Het niet beschikbaar zijn van online diensten kan leiden tot grote schade. Steeds meer online diensten maken gebruik van digitale sleutels (PKI) voor het betrouwbaar uitwisselen van gegevens via een website of geautomatiseerde webservices. Veel softwareproducten gaan steeds strikter om met beveiligingscontroles van digitale sleutels. Doordat deze beveiligingscontroles tegenwoordig standaard aanstaan, worden direct beveiligingswaarschuwingen getoond en is bijvoorbeeld een website direct onbereikbaar. Het is belangrijk om de rol voor certificaatbeheer, de PKI-officer, goed te beleggen binnen de organisatie.
In het verleden moest de eindgebruiker de aanvullende beveiligingscontroles handmatig aanzetten, in bijvoorbeeld de nieuwste browsers, Internet Explorer 6 en 7, Firefox 3, Opera en Chrome, staan deze strikte controles standaard aan. Deze browsers hebben al een gezamenlijk marktaandeel van 85 procent. Ook andere softwareproducten, zoals webservers, gaan steeds strikter om met deze instellingen.
Het gebruik van digitale sleutels zal in de toekomst toenemen door toepassingen als webservices security, documenten waarmerken, werkplektoegang, DNS-security en meer websites waar ssl verplicht zal zijn vanuit regelgeving.
Bij veel bedrijven is er geen eenduidig sleutelbeheer en vaak is onduidelijk bij wie deze verantwoordelijkheid ligt. Het is belangrijk om de rol voor sleutelbeheer, de PKI-officer, goed te beleggen binnen de organisatie. De taken van een PKI-officer:
* Centraal verzamelpunt voor het beheren van de verschillende identiteitverstrekkers. De digitale sleutels kunnen worden ingekocht bij verschillende (internationale) leveranciers als DigiNotar, GemNet CSP of Verisign. Ook is het mogelijk dat een organisatie zelf sleutels uitgeeft. Het is belangrijk om een totaaloverzicht te houden van de partijen die sleutels uitgeven. Het monitoren van bijvoorbeeld de online beschikbaarheid van deze leveranciers is cruciaal.
* Duidelijke kennis over welk type sleutel in een bepaald project noodzakelijk is. Digitale sleutels kunnen voor verschillende toepassingen gebruikt worden. Er bestaan verschillende type digitale sleutels en het is belangrijk dat de PKI-officer goed kan inschatten welke sleutel voor welke toepassing bruikbaar is. Verschillende afwegingen bij het bepalen van het type sleutel zijn ondermeer:
– Ssl, handtekening, codesigning, Windows-login.
– Interne CA of externe CA.
– Persoonlijke sleutel of servicessleutel.
– Gewenste vertrouwensniveau (PKIO, QC).
* Goed bewaken van de sleutellevensloop. De PKI-officer heeft een goed overzicht van de verschillende sleutels die gebruikt worden binnen de organisatie om de continuïteit van de toepassing te waarborgen:
– Verloopdatum van de sleutel.
– Sleutellengte (1024, 2048, 4096).
– Geblokkeerde certificaten.
– Back-upprocedure in geval van calamiteiten.
* Faciliteren van het aanvraagproces. Het aanvragen van een digitale sleutel kan een complex proces zijn. In sommige gevallen dient de vertegenwoordigingsbevoegde van de organisatie de aanvraag te ondertekenen. Door de PKI-officer te machtigen kan deze taak volledig aan de PKI-officer worden overgelaten. Ook dient de PKI-officer op de hoogte te zijn van de manier waarop sleutels aangemaakt worden. In de praktijk worden vaak de verkeerde sleutels bij de verkeerde aanvraag gevoegd.
* Aanspreekpunt in het geval van securitycalamiteiten rondom certificaten. In sommige gevallen kan er een incident met de sleutels optreden die erom vraagt om per direct actie te ondernemen. Voorbeelden van dergelijke incidenten in de afgelopen tijd zijn het 'MD5 hash collision' en het 'Debian bug ssl'. Informatie over deze twee incidenten is te vinden via Google en bovenstaande termen. Dit betekent dat per direct de betreffende sleutels getraceerd moeten worden en moeten worden vervangen.
* Centrale inkoop. De PKI-officer speelt een rol bij de inkoop van de digitale sleutels. Door een eenduidig overzicht worden ook kosten inzichtelijk en kunnen wellicht raamcontracten worden afgesloten.
In veel organisaties zijn de bovenstaande taken versnipperd belegd. De rol van de PKI-officer zou een goede plek hebben binnen de audit/quality-afdeling. Vaak zie je dat er ook een link is naar de centrale ict-afdeling, netwerkservices, inkoop of personeelszaken. De manier van inrichten verschilt per organisatie. Om de continuïteit van online dienstverlening te garanderen is het van belang om het sleutelbeheer goed te organiseren.
