TECHNISCHE UNIVERSITEIT EINDHOVEN Faculteit Wiskunde en Informatica AFSTUDEERVERSLAG Digitale handtekeningen bij de Nederlandse overheid door Arnoud Engelfriet (383104) Afstudeerdocent: Begeleiders: dr.ir. Geert-Jan Houben (TUE/W&I) prof.dr.mr. Jan Smits (TUE/TM) ir. Raymond Doijen (NBV) mei 1999
tu Technische Universiteit Eindhoven Faculteit Wiskunde & Informatica Vakgroep Informatiesystemen Nationaal Bureau voor Verbindingsbeveiliging Digitale handtekeningen bij de Nederlandse overheid Arnoud Engelfriet mei 1999
Do you want to see my ID? No need, sir. But I could be anybody. No you couldn t sir. This is Information Retrieval. Brazil (1985)
Voorwoord In de periode van november 1998 tot en met mei 1999 heb ik bij het Nationaal Bureau voor Verbindingsbeveiliging (NBV) een onderzoek gedaan naar het opzetten en beheren van een public-key infrastructuur voor gebruik intern binnen de overheid, en voor communicatie met de burger en het bedrijfsleven. Dit onderzoek is door mij verricht in het kader van mijn afstudeerproject bij de faculteit Wiskunde & Informatica van de TU Eindhoven. Deze scriptie vormt het resultaat van dit onderzoek. Bij elektronische communicatie zal het vaststellen van de identiteit van gebruikers steeds belangrijker worden. De overheid kan hierbij een belangrijke bijdrage leveren, bijvoorbeeld door uitgifte van een digitaal paspoort voor de burgers. Het opzetten van een public-key infrastructuur (PKI) is hiervoor een vereiste. Dit onderzoek bevat een eerste aanzet voor het ontwerp van een overheids-pki. Er zal nog veel werk verricht moeten worden voordat een dergelijke PKI werkelijk operationeel wordt, maar ik hoop dat dit rapport in dit traject een nuttige bijdrage blijkt. Ik wil graag Jan Smits en Geert-Jan Houben van de TU Eindhoven, en Raymond Doijen van het NBV bedanken voor hun begeleiding bij dit onderzoek. Verder bedank ik Niko Visser en Patrick Bours van het NBV voor hun aanvullingen en suggesties, en Ronald Hes van de Registratiekamer voor zijn waardevolle bijdrage op het gebied van de privacy-aspecten van digitale handtekeningen. Den Haag, mei 1999. Arnoud Engelfriet
Samenvatting Dit rapport is het resultaat van een onderzoek naar de mogelijkheden, eisen en randvoorwaarden voor het opzetten van een public-key infrastructuur (PKI) ten behoeve van het leveren van integriteitsdiensten bij de Nederlandse overheid, en de rol die het NBV daarbij kan vervullen. De integriteitsdiensten gebruikers-authenticatie (het bepalen van de afzender van een bericht) en data-integriteit (het bepalen of een bericht gewijzigd) is worden geleverd door gebruik te maken van digitale handtekeningen. Met behulp van een geheime sleutel voegt de zender een code toe aan het bericht die uniek is voor het bericht en voor hemzelf. De ontvanger kan met behulp van de publieke sleutel van de zender nagaan of de code (de handtekening) correct is en daarmee of het bericht echt en ongewijzigd is. De dienst onloochenbaarheid (het onomstotelijk bewijzen dat iemand een bericht heeft verstuurd) wordt geleverd door elke gebruiker een contract te laten tekenen waarin hij alle digitale handtekeningen die hij zet, als rechtsgeldig beschouwt totdat hij het certificaat in laat trekken. Publieke sleutels worden aan identiteiten gebonden door middel van certificaten, uitgegeven door Certificerende Autoriteiten (CA s). De organisatiestructuur waarin de CA s samenwerken is langs hiërarchische weg opgezet. Aan het hoofd staat de top-level CA die als centraal aanspreekpunt fungeert, het algemeen reglement beheert en toezicht houdt op de Policy CA s direct onder hem. Deze houden weer toezicht op de CA s in hun domein. CA s werken samen met Registrerende Autoriteiten (RA s), die de feitelijke registratie en identificatie van gebruikers verrichten. Certificaten kunnen worden gepubliceerd in een directory, zodat ze gemakkelijk opvraagbaar zijn. Certificaten die een persoonlijke identiteit bevatten, zijn echter persoonsgegevens in de zin van de Wet Persoonsregistratie. Voor een directory die dergelijke certificaten bevat, geldt dan een aantal eisen ter bescherming van deze gegevens. Dit rapport onderscheidt vijf factoren die essentieel zijn voor de betrouwbaarheid van een certificaat. Allereerst is er de eigenaar van het certificaat (een persoon, een rol of functie in een organisatie, of een geautomatiseerde toepassing). De tweede factor is de manier waarop de eigenaar wordt geïdentificeerd. Ook de kwaliteitseisen aan de gebruikte sleutels en de manier waarop ze worden opgeslagen zijn van belang. En als laatste is essentieel wie de geheime sleutels genereert (de eigenaar zelf, zijn organisatie of een externe derde). Op basis van deze vijf factoren definieert dit rapport vijf algemene klassen, met elk een eigen betrouwbaarheid. Bij elke klasse hoort een policy die precies vastlegt hoe de identificatie, authenticatie, beveiliging en andere aspecten geregeld moeten worden in deze klasse. Door policies op te stellen volgens een standaard raamwerk, zijn ze eenvoudig te vergelijken. Ook de betrouwbaarheid van de uitgevende CA s is van belang. Toezicht door een externe instantie, naast het interne toezicht door de top-level CA en de Policy CA s, is hiervoor zeer gewenst. Aansluiting van de overheids-pki bij een nationale TTP-infrastructuur is dus aan te bevelen. Dit kan het beste gebeuren door de top-level CA zitting te laten nemen in de TTP-kamer, die toezicht moet gaan houden op alle TTP s en CA s in Nederland. De keuze voor de ISO X.509 standaard is een voorwaarde om uitwisseling binnen en buiten de overheids-pki mogelijk te maken. Ook de betrouwbaarheid van een certificaat moet bekend zijn om adequate informatie-uitwisseling mogelijk te maken. De betrouwbaarheid van de algemene klassen is in de hele PKI bekend, waardoor uitwisseling hiervan altijd mogelijk is. De betrouwbaarheid van andere klassen wordt vastgelegd door ze te koppelen aan algemene of eigen klassen met een bekende betrouwbaarheid. Het is zo ook mogelijk om certificaten uit te wisselen met een andere PKI. De top-level
vi Samenvatting CA is de meest geschikte instantie om met de andere PKI te overleggen over de te maken koppeling. Hij koppelt dan algemene klassen, zodat de hele overheids-pki certificaten kan uitwisselen met de andere PKI. Daarnaast kunnen onder bepaalde omstandigheden ook individuele Policy CA s hun klassen koppelen met klassen uit de andere PKI. Dit dient dan wel in overleg met de top-level CA te gebeuren. Eén van de aanleidingen voor dit onderzoek was de vraag welke rol het Nationaal Bureau voor Verbindingsbeveiliging (NBV) kan vervullen binnen een overheids-pki. In het rapport zijn vier mogelijke rollen aangegeven. Het NBV kan twee ondersteunende taken bieden, namelijk het genereren van integriteitssleutels voor gebruikers van de PKI, en het keuren van de gebruikte apparatuur. Ook kan het NBV een actievere rol vervullen in de PKI, door op te treden als CA voor organisaties die zelf geen CA in kunnen of willen richten, of door top-level CA te worden voor de gehele PKI (of alleen het deel dat betrekking heeft op bijzondere informatie). Beide rollen vereisen een uitbreiding van de taken van het NBV. Het NBV houdt zich op dit moment voornamelijk bezig met de bescherming van bijzondere (staatsgeheime en sensitieve) informatie. Een integriteits-pki heeft geen directe relatie met de geheimhouding van informatie, maar als deze PKI later ook gebruikt wordt voor het certificeren van vertrouwelijkheidssleutels, kan het NBV er voor kiezen om de rol te vervullen van top-level CA voor het bijzondere informatie-deel van de PKI.
Inhoudsopgave Voorwoord Samenvatting iii v 1 Inleiding 1 1.1 Achtergrond....................................... 1 1.2 Doel van het onderzoek................................. 2 1.3 Opzet van dit rapport.................................. 2 2 Het leveren van integriteitsdiensten 3 2.1 Wat zijn integriteitsdiensten.............................. 3 2.1.1 De diensten gebruikers-authenticatie en data-integriteit......... 3 2.1.2 De dienst onloochenbaarheid......................... 4 2.2 De taken van de vertrouwde derde.......................... 4 2.2.1 Identificatie van de eigenaar van een publieke sleutel........... 5 2.2.2 Datering van berichten............................. 5 2.2.3 Andere taken van de vertrouwde derde................... 5 2.3 De plaats van de vertrouwde derde in het communicatieproces.......... 6 3 Opbouw van de PKI 8 3.1 Samenwerking tussen CA s.............................. 8 3.1.1 Samenwerking door onderling certificeren.................. 8 3.1.2 Certificatie langs hiërarchische weg..................... 8 3.1.3 Certificatie via een Web of Trust...................... 9 3.1.4 Certificatie via een combinatie van hiërarchie en Web of Trust...... 9 3.2 De structuur van de PKI................................ 10 3.2.1 De top-level CA................................. 11 3.2.2 De Policy CA................................... 11 3.2.3 De CA en de RA................................. 12 3.3 Het verkrijgen van vertrouwen in RA s en CA s................... 12 3.3.1 Vertrouwen in de fysieke en technische systemen............. 13 3.3.2 Vertrouwen in de procedures van RA en CA................. 14 3.3.3 Vastleggen van vertrouwen met een reglement............... 14 4 Het gebruik van de PKI 15 4.1 Het beheer van certificaten.............................. 15 4.1.1 Registratie en identificatie van de gebruiker................ 15 4.1.2 Uitgifte van een certificaat........................... 16 4.1.3 Publicatie van een certificaat......................... 16 4.1.4 Intrekken en blokkeren van een certificaat................. 17 4.1.5 Archivering van een certificaat........................ 18 4.2 Het gebruik van digitale handtekeningen...................... 18 4.2.1 Het plaatsen van een digitale handtekening................ 19 4.2.2 Het opvragen van een certificaat....................... 19 4.2.3 Het controleren van de geldigheid van een certificaat........... 20 4.2.4 Detecteren en melden van ongeldige handtekeningen........... 20 4.3 Het dateren van berichten............................... 21
viii INHOUDSOPGAVE 5 Het gebruik van certificaten in de PKI 23 5.1 Inhoud en formaat van een certificaat........................ 23 5.1.1 De inhoud van een certificaat......................... 23 5.1.2 Het formaat van een certificaat........................ 24 5.2 De binding van een certificaat aan een identiteit.................. 24 5.2.1 Persoonsgebonden certificaten......................... 24 5.2.2 Rolgebonden certificaten............................ 25 5.2.3 Toepassingsgebonden certificaten....................... 25 5.3 De betrouwbaarheid van een certificaat....................... 25 5.3.1 De eigenaar van een certificaat........................ 26 5.3.2 Identificatie bij een certificaat......................... 26 5.3.3 Generatie en opslag van sleutels in hard- of software........... 27 5.3.4 Sleutelgeneratie door de eigenaar of door derden.............. 27 5.3.5 Definitie van algemene certificaatklassen.................. 28 5.3.6 Vastleggen van de betrouwbaarheid van een certificaat.......... 29 5.4 Uitwisseling van certificaten binnen de PKI..................... 30 5.4.1 Uitwisseling van certificaten onder de algemene klassen......... 30 5.4.2 Uitwisseling van certificaten onder domein-specifieke klassen...... 31 5.4.3 Bepalen van de policy van een certificaat.................. 31 5.4.4 Vergelijken en koppelen van policies..................... 32 5.5 Uitwisseling van certificaten met instanties buiten de PKI............ 32 5.5.1 Uitwisseling met de NAVO PKI........................ 33 5.5.2 Uitwisseling met een nationale TTP-infrastructuur............ 35 6 Juridische aspecten van de overheids-pki 37 6.1 De rechtsgeldigheid van de digitale handtekening................. 37 6.1.1 Rechtsgeldigheid door gelijkstelling met papier............... 37 6.1.2 Rechtsgeldigheid door contractuele overeenkomst............. 39 6.2 De rechtspositie van elektronische documenten met timestamp......... 39 6.3 De aansprakelijkheid van een CA........................... 40 6.4 Bescherming van persoonsgegevens in de overheids-pki............. 40 6.4.1 Houders van persoonsregistraties in de overheids-pki.......... 40 6.4.2 Regels en wetgeving voor een persoonsregistratie............. 41 6.4.3 Mogelijkheden voor de bescherming van persoonsgegevens........ 42 7 Conclusies en aanbevelingen 43 7.1 Conclusies........................................ 43 7.2 Aanbevelingen voor verder onderzoek........................ 45 7.3 Aanbevelingen voor de rol van het NBV....................... 46 A De theorie achter digitale handtekeningen 49 B Invulling van certificaten met de X.509 standaard 52 C Certificate policies voor de algemene klassen 57 Literatuur 69 Register 71
1 Inleiding 1.1 Achtergrond Netwerken zoals het Internet worden steeds belangrijker voor wereldwijde communicatie. Met behulp van deze netwerken wordt het mogelijk voor twee partijen om te communiceren zonder dat zij elkaar ooit ontmoet hebben. Dit biedt nieuwe mogelijkheden voor bedrijven om producten te verkopen en voor overheidsinstellingen om informatie uit te wisselen met de burger. Ook binnen een bedrijf of overheidsinstelling kan e-mail gebruikt worden om de interne post te vervangen, waardoor mensen met hoge snelheid informatie kunnen uitwisselen en discussies kunnen houden. Op Europees niveau kan deze elektronische infrastructuur gebruikt worden om handel tussen lidstaten te stimuleren, waardoor de integratie tussen de lidstaten versneld kan worden. Bij elektronische communicatie is het moeilijk om vast te stellen wie de afzender is van een bericht en of het ontvangen bericht wel identiek is aan het verzonden bericht. Voor contracten en orders is dit van essentieel belang. Er is dus een omgeving nodig waarbinnen de authenticiteit en integriteit van berichten kan worden gegarandeerd, wil elektronische communicatie een gelijkwaardige partner voor de papieren versie vormen. Met behulp van wiskundige technieken kan een document worden voorzien van een unieke code, waarmee kan worden nagegaan of het document compleet en ongewijzigd is en waarmee de oorsprong van het document kan worden vastgesteld. Deze code wordt de digitale handtekening van het document genoemd. 1 Digitale handtekeningen worden gecontroleerd op correctheid met zogeheten publieke sleutels. Hiermee is echter nog steeds niet vastgesteld wie het document heeft verstuurd. De handtekening garandeert niet dat de naam van de afzender bij de handtekening correct is. Hiervoor heeft de ontvanger extra informatie nodig. Deze informatie kan door de zender verstrekt worden, maar meestal kennen zender en ontvanger elkaar niet goed genoeg om de juiste controles te kunnen uitvoeren, of ze zijn fysiek niet bij elkaar tijdens de verificatie. Een andere manier is om de identiteit te laten verifiëren door een derde partij, die door beide partijen wordt vertrouwd om dit correct te doen. Deze methode geniet de voorkeur bij gebruik op grote schaal. Bij gebruik van digitale handtekeningen op landelijke schaal is een infrastructuur nodig waarmee deze identiteitscontroles plaats kunnen vinden. Deze public-key infrastructuur (PKI) wordt meestal gerealiseerd door een aantal instanties, zogeheten Certificerende Autoriteiten of CA s, in te richten die certificaten afgeven waarmee een identiteit langs cryptografische weg wordt gekoppeld aan een publieke sleutel. Hiermee kan de identiteit behorende bij een handtekening worden vastgesteld door controle van de echtheid van het certificaat waarin de benodigde publieke sleutel is opgenomen. Dit onderzoek wordt uitgevoerd in opdracht van het Nationaal Bureau voor Verbindingsbeveiliging (NBV). Dit bureau is beheersmatig ondergebracht bij het Ministerie van Buitenlandse Zaken en wordt aangestuurd door het Bijzonder Informatie Beveiligingsberaad (BIB-Beraad). Het NBV adviseert op het gebied van informatiebeveiliging binnen de Neder- 1 In tegenstelling tot een normale handtekening is een digitale handtekening uniek voor het document waar hij bij staat. Kopiëren van een digitale handtekening naar een ander document kan worden gedetecteerd.
2 Inleiding landse overheid, stelt richtlijnen op en evalueert beveiligingsapparatuur bestemd voor deze toepassingen. Het kan daarbij gaan om de bescherming van Staatsgeheime informatie, maar ook om sensitieve informatie binnen de Nederlandse overheid. Voorts onderhoudt het NBV internationale contacten op haar werkterrein, o.a. in NAVOverband. Het NBV produceert en distribueert ook sleutelmateriaal ter bescherming van bijzondere informatie en neemt de distributie van NAVO-sleutels voor gebruik binnen Nederland voor haar rekening. 1.2 Doel van het onderzoek Dit onderzoek is een studie naar de mogelijkheden, eisen en randvoorwaarden voor het opzetten van een public-key infrastructuur (PKI) ten behoeve van het leveren van integriteitsdiensten bij de Nederlandse overheid, en de rol die het NBV daarbij kan vervullen. Deze infrastructuur dient ter ondersteuning van elektronische communicatie van de overheid met de markt en met andere (nationale en internationale) overheidsinstellingen. Interoperabiliteit met al deze instanties moet mogelijk zijn. Daarnaast is het essentieel dat duidelijk wordt onder welke omstandigheden digitale handtekeningen bij gebruik van deze infrastructuur wettelijke erkenning kunnen krijgen. 1.3 Opzet van dit rapport De indeling van dit rapport is als volgt. Hoofdstuk 2 legt uit wat integriteitsdiensten zijn en waarom daarbij een public-key infrastructuur nodig is. Tevens bespreekt het de mogelijke rollen die een vertrouwde derde daarbij heeft. In hoofdstuk 3 staat beschreven hoe binnen een organisatie als de Nederlandse overheid één algemene PKI opgezet kan worden. Het bespreekt de verschillende onderdelen van de PKI, geeft aan hoe deze onderling samenwerken en hoe het vertrouwen in de verschillende onderdelen verkregen kan worden. Vervolgens beschrijft hoofdstuk 4 hoe deze PKI gebruikt gaat worden. Belangrijkste onderdelen zijn het aanvragen van een certificaat en de taken van de CA bij het verwerken van een digitale handtekening. Hoofdstuk 5 gaat dieper in op de inhoud en het gebruik van certificaten. Allereerst wordt hier besproken welke informatie er in een certificaat nodig is. Vervolgens worden op basis van een aantal factoren vijf algemene klassen voor certificaten gedefinieerd. Elk van deze klassen biedt een bepaalde hoeveelheid zekerheid omtrent de identiteit van de eigenaar er van. Ook wordt in dit hoofdstuk aangegeven hoe de overheids-pki samen kan werken met andere public-key infrastructuren, zoals de NAVO PKI. De juridische aspecten van deze PKI komen aan bod in hoofdstuk 6. Dit hoofdstuk bespreekt de rechtsgeldigheid van digitale handtekeningen, de aansprakelijkheid van de CA in geval van conflicten en de privacy-aspecten van het publiceren van certificaten. Tenslotte worden in hoofdstuk 7 de conclusies en aanbevelingen gepresenteerd.
2 Het leveren van integriteitsdiensten 2.1 Wat zijn integriteitsdiensten Het doel van de overheids-pki is het leveren van integriteitsdiensten. In figuur 2.1 is te zien wat wordt verstaan onder het begrip integriteit met betrekking tot elektronisch berichtenverkeer. Er zijn drie diensten: data-integriteit, gebruikers-authenticatie en onloochenbaarheid (Engels: non-repudiation). Data-integriteit: de mogelijkheid om na te kunnen gaan of een document gewijzigd is na verzending. Hiermee kan worden gecontroleerd of de ontvanger hetzelfde document voor zich heeft als de zender. Gebruikers-authenticatie: de mogelijkheid om na te kunnen gaan wie de zender of ontvanger van een document is, of wie er toegang wil hebben tot een systeem. Onloochenbaarheid: de mogelijkheid om onomstotelijk te bewijzen dat een persoon, in samenwerking met zijn lokaal systeem, een document heeft verstuurd (oorsprong) of ontvangen (ontvangst). Wanneer het gaat om verzending en ontvangst door een netwerk in plaats van een persoon, spreekt men van verzending en aankomst respectievelijk. Deze diensten kunnen op verschillende manieren worden geleverd. De bekendste manier is door gebruik te maken van digitale handtekeningen. Deze maken gebruik van publiekesleutelcryptografie en hash functies. Dit wordt in de volgende secties besproken (zie bijlage A voor de theorie achter cryptografie en hash functies). Data-integriteit Integriteit Gebruikers-authenticatie Authenticatie Onloochenbaarheid van oorsprong van verzending van aankomst van ontvangst Figuur 2.1: Uitwerking van het begrip integriteit (Bron: NAVO) 2.1.1 De diensten gebruikers-authenticatie en data-integriteit Bij elektronisch berichtenverkeer is er meestal sprake van twee partijen, gewoonlijk Alice en Bob genaamd, die berichten uitwisselen. Beiden beschikken over een geheime sleutel waarmee zij digitale handtekeningen op berichten kunnen plaatsen, en een publieke sleutel waarmee deze handtekening weer gecontroleerd kan worden.
4 Het leveren van integriteitsdiensten Wanneer Bob nu een bericht met digitale handtekening ontvangt van Alice, gebruikt hij haar publieke sleutel om de handtekening te ontsleutelen. Als deze daarna van de juiste vorm is, weet Bob dat Alice de handtekening heeft gegenereerd met haar geheime sleutel. De juiste vorm kan bijvoorbeeld zijn dat de ontsleutelde handtekening een vaste tekst bevat, of een identificatie van de gebruikte hash functie. Had Bob de verkeerde publieke sleutel gebruikt, dan is de kans vrijwel nul dat het resultaat van de juiste vorm zal zijn. Bob kan dus Alice authenticeren als de afzender van het bericht (of, strikt gesproken, van de handtekening, aangezien nog niet vaststaat dat de handtekening werkelijk bij dit bericht hoort). Het is wel vereist dat Bob weet welke publieke sleutel van Alice is. Bob moet nu controleren of de handtekening werkelijk hoort bij het bericht dat hij ontvangen heeft. Hiervoor berekent hij de hash waarde van het bericht, en vergelijkt deze met de hash waarde die hij in de ontsleutelde digitale handtekening gevonden heeft. Als deze overeenkomen, weet Bob dat het bericht niet gewijzigd is sinds Alice de handtekening plaatste. Bob is nu dus ook zeker van de integriteit van het bericht. 1 Als een ander het bericht had gewijzigd, of had geprobeerd de handtekening van Alice na te maken, dan zal Bob dit nu merken. De kans dat de handtekening bij een ander bericht hoorde en toch correct is voor dit bericht, is verwaarloosbaar klein. 2.1.2 De dienst onloochenbaarheid Nadat Bob heeft geconstateerd dat het bericht dat hij ontvangen heeft voorzien is van de bijbehorende handtekening die gezet is met Alice s sleutel, kan hij concluderen dat het bericht afkomstig is van Alice. Alice kan nu echter nog ontkennen dat zij de eigenaar is van de geheime sleutel, of claimen dat haar sleutel is gestolen of gekopieerd en daarna gebruikt is door de dief om de handtekening mee te plaatsen. Onloochenbaarheid houdt in dat deze claim overtuigend te bewijzen of te weerleggen is. Om onloochenbaarheid te kunnen leveren, moet vaststaan dat Alice de enige is die toegang heeft tot de gebruikte geheime sleutel. Zij moet haar sleutel dus absoluut geheim houden. Meestal wordt hiervoor gebruik gemaakt van een veilig apparaat dat de sleutel genereert en opslaat op een speciaal stuk hardware, zoals een smartcard. Ook moet zij gebruik maken van een vertrouwd apparaat dat de sleutel gebruikt om handtekeningen mee te plaatsen, anders loopt zij nog het risico dat er een handtekening wordt gezet op een verkeerd document. Als Alice s sleutel gecompromitteerd raakt (een ander heeft een kopie weten te maken, of is er in geslaagd tegen haar wil een handtekening met haar sleutel te maken), dan moet zij dit onmiddellijk aan iedereen bekend maken. Handtekeningen die gezet zijn na dit moment, moeten worden beschouwd als vervalsingen. Een vereiste hierbij is dat bij elk bericht bekend is wanneer het gesigneerd is. 2.2 De taken van de vertrouwde derde Zoals in de vorige sectie is besproken, kunnen de drie integriteitsdiensten dus met behulp van digitale handtekeningen worden geleverd, mits aan twee eisen is voldaan: 1. Bij elke publieke sleutel moet bekend zijn wie de eigenaar is. 2. Bij elk bericht moet bekend zijn op welk moment het gesigneerd is. De eerste eis is noodzakelijk om de diensten authenticatie en data-integriteit te kunnen leveren. Aan de tweede eis hoeft alleen voldaan te worden als ook onloochenbaarheid gewenst 1 Het is niet strikt noodzakelijk om voor deze dienst digitale handtekeningen te gebruiken. Alice kan ook simpelweg een kopie van de door haar berekende hash waarde meesturen, zodat Bob deze kan vergelijken met zijn hash waarde.
2.2 De taken van de vertrouwde derde 5 is. Aan beide eisen kan worden voldaan door gebruik te maken van een vertrouwde derde. Deze identificeert gebruikers en kan berichten desgewenst dateren. 2.2.1 Identificatie van de eigenaar van een publieke sleutel Bij het gebruik van digitale handtekeningen is het cruciaal dat bekend is welke publieke sleutel bij een persoon hoort. Iedereen kan in principe een publieke sleutel verspreiden onder de naam van ieder ander. Dit maakt authenticatie vrijwel onmogelijk. Het is dus noodzakelijk dat er een systeem bestaat waarmee iedereen er zeker van kan zijn dat hij de juiste publieke sleutel van een andere persoon gebruikt. In kleine organisaties of groepen is het nog mogelijk dat alle partijen die ooit met elkaar communiceren, elkaar eerst in levenden lijve ontmoeten en sleutels uitwisselen. Als iedereen elkaar kent, kunnen alle partijen er zeker van zijn dat ze de juiste publieke sleutels hebben. Bij grotere organisaties is dit niet langer praktisch. In dat geval moet er gebruik gemaakt worden van een persoon of instantie die iedereen vertrouwt. Deze instantie, meestal de vertrouwde derde genoemd, verifieert de identiteit van de eigenaar van een sleutel, en genereert dan een certificaat. Dit is een elektronisch document met de identiteit, de sleutel en andere informatie betreffende de eigenaar, voorzien van de digitale handtekening van de vertrouwde derde. Met behulp van de publieke sleutel van de vertrouwde derde zelf kan nu de echtheid van het certificaat worden geverifieerd. Een eis is dus dat alle partijen zeker moeten weten dat zij de echte publieke sleutel hebben van de vertrouwde derde. 2.2.2 Datering van berichten Een papieren bericht kan op diverse manieren eenvoudig worden gedateerd. Bij elektronische berichten is dit een stuk lastiger. Zender en ontvanger kunnen beide de datuminformatie bij het bericht wijzigen zonder dat dit kan worden gedetecteerd. Om dit probleem op te lossen, kan gebruik gemaakt worden van een vertrouwd en gekeurd systeem. Dit vereist (meestal) speciale hardware bij de zender, en de ontvanger moet nu vertrouwen hebben in de apparatuur en de keuring bij iedereen met wie hij communiceert. Het alternatief is de vertrouwde derde. Deze voorziet een bericht dat hij ontvangt van de datum en tijd waarop hij het ontving, plaatst op het resultaat zijn digitale handtekening en stuurt dit alles terug. Alice en Bob weten nu dat het bericht bestond op het aangegeven tijdstip, mits zij voldoende vertrouwen hebben in de manier waarop de vertrouwde derde berichten dateert. Sectie 4.3 legt uit hoe deze dit op een veilige manier kan doen. Datering (Engels: timestamping) van een bericht door de vertrouwde derde moet gebeuren nadat Alice haar digitale handtekening er op heeft geplaatst. Anders zou Bob Alice s handtekening kunnen vervangen door zijn eigen en vervolgens claimen dat hij het document op dat tijdstip heeft gesigneerd. 2.2.3 Andere taken van de vertrouwde derde De vertrouwde derde (Engels: Trusted Third Party of TTP) kan nog meer taken vervullen dan alleen die van certificerende instantie. Een veel voorkomende taak is die van beheerder van sleutelmateriaal voor vertrouwelijkheidsdiensten. De TTP kan dan versleutelde berichten openen wanneer de geheime sleutel bij de gebruiker verloren is gegaan of niet bruikbaar is. Deze key recovery dienst is erg nuttig bij bedrijven, aangezien zij nu niet langer het risico lopen dat hun versleutelde gegevens ontoegankelijk worden als hun exemplaar van de geheime sleutel verloren gaat. Ook opsporingsdiensten hebben belangstelling voor key recovery diensten, met name om afluisteren van versleutelde communicatie tussen criminelen mogelijk te maken. Deze toepassing van key recovery is nogal controversieel. 2 De term TTP is hierdoor nogal beladen. 2 Voor uitgebreidere besprekingen van dit onderwerp wordt verwezen naar o.a. Koops [26], Abelson et al. [1] en Neumann [31].
6 Het leveren van integriteitsdiensten Een TTP die alleen certificeringsdiensten aanbiedt, heet ook wel een Certificerende Autoriteit (CA). Een certificaat kan zowel gebruikt worden om een integriteits- als een vertrouwelijkheidssleutel te koppelen aan een identiteit. Dit rapport is echter alleen gericht op integriteitsdiensten en de CA s in dit rapport leveren dan ook alleen integriteitsdiensten. Ze kunnen echter ook enkele ondersteunende diensten zoals datering of het publiceren van certificaten aanbieden. De public-key infrastructuur zorgt voor communicatie tussen een aantal gebruikers-systemen, die met behulp van publieke-sleutelcryptografie digitale handtekeningen kunnen plaatsen en verifiëren. Er is ook een aantal vertrouwde CA s, die de juiste publieke sleutel aanleveren voor elke gebruiker. Tevens bieden zij dateringsdiensten aan. De apparatuur (harden software) die gebruikers en CA s nodig hebben om handtekeningen en certificaten mee te genereren en controleren valt ook onder de PKI. 2.3 De plaats van de vertrouwde derde in het communicatieproces De vertrouwde derde of CA kan op diverse manieren ondersteuning bieden aan het berichtenverkeer tussen de communicerende partijen. De drie belangrijkste mogelijkheden zijn: CA CA CA A B A B A B (a) On-line (b) Off-line (c) In-line Figuur 2.2: De drie plaatsen van de CA in het berichtenverkeer On-line: Een on-line CA is tijdens de communicatie tussen de beide partijen nodig om bepaalde informatie te verschaffen, of een beveiligingsproces uit te voeren. Dit kan bijvoorbeeld de authenticatie van een gebruiker zijn, waarbij de ene partij de CA gebruikt om direct te controleren of de andere partij is wie hij zegt te zijn. De communicatie tussen de beide partijen gaat direct, zonder tussenkomst van de CA. Zie figuur 2.2(a). De CA is bij elke sessie nodig om de informatie aan te leveren. Off-line: Een off-line CA staat buiten het berichtenverkeer van de beide communicerende partijen. Zij kunnen op elk gewenst moment informatie opvragen bij de CA en dit gebruiken bij authenticatie of verificatie. Zie figuur 2.2(b). Het is niet noodzakelijk om tijdens de communicatie de CA te raadplegen, de gebruikers kunnen de informatie hergebruiken nadat zij deze van de CA hebben verkregen. In sommige gevallen wordt een CA tijdens de eerste keer communiceren on-line gebruikt, en daarna off-line totdat de informatie van de CA verouderd of ongeldig geworden is. In-line: Een in-line CA bevindt zich tussen de communicerende partijen in. Alle communicatie verloopt via de CA. Hierdoor vervult de CA een veel belangrijkere rol in het proces dan bij de twee andere vormen. De CA controleert een ontvangen bericht op echtheid (via de digitale handtekening), vervangt de handtekening door het resultaat van deze controle, signeert het geheel en stuurt het door naar de uiteindelijke ontvanger. Deze kan nu aan de hand van de handtekening van de CA zien dat het bericht echt van de
2.3 De plaats van de vertrouwde derde in het communicatieproces 7 oorspronkelijke zender komt. Zie figuur 2.2(c). De gebruikers moeten de CA nu wel volledig vertrouwen. Er zijn ook hoge eisen aan de performance van het systeem van de in-line CA. Tijdens de communicatie tussen twee partijen is de CA maar voor één activiteit nodig, en dat is het aanleveren van certificaten om handtekeningen mee te controleren. Het is niet noodzakelijk dat dit in real-time gebeurt. De ontvanger kan op elk gewenst moment een certificaat opvragen, of zelfs een lokale kopie gebruiken. Het is in dit rapport niet nodig om onderscheid te maken tussen on-line en off-line CA s. 3 Een in-line CA kan bewijsmateriaal verzamelen over de communicatie tussen partijen. Hij houdt hiervoor bij welke berichten door hem zijn ontvangen en doorgestuurd, van wie ze kwamen en wanneer. Zo kan hij later aantonen dat twee partijen met elkaar hebben gecommuniceerd. Dit is van belang wanneer onloochenbaarheidsdiensten geleverd moeten worden. De gebruikers moeten nu de CA volledig vertrouwen, aangezien de CA nu in een positie is waarin hij alle bewijs kan vervalsen, of zelfs berichten kan manipuleren. Binnen een organisatie is dit vertrouwen nog wel te verkrijgen, maar bij uitwisseling van berichten tussen organisaties kan het erg moeilijk zijn om de in-line CA s te vertrouwen. Gebruik van een in-line CA stelt ook veel hogere eisen aan het systeem dan gebruik van een off-line CA. De in-line CA moet kunnen communiceren met alle partijen en krijgt veel berichtenverkeer te verwerken. Een off-line CA hoeft alleen maar elektronische verzoeken betreffende certificaat-beheer af te handelen. Wanneer twee partijen veel berichten uitwisselen, hoeft de off-line CA slechts één keer de bijbehorende certificaten op te sturen. De in-line CA moet bij elk bericht activiteiten verrichten. Vanwege deze nadelen op operationeel niveau en de weinige voordelen die een in-line CA kan bieden bij integriteitsdiensten, is er weinig reden om een in-line CA in te zetten in een integriteits-pki. Dit rapport gaat dan ook uit van een PKI die uitsluitend gebruik maakt van off-line CA s. Datering van een bericht hoeft niet noodzakelijkerwijs plaats te vinden tijdens het verzenden van het bericht. Dit kan op elk gewenst, vooraf overeen gekomen moment gebeuren. De aanvrager heeft daarmee een bewijs dat het bericht bestond op het moment van dateren. Deze dienst is te vergelijken met het verstrekken van een certificaat en kan dus worden verricht door een off-line CA. Er gelden wel hoge eisen voor de beschikbaarheid van de dateringsdienst, omdat het op elk moment mogelijk moet zijn om een bericht te laten dateren. De CA s in deze PKI kunnen dus dateringsdiensten aanbieden. 3 In de meeste gevallen zullen CA s via een netwerk bereikbaar zijn. Ze zijn dan technisch gesproken on-line, maar heten nog steeds off-line CA s aangezien ze niet per se nodig zijn tijdens de communicatie tussen de twee partijen.
3 Opbouw van de PKI 3.1 Samenwerking tussen CA s Verschillende ministeries en organisaties binnen de Nederlandse overheid zullen hun eigen eisen hebben voor de taken en de inrichting van een Certificerende Autoriteit. Elk ministerie heeft ook zijn eigen verantwoordelijkheid voor zijn beveiliging, zoals geregeld in het Voorschrift Informatiebeveiliging Rijksdienst (VIR 94). Er kan dus niet worden volstaan met één centrale CA die de hele overheid bedient. Verschillende instanties zullen echter berichten met digitale handtekeningen willen uitwisselen. Dit kan alleen als de betrokken CA s met elkaar samenwerken (door elkaar te certificeren), zodat gebruikers certificaten uitgegeven door andere CA s kunnen accepteren. De samenwerkingsvorm moet zeer flexibel zijn, om toepasbaar te zijn in alle verschillende situaties bij de verschillende overheidsinstellingen. Elke instelling moet zijn eigen beveiligings- en andere eisen kunnen stellen. Verifiëren van digitale handtekeningen van gebruikers moet altijd mogelijk zijn, dus de PKI moet een minimumniveau van interoperabiliteit bieden. Uitwisseling van certificaten met andere PKI s moet ook mogelijk zijn. Ook moet de betrouwbaarheid van elke CA zo duidelijk mogelijk worden vastgelegd, zodat iedereen kan nagaan hoe betrouwbaar een willekeurige CA in de overheids-pki is. 3.1.1 Samenwerking door onderling certificeren Twee CA s kunnen met elkaar samenwerken door elkaar te certificeren. Zij geven dan een certificaat af voor elkaars publieke sleutel, nadat zij hebben gecontroleerd dat zij op vergelijkbare manier opereren en hun betrouwbaarheid dus ongeveer hetzelfde is. Een gebruiker van de ene CA kan nu een certificaat, uitgegeven door de andere CA, op echtheid controleren met behulp van het certificaat voor die andere CA dat uitgegeven is door zijn eigen CA. Samenwerking tussen meer dan twee CA s werkt op dezelfde manier. Er ontstaat zo een hele keten van certificaten. Deze keten begint bij een CA die de ontvanger van een bericht vertrouwt. Deze CA heet de root CA. De ontvanger gebruikt nu diens certificaat om het certificaat voor de tweede CA in de keten (uitgegeven door de root CA) te controleren. Als dit in orde is, kan hij op dezelfde manier het certificaat voor de derde CA controleren. Dit proces herhaalt zich totdat hij het certificaat van de zender gecontroleerd heeft met het certificaat van diens CA. Wanneer alle certificaten in orde zijn en de ontvanger alle CA s in deze keten vertrouwt, heeft hij nu een vertrouwd pad opgebouwd tussen hem en de zender. Elk certificaat dat in deze overheids-pki wordt uitgegeven hoort tot een bepaalde klasse, met een bijbehorende policy. Deze staat in het certificaat vermeld. De ontvanger van een certificaat kan aan de hand hiervan de betrouwbaarheid van de informatie in het certificaat bepalen. Alle certificaten in het vertrouwd pad moeten onder vergelijkbare policies zijn uitgegeven (dit wordt uitgelegd in sectie 5.4). 3.1.2 Certificatie langs hiërarchische weg de meest bekende samenwerkingsvorm is de hiërarchie. Bovenaan in de hiërarchie staat één CA, de top-level CA. Deze certificeert de CA s die zich direct onder hem bevinden. Deze
3.1 Samenwerking tussen CA s 9 CA s mogen dan weer verder CA s certificeren, maar ook direct gebruikers certificeren (zie figuur 3.1). De eisen en voorwaarden om als CA in de hiërarchie opgenomen te mogen worden liggen vast. Elke CA is verantwoordelijk voor het gedrag van de CA s onder hem in de hiërarchie. Wanneer een CA merkt dat een onderliggende CA zich niet aan de regels houdt, trekt hij diens certificaat in. Het vertrouwen in de PKI volgt nu uit het vertrouwen in de top-level CA. Deze is ook altijd het de root CA, het startpunt van elk vertrouwd pad. Bij een grote hiërarchie kunnen zo lange paden ontstaan, waardoor controle van een handtekening lang kan duren. Meestal hebben de CA s in de hiërarchie een contractuele relatie met elkaar, zodat aansprakelijkheid en verantwoordelijkheden geregeld zijn. Organisaties die gebruik maken van een CA, weten nu waar zij aan toe zijn en welke betrouwbaarheid er hoort bij een certificaat dat door die CA is uitgegeven. Top-level CA CA CA CA CA CA CA CA CA CA CA CA CA CA CA CA CA Figuur 3.1: Een hiërarchische PKI Figuur 3.2: Een Web of Trust PKI 3.1.3 Certificatie via een Web of Trust Het Web of Trust is een platte organisatievorm (zie figuur 3.2). Iedere CA kan met iedere andere CA samenwerken. Een vertrouwd pad naar een certificaat is nu gebaseerd op het vertrouwen dat de ene CA in de andere heeft, en niet op het feit dat een CA als officieel is aangemerkt. Het vertrouwen is nu dus niet opgelegd, maar wordt door elke CA afzonderlijk bepaald. Dit maakt het mogelijk voor een CA om alleen samen te werken met CA s die hij vertrouwt, maar het betekent wel dat een gebruiker alle CA s die hij nodig heeft moet vertrouwen. Bij langere ketens tussen twee CA s is dit nog wel eens problematisch. Het grote voordeel van dit systeem is dat het veel flexibeler is dan het hierboven beschreven hiërarchische systeem. Wie een bepaalde CA niet vertrouwt, kan gemakkelijk een andere kiezen. Ook zijn tussenvormen mogelijk: een sleutel kan als echt worden beschouwd als meerdere CA s de sleutel hebben gecertificeerd. Ook al is één CA misschien niet zorgvuldig genoeg bij het certificeren, de kans is klein dat ze allemaal samenwerkten om de identiteit te vervalsen. Het niveau van vertrouwen kan dus verschillen per certificaat. Gebruikers kunnen bij meerdere CA s een certificaat aanvragen, zodat ontvangers de CA kunnen kiezen die zij het meest vertrouwen. In een Web of Trust is de root CA niet voor alle gebruikers hetzelfde. Meestal is dit de CA die het dichtst bij de gebruiker staat. Het vertrouwen in CA s is niet opgelegd, maar wordt verkregen door accreditatie door andere CA s. Een gebruiker kan nagaan of een CA betrouwbaar is door te controleren of deze geaccrediteerd is door een betrouwbare CA. Dit systeem is echter lastig te formaliseren, omdat het nogal ondoorzichtig is. Met name voor organisaties is dit een nadeel. Het is daar eerder gewenst dat verantwoordelijkheden en taken duidelijk vastliggen, zodat er weinig behoefte zal bestaan aan de flexibiliteit die een Web of Trust biedt. 3.1.4 Certificatie via een combinatie van hiërarchie en Web of Trust Zowel de hiërarchische als de platte PKI hebben hun voor- en nadelen. De strakke structuur van CA s in een hiërarchie maakt het eenvoudig om te bepalen wie waarvoor verantwoordelijk is, maar het opgelegde vertrouwen in het hele systeem betekent dat individuele
10 Opbouw van de PKI instanties weinig keus hebben in de CA s die zij wel of niet vertrouwen. De flexibele manier waarop in een Web of Trust vastgelegd kan worden wie wie vertrouwt, biedt hiervoor betere mogelijkheden. Het Web of Trust is echter een stuk minder doorzichtig voor wat betreft de verantwoordelijkheden van de deelnemende CA s. Een combinatie van beide structuren levert een systeem met de voordelen van beiden. De PKI wordt opgezet volgens de principes van een hiërarchie, zodat de verantwoordelijkheid en de aansprakelijkheid van iedere CA vastligt. Elke CA heeft echter de vrijheid om middels kruiscertificeren een relatie aan te gaan met elke andere CA. Dit is met name zinvol als beide CA s in verschillende, ver verwijderde takken van de hiërarchie liggen. Het vertrouwd pad tussen twee gebruikers wordt nu veel korter, omdat het niet langer via de top van de hiërarchie loopt. 3.2 De structuur van de PKI Een pure hiërarchische organisatie kan niet voldoen aan de eis voor een flexibele samenwerkingsvorm. Een Web of Trust wel, maar hierbij is er weer het nadeel dat de betrouwbaarheid van andere CA s niet eenvoudig bepaald kunnen worden, en dat er geen goede controle van bovenaf mogelijk is. Voor de overheids-pki is de combinatievorm uit de vorige paragraaf dus de meest geschikte, mits er duidelijke regels zijn over de omstandigheden waaronder CA s elkaar mogen kruiscertificeren. CA s worden in deze PKI gegroepeerd in domeinen. Een domein is een groep CA s met een aantal gemeenschappelijke policies en beveiligingseisen. Elk domein heeft ook een centrale autoriteit, die de eisen en policies opstelt en verantwoordelijk is voor het toezicht op de CA s binnen dat domein. Deze centrale autoriteit heet de Policy CA (PCA) voor het domein. Het is nu mogelijk om per domein andere eisen door te voeren, maar de betrouwbaarheid van alle CA s in één domein is eenvoudig vast te stellen. TLCA Domein PCA PCA PCA CA CA CA CA CA CA PCA RA RA RA RA RA RA RA Hiërarchische certificatie Kruiscertificatie RA RA RA RA RA CA RA RA CA RA Figuur 3.3: De organisatie van de overheids-pki In de boom van de hiërarchie is een domein een subboom met de domein autoriteit aan de top er van, en alle andere CA s in het domein er onder. Binnen een domein kunnen weer subdomeinen bestaan. Een subdomein heeft een aparte centrale autoriteit en specifiekere of striktere eisen. De PCA van het superdomein vervult dan de rol van de top-level CA voor dat subdomein. Deze structuur is afgebeeld in figuur 3.3 hierboven.
3.2 De structuur van de PKI 11 3.2.1 De top-level CA Aan de top van de hiërarchie staat één CA. Dit is de top-level CA (TLCA). Deze CA heeft de verantwoordelijkheid voor de hele infrastructuur. De taken van de TLCA zijn: æ Het certificeren van PCA s op het hoogste niveau. De TLCA certificeert geen gebruikers. æ Het vaststellen van policies voor de algemene certificaatklassen. æ Het opstellen van algemene richtlijnen waaraan alle PCA s moeten voldoen. æ Het regelmatig controleren van de PCA s op correcte naleving van de algemene richtlijnen (auditing). Deze taak kan ook door een externe instantie worden uitgevoerd. æ Het fungeren als arbiter in geval van disputen tussen twee PCA s of twee CA s die onder verschillende PCA s vallen. æ Het fungeren als aanspreekpunt voor externe toezichthoudende instanties, zoals bijvoorbeeld de Registratiekamer. De top-level CA stelt een reglement met algemene richtlijnen op. De PCA s op het hoogste niveau worden alleen gecertificeerd als zij dit reglement accepteren en er op toe zien dat de CA s in hun domein zich hier aan houden. PCA s zijn vrij om zelf striktere richtlijnen of uitwerkingen van het algemene reglement op te stellen. Het algemene reglement zal zich voornamelijk richten op interoperabiliteit op een technisch niveau en op de accreditatie van CA s. Denk hierbij aan specificatie van te gebruiken algoritmen, apparatuur en standaards voor certificaten en handtekeningen, of minima en maxima voor tarieven die een CA mag rekenen voor bepaalde diensten. De top-level CA definieert ook een aantal algemene certificaatklassen, die in de hele PKI gelden. Certificaten uit één van deze klassen kunnen uitgegeven worden door elke CA in de PKI, maar de betrouwbaarheid er van is overal even hoog omdat de eisen voor uitgifte overal gelijk zijn. Hierdoor is een basisniveau van interoperabiliteit bereikt: iedereen kan een certificaat uit een van deze klassen accepteren en weet altijd hoe betrouwbaar het is. Dit wordt verder besproken in sectie 5.3.5. De top-level CA heeft een zwaardere verantwoordelijkheid dan de andere CA s. Als top in de hiërarchie kan hij zijn publieke sleutel niet door een andere CA in de hiërarchie laten certificeren. Hij moet dus zelf een certificaat hiervoor uitgeven, en dit op een veilige manier verspreiden (bijvoorbeeld door deze op te slaan op veilige hardware, of door de gegevens te publiceren in een openbaar medium) zodat alle gebruikers er zeker van zijn dat ze de juiste sleutel hebben. Als hierbij een fout gemaakt wordt (of als deze sleutel gecompromitteerd raakt) kan de hele PKI zwaar in de problemen raken, omdat dan geen enkel certificaat in de PKI meer volledig te vertrouwen is. De top-level CA kan zijn betrouwbaarheid dus niet bewijzen zoals de andere CA s, door middel van een certificaat uitgegeven door een hogere CA. Hij moet dit dus op een andere manier doen. Toezicht en accreditatie door een externe instantie kan hierbij een belangrijk middel zijn. Een mogelijk geschikte kandidaat is de TTP-kamer, die toezicht moet gaan houden op alle erkende TTP s en CA s in Nederland [28]. Zie hiervoor verder sectie 5.5.2. 3.2.2 De Policy CA Een Policy CA (PCA) is, zoals de naam al aangeeft, een CA die policies bepaalt. Een Policy CA is de centrale autoriteit van het domein waar hij in zit. Policy CA s worden gecertificeerd door de top-level CA of door de Policy CA van het superdomein waarin het domein van de PCA ligt. Een Policy CA houdt toezicht op het naleven van het algemene reglement (eventueel uitgebreid met eigen regels) door de CA s in zijn domein. Daarnaast kan de Policy CA ook zelf
12 Opbouw van de PKI gebruikers certificeren. De policy- en certificeringstaken moeten dan wel strikt gescheiden zijn. Eén van de belangrijkste taken van de Policy CA is het bepalen van de certificaatklassen die in het domein gelden. In het algemeen zal de Policy CA een aantal algemene klassen overnemen van de top-level CA. Deze certificeert dan de publieke sleutel van de Policy CA, zodat uitwisseling van certificaten met andere domeinen direct mogelijk wordt. De Policy CA certificeert vervolgens weer de CA s in zijn domein voor elke klasse die zij ondersteunen. De Policy CA mag algemene klassen uitwerken of aanvullen met eigen eisen. Een dergelijke domein-specifieke klasse wordt dan door de top-level CA nog steeds gecertificeerd alsof het de oorspronkelijke algemene klasse is. Gebruikers buiten het domein kunnen het certificaat nu nog steeds verwerken, omdat het voor hen de oorspronkelijke klasse lijkt. Twee Policy CA s kunnen elkaar kruiscertificeren. Zij kunnen op die manier domeinspecifieke klassen aan elkaar koppelen, zodat uitwisseling hiervan tussen de twee domeinen mogelijk wordt. In het algemeen is het echter te verkiezen dat er met algemene klassen wordt gewerkt, zodat de afstemming en het beheer van de klassen eenvoudiger is. Dit wordt verder besproken in sectie 5.4.2. 3.2.3 De CA en de RA Binnen een domein bevindt zich een aantal (CA s) die voor de gebruikers in dat domein certificaten verstrekken en intrekken. Zij beheren ook de database waarin deze gepubliceerd worden, en kunnen daarnaast dateringsdiensten aanbieden. Aan de beveiliging en de apparatuur van een CA worden hoge eisen gesteld. Dit maakt het inrichten van een CA een kostbare zaak. De gebruikers van een CA komen alleen fysiek in aanraking met de CA wanneer zij zich moeten registreren voor de aanvraag van hun certificaat. Deze functie kan losgekoppeld worden van de certificaat-genererende functie. Hij kan daarom uitbesteed worden aan een aparte instantie, de Registrerende Autoriteit (RA). De taak van een RA is het identificeren en registreren van gebruikers die een certificaat aanvragen. Nadat de RA een gebruiker heeft geregistreerd, geeft hij aan de CA de benodigde informatie door. Deze kan dan het eigenlijke certificaat genereren en aan de gebruiker verstrekken. De CA vertrouwt er op dat de RA de benodigde informatie werkelijk heeft en dat alle controles door de RA correct zijn uitgevoerd. De verantwoordelijkheden in de samenwerking tussen de CA en de RA dient contractueel vastgelegd te worden. De CA, of een externe instantie, moet toezicht houden op de activiteiten van de RA, zodat de CA voldoende vertrouwen kan hebben in het functioneren van de RA. De CA kan nu centraal in een organisatie worden ingericht (bijvoorbeeld op één goed beveiligde lokatie in een ministerie), terwijl de RA s zich op lokaal niveau bevinden (bijvoorbeeld bij de afdeling Personeelszaken of het secretariaat). Een RA kan nu met meerdere CA s samenwerken, en een CA kan voor meerdere RA s certificaten uitgeven. Hierdoor kan een gebruiker diverse certificaten aanvragen met één registratieprocedure, mits deze voldoet aan de vereisten van alle certificaten. Het is bijvoorbeeld mogelijk dat elke gemeente in Nederland een eigen RA inricht, waar burgers zich kunnen registreren. De aanvraag wordt dan naar een centrale CA doorgeven. Deze CA verstrekt dan het certificaat aan de burger, analoog aan de manier waarop binnenkort paspoorten uitgegeven gaan worden. 3.3 Het verkrijgen van vertrouwen in RA s en CA s Een belangrijke eis voor de overheids-pki is dat organisaties eenvoudig vertrouwen in de verschillende CA s en RA s kunnen verkrijgen. Dit vertrouwen heeft betrekking op zowel het technische systeem als de procedures die elke CA hanteert. Een belangrijk hulpmiddel