A58 Security implementatie. Door P. Goossens, 23 november 2015

Vergelijkbare documenten
Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Smart Mobility ronde tafel Security

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

Intelligente Verkeers Regel Installatie (ivri) Fase 1. Overzicht deliverables. Datum: 28 januari 2016 Versie: final

Bijlage 11 Programma van Eisen

UWV Security SSD Instructies

Brazilië: Leren van veilige mobiele interactie met eid oplossingen

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

Spookfiles A58 zet volgende stap met coöperatieve fase

Datafusie FCD en NDW-data. Frans van Waes NDW-Symposium Innoveren met Floating Car Data, 7 december 2016

Transport Layer Security. Presentatie Security Tom Rijnbeek

owncloud centraliseren, synchroniseren & delen van bestanden

Index. Auteur: André van den Nouweland Datum: 17 oktober 2017 Betreft: SAML voor authenticatie/autorisatie

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

De Ontwikkeling van een EU PKI systeem voor V2X communicatie

C-ITS stand van zaken

Intelligent Bridge 2.0 (i-bridge)

Het UZI-register. Eerste hulp bij veilige elektronische communicatie in de zorgsector. Renate de Rijk projectleider implementatie 8 december 2005

Door Niko Visser. Bewijsmomenten met waarborgen voor zekerstelling met ISO 27001

Onderzoeksverslag Beveiliging

A-PDF Split DEMO. Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

UZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november Remco Schaar Consultant UL Transaction Security service

Het gebruik van OSB ebms contracten in complexe infrastructuren

Technische handleiding encryptie DKD

Secure Software Alliance

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

ICT en de digitale handtekening. Door Peter Stolk

Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan

Smart Mobility community. Projectenoverleg Security

Bescherming van (software) IP bij uitbesteding van productie

Enterprise SSO Manager (E-SSOM) Security Model

Technische architectuur Beschrijving

Beveiligen van PDF documenten (deel 3)

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

FAQ: (Data)veiligheid en privacy

Workshop resultaten CONCEPT DRY RUN C-ITS VERTROUWENSDIENSTEN

we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen

Toelichting PCP-procedure

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

Mobile Security. René de Groot Sogeti

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december admin@surfnet.nl

Integratie in de praktijk

1. Digitaal ondertekende documenten

Security web services

Voorwaarden StUF Testplatform

Connectivity/Magic of Mobility

Informatieveiligheid, de praktische aanpak

Oplossingsrichting UWKS 2.0

vra + NSX and it all comes together

DigiD SSL. Versie Datum 16 augustus 2010 Status Definitief

Scope In het kader van de ronde tafels omvat Smart Mobility zowel: Mogelijke activiteiten en resultaten. Smart Mobility Ronde Tafel Security

Rapport. i-bridge FleetBroker en LocationBroker. Versie 1.0. Datum 22 December 2010

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Stappenplan naar GDPR compliance

Veilig samenwerken met de supply-chain

Inter-proces Conclusies vanuit sub-wg:

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK #PQRITG18 #PQRITG18

NVTG VZI studie dag. Wim Bos.

Smartphones onder vuur

Datalek dichten en voorkomen. 21 april 2017

Labo-sessie: Gegevensbeveiliging

IIS - Installatie certificaat

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Checklist informatieveiligheid. 12 januari versie 1.1

Landelijke levering snelle beeldstanden en verkeersgegevens HWN

NETQ Healthcare: Voor inzicht in het effect van therapie

Standaardisatie Leveranciers

Beveiligingsbeleid Stichting Kennisnet

Oracle Mobile and Social Access Management 10 oktober Joost Koiter

Inventus Software. Encryption Services. Antum Secured Message System. Jan Muyldermans

De burger in controle - standaarden en technologie voor persoonlijke gegevenstoegang

Je hebt de wet- en regelgeving gelezen, cybercriminaliteit aan de orde van de dag, en teveel op je bordje. Wat ga je doen

Cybersecurity Is een doosje voldoende,

Informatiebeveiliging

1945, eerste DC. Eigen logo

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Stappenplan Implementatie ORBA

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Betekent SOA het einde van BI?

Service

Digitaal Archief Vlaanderen Stappenplan & Projectfiches

"Baselines: eigenwijsheid of wijsheid?"

Beveiliging van smartphones in de zorg

Factsheet SECURITY SCANNING Managed Services

Dataprotectie op school

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

Stappenplan naar GDPR compliance

Data en Applicatie Migratie naar de Cloud

e-token Authenticatie

Aan: Forum Standaardisatie Van: Bureau Forum Standaardisatie Datum: 3 april 2018 Versie 1.0 Betreft:

Om gebruik te maken van het draadloze netwerk Eduroam, zal het programma SecureW2 geïnstalleerd moeten worden.

Aansluitvoorwaarden WS Gateway Provider

Transcriptie:

A58 Security implementatie Door P. Goossens, 23 november 2015

Data Dienst Coöperatieve applicatie hosting Voorbeeld: PCP A58 Spookfile project 2

Security geagendeerd Werkgroep security samengesteld > Security specialisten > Opdrachtgevers > Jurist > Vertegenwoordigers vanuit de 3 percelen Proces in de PCP A58 3

Digitaal certificaat Begripsvorming Encryptie -> inhoud niet leesbaar Digitaal onderteken -> bron authenticatie Digitaal onderteken is niet hetzelfde als encryptie 4

Veiligheidstoepassingen - CAM en DENM berichten Encryptie? Integriteit? Bron Authenticatie? Privacy concerns? Security is een container begrip 5

P2 server verstuurt snelheidsadvies Cooperatief bericht met snelheisadvies P3 RIS applicatie server verstuurt snelheidsadvies Security beschouwen in de gehele keten 6

Trace + kaart = privacy issue Kaarten zijn vrij beschikbaar Trace = privacy issue Hier woon ik. En daar werk ik Maatregelen > Kop en staart afknippen > ID s wisselen Begripsvorming omtrent Privacy en traces

High Level Architecture 8

Interface D1 Advies > Bedreigingen Manipulatie adviezen Injecteren niet valide adviezen Misbruik interface om roadside te hacken. > Data eigenschappen op de interface Geen vertrouwelijkheid Authenticiteit Integriteit In de mindere mate: authorisatie > Maatregelen Server en client side authenticatie op basis van HTTPS Spookfile dienst D1 Coop. Appl. Hosting Methodiek 9

Id Type Data Vertrouwe-lijkheid Verificatie (authenticatie) Data eigenschappen Data context Risico analyse en beheersing Integriteit Toegang (autorisatie) A Verkeersdata, inclusief microdata ** ** ** * P1-P2 webservice o.b.v. http over publiek internet Percelen Netwerk type Bedreigingen/Kwetsbaarheden Voorstel technische maatregelen Organisatorische beheersmaatregelen Ongeoorloofd meeluisteren naar privay gevoelige gegevens Manipulatie verkeersdata Ongeoorloofd gebruik dienst A* Verkeersdata, inclusief microdata. ** ** ** * P1-P2 Lokaal netwerk Ongeoorloofd meeluisteren naar privacy gevoelige gegevens Manipulatie verkeersdata Ongeoorloofd gebruik dienst SP Applicatie kan potentieel verkeersdata lekken via D2 naar backoffice. 1. Server side HTTPS + API key voor client authenticatie.2. Gebruik maken van wisselende ID s. 3. Knippen kop en staart van ID traces. 1. Lokaal netwerk afschermen 2. Interface uitrusten met vorm van authorisatie, middels een API-KEY Gecontroleerde uitgifte van API-KEYs. Beheerste ICT omgeving SP Applicatie kan potentieel verkeersdata lekken via D2 naar backoffice. Hier moeten afspraken over gemaakt worden. G FCD ** ** ** * P1-P2 webservice o.b.v. http over publiek internet Ongeoorloofd meeluisteren naar privacy gevoelige gegevens. Manipulatie FCD Ongeoorloofd gebruik dienst 1 Server side HTTPS + API key voor client authenticatie 2. Gebruik maken van wisselende ID s. 3. Knippen kop en staart van ID traces. H -Verkeersdata; macrodata zonder identifiers - beeldstanden * ** P1-RWS Publiek internet Ongeoorloofde besturing matrix VMS Manipulatie verkeersdata/ beeldstanden Koppelvlak H zijn koppelvlakken die reeds geïmplementeerd zijn door bijv NDW, RWS hier kunnen wij dus geen eisen over opstellen De oplossing voor de uitstaande SOW s zijn nog niet afgerond. Afhankelijk hiervan moeten hiervan nog een analyse maken. H Adviezen, ter informatie aan de wegverkeersleiders * * P2-RWS Publiek internet Injecteren niet valide adviezen om daarmee RWS op het verkeerde been te zetten 2: Server side HTTPS + API key voor client authenticatie H* Lusdata en beeldstanden * ** P3 Glasvezelnetwerk langs tracé tot in RSU appl. Server Manipulatie lusdata en beeldstanden F* Verkeersdata, inclusief microdata ** ** ** * P1-P3 Publiek internet Ongeoorloofd meeluisteren naar privacy gevoelige informatie Manipulatie verkeersdata Misbruik interface om roadside te hacken Gesloten netwerk creëren door P3 partij i.s.m. RWS (fysieke maatregelen en ICT maatregelen zoals plaatsen firewalls). VPN tunnel vanwege: - Volledige afscherming van het Internet -Bieden van mogelijkheid aan P1 partij om zelf andere (beheer) protocollen toe te kunnen passen. Uitgangspunt: er is geen fysieke koppeling met het VIC-net. Opmerking: het doorgeven van mircrodata over deze interface is een zwak punt vanuit privacy oogpunt. Beter is (privacy by design) alleen macrodata door te geven. D1 Advies ** ** * P2-P3 Publiek internet Manipulatie adviezen Server en client side authenticatie op basis van HTTPS Injecteren niet valide adviezen Kans op vermenging adviezen van verschillende service providers Misbruik interface om roadside te hacken D2 Onbekend, is afhankelijk van oplossing service provider * ** ** * P2-P3 Publiek internet Misbruik interface om roadside te hacken VPN tunnel vanwege: - End-to-end beveiligd kanaal (data layer) -Bieden van mogelijkheid aan P1 partij om zelf andere (beheer) protocollen toe te kunnen passen. Afhankelijk van de uitvoering van het interface is er sprake van een risico op lekken van privacy gevoelige microdata. Dit moet getoetst worden. B Persoonlijke FCD / adviezen *** ** ** * P2 Telecomprovider netwerk; G3,G4 Ongeoorloofd meeluisteren naar privacy gevoelige informatie Manipulatie adviezen Ongeoorloofd gebruik dienst HTTPS aan server side. Username/password authenticatie aan client side Gebruik maken van wisselende ID s. Knippen kop en staart van ID traces. D10 FCD / adviezen ** ** * * P1-P2-P3 Lokaal netwerk Ongeoorloofd meeluisteren Manipulatie verkeersdata Ongeoorloofd gebruik dienst Lokaal netwerk afschermen Authorisatie, bijv. middels API-KEY D11 FCD / adviezen ** ** * * P1-P2-P3 Lokaal netwerk Ongeoorloofd meeluisteren Manipulatie verkeersdata Ongeoorloofd gebruik dienst D3 Advies; JAM ;CAM;DENM; TSM. TSM kan privacy gevoelige data bevatten? Resultaat: * Security ** matrix P3-P2 op Wifi-p; ad hocsysteem Ongeoorloofd meeluisteren niveau Injecteren valse ITS berichten Lokaal netwerk afschermen Authorisatie, bijv. middels API-KEY Coöperatieve PKI infrastructuur gebaseerd op ETSI standaarden D5 Verkeersinformatie, microdata in een geografisch gebied met een straal van 1000m CAM;DENM ** * ** P3-P2 Wifi-p; ad-hoc Ongeoorloofd meeluisteren naar privacy gevoelige gegevens Injecteren valse ITS berichten Coöperatieve PKI infrastructuur gebaseerd op ETSI standaarden 10 Aansluiting blijven zoeken bij de maatregelen zoals gedefinieerd in de ETSI standaarden. X Hosting server * ** ** P1-P2-P3 Onderdeel van gesloten domein M Logging Uitgangspunt ook pricacygevoelige gegevens worden gelogd ** * * P1-M&E P2-M&E P3-M&E Overnemen van een virtuele server op de roadside???? Ongeoorloofd meeluisteren Manipulatie logging? Afschermen van publiek internet Anonimiseren van persoonsgegevens Regelen authorisatie op virtuele machines Deze interface moet nog nader worden bestudeerd

Cooperatieve interface Coöperatieve berichten en security 11

Veiligheidstoepassingen - CAM en DENM berichten Encryptie? Integriteit Bron Authenticatie Privacy concerns Coöperatieve berichten en security 12

> D3:Adviezen ( DENM ) Niet geheim Integriteit Bron verificatie > D5: xfcd (CAM) Niet geheim (per definitie; zie ETSI en use cases) Integriteit Bron verificatie Conflicterend met privacy Coop. Appl. Hosting Voertuig D3, D5 Uitdagingen 1. Bron verificatie & integriteit waarborgen 2. Privacy beschermen Cooperatieve berichten en security 13

Certificate Authorty PKI voor dummies 14

Technologie implementeren 15

Ondertekenen Verifieren Chain of trust Management Security Key management Opslaan certificaten Praktijk testen Technologie implementeren in de C-ITS Stations 16

- Open source - ETSI certificaten formaat - Command line interface - In PCP A58 afspraak: we vertrouwen elkaar RCA (PKI Tool) Root certificaat PCA public key PCA certifcaat Public Keys OBU/RSU s Profile: rol - rechten PCA (PKI Tool) Certificaten (Pseudo s) PKI Tool: RCA en PCA 17

Organiseren: secure room, interfaces en procedures 18

Role Trusted CA person Responsibility Responsible for handling and operating the RCA and PCA laptops Trusted manufacturer person Auditor Responsible for distributing public device keys to the PCA, receiving the pseudo certificates for a device and keeping the link table secret An independent person responsible for verifying the compliancy of the procedure execution by the trusted personnel Incident manager Incident response team Responsible for handling an incident An ad hoc team, formed by the incident manager, to handle an incident. Rollen 19

PKI tool is opgeleverd Momenteel worden labtesten uitgevoerd > Generen certificaten > Testen Over The Air communicatie met ondertekende berichten > Betrokken partijen: Siemens, Technolutiuon, V-Tron en Vialis Uitvoeren sneaker sessies (genereren van certificaten) Uitrol PKI infrastructuur gepland voor eind 2015 op A58 tussen Eindhoven en Tilburg Status 20

Technologie van signen en verifiëren van berichten is goed gespecificeerd (ETSI) Digitaal ondertekend berichten verkeer tussen verschillende partijen functioneert goed Complexiteit zit hem in organiseren van PKI, niet de techniek. > Instanties en bevoegdheden > Profile, rollen, rechten > Inspecties, keuringen > Life cycle management > Incident management Conclusies 21

Vragen? 22

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback