Polymorfe Encryptie en Pseudonimisering in het eid stelsel. Building digital trust 15 juni Op persoonlijke titel

Transcriptie

1 Polymorfe Encryptie en Pseudonimisering in het eid stelsel 1 Eric.Verheul@keycontrols.nl Building digital trust 15 juni 2017 Op persoonlijke titel 1 2 Agenda Het Nederlandse eid stelsel Opzet polymorfe versleuteling en pseudonimisering De polymorfe eid kaart (voorkoming hotspot vorming) HSM modulen in PEP HSM modulen in het algemeen (visie) Conclusie 2 1

2 Het Nederlandse eid stelsel Om redenen van robuustheid en gebruikersvriendelijkheid ook mogelijk aan te loggen via private partijen (authenticatiediensten). Vraag #1: private partijen moeten BSN afleveren maar mogen dit niet opslaan (verwerken). Kunnen private partijen BSN versleuteld leveren aan dienstverleners zonder dit te kennen? Vraag #2: is te voorkomen dat een authenticatiedienst zijn gebruikers kan volgen ( hotspot vorming)? 3 Opzet polymorfe versleuteling en pseudonimisering BSN is polymorf versleuteld: AD bepaalt later wie het kan ontsleutelen. De AD kan het BSN zelf niet ontsleutelen. Crypto operatie bij AD zet Polymorfe Identiteit + Dienstverlener Identiteit om in Versleutelde Identiteit t.b.v. Dienstverlener. Crypto operaties bij BSNk en AD vinden plaats in HSMs. 4 2

3 Opzet polymorfe versleuteling en pseudonimisering Overheid mag persoonsnummer (BSN) alleen gebruiken als dit strikt noodzakelijk is (AVG data minimalisatie principe). Polymorfe opzet voorziet ook in pseudoniemen. Pseudoniemen zijn afgeleid van BSN en dienstverlener specifiek. Specifiek relevant bij privacy gevoelige applicaties (referenda, zorg, gokverslaving etc.) 5 Opzet polymorfe versleuteling en pseudonimisering De polymorfe opzet is gebaseerd op homomorfe eigenschappen van het ElGamal publieke sleutel systeem. Dit is feitelijk het Diffie- Hellman sleutel uitwisselsysteem dat ouder is dan het RSA systeem. Polymorfe Identiteit is ElGamal versleuteling van het BSN onder een schema publieke sleutel Y waarvan private deel y alleen bij Key Management Autoriteit (KMA) bekend is. Polymorf Pseudoniem is ElGamal versleuteling van keyed hash (HMAC) van BSN onder een schema publieke sleutel Z waarvan private deel z alleen bij Key Management Autoriteit (KMA) bekend is. PI = (r.g, BSN + r.y) VI = (r.g, BSN + r.y DV ) Re-Key PP = (r.g, HMAC(BSN) + r.z) (r.g, HMAC(BSN) + r.z DV ) VP = (r.g, s.hmac(bsn) + r.z DV ) Re-Key Re-Shuffle 6 3

4 De polymorfe eid kaart (voorkoming hotspot vorming) PEP realiseert aldus dat een authenticatiedienst het BSN kan leveren aan dienstverlener zonder dit te kennen. Plaatsing van polymorfe identiteit en pseudoniem door authenticatiedienst op een smartcard realiseert additioneel dat de authenticatiedienst BSN kan leveren zonder de burger te (her)kennen. PEP kan dus, paradoxaal, zelfs anonieme authenticatie realiseren. Implementatie is gaande op identiteitskaart en rijbewijs. Crux hierbij is (derde) eigenschap van ElGamal: Randomisatie. Smartcard kan kopie maken van een polymorfe vorm die niet linkable is met het origineel. Hier is geen geheime informatie voor nodig. PI = (r.g, BSN + r.y) PI = (r.g, BSN + r.y) Randomize PP = (r.g, HMAC(BSN) + r.z) PP = (r.g, HMAC(BSN) + r.z) Randomize 7 De polymorfe eid kaart (voorkoming hotspot vorming) 8 4

5 HSM modulen in PEP Authenticatiediensten krijgen re-key (2) en re-shuffle (1) sleutels die (moeten) worden gedeeld om compatibiliteit redenen. Essentieel is dat het gebruik van deze sleutels bij de AD technisch gecontroleerd wordt. Een AD moet bijvoorbeeld niet om kunnen zetten naar PEP schrijft HSM modulen voor: kleine, zelfstandige stukjes computer code die in een HSM draaien met sleutels geleverd door overheid. Staande praktijk bij kleine HSMs (smartcards/javacard) maar merkwaardig genoeg niet bij reguliere HSMs. 9 HSM modulen in PEP Rijke SDK omgeving is essentieel: o.m. Big Integer Arithmetic, basis crypto, ECC operaties, Usermanagement (ook voor implementatie > vier ogen principes) dicht genoeg tegen HSM core voor voldoende performance (e.g., honderden ECC Brainpool320r1 vermenigvuldigingen per seconde). 10 5

6 HSM modulen in het algemeen (visie) Veel HSM leveranciers ondersteunen modulen (sommige beter dan andere). Toepassing nog beperkt door koud water vrees organisaties. Organisaties lijken liever krampachtig bezig beveiligingsfunctionaliteit te creëren met de beperkte/complexe functionaliteit die een HSM standaard biedt, dan gebruik te maken van module mogelijkheden. Enkele voorbeeld toepassingen van mogelijke HSM modules: - FIPS Level 3 equivalente conformiteit (Europese ECC curves staan Level 3 in de weg). - Robuuste PKI certificaat signing (roque certificaat mitigatie): PKI HSM standaarden hebben niet geleerd van DigiNotar incident. - Privacy vriendelijke certificaat generatie bij CAR2CAR communicatie ( - Algemeen: APT bescherming kroonjuwelen in een HSM module. 11 HSM modulen in het algemeen (visie) Report of the investigation into the DigiNotar Certificate Authority breach Zie:

7 13 Conclusie Polymorfe opzet maakt deel uit van Uniforme Set van Eisen (USE). Deze zijn in nu in de consultatie fase. Voorbereidingen voor polymorfe eid kaart gaande, gemikt wordt op eind Voorbereidingen inzet HSMs gaande. Polymorfe technieken worden ook toegepast medisch onderzoek project rond Parkinson door Radboud UMC en Verily (Google). Zie Meer informatie: Eric Verheul, The polymorphic eidas token, Keesing Journal of Documents & Identity, February Eric Verheul, Bart Jacobs, Polymorphic Encryption and Pseudonymisation in Identity Management and Medical Research, Nieuw Archief voor de Wiskunde (to appear). 13 7