Vooraf: Ik wil het niet hebben over het mogelijke gebrek aan efficëntie van KPN, maar over het verwijt van SRA dat de uitgifte van door KPN ondertekende certificaten onveilig zou zijn. Dat laatste is m.i. niet aan de orde, en KPN is al genoeg "gebashed" de laatste tijd.

Nu.nl meldt vandaag: 'KPN onderschat vervanging Diginotar-certificaten' (zie [url]http://www.nu.nl/internet/2756070/kpn-onderschat-vervanging-diginotar-certificaten.html[/url]), althans, "Dat stelt SRA, een netwerk van accountantskantoren maandag in een brandbrief aan de Belastingdienst en andere betrokken partijen."

In [url]http://www.sra.nl/diginotar/Pages/default.aspx[/url] lees ik: [quote][i][/i]Maandag 5 maart 2012
[b]SRA verstuurt brandbrief migratie DigiNotar certificaten / veiligheid KPN BAPI dienstverlening.[/b]
...
Download de brandbrief >> [url]http://www.sra.nl/diginotar/Documents/Brandbrief-migratie-certificaten-veiligheid-KPN-BAPI-Dienstverlening-05032012.pdf[/url][/quote]
In die brief beschrijft SRA het downloadproces van het door KPN ondertekende certificaat:[quote][i]SRA op 5 maart 2012: [/i]...
Na de aanvraag ontvangen de aanvragers een email (De Belastingdienst accepteert geen emails):
[quote][i]E-mail van KPN aan aanvragers: [/i]Hierbij ontvangt u de bevestiging van uw certificaataanvraag. Per post ontvangt u in een beveiligde enveloppe uw certificaatinformatie en intrekcode. U dient deze bevestiging goed te bewaren. U heeft deze gegevens nodig om uw KPN BAPI certificaat indien nodig in te trekken. Na ontvangst van deze email duur het maximaal 24 uur totdat u uw KPN BAPI certificaat kunt downloaden van de KPN BAPI website. Hiervoor heeft u uw dossiernummer nodig.
Download link: [url]https://kpnbapi.managedpki.com/zoeken[/url]
Dossiernummer: [i]1234567890[/i]
Graag verwijzen wij u naar de Bijzondere Voorwaarden KPN BAPI Certificaten en Certification Practice Statement ([url]https://kpnbapi.managedpki.com[/url]). Voor vragen over de installatie van de certificaten of het gebruik ervan kunt u contact op te nemen met uw software leverancier of de Belastingdienst.[/quote]
Wat direct opvalt is dat de hyperlink in de e-mail voor het downloaden van het certificaat een algemene link is. Je vult vervolgens op deze site je dossiernummer in, waarna je zonder pincodes of iets dergelijks de certificaten kunt downloaden.

Op de site van DigiNotar zijn de certificaten ook te zoeken en te downloaden. Echter met een [u][b]belangrijk verschil[/b][/u]. Bij DigiNotar moet naast het dossiernummer ook een code worden ingegeven om het certificaat te downloaden. Bij [u][b]KPN[/b][/u] is dit op dit moment [u][b]alleen[/b][/u] het dossiernummer. Het feit dat certificaat en pincode beide nodig zijn voor het vervolg, maakt het in ieder geval veiliger dan alleen certificaat.

Op dit moment is de zaak echter schijnbaar volledig te hacken. Gewoon wat dossiernummers uitproberen (hier zullen vast wel scriptjes voor te bedenken zijn) en je kunt elk willekeurig certificaat downloaden. Eenmaal gedownloaded kun je het certificaat openen en bekijken tot welke organisatie deze toebehoort. SRA beschikt inmiddels over printjes hiervan.
Als het goed is kun je er verder nog niks mee als je niet in het bezit bent van een pincode. Maar het feit dat iedereen in staat is om certificaten van een ander te kunnen downloaden en te bekijken, is gewoon vragen om problemen, zeker met de actieve hackers van tegenwoordig en de opgedane ervaring met DigiNotar.
Als in de brief zowel het dossiernummer als de pincode staat zoals ook wordt aangegeven, dan is dit [u][b]absoluut een onacceptabel risico[/b][/u].

De reactie van KPN over bovenstaande is onthutsend. Een onderdeel van de reactie is dat de naam die je bijvoorbeeld kunt opvragen publieke informatie is (naam van een kantoor is immers ook op te vragen bij KvK). Maar een certificaat is geen publieke informatie, een certificaat behoort een kantoor toe! Men`wil toch ook niet dat zomaar iedereen iemands bankpas kan downloaden, ook al is de bankpas alleen maar te gebruiken als je de persoonlijke pincode weet. Men gaat dit wellicht op korte termijn aanpassen stelt men (men is dus gewoon niet klaar….!).
...[/quote]
Het is duidelijk dat de SRA niet weet hoe certificaten werken.

Een korte uitleg: een digitaal (X.509) certificaat is een bestandje met een [i]publieke[/i] sleutel en identificatiegegevens van de eigenaar, digitaal ondertekend door een Certificate Authority nadat die CA heeft vastgesteld dat die public key daarwerkelijk aan de opgegeven eigenaar toebehoort. De grootste risico's zijn dat de [i]private[/i] key in handen van derden valt en/of dat een (gecompromitteerde) Certificate Authority, bewust of onbewust, een certificaat uitgeeft [i]namens[/i] iemand anders.

In principe is een certificaat een publiek gegeven. Elke https website zal haar certificaat direct prijsgeven. Enig afgeschermd gebruik is denkbaar indien de te garanderen gegevensuitwisseling zich beperkt tot een aantal vertrouwde instanties. In dat geval zou er sprake kunnen zijn van een privacy issue.

Echter ik kan me niet voorstellen dat iemand 10-cijferige codes gaat zitten invoeren in [url]https://kpnbapi.managedpki.com/zoeken[/url] om vervolgens certificaten te vinden met gegevens die ook al bij de Kamer van Koophandel te vinden zijn, en public keys waar je (mits ze zorgvuldig gegenereerd zijn), niets aan hebt. De toevoeging van 4 cijfers pincode helpt dan wel wat maar valt geenszins te vergelijken met een degelijke passphrase. Oftewel, KPN handelt juist op dit punt.

Als KPN certificaten en [i]bijbehorende private keys[/i] zou vrijgeven via een 10 cijferige code zou de SRA terecht mogen klagen, maar dat zou ze ook moeten doen als daar een 4-cijferige pincode bij zou komen. Maar als het goed is krijgt KPN de private keys van te ondertekenen certificaten nooit in haar bezit, en kan ze dus ook niet publiceren.