Veilige webdiensten nog bijzaak

Huidige beveiligingstechnieken zijn niet waterdicht en voor webdiensten onwerkbaar. Dit zegt de Amerikaanse specialist in beveiligingssoftware RSA Security. Het bedrijf ziet brood in het ontwikkelen van beveiligingsstandaarden voor via internet aanroepbare applicaties.

Ssl-patent De Amerikaanse uitvinder Leon Stambler heeft Verisign en RSA aangeklaagd wegens inbreuk op zijn geclaimde patenten voor ssl. Volgens de aanklager heeft hij eerder van Certicom en Openwave vierhonderdduizend dollar aan gebruikersrechten voor ssl ontvangen. In 1998 sleepte Stambler Diebold voor de rechter voor zijn vermeende octrooi op het gebruik van pincodes in bankautomaten.

Andrew Nash, standaardenspecialist bij RSA Security, ziet nu vooral ssl gebruikt worden voor beveiliging van webdiensten.

Andrew Nash, standaardenspecialist bij RSA Technologies, constateert dat de meeste bedrijven tegenwoordig transacties over internet beveiligen met ssl-technologie (secure socket layer). "Ik begrijp waarom deze techniek nu gebruikt wordt, ook al is deze niet waterdicht. Het is ingebakken in alle browsers en daarmee het meest toegankelijk." Volgens Nash gaat ssl de mist in met onweerlegbaarheid. "Je weet nooit honderd procent zeker of een transactie verwerkt is in het ontvangende systeem."
Nash noemt het begrijpelijk dat beveiliging tot nu toe bij de ontwikkeling van webdiensten minder aandacht heeft gekregen. "Beveiliging van ict-systemen komt meestal pas op het laatste moment. De architectuur van het systeem zelf kost al genoeg hoofdbrekens." Toch ziet hij verbetering door de komst van nieuwe standaarden als Saml (security assertion markup language) waar het door Sun gestarte Liberty Alliance op gebaseerd is. Door de hele ict-industrie ondersteunde standaarden voor webdiensten als Soap (simple object access protocol) en WS-Interoperability sluiten weer op deze standaard aan, waardoor de beveiliging van webdiensten op korte termijn beter uitgerust zal zijn, verwacht Nash.

Terugkoppeling

Naast de onweerlegbaarheid ziet Nash ssl ook mank gaan doordat het webdiensten slecht schaalbaar maakt. De beveiligingsinformatie is bij ssl gekoppeld aan het internetadres en maakt geen integraal onderdeel uit van de transactie zelf. "Met ssl stop je een datapakketje in een pijp met informatie over het adres waar het naar toe moet. Meer niet. Het vereist terugkoppeling in het netwerk om te controleren of uitvoering van de transactie bijvoorbeeld is toegestaan." Volgens Nash is bij nieuwe op XML geënte standaarden als Saml beveiliging een integraal onderdeel van de transactie, en hoeft deze niet meer in de context van het netwerk gecontroleerd te worden. Dat maakt het schaalbaarder.
Daarnaast zijn gebruikers van webdiensten gediend bij eenmalige controle van hun identiteit. Dit is volgens Nash een absolute voorwaarde om webdiensten werkbaar te krijgen. In een transactie moet informatie verwerkt zitten of deze door een betrouwbare bron is uitgevoerd. Bij webdiensten moet deze informatie over websites van meerdere bedrijven beschikbaar zijn. Dat vraagt volgens hem om een gedistribueerd beheer van gebruikersidentiteiten. Op pki-gebaseerde (public key infrastructure) oplossingen zijn te complex en te weinig flexibel om aan deze vraag te kunnen voldoen.

 
Sytse van der Schaaf