image

SP: Overheid moet rol DigiNotar overnemen

dinsdag 6 september 2011, 13:34 door Redactie, 17 reacties

De SP wil op zeer korte termijn een debat met minister Donner over de aanval op DigiNotar, zo laat de politieke partij op de eigen website weten. "Ik wil weten wat en wie er risico loopt en waarom de minister eerst nog riep dat er geen vuiltje aan de lucht was toen de schuur al half afgebrand was", aldus Kamerlid Sharon Gesthuizen.

Gesthuizen is tevreden dat de minister direct een verklaring aflegde, maar vindt dat er te lang signalen zijn genegeerd. "Toen bleek dat sites van Google gehackt waren en Microsoft aan de alarmbel trok zei het ministerie van Binnenlandse zaken nog dat er niets aan de hand was."

Overheid
Ook vindt de SP het onverstandig dat is beknibbeld op veiligheid. "Er werden zaken gedaan met een bedrijf dat duidelijk niet in staat was de veiligheid te borgen. Dat is zeer kwalijk - het heeft bij het ministerie absoluut aan controle en bewustzijn geschort."

De partij zal bovendien aandringen op betere screening van iedereen die betrokken is bij dergelijke beveiliging. Volgens de SP is het daarnaast beter om het uitgeven van certificaten "gewoon door de overheid zelf te laten uitvoeren, en niet door een Amerikaans bedrijf als Diginotar."

Reacties (17)
06-09-2011, 14:18 door Preddie
"Toen bleek dat sites van Google gehackt"

Dat geeft al weer aan hoeveel kaas de SP er van gegeten heeft ......

Dan nog maar niet te spreken om de overheid als validator voor te dragen, ik vraag me af of ze echt zo stom zijn of op deze manier aandacht proberen te trekken.

Iranesen gebruiken SSL om niet afgeluisterd te worden door haar overheid, wanneer de overheid haar burgers wil afluisteren moeten zij bijv. Diginotar hacken ..... de SP stelt nu dus voor om de overheid gewoon de rol van diginotar over te nemen dan hoeven ze geen validators meer te hacken wanneer ze haar burgers wil af luisteren ..... SP denk a.u.b. na over wat je zegt !
06-09-2011, 14:18 door SirDice
Volgens de SP is het daarnaast beter om het uitgeven van certificaten "gewoon door de overheid zelf te laten uitvoeren, en niet door een Amerikaans bedrijf als Diginotar."
Wat vervolgens gewoon, net als alle andere IT bij het rijk, uitbesteed wordt aan een derde partij. Wat is dan het verschil?
06-09-2011, 14:48 door KwukDuck
Dan is de overheid opdrachtgever, wat natuurlijk weer een mooie deur opent wat nederlandse afluister praktijken betreft. Kunnen ze nu ook al wel, het wordt alleen wat makkelijker gemaakt zo denk ik.
06-09-2011, 14:56 door dutchfish
Ik denk dat de volgende zaken ook een belangrijke rol spelen:

1. is het niet beter om de overheid toezichthouder te laten zijn dan uitvoerende partij? ik denk dat de overheid niet technisch in staat is dit te beheren, maar zeker wel te controleren.
2. In een chain of trust spelen politieke zaken een grote rol. Ik denk dat een nationaal startpunt voor security, uitgevoerd door deskundige automatiseringsbedrijven de beste kansen heeft op een lange termijn. Misschien zelfs in de toekomst op Europees niveau.
3. De root in een chain of trust kan nooit een persoon of organisatie zijn. Ik denk dat een gecreëerde anonieme identiteit onder overheid auspiciën de oplossing is.
4. Een overheid mag niet in staat worden gesteld het root certificaat in de chain of trust te gebruiken, ik denk dat dat nou precies indruist tegen bescherming privacy. Zie opnieuw punt 3.

Mijn 5 centen
06-09-2011, 14:58 door Preddie
Door SirDice:
Volgens de SP is het daarnaast beter om het uitgeven van certificaten "gewoon door de overheid zelf te laten uitvoeren, en niet door een Amerikaans bedrijf als Diginotar."
Wat vervolgens gewoon, net als alle andere IT bij het rijk, uitbesteed wordt aan een derde partij. Wat is dan het verschil?


Dat zeggen ze niet, ze zeggen dat ze het door de overheid willen laten regelen en niet dat ze het uit willen besteden aan een derde partij want dan hebben we dezelfde constructie als nu. Als ze bedoelen uitbesteden dan moeten ze dat zeggen, maar nogmaals dan veranderen ze niks aan de situatie.

Waar ik naar toe wilde is precies wat KwukDuck zegt .... dutchfish heeft naar mijn mening een aantal goeie punten !
06-09-2011, 15:42 door AlexK
Door dutchfish:
1. is het niet beter om de overheid toezichthouder te laten zijn dan uitvoerende partij? ik denk dat de overheid niet technisch in staat is dit te beheren, maar zeker wel te controleren.
De overheid heeft al laten zien geen geschikte toezichthouder te kunnen zijn. Zelfs de AIVD is erop gezet, alles zonder resultaat.

3. De root in een chain of trust kan nooit een persoon of organisatie zijn. Ik denk dat een gecreëerde anonieme identiteit onder overheid auspiciën de oplossing is.
Het probleem daarmee is dat een dergelijke entiteit niet te controleren valt. Een van problemen met Diginotar is dat ze achteraf niet auditable bleken, waarmee dus ook bewijslast en recoverability lastig tot onmogelijk bleken.


4. Een overheid mag niet in staat worden gesteld het root certificaat in de chain of trust te gebruiken, ik denk dat dat nou precies indruist tegen bescherming privacy.
Hoewel je volkomen gelijkt hebt, zal een overheid zich daar niets van aantrekken. Alle terechte scheidingen van macht zijn nooit herzien voor gebruik in de digitale wereld, tenminste waar het overheden of machtige, grote organisaties betreft.
06-09-2011, 15:47 door SirDice
Dan heb ik nog liever dat het uitbesteed wordt maar dat de overheid de eindverantwoordelijke is. De overheid heeft dan niet direct toegang tot de sleutels maar is wel de sjaak als er iets mis gaat. Door die verantwoordelijkheid kun je wel weer eisen stellen aan een eventuele uitvoerder. Maar goed, dat is niet zo heel veel anders dan het was, alleen is nu de overheid verantwoordelijk en niet een of ander klein kut bedrijfje.
06-09-2011, 15:48 door Walter
Ik geloof niet dat de overheid zelf in staat is om een veiligere constructie te maken voor het uitgeven van certificaten. De overheid zou ook helemaal geen certificaten zoals *.google.com, *.com, *.net of *.nl mogen uitgeven (geen enkele CA zou dat IMNSHO mogen doen).

Wel zou het natuurlijk slim zijn als de overheid zelf (of een partij waaraan zij dit willen uitbesteden die wel zijn zaakjes op orde heeft) als enige certificaten mag toekennen aan overheidsinstanties.
Dus een CA die vertificaten uitgeeft voor, *.digid.nl, *.belastingdienst.nl, *.ministerpresidentrutte.nl (tenminste, die is nu eindelijk van de overheid) enzovoorts.

Deze instantie (overheid of niet) moet dan echter wel goed ge-audit worden door een of meerdere gerenommeerde en onafhankelijke partijen.
De gehele diginotar klucht is in zijn geheel te wijten aan verkeerde procedures, slechte policies en het in de doofpot stoppen van incidenten. Openheid is dus vereist en controle is prioriteit nummer 1.
belangrijk is wel dat de rapporten van de controles worden gelezen door iemand die snapt wat de risico's zijn en hoe dit opgelost moet worden.

Ja, hier zijn een prijskaartje aan. Waarschijnlijk een veelvoud van wat diginotar rekende (ze waren volgens mij een van de goedkopere CA's in NL, hetgeen ook iets kan zeggen over de veiligheid).
06-09-2011, 16:46 door Anoniem
@Walter.
Je hebt gelijk, goedkoop is uiteindelijk duurkoop.

Wat de grootste fout is geweest het niet te melden, maar deze SP heeft zich kennelijk niet gerealiseerd heeft bij het maken van deze opmerking dat Govcert zelf niet in staat is geweest dit te zien, maar door hun Duitse evenknie is ingeseind.
Je zou dus ook je vraagtekens kunnen zetten bij deze dienst (Govcert).
06-09-2011, 17:27 door AlexK
Door SirDice: Dan heb ik nog liever dat het uitbesteed wordt maar dat de overheid de eindverantwoordelijke is.
Maar de overheid is de eindverantwoordelijke. Zij moet juist zorgen voor controle op de uitvoerder. De overheid is mede-schuldig aan dit drama.

Maar goed, dat is niet zo heel veel anders dan het was, alleen is nu de overheid verantwoordelijk en niet een of ander klein kut bedrijfje.
Als boven, en ik zou graag willen opmerken dat de omvang van "een of ander klein k u t bedrijfje" niets, maar dan ook helemaal niets zegt over kwaliteit en kennis van de geleverde dienst. De woordkeus is overigens ook niet de mijne.
07-09-2011, 08:43 door N4ppy
Voordat we met z'n allen weer in "panic we moeten zaken veranderen" mode gaan misschien verstandig om eens goed uit te zoeken hoe het in ....... naam kan dat die hele toko geaudit is en aan allerlei standaarden scheen te voldoen.
http://www.diginotar.nl/Portals/7/Voorwaarden/CP%20gekwalificeerd%20v1.3.1.pdf

Diginotar maakte er een puinhoop van (gebaseerd op onderzoek fox it een feit)

Twee opties
De audits zijn slecht uitgevoerd
De audits zijn goed uitgevoerd.

In het eerste geval zal er gekeken moeten worden naar de audits en hoe in de toekomst te voorkomen is dat dit weer gebeurt.
In het tweede geval kun je in de toekomst the next diginotar oprichten en gaat het weer fout dan zal het audit programma aangepast moeten worden.

Uiteindelijk is ranzig beheer de oorzaak en dat zal aangepakt en in de toekomst voorkomen moeten worden.

Vraag zou moeten zijn is het systeem rot (waarschijnlijk)

Wat een extra waarborg zou kunnen zijn is een CPF Certificate Policy Framework (als SPF). Dat is wat dit aan het rollen heeft gebracht. Chrome/google die checked wie het uitgegeven heeft tegen een door hun goedgekeurde lijst.

Bij de politiek neer leggen is zinloos. Jan piet of klaas zet dat nu op, pakt de veren in zijn reet "goed gedaan jochie" en over 6 jaar is het weer shit en loopt hij met zijn veren weer ergens anders en willem die dan in 8e graad verantwoordelijk is voor diginotar weer hard te roepen niets aan de hand doorlopen.
07-09-2011, 09:30 door Anoniem
PKI-Overheid is niet het enige slachtoffer; diginotar gaf veel meer certificaten uit. En het kan elke CA gebeuren (Comodo!). Als de overheid zelf voor CA gaat spelen is het probleem nog lang niet opgelost. Het grootste probleem zit namelijk niet in de rotte appel Diginotar. PKI is als concept bestand tegen rotte appels. Onbetrouwbare CA's worden revoked en met een paar muisklikken is het vertrouwen in SSL weer hersteld.

Er zijn twee echte problemen:
1. Het toezicht deugt niet. PwC had Diginotar ge-audit. Had tekortkomingen geconstateerd en gewaarschuwd dat de beveiliging niet op orde was. Daarna gebeurde er niets. Wat had die audit dan voor zin? PwC had moeten ingrijpen. Er moet een ISO-norm voor beveiliging van CA's komen. (vergelijkbaar met de PCI-norm). Auditrapporten op CA's moeten openbaar zijn; zonder jaarlijks auditrapport (zonder aanbevelingen!) moet een CA direct van de trusted lijst worden gehaald.

2. De beheerders van SSL-websites zijn niet in staat snel over te schakelen op een andere CA als hun CA wordt uitgebannen. Die bal ligt bij de beheerders van die SSL-websites. Zorg dat je je processen op orde hebt en regel een of twee reserve CA's waar je snel (binnen een paar uur) een nieuw certificaat kunt halen.
07-09-2011, 11:20 door Anoniem
Door AlexK:
Door dutchfish:
1. is het niet beter om de overheid toezichthouder te laten zijn dan uitvoerende partij? ik denk dat de overheid niet technisch in staat is dit te beheren, maar zeker wel te controleren.
De overheid heeft al laten zien geen geschikte toezichthouder te kunnen zijn. Zelfs de AIVD is erop gezet, alles zonder resultaat.

Zoals je zelf al zegt: de overheid is gewoon verantwoordelijk voor PKIoverheid. En dus rechtstreeks ook voor het toelaten van DigiNotar als CA (waarom denk je dat de overheid vol in de aanval is? Om hun eigen verantwoordelijkheid onder het tapijt te schuiven.) Zij hebben ook het PWC rapport gelezen en toen DigiNotar op haar blauwe ogen vertrouwd en PKIo CA gemaakt. De overheid heeft zelf ook zitten slapen en is alleen daardoor al ongekwalificeerd om PKI root te zijn. Daarnaast zijn er extreem weinig mensen te vinden in ambtenaren land die iets "ingewikkelds" als PKI begrijpen. De overheid is dus geen partij voor dit soort trust systemen (want per definitie niet te vertrouwen, dat zien die amerikanen best goed).


4. Een overheid mag niet in staat worden gesteld het root certificaat in de chain of trust te gebruiken, ik denk dat dat nou precies indruist tegen bescherming privacy.
Hoewel je volkomen gelijkt hebt, zal een overheid zich daar niets van aantrekken. Alle terechte scheidingen van macht zijn nooit herzien voor gebruik in de digitale wereld, tenminste waar het overheden of machtige, grote organisaties betreft.
[/quote]
De overheid heeft geen certificaten nodig om je SSL verkeer te tappen, dat tappen ze gewoon aan het uiteinde van de tunnel, heus. Maar inderdaad de overheid moet nooit in het bezit zijn van de root. De enige goede manier is volgens mij zoals het in het .org domein is geregeld. Het TLD is de root en niemand anders.
07-09-2011, 14:00 door Anoniem
@Anoniem 11:20
Welkom too the Tea Party, de club die net als veel religieuzen gelooft dat de overheid de personificatie van het kwaad is. Alle macht komt toe aan de ongenoemde .org
1, - Als jij een topexpert bent op je vakgebied, ga je dan voor een ambtenaren salaris het kwaliteitsniveau opkrikken? Natuurlijk niet! Stop dan ook ff met zeuren: pay peanuts, get monkeys
- Wie weet er eigenlijk wat PKI Overheid is? Het is een normenkader, gratis downloadbaar op het internet. Dat moest want de overheid mocht geen monopolist zijn op het gebied van digitale identiteitsverstrekking. Hoeveel ambtenaren (Zie ook hierboven) werken er dan bij de overheid om te controleren dat zo'n commerciele partij zich aan de regels houdt? ALs de overheid alles zou moeten controleren van (Henk en Ingrid) en (Johny en Anita) dan hebben ze zo 20000 man extra nodig. O ja, we willen een kleinere overheid. Conclusie: de overheid krijgt van u beste burgers de opdracht om zaken te regelen maar geen middelen. Een accountants kantoor is een mooie oplossing (Marktwerking!) om de controle te doen. Volgens mij heeft de overheid door de nationalisatie van DigiNotar juist de verantwoordelijkheid genomen en niet de kop in het zand gestoken.

Over Qoute 4: duidelijk dat hier een gebrek aan kennis over dit onderwerp is. Ook al bezit ik het root certificaat van Bedrijf X (en de bijbehorende sleutel) dan kan ik nog steeds niets met de informatie die versleuteld is door certificaten drie lagen er onder. Cryptografie voor beginners. Ben versleuteld met sleutel a kunnen alleen door a accent gelezen worden en vv. Dus een bericht versleuteld met a accent kan NOOIT gelezen worden met sleutel q misschien in het bezit van een overheid. Met andere woorden: als je er geen verstand van hebt, zeg er dan niets over. Het na-papagaaien van onzin opinies voegt niets toe.

Nog meer onzin ' Een overheid mag nooit een root certificaat gebruiken ' Het certificaat is een publiek ding. Je kunt het overal downloaden en je hebt het als burger juist nodig om vast te stellen dat je te maken hebt met de overheid.

Met andere woorden: graag opinies die correct zijn en die kloppen. Dit is voor mensen met kennis van dit vakgebied tenenkrommende onzin.
07-09-2011, 15:04 door PeterB
"- het heeft bij het ministerie absoluut aan controle en bewustzijn geschort."

Welke oplossing je ook bedenkt, het bovenstaande geeft de grootste bron van problemen weer.
Den haag heeft gewoon geen benul. Het land wordt geregeerd door onbenullen, idioten en over-het-paard getilde studentjes.
Het "Hoe-Kom-Ik-Over" en " Uitkijken-Dat-Ik-Me-Eigen-Hachje-Redt" zijn belangrijker dan echt oplossingen bedenken, ook al kosten die soms meer dan men wil en kan uitgeven.

Eerst maar eens alle " virussen" en " malware" uit Den Haag opruimen...dat scheelt al miljoenen ;)
07-09-2011, 22:23 door Anoniem
De kern van het ambtenaren bestaan is het beschermen van de minister. De ambtenaar die dat niet doet, staat op straat. Helaas is het zo, dat de mensen die zich in de media hier tegenaan mogen/moeten bemoeien, haast geen verstand van zaken hebben. Immers, mensen die verstand van techniek hebben, dat zijn uitvoerders en daar moeten de haagse beleidsmedewerkers niets van weten. Dat is laag gepeupel.

Zo'n beleids medewerker eist dan binnen een paar uur een antwoord, dat hij niet kan krijgen omdat de IT diensten uitbesteed zijn en de persoon die dan voor een departement de IT inkoop doet, moet dan even een stukje schrijven. Omdat een beleidsmedewerker nog minder verstand heeft, gaat deze meestal involledige, ook meestal grotendeels incorrecte troep door naar de afdeling persvoorlichting, die er nog minder van snapt en dan Pino taal er van maakt, die de minister uit mag spreken. Let op! De overheid heeft op een paar organisaties na zijn IT uitbesteed, dus verwacht geen expertise

Natuurlijk zijn er mensen binnen diverse organisaties van de overheid die wel degelijk verstand van zaken hebben, alleen die zijn A meestal in de minderheid en B mogen niet aan het woord komen. En denk nou niet dat de commercie het beter kan. De OV chipkaart is een mooi voorbeeld, laat de commercie het maar, doen. Het kan dan alleen beter gaan dan de overheid.... Bouwfraude.... Omdat de overheid te weinig betaalt voor goede bouwkundigen en projectleiders moeten we alles op de markt zetten, die weten wel hoe het hoort. We mogen geen drank aan minderjarigen schenken, geen straffe boetes, nee we laten de commercie het zelf regelen (mislukt), roken in publieke gelegenheden? Het mag niet, we vertrouwen er op dat de commercie eerlijk zal zijn en het roken niet toe zal staan net als het alcohol onder de 18...

Mensen: wakker worden, commerciele belangen gaan voor overheidsbelang. Een goed advies (zoals niet doen) levert een tevreden klant maar geen geld op, dus zeggen we:wel doen en wij begeleiden.....
08-09-2011, 18:57 door Anoniem
Door N4ppy:
Twee opties
De audits zijn slecht uitgevoerd
De audits zijn goed uitgevoerd.


Optie 3.
De officiële audit methoden niet! omdat ze te bureaucratisch zijn, dus ook organisaties die 100% aan die regels voldoen, zijn redelijk makkelijk te hacken. Zelfs banken, geheime diensten en de audit organisaties zelf.

Er is bewijs genoeg dat er structureel veel mis is met de 'Security' methoden die de universiteiten, certificeerders en commercielen de mensen doen wijs maken.


*Tante anna.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.