Nederland is een Certificate Authority (CA) rijker. Uniq-ID is een volledig Nederlandse CA die gebruik maakt van Nederlandse encryptie software, Duitse encryptie hardware (hsm's) en Duitse software. Met een pki-certificaat wil de organisatie de infrastructuur van Europese organisaties beveiligen. Uniq-ID zegt absoluut veilig en niet kraakbaar te zijn.
Nederland is een CA rijker. UniQ-ID is een volledig Nederlandse CA met rekencentra en management in Nederland. Zij leveren public key infrastructure (pki)-certificaten. Dit omdat deze volgens de organisatie nog nooit gekraakt zijn. Uniq-ID richt zich met de certificaten op Europese organisaties, maar organisaties buiten de EU worden niet uitgesloten. Ze willen de infrastructuur van organisaties beveiligen.
Veiligheid voorop
In 2011 stonden de media vol met de Diginotar-hack. Hierbij is het systeem gekraakt. Dit is voor Uniq-ID de reden geweest om het toezicht op de strikte veiligheidsmaatregelen te verscherpen. Frans Bolk, algemeen directeur van Uniq-ID, stelt dat pki-certificaten absoluut veilig en niet kraakbaar zijn. Hiervoor maken ze gebruik van een gescheiden omgeving die beveiligd is met encryptie. Wanneer de CA een certificaat uitreikt, moeten twee niveaus toestemming geven. Dit gebeurt door middel van kaarten. Eén kaart genereert een sleutelpaar, waarvan de pincode onbekend is. Deze pincode wordt gegenereerd en opgesplitst op twee kaarten. De combinatie van deze twee kaarten opent de derde kaart, waarmee een certificaat kan worden uitgereikt. Daarnaast maakt Uniq-ID gebruik van (iso) standaarden om de veiligheid te waarborgen.
De Nederlandse CA is door een auditor beoordeeld ter controle of hij zich aan alle regels houdt. Denk hierbij aan zowel privacywetgeving als Europese en Nederlandse wetgeving. Uniq-ID is onlangs geaccrediteerd door de British standard institute (Bsi). Het onderzoek van twee tot drie maanden is inmiddels afgerond en de organisatie wacht nu op de officiële papieren. Met deze papieren kan Uniq-ID de markt betreden. Met de certificaten wil Uniq-ID Europese organisaties beveiligen. Ze richten zich op grote softwareleveranciers zoals Microsoft, Google, Oracle en SAP. Deze partijen kunnen de CA zowel herkennen als erkennen.
Identity access management
Naast de certificaten levert Uniq-ID ook identity access management (iam). Hiermee helpen ze organisaties om een veiligheidsbeleid in te richten. Dit doen ze door middel van vier betrouwbaarheidsniveaus (levels of assurance). Per niveau is een toegangsbeleid geregeld. Zo mag een inkoper van niveau vier inkopen doen tot een hoger bedrag dan iemand van niveau één of twee. Met dit beleid vergroot Uniq-ID de veiligheid binnen een bedrijf.
Uniq-ID is volgens Bolk de enige volledig Nederlandse autoriteit op gebied van Certificate Authority. Dit houdt in dat ze gebruik maken van Nederlandse encryptie software. KPN en Quovadis reiken ook certificaten uit, maar maken geen gebruik Nederlandse software of die in handen zijn van andere Europese landen.
Diginotar-hack
Voorheen was er al één Nederlandse Certificate Authority, namelijk Diginotar. Begin 2011 werd de authenticatieleverancier overgenomen door de Amerikaanse Vasco Data Security. Een paar maanden later, in de zomer van 2011, kwam Diginotar in de problemen toen het systeem werd gehackt.
Door de Diginotar-hack waren gebruikers niet meer zeker of ze zich op de echte website bevonden. De hack was gericht op Nederlandse overheidswebsites, waaronder DigiD, RDW en de Belastingdienst. Toen de toenmalige minister Donner van Binnenlandse Zaken en Koninkrijksrelaties het vertrouwen in de onderneming opzegde, was het einde verhaal. Diginotar werd op 20 september 2011 door de Haarlemse rechtbank failliet verklaard.
“Uniq-ID is thans de enige Nederlandse autoriteit op gebied van Certificate Authority”
Dus KPN en Quovadis hebben geen autoriteit en expertise? Ik vind het nogal een vreemd statement. Mede omdat Digidentity.eu al een aantal jaar actief is. Ze zijn ook gekeurd door BSI, volgen ook het ‘levels of assurance’ model en zijn een Nederlands bedrijf.
“Uniq-ID zegt absoluut veilig en niet kraakbaar te zijn.”
Altijd gevaarlijk om zoiets (over jezelf) te zeggen. Zo niet ronduit onverstandig.
Maar _wie_ van Uniq-ID zegt dat over zijn bedrijf? De directeur?
“…(pki)-certificaten. Dit omdat deze volgens de organisatie nog nooit gekraakt zijn.”
Zeker weten? Wiki Diginotar:
“..het standpunt van de overheid dat de PKIoverheid-certificaten veilig waren, werd ingetrokken”
Het lijkt erop dat de site al gehacked is? Ze zijn in ieder geval offline.
wel jammer dat ze hun website dan achter een .COM domein hebben zitten…
En als men zo trots is, waarom dan niet gelijk publiceren welke Nederlandse PKI Software, en welke Duitse HSM’s men gebruikt ? Dan kan een ieder ook controleren of deze spullen wel gecertificeerd zijn.
Trouwens, uitspraken doen als ‘Absoluut veilig’ en ‘niet kraakbaar’ moet men wel een beetje voorzichtig zijn. Tot nu toe is er niet een OS dat ‘niet kraakbaar’ is, en een PKI draait toch op een OS….
Werkelijk ongelooflijk dat Computable zich voor het karretje van deze SnakeOil company heeft laten spannen. Werkelijk alles wat er mis kan zijn met een bedrijf in online security, en al helemaal met een CA, is hier ook daadwerkelijk mis.
Een paar hoogtepunten:
– De CA zit inderdaad op het .com (www.uniq-id.com); wanneer je prat gaat op EU-based soft- en hardware is het nogal dom om je DNS afhankelijk te maken van een land dat bekend staat om backdooring en crypto-breken.
– Het certificaat heeft een CN=localhost, crypto is ingesteld om antieke, zeer zwakke algoritmes te gebruiken, fallback, geen SANs etc. Dat het self-signed is, is natuurlijk wel weer logisch voor een CA (tenslotte de root).
– De content op de homepage zelf is niet versleuteld
– De content op de versleutelde page is een Joomla default page; Joomla is bepaald niet vrij van problemen.
Technisch kunnen we nog even doorgaan, maar statements als ‘onkraakbaar’ en ‘absoluut veilig’ zijn net zulke grote onzin. Dat ieder bedrijf een opstartfase doormaakt is begrijpelijk, maar ETSI gecertificeerd zijn met een hobbysite, sinds 22 mei 2015?
Kom op.
Kijk eens naar de bronkode van de pagina, bagger.
Geen doctype, geen html-tag etc. etc. etc. extreem slordig voor een bedrijf dat zich als CA wil presenteren.
Gevalletje Phishing?
Ik zou er niet in trappen.
@twijfelaar,
Het certificaat heeft een CN=localhost, crypto is ingesteld om antieke, zeer zwakke algoritmes te gebruiken, fallback, geen SANs etc. Dat het self-signed is, is natuurlijk wel weer logisch voor een CA (tenslotte de root).
Dit is alleen het certificaat van de web page https://www.uniq-id.com. Maar je hebt gelijk dat een beetje zichzelf respecterende club ook deze URL al achter een mooi, eigen PKI Certificaat had gezet. Nu lijkt het op klungelig, en dat wekt niet veel vertrouwen voor de toekomst
Beste twijfelaar, Jan en Sebas,
de website die jullie afkraken staat helemaal buiten en los van de CA omgeving. Ik ben het overigens wel met jullie eens dat de website beter en anders kan.(en moet)
Nog even wat gesnuffeld. Het domein (uniq-id.com) is geregistreerd bij ‘mijninternetoplossing.nl’. De Registrar is 2bsupport.nl, een Hosting Provider. http://www.uniq-id.com wordt gehost bij LeaseWeb (althans, op een aan Leasweb toebehorend IP Adres). Bron: http://www.tcpiputils.com/browse/ip-address/109.70.3.102
Op dezelfde server staan ook:
aphpeugeot.nl, oudleiden.nl, aph-peugeot.nl, stravoc.nl, ruudvisser.com, koningsdagzierikzee.nl, haruryu.com, jeroenbruin.info, dlip.nl en nog wel meer.
Eigenaar en CEO: Frans Bolk. Die is dan weer eigenaar van BusineSSense (Holding), die ook QPAzz bestuurt. Dat meneer Frans Bolk het niet altijd bij het rechte eind heeft vind je hier: http://uniq-id.1sand0s.nl/
QPazz gaat er erg prat op een Biometric System voor de NAVO te hebben geleverd, maar het betreft hier uitsluitend het NAVO-terrein in Brunssum, en het betrof hier een proefproject met biometrische controle, niet een operationele implementatie.
Ik word nou nog niet echt opgewonden van deze club.
triviavastgoedonderhoud.nl