Kroes wil meldplicht en richtlijnen na DigiNotar-blunder

De Europese Commissie wil vanaf volgend jaar richtlijnen om het vertrouwen in certificaat-autoriteiten als DigiNotar in de toekomst te herstellen. Eurocommissaris Neelie Kroes denkt verder na over een mogelijke meldplicht voor digitale inbraken.

Neelie Kroes Dat zegt Kroes als reactie op vragen van GroenLinks-Europarlementariër Judith Sargentini. Sargentini stelt dat het vertrouwen in online certificering door 'het schimmige gepruts van DigiNotar' is gekelderd.

De Europese Commissie werkt momenteel aan voorstellen voor een nieuwe strategie voor veilig internet. Zo komt er in 2012 wellicht een herziening van het beleid rond elektronische handtekeningen. Verder komen er normen voor certificaatverstrekkers. Wat die precies inhouden, is nog niet bekend.

Sargentini pleit voor een onderzoek naar alternatieven voor het huidige pki-systeem. Kroes bestrijdt echter dat hier een knelpunt zit; volgens haar is er geen fundamenteel probleem met het huidige systeem. Daarnaast zouden alternatieven nog niet veilig genoeg zijn. Wel moeten er richtlijnen en een meldplicht voor inbraken bij bedrijven als DigiNotar komen. "Uit de DigiNotar-kwestie blijkt namelijk dat informatie over de status van certificaten niet tijdig beschikbaar was", schrijft Kroes.

Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging failliet. Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten 'ict-brandweer'.

IT-banen

Reacties (12)

Verwijderd 20 oktober 2011 11:51

"Sargentini stelt dat het vertrouwen in online certificering door 'het schimmige gepruts van DigiNotar' is gekelderd."

Ik denk dat zij daar wel gelijk in heeft, vooral als je bedenkt dat ook banken etcetera gebruikmaken van zulke certificaten. Gelukkig worden daar nog andere beveiligingsmaatregelen door gebruikt.

Het nieuws de afgelopen tijd waarin vooral duidelijk werd dat de iraanse hacker met relatief gemak deze certificaten genereerde heeft denk ik veel mensen wakker geschud. Maar dat ondermijnt ook het vertrouwen in certificaat verstrekkers die hun zaakjes wel op orde hebben. De vraag is dan: hoe kom je daar achter? Kan ik bepaalde certificaat verstrekkers automatisch blokkeren?

[Reactie gewijzigd door Verwijderd op 31 juli 2024 12:22]

EektheMan @Verwijderd • 20 oktober 2011 12:59

Maar dat ondermijnt ook het vertrouwen in certificaat verstrekkers die hun zaakjes wel op orde hebben. De vraag is dan: hoe kom je daar achter? Kan ik bepaalde certificaat verstrekkers automatisch blokkeren?

Sarentini vraagt ook:
Overweegt u — mede in het licht van eerdere incidenten(3) en de recent door de Commissie uitgevoerde consultatie over dit onderwerp — stappen te zetten om de kwaliteit van certificeringsautoriteiten en certificaten wettelijk te waarborgen en de intrekking van certificaten te vereenvoudigen in geval van calamiteiten?

Publieke consultatie info: klik

Natuurlijk is het nog slechts in een consultatieronde en kun je er nog geen conclusies aan verbinden. Maar bij gebrek aan beter doe ik het lekker toch ;-)

Ik haal er even 2 punten uit:

The unclear distinction between supervision and accreditation was reported.

Je hebt nu de EU Trusted List waar de geaccrediteerde certificaat providers in staan. Landen mogen daar zelf hun nationaal erkende providers aan toevoegen. Supervisie is niet gegarandeerd en verschilt per land.

The audience was of the view that very accurate regulation is needed but should not
include standards. Furthermore, it should be principle-based and not technology
driven with a focus on trust instead on technical mechanisms. A focus on legal rather
than technical aspects would be imperative.

Standaarden is iedereen het over eens, maar wil je dan dat er supervisie op de standaarden komt? Ik lees van niet en kan dan ook niet inzien waar het vertrouwen vandaan moet komen. Dat die bedrijven bij misstanden eventueel aangeklaagd kunnen worden?

Jij wilt graag handmatig certificaat verstrekkers blokkeren, maar ik had liever gezien dat er wel een technisch mechanisme werd ontwikkeld waarbij een EU instantie met een druk op de knop een geinfecteerde certificaat provider kan wisselen voor een veilige. Niet alle EU burgers zijn zo handig als Tweakers. Geeft me voorlopig weinig vertrouwen in een simpele non-techische oplossing voor de gemiddelde burger.

[Reactie gewijzigd door EektheMan op 31 juli 2024 12:22]

RazorBlade72nd @EektheMan • 21 oktober 2011 00:02

Jij wilt graag handmatig certificaat verstrekkers blokkeren, maar ik had liever gezien dat er wel een technisch mechanisme werd ontwikkeld waarbij een EU instantie met een druk op de knop een geinfecteerde certificaat provider kan wisselen voor een veilige.

Ik denk dat de Iraanse overheid dat ook wel handiger had gevonden. Dan hadden ze diginotar niet hoeven te hacken.

Jarrean @Verwijderd • 20 oktober 2011 11:53

En de overheid met onze persoonsgegevens..

Roland684 20 oktober 2011 14:14

Een meldplicht nu we net gezien hebben dat gepruts je faillisement betekent... Wie gaat een fout dan nog melden?

betatester @Roland684 • 20 oktober 2011 17:56

Ze zijn failliet door het juist NIET melden van de inbraak.

Verwijderd @betatester • 20 oktober 2011 23:47

Ze zijn failliet door het juist NIET melden van de inbraak.

en het niet op tijd melden van de "kraak" Ze waren al in Juli gekraakt. Terwijl de zaak begin sept. pas aan het licht(gemeld) kwam.
http://www.rtl.nl/%28/act...er_al_in_juli_gehackt.xml

Richtlijnen hadden allang gesteld moeten worden door Den Haag.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 12:22]

Sorcerer8472 20 oktober 2011 11:57

Wettelijke richtlijnen over hoe men moet omgaan met computers en gegevensdragers waarop root-certificaten aanwezig zijn is misschien ook geen slecht idee...

Bijvoorbeeld niet toestaan die computers direct of indirect op internet aan te sluiten is geen slecht idee. En voorwaarden waaraan de computers en datadragers zelf moeten voldoen is ook geen slecht idee (bijv. als je Windows draait op je root-certificate server, dan moet autorun uit, en mogen geen externe programma's worden uitgevoerd, zoiets).

Uiteraard is het allemaal niet waterdicht (je hoeft maar een rotte appel tussen de werknemers te hebben zitten), maar het is allicht een kleine stap in de goede richting.

Inny @Sorcerer8472 • 20 oktober 2011 12:08

Dit zijn al bestaande eisen. Echter is het probleem dat ze, zo blijkt, niet juist opgevolgd en niet gecontroleerd worden.

Een wettelijke plicht dit zo te doen is niet voldoende, het moet gecontroleerd en afgedwongen worden.

[Reactie gewijzigd door Inny op 25 juli 2024 01:32]

RazorBlade72nd 20 oktober 2011 23:51

Het hele idee is juist dat je zelf kan bepalen wie je vertrouwd. Daar kan je als overheid geen invloed op uitoefenen. Ze kunnen hooguit een keurmerk maken, maar het is juist diezelfde overheid geweest die vertragend heeft gewerkt op het verwijderen van de diginotar certificaten. Dus of de overheid te vertrouwen is valt ook nog maar te bezien.

robkamp 20 oktober 2011 11:59

Als eerste zou iedere Nederlander op zijn paspoort een certificaat geven en iedereen verplicht moeten zijn om zich, in het digitale verkeer, te authentiseren met dat certificaat.

Als tweede zouden ISPs alleen maar versleutelde verbindingen moeten toestaan die met zo'n certificaat opgezet zijn.

Als derde zou alleen mailverkeer toegestaan moeten zijn met een, door een geautoriseerd certificaat, ondertekende mail.

(Big Brother, anyone)

[Reactie gewijzigd door robkamp op 31 juli 2024 12:22]

Verwijderd @robkamp • 20 oktober 2011 12:06

Obvious troll is obvious...

Daar gaat het helemaal niet over. Het gaat over de veiligheidsnormen van de certificaatsverstrekkers, niet over hoe de aangemaakte certificaten moeten gebruikt worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (12)

Sorteer op:

Weergave: