home Pagina Producten & Diensten
Telefonische support
Training
Installatie bij de klant
Klant specifieke ontwikkeling
RMA
Waarom Compumatica?
Ervaring in de markt
Certificering
Persoonlijk contact
Speciale ontwikkeling
Support
Over ons
Bedrijfsprofiel
Bedrijfsfilosofie
Geschiedenis
Missie & Visie
Referenties
MVO
Vacatures
Cyber Security Keten
Nieuws
Beurzen
Pers publicaties
Blog

Pers publicaties

  • eIDAS verordening. Maak niet de verkeerde keuze.

    eIDAS staat voor ‘Elektronische Identificatie en Trust Services voor elektronische transacties op de Interne Markt’

    eIDAS is beschreven in de verordening 910/2014 van de EU. Hiermee reguleert de EU de markt. De digitale grenzen verdwijnen en de eID middelen van de EU-landen kunnen door andere landen worden geaccepteerd.

    Een groot deel van deze wet gaat over vertrouwensdiensten, zoals elektronische handtekeningen, elektronische levering, elektronische seals, website authenticatie. De eIDAS verordening zorgt ervoor dat elektronische handtekeningen dezelfde rechtsgeldigheid hebben als de handgetekende waardoor overeenkomsten digitaal kunnen worden bekrachtigd.

    In dit schrijven wil ik mij beperken tot de essentiële basis van eIDAS, de HSM. (Hardware Security Module) Indien u meer informatie wilt over eIDAS kunt u terecht op de websites die onder dit artikel worden genoemd.

    Certificeringen

    Het is voor HSM-fabrikanten gebruikelijk om de security van hun producten te laten evalueren door een onafhankelijke auditing partij. Deze audits worden in de regel uitgevoerd tegen internationaal erkende standaarden voor security evaluatie. De twee belangrijkste standaarden zijn de FIPS certificering en de Common Criteria certificering.

    Federal Information Processing Standard (FIPS) 140-2

    Deze standaard wordt onderhouden door het National Institute of Standards and Technology (NIST) NIST is een Amerikaanse overheidsorganisatie. De FIPS 140-2 standaard kent 4 niveaus waaraan een module kan worden ge-evalueerd.

    Level 1 – laagste niveau; basis security vereisten zijn gespecificeerd

    Level 2 – bevat vereisten voor tamper bewijs, gebruikers authenticatie

    Level 3 - bevat vereisten voor tamper detectie/beveiliging (tamperproof), data zeroïsation, en kent verschillende gebruikers rollen

    Level 4 - het hoogste niveau; binnendringen in de module wordt met hoge kans gedetecteerd, eisen op gebied van omgevingsbeveiliging.

    Common Criteria Evaluation Assurance Levels (CC-EAL)

    Common Criteria is een internationaal erkende set van standaarden voor de evaluatie van security hardware en software. Het is een strak gereguleerd proces met de volgende karakteristieken: Het product onder evaluatie noemt men 'Target of Evaluation' of TOE Het TOE wordt ge-evalueerd tegen een Protection Profile (PP); dit is een profiel gedefinieerd door een gebruiker of gebruikers community, als voorbeeld de SSCD (Secure Signature Creation Device) een profile uit de basis van de European Digital Signature Directive.

    De evaluatie wordt uitgevoerd op basis van een zogenoemde “Security Target” (ST) een gedetailleerd beschrijvend document van de securityfuncties van de TOE en verwijst naar het Protection Profile. Als een product is ge-evalueerd wordt dit geclassificeerd met een Evaluation Assurance Level (EAL) in variatie van 1 tot 7 waar 1 is de laagste en 7 de hoogste kwalificatie. (Minimaal Level 4 voor HSM) Als een HSM overeenkomstig Common Criteria is ge-evalueerd is het aanbevolen dat de EAL tenminste 4 is.

    Zulke uniforme standaarden geven bedrijven nieuwe mogelijkheden om zaken te doen. Ze kunnen nieuwe markten aanboren en zakendoen in andere Europese landen op zeer veilige en compliant manier. De meest relevante Protection Profile voor HSM’s, “Cryptographic Module for Trust Services”, is recent gecertificeerd door een goedgekeurd test laboratorium. Let op, alleen de HSM van een Duitse fabrikant is ge-evalueerd overeenkomstig dit Protection Profile waar de definitieve Common Criteria certificering wordt verwacht tegen het eind van Q1 2018.

    Tot dusver is geen enkele andere HSM-fabrikant gecertificeerd! Laat u niet verwarren door de vermeldingen op http://www.commoncriteriaportal.org/products

    HSM-fabrikanten hebben een actieve rol in het opstellen van security requirements en Protection Profiles bij het European Committee for Standardization (CEN). Het doel is voorzien in secure qualified signatures, seals en time stamps in overeenstemming met de EU eIDAS regulation.

    Certificering tegen het juiste Protection Profile garandeert dat u deze mag gebruiken voor eIDAS toepassingen. Zie hiertoe vooral http://www.commoncriteriaportal.org/files/ppfiles/ANSSI-CC-PP-2016_05%20PP.pdf  Enkele fabrikanten verwijzen graag naar de website met goedkeuringen, http://www.commoncriteriaportal.org/products/  hier staat echter tot op de dag van vandaag, 26-02-2018 geen enkele HSM die tegen het juiste Protection Profile is gecertificeerd!

    noot: Within the EU, the Protection Profile for Secure Signature Creation Devices (SSCD) (European standard CWA 14169) is a valuable profile for evaluation.

    Een Engelse fabrikant van HSM’s schrijft op haar website het volgende: To help our customers comply with increasingly rigorous requirements, Thales has earned Common Criteria (CC) EAL4+ (AVA_VAN.5) certification which recognizes nShield HSMs as Secure Signature Creation Devices (SSCDs). HSMs with this certification and SSCD recognition are compliant with the EU's eIDAS regulations* - Electronic Identity, Authentication, and Signature - designed to ensure that digital signatures, time stamps, and other transactional data comply with cross-border standards.

    (* Article 51, Transitional Measures)

    Deze fabrikant heeft de CC certificering in Mei 2016 gekregen, er was toen nog géén finaal eIDAS Protection Profile (alleen een ‘draft’) als je op de Common Criteria website gaat kijken vindt je het volgende;

    https://www.commoncriteriaportal.org/files/epfiles/st_thales_nshield_v1.0_public.pdf Op pagina 3 – under 0.2 scope of document: The ST is based on a draft version of “Protection profiles for Secure signature creation device — Part 2: Device with key generation, prEN 14169-2: 2010”;

    De titel van dit stuk, ‘Maak niet de verkeerde keuze’, is een waarschuwing voor een desinvestering. Op dit moment, 26-02-2018, is er nog geen enkele HSM gecertificeerd voor eIDAS toepassingen. Het is ook NIET mogelijk om een reeds aangeschafte HSM te “upgraden” naar CC EAL 4 omdat vanaf de productie en logistiek aan bepaalde voorwaarden en eisen moet worden voldaan.

    Wie zijn de belangrijkste spelers op de Europese markt?

    In Europa bepalen 3 vendors de markt, dit zijn Thales (incl. nCipher), Gemalto (incl SafeNet) en Utimaco. Van oudsher is Thales zeer dominant op het gebied van Payment HSMs (PayShield) en heeft met de overname van nCipher haar portfolio uitgebreid. Gemalto, zeer bekend van de smartcards en SIMs, heeft met de overname van SafeNet een stuk van de HSM markt verkregen. Kort geleden heeft Thales een overnamebod gedaan op Gemalto nadat ATOS een te laag bod had uitgebracht. Thales dreigt daarmee een substantieel deel van de markt in handen te krijgen. Utimaco is een echte “runner-up” in de HSM markt en is hard aan het groeien door het leveren van een zeer prijsgunstig, flexibel en betrouwbaar compleet systeem.

    Zie vooral ook: https://www.mrrse.com/hardware-security-modules

    Meer informatie over eIDAS:

    www.eidas2018.eu

    https://www.logius.nl/fileadmin/logius/ns/evenementen/roadshow_toegangsdiensten/Roadshow_eIDAS.pdf 

    https://www.eherkenning.nl/aansluiten-op-eherkenning/eidas

    https://ec.europa.eu/digital-single-market/en/trust-services-and-eid