De Public Key Infrastructure voor de overheid (PKIoverheid) bestaat bijna 20 jaar. PKIoverheid (ook wel PKIo) is een op digitale certificaten gebaseerde infrastructuur en maakt digitale communicatie mogelijk met, door en binnen de Nederlandse overheid. Publieke en private Trust Service Providers (TSP) binnen het PKIoverheid stelsel realiseren betrouwbare uitgifte van PKIo-certificaten. De ‘root’ van PKIo-certificaten is De Staat der Nederlanden. De certificaten kennen verschillende toepassingen: authenticatie van personen, website beveiliging, veilige versleutelde berichtenuitwisseling tussen servers, en digitaal ondertekenen of waarmerken. Inmiddels zijn er zo’n 650.000 PKIo-certificaten in gebruik. Dit aantal is al enkele jaren redelijk constant.

 

Kan PKIo nog groeien?

Het plafond van PKIo is zeker nog niet bereikt. Hoewel een groot deel van die certificaten wordt ingezet voor overheidswebsites en server-communicatie is daar nog zeker groei mogelijk. Een ruwe inschatting is dat binnen het overheidsdomein ongeveer 40% van de websites met een PKIo-certificaat is beveiligd. Voor berichtenuitwisseling tussen servers is een PKIo-certificaat verplicht vanuit Digikoppeling als standaard voor het aansluiten op Digipoort. Ook in afsprakenstelsels zoals eHerkenning en MedMij is het gebruik van een PKIo-certificaat voorgeschreven. Maar er zijn er nog diverse ‘eigen’ PKI-oplossingen binnen de overheid voor server communicatie in een specifiek domein (RDW, DUO). De keuze voor toch liever een eigen oplossing wordt gedreven door kosten (PKIoverheid is te duur) en controle willen hebben (geen ‘last’ van alle PKIoverheid regels).

De toepassing van PKIo-certificaten voor authenticatie en ondertekenen is beperkt. Bijvoorbeeld in eHerkenning zijn slechts een paar honderd authenticatiemiddelen geregistreerd die gebaseerd zijn op een PKIo-certificaat. Digitaal waarmerken vindt sporadisch plaats door partijen zoals KvK (uittreksel handelsregister) en DUO (diploma uit diplomaregister). Maar een eigendomsinformatiedocument van het Kadaster is dan weer niet digitaal gewaarmerkt met PKIo.

Kortom: iedere overheidsorganisatie maakt haar eigen afweging om voor specifieke gebruiksdoeleinden al dan niet PKIo toe te passen. Ook na 20 jaar is PKIo nog geen gemeengoed.

Kan verplichtstelling helpen om PKIo te laten doorbreken?

Voor het beveiligen van overheidswebsites is het verplichtstellen van PKIo zeker een optie. Ondanks dat de beveiligingsmeerwaarde beperkt is ten opzichte van andere, commerciële digitale certificaten, geeft een PKIo-certificaat aan dat het om een overheidswebsite gaat. Het wordt dan onderdeel van het overheidswaarmerk en straalt vertrouwen uit. Dat effect versterkt zodra alle overheidswebsites PKIo toepassen. Een passende manier om PKIo af te dwingen voor websites zou via opname in de pas-toe-of-leg-uit (PTOLU) lijst van het Forum Standaardisatie zijn.

Veilige berichtenuitwisseling tussen servers van overheidsorganisaties kan heel goed op basis van PKIo-certificaten. De Baseline Informatiebeveiliging Rijksoverheid (BIR) vindt dit al een voorkeursoptie voor veel situaties. Het ook verplichten voor niet-overheidspartijen druist echter in tegen o.a. de Europese eIDAS verordening over vertrouwensdiensten en is niet wenselijk. Voor servercommunicatie is het beter om eisen te stellen aan het betrouwbaarheidsniveau van het te gebruiken certificaat in plaats van algemene verplichtstelling van PKIo.

Lastiger wordt het om PKIo-certificaten verplicht te stellen voor authenticatiedoeleinden. Voor de eigen overheidsmedewerkers kan dit, maar voor andere personen ligt dit niet voor de hand. Voor authenticatie zijn al diverse andere oplossingen, zoals DigiD en eHerkenning voor het burgerdomein en iDIN voor het consumentendomein. Daarbij zijn er steeds meer Europese, eIDAS genotificeerde middelen. Veel concurrentie en interferentie met eIDAS, wat verplichtend gebruik van PKIo verhinderd.  

Tot slot digitaal ondertekenen of waarmerken. Dit is nog een relatief onontgonnen gebied waar enige harmonisatie wenselijk is. Ook hier geldt, net als bij de websites, dat alle door de overheid gecommuniceerde officiële stukken best met een PKIo-certificaat gewaarmerkt mogen zijn. Ook dit zou middels de PTOLU-lijst kunnen.

De onderstaande figuur vat de visie van uniforme toepassingen van PKIo samen voor het overheidsdomein. Binnen de overheid en vanuit de overheid naar buiten ligt toepassing van PKIo voor de hand. Voor communicatie van burgers en bedrijven richting de overheid is PKIo niet verplicht, maar kan wel. In ieder geval dient aan specifieke betrouwbaarheidsniveaus te worden voldaan.

Een te overwegen extra stimulans voor de adoptie van PKI-overheid is de verplichtstelling ervan in de vitale en kritische sectoren die vallen onder de wet beveiliging netwerk- en informatiesystemen (Wbni). Dit zal kostenverlagend en bewustzijnsverhogend werken.

Complexiteit van PKIo

Binnen de Nederlandse overheid worden vier typen PKI-oplossingen gebruikt. Twee soorten PKIo, één met een publieke en één met een interne root. Daarnaast zijn er commerciële PKI’s (bijvoorbeeld Sectigo, GlobalSign, Symantec) en eigen domein PKI’s (DUO, RDW).

Idealiter zou je alleen de twee PKIo-oplossingen willen zien bij de overheid: een interne private variant voor veilige en betrouwbare communicatie tussen overheden onderling en een externe publieke variant voor communicatie met burgers en bedrijven. Externe partijen die met de overheid willen communiceren kunnen kiezen tussen een commercieel of PKIo-certificaat. Zoals gezegd, zijn er vanuit kosten- en controleoverwegingen een aantal overheidsorganisaties met een eigen root. Zouden die kunnen overstappen naar de private PKIo-root om adoptie verder te stimuleren?

Herbezinning

Om grootschaliger gebruik van PKIo mogelijk te maken en organisaties te laten overstappen van eigen of commerciële varianten, is enige herbezinning rondom PKI-overheid noodzakelijk. Bijvoorbeeld of het wenselijk is dat aan PKI-overheid zowel publieke en private leveranciers meedoen zoals nu het geval is Deze situatie zorgt voor enigszins onbehaaglijke situaties dat de Nederlandse overheid mede namens private partijen onderhandelt met CAB-forum. Of dat overheidspartijen worden gedwongen om certificaten af te nemen bij private partijen waarmee ze ogenschijnlijk controle verliezen en duur uit zijn. Zou het niet beter zijn om alleen publieke leveranciers te hebben? Een ander punt voor herbezinning is de scope van PKI-overheid. De uitgangspunten en doelstellingen van 20 jaar geleden zijn niet meer dezelfde als die van nu. In de loop der jaren is veel veranderd: meer focus op server certificaten, een publieke en private root, veel aandacht voor het CAB-forum, en de komst van de Europese eIDAS verordening. Enige herbezinning of herijking op dit vlak zal ook helpen om voor de nabije toekomst PKI-overheid beter en gerichter in te zetten. Lastige materie…PKIo….

Deze blog is gebaseerd op onderzoek door InnoValor in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties over de mogelijkheden voor het stimuleren van het gebruik van PKIo-certificaten. Het onderzoeksrapport is hier te vinden.

Bob Hulsebosch & Henny de Vos