image

Versleuteling van DigiD-gegevens voldoet niet aan eisen

donderdag 18 mei 2017, 10:06 door Redactie, 24 reacties

DigiD-gegevens worden gedeeltelijk versleuteld opgeslagen, maar de gebruikte encryptie voldoet niet aan de gestelde eisen, zo blijkt uit onderzoek (pdf) van de Algemene Rekenkamer naar het ministerie van Binnenlandse Zaken. Vorig jaar maakten ruim 13 miljoen mensen zo'n 250 miljoen keer gebruik van DigiD.

De afgelopen jaren constateerde de Rekenkamer dat DigiD niet volledig voldeed aan belangrijke informatiebeveiligingseisen. Het ging hierbij om de periodieke uitvoering van veiligheidsonderzoeken, het versleutelen van gegevens en actieve controles op systeemvastleggingen (logging en analyse). Het ministerie heeft vorig jaar verschillende acties ondernomen om deze beveiligingsrisico's weg te nemen. Iets dat in mei vorig jaar door middel van een onafhankelijke audit is bevestigd.

De Rekenkamer meldt nu dat DigiD-gegevens gedeeltelijk worden versleuteld, maar dat de gebruikte encryptie niet volledig voldoet aan de gestelde eisen van het Tijdelijk besluit nummergebruik overheidstoegangsvoorziening uit 2004. "Omdat op andere manieren veiligheidsmaatregelen zijn genomen die het risico van misbruik van gegevens tot een gering risico beperken, heeft het ministerie in oktober 2016 het besluit genomen het restrisico te accepteren", aldus de Rekenkamer. De encryptie zal volgens demissionair minister Plasterk in de opvolger van DigiD worden toegepast, die naar verwachting begin 2018 zal worden uitgerold.

Inloggen

Verder vraagt de Rekenkamer ook aandacht voor het gebruik van DigiD. Van de ongeveer 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie). "In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of donorgegevens", schrijft de Rekenkamer. Plasterk geeft aan dat het toepassen van het juiste betrouwbaarheidsniveau de verantwoordelijkheid is van de betreffende organisatie. Eind maart 2017 is voor onder meer de studiefinanciering en toeslagen een proef gestart waarbij er met een DigiD-app ingelogd kan worden.

Reacties (24)
18-05-2017, 10:14 door Anoniem
Ik zou maar haast maken met veel betere encryptie: de Kwantum-computer bestaat namelijk al.
http://m.datanews.knack.be/ict/nieuws/ibm-bouwt-zijn-krachtigste-kwantumcomputer-tot-nu-toe/article-normal-854017.html
18-05-2017, 10:17 door Anoniem
Kijk, zo doet de overheid dat dus....
van de burger wordt van alles geëist, maar zelf....?
18-05-2017, 10:28 door Anoniem
Altijd leuk om eerst het hele land te verplichten je ge-wel-di-ge systemen te gebruiken en er dan later achter te komen dat ze zeg maar een vergiet als best wel goede beveiliging zien. "Oeps" is geen acceptabel antwoord hier.
18-05-2017, 11:27 door Anoniem
SMS is geen 2-factor: https://www.security.nl/posting/479564/NIST+verklaart+ongeschiktheid+sms+voor+2-factor+authenticatie.
Dat was dus bijna een jaar geleden en het gaat niet beter worden als dit.

Dan heb je nog mensen die hun smartphone zowel voor het ontvangen van SMS-jes gebruiken, als voor het browsen naar hun '2FA' website. Dat is dus ook slechts 1-factor (Namelijk je smartphone, die kan namelijk ook bij je SMS-jes).
18-05-2017, 11:44 door Jodelie
De afgelopen jaren constateerde de Rekenkamer dat DigiD niet volledig voldeed aan belangrijke informatiebeveiligingseisen. Maar wat kan dat de Haagse elite schelen? De laatste jaren worden steeds meer beslissingen genomen die grote afbraak doen aan het recht op privacy waarmee zij laten zien dat het ze geen ruk interesseert of uw en mijn privacy geborgd is.
18-05-2017, 12:03 door Anoniem
heeft het ministerie in oktober 2016 het besluit genomen het restrisico te accepteren
Hoe kun je de burger dan verantwoordelijk houden als het fout gaat.
18-05-2017, 13:53 door Anoniem
"Van de ongeveer 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie)."

Oh interessant, hoe weten ze dat...?
18-05-2017, 14:34 door Anoniem
Door Anoniem: "Van de ongeveer 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie)."

Oh interessant, hoe weten ze dat...?

Ik ben totaal geen expert dus corrigeer me al ik fout zit (graag met argumenten wand daar kan ik van leren).
Is dit niet te zien via een logboek, 1 om te kijken hoe vaak er is ingelogd en 1 om te kijken hoeveel sms’jes er zijn verstuurd.
Deze gegevens zal je dan naast elkaar kunnen leggen, en dan er een conclusie uittrekken.
Bijvoorbeeld:
Er wordt 100x ingelogd en er worden 10 sms’jes gestuurd. De conclusie kan zijn, dat er dan 90% van de mensen geen sms’je krijgen als ze inloggen, en dus geen tweefactorauthenticatie gebruikt.

mvg
MD
18-05-2017, 15:02 door Rclctrnt
En de overheid heeft er altijd al een handje van zichzelf geen hoge eisen te stellen. Als ze die dan zelfs nog niet halen...
18-05-2017, 16:00 door Anoniem
Door Anoniem: "Van de ongeveer 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie)."

Oh interessant, hoe weten ze dat...?
Of ze wel of geen SMS versturen kunnen ze bijhouden. Je vraagt je vermoedelijk af hoe ze weten dat er een eenvoudig wachtwoord is gebruikt. Ik denk dat deze zin, ook uit het rapport, duidelijk maakt dat ze wat anders bedoelen:
Bijvoorbeeld slechts 10% van de raadplegingen met DigiD vindt plaats met wachtwoord én SMS.
Dan blijft 90% met wachtwoord maar zonder SMS over, ongeacht de kwaliteit van het wachtwoord, en dat is precies de 90% uit die andere zin. Het woord "eenvoudig" slaat daarom denk ik niet op de kwaliteit van het wachtwoord maar op de eenvoudige authenticatiemethode met alleen een wachtwoord. Bij de zin die je citeerde heeft de schrijver een beetje geblunderd en iets anders gesuggereerd dan bedoeld werd.
18-05-2017, 16:24 door Anoniem
Door Anoniem:
Door Anoniem: "Van de ongeveer 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie)."

Oh interessant, hoe weten ze dat...?

Ik ben totaal geen expert dus corrigeer me al ik fout zit (graag met argumenten wand daar kan ik van leren).
Is dit niet te zien via een logboek, 1 om te kijken hoe vaak er is ingelogd en 1 om te kijken hoeveel sms’jes er zijn verstuurd.
Deze gegevens zal je dan naast elkaar kunnen leggen, en dan er een conclusie uittrekken.
Bijvoorbeeld:
Er wordt 100x ingelogd en er worden 10 sms’jes gestuurd. De conclusie kan zijn, dat er dan 90% van de mensen geen sms’je krijgen als ze inloggen, en dus geen tweefactorauthenticatie gebruikt.

mvg
MD

Ik ben ook geen expert, maar wat je schrijft klinkt logisch in mijn oren zover als het over 2FA gaat. Maar hoe weten "ze" (de rekenkamer) iets over de sterkte van wachtwoorden?
18-05-2017, 16:49 door karma4
Fiscale gegevens geheim? Om scheef wonen ofwel mensen die een goedkope huurwoning vergeleken met het inkomen te ontmoedigen gingen die naar de geliberaliseerde verhuurders.
Het is een verstoring van de markt door huisjesmelkers alle opties te bieden.
Wie kan nog een woning betalen in Amsterdam.
18-05-2017, 21:05 door Anoniem
Ik heb geen digid, heerlijk
18-05-2017, 21:36 door Anoniem
Als de afscherming niet aan de eisen voldoet maar dat is niet erg, zijn die eisen dan wel goed? Stel dat de eis DES is en je vindt dat geen goed idee, dan voldoe je niet aan de eis maar kun je nog wel veilig zijn omdat je AES gebruikt. Ik noem maar wat hoor.
18-05-2017, 22:42 door Anoniem
Door Anoniem:
Ik ben ook geen expert, maar wat je schrijft klinkt logisch in mijn oren zover als het over 2FA gaat. Maar hoe weten "ze" (de rekenkamer) iets over de sterkte van wachtwoorden?

Net zoals alle informatie in een onderzoek: door het te vragen aan de partij die de dienst uitvoert, Logius dus.
19-05-2017, 00:16 door Anoniem
Door Anoniem: Ik heb geen digid, heerlijk
Dat is verplicht hoorrj, meneer de digibeet. *haalt neus op*
19-05-2017, 00:37 door Anoniem
Dat deskundigen hier op security.nl in staat zijn om inhoudelijk afkrakend commentaar te plaatsen. Het rapport waarop ze reageren heeft namelijk geen diepgang en het verklaart daarmee ook niet wat er precies afwijkt en hoe ernstig dat is.
Het commontaar is speculatie, is emotioneel en toont gebrek aan professionaliteit. In plaats van te speculeren, zoek naar houvast. In plaats van emotioneel te worden, hou het volwassen. In plaats van amateuristisch genoegen te nemen, doe professioneel.

Vergelijk de mogelijkheden van de normen en het rapport eens:
Penetratietests periodiek uitvoeren is een norm maar er is geen uitleg wat periodiek is en hoe vaak het testen moet gebeuren. Ook de diepgang staat niet omschreven. Hoe kan er dan niet aan de norm worden voldoen? Door niet te voldoen aan ongeschreven eisen van de inspecteurs? Door nooit een test te hebben gehouden? Door wel regelmatig tests uit te voeren maar niet periodiek?

De normen over versleuteling zijn 1 sleutels niet onversleuteld op de servers . 2 alleen HTTPS verbindingen 3 gevoelige gegevens versleuteld of hashed opslaan 4 versleutel cookies. Welke van deze normen niet volledig is gehaald is onbekend. Misschien had een cookie niet de juiste flag. Misschien was een sleutel wel versleuteld maar vond de inspecteur de sterkte van de versleuteling net niet sterk genoeg? Had de inspecteur misschien een andere mening over gevoelige gegevens die versleuteld moeten worden? Werd HTTPS wel toegepast maar was deze zwakker om ook met oudere ondersteunde browsers nog te kunnen inloggen?

Norm voor logging: voer actief controle uit op logging. Er niet naar kijken is passief. Maar wanneer is het actief genoeg? Was er geen controle? Werd er 1x per dag controle gehouden maar ging dat niet diep genoeg? Werd er maar 1x per week controle gehouden maar wel met diepgang?

Omdat er te veel mogelijkheden zijn en te weinig duidelijkheid kan je je ook inhouden om meteen te reageren en vragen om verduidelijking van de Algemene Rekenkamer. Een rapport is niet veel waard als de onderbouwing niet valt te controleren.
19-05-2017, 06:51 door Anoniem
Door Anoniem: Ik heb geen digid, heerlijk
Ik helaas wel, omdat ik tussen twee kwade moet kiezen ID of de Post.
19-05-2017, 09:37 door Anoniem
Ze wachten waarschijnlijk tot er ransomware op die bakken staat, is die gebrekkige encryptie ook meteen verholpen - en je hoeft er helemaal niks voor te doen ook nog :)
19-05-2017, 13:25 door Anoniem
Door Anoniem:
Door Anoniem:
Ik ben ook geen expert, maar wat je schrijft klinkt logisch in mijn oren zover als het over 2FA gaat. Maar hoe weten "ze" (de rekenkamer) iets over de sterkte van wachtwoorden?

Net zoals alle informatie in een onderzoek: door het te vragen aan de partij die de dienst uitvoert, Logius dus.

Ik mag aannemen dat ze mijn wachtwoord niet zomaar opslaan zonder deze te versleutelen, dus dan rest de vraag hoe ze hierbij kunnen voor een dergelijk onderzoek?
19-05-2017, 14:14 door Anoniem
Door Anoniem: Dat deskundigen hier op security.nl in staat zijn om inhoudelijk afkrakend commentaar te plaatsen. Het rapport waarop ze reageren heeft namelijk geen diepgang en het verklaart daarmee ook niet wat er precies afwijkt en hoe ernstig dat is.
Het commontaar is speculatie, is emotioneel en toont gebrek aan professionaliteit. In plaats van te speculeren, zoek naar houvast. In plaats van emotioneel te worden, hou het volwassen. In plaats van amateuristisch genoegen te nemen, doe professioneel.

Vergelijk de mogelijkheden van de normen en het rapport eens:
Penetratietests periodiek uitvoeren is een norm maar er is geen uitleg wat periodiek is en hoe vaak het testen moet gebeuren. Ook de diepgang staat niet omschreven. Hoe kan er dan niet aan de norm worden voldoen? Door niet te voldoen aan ongeschreven eisen van de inspecteurs? Door nooit een test te hebben gehouden? Door wel regelmatig tests uit te voeren maar niet periodiek?

De normen over versleuteling zijn 1 sleutels niet onversleuteld op de servers . 2 alleen HTTPS verbindingen 3 gevoelige gegevens versleuteld of hashed opslaan 4 versleutel cookies. Welke van deze normen niet volledig is gehaald is onbekend. Misschien had een cookie niet de juiste flag. Misschien was een sleutel wel versleuteld maar vond de inspecteur de sterkte van de versleuteling net niet sterk genoeg? Had de inspecteur misschien een andere mening over gevoelige gegevens die versleuteld moeten worden? Werd HTTPS wel toegepast maar was deze zwakker om ook met oudere ondersteunde browsers nog te kunnen inloggen?

Norm voor logging: voer actief controle uit op logging. Er niet naar kijken is passief. Maar wanneer is het actief genoeg? Was er geen controle? Werd er 1x per dag controle gehouden maar ging dat niet diep genoeg? Werd er maar 1x per week controle gehouden maar wel met diepgang?

Omdat er te veel mogelijkheden zijn en te weinig duidelijkheid kan je je ook inhouden om meteen te reageren en vragen om verduidelijking van de Algemene Rekenkamer. Een rapport is niet veel waard als de onderbouwing niet valt te controleren.


De enige zinvolle tekst op deze pagina!!! :)
19-05-2017, 14:23 door Anoniem
En nog een citaat uit het rapport:
"De minister van BZK heeft in 2016 acties ondernomen om deze beveiligingsrisico’s weg te
nemen. In mei 2016 is door middel van een onafhankelijke audit bevestigd dat voldoende
maatregelen zijn getroffen."

Verder is het mij compleet onduidelijk welke encryptie er niet op orde is en wat er dan aan scheelt!
20-05-2017, 16:52 door Anoniem
Door Anoniem: SMS is geen 2-factor: https://www.security.nl/posting/479564/NIST+verklaart+ongeschiktheid+sms+voor+2-factor+authenticatie.
Dat was dus bijna een jaar geleden en het gaat niet beter worden als dit.

Dan heb je nog mensen die hun smartphone zowel voor het ontvangen van SMS-jes gebruiken, als voor het browsen naar hun '2FA' website. Dat is dus ook slechts 1-factor (Namelijk je smartphone, die kan namelijk ook bij je SMS-jes).

Zowel DigiD als de opvolger Idensys gebruiken SMS. Maar onze oosterburen laten zien dat dit niet echt veilig meer is.
https://www.helpnetsecurity.com/2017/05/19/ss7-security-issues/
01-09-2017, 23:11 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb geen digid, heerlijk
Dat is verplicht hoorrj, meneer de digibeet. *haalt neus op*

Hoezo 'verplicht'? Ik heb ook geen DigiD en ben beslist geen digibeet. Juist omdat ik in de ICT werk en daarom de beveiliging van onze overheid niet vertrouw heb ik het niet. Onderzoek toont steeds weer aan dat ik terecht geen vertrouwen heb. Dus wie is hier nu de digibeet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.