Overslaan en naar de inhoud gaan
Achtergrond PRO
11 januari 2007 leestijd 3 minuten 0 reacties

Beveiliging met PKI kan goedkoper via ASP met kortlopend certificaat

De klassieke vorm van Public Key Infrastructure (PKI) beveiligt elektronische transacties door middel van certificaten die lange tijd – vaak twee jaar – geldig blijven. Aan het verstrekken en beheren van deze certificaten door een vertrouwde instantie zijn hoge kosten verbonden. Daardoor heeft PKI nooit een hoge vlucht genomen.
Redactie AG Connect
Redactie AG ConnectMeer van deze auteur
Tech & Toekomst
Shutterstock
Shutterstock


Projecten op dit terrein zijn veelal niet van de grond gekomen, constateert directeur Marco Sonnega van TrustAlert, leverancier van beveiligingsoplossingen voor elektronische diensten. “PKI kampt met een kip-of-ei-probleem. Het is niet haalbaar deze technologie uit te rollen op basis van een enkele business case. Je kunt de investeringen alleen op lange termijn terugverdienen. Anderzijds bestaat wel behoefte aan de PKI-infrastructuur om nieuwe activiteiten te ontwikkelen.”
Samen met technisch directeur Sten Kalenda deed Sonnega uitgebreid ervaring met PKI op toen zij nog voor PinkRoccade werkten. Ze waren ook betrokken bij Verisign.nl, PKI Overheid en Identrus voor interbancair verkeer. “In al die omgevingen hebben wij gezien dat PKI blijft steken in de pilotfase. Dat komt door de juridische consequenties, de vereiste opleidingen en bijbehorende kosten. De drempel om PKI te gaan gebruiken is doorgaans te hoog.”

Kortlopend
De oplossing van TrustAlert moet PKI toegankelijker maken zonder de traditionele kosten en problemen. Het hiertoe ontwikkelde Remote Security & Escalation Platform (Resept) berust op het uitgeven van kortlopende certificaten die heel beperkt geldig zijn: voor één transactie of sessie, één bepaalde dienst of voor bijvoorbeeld een dagdeel. De klant kan het beveiligingsniveau zelf bepalen, afhankelijk van de soort dienst en de te verwachten risico’s.
Op basis van Resept is nu een PKI-dienst op basis van het ASP-principe geïntroduceerd. Hiervoor is Trust Alert in zee gegaan met Apcare, een ‘managed hosting provider’ in Schiphol-Rijk. Zo denken beide bedrijven de kosten van beveiligde diensten over internet aanzienlijk te kunnen verlagen.
Michiel de van der Schueren, directeur van Apcare: “De lange geldigheidsduur van klassieke PKI-certificaten maakt het beheer duur. De gebruikersdatabase moet voortdurend worden bijgehouden. Ook het herroepen van vervallen certificaten door middel van zogenaamde revocatielijsten, die elke nacht aan alle potentiële partners verstuurd moeten worden, is een drama.”
De traditionele vorm van PKI kost circa 10 euro per gebruiker per maand. Apcare wil het Resept-platform als kant-en-klare ‘managed service’ verkopen voor de helft van dat bedrag, gekoppeld aan een ‘heldere’ service level agreement (SLA). Om een hoge beschikbaarheid te garanderen maakt Apcare gebruik van twee datacenters, die van InterXion en van KPN nabij Schiphol.

Toepassingen
De van der Schueren is er als voorzitter van het ASP Forum van overtuigd dat er grote behoefte is aan een dergelijke dienst. Hij ziet uiteenlopende toepassingen, onder andere voor pure toegangscontrole, als digitale handtekening en voor ‘single sign-on’ (SSO) bij verschillende ASP-diensten. In de huidige situatie moet de klant nog per afzonderlijke ASP-service voor de beveiliging betalen, wat onevenredig duur kan uitvallen.
TrustAlert en Apcare zien de overheid als belangrijk potentieel afzetgebied voor hun PKI-oplossing. Bedrijven kunnen sinds 1 januari gegevens aanleveren op basis van de rapportagetaal XBRL. Met Resept zouden deze data beveiligd kunnen worden. Voor communicatie met de burger heeft de overheid DigiD ontwikkeld. Sonnega: “DigiD dient alleen voor authenticatie. Wij zouden op basis van DigiD certificaten kunnen uitgeven, gekoppeld aan de verschillende gradaties die binnen DigiD bestaan.”
De directeur van Apcare noemt als ander voorbeeld de Hoge Raad, die een dure PKI-oplossing gebruikt om een digitale handtekening onder alle documenten te zetten. “Met Resept wordt dat nu ook bereikbaar voor de notaris- en advocatenkantoren”, verwacht De van der Schueren.
Vooralsnog ontbreekt het aan concrete klanten die het Resept-platform als ASP-dienst afnemen. Sonnega kan wel een (anonieme) klant noemen die de technologie van TrustAlert in eigen beheer gebruikt, wat volgens hem vanaf 25.000 tot 50.000 gebruikers rendabel is. Het betreft een Nederlandse multinational met verkoop- en serviceactiviteiten in de Emea-regio.
Medewerkers logden tot dusver in met draagbare apparatuur via een VPN-client. Dat werd niet voldoende veilig meer geacht. Sonnega: “Aanvankelijk is gekeken naar een remote access-oplossing. Maar dat is drempelverhogend, omdat de gebruiker ook nog een token moet hebben. Onze oplossing bestaat uit een portal die op basis van de personalia en apparatuurkenmerken een certificaat uitgeeft voor bijvoorbeeld één ochtend of middag. De gebruiker hoeft zich nog maar één keer aan te melden bij Resept en krijgt daarmee een certificaa t voor een dagdeel dat zowel toegang geeft tot het VPN als het LAN.”

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in