Nieuws
image

"Nederland moet nieuw certificaatsysteem promoten"

woensdag 14 september 2011, 14:02 door Redactie, 10 reacties

Het SSL-certificatensysteem moet op de schop en de Nederlandse overheid kan daarbij een voortrekkersrol spelen. Dat stelt de Nederlandse burgerrechtenbeweging Bits of Freedom (BoF) "Volgens ons is de Nederlandse overheid als geen ander in staat om uit te leggen wat de risico’s van een falend certificaatsysteem zijn. Dat heeft immers verstrekkende gevolgen voor de communicatie tussen burger en overheid, en voor de interne communicatie bij de overheid."

BoF stuurde een brief naar de Commissie Binnenlandse Zaken. Op 15 september vindt er in de Tweede Kamer een hoorzitting plaats over de inbraak bij DigiNotar. De privacywaakhond merkt op dat meer toezicht op certificaatverstrekkers geen oplossing is. "Het hele certificaatsysteem moet op de schop, en dat is een internationaal proces dat al in gang is gezet maar nog een tijd duurt."

Onderzoek
De Nederlandse overheid kan zich volgens de privacywaakhond op internationaal niveau sterk maken om het certificaatsysteem zo snel als mogelijk te vervangen. Bovendien kan de overheid onafhankelijk wetenschappelijk onderzoek naar de herziening van het certificaatsysteem financieren.

Reacties (10)
14-09-2011, 15:55 door Anoniem
Probleem is: onze overheid gelooft onze eigen wetenschappers vrijwel nooit. Tot vorige week, dat is.
14-09-2011, 18:41 door P5ycH0
Meh.. Die prutsers die het land moeten sturen geloven nog steeds dat we gerust met een OV-Chipkaart kunnen reizen zonder dat daar ernstige nadelen aan kleven voor privacy of financiën.
Zolang er niemand met verstand van zaken in de kamer of regering zit, zijn we aan de willekeur van lobbyisten overgeleverd.
14-09-2011, 19:37 door [Account Verwijderd]
[Verwijderd]
14-09-2011, 19:48 door [Account Verwijderd]
[Verwijderd]
15-09-2011, 10:00 door Anoniem
Wetenschapper kunnen er niets van, de overheid kan er niets van, de buurman is een eikel en je baas oliedom. Dit soort praatjes kennen we nu allemaal wel, lekker makkelijk.

De beste stuurman staat aan wal luidt het spreekwoord. Het suggereert dat iemand in ieder geval nog een poging doet om goede ideeen te opperen. Dat is hier niet eens meer het geval, iedereen loopt alleen maar een beetje te mekkeren over hoe slecht het toch allemaal niet geregeld is (klopt) en dat het vast alleen maar slechter zal worden (klopt ook als iedereen zo'n houding aanneemt). En nu loopt er ook nog eens iemand te mekkeren over het mekkeren van anderen!

Ik vindt het convergence idee van Moxie Marlinspike zo slecht nog niet. Als we zoiets standaardiseren en het in alle browsers beschikbaar maken zijn we een heel eind. Daar kan aanmoediging van een overheid best een positieve rol in spelen. http://convergence.io/
15-09-2011, 10:34 door Anoniem
Bizar. Nu moet de overheid het certificaat probleem oplossen? Een nieuwe systeem is al jaren in de maak (DNSSEC). Het is een internationaal probleem dat een samenwerking vergt van een hele hoop instanties, die allemaal niks te maken het met regeringen (allemaal prive partijen). Mijns inzien moet de overheid er gewoon buiten blijven, ze kunnen alleen de boel in de war gooien.

En BoF kan de pot op. In het begin leek het wel leuk maar ze beginnen steeds meer op een oppositie partij te lijken. Veel geblaat, weinig oplossingen (ja, behalve "de regering moet het fixen", wat geen oplossing is).
15-09-2011, 11:16 door [Account Verwijderd]
[Verwijderd]
15-09-2011, 11:38 door Anoniem
Door Hugo:
Door Anoniem: Een nieuwe systeem is al jaren in de maak (DNSSEC).
DNSSEC is geen alternatief voor PKI.
Niet direct, maar het geeft wel een manier om certificaten te verifiëren zonder dat er een CA voor nodig is. En daar gaat het toch uiteindelijk over?
15-09-2011, 14:07 door Anoniem
Voor DNSSEC heb je nogsteeds eenzelfde infrastructuur nodig als met SSL en dat is nou net het issue, je wilt geen vage centrale authoriteit die je tot in de eeuwigheid moet vertrouwen zonder zelf te kunnen opteren (cliënt-side) voor een andere manier verificatie of authoriteit die de verificatie verzorgd. Dat is wat Moxie Marlinspike bedoelt met 'trust agility'

--Jeroen
15-09-2011, 16:52 door Anoniem
Door Anoniem: Voor DNSSEC heb je nogsteeds eenzelfde infrastructuur nodig als met SSL en dat is nou net het issue, je wilt geen vage centrale authoriteit die je tot in de eeuwigheid moet vertrouwen zonder zelf te kunnen opteren (cliënt-side) voor een andere manier verificatie of authoriteit die de verificatie verzorgd. Dat is wat Moxie Marlinspike bedoelt met 'trust agility'
Er is niks dat jou verbiedt om andere manieren te bedenken om certificaten te vertrouwen. Ga je gang.

Wat DNSSEC doet is een vertrouwen geven dat veel handiger is. De huidige CA model zegt eigenlijk "deze certificaat is van instantie X" wat niet echt nuttig is, want wat heeft instantie X te maken met de website die jij bezoekt? Dit is niet iets wat je automatisch kan verifieren. Via DNSSEC krijg je vertrouwen dat "deze certificaat is van de beheerder van site X". Dus kan je bewijzen dat de als je naar google.com gaat, dat de certificaat die je krijgt aangeboden van de website beheerd wordt door de eigenaar van google.com. In feite wordt iedereen met een domein zijn eigen CA.

Je moet dan wel vertrouwen hebben in je DNS, maar als je dat niet vertrouwt dan kan iemand gewoon je man-in-the-middelen door een foute IP op te geven. Dat gat gaat DNSSEC ook dichten. Die is gelukkig wat moeilijker te misbruiken (behalve in Iran).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search