Certificaten: Aanmaak en beheer

Certificaten: Aanmaak en beheer 11 juni 2013 Bart Callewaert

Wat is een certificaat?

• Een bewijsstuk: – dat de echtheid van een voorwerp garandeert – dat de betrouwbaarheid van een partij garandeert

• Gebaseerd op vertrouwensrelaties – We vertrouwen eigenlijk de partij die het certificaat heeft uitgegeven

18-6-2013

Bisdomplein 3

Certificatenbeheer

9000 GENT

Tel.: 09 264 07 01

Fax: 09 264 07 02

E-mail: [email protected]

Wat is een digitaal certificaat?

• Is het digitaal equivalent van een papieren •

certificaat Kan gebruikt worden om:

– de authenticiteit van een digitaal document te garanderen (niet-weerlegbare ondertekening) – een partij “sterk” te authentificeren (authenticatieondertekening) – een digitaal document te versleutelen

18-6-2013

Certificatenbeheer

Delen van een certificaat (1)

• Het certificaat – Bevat: * Informatie over de eigenaar van het certificaat - Naam/Locatie/Rijksregisternummer/….

* Geldigheidsduur van het certificaat * Bijhorende publieke sleutel * Informatie over de uitgever van het certificaat - Handtekening van het certificaat door de CA

– Beoogde doeleinden betreffende het gebruik van het certificaat: * Documentsigning/Codesigning/ServerAuthentication /ClientAuthentication

18-6-2013

Bisdomplein 3

Certificatenbeheer

9000 GENT

Tel.: 09 264 07 01

Fax: 09 264 07 02

E-mail: [email protected]

Delen van een certificaat (2).

• De private sleutel – Wordt aangemaakt door de aanvrager/eigenaar van het certificaat – Mag *nooit* gedeeld worden met derden – Wordt gebruikt om: * Documenten te ondertekenen * berichten (documenten) ondertekend met de bijhorende publieke sleutel te controleren/decoderen

– Heeft een sleutelbreedte: Hoe groter, hoe moeilijker te kraken. (Momenteel gangbaar = 2048bit)

18-6-2013

Certificatenbeheer

Delen van een certificaat (3).

• De publieke sleutel – Mag vrij verdeeld worden – Wordt gebruikt om: * documenten te versleutelen * documenten ondertekend met de private sleutel te controleren - Er is zekerheid betreffende de afzender. - Het document is ongewijzigd.

18-6-2013

Bisdomplein 3

Certificatenbeheer

9000 GENT

Tel.: 09 264 07 01

Fax: 09 264 07 02

E-mail: [email protected]

Geldigheid van een certificaat. • Beperkte geldigheidsduur – Ondertekenen/versleutelen mag enkel binnen deze periode – Controle kan altijd. Tijdstip van handtekening moet afgetoetst worden

• Intrekking van een certificaat – Gebeurt door uitgever: * Meestal op vraag van de eigenaar

– Na diefstal/verlies private sleutel – Bij ongebruik.

• Controle – Via gepubliceerde revocatielijsten (crl) – Via online services (ocsp)

18-6-2013

Certificatenbeheer

CA-issued versus Self-signed certificaten

• CA-issued (Certificate Authority) – – – – – –

Grote betrouwbaarheid Kortere levensduur Duurt lang om te leveren Verschillende administratieve procedures Kost veel Vb CA :Verisign, GlobalSign

• Self-signed – – – – –

Certificaat door zichzelf ondertekend i.p.v. door een CA Enkel vertrouwen binnen eigen gecontroleerd domein Kan langere levensduur hebben indien gewenst Direct beschikbaar Gratis aanmaak

18-6-2013

Bisdomplein 3

Onderwerp presentatie

9000 GENT

Tel.: 09 264 07 01

Fax: 09 264 07 02

E-mail: [email protected]

Certificaten Registratie- en Beheer tool

Waarom certificaten gebruiken?

• Evolutie naar gedistribueerde architectuur over • • •

het internet Noodzaak aan identificatie en authenticatie van afnemers Noodzaak om de gevoelige gegevens tijdens de transfer te versleutelen Bij gebruik centrale Cevi-applicaties – Selfsigned voor machine->machine applicaties – Eid of selfsigned voor persoon->machine applicaties

18-6-2013

Bisdomplein 3

Onderwerp presentatie

9000 GENT

Tel.: 09 264 07 01

Fax: 09 264 07 02

E-mail: [email protected]

Waarom de noodzaak aan een tool? • Moeilijke materie voor leken

• Registratie van certificaten bij de communicerende partijen nodig. – Verschillende variaties mogelijk: * In Windows-stores of Keystores (Java/Apache/Oracle Weblogic/…)

• Toegankelijk maken van private sleutels • Er is onderhoud: beperkte levensduur cert’s • Duidelijke monitoring nodig om vervallen certificaten te detecteren

18-6-2013

Onderwerp presentatie

Waar is configuratie nodig?

• Bij de klant: – Op servers: * Client-certificaten of CSR aanmaken * Server-certificaten of CSR aanmaken * Certificaten registreren bij Cevi voor verbindingen naar Cevi

– Op PC’s: * Client-certificaten of CSR aanmaken * Certificaten registreren bij Cevi. - Alle certificaten. Selfsigned als aternatief voor eID

– In Cevi : * Zie slide 18-6-2013

Bisdomplein 3

Onderwerp presentatie

9000 GENT

Tel.: 09 264 07 01

Fax: 09 264 07 02

E-mail: [email protected]

Certificaten Registratie en beheertool

18-6-2013

Bisdomplein 3

Onderwerp presentatie

9000 GENT

Tel.: 09 264 07 01

Fax: 09 264 07 02

E-mail: [email protected]