Forum Standaardisatie
Samenvatting expertadvies DANE
Datum
12 februari 2014
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
Colofon
Projectnaam Versienummer Locatie Organisatie
Expertadvies DANE 1.0
Auteurs
Bart Gijsen Michael van Bekkum
Forum Standaardisatie Postbus 96810 2509 JE Den Haag
[email protected]
Pagina 2 van 10
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
Inhoud
Colofon ................................................................................................................... 2 Inhoud .................................................................................................................... 3 Managementsamenvatting ......................................................................... 4 1
2
3
Doelstelling expertadvies .................................................................... 6 1.1
Achtergrond ............................................................................................. 6
1.2
Proces ......................................................................................................... 6
1.3
Vervolg....................................................................................................... 7
1.4
Samenstelling expertgroep ................................................................ 7
1.5
Toelichting DANE ................................................................................... 8
1.6
Relatie met andere standaarden ..................................................... 8
Advies aan Forum en College ............................................................ 9 2.1
Conclusie ................................................................................................... 9
2.2
Adoptieactiviteiten................................................................................. 9
Referenties ................................................................................................. 10
Pagina 3 van 10
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
Managementsamenvatting
Wat is de conclusie van de expertgroep en de consultatie? De expertgroep adviseert de standaard DANE nog niet op te nemen op de lijst van ‘pas toe of leg uit’ . De expertgroep schat in dat: de huidige marktondersteuning voor de toepassing van DANE onvoldoende is. de toepassing van de standaard door andere partijen en binnen de publieke sector onvoldoende is. Er is nog te weinig praktijkervaring om te toetsen wat de impact en het effect is van de standaard. Als toepassingsgebied is vastgesteld: ”Het publiceren en verifiëren van certificaten ter beveiliging van internetverbindingen bij gebruik van DNSSEC”. En als werkingsgebied: “Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector.” Waar gaat het inhoudelijk over? Server-certificaten moeten de bezoeker van overheidswebsites vertrouwen bieden dat ze ook daadwerkelijk deze overheidssite bezoeken en niet een vervalste site. Nu wordt een internet verbinding meestal beveiligd door verificatie van deze (gepubliceerde) certificaten bij een Certificaat Service Provider. DANE1 is een standaard die het mogelijk maakt om certificaten voor het beveiligen van internet verbindingen op een alternatieve manier te publiceren en verifiëren, namelijk via het Domain Name System (DNS) van het internet. DANE is daarbij een uitbreiding op DNSSEC, dat al op de ‘pas-toe-of-leg-uit’ lijst staat. DANE zorgt dan ook voor een aanvulling op de gecentraliseerde PKI(overheid) infrastructuur, waarbij overheden als domeinnaam-houders voor hun server-certificaten niet meer uitsluitend afhankelijk zijn van echtheidsgaranties door CA’s. Hoe is het proces verlopen? Op 23 januari 2014 is een expertgroep met vertegenwoordigers uit het bedrijfsleven en de overheid bijeen gekomen om de standaarden TLS 1.2 en DANE te toetsen. Vooraf zijn de aanwezige experts en enkele anderen die niet aanwezig konden zijn, in de gelegenheid gesteld input aan te leveren. Op basis van deze input en de discussie tijdens de bijeenkomst is dit adviesrapport opgesteld.
Hoe scoort de standaard op de toetsingscriteria? Toegevoegde waarde Incidenten zoals die met Diginotar laten zien dat verbetering van het bestaande Certificaat Service Provider gebaseerde PKI systeem zeer 1 http://www.rfc-editor.org/rfc/rfc6698.txt Pagina 4 van 10
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
wenselijk is. De toegevoegde waarde van DANE is dat het enkele van deze beveiligingsrisico’s adresseert. Nu zijn overheidswebsites voor hun vertrouwelijkheid afhankelijk van extern beheerde en uitgegeven certificaten. Met DANE heeft een overheidsorganisatie als domein-houder de mogelijkheid om, in aanvulling op de PKI-infrastructuur, zelf een extra verificatie mogelijkheid te bieden via DNS. Open standaardisatieproces De standaard wordt beheerd door IETF2. Deze organisatie heeft goed gedocumenteerde en open beheerprocedures. Er is geen lidmaatschap, iedereen kan wijzigingsverzoeken indienen, het beheerproces en de besluitvorming zijn open en transparant en er zijn geen kosten verbonden aan het downloaden van de specificatie en het implementeren van de standaard. Draagvlak Levering van commerciële producten voor de DANE standaard is mogelijk, maar er zijn nauwelijks complete, off-the-shelf producten beschikbaar. Dit geldt zowel voor producten op client systemen (browsers) als voor tools die operationele processen aan de server zijde ondersteunen (b.v. management van encryptie sleutels). Mondiaal zijn er nog geen grootschalige toepassingen van DANE bekend. De beschikbare operationele ervaring is dan ook zeer beperkt en binnen de Nederlandse publieke sector is zover bekend nog geen ervaring met het gebruik van de standaard. Opname bevordert de adoptie De expertgroep is van mening dat het opnemen van DANE op de lijst op dit moment niet het gewenste middel is om adoptie te bevorderen. De meerderheid van de expertgroep schat in dat (a) de huidige marktondersteuning voor een deel van de producten nodig voor de toepassing van DANE en (b)de toepassing van de standaard door andere partijen, momenteel onvoldoende is.
Welke additionele adviezen zijn er ten aanzien van de adoptie van de standaard? Voor DANE adviseert de expertgroep de volgende maatregelen:
Opstellen van een overzicht van huidige, alternatieve standaarden en vaststellen welke (combinatie van) standaard(en) het door DANE geadresseerde probleem het beste inperkt (NCSC en TNO, in afstemming met experts uit bedrijfsleven en overheid).
Monitoren van de toepassing van DANE in de praktijk en informeren Forum over ontwikkelingen rond de standaard (indiener Stichting NLnet en de expertgroep in brede zin).
2 https://tools.ietf.org/wg/dane/ Pagina 5 van 10
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
1
Doelstelling expertadvies
1.1
Achtergrond In 2007 is door het kabinet besloten tot een actieplan Nederland Open in Verbinding [1]. Het doel van dit actieplan is om de informatievoorziening toegankelijker te maken, onafhankelijkheid van ICT-leveranciers te creëren en de weg vrij te maken voor innovatie. Eén van de maatregelen van het actieplan is het gebruik van een lijst met standaarden, die vallen onder het principe "pas toe of leg uit" (comply-orexplain) [2]. Het College Standaardisatie, dat in 2006 door het kabinet is ingesteld, spreekt zich uit over de standaarden die op de lijst zullen worden opgenomen, o.a. op basis van een expertbeoordeling van de standaard [3]. Het College Standaardisatie wordt geadviseerd door het Forum Standaardisatie. Bureau Forum Standaardisatie ondersteunt beide instellingen. Een elftal experts is verzameld in een expertgroep, die de standaard heeft beoordeeld aan de hand van een aantal criteria. Deze criteria – vooraf vastgesteld door het College Standaardisatie [4] en uitgewerkt in de vorm van concrete vragen - worden in het hier voorliggende expertadvies genoemd en behandeld. Onderwerp van dit expertadvies is DANE. Deze standaard is aangemeld door Michiel Leenaars, directeur strategie van NLnet, voor opname op de lijst met open standaarden voor ‘pas toe of leg uit’. De opdracht aan de expertgroep was om een advies op te stellen over het wel of niet opnemen van deze standaard op de lijst, al dan niet onder bepaalde voorwaarden.
1.2
Proces Voor het opstellen van dit advies is de volgende procedure doorlopen: -
-
-
-
Door het Bureau Forum Standaardisatie is een intakegesprek gevoerd met de indiener op 20 november 2013. Hierin is de standaard getoetst op uitsluitingscriteria (‘criteria voor in behandelname’) en is een eerste inschatting gemaakt van de kansrijkheid voor opname. Op basis van de intake is besloten tot het instellen van een expertgroep. Op basis van dit besluit is door het Bureau Forum Standaardisatie een groep samengesteld en een voorzitter aangezocht. Op basis van de aanmelding en de intake is een voorbereidingsdossier opgesteld voor leden van de expertgroep. De expertgroep is begonnen met het individueel scoren van DANE aan de hand van een spreadsheet met vragen in het voorbereidingsdossier. Op basis van de verkregen antwoorden hebben voorzitter en begeleider van de expertgroep de verschillende knelpunten geïdentificeerd. Vervolgens is de expertgroep op 23 januari 2014 bijeengekomen om de bevindingen in het algemeen en de geïdentificeerde knelpunten in het bijzonder te bespreken. Tijdens deze bijeenkomst zijn ook het toepassings- en werkingsgebied vastgesteld.
Pagina 6 van 10
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
De expertgroep heeft zich met name heeft gebogen over toetsing van de standaard op hoofdlijnen. Omdat de expertgroep op basis van de deze toetsing al tot een eensluidende conclusie kwam en omwille van de beschikbare tijd, heeft de expertgroep zich verder niet gebogen over detaillering in de toetsingsvragen. De uitkomsten van de expertgroep zijn door de voorzitter en begeleider verwerkt in dit advies rapport. Een eerste conceptversie is aan de leden van de expertgroep gestuurd met verzoek om reactie. Na verwerking van de reacties is het rapport afgerond, nogmaals toegestuurd aan de experts en ingediend voor de publieke consultatieronde. 1.3
Vervolg Dit expertadvies zal ten behoeve van een publieke consultatie openbaar worden gemaakt door het Bureau Forum Standaardisatie. Eenieder kan gedurende de consultatieperiode op dit expertadvies zijn/haar reactie geven. Het Bureau Forum Standaardisatie legt vervolgens de reacties voor aan de voorzitter en indien nodig aan de expertgroep. Het Forum Standaardisatie zal op basis van het expertadvies en relevante inzichten uit de openbare consultatie een advies aan het College Standaardisatie opstellen. Het College Standaardisatie bepaalt uiteindelijk op basis van het advies van het Forum of de standaard op de 'pas toe of leg uit'-lijst komt.
1.4
Samenstelling expertgroep Voor de expertgroep zijn personen uitgenodigd die vanuit hun persoonlijke expertise of werkzaamheden bij een bepaalde organisatie direct of indirect betrokken zijn bij de standaard. Het Forum streeft naar een zo representatief mogelijke expertgroep, met een evenwichtige mix van eindgebruikers, IT-leveranciers, wetenschappers, adviseurs, en vertegenwoordigers van de standaardisatieorganisatie. Zowel technische experts als experts die inzicht hebben in de functionele impact zijn uitgenodigd. Daarnaast is een onafhankelijke voorzitter aangesteld om de expertgroep te leiden en als verantwoordelijke op te treden voor het uiteindelijke expertadvies. Als voorzitter is opgetreden Bart Gijsen, senior consultant bij TNO op het gebied van Vitale Infrastructuren en Internet Security. De expertgroep is in opdracht van het Forum Standaardisatie begeleid door Michael van Bekkum, adviseur standaarden en interoperabiliteit bij TNO. Aan de -
expertgroep hebben deelgenomen: Dhr. Michiel Leenaars (Stichting NLnet) Dhr. Marco Davids (SIDN) Dhr. Frank Heijligers (MinBZK) Dhr. Rolf Sonneveld (Sonnection) Dhr. Joost van Dijk (SURFnet) Dhr. Rene Schut (DUO) Dhr. Willem Kossen (BKWI) Dhr. Joachim Schipper (Fox-IT) Dhr. Theo van Diepen (Logius) Pagina 7 van 10
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
-
Dhr. Dhr. Dhr. Dhr.
Pieter Rogaar (NCSC) Arno Meulenkamp (Infoblox) Douglas Skirving (Logius / PKIOverheid) Rob Brand (MinEZ)
Als toehoorders was aanwezig: Dhr. Lancelot Schellevis (Bureau Forum Standaardisatie)
1.5
Toelichting DANE Server-certificaten moeten de bezoeker van overheidswebsites vertrouwen bieden dat ze ook daadwerkelijk deze overheidssite bezoeken en niet een vervalste site. Nu wordt een internet verbinding meestal beveiligd door verificatie van deze (gepubliceerde) certificaten bij een Certificaat Service Provider. DANE is een standaard die het mogelijk maakt om certificaten voor het beveiligen van internet verbindingen op een alternatieve manier te publiceren en verifiëren, namelijk via het Domain Name System (DNS) van het internet. DANE is daarbij een uitbreiding op DNSSEC, dat al op de ‘pas-toe-of-leguit’ lijst staat. Door het invoegen van (een afschrift van) een certificaat in het DNS (het zogenaamde TLSA record) en deze cryptografisch te beveiligen met DNSSEC, kan het server certificaat dat een (overheids)website aanbiedt, via het DNS worden geverifieerd. DANE biedt de optie om dit naast de bestaande verificatie via een Certificaat Service Provider te doen. DANE zorgt dan ook voor een aanvulling op de gecentraliseerde PKI(overheid) infrastructuur, waarbij overheden als domeinnaam-houders voor hun server-certificaten niet meer uitsluitend afhankelijk zijn van echtheidsgaranties door CA’s. In principe biedt dit twee onafhankelijke verificatie methoden die in combinatie moeilijker te kraken zijn dan het huidige systeem, mits goed geconfigureerd en procesmatig volgens de juiste beveiligingsvoorschriften uitgevoerd.
1.6
Relatie met andere standaarden Er bestaat een relatie met een andere standaard die voorkomt op de lijst voor ‘pas toe of leg uit’: DNSSEC Er bestaat een relatie met een andere standaard die voorkomt op de lijst met gangbare open standaarden: TLS v1.0
Pagina 8 van 10
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
2
Advies aan Forum en College
2.1
Conclusie De expertgroep adviseert de standaard DANE nog niet op te nemen op de lijst van ‘pas toe of leg uit’ .
2.2
Adoptieactiviteiten Gebruik van de standaard is het einddoel van het Forum en College. Plaatsing op de lijsten is hiervoor een goede stap, maar voor het daadwerkelijk adopteren (implementeren en gebruiken) van de standaard is vaak aanvullende actie benodigd. Aanvullend kan Forum Standaardisatie dan ook bijdragen aan adoptie van de standaard door het actief inzetten van adoptie-instrumenten of ondersteunende acties. Welke kansen zijn er om de adoptie te versnellen en welke drempels bestaan er die de adoptie van de standaard hinderen? Voor DANE adviseert de expertgroep de volgende maatregelen:
DANE kan in de nabije toekomst onderdeel uit gaan maken van de oplossing voor een relevant, nu openstaand probleem rond (ontbreken van) vertrouwen in de uitgifte van internet certificaten. NCSC en TNO kan worden gevraagd in afstemming met experts uit bedrijfsleven en overheid, om een overzicht te maken van huidige, alternatieve standaarden3 en vast te stellen welke (combinatie van) standaard(en) dit probleem het beste inperkt. Hierbij kan worden vastgesteld of DANE een geschikt onderdeel van een breder pakket aan overheidsbeveiliging maatregelen is (waartoe ook PKIOverheid behoort), inclusief de toepassing varianten (gebruikstypen genaamd) die binnen de DANE standaard (on)wenselijk zijn.
Indiener Stichting NLnet en de expertgroep in brede zin worden opgeroepen om het forum op de hoogte te houden van ontwikkelingen rond de standaard. Op het moment dat er sprake is van meer grootschalige toepassing van DANE, kunnen de bevindingen van deze expertgroep nogmaals tegen het licht worden gehouden.
3 Er zijn eerder onderzoeken uitgevoerd naar alternatieven voor DANE: in 2012 onderzocht TNO onder begeleiding van het ministerie van EZ de mogelijke verbetering van internet certificaat verificatie door toepassing van DANE en toenmalige alternatieven (rapport “Internet Trust Mechanismen”). Pagina 9 van 10
Expertadvies DANE | Forum Standaardisatie | 12 februari 2014
3
Referenties
[1]
Actieplan Nederland Open in Verbinding, 's-Gravenhage: Ministerie van Economische Zaken, 2007.
[2]
"Pas toe of leg uit" is vastgelegd in de "Instructie rijksdienst bij aanschaf ICT-diensten of ICT- producten" van 8 november 2008, en daarnaast in convenanten en afspraken met decentrale overheden. http://www.forumstandaardisatie.nl/openstandaarden/voor-overheden/pas-toe-of-leg-uit-regime/
[3]
"Instellingsbesluit College en Forum Standaardisatie 2010", https://zoek.officielebekendmakingen.nl/stcrt-2010-4499.html
[4]
“Toetsingprocedure en criteria voor indieners en experts”, http://www.forumstandaardisatie.nl/openstandaarden/aanmelden-en-toetsing/toetsingscriteria/
Pagina 10 van 10