INFORMATIEBEVEILIGING Let op bredere scope De beoogde controle van het Europese digitaal groen-certificaat is te vergelijken met het controleren van digitale certificaten voor andere toepassingen, zoals de betalingen die mensen dagelijks online verrichten. Veel mensen hebben al jaren ervaring en vertrouwen in het scannen van een QR-code met hun bank-app, waardoor het bewezen veilige technologie is om je identiteit en betalingsbevoegdheid te controleren. “Bij oplossingen voor een gezondheidscertificaat met een bredere scope en een app met meer functionaliteit is het belangrijker te letten op de informatiebeveiliging. Daarbij ontstaat namelijk altijd een spanningsveld tussen de toegevoegde waarde van meer data en functies en het bijbehorende risico op softwarefouten of informatiediefstal. Bij DigiCert hebben wij de afgelopen jaren veel kennis en praktijkervaring opgedaan met het opschalen van projecten om de identiteit van mensen digitaal te verifiëren, waaronder voor het gebruik van SIMkaarten en industriële toepassingen.”
Controle elektronische reisdocumenten Davidson vergelijkt het gebruik, de controle en het beheren van het nieuw te ontwikkelen digitaal groen certificaat met andere elektronische reisdocumenten. “Paspoorten en andere identiteitskaarten bevatten een chip met basis persoonsgegevens die conform
een internationale standaard (ICAO) en organisatie worden beheerd en geverifieerd. Deze standaard beschrijft de Public Key Directory (PKD) technologie voor het digitaal ondertekenen van reisdocumenten, die al ruim tien jaar wordt gebruikt door officiële instanties die reisdocumenten afgeven en bij de toegang tot een land verifiëren. Voor het nieuwe vaccinatiepaspoort ziet de Europese Commissie zichzelf als de ‘trusted party die zorginstellingen in alle lidstaten gaat accrediteren om digitale groene certificaten af te geven. Vergelijkbaar met de versleutelde SSL/TLSbeveiligingscertificaten en de bijbehorende beheeromgeving die DigiCert al sinds 2003 voor verschillende data- en privacygevoelige toepassingen levert.”
Veilig of niet? Davidson verwacht dat het Europese digitaal groen certificaat eenvoudig te gebruiken en veilig wordt. “Europa is begonnen met de wet op het gebied van informatiebeveiliging (lees GDPR), het vastleggen van de doelstellingen en geleerde lessen uit het verleden. Het al in gebruik zijnde inentingsboekje en elektronische reisdocumenten werken in de praktijk al jarenlang effectief en veilig. De oplossing moet op korte termijn door een groot aantal certificaatverstrekkers en -mensen te gebruiken zijn en dus eenvoudig van opzet blijven, gebaseerd op bewezen betrouwbare en veilige digitale certificaten”. Het toevoegen van extra
Geleerde lessen DigiCert is als PKI-specialist en ‘Qualified Trust Service Provider’ (QTSP) betrokken bij veel projecten voor een veilige elektronische ondertekening en verificatie. Op basis daarvan deelde Davidson nog twee belangrijke geleerde lessen. Beperk het verzamelen en opslaan van privacygevoelige persoonsgegevens tot het absolute minimum voor de betreffende toepassing. Daardoor blijft een oplossing compacter en worden er minder fouten gemaakt en data blootgesteld bij het verifiëren ervan. Ten tweede zijn technisch eenvoudig ontworpen systemen met een minimaal datagebruik eenvoudiger te beveiligen, te beheren en beter schaalbaar. Bij het Europese initiatief wordt er straks alleen maar een ja/neevraag gesteld op basis van iemands al bekende elektronisch identiteit.
functionaliteit en benutten van hippe blockchain-technologie zoals door de staat New York brengt onnodige uitdagingen en risico’s met zich mee. “Focus op het doel en transparantie voor de gebruikers met betrekking tot de informatiebeveiliging en -gebruik, zijn zowel van doorslaggevend belang voor een brede acceptatie als de toepassing van het digitaal groen certificaat in alle Europese landen.” Van de redactie 8 | MEI 2021 | INFOSECURITY MAGAZINE
