UZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november Remco Schaar Consultant UL Transaction Security service

UZI-pas in gebruik

Maarten Schmidt Risk en Security manager 22 november 2012

Remco Schaar Consultant UL Transaction Security service

Inhoud Agenda

 Gebruik UZI-pas, wat gaat er wijzigen  Alternatief gebruik UZI-pas  Alternatieven UZI-pas  Implementatie gebruik UZI-pas  UZI-pas & software

Waarom UZI-pas? Identificatie Authenticatie wie ben je? wat ben je?

UZI-register

Autorisatie

Patiëntendossier

wat mag je?

Systemen Processen

Logging wat heb je gedaan?

Wat voor UZI-pas? A Authenticiteit V Vertrouwelijkheid

Abonnee / Zorgaanbieder A

A

Zorgverlener V

Medewerker V op naam H

H

A Medewerker niet op naam V

Servercertificaat

H Handtekening Persoon

A V

Organisatie

Wat gebruikt AORTA? A Authenticiteit V Vertrouwelijkheid

Abonnee / Zorgaanbieder A

A

Zorgverlener V

Medewerker V op naam H PKIO en UZI

H

A Medewerker niet op naam V

Servercertificaat PKIO en UZI

H Handtekening Persoon Binnen AORTA worden hoofdzakelijk het servercertificaat en medewerker op naam gebruikt.

A V

Organisatie

Gebruik UZI-pas  Geen nieuwe techniek in 2012 voor XIS-leveranciers

Inpassing in het werkproces  Lage administratieve belasting aanvraagproces  Meerdere gebruikers per werkstation  Wisselende werkplekken

Alternatief gebruik UZI-pas  RFID, contactloze interface icm met huidige UZI-pas niet mogelijk.

 Meer functies op één pas lijken mogelijk maar moeilijk verenigbaar met ETSI en wettelijke bepalingen.

Alternatieven UZI-pas  Onderzoek naar:  Wijzigen aantal certificaten op UZI-pas  Meerdere functies op een pas integreren (draadloze interface /aparte chip)

Bluetooth UZI-Paslezer  Resultaat het werkt al in de praktijk (HAP)  Meer proeven met Bluetooth UZI-paslezer om alternatief gebruik te verbreden

Biometrie en de UZI-pas?

Pincode

Koppeling biometrische gegevens lijkt mogelijk  Hiermee wordt vast gehouden aan zgn twee factor authenticatie: 1. Iets dat je hebt (UZI-pas) en 2. Iets dat  Je weet (PIN-code) of  Je bent (vingerafdruk)

 Eisen aan implementatie en biometrie devices

Pasbatterij + biometrische gegevens? Pasbatterij

Implementatie UZI-pas Gebruik UZI-pas als authenticatiemiddel

 Controle geldigheid pas (niet ingetrokken en nog geldig)

 Controle geldigheid hiërarchie van CA’s tot Staat der Nederlanden Root CA

 Controle PIN versus persoonlijke key op pas  Hoort de PIN bij de betreffende persoon die ingelogd is!

UZI-pas & software

Remco Schaar Technisch Consultant 22 november 2012

Inhoud Introductie UZI-pas en software Architectuur scenario’s Voorbeeld code Demo

16

Introductie: use cases  Authenticatie  Inloggen (lokaal)  Smartcard logon  Web applicaties  Authenticatie LSP (token authenticatie)

 Elektronische handtekening  Wettelijk (onweerlegbaarheid)!  EMD+  Intern

 Vertrouwelijkheid (encryptie)  Email  Bestanden 17

Introductie: functioneel  Identificatie    

UZI-nummer Rolcode URA Naam (formeel) + titel

 Type    

Zorgvelener Medewerker Medewerker niet op naam (Server) 18

Introductie: techniek  UZI-pas standaarden    

ISO 7816 (PKCS#11) PC/SC X509 Windows certificate store

 Toepassingen     

SSL / TLS XML-signature / WS-Signature (token authenticatie) Smartcard logon S/MIME (e-mail encryptie) Overig: RSA, SHA-1/SHA-2, random 19

Introductie: server certificaten  Authenticatie  Encryptie (vertrouwelijkheid)  = 1 certificaat  Software token  Bescherming vereist  HSM mogelijk

20

Inhoud Introductie UZI-pas en software Architectuur scenario’s Voorbeeld code Demo

21

UZI-pas en software  3-lagen:  PC/SC (bytes)  PKCS#11 (crypto functie calls)  Hoger niveau libraries  Java keystore  .Net certificate store

22

UZI-pas en software: hiërarchie

23

UZI-pas en software: Windows Certificate Store  Waar komen de CA-certificaten?  2 groepen  Root CA’s  = Staat der Nederlanden (G1/G2)  Intermediate CA’s  Overheid CA (G1 / G2)  Zorg CSP (G1 / G2 / G21)  Zorgverlener CA (G1 / G2 / G21)  Medewerker op naam CA (G1 / G2 / G21)  Medewerker niet op naam CA (G1 / G2 / G21)  Server CA (G1 / G2 / G21)  GetronincsPinkRocade/KPN (LSP certificaat) 24

Inhoud Introductie UZI-pas en software Architectuur scenario’s Voorbeeld code Demo

25

Architectuur: single user “desktop”

Desktop applicatie

26

Architectuur: single user “desktop” + ZIM

Token

Desktop applicatie

ZIM X509 server

27

Architectuur: client-server

Desktop client

Server applicatie

28

Architectuur: client-server + ZIM

Token

Desktop client

Server applicatie

ZIM X509 server

29

Architectuur: web-based

Browser

Webserver applicatie

30

Architectuur: web-based + ZIM Applet Token

Browser

Webserver applicatie

ZIM X509 server

31

Architectuur: thin-clients

Thin client

Applicatie

?

32

Architectuur: thin-clients + ZIM

Thin client

Applicatie

?

ZIM X509 server

Token

Inhoud Introductie UZI-pas en software Architectuur scenario’s Voorbeeld code Demo

34

Voorbeeld code: 3x  Java TA / EMD+  Token Authenticatie  Elektronische handtekening  .Net EMD+  Elektronische handtekening  Java TA, ART-DECOR geïntegreerd  Token Authenticatie  Single user desktop, pin invoer  C-code direct ISO 7816  Voorbeeldcode:

http://www.nictiz.nl/page/Standaarden/AORTA/AORTA-2011-Html

35

Voorbeeld: Java TA / EMD+  Java KeyStore  Building & signing (TA / EH) tokens:  String + crypto function calls  XML-Signature library  WS-Signature library

36

Voorbeeld: .Net EMD+  Windows certificate Store  Microsoft crypto-API  Visual basic .Net

 WS-Signature

37

Voorbeeld: Java ART-DECOR  Basis: andere Java voorbeeld  Single user / desktop applicatie  Integratie als eXist-plugin  Pincode popup (AWT)

38

Inhoud Introductie UZI-pas en software Architectuur scenario’s Voorbeeld code Demo

39

Vragen?

“Distrust and caution are the parents of security.” Benjamin Franklin

40