst, maken gebruik van PKI. Er is veel kennis van PKI aanwezig in de markt. Omdat de techniek op standaarden gebaseerd is, hoeven er geen afzonderlijke afspraken te worden gemaakt tussen deelnemende partijen. Het gebruik van PKI vraagt weinig inspanning van gebruikers en beheerders. De instapkosten zijn relatief laag: de kosten voor een certificaat variëren en liggen globaal tussen 15 en 300 euro per jaar afhankelijk van het soort certificaat. PKI certificaten worden in de context van communicatie met systemen het meest ingezet voor authenticatie en versleuteling. Daarnaast biedt het gebruik van PKI meer mogelijkheden. Afhankelijk van de toepassing en de certificaatuitgever kunnen meer of minder attributen worden meegenomen (gecertificeerd) in een certificaat. Zo kunnen certificaten die aan personen uitgegeven worden attributen bevatten waarmee, bijvoorbeeld hun rol kan worden vastgesteld (UZI pas). Ook zijn er persoonlijke certificaten waarmee onder voorwaarden een digitale Pagina 3 van 3

4 handtekening gezet kan worden. Welke attributen gewenst zijn hangt af van de gebruikscontext. 5 Welke alternatieven zijn er voor PKI? In de context van (landelijk bruikbare) authenticatie van systemen bestaat niet echt een bruikbaar alternatief voor PKI. Alternatieven missen met name het voordeel dat bij PKI de uitgifte van certificaten beperkt is tot een aantal vertrouwde (centrale) partijen. Dit maakt voor partijen die met elkaar moeten communiceren de validatie van certificaten eenvoudiger dan bij systemen die niet op voorhand een aantal partijen vertrouwen om certificaten uit te geven. Er zijn alternatieven, maar die missen een deel van de functionaliteit die nodig is in de context van MedMij. We lichten dit toe aan de hand van twee andere methoden om sleutels te authentiseren, één-op-één of via een Web of trust. Met deze voorbeelden pretenderen we geen volledigheid. Pretty good privacy (PGP) is een methode om berichten te versleutelen en elektronische handtekeningen te zetten. In dit systeem ontbreken één of meerdere vertrouwde CA s: het vertrouwensmodel is gedistribueerd. In PGP wordt het toekennen van attributen aan een sleutel (bijvoorbeeld, iemands adres) opgelost via een zogeheten web of trust: een netwerk waarin vertrouwde partijen instaan voor elkaars betrouwbaarheid door onderling certificaten te ondertekenen, met name om adressen te certificeren. Voor partijen die één op één gegevens willen uitwisselen zijn eenvoudiger oplossingen beschikbaar, zoals het één-op-één uitwisselen van sleutels voor het opzetten van een beveiligde internetverbinding (VPN), of het distribueren van whitelists met sleutels voor beveiligde . Dergelijke oplossingen worden ook nu al in de zorgpraktijk gebruikt. Maar wanneer het aantal partijen toeneemt, wordt het moeilijker om het overzicht te behouden. Dat maakt deze oplossingen ongeschikt voor systemen in een grootschalige context als MedMij, waarbij services bovendien via het publieke Internet beschikbaar moeten zijn. 6 Afbakening De mogelijke toepassingen van PKI binnen de zorg zijn talrijk. We beperken ons in deze notitie tot de communicatie met systemen en de communicatie tussen systemen onderling (het licht blauwe blok in figuur 1). Hierbij is het minimaal noodzakelijk dat systemen geauthentiseerd kunnen worden, en wordt bij voorkeur ook het verkeer met deze systemen versleuteld. Hier geven we enkele voorbeelden die relevant zijn in de context van PGO s. De wederzijdse authenticatie tussen een persoonlijke gezondheids- Pagina 4 van 4

5 omgeving (PGO) en een systeem in het zorgaanbiederdomein, voor het door een PGO verzamelen en delen van informatie via dat systeem; Idem, maar dan tussen een PGO en een gezondheidsdevice; De wederzijdse authenticatie in het kader van het raadplegen, door een PGO, van bronnen van informatie over zorgaanbieders en -verleners, zoals hun adresinformatie; De vraag die deze notitie beantwoordt, heeft met name betrekking op bovengenoemde koppelingen. Figuur 1; de MedMij-relatie tussen een persoon en een zorgaanbieder 7 Versleuteling en authenticatie met PKI PKI als middel voor (eenweg- of bidirectionele/tweeweg-)authenticatie van systemen is een gangbare oplossing die toepasbaar is in de situaties die onder 6 genoemd zijn. Navolgende voorbeelden laten zien hoe de interactie tussen PGO en zorgaanbiedersystemen (Figuur 1) gaat. Hierin wordt duidelijk welke systemen met elkaar moeten kunnen communiceren, en wat de rol van een PKI in deze context is. Het is belangrijk onderscheid te maken tussen authenticatie van personen, waarvoor Digid wordt gebruikt, en authenticatie van systemen, waarvoor PKI-certificaten worden gebruikt, die ook voor versleuteling van het verkeer zorgen. Het is van groot belang dat de authenticiteit van de gebruikte systeem kan worden vastgesteld, omdat het van belang is dat gegevens bij de juiste partij kunnen worden opgevraagd en/of afgeleverd. Verder zijn PKI-certificaten onder de juiste omstandigheden ook bruikbaar voor onderlinge autorisatie van systemen, dat wil zeggen, voor het vaststellen dat zij mogen communiceren. In geval van MedMij zijn deze omstandigheden echter niet ingevuld. Daarom werkt MedMij voor dit doel met een whitelist. Een uitgebreide toelichting hierop is te vinden op de website van het MedMij afsprakenstelsel. Bij het selecteren van een zorgaanbieder kan, hoewel dat in een ander afsprakenstelsel dan MedMij valt, een PGO bronnen aanspreken van informatie over zorgaanbieders. Het PGO-systeem en het betreffende aangesproken systeem, kunnen elkaar herkennen aan een PKI-certificaat en hun onderlinge verkeer desgewenst versleutelen. Pagina 5 van 5

6 Vervolgens zijn in het stroomdiagram van MedMij (Figuur 2) vele interacties te zien tussen de derde en de vierde baan. Deze steken de grens over tussen het persoonsdomein en het zorgaanbiederssystemen. In al deze gevallen authentiseren de betrokken systemen zich wederzijds met hun PKI-certificaat en versleutelen en ontsleutelen zij de gegevens daarmee. Daarbij bestaan subtiele verschillen tussen twee gevallen: de gevallen waarin in het persoonsdomein de tweede baan (typisch een browser) is betrokken: het zogenaamde front-channelverkeer; de gevallen waarin in het persoonsdomein de derde baan is betrokken: het zogenaamde back-channelverkeer. 8 Advies over de MedMij PKI voorkeur Op basis van het voorgaande concludeert de werkgroep dat PKI een goede en gangbare oplossing biedt. Een landelijke, centrale en zorgspecifieke PKI oplossing binnen de zorg is niet noodzakelijk om veilige uitwisseling te waarborgen. Het dan ook niet noodzakelijk een voorkeur uit te spreken voor één of meer organisaties voor het opzetten van de Public Key Infrastructure voor de zorg. Wel is het van belang de set van eisen op te stellen waaraan certificaatuitgevers c.q. certificaatautoriteiten(ca s) moeten voldoen om PKI certificaten uit mogen geven die gebruikt mogen worden voor veilige gegevensuitwisseling in de zorg. Pagina 6 van 6

7 Figuur 2 laat het stroomdiagram zien van de use case-implementatie voor Verzamelen in MedMij (release 1.1). De oranje banen zitten in het persoonsdomein, de blauwe in het zorgaanbiedersdomein. Een persoon authentiseert zich (aangestuurd vanuit het zorgaanbiedersdomein) bij DigiD. Daarna autoriseert hij het verzamelen zelf. Tot slot wordt de gevraagde informatie opgehaald, met FHIR. Pagina 7 van 7

8 9 Advies over authenticatie en autorisatie in MedMij In het PKI-certificaat staat minimaal de Internet hostname van het systeem dat zich ermee bekend maakt. Zo kan het andere systeem niet alleen vertrouwen op die identiteit, maar ook controleren (met de whitelist) of het systeem wel is toegelaten tot het MedMij-stelsel. Ook staat de voor het systeem verantwoordelijke organisatie in het PKIcertificaat. Verder is denkbaar dat certificaten nog aanvullende attributen omvatten, bijvoorbeeld welk type organisatie of systeem het betreft bijvoorbeeld, PGO of zorgaanbieder. Dit zijn echter géén standaard attributen waar bestaande PKI-CA s nu reeds op (kunnen) controleren bij uitgifte. Er zijn op dit moment maar twee PKI-CA s die attributen voor zorgaanbieders opnemen in certificaten: het UZI-register en VECOZO; deze attributen volstaan echter niet voor andere systeemrollen zoals PGO s, die niet onder verantwoordelijkheid van een zorgaanbieder vallen. Het lijkt gegeven het toepassingsgebied van MedMij zinvoller om uit te gaan van standaard (PKI)certificaten die domeinnaam en organisatie attributen bevatten (waarbij deze attributen bij uitgifte adequaat geverifieerd moeten worden door de uitgevende partij) dan om aanvullende attributen als onderdeel van de certificaten te eisen. Van belang is wel dat bij het uitgeven van het PKI-certificaat door de uitgevende instantie gecontroleerd wordt of de aanvrager is wie hij is en dat hij of zij gemachtigd is namens deze organisatie op te treden. Deze informatie, samen met de domeininformatie, ligt in het certificaat vast en is essentieel om afdoende zekerheid te bieden dat het certificaat behoort tot een tot MedMij toegelaten organisatie. Een domeinnaam alléén biedt deze zekerheid niet. Als blijkt dat een PKI-certificaat geldig is en dat het betreffende systeem deelnemer is aan het MedMij afsprakenstelsel, kunnen de systemen communiceren en de informatie met dezelfde certificaten versleutelen. Pagina 8 van 8

9 Bijlage 1 Relevante kaders, normen en principes Het gebruik van PKI past binnen de architectuurkaders die de werkgroep Kaders namens de Architectuur community Zorg in maart 2018 aan het Informatieberaad heeft aangeboden. De volgende principes zijn relevant: BP4: Vertrouwen: ik kan erop vertrouwen dat mijn gegevens de juiste zorg krijgen. AP3: Een gemodereerd ecosysteem: we voldoen aan de gemeenschappelijke afspraken om mee te doen aan het informatiestelsel. AP7 Verantwoord gebruik: we dragen zorg voor de bescherming van persoonsgegevens. AP9 Open voor innovatie en verbetering: we erkennen dat we lerende zijn en continu moeten werken aan verbetering. AP10 Decentraal: we houden gegevens decentraal en maken deze toegankelijk bij de bron. AP12 Regie over gegevens: we stellen patiënten, cliënten en burgers in staat om controle en regie te nemen over hun gegevens. AP13 Open waar het kan, besloten waar het moet: onze gegevens zijn open waar het kan en besloten, geauthentiseerd en geautoriseerd, waar het moet. AP17 Zo weinig mogelijk, zo veel als nodig: we minimaliseren de hoeveelheid gegevens die we registreren en uitwisselen, zowel vanuit gegevensbescherming als vanuit efficiency en effectiviteit. AP18: Respectvol omgaan met gegevens: we onderkennen dat gegevens waarde vertegenwoordigen en handelen ernaar. Daarnaast zijn relevant: - de NEN 7510 Informatiebeveiliging in de zorg, - de algemene verordening gegevensbescherming (AVG) de verordening elektronische identiteiten en vertrouwensdiensten (eidas). Pagina 9 van 9