Mobile PKI Een technologieverkenning naar veiligheid en gebruik van mobiele authenticatietechnologie November 2009 Auteurs: Martijn Oostdijk, Maarten Wegdam (Novay, i.o.v. SURFnet)
Mobile PKI voor SURFnet Een technologieverkenning naar veiligheid en gebruik van mobiele authenticatietechnologie voor SURFnet.
Colofon Datum : 5 november 2009 Versie : 2.0 Verandering : - Project referentie: TS Mobile PKI Novay referentie : - Bedrijfsreferentie : - URL : - Toegangsrechten : - Status : Final Redacteur : - Bedrijf : SURFnet Auteur(s) : Martijn Oostdijk, Maarten Wegdam VOOR DEZE PUBLICATIE GELDT DE CREATIVE COMMONS LICENTIE ATTRIBUTION-NONCOMMERCIAL-SHARE ALIKE 3.0 NETHERLANDS. MEER INFORMATIE OVER DEZE LICENTIE IS TE VINDEN OP HTTP://CREATIVECOMMONS.ORG/LICENSES/BY-NC-SA/3.0/NL/
Management Samenvatting Een GSM/UMTS telefoon heeft een SIM kaart. Dit is een gestandaardiseerde smartcard, die de mobiele operator aan de gebruiker geeft en primair gebruikt wordt om de gebruiker te authenticeren op het mobiele netwerk. Deze SIM kaart biedt echter meer mogelijkheden, zo kunnen er op een veilige manier sleutels op gezet worden die vervolgens gebruikt kunnen worden voor online authenticatie en digitale handtekeningen. Gebruikte termen hiervoor zijn Wireless PKI en Mobile PKI. Dit rapport is een assessment van Mobile PKI technologie, en de mogelijkheden hiervan voor authenticatie in het onderwijs. De nadruk ligt hierbij op de veiligheid en de toepassingen binnen het onderwijs, en in het bijzonder toepassingen bij de SURFfederatie. Mobile PKI werkt op basis van versleutelde SMSjes, waarbij de gebruiker toestemming geeft tot authenticatie of digitale handtekening via de mobiele telefoon, beveiligd door een PIN-code die, typisch, per transactie opnieuw moet worden ingetoetst. De gebruikte standaarden op de mobiele telefoon bestaan al heel lang, en werken op alle telefoons. Voordelen ten opzichte van sommige andere veilige authenticatiemiddelen zijn dat er geen apart authenticatiedevice nodig is, en dat er geen installatie van software nodig is, noch op de telefoon noch op andere client devices zoals een PC. Ook hoeven er geen codes overgetikt te worden, zoals bv SMS one-time-passwords, wat de gebruikersvriendelijkheid ten goede komt. Eventueel op de PC geïnstalleerde malware zoals virussen of keyloggers hebben geen invloed op Mobile PKI. In dit rapport wordt ingegaan op de vraag of Mobile PKI een veilig authenticatiemiddel is. De belangrijkste threat die uit de analyse kwam is een Man-in-the-Middle 1 attack op het Internet kanaal, maar in vergelijking met andere authenticatiemiddelen en gegeven het soort toepassingen in het (hoger) onderwijs zien de auteurs van dit rapport Mobile PKI als meer dan veilig genoeg. De belangrijkste kanttekeningen die we plaatsen bij de Mobile PKI technologie zijn niet van technologische of veiligheidsaard, maar gaan meer over de kosten en het business model. Mobile PKI technologie wordt op dit moment alleen nog voor beperkte pilots ingezet in Nederland, dus de kosten zijn nog moeilijk in te schatten. Maar deze zouden, zolang er geen andere grootschalige toepassing voor Mobile PKI is, voor veel toepassingen in het onderwijsveld wel eens te hoog kunnen liggen. Gerelateerd hieraan is het business model. Aangezien de SIM kaart eigendom is van de mobiele operator, kan deze technologie alleen gebruikt worden met medewerking van de operator. Bij grootschalig gebruik betekent dit ook dat alle operators moeten meewerken. De eindconclusie van dit rapport is dat Mobile PKI een veilig authenticatiemiddel is dat op den duur breed gebruikt kan worden in het onderwijs in Nederland. Voor de kortere termijn is vanwege a) verwachte kosten, b) onvoldoende zicht op het business model en c) beperkte ondersteuning door mobiele operators Mobile PKI alleen in te zetten voor diensten die door beperkte groepen werknemers worden gebruikt en bovendien hoge veiligheidseisen hebben. Voor uitrol naar studenten en algemene authenticatie voor de SURFfederatie of andere grootschalige SURFnet, Kennisnet of andere diensten lijkt de tijd nog wat vroeg. In de tussentijd kan wel overwogen worden SMS one-time-password meer te gaan gebruiken voor step-up authenticatie of password reset omdat dit goedkoper is en gebruikers klaar stoomt voor MobilePKI. 1 Een Man-in-the-Middle attack is een aanval waarbij een kwaadwillende het internetverkeer tussen twee partijen kan onderscheppen en/of kan wijzigen; dit stelt de kwaadwillende in staat om communicatie af te luisteren en om de inhoud van berichten voor zijn eigen doeleinden te veranderen. TS MOBILE PKI V
Inhoudsopgave Management Samenvatting v 1 Inleiding 1 1.1 Achtergrond 1 1.2 Mobile PKI in de praktijk 1 1.3 Doel, focus en terminologie 3 1.4 Leeswijzer 4 2 State-of-the-art 5 2.1 Waar reeds gebruikt 5 2.2 Standaarden 6 2.2.1 Smartcard standaarden 6 2.2.2 SIM kaart standaarden 7 2.2.3 PKI standaarden 8 2.2.4 Elektronische handtekening standaarden 9 2.2.5 Mobile Signature Service (MSS) 10 2.3 Conclusie 11 3 Architectuur 12 3.1 Processen 12 3.2 Rollen 13 3.3 Registratieproces 13 3.4 Authenticatieproces 14 3.5 Technische analyse van een aantal koppelvlakken 16 3.5.1 Koppelvlak tussen AP en MSSP via Internet 16 3.5.2 Koppelvlak tussen Mobiel en SIM 17 3.6 Conclusie 17 4 Veiligheidsanalyse 19 4.1 Een ad-hoc bedreigingsanalyse 19 4.2 Beveiligingseisen vanuit de ETSI standaard 22 4.3 Beveiligingseisen vanuit het Common Criteria protectieprofiel 24 4.4 Conclusie 25 5 Toepassing voor hoger onderwijs 26 5.1 Huidige situatie: gebruikersnaam/wachtwoord 26 5.2 Criteria voor het gebruik Mobile PKI 26 5.3 Potentiële diensten voor gebruik Mobile PKI 26 6 Conclusies en aanbevelingen 28 Referenties 32 TS MOBILE PKI VII
1 Inleiding 1.1 Achtergrond Het gebruik van elektronische diensten vereist vertrouwen bij aanbieders en afnemers. Dit vertrouwen wordt in de praktijk gefaciliteerd door beveiligings-, toegangs- en identiteitsmanagement technieken zoals het authenticeren van partijen en het ondertekenen van documenten en transacties door partijen met behulp van een elektronische handtekening. Voor authenticatie en ondertekening zijn verschillende middelen beschikbaar. Bijvoorbeeld gebruikersnaam / wachtwoord combinatie of een smartcard of smart USB token. De kwaliteit van zo n middel wordt met name bepaald door de mate van veiligheid (fraudebestendigheid) en de gebruiksvriendelijkheid van het middel. SURFnet biedt verscheidene diensten aan waarvoor authenticatie en soms ook een handtekening nodig is. Met name geldt dit voor de SURFfederatie, die het mogelijk maakt voor studenten en medewerkers in het hoger onderwijs om toegang te krijgen tot een breed scala aan online diensten gebruikmakend van hun instellingsaccount. Dit gaat in verreweg de meeste gevallen met behulp van een gebruikersnaam/wachtwoord. Vanwege phishinggevoeligheid en andere redenen is dit een niet erg veilige manier van authenticeren. Mobile PKI 2 is een technologie die de belofte in zich heeft om mensen op een veilige en relatief gebruikersvriendelijke manier te authenticeren. Mobile PKI maakt hiervoor gebruik van de SIM/USIM kaart (hierna genoemd SIM kaart) die in GSM/UMTS telefoons aanwezig is. Deze SIM kaart is eigendom van de mobiele operator en wordt primair gebruikt voor het authenticeren van een mobieltje op het mobiele netwerk. De mobiele operator kan echter ook extra applicaties op deze SIM kaart installeren, al dan niet van third parties. Mobile PKI maakt hiervan gebruikt door een applicatie te installeren die het mogelijk maakt om gebruikers te authenticeren voor internet diensten, en voor het zetten van elektronische handtekeningen. Een groot voordeel van Mobile PKI is dat de overgrote meerderheid van de doelgroep van SURFnet al beschikt over een mobiele telefoon, en dat die telefoons vrijwel allemaal geschikt zijn voor Mobile PKI. Een tweede voordeel is dat Mobile PKI een gestandaardiseerde technologie is, wat zowel goed is voor de veiligheid (want open) als de interoperabiliteit. 1.2 Mobile PKI in de praktijk Mobile PKI wordt in het kader van een pilot getest door opdrachtgever SURFnet. Gebaseerd op deze pilot beschrijven we hier hoe Mobile PKI in de praktijk werkt. Mobile PKI vereist een geschikte SIM kaart. Dit betekent met name dat er voldoende cryptografische rekenkracht in zit, voldoende geheugen in zit, en dat er de juiste software op de SIM geïnstalleerd is. Deze software is een zogenaamde SIM toolkit applicatie, waarvoor in de pilot de VMAC applicatie van Valimo 3 wordt gebruikt. Zie Figuur 1 voor een foto van de gebruikte SIM, waarop te zien is hoe klein deze SIM kaart is, en ook het zogenaamde IMSI nummer te zien is die een SIM kaart uniek identificeert. 2 Ook wel Wireless PKI of SIM-based authentication genoemd. 3 Op het Web is Valimo Wireless Ltd. te vinden op http://www.valimo.com/. TS MOBILE PKI 1
Figuur 1: Foto van SIM kaart. Het typische gebruiksscenario houdt in dat iemand op zijn PC een online dienst gebruikt waarvoor hij zich moet authenticeren danwel een elektronische handtekening moet zetten. Vanuit het gezichtspunt van een gebruiker verloopt dit als volgt: De authenticatie dienst verstuurt data to display en data to sign 4. Deze worden aan de gebruiker getoond die ze met ok moet bevestigen. Deze data wordt als SMSjes naar de telefoon gestuurd, maar dit is onzichtbaar voor de gebruiker. De schermen verschijnen vanuit het gebruikersperspectief vanzelf, en de gebruiker hoeft alleen maar op ok te drukken (hij hoeft geen menu s te doorlopen etc). Hierna moet de gebruiker zijn authenticatie PIN invoeren, waarna de SIM toolkit applicatie een aantal SMS berichten verstuurt (afhankelijk van de instellingen van de telefoon kan de gebruiker gevraagd worden hier toestemming voor te verlenen, maar standaard merkt de gebruiker hier niets van). Nadat de gebruiker zich succesvol geauthenticeerd heeft (danwel een handtekening heeft gezet), ontvangt de gebruiker ter informatie nog een bevestigingsbericht per SMS. De screenshots in Figuur 2 geven een beeld van het authenticatieproces. 4 In de voorbeelden in dit rapport worden steeds letterlijk die ASCII strings data to display en data to sign gebruikt. Voor authenticatie zal het tweede bericht vervangen worden door een niet te voorspellen rij tekens. Voor ondertekening zal het tweede bericht vervangen worden door een kenmerk of een fragment van het te ondertekenen document of door bijvoorbeeld een transactienummer als het gaat om goedkeuring van een transactie. 2 NOVAY
Figuur 2: Screenshots van stappen tijdens transactie. In vergelijking met andere veilige authenticatiemiddelen is Mobile PKI relatief gebruikersvriendelijk. Er hoeft bijvoorbeeld geen code te worden overgetikt, zoals bijvoorbeeld het geval is bij de op smartcard gebaseerde bankcalculators die door Nederlandse banken worden gebruikt (de Random Reader van de Rabobank of de E.dentifier van de ABN-AMRO) of bij SMS one-time-password (SMS-OTP) oplossingen die ook met een mobiele telefoon werken. Ook hoeft er geen client software geïnstalleerd te worden. 1.3 Doel, focus en terminologie Doel van dit rapport is een analyse te maken van de bruikbaarheid van Mobile PKI technologie voor, met name, de SURFfederatie. Hierbij ligt de focus op de veiligheidsen architecturele aspecten van deze technologie. Daarnaast maken we ook een inschatting van welke soort applicaties op de kortere termijn baat kunnen hebben bij deze technologie. Gegeven de hoeveelheid beschikbare resources voor dit rapport, maken we met name gebruik van bestaand materiaal, en de quickscan methodiek. Over de gebruikte terminologie moet nog wel vermeld worden: veel van de geraadpleegde bronnen zijn zeer technisch van aard. Dit geldt met name voor de verschillende standaardisatiedocumenten. Het is gebruikelijk om in zulke standaardisatiedocumenten een lange lijst afkortingen te introduceren en deze te gebruiken in de rest van het document zodat een zekere abstractie ontstaat en de standaard op meerdere implementaties toegepast kan worden. In dit document gebruiken we echter de concrete namen zoals die in dagelijkse communicatie gebruikelijk zijn. We gebruiken in dit document gewone terminologie zoals SIM, mobiel, etc. in plaats van TS MOBILE PKI 3
MSCA en MSCD. Desondanks zullen delen van dit rapport niet goed leesbaar zijn zonder de juiste technische achtergrond. Hoewel dit rapport in het Nederlands is opgesteld, is er bewust voor gekozen Engelse vaktermen, zoals bijvoorbeeld Identity Provider, assertions en Service Provider niet te vertalen. 1.4 Leeswijzer Hoofdstuk 2 beschrijft de state-of-the-art op het gebied van Mobile PKI, inclusief een overzicht van de relevante standaarden en voorbeelden uit andere landen waar deze techniek al gebruikt wordt. Hoofdstuk 3 beschrijft de architectuur, en analyseert de meest relevante koppelvlakken. Hoofdstuk 4 doet een veiligheidsanalyse. Hoofdstuk 5 analyseert, gebaseerd op de uitkomsten van de eerdere hoofdstukken, wat de mogelijke toepassingen zijn voor het onderwijs. Hoofdstuk 6 bevat na een korte vergelijking van Mobile PKI met wat andere veelgebruikte authenticatiemiddelen, de conclusies en aanbevelingen. De auteurs van dit rapport danken Roland van Rijswijk (SURFnet), Joost van Dijk (SURFnet), Kick Willemse (Evidos / Diginotar) en Bram Sniekers (Diginotar) voor hun input en feedback. 4 NOVAY
2 State-of-the-art Mobile PKI, met een centrale rol voor de SIM kaart, bestaat als concept al minstens sinds 2001. Het op grote schaal toepassen van Mobile PKI is echter iets wat pas recentelijk (vooral 2008, 2009) lijkt te gebeuren. De in de SURFnet pilot te gebruiken Mobile PKI oplossing van Valimo duikt daarbij de laatste paar jaren frequenter op. Een snelle scan levert een overzicht op waar Mobile PKI al ingezet wordt. De resultaten van deze scan staan beschreven in het eerste deel van dit hoofdstuk. Veel van de technologieën en protocollen die gebruikt worden door Mobile PKI zijn in publiek beschikbare open standaarden beschreven. Het tweede deel van dit hoofdstuk beoogt een beeld te geven van deze standaarden en hoe deze worden toegepast om tot een Mobile PKI oplossing te komen. Een precieze beschrijving van de architectuur, en hoe de beschreven standaarden daar in passen, is gegeven in hoofdstuk 3. 2.1 Waar reeds gebruikt Tabel 1 geeft een chronologisch overzicht van een quick scan naar persberichten en andere (commerciële) aankondigingen rond Mobile PKI producten. 2001 Vodafone doet een eerste trial in Engeland met mobile signatures. [Link] 2001 Common Criteria protectieprofiel [3] gepubliceerd. 2002 Schlumberger (tegenwoordig onderdeel van Gemalto) publiceert een Common Criteria security target voor een Secure Signature Creation Device in de vorm van een Java Card applet. [Link] 2003 ETSI standaarden voor Mobile PKI [8][9][10][11] gepubliceerd. 2006 Giesecke & Devrient voert samen met Vodafone een Mobile PKI pilot uit met G+D s StarSIM product. [Link] 2006 TeliaSonera en Valimo kondigen Tunnistuspalvelu Pro/Plus product aan. [Link] 2006 Elisa biedt gebruikers de mogelijkheid om hun Finse eid te koppelen aan een SIM kaart 5. Technologie komt van SmartTrust en Valimo. [Link] 2007 Turkcell gebruikt Valimo oplossing voor telebankieren (minstens 9 banken initieel, maar in oktober 2008 zijn dit al 19 banken). [Link] 2007 Telefonica sluit contract met Ericsson voor Mobile Signatures. Technologie komt van Valimo. [Link] 2007 Valimo partnerschap met Gemalto rond VMAC product [Link] 2007 Technologie provider EMT uit Estland introduceert Mobiil-ID [Link] 2008 Experian en Keynetics voeren in Frankrijk een pilot uit met Valimo technologie. [Link] 2008 Pilot Vodafone en Banco Sabadell. [Link] 5 De SmartTrust oplossing wordt ook genoemd in [15], waarin een alternatieve manier om nationale identiteitskaarten te gebruiken wordt voorgesteld. TS MOBILE PKI 5
2009 Oberthur neemt de VMAC applet op in Oberthur s SIM portfolio. [Link] 2009 Samenwerking Telenor en Valimo. [Link] 2009 Samenwerking LatTelecom en Valimo. [Link] 2009 Overheidsinitiatief Oostenrijk mobiele handtekeningen in Q4. [Link] Tabel 1: Aankondigingen van Mobile PKI pilots en dergelijke. Een gedegen marktanalyse 6 valt buiten de scope van dit rapport, maar een aantal zaken valt op bij bestudering van de tabel. De eerste pilots vinden plaats in 2001, nog voor de ETSI standaarden gedraft zijn. Wel zijn er rond die tijd al Common Criteria protectieprofielen voor verschillende vormen van signature technologie. Daarna zijn er een aantal pilots met SIM kaart leveranciers en mobiele operators (samen met andere technische partijen zoals CA s, integrators). In een aantal landen hebben kleinschalige pilots intussen plaats gemaakt voor grote pilots die zich op de consumentenmarkt richten. De laatste paar jaar wordt Mobile PKI ook echt uitgerold, vooral in Scandinavië 7, de Baltische staten 8 en Turkije. Mobiele operators spelen steeds een belangrijke rol. Soms speelt ook de overheid een rol, waar het gaat om zogenaamde citizen-to-government (C2G) transacties die via Mobile PKI gefaciliteerd worden. De grote SIM kaart leveranciers (Gemalto, Oberthur, Giesecke & Devrient) werken allemaal samen met Valimo voor het aanbieden van Mobile PKI. 2.2 Standaarden 2.2.1 Smartcard standaarden Een sleutelpositie in Mobile PKI wordt ingenomen door een smartcard: de SIM. Alle SIM kaarten voldoen aan de ISO 7816-4 standaard [13]. Sommige SIM kaarten zijn Java Card [14] kaarten wat vooral personalisatie voor de mobiele operator makkelijker maakt. Het managen van applicaties op zulke Java Card kaarten is beschreven in Global Platform [12]. ISO 7816-1, 2, 3, 4, : Deze ISO standaarden (zie [13]) beschrijven smartcards. Beginnend op zeer laag niveau (de dimensies van een smartcard, de plaats van de contact chip, de betekenis van contactjes, hoe vaak mag de plastic kaart mag buigen voordat hij breekt), via het transport protocol (zogenaamde Transport Protocol Data Units: TPDU s), naar deel 4 waarin Application Protocol Data Units beschreven worden. Een smartcard die aan ISO 7816-4 voldoet kan overweg met gestandaardiseerde commando s (bijvoorbeeld navigatie door een bestandssysteem zoals dat ook op een SIM kaart zit). Lagen hoger in de ISO 7816 stack van standaarden betreffen inter-industrie applicatie functionaliteit. Bijvoorbeeld, ISO 7816-8 en 15 beschrijven samen hoe een PKI token geïmplementeerd zou kunnen worden met hulp van de lagere ISO 7816 lagen (standaard commando s voor authenticatie, signatures, resp. bestandssysteem voor uitlezen certificaten, en overlappen met de PKCS standaarden, hieronder beschreven). De ETSI standaarden voor Mobile PKI (ook hieronder beschreven) maken hier echter niet noodzakelijk gebruik van. 6 De presentatie van Bill Nagel van Forrester Research op RSAcon 08 geeft aan dat het om een niet-triviale analyse gaat. Zie https://365.rsaconference.com/docs/doc-1172. 7 Valimo Wireless Ltd is een Fins bedrijf. 8 Zie de website van het Baltische WPKI forum http://wpki.eu. 6 NOVAY
Java Card: Java Card (zie [14]) is een Java variant (dus een defacto Sun standaard ) voor programmeerbare smartcards. De taal is veel beperkter dan standaard Java, zowel in syntax features als in API. Java Card biedt een multiapplication platform (meerdere zogenaamde applets op een kaart, waarvan er overigens altijd maar een actief is). Een aantal features van Java Card vindt men juist niet in standaard Java, vooral op het gebied van beveiliging en het geheugenmodel. Java Card biedt een appletprogrammeur de mogelijkheid om de cryptografische API te gebruiken, maar of dit ook hardwarematig wordt ondersteund hangt van de specifieke smartcard af. Global Platform: De Java Card standaard zegt niets over applicatiebeheer (bijvoorbeeld het laden van nieuwe applicaties). Global Platform (GP, voorheen Visa Open Platform, zie [12]) repareert dit. GP is in principe onafhankelijk van Javacard (de standaard praat over applicaties, niet over Java Card applets), maar in de praktijk kan GP gezien worden als Java Card applicatiemanagement. Daarnaast biedt GP ook functionaliteit aan applets waardoor deze bepaalde (security gerelateerde) taken over kunnen laten aan het platform. Denk hierbij aan het opzetten van een end-to-end beveiligde verbinding met de terminal (of achterliggende systemen). Een Java Card SIM zal doorgaans voldoen aan GP. 2.2.2 SIM kaart standaarden De SIM kaart is eigendom van de mobiele operator maar bevindt zich in het toestel van de client. De SIM is veilig in de zin dat gegevens door de mobiele operator op de SIM opgeslagen kunnen worden waarbij de mobiele operator de toegang tot deze gegevens kan beperken (zowel de gebruiker als potentieel kwaadaardige software geïnstalleerd op de mobiele telefoon van de gebruiker kunnen niet bij deze gegevens komen). GSM SIM kaarten houden zich noodzakelijkerwijs aan standaarden. Immers, een SIM kaart moet in elk GSM toestel kunnen werken. De specifieke functionaliteit van GSM SIM kaarten is beschreven in ETSI standaarden. De originele ETSI standaard, GSM 11.11, maakt het mogelijk voor de operator om bestanden op de SIM te plaatsen die door het toestel bewerkt kunnen worden en biedt de mogelijkheid voor het toestel om zich op het netwerk richting operator te authenticeren. Nieuwere (Java Card) SIM kaarten kunnen ook zogenaamde SIM Toolkit applicaties bevatten. ETSI: SIM (GSM 11.11): Deze standaard (zie [5]) beschrijft het authenticatiemechanisme dat door de SIM gebruikt wordt om de mobiele telefoon toegang te verlenen tot het netwerk. De SIM gebruikt hiervoor een symmetrische sleutel die niet uitgelezen kan worden. Daarnaast beschrijft GSM 11.11 een eenvoudig, statisch ISO 7816 bestandssysteem (de standaard schrijft voor welke bestanden aanwezig zijn). Toegang tot bestanden kan op verschillende manieren beperkt worden (bijvoorbeeld alleen leesbaar nadat gebruiker PIN heeft ingegeven, of alleen leesbaar door de Mobiele Operator (MO) na authenticatie). In dit bestandssysteem kan de operator eigenschappen van de SIM vastleggen die door het GSM toestel gelezen en verwerkt kunnen worden. Bepaalde bestanden zijn specifiek voor de gebruiker bedoeld (denk aan een telefoonboek). ETSI: SIM Application Toolkit (GSM 11.14): Deze standaard (zie [6]) definieert een raamwerk bovenop Java Card voor zogenaamde SIM Toolkit applets. Deze Java Card applets bestaan onafhankelijk van het GSM 11.11 bestandssysteem (waardoor oudere mobiele telefoons de applets op een GSM 11.14 SIM zullen negeren). Op nieuwere handsets zullen applets regelmatig gepolld worden door de handset waardoor een SIM Toolkit applet (1) GUI menu s kan toevoegen en TS MOBILE PKI 7
(2) kan reageren op events, zoals het binnenkomen van bepaalde SMS berichten of selectie van menu items door de gebruiker. De SIM toolkit applets worden beheerd via Global Platform waarbij ook expliciet management over-the-air (OTA) door de mobiele operator is toegestaan. De meeste mobiele toestellen plaatsen de door SIM Toolkit applets gegenereerde menu s in een Extra s menu. Voor het gebruiksgemak zijn er drie grote voordelen: Ten eerste, de MO kan op afstand applicatiebeheer doen (nieuwe versies installeren, etc.), ten tweede kunnen SIM applicaties reageren op berichten uit het netwerk zonder dat de gebruiker hiermee lastig gevallen wordt. Ten derde, kan een SIM applicatie de GUI van het toestel gebruiken en heeft zo n applicatie voorrang op applicaties die op niet op de SIM staan (bijvoorbeeld MIDlets 9 ). Na het GSM tijdperk (de zogenaamde 2 e generatie mobiele telefoons) leven we ten tijde van het schrijven van dit rapport in het UMTS tijdperk (de zogenaamde 3 e generatie mobiele telefoons). Voor zowel GSM 11.11 als voor GSM 11.14 bestaan UMTS equivalenten gepubliceerd door 3GPP die respectievelijk de USIM en de USAT beschrijven. Onduidelijk is welk percentage van SIM kaarten dat in gebruik is gebruik kan maken van SIM toolkit applicaties ten behoeve van Mobile PKI. Hoewel het overgrote deel van uitgegeven SIM kaarten SIM application toolkit ondersteunen, zullen niet alle SIM kaarten over hardwareondersteuning voor cryptografie beschikken. 2.2.3 PKI standaarden Los van de smartcard en mobiele telefonie standaarden is veel van de technologie rond authenticatie en het zetten van elektronische handtekeningen gestandaardiseerd. Zowel (sterke) authenticatie als (geavanceerde) elektronische handtekeningen vereisen cryptografische bewerkingen en dus sleutelbeheer. Om sleutelbeheer beheersbaar te maken is het gebruik van Public Key cryptografie onvermijdelijk. Dit maakt het inrichten van een hiërarchische infrastructuur voor sleutelbeheer (een zogenaamde PKI) mogelijk. Het beschrijven van public key cryptografie valt buiten de scope van dit rapport. Defacto wordt bij het gebruik van public key cryptografie eigenlijk altijd gebruik gemaakt van X.509 certificaten, zoals gestandaardiseerd door de ITU-T en de Public Key Cryptography Standardaarden (PKCS) van RSA Security. Omdat de omgeving aan de client-kant niet altijd vertrouwd kan worden - zowel de gebruiker als software op het platform van de gebruiker kunnen kwaadwillend zijn - worden soms zogenaamde PKI tokens gebruikt. Dit zijn apparaten waarmee cryptografische bewerkingen kunnen worden uitgevoerd ten behoeve van authenticatie en digitale ondertekening. Een PKI token zal beschikken over een privé sleutel in beschermd geheugen (niet uitleesbaar, maar wel te gebruiken in transacties) en over certificaten waarin de identiteit van de gebruiker gekoppeld wordt aan een publieke sleutel. De certificaten zijn weer getekend door een Certificate Authority (CA) en de handtekening kan door een ieder gecontroleerd worden die de beschikking heeft over het root certificaat van de betreffende CA. Om te voorkomen dat een gestolen PKI token door onbevoegden gebruikt wordt, is meestal een PIN code vereist voordat cryptografische bewerkingen kunnen worden uitgevoerd met het token. 9 MIDlets zijn op de telefoon (dus niet op de SIM) geïnstalleerde Java applicaties die voldoen aan de Java ME specificatie (zie http://java.sun.com/javame/index.jsp). 8 NOVAY
Een op PKI gebaseerde oplossing voor ondertekenen kan ook gebruikt worden voor authenticatie. Door aan de server kant een bericht te genereren (dat niet herhaald zal worden), dit te laten ondertekenen aan de client kant en de resulterende handtekening samen met het publieke sleutelcertificaat op te laten sturen naar de server kant, kan een server controleren dat een client beschikt over de bij het certificaat horende privé sleutel (en dus over een PKI token dat aan die client is uitgedeeld). Een overzicht van de PKCS standaarden van RSA Security: PKCS #1 Public Key cryptography (RSA). PKCS #6 Certificaten (is vervallen en vervangen door X.509 versie 3). PKCS #7 Cryptographic message syntax. Beschrijft hoe het resultaat van een handtekening (zogenaamde signed data ) eruit ziet. PKCS #9 Selected attributes. Beschrijft aspecten van inhoud van signed data structuur. PKCS #11 Crypto tokens. Werking van PKI tokens ten behoeve van koppelvlak met client software op PC. PKCS #15 Crypto token information format. De inhoud van het token. Met name certificaten, selectie van sleutels indien een token meerdere privé sleutels heeft, enz. Opgemerkt dient te worden dat Mobile PKI oplossingen in eerste instantie geen gebruik maken van PKCS #11 en hoger. Het door Mobile PKI geimplementeerde token heeft namelijk geen directe interactie met de client kant (de PC van de gebruiker). 2.2.4 Elektronische handtekening standaarden Verschillende landen, waaronder ook Nederland 10, hebben wetgeving ingevoerd gebaseerd op een Europese richtlijn uit 1999 [2]. Deze richtlijn definieert in artikel 2 een aantal eisen waaraan een zogenaamde geavanceerde elektronische handtekening moet voldoen. Van een geavanceerde elektronische handtekening wordt geëist dat deze: aan de ondertekenaar gebonden is, gebruikt kan worden om de ondertekenaar te identificeren, alleen door de ondertekenaar geplaatst kan worden (met middelen waartoe de ondertekenaar exclusieve toegang heeft), gebonden is aan de data die ondertekend is (zodat deze data niet veranderd kan worden zonder detectie) Daarnaast definieert de richtlijn de eisen waaraan een zogenaamd gekwalificeerd certificaat moet voldoen. Dit zijn niet zozeer eisen aan de gebruikte technologie (X.509 is de de-facto standaard) maar vooral eisen aan de CA. De eisen gaan over attributen die ingebed zijn in het certificaat, zoals naam en locatie van de CA, het doel van het certificaat (ondertekenen, authenticatie, versleuteling, ), geldigheidsdata, etc. Elektronische handtekeningen worden, volgens de Mobile PKI standaarden van ETSI, daarnaast ook geclassificeerd binnen het European Electronic Signature Standardization Initiative (EESSI) van de International Communications and Technology Standards Board (ICTSB). Deze maakt onderscheid tussen een algemene elektronische 10 Zie http://www.e-overheid.nl/e-overheid-2.0/live/binaries/e-overheid/juridisch/wetelektronische-handtekening.pdf. TS MOBILE PKI 9
handtekening (die niet automatische verwerkt kan worden maar wel een juridische status heeft), een gekwalificeerde elektronische handtekening (die als gevolg van zijn technische implementatie minstens dezelfde juridische status zou moeten hebben als een handgeschreven handtekening) en een uitgebreide ( enhanced ) elektronische handtekening met dezelfde kenmerken als de geavanceerde elektronische handtekening uit de Europese richtlijn. Het lijkt erop dat EESSI overgegaan is in ETSI-ESI 11 en dat de terminologie uit de Europese richtlijn leidend is. In het Common Criteria protectieprofiel voor Secure Signature Creation Devices (beschreven in [3]) wordt overigens ook gesproken over zowel qualified certificaten als over qualified electronic signatures. Mobile PKI oplossingen hebben de ambitie om geavanceerde handtekening devices te implementeren waarmee het mogelijk is om handtekeningen te produceren met gekwalificeerde certificaten. 2.2.5 Mobile Signature Service (MSS) Omdat Mobile PKI uitgebreid beschreven wordt in Hoofdstuk 3 beperkt deze paragraaf zich tot een opsomming van relevante standaarden met een korte beschrijving. ETSI 102 203 Business functional requirements. Bevat een niet-technische introductie tot Mobile PKI waarin de concepten uit de andere ETSI documenten alvast uitgelegd worden. Beschrijft een groot aantal applicatie scenario s. Daarnaast ook verantwoording over ontwerpcriteria en mogelijke invulling van verschillende rollen. ETSI 102 204 Web service interface. Beschrijft de syntax van het berichtenverkeer tussen MSSP (de server) en Application Providers (AP s). Dit is de meest concrete van de ETSI documenten die Mobile PKI beschrijven. ETSI 102 206 Security framework. Bevat een raamwerk van beveiligingseisen waaraan een Mobile PKI oplossing moet voldoen. Helaas technology agnostic, dus abstract. De eisen vormen de basis van Hoofdstuk 4. ETSI 102 207 Roaming. De ETSI standaarden voor Mobile PKI voorzien in roaming op transactieniveau waarbij transacties via een pad van aaneengeschakelde MSSP s doorgegeven worden. Dit is niet van toepassing op de onderhavige pilot en dit document is daarom genegeerd. WPKI document [16]. Dit document is recenter dan de ETSI standaarden. Het document claimt dat de afhankelijkheden met de ETSI standaarden minimaal zijn. Concreter dan ETSI standaarden. Status onduidelijk (geen standaard). 11 Zie http://portal.etsi.org/esi/el-sign.asp. 10 NOVAY
Common Criteria protection profiles voor SSCD s Software die gebruikt wordt voor beveiligingsdoeleinden kan op een onafhankelijke manier gecertificeerd worden zodat leveranciers van dit soort producten op kwaliteit vergeleken kunnen worden. Een standaard voor de certificering is de zogenaamde Common Criteria (CC). Onderdeel van een CC certificering is de keuze voor een zogenaamd protection profile (PP). Voor apparaten die gebruikt worden voor het zetten van digitale handtekeningen (zogenaamde Secure Signature Creation Devices, SSCD s) bestaat zo n PP (zie [3]). De PP voor SSCD beschrijft op systematische wijze de eisen waaraan een SSCD moet voldoen. Bovendien wordt ook de omgeving waarin een SSCD gebruikt gaat worden beschreven. De ETSI standaarden die Mobile PKI beschrijven zijn technology agnostic, en bevatten dus weinig details (met uitzondering van de SOAP specificatie voor het verkeer tussen AP en MSSP). Wel bevatten ze veel eisen, waaronder veel security eisen. Opvallend is dat begrippen als SIM kaart en mobiele telefoon nauwelijks als zodanig genoemd worden: er wordt een onderscheid gemaakt tussen het kale Signature Creation Device (in de praktijk de SIM Toolkit applicatie op de SIM kaart) en de Signature Creation Application (in de praktijk de mobiele telefoon). 2.3 Conclusie Mobile PKI technologie is gebaseerd op basis-ingredienten die al sinds 2001 bestaan, technisch volwassen zijn en gestandaardiseerd zijn. Wel vereist Mobile PKI redelijk geavanceerde (en mogelijk dus duurdere) SIM s. Wellicht was er tot nu toe gebrek aan business opportunity bij mobiele operators om zulke SIM s in te voeren. De vraag onder welke voorwaarden Mobile PKI grootschalig ingevoerd kan worden in Nederland valt echter buiten de scope van dit rapport. Gebruik van open standaarden zorgt ervoor dat een identity provider of application provider zoals SURFnet relatief eenvoudig in kan stappen en de oplossing kan integreren met de eigen systemen. De laatste jaren (2007 2009) lijkt er wat meer adoptie van Mobile PKI, vooral rond de oplossing van Valimo. Een groot aantal pilots is intussen uitgevoerd, maar Mobile PKI wordt intussen ook al echt gebruikt bij het aanbieden van echte diensten door banken (bijvoorbeeld in Turkije, Scandinavië en de Baltische staten). De grote partijen die een rol spelen bij Mobile PKI, SIM kaart leveranciers en mobiele operators lijken partnerschappen aan te gaan om Mobile PKI aan de man te brengen. TS MOBILE PKI 11