Eind 2002 infrastructuur voor beveiligd internet klaar Taskforce PKI overheid krijgt vervolg

19 september 2002
In 1999 verscheen het rapport Communiceren in Vertrouwen, dat toen nog alleen de plannen voor beveiliging van het e-mailverkeer tussen ambtenaren beschreef. Naar aanleiding van dit rapport stelde minister Van Boxtel de taskforce PKIoverheid in, die als belangrijkste opdracht meekreeg om een infrastructuur voor veilige, elektronische communicatie tot stand te brengen. Er werden drie domeinen gedefinieerd, namelijk overheden onderling, overheid en bedrijfsleven en overheid en burgers. Het ging dus niet meer alleen om e-mailende ambtenaren. Jan Lintsen, directeur informatiebeleid openbare sector, heeft laten uitrekenen wat het zou kosten om voor de drie domeinen in een grote operatie tot de implementatie van een beveiligd netwerk op basis van een Public Key Infrastructure (PKI) te komen en noemt een bedrag van ruim 1 miljard euro. "Ik keek in die tijd serieus naar het aardgasfonds, dat het geld bevat waaruit grote, infrastructurele projecten als de Betuwelijn en het aanleggen van een nieuwe Maasvlakte worden betaald", vertelt hij. "En ik kon ook goed aantonen dat het rendement van een investering in zo''n veilig netwerk minstens dat van een Betuwelijn zou evenaren."
Maar toch is het niet op die manier gelukt. Lintsen beschrijft die periode aan het eind van de vorige eeuw als de droom van een tijd waarin door internet en e-business of e-government in de kortst mogelijke tijd een nieuwe wereld en een nieuwe economie zou worden gerealiseerd. "Ook bij de overheid bleven we niet helemaal vrij van die droom", zegt hij.
Inmiddels is de realiteit anders gebleken. Het geld is op en de nieuwe economie blijkt niet veel anders te zijn dan de oude. Daarom heeft de taskforce PKIoverheid een andere strategie ontwikkeld om toch te kunnen komen tot de doelstelling van veilige communicatie. "Implementatie van versleutelde communicatie en digitale identificatie vindt alleen doorgang als er een business case is. De kosten moeten dus door de financiële en kwalitatieve baten worden terugverdiend. We hebben een kleine driehonderd concrete toepassingen gedefinieerd, waarvan we denken dat er zo''n business case is (zie ook het kader, red.)." Een bedrijfseconomische benadering dus, die veel beter in het huidige tijdsgewricht past. En ook een instrumentele benadering, die bij de huidige bewindspersoon past. Lintsen: "Van Boxtel was een ''believer''. Hij was ervan overtuigd dat ICT de overheid zou veranderen. Remkes is veel nuchterder." Toch heeft hij hoge verwachtingen van de nieuwe minister, die als staatssecretaris bij VROM een geavanceerd ICT-systeem voor de afhandeling van huursubsidie heeft neergezet. "Iedereen, ook Automatisering Gids, schrijft almaar dat de nieuwe regering zo weinig oog heeft voor ICT. Maar als met Prinsjesdag de begroting verschijnt, zal blijken dat dit erg meevalt", aldus Lintsen.

Kernbegrippen
Beveiliging op internet heeft alles te maken met de kernbegrippen encryptie en authenticatie. Encryptie (versleuteling) maakt berichten onleesbaar. Alleen de zender en de ontvanger van het bericht kunnen op basis van hun sleutels het bericht weer leesbaar maken. Bij a-symmetrische cryptografie (hier van toepassing) hebben de zender en de ontvanger ieder twee sleutels; één geheime sleutel, die ze alleen persoonlijk kennen, en één publieke. Beide sleutels passen op elkaar. De zender gebruikt de publieke sleutel van de ontvanger om het bericht te versleutelen en de ontvanger ontcijfert het bericht met zijn geheime sleutel. De publieke sleutels staan bijvoorbeeld in een soort telefoonboek op internet. De geheime sleutels kunnen softwarematig op een computer worden gezet of op een chipcard, zoals de Nederlandse overheid voor ogen staat.
Tegelijkertijd is het natuurlijk essentieel dat iemands identiteit in het berichtenverkeer onomstotelijk vaststaat (authenticatie). Een elektronische handtekening is net als in het fysieke leven de oplossing. Momenteel ligt het wetsvoorwerp om de elektronische handtekening een juridische status te geven bij de Eerste Kamer voor behandeling in dit najaar.
PKI is een verzameling van technische en organisatorische voorzieningen die een veilige communicatie op internet door encryptie en authenticatie ondersteunt. Centraal in de infrastructuur is een vertrouwde, derde partij in het verkeer tussen zender en ontvanger. Deze derde partij kan een overheidsinstelling zijn, maar is soms ook een commercieel bedrijf dat door de overheid wordt ingeschakeld. Deze bevestigt de identiteit van de eigenaar van een bepaalde sleutel door er een bewijs van vertrouwen, een certificaat, aan te koppelen. Bij de uitgifte van dit certificaat moet de identiteit van de betrokkene eenmalig worden vastgesteld. Dát gebeurt dan ook in de fysieke wereld, bijvoorbeeld bij het gemeentehuis, het postkantoor, de Kamer van Koophandel, de bank of aan de deur (de postbode). Organisaties als KPMG of PricewaterhouseCoopers bewaken de betrouwbaarheid van de certificaat aanbiedende partijen door hen op hun beurt te certificeren. Ronald Koorn, KPMG Information Risk, is nauw betrokken bij allerlei PKI-projecten in Nederland: "Zo ontstaat een keten van vertrouwen die noodzakelijk is voor de uiteindelijke acceptatie van de elektronische identiteit."
Met het realiseren van een Public Key Infrastructure is de belangrijkste stap gezet op de weg naar de elektronische, Nederlandse identiteitskaart, de eNIK. Personen, bedrijven en overheden kunnen met de eNIK (een smartcard) informatie versleutelen, een digitale handtekening zetten en zichzelf identificeren. De kaart is natuurlijk beveiligd met een pincode. Met zo''n kaart zijn al verschillende pilots uitgevoerd. De eNIK fungeert als een elektronisch paspoort voor individuen en zal in de toekomst waarschijnlijk ook met een biometrische beveiliging (vingerafdruk, irisscan) worden uitgerust.
Het beleid van de taskforce is erop gericht om zelf de kennis van PKI te ontwikkelen, de standaarden voor de implementatie ervan vast te stellen en vervolgens de supervisie te houden op het stelsel van certificerende autoriteiten. Al het andere kan worden uitbesteed, ook aan commerciële partijen. Dat geldt zelfs voor de inrichting, het onderhoud en het bewaken van de zogenoemde root, het stamcertificaat. Dat is de geheime code waarop alle sleutels in het Nederlandse model van hiërarchisch vertrouwen zijn gebaseerd. In een Europese aanbesteding heeft de overheid recent het inrichten en implementeren van deze ''root'' gegund aan PinkRoccade Megaplex, dat in dezelfde procedure ook de basisinfrastructuur van de drie domeinen mag aanleggen.
Het is de bedoeling dat alle toekomstige PKI-initiatieven in Nederland (van bijvoorbeeld banken, verzekeraars, zorginstellingen) aan gaan sluiten bij deze basisinfrastructuur, waardoor een maximale interoperabiliteit ontstaat en één en dezelfde smartcard gebruikt kan worden bij de Kamer van Koophandel, het ziekenhuis, het gemeentehuis, internetbankieren en de Belastingdienst, om enkele toepassingsgebieden te noemen. De overheid wil voorkomen dat burgers met een digitale sleutelbos rond moeten lopen en probeert daarom een voorsprong te nemen in de implementatie van de PKI, zodat andere initiatieven min of meer vanzelfsprekend zullen aansluiten. "Alleen dan creëer je het vliegwiel dat uiteindelijk leidt tot de situatie waarin de oorspronkelijke doelstelling die meer dan 1 miljard euro zou kosten, toch wordt bereikt maar dan op basis van de werking van de markt", aldus een optimistische Lintsen.
De taskforce PKIoverheid heeft een mandaat tot 1 januari 2003. Formeel heeft ze haar doelstelling bereikt. Op die dag zal er een infrastructuur zijn die beveiligde communicatie op de drie gedefinieerde domeinen mogelijk maakt. Lintsen: "Het is natuurlijk duidelijk dat de taskforce ook na die datum nog een belangrijke rol heeft te vervullen bij het realiseren van PKI in allerlei concrete toepassingen." Daarom staat er in de begroting dat er een vervolg wordt gegeven aan de taskforce, in samenwerking met de nieuw op te richten Policy Authority, die de PKI beheert.

Prestige
Henk Hendriks is bij PinkRoccade hoofd van de businessunit Trusted Services en denkt binnen een maand of drie klaar te zijn met de inrichting van de twee genoemde lagen van de infrastructuur. "Qua prestige hebben we de mooiste PKI-opdracht gewonnen die je in Nederland kunt krijgen", zegt hij. "Maar commercieel is het traject van het uitgeven van de certificaten interessanter." Cijfers mag Hendriks niet verstrekken, maar hij wil wel kwijt dat dit eerste project een omzet kent die ''lager ligt dan meerdere miljoenen euro''s''. PinkRoccade werpt zich uiteraard op als certificerende partij. Na de totale uitrol van PKI zullen er in Nederland naar verwachting al gauw zo''n zestien miljoen certificaten zijn verstrekt. De prijs per certificaat zal waarschijnlijk enkele tientallen euro''s bedragen, al zijn er al dumpprijzen bekend van organisaties die marktaandeel proberen te kopen met aanbiedingen die rond de euro per certificaat liggen. Verder verwacht PinkRoccade volgens Hendriks een grote rol te kunnen spelen in het aanpassen van allerlei transactionele IT-systemen. "In de sociale zekerheid, bij huursubsidie, bouwvergunningen, milieurapportage..., overal gaat dit soort beveiliging een rol spelen en al die systemen moeten daarvoor worden ingericht."
Jan Kloeze
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!