Als consultant informatiebeveiling ben ik regelmatig betrokken bij pki-ontwerpen en -implementaties, schrijft Lex Borger. In ‘Wachtwoord wekt illusies’ (Computable, 16 april 2004) komen een aantal storende fouten voor. Het artikel draagt daardoor niet effectief bij aan een beter algemeen begrip voor het gebruik van pki.
Mijn kritiek omvat vijf hoofdpunten. Ten eerste is de beveiliging zoals beschreven veel complexer dan ‘het account aanmaken’ en ‘inloggen’. Kijk maar alleen al naar het aantal nodige woorden om het een en ander uit te leggen. De sterke punten van pki zijn wel goed aangegeven: interne fraude is moeilijker en de beveiliging is breder toepasbaar.
Ten tweede is het certificaat niet, zoals de auteur aangeeft, geheim. De privé-sleutel van het pki-sleutelpaar is de informatie die geheim moet blijven. Het certificaat mag overal naartoe gestuurd worden; het bevat de publieke sleutel en de daaraan gekoppelde identiteit. De privé-sleutel moet ook altijd en automatisch vercijferd opgeslagen worden. Daartoe dient gewoonlijk de pincode – hier ook neem ik aan, al is dit anders beschreven.
Ten derde is misbruik nog steeds op meerdere manieren mogelijk. Niet alleen onderschepping van de privé-sleutel met pincode is een risico, ook foutieve of frauduleuze registratie bij een arts of zelfs ‘hacking’ van de server van een arts zijn belangrijke risico’s.
Ten vierde gaat de arts privacygevoelige informatie opslaan: de kopie van het legitimatiebewijs. Dit heeft hij anders niet nodig en dat roept vragen op. Mag dit in het kader van de WBP (wet bescherming persoonsgegevens)? Wil de patiënt dit wel? Kan een arts legitimatiebewijzen wel goed toetsen – weet hij hoe een Ghanees paspoort eruit ziet? Is de arts verantwoordelijk voor fouten die hij hierbij maakt? Hoe is dat bepaald?
Ten vijfde vult de arts enkele belangrijke onderdelen van een pki in. Hij wordt ra (registratie autoriteit) én ca (certificatie autoriteit). Waarom zou een arts dat willen? Onder welk beleid valt hij bij deze uitvoering (certification policy)? Kan en wil een arts voor deze activiteiten een cps (certificate practice statement) opzetten en naleven? Hoe komt een arts aan de privé-sleutel waarmee zijn uitgegeven certificaten getekend worden? Hoe weet de patiënt dat de server van de arts voldoende beveiligd is?
Er is in het artikel vooral aandacht voor de techniek en niet voor de organisatie van de pki-beveiliging. In de technische informatie zitten feitelijke onjuistheden en onvolledigheden. Ik hoop die hierbij voldoende toegelicht te hebben om de lezer een beter beeld van de werking van zo’n pki en de vragen die nog open blijven staan te geven.< BR>
Lex Borger, Cissp, principal consultant information security
