Sleutels van vertrouwen
TTP's, digitale certificaten en privacy
Achtergrondstudies en Verkenningen 22
Voorwoord
Digitale certificaten zullen in de toekomst een cruciale rol spelen
bij het faciliteren van betrouwbare en vertrouwelijke elektronische
communicatie en transacties. Voor het gebruik van digitale
certificaten is een zogenaamde public-key infrastructure (PKI) nodig.
Een belangrijke rol binnen zo'n infrastructuur spelen trusted third
parties (TTP's). Zij vergewissen zich van de identiteit of andere
attributen van iemand en geven ter bevestiging daarvan vervolgens een
digitaal certificaat uit.
Nederland staat aan de vooravond van grootschalige invoering van
TTP's, zowel publiek als privaat. De taskforce PKI overheid ontwerpt
een PKI voor communicatie en transacties met de overheid. Het project
TTP.NL is een zelfreguleringsinitiatief van aanbieders en afnemers van
TTP-diensten. Beide initiatieven kunnen een belangrijke positieve
bijdrage leveren aan het tot stand komen van een goede infrastructuur,
en daarmee aan de bescherming van de privacy on-line.
Willen TTP's hun voortrekkersrol als aanbieders van privacy-enhancing technology waar kunnen maken, dan is het wel nodig dat zij ook een aantal randvoorwaarden in acht nemen met betrekking tot de goede omgang met persoonsgegevens. De belangrijkste randvoorwaarden komen voort uit de Europese richtlijn over bescherming van persoonsgegevens, die in Nederland is geïmplementeerd in de Wet bescherming persoonsgegevens. Dit rapport is de eerste uitwerking van de gevolgen van deze randvoorwaarden voor de TTP-sector. Daarbij is steeds gezocht naar een balans tussen het belang van goede ondersteuning voor elektronische communicatie en transacties enerzijds en het recht op bescherming van de persoonlijke levenssfeer anderzijds.
De Registratiekamer doet op basis van de analyse in dit rapport een
aantal aanbevelingen. Dat neemt niet weg dat het uitdrukkelijk bedoeld
is als een handreiking voor de discussie over TTP's en privacy, niet
als het laatste woord over het onderwerp. Concrete ervaringen in
projecten zoals hierboven genoemd zullen een belangrijke toetssteen
vormen voor de bevindingen in dit rapport.
mr. P.J. Hustinx
Voorzitter van de Registratiekamer
Publicaties in de serie Achtergrondstudies en Verkenningen zijn het
resultaat van onderzoeken uitgevoerd door of in opdracht van de
Registratiekamer. Met het uitbrengen van de publicaties beoogt de
Registratiekamer de discussie en meningsvorming te stimuleren over
ontwikkelingen in de samenleving waarin de persoonlijke levenssfeer
van de burger in het geding is.
Registratiekamer, Den Haag, maart 2001
ISBN 90 74087 264
Druk: Sdu Grafisch Bedrijf bv
Inhoudsopgave
Voorwoord
1 Ten geleide
2 TTP's in Nederland
3 Cryptografie, digitale certificaten, PKI en TTP's
3.1 Elektronische communicatie
3.2 Veiligheid en betrouwbaarheid
3.3 Cryptografie
Geheimesleutel-cryptografie
Openbaresleutel-cryptografie
3.4 PKIs
Het belang van PKIs
3.5 Verder lezen
4 Juridisch privacykader
4.1 Soorten TTP-diensten
Functionaliteit van de TTP-dienst
Topologie van de TTP-dienst
4.2 Overzicht van relevante wet- en regelgeving
De Wet bescherming persoonsgegevens (WBP)
De Europese richtlijn 99/93/EG
De Telecommunicatiewet
4.3 Samenvatting
5 Identiteit en naam, pseudoniemen, anonimiteit
5.1 Soorten certificaten
5.2 Digitale certificaten
5.3 Identiteitsgegevens op certificaten
5.4 Persoonsgebonden nummer
5.5 Openbare sleutel en biometrische template
Openbare sleutel
Biometrische template
5.6 Samenvatting
5.7 Verder lezen
6 Verspreiding van PKI-informatie
6.1 Soorten PKI-informatie
6.2 Openbare verspreiding
Certificaatinformatie
Revocatie-informatie
6.3 Privéverspreiden en niet verspreiden als alternatieven
Privéverspreiden
Niet verspreiden
6.4 Gebruik van PKI-informatie
6.5 Samenvatting
7 Rechtmatige toegang
7.1 Soorten informatie waarvoor toegang wordt gezocht
Identiteitsgegevens
Sleutels voor vertrouwelijkheid
Berichten en bestanden
7.2 Verstrekkingen aan derden
7.3 Wettelijk gronden voor rechtmatige toegang
Opsporings-, inlichtingen- en veiligheidsdiensten
Rechtmatige toegang door anderen
7.4 Aftappen, cryptografie en privacy
7.5 Samenvatting
7.6 Verder lezen
8 PET-certificaten
8.1 SPKI(1)
8.2 Certificaten à la Brands(3)
8.3 De toekomst van PET-certificaten
9 Aanbevelingen
10 Recommendations
Samenvatting
Summary
A De identiteitsprotector
B Literatuur
C Lijst van begrippen en afkortingen
D Verantwoording
1 Ten geleide
Digitale certificaten zullen in de toekomst een cruciale rol spelen
bij het faciliteren van betrouwbare elektronische communicatie en
transacties. Voor het gebruik van digitale certificaten is een
zogenaamde public-key infrastructure (PKI) nodig. Een belangrijke rol
binnen zo'n infrastructuur spelen trusted third parties (TTP's). Zij
vergewissen zich van de identiteit of andere attributen van iemand en
geven vervolgens een digitaal certificaat uit dat deze bevestigt.
Er vallen in Nederland op korte termijn een aantal belangrijke beslissingen te verwachten over de randvoorwaarden voor het gebruik van digitale certificaten, het inrichten van PKIs en de werkwijze van TTP's. De keuzes die nu gemaakt worden, zullen belangrijke gevolgen hebben voor de privacy van personen die gebruik maken van digitale certificaten. Dit aspect is tot nu toe onderbelicht gebleven. Dit rapport bevat een verkenning van deze privacyaspecten en schetst enkele oplossingsrichtingen. Het beoogt geen gedetailleerd overzicht te bieden van de randvoorwaarden die omwille van de bescherming van de persoonlijke levenssfeer aan TTP's gesteld moeten worden. Daarvoor is het nog te vroeg, aangezien dit complexe en nog relatief jonge gebied zich in theorie en praktijk nog volop aan het ontwikkelen is.
TTP-diensten en digitale certificaten zijn er in vele soorten en
maten: de mogelijkheden zijn schier onuitputtelijk. In de praktijk
leggen veel TTP's zich echter voornamelijk toe op een specifieke
activiteit, namelijk het uitgeven van digitale certificaten volgens de
dominante standaard, X.509 versie 3. Dit zijn certificaten die de
identiteit van een persoon koppelen aan zijn digitale handtekening.
Hoewel het rapport op verschillende plaatsen aandacht vraagt voor
alternatieven dient het wel gelezen te worden met deze stand van zaken
in het achterhoofd.
Hoofdstuk 2 schetst de meest relevante recente ontwikkelingen in
Nederland op het gebied van TTP's. Hoofdstuk 3 gaat kort in op een
aantal kernbegrippen: cryptografie, digitale certificaten, PKI en
TTP's.
Hoofdstuk 4 inventariseert, ingeleid door een overzicht van criteria
voor het indelen van TTP-diensten, de juridische randvoorwaarden die
gelden voor TTP's waar het de zorgvuldige en rechtmatige omgang met
persoonsgegevens betreft.
De hoofdstukken 5 t/m 7 behandelen tegen het licht van het juridisch
kader de belangrijkste privacyaspecten van TTP-diensten, gegroepeerd
rond drie thema's. Hoofdstuk 5 gaat in op het identificeren van de
certificaathouder, en op pseudonieme certificaten als alternatief voor
identiteitscertificaten. Hoofdstuk 6 heeft als onderwerp het
verspreiden van certificaat- en revocatie-informatie binnen een PKI,
alsmede het gebruik van die informatie. Hoofdstuk 7 gaat over
rechtmatige toegang tot bij TTP's opgeslagen persoonsgegevens door
opsporings- en inlichtingendiensten en anderen.
Hoofdstuk 8 geeft twee voorbeelden van modellen voor
PET-certificaten': digitale certificaten die zo zijn ontworpen dat zij
een bijdrage kunnen leveren aan de bescherming van de persoonlijke
levenssfeer van de gebruiker.
Hoofdstuk 9 bevat een aantal aanbevelingen waartoe de Registratiekamer
komt op basis van de analyse in dit rapport. Hoofdstuk 10 is een
vertaling hiervan in het Engels.
De hoofdtekst wordt gevolgd door uitgebreide samenvattingen in het
Nederlands en het Engels.
De appendices bevatten een beschrijving van de identiteitsprotector,
een literatuuroverzicht, een lijst van gehanteerde begrippen en
afkortingen alsmede een verantwoording.
Voor terugkoppeling tijdens verschillende fasen van het schrijven van
dit rapport is de auteur dank verschuldigd aan Ronald Hes, Bernard
Hulsman, Edward Hardam, Stefan Brands, Anne-Wil Duthler, John Borking
en Rudy Schreijnders.
Een voorstudie van dit rapport is gepubliceerd in het tijdschrift i&i
(Versmissen & Hes, 2000).
2 TTP's in Nederland
Nederland staat aan de vooravond van grootschalige invoering van
TTP's, zowel publiek als privaat. Hieraan is de afgelopen jaren het
nodige aan ontwikkelingen en voorbereiding vooraf gegaan.
In het kader van het Nationaal Actieplan Elektronische Snelwegen besloot de Nederlandse overheid in maart 1997 tot het uitvoeren van een nationaal TTP-project. De resultaten vonden een jaar later hun neerslag in de Eindrapportage Nationaal TTP-project van de Ministeries van Economische Zaken en Verkeer en Waterstaat.
De resultaten van het nationaal TTP-project vormden de basis voor de
Beleidsnotitie Nationaal TTP-project(1), die staatssecretaris De Vries
van Verkeer en Waterstaat op 3 juni 1999 aan de Tweede Kamer zond. De
notitie inventariseert de randvoorwaarden voor het aanbieden van
TTP-diensten. Zij voorziet in een periode van twee jaar waarin de
TTP-infrastructuur in Nederland zich kan ontwikkelen. Daarna zal een
evaluatie plaatsvinden waarbij wordt getoetst in hoeverre de
ontwikkelingen aan de gestelde randvoorwaarden voldoen en of die
randvoorwaarden toereikend zijn voor een goede werking van de
infrastructuur.
De beleidsnotitie zoekt een balans tussen regulering en
zelfregulering, met de nadruk op het laatste. Deze zelfregulering
heeft gestalte gekregen in de vorm van het project TTP.NL, waarvan de
eindresultaten begin vorig jaar zijn gepresenteerd. Overheid en
bedrijfsleven hebben in het project samengewerkt aan criteria voor
TTP's, een accreditatie- en certificeringsschema op basis van deze
criteria en een bedrijfsplan voor een TTP-brancheorganisatie.
Inmiddels zijn er op de Nederlandse markt tientallen organisaties
actief die TTP-diensten verlenen.
Eind 1999 schreef minister Van Boxtel de Tweede Kamer dat in de
Ministerraad overeenstemming was bereikt over het plan van aanpak voor
een PKI Taskforce, inmiddels omgedoopt tot taskforce PKI overheid.
Deze taskforce heeft als doelstelling om al in 2002 te komen tot een
PKI die gebruikt kan worden voor vrijwel alle soorten communicatie en
transacties met de overheid door andere overheden, burgers en het
bedrijfsleven. In de gemeente Delft is begin dit jaar een proef met
een elektronisch identiteitsdocument van start gegaan waarbij een PKI
wordt gebruikt voor authenticatie.
Een belangrijke stimulans voor het gebruik van digitale certificaten
vormt ten slotte de begin 2000 van kracht geworden Europese
richtlijn(2) die de juridische status van elektronische handtekeningen
regelt, en die uiterlijk in juli 2001 in nationale wetgeving
geïmplementeerd moet zijn. De richtlijn geeft de digitale handtekening
- onder bepaalde voorwaarden - dezelfde rechtskracht als een
traditionele handtekening.
Vanzelfsprekend staan de ontwikkelingen op TTP-gebied niet stil. Zo
wordt er momenteel onder auspiciën van het Electronic Commerce
Platform Nederland gewerkt aan het aanpassen van de TTP.NL-criteria
aan de Europese richtlijn, evenals aan het maken van afspraken over
rechtmatige toegang tot bij TTP's beschikbare informatie door
opsporings- en inlichtingendiensten.
Noten
Kamerstukken II, 1998-1999, 26 581, nr. 1.
Richtlijn 1999/93/EG van het Europees Parlement en de Raad van de
Europese Unie van 13 december 1999 betreffende een gemeenschappelijk
kader voor elektronische handtekening (PbEG L 13 van 19 januari 2000).
3 Cryptografie, digitale certificaten, PKI en TTP's
3.1 Elektronische communicatie
Het internet heeft zich het afgelopen decennium ontwikkeld van een
elektronische speeltuin voor militairen en onderzoekers tot het
belangrijkste communicatiemedium van de toekomst. De omvang van het
elektronische berichtenverkeer neemt al jarenlang explosief toe en op
termijn zal het overgrote deel van alle communicatie en transacties
plaatsvinden op internet of vergelijkbare netwerken.
De open architectuur van internet brengt allerlei problemen met zich
mee en deze worden steeds beter voelbaar naarmate het aantal
toepassingen en het belang daarvan toenemen. Zo kunnen derden
berichten die over internet verstuurd worden, eenvoudig kopiëren en
lezen of ze onderscheppen, wijzigen en vervolgens weer doorsturen. Ook
kunnen zij zich voordoen als iemand anders.
3.2 Veiligheid en betrouwbaarheid
In het algemeen kunnen partijen die, al dan niet elektronisch, met
elkaar communiceren allerlei eisen stellen aan de veiligheid en
betrouwbaarheid van hun onderlinge gegevensuitwisseling. Belangrijke
betrouwbaarheidsaspecten zijn de onderstaande:
identificatie en authenticatie: met wie ben ik aan het communiceren
(identificatie) en kan ik er zeker van zijn dat de andere partij
inderdaad is voor wie hij zich uitgeeft (authenticatie)?
autorisatie en kwalificatie: heeft de andere partij wel de juiste
rechten (autorisatie) of eigenschappen (kwalificatie) voor een
transactie?
vertrouwelijkheid: kan ik ervan op aan dat alleen degene met wie ik
wil communiceren kennis kan nemen van de inhoud van mijn boodschap?
integriteit: is wat ik heb ontvangen wel het oorspronkelijke bericht,
of is het onderweg gewijzigd?
onloochenbaarheid(1): kan ik voorkomen dat een afzender later kan
ontkennen een bericht ooit verstuurd te hebben of dat een
geadresseerde kan beweren mijn bericht nooit te hebben ontvangen?
tijdstempeling: wanneer is dit bericht verzonden of wanneer heeft deze
transactie plaatsgehad?
3.3 Cryptografie
Een bijna onontkoombare techniek voor het garanderen van de hierboven
opgesomde eigenschappen in een open elektronische omgeving is
cryptografie, het gebruik van geheimschrift.
Geheimesleutel-cryptografie
De oudste en bekendste vorm van cryptografie is de
geheimesleutel-cryptografie (secret-key cryptography), ook wel
symmetrische cryptografie genoemd. Stel Liesje en Robbie willen met
elkaar communiceren over een open (of althans niet veilig) kanaal en
willen niet dat Eefje hun boodschap kan onderscheppen of wijzigen. Ze
wisselen dan met elkaar een geheime sleutel uit die de één kan
gebruiken om een boodschap te versleutelen en de ander om het
versleutelde bericht weer te ontcijferen. Zolang de geheime sleutel
maar daadwerkelijk geheim blijft, garandeert deze methode overigens
niet alleen de vertrouwelijkheid van de communicatie, maar ook de
authenticiteit van de afzender.
Geheimesleutel-cryptografie kent een aantal problemen die het gebruik
van deze techniek belemmeren. Het belangrijkste probleem is dat de
boodschap weliswaar over een open kanaal kan worden gecommuniceerd,
maar dat het overbrengen van de sleutel nog steeds via een veilige weg
dient te gebeuren. Dit laatste is sowieso nogal bewerkelijk en wordt
vrijwel ondoenlijk als partijen elkaar niet (goed) kennen. Daarvan is
bijvoorbeeld sprake bij een incidentele bestelling bij een webwinkel.
Openbaresleutel-cryptografie
Midden jaren zeventig is er een alternatief voorgesteld dat het
probleem van het veilig uitwisselen van geheime sleutels ondervangt:
openbaresleutel-cryptografie (public-key cryptography), ook wel
asymmetrische cryptografie genoemd (Diffie & Hellman, 1976). Deze
techniek maakt gebruik van twee verschillende sleutels, waarvan er één
wordt gebruikt voor het versleutelen van berichten en de ander voor
het ontcijferen ervan. Eén van beide sleutels, de privésleutel, moet
de bezitter geheim houden, de ander maakt hij openbaar.
Openbaresleutel-cryptografie kan op twee manieren gebruikt worden,
afhankelijk van welke van beide sleutels openbaar wordt gemaakt. Is de
vercijfersleutel openbaar, dan kan iedereen deze sleutel gebruiken om
een vercijferd bericht te maken dat alleen de eigenaar van de
bijbehorende privésleutel weer kan ontcijferen.(2) Is daarentegen de
ontcijfersleutel openbaar, dan kan deze dienen tot authenticatie van
de bron van een vercijferd bericht: alleen de eigenaar van de
bijbehorende privésleutel kan het bericht vercijferd hebben.(3) Deze
laatste toepassing staat bekend als het zetten van een digitale
handtekening.
3.4 PKIs
Met openbaresleutel-cryptografie worden weliswaar de belangrijkste
problemen met het distribueren van sleutels opgelost, maar daar komt
wel een ander probleem voor in de plaats. Wie betrouwbaar met iemand
wil communiceren op basis van diens openbare sleutel moet vast kunnen
stellen dat de betreffende sleutel ook echt bij die persoon hoort. De
partij die garant staat voor deze koppeling wordt doorgaans aangeduid
met de term trusted third party, kortweg TTP. Een omgeving die het
mogelijk maakt om deze controle snel en betrouwbaar uit te voeren
wordt aangeduid als een public-key infrastructure, kortweg PKI.
De TTP heeft twee belangrijke opties voor het vastleggen van de
koppeling tussen personen en openbare sleutels binnen een PKI. De
eerste mogelijkheid is het inrichten van een openbare directory waarin
staat aangegeven welke openbare sleutels bij welke personen horen. Dit
is de oplossing die Diffie & Hellman voorstelden. De privacybezwaren
van deze oplossing blijken uit een vergelijking met een on-line
telefoonboek: niet alleen zal de directory vaak uitgebreidere
identificerende informatie bevatten dan de naam- en adresgegevens in
het telefoonboek, maar ook biedt het iedereen ook de mogelijkheid om
van willekeurige digitaal getekende berichten de identiteit van de
ondertekenaar te achterhalen.
Naast privacybezwaren kent een openbare directory problemen met onder
andere betrouwbaarheid en beschikbaarheid. Kohnfelder (1978) stelde
daarom voor om als alternatief voor een openbare directory digitale
certificaten te gebruiken. Een digitaal certificaat is een door de TTP
digitaal ondertekend elektronisch document, dat in dit geval dus een
openbare sleutel bevat en informatie over de houder ervan. Opnieuw is
hiermee het probleem verplaatst, aangezien degene die een dergelijk
certificaat verifieert zich ervan zal willen overtuigen dat de
openbare sleutel die hij hiervoor gebruikt, ook echt hoort bij de
privésleutel van de TTP. Dit hoeft echter slechts zelden te gebeuren
en TTP's kunnen hun openbare sleutels langs een vertrouwde weg
off-line verspreiden.
Het is gebruikelijk om binnen een PKI onderscheid te maken tussen twee
belangrijke functionele rollen van de TTP. Deze worden vervuld door de
registratie-autoriteit (RA) en de certificatie-autoriteit (CA). De RA
is verantwoordelijk voor het vaststellen van de identiteit of andere
attributen van een persoon, waaronder het bezit van een bepaalde
privésleutel. De CA is verantwoordelijk voor de uitgifte en het beheer
van sleutelparen en digitale certificaten. De proof and preservation
authority (PPA) verleent daarnaast TTP-diensten als onloochenbaarheid
en tijdstempelen. De diensten van de PPA vallen buiten de PKI in enge
zin, maar kunnen deze wel aanvullen als onderdeel van een meer
omvattende TTP-infrastructuur.
Een voordeel van het gebruik van certificaten is dat de communicerende
partijen ze zelf kunnen bewaren en met berichten meesturen. Alleen de
openbare sleutel van de CA, die nodig is om ze te kunnen verifiëren,
hoeft daarom openbaar te zijn, de certificaten zelf niet. In de
praktijk wordt overigens niettemin wel vaak voor een openbare
directory van certificaten gekozen, waarmee de hiervoor genoemde
bezwaren van zo'n directory toch weer actueel worden. Hoofdstuk 6 gaat
daar uitgebreider op in.
Het belang van PKIs
Ellison & Schneier (2000) stellen vast dat de bewering dat PKIs een
noodzakelijke voorwaarde zouden zijn voor het werkelijk tot bloei
komen van elektronische handel niet door de praktijk wordt gestaafd:
het enige wat bij e-commerce voorlopig lijkt te tellen is het opbouwen
van een zo groot mogelijk marktaandeel en daarvoor is een hoog
beveiligingsniveau niet essentieel. Zeker een sector waar het maken
van winst tot nu toe de uitzondering is die de regel bevestigt, zal
een klein percentage derving van inkomsten als gevolg van gebrekkige
beveiliging graag op de koop toe nemen. Maar ook al lijkt het aanbod
van PKI-software en -diensten vooralsnog de vraag te overtreffen, het
gaat ons toch te ver om dit alles als een hype af te doen. Op langere
termijn zal immers de overgrote meerderheid van alle berichten en
transacties langs elektronische weg plaatsvinden. Er zullen vanzelf
dan ook steeds meer berichten komen die aan strengere
betrouwbaarheidseisen moeten voldoen: het verstrekken van een
hypotheek via internet zal met meer waarborgen omkleed moeten worden
dan het verkopen van een boek of CD. De vraag naar een behoorlijk
niveau van beveiliging is dan ook onvermijdelijk. Voor ten minste
bepaalde onderdelen van een dergelijke beveiliging, met name het
garanderen van de identiteit of bepaalde andere eigenschappen van
onbekende communicatie- of transactiepartners, zijn PKIs bij uitstek
geschikt. Gezien de zeer lage marginale kosten van digitale
certificaten valt een ruim gebruik ervan te verwachten als de
benodigde infrastructuur eenmaal beschikbaar is.
3.5 Verder lezen
Adams & Lloyd (1999) geven een goed, uitvoerig en actueel overzicht
van PKIs. Singh (1999) is een bijzonder onderhoudende geschiedenis van
de cryptografie, waarin onder andere uit de doeken wordt gedaan hoe
pas onlangs aan het licht kwam dat de Britse geheime dienst al eind
jaren zestig, dus een kleine tien jaar vóór Diffie en Hellman, de
openbaresleutel-cryptografie heeft ontwikkeld.
Noten
Waarschijnlijk een correctere vertaling van de Engelse term
non-repudiation dan het meer gangbare onweerlegbaarheid'.
In de praktijk blijkt deze methode in veel gevallen te tijdrovend te
zijn. In plaats daarvan wordt er alleen een vercijferde geheime
sleutel uitgewisseld, die na ontcijfering gebruikt kan worden voor het
(veel sneller) ontcijferen van het bericht zelf.
Strikt genomen is dit te stellig geformuleerd: bijvoorbeeld door
onvoldoende beveiliging is het mogelijk dat anderen dan de rechtmatige
houder de beschikking krijgen over diens privésleutel. Dit rapport
concentreert zich echter op specifieke privacy-aspecten, en
abstraheert van dergelijke algemene beveiligingsproblematiek.
4 Juridisch privacykader
Dit hoofdstuk bevat een overzicht van de belangrijkste juridische
randvoorwaarden die gelden voor TTP's waar het de zorgvuldige en
rechtmatige omgang met persoonsgegevens betreft. Zoals niet iedere TTP
hetzelfde is, zo zijn ook de juridische normen die voor hen gelden
niet steeds hetzelfde. Een overzicht van de soorten diensten die TTP's
zoal verlenen gaat daarom aan de inventarisatie van de relevante
privacywetgeving vooraf.
4.1 Soorten TTP-diensten
De Beleidsnotitie Nationaal TTP-project (1999) bespreekt in paragraaf
2.3 vijf criteria voor de classificatie van TTP-diensten:
functionaliteit van de TTP-dienst;
wijze van sleutelbeheer;
openbaarheid van de TTP-dienst;
topologie van de TTP-dienst;
toepassingsgebied van de TTP-dienst.
Op de functionaliteit en topologie van TTP-diensten gaan we hieronder
in. De wijze van sleutelbeheer hangt nauw samen met het onderwerp
rechtmatige toegang, dat aan de orde komt in hoofdstuk 7.
Dit rapport volgt de beleidsnotitie door zich te beperken tot openbare TTP-dienstverlening. Aandacht voor specifieke aspecten van bepaalde niet-openbare TTP's, zoals de relatie tussen werkgever en werknemer, zou in het kader van een verkenning te ver voeren. Om dezelfde reden blijft een structureel onderscheid naar de verschillende toepassingsgebieden voor TTP-diensten achterwege.
Functionaliteit van de TTP-dienst
De beleidsnotitie sluit aan bij de gebruikelijke tweedeling van
TTP-diensten in diensten voor authenticiteit en integriteit enerzijds
en diensten voor vertrouwelijkheid anderzijds.
A TTP-diensten voor authenticiteit en integriteit
- het verstrekken van digitale certificaten
- het plaatsen en verifiëren van digitale handtekeningen
- het onweerlegbaar aantonen van verzending en ontvangst van
elektronische berichten
- het beheer van cryptografisch sleutelmateriaal voor authenticiteit
en integriteit
(uitgezonderd de opslag van privésleutels)
- het tijdstempelen van elektronische berichten
B TTP-diensten voor vertrouwelijkheid
- het versleutelen van elektronisch berichtenverkeer
- het beheer van cryptografisch sleutelmateriaal
De Europese richtlijn 99/93/EG en de Telecommunicatiewet zijn niet op
alle diensten voor authenticiteit en integriteit van toepassing. Dit
is aanleiding voor een verdere onderverdeling van deze diensten in
enerzijds de infrastructuur die het gebruik van elektronische
handtekeningen direct ondersteunt en anderzijds verdergaande
dienstverlening in het kader van onloochenbaarheid (non-repudiation),
zoals het vastleggen van communicatie tussen partijen en het
tijdstempelen ervan. In het kort komt het erop neer dat de richtlijn
alleen van toepassing is op dienstverlening rondom elektronische
handtekeningen, terwijl de Telecommunicatiewet van toepassing kan zijn
op onloochenbaarheidsdiensten. Zie paragraaf 4.2 voor details.
Topologie van de TTP-dienst
De beleidsnotitie onderscheidt vier mogelijke topologieën voor
TTP-dienstverlening:
de in-line TTP, die met elk van de aangesloten partijen een direct of
indirect telecommunicatiepad onderhoudt, waarbij deze partijen
onderling uitsluitend via de TTP met elkaar communiceren;
de on-line TTP, die met ten minste één van de met elkaar
communicerende partijen een telecommunicatiepad onderhoudt, terwijl
deze partijen onderling ook een afzonderlijk telecommunicatiepad
onderhouden;
de off-line TTP, die gedurende de communicatie tussen twee partijen
geen telecommunicatiepad met deze partijen onderhoudt, maar de
benodigde communicatie op een ander tijdstip voert.
de no-line TTP, die gebruikmaakt van andere communicatiemedia dan een
telecommunicatienetwerk, zoals post.
De topologie van de TTP-dienst is met name van belang in relatie tot
de toepasbaarheid van de Telecommunicatiewet.
4.2 Overzicht van relevante wet- en regelgeving
De wet die in Nederland de behoorlijke en zorgvuldige omgang met
persoonsgegevens regelt, is de Wet persoonsregistraties (WPR). Deze
zal in de loop van 2001 plaats maken voor de Wet bescherming
persoonsgegevens(1) (WBP). De WBP vormt de Nederlandse implementatie
van de Europese richtlijn 95/46/EG(2). Op TTP-diensten die digitale
handtekeningen ondersteunen, is bovendien de Europese richtlijn
99/93/EG(3) van toepassing. Gezien de nauwe verwervenheid van
TTP-diensten met telecommunicatie is ten slotte van belang in hoeverre
de Telecommunicatiewet erop van toepassing is.
De Wet bescherming persoonsgegevens (WBP)
In deze paragraaf komen een aantal belangrijke uitgangspunten van en
normen uit de WBP aan de orde. Voor gedetailleerde informatie kan de
lezer terecht bij onder meer de tekst van de WBP en de memorie van
toelichting, en op de website van de Registratiekamer(4). Op verzoek
van de Tweede Kamer schrijft het Ministerie van Justitie bovendien aan
een uitgebreide handleiding bij de WBP, die rond ruim voor de
invoering ervan beschikbaar zal komen.
In tegenstelling tot de WPR is de WBP niet van toepassing op
persoonsregistraties, maar op het verwerken van persoonsgegevens. Een
persoonsgegeven is ieder gegeven over een geïdentificeerde of
identificeerbare natuurlijke persoon. Een persoonsregistratie is een
(al dan niet elektronisch) bestand waarin persoonsgegevens zijn
opgenomen. Het verwerken van persoonsgegevens kan zijn het verzamelen
of vernietigen ervan en alles wat daartussen zit, zoals bewaren,
wijzigen, annoteren, bekijken, verkopen, afschermen, noem maar op.
Degene die persoonsgegevens verwerkt heet de verantwoordelijke(5),
degene over wie persoonsgegevens verwerkt worden de betrokkene.
Betrokkenen hebben onder de WBP meer rechten gekregen dan zij onder de
WPR hadden. Een andere relevante wijziging is dat de WBP in
tegenstelling tot de WPR ook van toepassing is op openbare registers.
Belangrijke in de WBP verankerde uitgangspunten die in de WBP
verankerd zijn, zijn de volgende(6):
doelbinding;
rechtmatigheid;
proportionaliteit en subsidiariteit;
transparantie;
rechten van betrokkenen.
Doelbinding houdt beperkingen in op zowel het verzamelen van
persoonsgegevens als het daarna verder verwerken ervan. Voor het
verzamelen geldt dat het duidelijk moet zijn met wat voorwelk doel dat
gebeurt. Dat doel moet bovendien concreet zijn, en mag dus niet vervat
zijn in heel algemene termen als alles wat nodig is voor een goede
bedrijfsvoering'. Voor het verder verwerken van eenmaal verzamelde
gegevens geldt dat dit verenigbaar moet zijn met het doel waarvoor de
gegevens werden verzameld. Vragen die van belang zijn om te beoordelen
of sprake is van verenigbaarheid zijn:
hoe nauw is het doel van de verdere verwerking verwant aan dat van het
verzamelen?
om wat voor gegevens gaat het?
wat voor gevolgen heeft de verwerking voor de betrokkene?
hoe zijn de gegevens verkregen?
wordt de privacy van de betrokkene voldoende beschermd?
Rechtmatigheid houdt allereerst in dat gegevens op een behoorlijke,
zorgvuldige en legale manier verwerkt worden. Dat betekent onder meer
dat er precies genoeg gegevens verwerkt moeten worden: niet te veel,
niet te weinig. Die gegevens moeten bovendien relevant zijn en
kloppen.
De WBP kent een beperkt aantal mogelijke grondslagen voor het
rechtmatig verwerken van persoonsgegevens. Een rechtmatige verwerking
kan bijvoorbeeld gebaseerd zijn op de toestemming van de betrokkene,
of op de noodzaak om een wettelijke verplichting na te komen of een
publiekrechtelijke taak te vervullen. Ook het gerechtvaardigd belang
van degene die de gegevens verwerkt, kan een rechtmatige grondslag
zijn. Dat belang moet dan wel zwaarder wegen dan het belang van
bescherming van de privacy van de betrokkenen.
Proportionaliteit en subsidiariteit zijn beginselen van matiging.
Proportionaliteit komt neer op de vraag: is het ingezette middel,
concreet: de verwerking van persoonsgegevens, wel evenredig aan het
beoogde doel? Luidt het antwoord op deze vraag bevestigend, dan moet
er nog getoetst worden aan subsidiariteit: is het niet mogelijk om het
nagestreefde doel te bereiken op een manier die minder inbreuk maakt
op de rechten van de betrokkenen dan de voorgenomen verwerking? Dat
alternatief kan een minder ingrijpende verwerking zijn, of het
helemaal niet verwerken van persoonsgegevens betekenen.
Transparantie houdt in dat de betrokkene recht heeft op informatie als
er persoonsgegevens van hem worden verwerkt. Wie dat doet, moet hem
onder andere laten weten wie hij is en wat voor gegevens hij waarvoor
verwerkt.
De WBP kent de betrokkene een aantal rechten toe: zo mag hij geregeld
vragen om een overzicht van gegevens die een organisatie van hem
verwerkt, en mag hij als hij daar goede redenen voor heeft verzoeken
dat deze de gegevens verbetert, aanvult, afschermt of vernietigt. Zijn
onjuiste gegevens over hem aan anderen doorgegeven, dan mag hij degene
die dat gedaan heeft vragen om de verbetering eveneens aan de
ontvangers van die gegevens te melden. Aan al deze verzoeken moet in
beginsel gehoor worden gegeven. Heeft een onrechtmatige verwerking de
betrokkene schade berokkend, dan kan hij de rechter vragen om hem
daarvoor een schadevergoeding toe te kennen.
De WBP bevat in vergelijking met de WPR een aangescherpte bepaling
over de beveiliging van persoonsgegevens. Het gaat om artikel 13, dat
als volgt luidt:
De verantwoordelijke legt passende technische en organisatorische
maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen
verlies of tegen enige vorm van onrechtmatige verwerking. Deze
maatregelen garanderen, rekening houdend met de stand van de techniek
en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau
gelet op de risico's die de verwerking en de aard van te beschermen
gegevens met zich meebrengen. De maatregelen zijn er mede op gericht
onnodige verzameling en verdere verwerking van persoonsgegevens te
voorkomen.
Privacy-enhancing technologies (PET) zijn een samenhangend geheel van
ICT-maatregelen dat de persoonlijke levenssfeer beschermt door het
elimineren of verminderen van persoonsgegevens of door het voorkomen
van onnodige dan wel ongewenste verwerking van persoonsgegevens,
zonder verlies van functionaliteit. Aangezien PKIs geavanceerde
technieken gebruiken, zullen PET er een belangrijke rol in moeten
spelen. Hoofdstuk 8 gaat nader in op PET-certificaten'.
De Europese richtlijn 99/93/EG
Richtlijn 99/93/EG is van toepassing op alle openbare dienstverlening
die te maken heeft met elektronische handtekeningen. In de praktijk
krijgen (zo goed als) alle TTP's die openbare diensten aanbieden
daarom met de richtlijn te maken.
Het voor de bescherming van persoonsgegevens relevante onderdeel van
de richtlijn is Artikel 8:
De lidstaten zorgen ervoor dat de certificatiedienstverleners en de
met accreditatie of toezicht belaste nationale instanties voldoen aan
de eisen van Richtlijn 95/46/EG van het Europees Parlement en de Raad
van 24 oktober 1995 betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens en
betreffende het vrije verkeer van die gegevens.
De lidstaten zorgen ervoor dat een certificatiedienstverlener die
certificaten aan het publiek afgeeft persoonsgegevens niet anders kan
verkrijgen dan rechtstreeks van de betrokkene zelf of met diens
uitdrukkelijke toestemming, en slechts voorzover de afgifte en het
beheer van het certificaat zulks vereisen. Zonder uitdrukkelijke
toestemming van de betrokkene mogen gegevens niet voor andere
doeleinden worden verzameld of verwerkt.
Onverminderd de rechtsgevolgen van pseudoniemen in het nationale
recht, mogen de lidstaten niet verhinderen dat
certificatiedienstverleners op het certificaat een pseudoniem
vermelden in plaats van de werkelijke naam van de ondertekenaar.
Het eerste lid bepaalt dat de lidstaten ervoor dienen te zorgen dat certificatiedienstverleners, ofwel CSP's, (en de hen accrediterende en controlerende instanties) voldoen aan de Europese privacyrichtlijn 95/46/EG. Aangezien deze richtlijn in Nederland geïmplementeerd is in de WBP behoeft dit lid geen nadere wettelijke implementatie. Wel biedt de WBP twee aanvullende mogelijkheden, namelijk het opstellen van een sectorale gedragscode en de uitvaardiging van een AMvB die voor een sector nadere regels stelt inzake bepaalde onderwerpen uit de WBP. Deze mogelijkheden sluiten goed aan bij de lijn van de regering als verwoord in de Beleidsnotitie Nationaal TTP-project (1999).
Het tweede lid zegt dat CSP's aan veel strengere eisen zijn gebonden
dan anderen die persoonsgegevens verwerken: de enige rechtmatige grond
waarop zij persoonsgegevens mogen verwerken is de uitdrukkelijke
toestemming van de betrokkene. Het begrip uitdrukkelijke toestemming'
houdt meer in dan een handtekening onder een contract dat verwijst
naar algemene voorwaarden. De toestemming moet gebaseerd zijn op
juiste, duidelijke en volledige informatie over de beoogde verwerking.
Ook moet de toestemming vrijwillig gegeven zijn. Daarvan is minder
sprake naarmate het weigeren van de toestemming, met als gevolg het
niet verkrijgen van een certificaat, de deelname van de betrokkene aan
het maatschappelijk verkeer meer belemmert. Het moet evenmin mogelijk
zijn om de dienst te weigeren louter omdat de klant geen toestemming
wenst te geven voor verdere verwerking.
Over het onderwerp van het derde lid, pseudonieme certificaten, meer
in de hoofdstukken 5 en 6.
De Telecommunicatiewet
Gezien de nauwe verwevenheid van TTP-diensten met telecommunicatie is
het van belang in hoeverre de Telecommunicatiewet erop van toepassing
is. Hoofdstuk 11 van die wet bevat aanvullingen op de regels uit de
WBP voor de omgang met persoonsgegevens op het gebied van
telecommunicatie. Hoofdstuk 13 schept verschillende bevoegdheden voor
opsporingsdiensten om vertrouwelijke communicatie af te tappen en te
ontsleutelen.(8) Het van toepassing zijn van de Telecommunicatiewet
heeft dus zowel voordelen als nadelen voor de privacy.
De experts verschillen met elkaar van mening over de vraag in hoeverre
de Telecommunicatiewet van toepassing is op dienstverlening door
TTP's.
Dommering (2000) schrijft: De regels met betrekking tot de TTP vallen
buiten het telecommunicatierecht in eigenlijke zin, hoewel bij de
beschikbare technieken ook implementatie op het niveau van de
telecommunicatiediensten kan plaatsvinden.' (p. 283).
Duthler (1998) meent het tegenovergestelde: Telecommunicatiediensten
worden gedefinieerd als diensten die
geheel of gedeeltelijk bestaan in de overdracht of routering van
signalen over een telecommunicatienetwerk. Een openbare
telecommunicatiedienst wordt omschreven als een telecommunicatiedienst
die beschikbaar is voor het publiek. In de Memorie van Toelichting
wordt als voorbeeld van een aanbieder van een telecommunicatiedienst
genoemd een Trusted Third Party, wanneer deze telecommunicatiediensten
aanbiedt via een telecommunicatienetwerk. Het lijkt gerechtvaardigd
er van uit te gaan dat een TTP-dienst gekwalificeerd kan worden als
een telecommunicatiedienst in de zin van de Telecommunicatiewet en dat
de Telecommunicatiewet dientengevolge van toepassing is op
TTP-dienstverlening. Een TTP zal dus rekening moeten houden met de
eisen die deze wet stelt.' (p. 132).
Het eerste standpunt lijkt het best gefundeerd. De crux is de zinsnede
wanneer deze telecommunicatiediensten aanbiedt via een
telecommunicatienetwerk' (in het tweede standpunt). De door TTP's
aangeboden diensten zijn nu eenmaal meestal geen
telecommunicatiediensten, omdat ze niets van doen hebben met het
overdragen of routeren van signalen. Het bestaan van no-line TTP's(9)
illustreert dit in feite ook. Alleen bij sommige diensten voor
onloochenbaarheid, waarbij een in-line TTP fungeert als PPA, zal
sprake zijn van telecommunicatiediensten. In het algemeen valt de
dienstverlening van TTP's dus niet onder de Telecommunicatiewet.
4.3 Samenvatting
TTP's en TTP-diensten zijn er in vele soorten en maten. Niet op
allemaal is daarom altijd dezelfde wetgeving van toepassing. Voor alle
TTP-diensten gelden in ieder geval wel de bepalingen van de WBP.
Belangrijke uitgangspunten van de WBP zijn doelbinding,
rechtmatigheid, proportionaliteit en subsidiariteit, transparantie en
de rechten van betrokkenen. Ook dienen persoonsgegevens goed beveiligd
te worden, waarvoor PET ingezet kunnen worden. Voor diensten die de
digitale handtekening ondersteunen, geldt de Europese richtlijn
99/93/EG. Die bepaalt onder meer dat CSP's alleen met toestemming van
de betrokkene gegevens mogen verwerken, en dat pseudonieme
certificaten niet verboden mogen worden. De WBP biedt de mogelijkheid
om deze bepalingen aan te vullen met een sectorale gedragscode of een
AMvB. TTP-diensten bestaan zelden uit het overdragen of routeren van
signalen. TTP's vallen in het algemeen dan ook niet onder de
Telecommunicatiewet.(10)
Noten
Staatsblad 2000, nr. 302. Kamerstukken 25 892.
Richtlijn 95/46/EG van het Europees Parlement en de Raad van de
Europese Unie van 23 november 1995 betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens
en betreffende het vrije verkeer van die gegevens (PbEG L 281).
Richtlijn 99/93/EG van het Europees Parlement en de Raad van de
Europese Unie van 13 december 1999 betreffende een gemeenschappelijk
kader voor elektronische handtekeningen (PbEG L 13 van 19 januari
2000). De richtlijn moet medio 2001 in Nederlandse wetgeving zijn
geïmplementeerd. Deze wetgeving is momenteel in voorbereiding.
http: //www.registratiekamer.nl (na invoering van de WBP: http:
//www.cbpweb.nl).
De WBP maakt onderscheid tussen de verantwoordelijke, die gegevens
voor zichzelf verwerkt, en de bewerker, die gegevens verwerkt ten
behoeve van een ander. Uit de wetsgeschiedenis volgt dat TTP's geen
bewerker zijn.
Deze beschrijving is enigszins gesimplificeerd: zij gaat goeddeels
voorbij aan afhankelijkheden tussen de verschillende uitgangspunten.
Proportionaliteit en subsidiariteit zijn elementen van noodzakelijk,
dat in een aantal gevallen voorwaarde is voor rechtmatigheid. Of het
doel gerechtvaardigd is, hangt weer af van de rechtmatigheidstoets.
Artikel 3, lid 3 van richtlijn 99/93/EG verplicht de lidstaten tot het
instellen van dit toezicht voor zover het gaat om CSP's die
gekwalificeerde certificaten uitgeven. Een gekwalificeerd certificaat
is een digitaal certificaat dat voldoet aan een aantal strenge eisen
die zijn vastgelegd in Bijlage II van de richtlijn.
Zie ook paragraaf 7.3.
Zie paragraaf 4.1.
Een uitzondering hierop zal in de toekomst het toezicht op CSP's
vormen. Het wetsvoorstel ter implementatie van richtlijn 99/93/EG
brengt dat namelijk onder in de Telecommunicatiewet.
5 Identiteit en naam, pseudoniemen, anonimiteit
Certificaten, zowel traditionele als elektronische, zijn er in
allerlei soorten en maten. Vaak bevatten ze identificerende informatie
over de houder van het certificaat, maar dat is lang niet altijd
nodig. Het gebruik van sommige identificerende gegevens, zoals een
persoonsnummer of een biometrisch template, kan een ernstige
privacybedreiging vormen.
5.1 Soorten certificaten
De hier relevante definitie van het begrip certificeren in de Van Dale
luidt: door ondertekening bevestigen'. Een certificaat is dan een door
ondertekening bevestigd document, in de opsomming van Van Dale:
getuigschrift, schriftelijke verklaring, bewijs, attest'. Diploma's en
paspoorten vormen klassieke voorbeelden van certificaten. Voorbeelden
die mogelijk wat minder voor de hand liggen zijn bankbiljetten,
consumptiebonnen, treinkaartjes en brieven op officieel briefpapier.
Certificaten maken het voor hun bezitters eenvoudiger om anderen er op
een redelijk betrouwbare manier van te overtuigen dat zij bepaalde
eigenschappen (woont in Amsterdam'), kwalificaties (heeft het
eindexamen met goed gevolg afgelegd') of rechten (mag zonder te
betalen een consumptie nuttigen) bezitten. De mate van betrouwbaarheid
kan variëren. Hoe betrouwbaar is immers de certificeerder? En kan deze
wel iets zinnigs beweren over de gecertificeerde gegevens? Hoe
gemakkelijk zijn dit soort certificaten te vervalsen en hoeveel
voordeel valt er voor een eventuele vervalser te behalen? Is in geval
van onregelmatigheden de (ware) identiteit te achterhalen van degene
die met het certificaat komt aanzetten?
Vaak staan certificaten op naam, maar niet altijd: denk aan
bankbiljetten en losse treinkaartjes. Een interessante, zij het weinig
gebruikelijke tussenvorm zijn pseudonieme certificaten, waarbij de
identiteit van de houder wel via de uitgever ervan te achterhalen is,
maar niet op het certificaat zelf vermeld staat. Een voorbeeld vormen
de pasjes van de toegangscontrolesystemen die op veel kantoren in
gebruik zijn.
5.2 Digitale certificaten
De functie van digitale certificaten is in veel opzichten
vergelijkbaar met die van gewone, schriftelijke certificaten. Wel is
er een belangrijk verschil in het gebruik.
Gewone certificaten bevatten vaak informatie zoals NAW-gegevens (naam,
adres en woonplaats) die het mogelijk maken maakt om degene op wie het
certificaat betrekking heeft op eenvoudige wijze te identificeren.
Authenticatie is de controle van een geclaimde identiteit.(1)
Afhankelijk van de situatie zal degene die zich baseert op een
certificaat behoefte hebben aan een zwakkere of sterkere vorm van
authenticatie van degene die het certificaat aanbiedt. Het meest
gebruikelijk is face-to-face' controle van iemands identiteit aan de
hand van een paspoort of rijbewijs.
Digitale certificaten worden gebruikt in gegevensnetwerken.
Face-to-face' controle van iemands identiteit aan de hand van een
pasfoto is dan erg lastig. Alleen het bezit van een elektronisch
certificaat zegt bovendien ook weinig, gezien het gemak waarmee
elektronisch opgeslagen gegevens gekopieerd of uitgeleend kunnen
worden. Voor authenticatie over een netwerk is daarom de digitale
handtekening onontbeerlijk. Beschikt iemand eenmaal over zo'n digitale
handtekening, dan is identificatie aan de hand van bijvoorbeeld
NAW-gegevens in feite overbodig. De aanname bij digitale
handtekeningen is immers net als bij gewone handtekeningen dat alleen
de legitieme ondertekenaar deze kan zetten. Het is zodoende mogelijk
om het certificaat rechtstreeks te koppelen aan de digitale
handtekening van de gecertificeerde persoon, in plaats van aan
gegevens over zijn identiteit.
Digitale handtekeningen maken het dus mogelijk om te claimen dat een
bepaald certificaat betrekking op je heeft zonder dat je daarbij je
identiteit bekend hoeft te maken. Er zijn situaties waarin het ook
niet nodig is dat deze identiteit ooit bekend wordt. Een betaalde
website die bijvoorbeeld ANWB-leden gratis toegang geeft, hoeft van
een bezoeker alleen te weten dát deze ANWB-lid is - om wélk ANWB-lid
het gaat, is niet relevant.(2) Net als bij gewone certificaten zal het
echter vaak zo zijn dat degene die zich op een certificaat baseert wel
graag wil voorkomen dat iemand ten onrechte bepaalde claims doet, of
althans om hem voor dergelijk gedrag achteraf ter verantwoording te
wil kunnen roepen. Een van de belangrijkste soorten digitale
certificaten vormen dan ook certificaten die een digitale handtekening
koppelen aan een identificeerbare persoon. Richtlijn 99/93/EG is zelfs
alleen op zulke certificaten van toepassing. Het begrip certificaat
definieert de richtlijn namelijk als een elektronische bevestiging die
gegevens voor het verifiëren van een handtekening aan een bepaalde
persoon verbindt en de identiteit van die persoon bevestigt'.(3)
5.3 Identiteitsgegevens op certificaten
Hoewel anonieme certificaten wel hun toepassingen hebben, zal de
verifiërende partij vaak toch graag de zekerheid willen hebben dat de
identiteit bekend is van iemand die een digitale handtekening heeft
gezet. Een certificaat dat een digitale handtekening koppelt aan een
identificeerbare persoon kan deze zekerheid verschaffen. Dat
certificaat hoeft daarvoor echter niet per se de identiteitsgegevens
van de ondertekenaar te vermelden. Zolang de identiteit van de
ondertekenaar zonodig maar te achterhalen valt, hoeft die in veel
gevallen niet al bij voorbaat onomstotelijk vast te staan. Soms is
deze identiteit onder normale omstandigheden helemaal niet van belang
en anders kan de ondertekenaar deze gegevens meestal zelf wel
verstrekken.
Een certificaat dat wordt uitgegeven aan een geïdentificeerde persoon,
maar dat diens identiteit niet vermeldt, heet een pseudoniem
certificaat. De richtlijn erkent het belang van pseudonieme
certificaten door te bepalen dat de lidstaten het gebruik ervan niet
mogen verbieden.(4) Van gekwalificeerde pseudonieme certificaten eist
de richtlijn daarnaast dat het duidelijk moet zijn dat het om een
pseudoniem gaat.(5) Voor andere certificaten echter niet en dat opent
mogelijkheden voor identiteitsfraude: wat let iemand immers om bij een
louche TTP een certificaat aan te vragen onder een pseudoniem als Wim
Kok? Een verifiërende partij kan om dit risico te vermijden besluiten
om alleen certificaten te accepteren waarop wel staat aangegeven of de
vermelde identiteit een pseudoniem is. Bovendien is de ware identiteit
die achter een pseudoniem schuilt bekend bij de uitgever van het
certificaat. Dat roept de vraag op in welke gevallen deze gerechtigd
is om de identiteitsgegevens aan anderen te verstrekken. Aangezien de
klant met het gebruik van een pseudoniem kennelijk de bedoeling heeft
om zijn identiteit verborgen te houden, dienen dergelijke
verstrekkingen zoveel mogelijk voorkomen te worden.(6)
De WBP bepaalt dat er niet meer persoonsgegevens mogen worden verwerkt dan voor het doel van een verwerking nodig is.(7) Pseudonieme certificaten verdienen daarom in beginsel de voorkeur boven identiteitscertificaten.(8) Ook volgt uit deze bepaling dat certificaten alleen als dat echt nodig is openbaar gemaakt mogen worden. Voor gekwalificeerde certificaten bepaalt de richtlijn zelfs dat dat alleen mag met toestemming van de certificaathouder.(9) Deze bepaling betekent dat de uitgever een reëel alternatief dient te bieden voor het opnemen van het certificaat in een openbare directory. Eigenlijk zou zo'n alternatief er altijd moeten zijn, dus ook als het om niet gekwalicifceerde certificaten gaat. Meer over het openbaar maken van certificaten is te vinden in paragraaf 6.2.
5.4 Persoonsgebonden nummer
In plaats van bijvoorbeeld NAW-gegevens, of in aanvulling erop, kan de
uitgever op een certificaat een persoonsgebonden nummer of een andere
identificerende sleutel opnemen. Dit heeft als voordeel dat
verifiërende partijen gemakkelijker vast kunnen stellen welke digitale
identiteiten bij een bepaalde persoon horen. Hierdoor kunnen ze
persoonsgegevens gemakkelijker en betrouwbaarder scheiden en koppelen.
Dit komt de kwaliteit van de verwerkte gegevens ten goede en dat is
vanuit privacy-oogpunt mooi meegenomen. Niet voor niets bepaalt de WBP
dat persoonsgegevens, gelet op het doel waarvoor ze verwerkt worden,
juist en nauwkeurig moeten zijn.(10)
Het gebruik van een nummer of code ter identificatie van personen kan
echter ook belangrijke risico's voor de privacy met zich meebrengen.
Zeker grootschalig gebruik van een persoonsnummer maakt het immers ook
een stuk eenvoudiger om op onrechtmatige wijze persoonsgegevens te
verwerken. Dat kan verder gaan dan het ongeoorloofd koppelen van
gegevens. Een persoonsnummer kan zo populair worden dat louter het
kunnen noemen van een geldig nummer of het tonen van een willekeurig
document (ook zonder pasfoto!) waarop zo'n nummer voorkomt als
voldoende authenticatie wordt beschouwd. Onvermijdelijk steekt dan
identiteitsfraude de kop op. Dit is in de praktijk ook gebleken in
landen zoals Zweden en de Verenigde Staten, waarin op deze manier werd
omgegaan met de pendant van ons sofi-nummer.(11) Ook in Nederland doen
zich vergelijkbare problemen voor, dankzij de strikte wettelijke
beperkingen op het gebruik van het sofi-nummer gelukkig op veel
kleinere schaal.
Bij het gebruik van digitale certificaten is de kans van op
identiteitsfraude op deze manier klein, doordat een certificaat - en
daarmee een nummer dat er eventueel op vermeld staat - sterk aan een
specifieke persoon gebonden is. Het bezwaar van gemakkelijker koppelen
blijft echter wel gelden. Niet voor niets stelt de wet dan ook
beperkingen aan het gebruik van persoonsgebonden nummers. Een bij wet
voorgeschreven nummer als het sofi-nummer mag alleen gebruikt worden
ter uitvoering van een wet, of voor in een wet of AMvB vastgelegde
doeleinden.(12) Dit sluit dus uit dat het sofi-nummer (of het A-nummer
uit de gemeentelijke basisadministratie) algemeen ingang vindt als
persoonsgebonden nummer voor digitale certificaten, tenzij een
dergelijk gebruik wettelijke gesanctioneerd zou worden. De eerder
geschetste risico's betekenen dat deze laatste optie geen goed idee
is.
Verleners van certificatiediensten en verifiërende partijen zouden
overeen kunnen komen om speciaal voor digitale certificaten een nieuw
persoonsgebonden nummer in te voeren. Ook in dat geval biedt de WBP in
beginsel bescherming tegen het onrechtmatig koppelen van gegevens. Wie
zo'n nummer wil gebruiken om zijn gegevens met die van anderen te
koppelen moet zijn plannen namelijk eerst aan het College Bescherming
Persoonsgegevens(13) voorleggen.(14) De praktijk wil echter nog wel
eens wat minder rooskleurig zijn. De Registratiekamer pleit er daarom
voor om het gebruik van persoonsgebonden nummers door meerdere
organisaties te beperken tot specifieke maatschappelijke sectoren of
ketens van dienstverlening. Op die manier zijn de mogelijkheden tot
misbruik kleiner. Aangezien digitale certificaten uiteindelijk in alle
maatschappelijke sectoren ingang zullen vinden, moge het duidelijk
zijn dat de invoering van één nummer voor de sector
certificatiedienstverlening in dit opzicht geen soelaas zou bieden.
Een probleem dat zich zal voordoen bij het gebruik van sectorale
nummers, is dat niet iedere organisatie duidelijk binnen een bepaalde
sector ingedeeld kan worden. Van de andere kant is het ook niet per se
nodig dat iedere organisatie de mogelijkheid heeft om van een
sectorbreed nummer gebruik te maken. Eerder geldt het omgekeerde:
slechts wanneer een sector de noodzaak of althans de wenselijkheid van
een sectorbreed nummer voldoende kan onderbouwen, en bovendien het
gebruik ervan met voldoende waarborgen voor de bescherming van de
persoonlijke levenssfeer omkleedt, mag zij van zo'n nummer gebruik
maken. Een goed voorbeeld van zulke waarborgen zijn enkele van de
eisen waaraan een organisatie moet voldoen om deel te mogen nemen aan
RINIS, een platform voor het uitwisselen van persoonsgegevens binnen
het sofi-domein (zie kader).
Randvoorwaarden voor deelname aan RINIS.
Elke communicerende partij binnen het RINIS netwerk heeft een
publiekrechtelijke taak;
Voor de uitwisseling van gegevens dient een wettelijke grondslag
aanwezig te zijn;
De gegevensuitwisseling dient te zijn aangemeld bij de
Registratiekamer;
De gegevensuitwisseling moet worden gepubliceerd in de Staatscourant;
Tussen communicerende partijen dient een Interchange Agreement
afgesloten te worden, dat onder andere een omschrijving bevat van het
doel waarvoor de uitgewisselde gegevens gebruikt mogen worden en
afspraken over periodieke audits ter controle op de naleving van deze
doelbinding.
5.5 Openbare sleutel en biometrische template
Openbare sleutels en biometrische templates verdienen nog bijzondere
aandacht: zij zouden beiden binnen een PKI een rol kunnen spelen die
vergelijkbaar is met die van een persoonsgebonden nummer.
Openbare sleutel
Iemands openbare sleutel is uniek met hem verbonden en zou dus dienst
kunnen doen als een alternatief persoonsgebonden nummer. Het zetten
van een digitale handtekening brengt nu eenmaal met zich mee dat de
ondertekenaar aan degene voor wie het ondertekende document bestemd is
niet alleen zijn openbare sleutel bekend moet maken, maar ook het
certificaat dat deze sleutel - vaak door het vermelden van de
identiteitsgegevens - aan zijn identiteit koppelt. De openbare sleutel
valt in het algemeen dan ook als een persoonsgebonden nummer te
beschouwen, waarmee het gebruik ervan dezelfde wettelijke beperkingen
kent. Daarnaast zou het niettemin goed zijn om de ondersteunende
infrastructuur zo in te richten dat gebruikers kunnen beschikken over
meerdere openbare sleutels (zo niet tegelijkertijd dan toch in de
tijd), en bovendien zo dat de verschillende openbare sleutels van een
persoon niet op eenvoudige wijze met elkaar in verband zijn te
brengen.
Biometrische template
Bij biometrie worden personen van elkaar onderscheiden op basis van
lichaamskenmerken die voor ieder individu uniek zijn. Klassieke
voorbeelden van biometrie zijn de pasfoto en de vingerafdruk. Dankzij
de vooruitgang van de techniek zijn er tegenwoordig allerlei andere
voorbeelden, zoals de irisscan, handpalmherkenning en DNA-profilering.
Geautomatiseerde biometrische identificatie werkt met templates. Een
template is een digitale weergave van een gemeten lichaamskenmerk. Hoe
nauwkeuriger deze weergave, hoe kleiner de kans dat verschillende
lichaamskenmerken dezelfde template opleveren. De templates van
sommige biometrische methoden zijn al voor iedere persoon uniek.
Aangezien er geen serieuze technische belemmeringen zijn, valt te
verwachten dat hetzelfde gaat gelden voor het merendeel van de andere
methoden.
Een biometrische template die voor iedere persoon uniek is, vormt een
persoonsgebonden code. Het gebruik ervan draagt echter ernstige
privacyrisico's in zich. Anders dan bij de elektronische handtekening
heb je immers maar één irisscan-template tot je beschikking en die
blijft je hele leven hetzelfde. De biometrische template is dan een
uniek persoonsnummer waar je nooit meer vanaf komt. Het is zelfs
mogelijk een template heimelijk te bepalen, bijvoorbeeld door een
irisscan met een verborgen camera.(15) Gezien de grote privacyrisico's
heeft de Registratiekamer zich in haar rapport over biometrie (Hes
e.a., 1999) onder meer uitgesproken tegen opslag van biometrische
templates in een centrale databank. Een mogelijkheid die wel
aanvaardbaar is, is het opslaan van een template op bijvoorbeeld een
chipkaart die is uitgerust met sensoren en een processor die de
template kunnen bepalen van degene die de kaart vasthoudt. Verder dan
deze laatste mogelijkheid zou het gebruik van biometrische
identificatie ook in PKIs niet moeten gaan.
5.6 Samenvatting
Voor authenticatie over een netwerk is de digitale handtekening
onontbeerlijk. Anonieme certificaten kennen hun toepassingen, maar
vaak is het wenselijk dat het certificaat de handtekening aan een
identificeerbare persoon koppelt. Dat betekent nog niet dat de
identiteitsgegevens dan ook op het certificaat vermeld moeten worden.
Gebeurt dat wel, dan moet het certificaat bruikbaar zijn zonder dat
het openbaar gemaakt wordt. Voor het gebruik van een persoonsnummer om
certificaathouders te identificeren gelden strikte voorwaarden. De
openbare sleutel moet niet als alternatief persoonsnummer dienst
kunnen doen, een biometrische template al helemaal niet.
5.7 Verder lezen
De Australische onderzoeker Roger Clarke heeft de afgelopen jaren
verschillende artikelen geschreven over de onderwerpen uit dit
hoofdstuk (Clarke 1994, 1996-2000; Greenleaf & Clarke, 1997; Smith
e.a., 2000). De problemen met misbruik van sofinummers in Zweden en de
VS zijn na te lezen in respectievelijk Bondestam (1993) en Garfinkel
(2000). Hoofdstuk 8 van dit rapport gaat in op PET-certificaten,
alternatieven voor de gangbare digitale certificaten die betere
mogelijkheden bieden voor het afschermen van persoonsgegevens.
Noten
Legitimatie is het aanbieden van bewijsstukken die authenticatie
mogelijk maken. Een alternatieve term voor authenticatie' (naar het
Engelse authentication) die onder meer in Richtlijn 99/93/EG wordt
gehanteerd is authentificatie' (naar het Franse authentification).
Uiteraard zal de ANWB wel willen voorkomen dat een digitaal
certificaat dat hiervoor gebruikt wordt, al te gemakkelijk te kopiëren
of uit te lenen valt.
Artikel 2, onder 9.
Artikel 8, derde lid.
Artikel 11, tweede lid.
Zie ook paragraaf 7.2.
Artikel 11, eerste lid.
Hoofdstuk 8 behandelt enkele PKI-modellen gebaseerd op pseudonieme
certificaten.
Bijlage II, onder l.
Bijlage I, onder c.
In beide landen is men recent tot inkeer gekomen, en is er wetgeving
in voorbereiding of al aangenomen om alsnog strikte beperkingen op te
leggen aan het gebruik van deze nummers.
WBP, artikel 24, eerste lid.
De nieuwe naam van de Registratiekamer onder de WBP.
Artikel 30, eerste lid, onder a.
De benodigde technieken bestaan soms al. In de VS bevatten sommige
geldautomaten al een verborgen camera voor biometrische herkenning.
Aan de Mexicaanse grens hebben de VS een systeem getest voor
biometrische herkenning van passagiers in rijdende auto's op basis van
gelaatstrekken.
6 Verspreiding van PKI-informatie
Dit hoofdstuk begint met een overzicht van de soorten informatie die
binnen een PKI verspreid worden. Daarna volgt een bespreking van de
mogelijke manieren waarop die verspreiding kan worden aangepakt. Het
laatste onderwerp is het gebruik dat van de informatie gemaakt mag
worden.
6.1 Soorten PKI-informatie
Een PKI is er om wie elektronisch communiceert de mogelijkheid te
bieden om op een betrouwbare manier - namelijk op basis van digitale
certificaten - de verbinding te leggen tussen een openbare sleutel en
(bepaalde gegevens over) de persoon of organisatie die daarbij hoort.
Het spreekt dan ook voor zich dat er binnen een PKI certificaten
verspreid moeten worden. Certificaatinformatie is alle informatie die
op de certificaten wordt vermeld. Zij bestaat uit attribuutinformatie
en administratieve informatie. Attribuutinformatie zijn betreft
gegevens over de persoon voor wie het certificaat is afgegeven, zoals
zijn openbare sleutel, zijn identiteit of eigenschappen, kwalificaties
of rechten die hij bezit. Administratieve informatie zijn betreft de
overige gegevens op de certificaten, zoals adresgegevens van de
uitgever van het certificaat, een serienummer en of een verwijzing
naar de regels waaronder het certificaat is uitgegeven.
Er kunnen zich omstandigheden voordoen waaronder een afgegeven
certificaat zijn geldigheid verliest nog voordat de op het certificaat
vermelde geldigheidsduur is verstreken. Dat kan bijvoorbeeld zijn
omdat iemand van baan verandert, zodat hij niet langer de mogelijkheid
moet hebben om een certificaat te gebruiken dat bevestigt dat hij voor
zijn oude baas werkt. Ook kan het gebeuren dat iemand reden heeft om
te denken dat een ander erin is geslaagd om achter zijn privésleutel
te komen. Om misbruik te voorkomen moeten in dat geval alle
certificaten met de bijbehorende openbare sleutel zo snel mogelijk
ongeldig worden verklaard. Revocatie-informatie bestaat uit gegevens
over certificaten die zijn ingetrokken door de organisatie die ze
heeft uitgegeven.
6.2 Openbare verspreiding
Adams & Lloyd (1999) onderscheiden twee belangrijke manieren voor het
verspreiden van PKI-informatie. De eenvoudigste benadering is
privéverspreiding, waarbij de communicerende partijen zelf de
benodigde certificaten aan elkaar beschikbaar stellen, bijvoorbeeld
als attachment aan een e-mail. De meest gebruikelijke manier is echter
openbare verspreiding van PKI-informatie. Dat gebeurt dan doorgaans
door het publiceren ervan in een breed bekende, openbare en eenvoudig
toegankelijke directory. Deze paragraaf gaat in op de risico's van
openbare verspreiding; de volgende gaat in op twee alternatieven:
privéverspreiden en niet verspreiden.
Het openbaar maken van certificaat- en revocatieinformatie kan grote
privacybedreigingen met zich meebrengen, aangezien alle informatie in
de directory door iedereen geraadpleegd kan worden. Hoe groot de
risico's zijn hangt met name af van welke gegevens er op de
certificaten of de revocatielijst staan en hoe gemakkelijk deze
gegevens te identificerentot een identificeerbare persoon zijn te
herleiden.
Certificaatinformatie
In paragraaf 5.3 kwam al ter sprake dat degene die een certificaat
afgeeft een reëel alternatief moet bieden voor het opnemen van het
certificaat in een openbare directory. De rest van deze paragraaf gaat
ervan uit dat zo'n alternatief inderdaad voorhanden is.
Pseudonieme (of zelfs anonieme) certificaten bieden de houders ervan de beste bescherming tegen het ongewenst bekend worden van hun gegevens: zelfs als de certificaten openbaar gemaakt worden zijn de gegevens erop in beginsel niet te herleiden tot de persoon bij wie ze horen. Wel kan het natuurlijk altijd gebeuren dat, om wat voor reden dan ook, de identiteit bekend wordt die bij een bepaald pseudoniem hoort. Om te voorkomen dat plotseling alle verspreide gegevens wel tot hem te herleiden zijn, kan het voor wie pseudonieme certificaten gebruikt daarom verstandig zijn om zich van meerdere pseudoniemen te bedienen en deze pseudoniemen voor niet al te lange tijd te gebruiken.
Zolang er identiteitscertificaten gebruikt worden met daarop slechts NAW-gegevens of vergelijkbare identiteitsgegevens zijn de privacyrisico's beperkt. Alle certificaten zullen immers ongeveer dezelfde informatie bevatten en de certificaathouder heeft er kennelijk geen bezwaar tegen dat deze informatie openbaar beschikbaar is, want de aanname is dat hij er desgewenst voor kan kiezen om zijn certificaten niet openbaar te laten maken. Het wordt echter een ander verhaal als er gebruik wordt gemaakt van attribuutcertificaten, al dan niet met vermelding van de identiteit van de houder. Staat de identiteit van de houder op het certificaat vermeld, dan wordt daarmee dus ook de koppeling aan hem van de op het certificaat vermelde attributen openbaar. Voor ieder certificaat op zich zal gelden dat de houder er geen bezwaar tegen heeft dat de gegevens erop openbaar worden. Het is echter ook mogelijk om de gegevens van verschillende certificaten aan elkaar te koppelen om op die manier een profiel van de houder te construeren. Daarvan is deze zich wellicht niet (voldoende) bewust. Het probleem van het koppelen van informatie van verschillende certificaten kan zich ook voordoen in het geval van pseudonieme certificaten, vooral als een houder zich van weinig verschillende pseudoniemen bedient. Weliswaar zijn de zo verkregen profielen niet direct identificeerbaar, maar daarvoor is wel strikte geheimhouding nodig van de identiteit die bij het pseudoniem behoort. Bij gedetailleerde profielen is er bovendien het gevaar dat de identiteit van de houder langs een omweg toch kan worden achterhaald, namelijk door het slim combineren van de gegevens en het vergelijken ervan met wel geïdentificeerde gegevensverzamelingen. Het gebruik van zo kaal mogelijke certificaten zal daarom vaak de voorkeur verdienen. Zij kunnen dan dienen als sleutel voor het terugvinden van additionele informatie die een organisatie heeft over de certificaathouder.
Behalve gegevens over attributen van de houder bevat een digitaal
certificaat ook een aantal velden met administratieve informatie. In
het algemeen zal het hier niet gaan om erg privacygevoelige gegevens.
Toch zijn er wel enkele uitzonderingen denkbaar. Zo zou een CSP
bijvoorbeeld kunnen overwegen om op een certificaat te vermelden op
basis van wat voor soort identiteitsbewijs het is uitgegeven: dat kan
een paspoort of rijbewijs zijn, maar wellicht ook een tijdelijke
verblijfsvergunning. Aangezien er zich zich heel goed omstandigheden
kunnen voordoen waarbij de houder om volstrekt legitieme redenen
liever niet heeft dat deze informatie aan zijn communicatiepartner
bekend wordt, zou dergelijke potentieel gevoelige informatie bij
voorkeur niet op certificaten vermeld moeten worden. Dat geldt zeker
voor certificaten waarvan het gebruik een (formele of feitelijke)
verplichting is.
Revocatie-informatie
Het is mogelijk om het verspreiden van revocatieinformatie zo in te
richten dat de risico's van het oneigenlijk gebruik ervan vrij gering
zijn. Er is immers geen enkele reden om ingetrokken certificaten in
hun geheel te verspreiden, aangezien het voor de verifiërende partij
immers alleen van belang is om te weten of een bepaald certificaat al
dan niet nog geldig is. Hiervoor is het voldoende dat een organisatie
die certificaten uitgeeft informatie beschikbaar stelt die het
mogelijk maakt om ingetrokken certificaten te identificeren - het
serienummer, zonodig gekoppeld aan de naam van de uitgever van het
certificaat, ligt voor de hand. Een CSP die een niet-openbaar
certificaat wil intrekken, hoeft het daarvoor dus niet alsnog openbaar
te maken.
Veel modellen voorzien in de mogelijkheid om bij het intrekken van een
certificaat de reden te vermelden. Afhankelijk van wat deze reden is,
kan de certificaathouder het vermelden ervan wel of niet op prijs
stellen. Neem als voorbeeld een certificaat dat de kredietwaardigheid
van de houder bevestigt. Wie dit certificaat opgeschort ziet omdat hij
inderdaad niet langer solvabel is, zal niet graag hebben dat dit
algemeen bekend wordt. Wordt het certificaat daarentegen ingetrokken
omdat er bij de CSP een procedurele fout is gemaakt, dan zal de houder
het waarschijnlijk juist prettig vinden dat dit vermeld wordt, omdat
daaruit blijkt dat er niets ernstigers aan de hand hoeft te zijn.
Het standaard vermelden van de reden van intrekking is ongewenst. Een voor de hand liggend alternatief is het alleen vermelden van de reden van het intrekken als de certificaathouder daarom verzoekt of er althans toestemming voor geeft. Toch neemt dit niet alle bezwaren weg: als iedereen wiens certificaat om een onschudige reden is ingetrokken er als de kippen bij is om dit te laten vermelden, laat zich eenvoudig raden hoe het zit met degenen die dat niet doen.
Er valt, kortom, veel te zeggen voor het als regel bij het intrekken
van een certificaat niet vermelden van de reden daarvan. Op die manier
komt er zo min mogelijk informatie naar buiten waarvan de
certificaathouder dat liever niet had gehad. Ook degene van wie een
certificaat om onschuldige redenen is ingetrokken heeft dan niet echt
een probleem: verreweg de meeste revocaties gebeuren om dat soort
redenen. Mocht er om wat voor reden dan ook een bewijs nodig zijn van
de reden van intrekking, dan kan hij dat ongetwijfeld verkrijgen bij
de CSP (of de organisatie of wiens gezag het certificaat is
ingetrokken).
6.3 Privéverspreiden en niet verspreiden als alternatieven
Gelet op de hierboven opgesomde risico's van het openbaar verspreiden
van PKI-informatie verdienen alternatieven voor het gebruik van
openbare directories serieuze aandacht. Het belangrijkste alternatief
is privéverspeiden. In sommige gevallen komt ook helemaal niet
verspreiden in aanmerking.
Privéverspreiden
Het privéverspreiden van PKI-informatie heeft in vergelijking met
opname in een openbare directory het grote voordeel dat de informatie
niet algemeen bekend wordt. Zij hoeft door de certificaathouder alleen
beschikbaar te worden gesteld aan zijn communicatiepartners.
Volgens Adams & Lloyd (1999, p. 160) zijn er drie redenen waarom het
privéverspreiden van PKI-informatie in de meeste gevallen geen
serieuze optie is:
opschaling naar grote gebruikersgemeenschappen is niet mogelijk;
ad hoc verspreiding van revocatie-informatie is inherent
onbetrouwbaar;
een vertrouwensmodel met de gebruiker als middelpunt is vaak
ongewenst.
Wat betreft het verspreiden van revocatie-informatie snijdt het tweede
punt voldoende hout. De vraag is echter in hoeverre deze drie redenen
ook onder alle omstandigheden gelden voor het verspreiden van
certificaatinformatie. Het tweede punt is dan niet langer relevant,
aangezien het best mogelijk is om certificaten door de houders zelf te
laten verspreiden en tegelijkertijd een openbare directory te hebben
met revocatie-informatie. Het eerste en derde argument lijken
voornamelijk gebaseerd te zijn op een twijfelachtig uitgangspunt, en
wel dat privéverspreiding niet te verenigen is met een hiërarchisch
vertrouwensmodel. In zo'n model wordt alleen informatie betrouwbaar
geacht die, direct of indirect, is gecertificeerd door een bepaalde
certificerende instantie. Het is echter verre van duidelijk of beide
uitgangspunten inderdaad onder alle omstandigheden zo moeilijk te
verenigen zijn. Modellen op basis van privéverspreiding of een
combinatie van privéverspreiding en openbaarmaking verdienen dan ook
serieuze bestudering als alternatief voor alleen openbaarmaking, zeker
in situaties die relatief grote privacyrisico's met zich meebrengen.
Niet verspreiden
Het is denkbaar dat in bepaalde gevallen privéverspreiding van
PKI-informatie op grote praktische bezwaren stuit, terwijl openbaar
verspreiden een onaanvaardbare privacyschending zou betekenen. Een
alternatief is in dat geval nog het niet verspreiden van de
informatie. Met andere woorden: in dergelijke gevallen verdient het
inzetten van een alternatief voor digitale certificaten serieuze
overweging.
6.4 Gebruik van PKI-informatie
Elektronische communicatie op basis van digitale handtekeningen en
certificaten brengt met zich mee dat communicerende partijen
informatie van elkaar te weten komen. Dat iemand op deze manier de
beschikking kan krijgen over informatie over anderen betekent echter
nog niet dat het hem vrij staat om deze informatie verder naar eigen
goeddunken te gebruiken. PKI-informatie bestaat immers bijna altijd
uit persoonsgegevens en valt daarom onder het regime van de WBP. Of de
informatie verspreid is door privéverspreiding of via een openbare
directory is daarvoor niet van wezenlijk belang, al kan het wel
gevolgen hebben voor de uitwerking van de wettelijke bepalingen.
Het beschikbaar stellen van een certificaat heeft een duidelijk doel:
het mogelijk maken van betrouwbare of vertrouwelijke communicatie. Het
principe van doelbinding(1) betekent dat de informatie op het
certificaat in beginsel dan ook alleen voor dat doel verwerkt mag
worden. De ideale gang van zaken zou vanuit dit oogpunt zijn dat de
verifiërende partij de gegevens op het certificaat niet opslaat, maar
ze alleen gebruikt om zich te vergewissen van de identiteit (of andere
attributen) van de certificaathouder. Een verifiërende partij zal een
digitaal ondertekend document uiteraard wel willen bewaren in verband
met haar bewijspositie, en zal het bijbehorende certificaat pas
verwijderen als zij erop kan vertrouwen dat dat bij de CSP lang genoeg
beschikbaar blijft.
Om verschillende redenen kan er in de praktijk toch de wens bestaan om
bepaalde gegevens van het certificaat, of zelfs het hele certificaat,
te bewaren. Eén zo'n reden kan zijn dat het bij niet-incidentele
communicatie te omslachtig is om telkens opnieuw achter een
certificaat aan te gaan. Een andere mogelijke reden is dat de
verifiërende partij, bijvoorbeeld uit het oogpunt van
aansprakelijkheid, aan de hand van een bewaard certificaat wil kunnen
aantonen dat verificatie op basis ervan werkelijk heeft plaatsgehad.
Toch lijken dit soort overwegingen in het algemeen niet echt
overtuigend. Als bijvoorbeeld de identiteit van een
communicatiepartner eenmaal is vastgesteld aan de hand van een
certificaat en daarbij de geldigheidsduur van het certificaat is
genoteerd, dan hoeft tot het einde van deze geldigheidsduur niet
opnieuw een certificaat geverifieerd te worden.(2) Het bewaren van
certificaten of bepaalde informatie daarop (bijvoorbeeld het
serienummer) in verband met mogelijke aansprakelijkheid lijkt niet zo
zinvol als er een openbare directory bestaat waar de certificaten
sowieso uit opgehaald kunnen worden. Het zou dan meer voor de hand
liggen om gebruikt te maken van specifieke diensten voor
onloochenbaarheid. Kortom, een verifiërende partij die met
certificaatinformatie meer wil doen dan wat in het kader van een
specifieke communicatie of transactie noodzakelijk is, zal hiervoor
deugdelijke argumenten aan moeten dragen.
Ook de uitgevers van certificaten die openbare directories beheren,
hebben een taak bij het tegengaan van ongeoorloofd gebruik van de
informatie die erin is opgeslagen. Wie persoonsgegevens onder zijn
hoede heeft, moet immers passende technische maatregelen nemen om
misbruik ervan te voorkomen.(3) Een openbare directory moet dus zo
ingericht zijn dat zoveel mogelijk alleen het specifieke doel ervan
ondersteund wordt. Het bevragen van Dde informatie erin moet slechts
per geval kunnen worden bevraagdmogelijk zijn, en algemene selecties
en verstrekkingen zijn uit den boze. Waar mogelijk dient de
informatiedienen bovendien door middel van toegangscontrole slechts
aan relevante groepen gebruikers beschikbaar te worden
gesteldbeschikking over de informatie te krijgen.
Naast wettelijke beperkingen kan er natuurlijk ook sprake zijn van
beperkingen opgelegd door bijvoorbeeld de CSP. Een CSP die aan de
privacy van zijn klanten veel waarde toekent, zou in zijn CPS
expliciet de voorwaarde op kunnen nemen dat de verifiërende partij de
in haar openbare directory opgenomen certificaten alleen voor
verificatie mag gebruiken en sancties kunnen koppelen verbinden aan
het overtreden van die bepaling.
6.5 Samenvatting
Binnen een PKI moeten verschillende soorten informatie verspreid
worden: certificaatinformatie, bestaande uit attribuutinformatie en
administratieve informatie, en revocatie-informatie. Een bijzondere
vorm van attribuutinformatie is identiteitsinformatie. De meest
gangbare manier van verspreiden is via een openbare directory. Dat
brengt echter privacygevaren met zich mee. Zelfs als de
certificaathouder instemt met het openbaar worden van ieder
certificaat op zich, kan de combinatie van die informatie ongewenst
zijn. Voor het verspreiden van certificaatinformatie verdient
privéverspreiden (of zelfs helemaal niet verspreiden) serieuze
aandacht als alternatief. Als er toch een openbare directory komt, dan
dient de inrichting hiervan zo veel mogelijk alleen die bevragingen
toe te laten die nodig zijn gezien het doel van de directory. Dat de
informatie in de directory openbaar is, wil niet zeggen dat het
gebruik ervan geheel vrij is. Het volledig publiceren van ingetrokken
certificaten of het publiceren van de reden van intrekking van een
certificaat is ongewenst.
Noten
WBP, artikel 9, eerste en tweede lid; zie ook paragraaf 4.2.
Uiteraard is het wel raadzaam om bij hernieuwd contact actuele
revocatie-informatie op te vragen, maar dat geldt net zo goed voor wie
wel opnieuw om een certificaat vraagt.
WBP, artikel 13.
7 Rechtmatige toegang
De door een TTP verwerkte persoonsgegevens zijn in eerste aanleg
bedoeld voor de TTP zelf, zijn klanten en soms ook voor andere
gebruikers van een PKI. Daarnaast zullen er vaak echter ook anderen in
geïnteresseerd zijn. De regels ter bescherming van persoonsgegevens(1)
brengen met zich mee dat het een TTP lang niet altijd is toegestaan om
aan een verzoek om informatie gehoor te geven. Tenzij de persoon in
kwestie ermee akkoord gaat, zal een TTP daar overigens toch al niet zo
snel toe genegen zijn: het zou zijn rol van vertrouwde derde ernstig
in gevaar kunnen brengen.
7.1 Soorten informatie waarvoor toegang wordt gezocht
Bij TTP's zijn meestal allerlei verschillende soorten persoonsgegevens
voorhanden. Een ruwe onderverdeling van gegevens waarvoor derden
toegang zullen zoeken, valt goed te maken aan de hand van drie
belangrijke rollen die binnen een PKI zijn te onderscheiden. Bij de RA
zal het voornamelijk gaan om identiteitsgegevens, bij de CA om
sleutels voor vertrouwelijkheid en klare tekst van versleutelde
berichten, en bij de PPA ten slotte om de inhoud van berichten en
bestanden, al dan niet versleuteld.
Identiteitsgegevens
De RA verifieert een identiteit - en eventueel andere attributen - en
koppelt die aan een openbare sleutel. Attribuutgegevens zullen
doorgaans op het certificaat vermeld staan. De RA zal meestal niet
over veel extra gegevens beschikken, aangezien die alleen met
uitdrukkelijke toestemming van de certificaathouder mogen worden
verwerkt. Het interessantst zijn dan ook de pseudonieme certificaten,
want daarbij ligt het anders: de identiteit moet wel bekend zijn bij
de RA, maar wordt niet vermeld op het certificaat. Het kan voor
anderen van belang zijn om de bij een pseudoniem horende identiteit te
achterhalen. Aangezien de certificaathouder zich van een pseudoniem
bedient, heeft hij kennelijk de bedoeling om zijn identiteit verborgen
te houden. De RA mag deze identiteit dan ook alleen aan derden kenbaar
maken als zij daartoe wettelijk verplicht is, of in specifieke
gevallen waarvoor de certificaathouder zijn uitdrukkelijke toestemming
heeft gegeven. Een voorbeeld is het opvragen van de identiteit door
een derde tegen wie de certificaathouder heeft gefraudeerd. Aangezien
er geen wettelijke bepaling van toepassing is, mag de RA de identiteit
dan alleen bekend maken als de certificaathouder daarmee bij het
afgeven van het certificaat akkoord is gegaan. Het opnemen van een
bepaling daarover in bijvoorbeeld het CPS is voor het verkrijgen van
uitdrukkelijke toestemming onvoldoende.
Sleutels voor vertrouwelijkheid
De CA geeft sleutels uit voor de digitale handtekening en
vertrouwelijkheid. De privésleutel voor de digitale handtekening wordt
gebruikt om elektronische bestanden te authenticeren. Onloochenbare
authenticatie kan alleen gegarandeerd worden als slechts de
rechtmatige ondertekenaar zelf over de privésleutel beschikt - ook de
CA dient er dus geen kopie van te bewaren. Voor gekwalificeerde
certificaten eist de richtlijn dit ook.
Heel anders ligt het met sleutels voor vertrouwelijkheid. Er zijn vaak
goede redenen om van zo'n sleutel een kopie te bewaren. Mocht de
originele sleutel immers onverhoopt verloren gaan - bijvoorbeeld door
verlies of beschadiging van de hardware, zoals een harde schijf of
smartcard, waarop deze is opgeslagen - dan is de versleutelde
informatie definitief verloren gegaan als er geen kopie beschikbaar
is. Vanzelfsprekend is zo'n kopie ook interessant voor derden die
graag de inhoud van versleutelde berichten of bestanden willen
achterhalen.
Berichten en bestanden
De PPA bewaart voor andere organisaties kopieën van de inhoud van hun
bestanden en berichten. Deze kunnen versleuteld zijn of van een
tijdstempel voorzien. Enkele mogelijke doelstellingen van de opslag
zijn: het onloochenbaar kunnen bewijzen dat bepaalde berichten aan een
andere partij zijn verzonden, of zelfs dat ze door die partij zijn
ontvangen; het kunnen opsporen van frauduleuze handelingen van klanten
of werknemers; het vastleggen van handelingen voor een audit. Bij de
PPA kan een grote hoeveelheid belangrijke informatie over een
organisatie verzameld zijn. De opdrachtgever zal dan ook staan op
adequate beveiliging tegen kennisname door anderen. Ook de
opdrachtgever zelf mag echter niet onbeperkt in alle vastgelegde
gegevens grasduinen.
7.2 Verstrekkingen aan derden
De gevallen waarin een TTP persoonsgegevens mag doorgeven, kunnen
globaal worden gesplitst in twee categorieën:
gevallen waarin de TTP mag verstrekken;
gevallen waarin de TTP moet verstrekken.
In deDe gevallen waarin een TTP persoonsgegevens mag verstrekken zal
datbestaan meestal zijn op grond van artikel 8 van de WBP. Dit artikel
geeft aan wat rechtmatige gronden zijn voor het verwerken - dus onder
andere het doorgeven - van persoonsgegevens. Een voorbeeld van zo'n
grond is de behartiging van een gerechtvaardigd belang; voorwaarde
daarbij is dan wel dat de bescherming van de privacy van de personen
waar het om gaat, niet zwaarder weegt. Artikel 9 van de WBP zegt
bovendien dat het doorgeven van persoonsgegevens verenigbaar moet zijn
met het doel waarvoor ze zijn verkregen.(2)
Voor TTP's die digitale certificaten uitgeven zijn de regels vrij
duidelijk, omdat er voor hen aanmerkelijk strengere eisen gelden.(3)
Richtlijn 99/93/EG bepaalt namelijk dat zo'n TTP alleen vrijwillig
iemands gegevens aan een ander mag doorgeven met uitdrukkelijke
toestemming van de persoon in kwestie.(4) Vrijwillige verstrekkingen
komen in dit hoofdstuk verder niet aan de orde, aangezien de nadruk in
dit rapport ligt op dienstverlening in verband met digitale
handtekeningen en de situatie in dat geval vrij overzichtelijk is.
7.3 Wettelijk gronden voor rechtmatige toegang
In de gevallen waarin een TTP persoonsgegevens moet verstrekken is er
een derde partij die rechtmatig toegang kan verlangen tot die
gegevens. Het is in dit verband gebruikelijk om twee soorten partijen
te onderscheiden die rechtmatige toegang tot gegevens hebben:
opsporings-, inlichtingen- en veiligheidsdiensten;
anderen, zoals werkgevers, curatoren en artsen.
Van beide groepen volgt hieronder een overzicht van de wettelijke
gronden waarop zij er recht op hebben om bepaalde persoonsgegevens te
ontvangen.
Opsporings-, inlichtingen- en veiligheidsdiensten
De belangrijkste wetten met betrekking tot rechtmatige toegang door
opsporingsdiensten zijn de zijn de Wet computercriminaliteit I & II,
de Telecommunicatiewet en de Wet bijzondere opsporingsbevoegdheden. De
nieuwe Wet op de inlichtingen- en veiligheidsdiensten, die overigens
net als de Wet computercriminaliteit II nog wacht op goedkeuring door
het parlement, regelt onder meer rechtmatige toegang door deze
diensten .
De Wet computercriminaliteit regelt via de artikelen 125i en 125j van
het Wetboek van Strafvordering (Sv) de bevoegdheid van
opsporingsdiensten om in computers opgeslagen gegevens te vorderen.
Met uitzondering van de verdachte moet bovendien iedereen die dat kan,
helpen bij het ontcijferen van versleutelde bestanden (125k Sv). De
Telecommunicatiewet regelt in hoofdstuk 13 dat telecomnetwerken
aftapbaar moeten zijn, en de medewerking die telecombedrijven bij het
aftappen moeten verlenen. De Wet bijzondere opsporingsbevoegdheden
regelt de bevoegdheid van opsporingsdiensten om telecomverkeer af te
tappen (126m en 126t Sv) en om inlichtingen over het telecomverkeer te
vorderen (126n en 126u Sv). Tot slot regelt de Wet
computercriminaliteit II de verplichting van iedereen die dat kan - de
verdachte opnieuw uitgezonderd - om te helpen bij het ontcijferen van
versleutelde telecommunicatie (toevoegingen aan 126m en 126t Sv).
Artikel 25 van de nieuwe Wet op de inlichtingen- en
veiligheidsdiensten geeft die diensten de bevoegdheid om
telecomverkeer af te tappen. Artikel 24 van dezelfde wet bepaalt dat
iedereen desgevraagd de diensten moet helpen bij het ontcijferen van
versleutelde bestanden of berichten.
Zie paragraaf 7.4 voor een beknopte weergave van het standpunt van de
Registratiekamer op dit terrein.
Rechtmatige toegang door anderen
Een recht op toegang door bijvoorbeeld werkgevers, curatoren en artsen
is in het algemeen het gevolg van bepalingen in specifieke wetgeving.
Anders dan bij de opsporings-, inlichtingen- en veiligheidsdiensten
gaat het daar doorgaans om een algemeen recht om van bepaalde gegevens
kennis te nemen dat is uitgebreid tot elektronische gegevensdragers.
Er is dus geen sprake van specifiek op elektronisch bewaarde gegevens
gerichte bevoegdheden zoals die die zijn vastgelegd in de aftap- en
medewerkingsbepalingen die in de vorige paragraaf aan de orde zijn
gekomen. Over het wettelijk kader met het oog op TTP-diensten valt dan
ook weinig algemeens te zeggen: de randvoorwaarden voor een bepaalde
beroepsgroep of maatschappelijke sector hangen af van de relevante
sectorale wetgeving.
Een voorbeeld: een bedrijf schakelt een PPA in voor het vastleggen van
de elektronische berichten die zijn werknemers verzenden en ontvangen.
Met de vastgelegde gegevens wil het bedrijf onder meer zijn werknemers
controleren, bijvoorbeeld om na te kunnen gaan of zij niet te veel
voor privédoeleinden websurfen of e-mailen in de baas zijn tijd. Er is
dan sprake van een personeelsvolgsysteem. Voor zo'n systeem gelden
verschillende specifieke regels, bijvoorbeeld dat de ondernemingsraad
met de inzet van het systeem moet instemmen.
7.4 Aftappen, cryptografie en privacy
Het zou te ver voeren om in dit rapport al te diep in te gaan op de
nog altijd voortdurende controverse over gebruik en misbruik van
cryptografie. De Registratiekamer heeft in haar Jaarverslag 1996 al
een standpunt over cryptografie ingenomen, dat als volgt kan worden
samengevat:
toegang door de overheid dient in balans te zijn met het recht op
bescherming van de persoonlijke levenssfeer: de balanced approach
gepropageerd door de OESO cryptography expert group;
voor een adequate bescherming van de persoonlijke levenssfeer is de
feitelijke inrichting van de betreffende systemen erg belangrijk,
mogelijk is hier een rol weggelegd voor PET(5);
het deponeren van geheime sleutels dient, indien onvermijdelijk, te
gebeuren verdeeld over meerdere TTP's die een concurrerend belang
hebben; in ieder geval moeten zij niet automatisch het belang van de
opsporingsbehoefte van de overheid dienen; er dienen dan ook meerdere
TTP's op de markt te opereren, zodat er geen monopoliepositie
ontstaat.
Overheden lijken de laatste jaren langzaam tot het besef te zijn
gekomen dat een verbod op het gebruik van zware encryptie zonder
achterdeur' niet reëel is. Steeds meer komt de nadruk daarom te liggen
op andere methoden om niettemin de klare tekst van versleutelde
berichten of bestanden te kunnen achterhalen. Een voorbeeld in
Nederland vormen de aangescherpte aftapbepalingen in de
Telecommunicatiewet en de medewerkingsverplichting uit de Wet
computercriminaliteit. Hierbij is het van belang dat de bevoegdheden
niet te ver worden opgerekt, en blijft het punt van gesplitste backup
van sleutels voor vertrouwelijkheid relevant, ook als dit vrijwillig
gebeurt.
7.5 Samenvatting
Het vrijwillig verstrekken van persoonsgegevens door CSP's mag alleen
met toestemming van de certificaathouder. Bij verschillende
functionele onderdelen van een PKI is verschillende informatie te
halen
bij de RA over de identiteit behorend bij een pseudoniem;
bij de CA de sleutels tot vercijferde berichten;
bij de PPA de inhoud van berichten en bestanden.
Verschillende groepen personen hebben wettelijk recht op bepaalde
informatie, ook als deze bij een TTP berust. Opsporings- en
inlichtingendiensten hebben bij elektronische communicatie een aantal
specifieke bevoegdheden, onder meer tot het aftappen van
telecommunicatie en het verlangen van medewerking bij ontsleuteling.
Er dient sprake te zijn van een balans tussen het opsporingsbelang van
de overheid en de bescherming van de persoonlijke levenssfeer van de
burger.
7.6 Verder lezen
Informatieverstrekking aan opsporingsdiensten is het onderwerp van
onder andere Schreuders e.a. (1999) en Mac Gillavry (2000). Goede
overzichten van het cryptografiedebat zijn het proefschrift van Koops
(1998) en, van meer recente datum, het Dossier Cryptografie van Bureau
Jansen & Janssen (Van Buuren, 2000).
Noten
De WBP, en voor zover de TTP telecomdiensten aanbiedt ook hoofdstuk 11
van de Telecommunicatiewet.
Zie paragraaf 4.2 voor details.
Zolang het tenminste om identiteitsgebonden certificaten gaat, maar
dat zijn de meeste certificaten, ook de pseudonieme.
Artikel 8, tweede lid.
Zie hoofdstuk 8 voor toepassingen van PET bij digitale certificaten.
8 PET-certificaten
In de vorige drie hoofdstukken zijn verschillende privacyaspecten van
TTP's aan de orde gekomen, waarbij de nadruk lag op digitale
certificaten. Het ging daarbij meestal om privacybedreigingen en de
randvoorwaarden die vervuld moeten zijn om die zo klein mogelijk te
houden. De cryptografische technieken die gebruikt worden om de
betrouwbaarheid en vertrouwelijkheid van elektronische communciatie te
waarborgen kunnen echter ook ingezet worden om de privacy te
beschermen. Mits op een goede manier ontworpen kunnen digitale
certificaten daardoor ook een positieve rol vervullen bij de
bescherming van de persoonlijke levenssfeer.
Privacy-enhancing technologies, ofwel PET (Hes & Borking, 1998) zijn
een samenhangend geheel van ICT-maatregelen dat de persoonlijke
levenssfeer beschermt door het elimineren of verminderen van
persoonsgegevens of door het voorkomen van onnodige dan wel ongewenste
verwerking van persoonsgegevens, zonder verlies van functionaliteit.
Het gebruik van pseudoniemen is een belangrijke vorm van PET. Appendix
A beschrijft de identiteitsprotector, een privacymodule voor het
beheer van pseudoniemen in informatiesystemen. Zoals in eerder
hoofdstukken al op verschillende plaatsen is besproken, kan het
gebruik van pseudonieme certificaten in veel gevallen een
privacybewust alternatief bieden voor PKIs die uitgaan van
identiteitscertificaten. In dit hoofdstuk een korte beschrijving van
twee modellen voor dergelijke PET-certificaten': SPKI (Simple Public
Key Infrastructure) en certificaten als ontwikkeld door Brands
(2000a). In hoeverre ontwikkelingen binnen het kader van de
X.509-standaard het mogelijk maken om vergelijkbare modellen te
ondersteunen is onduidelijk.
8.1 SPKI(1)
Zoals de naam al zegt, hadden de ontwerpers van de internetstandaard
SPKI (Simple Public Key Infrastructure) voor ogen om een eenvoudig
PKI-model te ontwikkelen. Of zij daarin geslaagd zijn, betwijfelen
sommigen. In ieder geval was het voor hen aanleiding om de aannames
die sinds het begin van de openbaresleutel-cryptografie golden bij het
ontwerpen van PKIs en digitale certificaten nog eens kritisch onder de
loep te nemen.
Diffie & Hellman (1976) ontwierpen de openbaresleutel-cryptografie met
het oog op vertrouwelijke communicatie. Zij zagen in dat het probleem
van het op een veilige manier uitwisselen van een geheime sleutel
plaats maakte voor een nieuw probleem: het op een betrouwbare manier
vaststellen van de koppeling tussen een persoon en een openbare
sleutel. Als oplossing stelden zij voor om hiervoor een openbare
directory in te richten, een soort telefoonboek voor digitale
handtekeningen.
Een van de problemen met een openbare directory van certificaten is de
beveiliging van het communicatiepad tussen de directory en de
gebruiker ervan. Kohnfelder (1978) stelde daarom voor om de beheerder
van de directory de koppeling vast te laten leggen in een digitaal
certificaat, een elektronisch document met een digitale handtekening.
Op deze manier introduceerde hij de notie van een
identiteitscertificaat, een digitaal certificaat dat bevestigt dat de
erop vermelde openbare sleutel toebehoort aan de persoon waarvan de
identiteitsgegevens eveneens op het certificaat staan.
De ontwerpers van SPKI merken op dat het koppelen van een openbare
sleutel aan een identiteit eigenlijk niet de kern van een PKI is.
Essentieel is dat het bij openbaresleutel-cryptografie uiteindelijk
altijd gaat om beslissingen om al dan niet toegang te verlenen op
basis van een bepaalde openbare sleutel. Zo'n beslissing vindt plaats
met behulp van een toegangscontrolelijst. Wordt er gewerkt met
identiteitscertificaten, dan bestaat deze lijst uit een opsomming van
namen (of vergelijkbare identiteitsgegevens) met de bijbehorende
toegangsrechten. Autorisatie is dan een soort tweetrapsraket: eerst
wordt aan de hand van een certificaat bepaald welke naam er hoort bij
een aangeboden openbare sleutel; vervolgens vertelt de
toegangscontrolelijst of de persoon met die naam de benodigde
toegangsrechten heeft. Deze omweg is helemaal niet nodig.
SPKI-certificaten binden dan ook rechten direct aan een openbare
sleutel.(2) Het autorisatiemodel is hiërarchish opgebouwd: een
certificaat kan bepalen dat de houder zijn rechten op basis van dat
certificaat aan anderen mag delegeren.
SPKI bestrijdt de noodzaak van het gebruik van een naam' in de zin van
een uniek persoonsgebonden nummer of code en onderkent de
privacybezwaren ervan. Tegelijkertijd onderstreept het wel het belang
voor deelnemers aan een PKI om hun eigen naamruimte' te kunnen
definiëren. Een gebruiker kan in SPKI zijn eigen namen verbinden aan
bepaalde openbare sleutels, eventueel met behulp van door anderen
gegeven namen: deze sleutel hoort bij de persoon die Robbie wordt
genoemd door Liesje.
SPKI-certificaten zijn niet aan een identiteit gebonden. De bezwaren
uit paragraaf 5.5 tegen het gebruik van de openbare sleutel als
persoonsgebonden nummer gelden dan ook niet zonder meer voor SPKI.
Toch is de centrale rol die de openbare sleutel speelt een mogelijk
privacyrisico. Het kan immers altijd voorkomen dat een SPKI-sleutel
direct of indirect te herleiden valt tot een bepaalde persoon. Om de
privacy voldoende te waarborgen zou een SPKI-implementatie hier
rekening mee moeten houden, bijvoorbeeld door het gebruikers
gemakkelijk te maken om geregeld van sleutel te veranderen en door het
koppelen van die verschillende sleutels zo moeilijk mogelijk te maken.
8.2 Certificaten à la Brands(3)
Het werk van Brands (2000a) richt zich onder meer op het hierboven
voor SPKI geconstateerde bezwaar dat het gebruik van pseudonieme
certificaten op zich nog niet voldoende privacygaranties hoeft te
bieden. In zeker opzicht vergroot het zelfs de privacyrisico's: de TTP
heeft immers niet alleen meer alleen de beschikking over
identiteitsgegevens, maar ook over allerlei andere attributen van de
houder.
Om dit bezwaar te ondervangen heeft Brands een speciaal soort
certificaten ontwikkeld. De uitgifte ervan kan gebeuren op een manier
die verschillende plezierige eigenschappen heeft. Bijzonder is vooral
dat de TTP een certificaat kan uitgeven dat bepaalde attributen aan
een openbare sleutel koppelt zonder dat de TTP deze sleutel ooit te
weten kan komen. Tegelijkertijd heeft de TTP wel de benodigde
zekerheid dat de houder op geen enkele manier met de koppeling van
sleutel en attributen kan rommelen.
De door Brands ontwikkelde certificaten hebben nog meer prettige
eigenschappen. Zo zijn het geen alles-of-niets certificaten': de
certificaathouder kan zelf beslissen of hij alle attributen op het
certificaat aan een ander bekend wil maken of slechts een gedeelte
daarvan. Het is zelfs mogelijk om bepaalde logische combinaties aan te
geven. Stel bijvoorbeeld dat een organisatie dezelfde korting geeft
aan donateurs van een bevriende organisatie en aan minimuminkomens.
Met een certificaat waarop beide attributen vermeld staan zou je aan
kunnen tonen recht te hebben op de korting omdat je aan één van beide
voorwaarden voldoet, zonder dat de organisatie echter ooit te weten
kan komen welke van de twee nu het geval is.
Een nadeel van traditionele digitale certificaten kan zijn dat de
ontvangende partij het certificaat weer aan anderen kan doorgeven,
waardoor die komen te beschikken over een onloochenbaar bewijs dat
bepaalde attributen op de houder van toepassing zijn. De certificaten
van Brands maken het mogelijk dat de houder een andere partij kan
overtuigen een certificaat te bezitten dat bepaalde attributen koppelt
aan zijn openbare sleutel, zonder dat de andere partij het certificaat
zelf ooit te zien krijgt. Op die manier komt de andere partij
natuurlijk nog steeds de informatie zelf te weten, maar komt zij niet
in het bezit van een overdraagbaar bewijs dat het koppelt aan de
openbare sleutel van de houder.
8.3 De toekomst van PET-certificaten
De WBP bevat in vergelijking met de WPR een aangescherpte bepaling
over de inzet van onder andere technische middelen om persoonsgegevens
te beveiligen(4). De rol van PET zal in de komende jaren daarom steeds
belangrijker worden. De Tweede Kamer heeft bij de behandeling van de
WBP zelfs een motie aangenomen die de overheid ertoe oproept om bij
het inrichten van haar eigen informatiesystemen hierbij het voortouw
te nemen.(5)
De verreweg het meest gebruikte standaard voor digitale certificaten
is momenteel X.509 versie 3. Deze specificeert identiteitscertificaten
die geen privacybeschermende mogelijkheden lijken te bieden die
vergelijkbaar zijn met die van de hierboven besproken alternatieven.
De in eerdere hoofdstukken besproken privacyrisico's van digitale
certificaten brengen in combinatie met het toenemende belang van PET
met zich mee dat deze alternatieven meer aandacht verdienen dan zij
tot nu toe hebben gekregen.(6) TTP's dienen hier hun
verantwoordelijkheid te nemen, want zij zullen zich in de toekomst
steeds minder op X.509 als enige serieuze optie kunnen beroepen. Naast
wat er daadwerkelijk voorhanden is bepaalt immers wat er binnen
handbereik ligt mede de stand van de techniek.
Noten
Deze paragraaf is grotendeels gebaseerd op Ellison (1999).
SPKI erkent wel dat er vaak ook een identiteit met de sleutel
geasssocieerd moet kunnen worden, maar voor deze link hoeft de PKI de
beveiliging niet te regelen.
Deze paragraaf is grotendeels gebaseerd op Brands (2000).
Artikel 13 van de WBP, zie paragraaf 4.2.
Motie van het lid Nicolaï c.s. Kamerstukken II, 1999-2000, 25 892, nr.
31.
Zoals in de inleiding al is aangegeven is niet duidelijk in hoeverre
ontwikkelingen binnen het kader van de X.509-standaard het mogelijk
maken om vergelijkbare modellen te ondersteunen.
9 Aanbevelingen
Vertrouwen van de klant is een conditio sine qua non voor TTP's. Het
is in TTP-kringen dan ook bon ton om lippendienst te bewijzen aan de
beginselen van privacybescherming. Helaas blijft het vaak bij algemene
opmerkingen in de trant van uiteraard houden TTP's zich aan de
privacywetgeving. Om een goede bescherming van de persoonlijke
levenssfeer te kunnen garanderen dient echter al bij het ontwerpen van
technologieën en infrastructuren hiermee rekening te worden
gehouden.(1) Gebeurt dat inderdaad, dan kunnen TTP-diensten in het
algemeen, en digitale certificaten in het bijzonder, een belangrijke
bijdrage leveren aan privacybescherming bij elektronische communicatie
en transacties.
De Registratiekamer komt op basis van de analyse in dit rapport tot
onderstaande aanbevelingen.
Digitale certificaten en verwante cryptografische technieken kunnen
een belangrijke rol spelen als privacy-enhancing technology (PET).
Anonieme of pseudonieme certificaten hebben waar mogelijk de voorkeur
boven identiteitscertificaten. Van TTPs mag worden verwacht dat zij
actief bijdragen aan de ontwikkeling van technologieën en
infrastructuren die gebaseerd zijn op dergelijke certificaten in
plaats van op X.509-certificaten, zonodig ook buiten het kader van de
X.509-standaard. Worden toch identiteitscertificaten gebruikt, dan
verdient het de voorkeur dat deze zo weinig mogelijk additionele
informatie bevatten.
Het gebruik van een algemeen persoonsnummer is ongewenst. Voor
sectorale of ketengebaseerde nummers zijn er wel mogelijkheden, mits
de uitwisseling op basis ervan met voldoende waarborgen omkleed wordt.
PKI's dienen zo ingericht te worden dat certificaatnummers of openbare
sleutels niet kunnen verworden tot alternatieve persoonsnummers. Nog
sterker geldt dit voor biometrische templates.
De inrichting van een openbare directory van certificaten dient zo
veel mogelijk alleen die bevragingen toe te laten die nodig zijn
gezien het doel van de directory. Privéverspreiding van certificaten
dient voor de houder beschikbaar te zijn als reëel alternatief voor
opname ervan in een openbare directory.
verdient de voorkeur boven openbare directories. Komt er niettemin
zo'n directory, dan dient de inrichting hiervan zo veel mogelijk
alleen die bevragingen toe te laten die nodig zijn gezien het doel van
de directory. Ook dient er dan een reëel alternatief te zijn voor het
gebruik van de directory. Is dat niet mogelijk, dan zal sterk
overwogen moeten worden om geen digitale certificaten te g
ebruiken.
Niet meer administratieve informatie en revocatie-informatie dient te
worden vermeld dan nodig is.
Degene die zich baseert op een certificaat mag de informatie alleen
gebruiken voor het specifieke doel waarvoor deze is verstrekt, waarna
zij vernietigd dient te worden. Hard- en software dienen voor deze
vernietiging zoveel mogelijk automatisch zorg te dragen.
CSP's mogen de identiteit die hoort bij een pseudoniem alleen bekend maken in het geval van een wettelijke verplichting of met uitdrukkelijke toestemming van de certificaathouder.
Bevoegdheden van opsporings- en inlichtingendiensten tot het
verkrijgen van rechtmatige toegang dienen in balans te zijn met de
bescherming van de persoonlijke levenssfeer.
Noten
Zie Lessig (1999) voor een diepgaande bespreking van dit punt in een
algemener kader.
10 Recommendations
The customer's trust is a conditio sine qua non for TTP's. It is
therefore fashionable in TTP circles to pay lip service to the
principles of privacy protection. Unfortunately this rarely goes
beyond general remarks along the lines of TTP's of course adhere to
privacy laws. Guaranteeing adequate safeguards for personal privacy
however requires this aspect to be taken into account from the
earliest stages of the designing phase of technologies and
infrastructures.(1) If this is done, TTP services in general and
digital certificates in particular can provide an important
contribution to privacy protection for electronisch communication and
transactions.
Based on the analysis in this report the Registratiekamer has come to
the recommendations below.
Digital certificates and related cryptographic techniques can play an
important role as privacy-enhancing technology (PET).
If possible, Aanonymous or pseudonymous certificates are preferable to
identity certificates. TTP's can be expected to contribute actively to
the development of technologies and infrastructures that are based on
such certificates, whether within the framework of the rather than on
X.509 certificatesstandard or not.
The use of a general personal registration number is undesirable.
There are possibilities for sectoral or chain-based numbers, provided
that information exchanges based on them are surrounded with
sufficient safeguards. PKI's should be designed in such a way that
certificate numbers or public keys will not turn into alternative
personal registration numbers. All the more this is true for
biometrical templates.
Public certificate directories Private dissemination of certificates
is preferable to public directories. If such a directory is set up
anyway, it should be designed as much as possible in such a way as to
allow only those queries that are necesarry in view of the purpose of
the directory. Private dissemination of certificates must be available
to the certificate holder as a real alternative to the use of a public
directory.
No more administrative information and revocation should be listed
than necessary.
The verifying party may use the information on a certificate for the
specific purpose for which it was provided only, after which it must
be destructed. As much as possible, hardware and software must provide
for automatic destruction.
CSP's may only divulge the identity that goes with a pseudonym in the
case of a legal obligation or with the express permission of the
certificate holder.
Powers of investigation services and intelligence services with
respect to obtaining lawful access should be in balance with the
protection of personal privacy.
Noten
See Lessig (1999) for a thorough discussion of this issue in a general
setting.
Samenvatting
Het internet heeft zich het afgelopen decennium ontwikkeld van een
elektronische speeltuin voor militairen en onderzoekers tot het
belangrijkste communicatiemedium van de toekomst. Veiligheid en
betrouwbaarheid van communicatie over open netwerken worden daarmee
steeds belangrijkere onderwerpen.
In het algemeen kunnen partijen die, al dan niet elektronisch, met
elkaar communiceren allerlei eisen stellen aan de veiligheid en
betrouwbaarheid van hun onderlinge gegevensuitwisseling. Belangrijke
betrouwbaarheidsaspecten zijn:
identificatie en authenticatie: met wie ben ik aan het communiceren
(identificatie) en kan ik er zeker van zijn dat de andere partij
inderdaad is voor wie hij zich uitgeeft (authenticatie)?
autorisatie en kwalificatie: heeft de andere partij wel de juiste
rechten (autorisatie) of eigenschappen (kwalificatie) voor een
transactie?
vertrouwelijkheid: kan ik ervan op aan dat alleen degene met wie ik
wil communiceren kennis kan nemen van de inhoud van mijn boodschap?
integriteit: is wat ik heb ontvangen wel het oorspronkelijke bericht
of is het onderweg gewijzigd?
onloochenbaarheid(1): kan ik voorkomen dat een afzender later kan
ontkennen een bericht ooit verstuurd te hebben of dat een
geadresseerde kan beweren mijn bericht nooit te hebben ontvangen?
tijdstempeling: wanneer is dit bericht verzonden of wanneer heeft deze
transactie plaatsgehad?
Een bijna onontkoombare techniek voor het garanderen van de hierboven
opgesomde eigenschappen in een open elektronische omgeving is
cryptografie, het gebruik van geheimschrift. Een techniek die snel aan
populariteit wint, is de openbaresleutel-cryptografie. Deze techniek
maakt gebruik van twee verschillende sleutels, waarvan er één wordt
gebruikt voor het versleutelen van berichten en de ander voor het
ontcijferen ervan. Eén van beide sleutels, de privésleutel, moet de
bezitter geheim houden, de ander maakt hij openbaar.
Openbaresleutel-cryptografie kan op twee manieren gebruikt worden,
afhankelijk van welke van beide sleutels openbaar wordt gemaakt. Is de
vercijfersleutel openbaar, dan kan iedereen deze sleutel gebruiken om
een vercijferd bericht te maken dat alleen de eigenaar van de
bijbehorende privésleutel weer kan ontcijferen. Is daarentegen de
ontcijfersleutel openbaar, dan kan deze dienen tot authenticatie van
de bron van een vercijferd bericht: alleen de eigenaar van de
bijbehorende privésleutel kan het bericht vercijferd hebben. Deze
laatste toepassing staat bekend als het zetten van een digitale
handtekening.
Het gebruik van openbaresleutel-cryptografie vereist dat de sleutel op
betrouwbare wijze gekoppeld is aan de identiteit of andere attributen
van de houder ervan. De infrastructuur die nodig is om dit te
faciliteren heet een public-key infrastructure (PKI). Een trusted
third party (TTP) staat binnen een PKI in voor de genoemde koppeling.
De TTP doet dat door door zelf gebruik te maken van een elektronische
handtekening. Een digitaal certificaat is een door een TTP uitgegeven
en digitaal ondertekend elektronisch document dat het verband legt
tussen een openbare sleutel en attributen van de houder ervan.
Nederland staat aan de vooravond van grootschalige invoering van
TTP's.
De wet die in Nederland de behoorlijke en zorgvuldige omgang met
persoonsgegevens regelt, zal vanaf begin 2001 de Wet bescherming
persoonsgegevens (WBP) zijn. Belangrijke uitgangspunten van de WBP
zijn:
doelbinding;
rechtmatigheid;
proportionaliteit en subsidiariteit;
transparantie;
rechten van betrokkenen.
Doelbinding betekent dat het bij het verzamelen van persoonsgegevens
duidelijk moet zijn met wat voor doel dat gebeurt. Dat doel moet
bovendien concreet zijn. Verdere verwerking van verzamelde gegevens
moet verenigbaar zijn met het doel waarvoor ze zijn verzameld.
Rechtmatigheid houdt allereerst in dat gegevens op een behoorlijke,
zorgvuldige en legale manier verwerkt worden. De gegevens moeten
bovendien relevant, voldoende, niet bovenmatig en juist zijn. De WBP
kent een beperkt aantal mogelijke grondslagen voor het rechtmatig
verwerken van persoonsgegevens.
Proportionaliteit komt neer op de vraag: is het ingezette middel wel
evenredig aan het beoogde doel?, subsidiariteit op de vraag: is er
geen minder ingrijpend alternatief?.
Transparantie houdt in dat de betrokkene recht heeft op informatie als
er persoonsgegevens van hem worden verwerkt. Wie dat doet, moet hem
onder andere laten weten wie hij is en wat voor gegevens hij waarvoor
verwerkt.
De WBP kent de betrokkene het recht toe om zijn gegevens in te zien en
om te verzoeken om verbetering of verwijdering. Heeft hij nadeel
ondervonden van een onrechtmatige verwerking, dan heeft hij recht op
schadevergoeding.
Wie persoonsgegevens verwerkt, moet passende technische en
organisatorische maatregelen nemen om ze goed te beveiligen. Dat kan
door de inzet van privacy-enhancing technologies (PET).
Op TTP's die PKI-diensten verlenen is behalve de WBP ook de Europese
richtlijn 99/93/EG van toepassing. Deze stelt strenge regels voor de
omgang met persoonsgegevens door TTP's en bepaalt dat de lidstaten het
gebruik van pseudoniemen niet mogen verbieden.
De Telecommunicatiewet is slechts van toepassing op TTP's voor zover
hun dienstverlening geheel of gedeeltelijk bestaat uit de overdracht
van signalen. Dat is vrijwel nooit het geval.
Het anoniem gebruik van een digitale handtekening heeft zijn
toepassingen, maar doorgaans zal het wenselijk zijn dat de identiteit
bekend is van de houder ervan. Dat wil echter nog niet zeggen dat deze
identiteit ook op het certificaat vermeld moet worden. Vaak is het
voldoende dat de identiteit van de houder zonodig, bijvoorbeeld in het
geval van fraude, is te achterhalen. Aangezien de gebruiker van een
pseudoniem certificaat kennelijk zijn identiteit verborgen wenst te
houden moet wel precies duidelijk zijn welke omstandigheden voldoende
aanleiding zijn om deze gegevens niettemin aan anderen te verstrekken.
Modellen voor PET-certificaten', die onder meer door het gebruik van
pseudoniemen de privacy beschermen, verdienen meer aandacht dan zij
tot nu toe hebben gekregen.
Traditionele identiteitsgegevens als naam-adres-woonplaats zijn een
onvoldoende basis voor het betrouwbaar koppelen van persoonsgegevens.
Zulk koppelen komt de kwaliteit van de gegevens ten goede, maar kan
ook grote privacyrisico's inhouden. Om die reden is de invoering van
een algemeen persoonsgebonden nummer voor dat doel onwenselijk.
Sectorale nummers kunnen mogelijk echter uitkomst bieden. Voorkomen
moet worden dat openbare sleutels of, nog gevaarlijker, biometrische
templates gaan fungeren als alternatieve persoonsgebonden nummers.
Binnen een PKI is het nodig om verschillende soorten informatie te
verspreiden. De belangrijkste zijn de informatie op het certificaat en
informatie over ingetrokken certificaten. De meest gebruikelijke
manier van verspreiden van certificaten is via een openbare directory.
Dat mag alleen met toestemming van de certificaathouder, die ook een
redelijk reëel alternatief moet hebben. De toestemming moet vrijwillig
gegeven zijn en dient te zijn gebaseerd op juiste, duidelijke en
volledige informatie. Verspreide revocatie-informatie moet niet meer
gegevens bevatten dan nodig, bijvoorbeeld een serienummer in plaats
van het hele ingetrokken certificaat. Het op grote schaal openbaar
zijn van certificaten biedt tal van mogelijkheden voor het opbouwen
van gedetailleerde profielen. Om die reden verdient privé-verspreiden
(of zelfs niet verspreiden) serieuze aandacht als alternatief.
Verspreide revocatie-informatie moet niet meer gegevens bevatten dan
nodig, bijvoorbeeld een serienummer in plaats van het hele ingetrokken
certificaat.
PKI-informatie wordt verspreid met een bepaald doel. Verdere
verwerking van de informatie moet verenigbaar zijn met dit doel. Dat
geldt ook voor verspreiding via een openbare directory; de beheerder
van de directory moet deze dan ook daarnaar inrichten.
Verschillende partijen kunnen toegang verlangen tot bij TTP's beschikbare gegevens. Het kan dan gaan om de identiteit van de houder van een pseudoniem certificaat, sleutels voor het ontcijferen van versleutelde berichten of bestanden, of om de opgeslagen berichten of bestanden zelf. De opsporings- en inlichtingendiensten hebben verschillende specifieke wettelijke bevoegdheden op dit terrein. Anderen met rechtmatige toegang hebben dit doorgaans op basis van een algemener recht op bepaalde informatie. De Registratiekamer staat een benadering voor waarbij het opsporingsbelang van de overheid en het recht op privacy van de burger met elkaar in balans zijn.
Zie hoofdstuk 9 voor aanbevelingen van de Registratiekamer naar
aanleiding van de analyse in dit rapport.
Summary
Over the past ten years, the internet has developed from a playground
for the military and academia into the most important means of
communication for the future. Security and reliability of
communication across open networks are consequently turning into ever
more important subjects.
In general, parties that communicate with each other-whether by
electronic means or otherwise-may have all sorts of requirements for
the security and reliability of their exchange of information.
Important ones are:
identification and authentication: with whom am I communicating
(identification) and can I be sure that the other party are who they
claim to be (authentication)?
authorization and qualification: does the other party have the
appropriate rights (authorization) or properties (qualification) for a
transaction?
confidentiality: can I be sure that only the party I wish to
communicate with will be able to access the content of my message?
integrity: is what I received the original message, or was it modified
somewhere along the line?
non-repudiation: do I have a way to prevent a sender from later
denying ever to have sent me a message, or to prevent an addressee
from later denying ever to have received my message?
time-stamping: when was this message sent, or when did this
transaction take place?
An almost inevitable technique for guaranteeing the characteristics
listed above in an open electronic environment is cryptography, the
use of secret code. A technique that is rapidly gaining in popularity
is public-key cryptography. This technique uses two different keys,
one of which is used for encrypting messages and the other for
decrypting them. One of these two keys, the private key, the owner
must keep a secret, the other one he makes public. Public-key
cryptography can be employed in two ways. When the encryption key is
made public, everyone can use this key to create an encrypted message
that only the owner of the corresponding private key can decrypt. When
on the other hand the decryption key is made public, it can serve to
authenticate the source of an encrypted message: only the owner of the
corresponding private key could have encrypted the message. This last
application is known as a digital signature.
The use of public-key cryptography requires that the key be linked in
a reliable way to the identity or other attributes of the keyholder.
The infrastructure required to facilitate this is known as a
public-key infrastructure (PKI). A trusted third party (TTP)
guarantees this link in a PKI. The TTP does so by using a digital
signature itself. A digital certificate is an electronic document,
issued and digitally signed by a TTP, which links a public key to
attributes of the keyholder.
The Netherlands are on the eve of widespread introduction of TTP's.
From early 2001, the Dutch law that lays down the rules for properly
and carefully handling personal data will be the Wet bescherming
persoonsgegevens(1) (WBP), which is based on European directive
95/46/EG. Important principles of the WBP and the directive are:
finality;
legitimacy;
proportionality and subsidiarity;
transparency;
data subjects' rights.
Finality means that when personal data are collected, it must be clear
for which purpose this is done. This purpose must be a definite one.
Further processing of collected data must be compatible with the
purpose for which they were collected.
Legitimacy first of all means that data must be processed in a proper,
careful, and legal manner. Moreover, the data must be relevant,
sufficient, not excessive, and correct.
Proportionality boils down to the question: are the means proportional
to the intended purpose?, subsidiarity to the question: is there no
less drastic alternative available?.
Transparency means that the data subject is entitled to information if
someone is processing data about him. The party who processes the data
must let him know, among other things, who they are and what data they
are processing to what end.
The WBP gives the data subject the right to inspect his data and to
request their correction or removal. If he has suffered harm due to
illegitimate processing of data he is entitled to compensation.
Someone who processes personal data must take appropriate technical and organizational measures to protect them. This can be done by employing privacy-enhancing technologies (PET).
Beside the WBP, European directive 99/93/EG also applies to TTP's providing PKI services. The directive lays down strict rules for proper and careful processing of personal data by TTP's and requires that member states not forbid the use of pseudonymous certificates.
The Telecommunicatiewet(2) only applies to TTP's insofar as the
services they provide consist partly or wholly of the transmission of
signals. This is hardly ever the case.
The anonymous use of a digital signature has its applications, but
usually it will be desirable that the identity of the signer is known.
This does not mean, though, that this identity must also be stated on
the certificate. It is often sufficient that it can be traced if
necessary, for instance in the case of fraud. Since the user of a
pseudonymous certificate has the apparent intention to keep his
identity hidden, it must be very clear exactly which circumstances are
sufficient grounds for nonetheless providing these data to others.
Models for PET certificates', which protect privacy by using
pseudonyms, among other things, deserve more attention than they have
received so far.
Traditional identity data such as name, address, and city of residence
are an insufficient basis for reliably linking personal data. Such
linking benefits the quality of the data, but may also entail great
privacy threats. For this reason the introduction of a general
uniquely identifying personal registration number to that end is
undesirable. Sectoral numbers may be able to provide a solution.
Public keys or, even more dangerous, biometric templates, must be
prevented from becoming alternative uniquely identifying codes.
Within a PKI it is necessary to disseminate different kinds of
information. The most important ones are certificate information and
revocation information. The most popular way of disseminationng
certificates is through a repository. This can only be done with the
permission of the certificate owner, who must also have a reasonable
real alternative. The permission must be given voluntarily and needs
to be based on correct, clear and complete information. Revocation
information that is disseminated must not contain more data than is
necessary, for instance a serial number rather than the entire revoked
certificate. When certificates are publicly accessible on a large
scale, this open up all sorts of possibilities for building up
detailed profiles. For this reason, private dissemination (or even
non-dissemination) deserves serious attention as an alternative.
Revocation information that is disseminated must not contain more data
than is necessary, for instance a serial number rather than the entire
revoked certificate.
PKI information is disseminated for a certain purpose. Further
processing of the information must be compatible with this purpose.
This also holds for dissemination by means of a repository; the
repository should be designed accordingly.
Different parties may claim access to data available at TTP's. The
desired information may be the identity of the owner of a pseudonymous
certificate, keys for decrypting encrypted messages or files, or the
messages or files themselves. Law enforcement and intelligence
agencies have several specific legal powers in this area. Others
usually have lawful access on the basis of a more general right to
certain information. The Registratiekamer advocates an approach which
balances the investigation needs of the government and the citizens'
right to privacy.
See Chapter 10 for the Registratiekamer's recommendations in view of
the analysis in this report.
Noten
Personal data protection Act.
Telecommunications Act.
A De identiteitsprotector
Conventionele informatiesystemen slaan doorgaans grote hoeveelheden
informatie op. Deze informatie is meestal eenvoudig te herleiden tot
een specifieke persoon. Soms bevatten deze systemen informatie die de
betrokkene als privacygevoelige informatie beschouwt. Om te voorkomen
dat informatiesystemen te veel informatie opslaan, dienen ze te worden
aangepast.
Er zijn verschillende manieren om te voorkomen dat gegevens worden
opgeslagen die eenvoudig tot specifieke personen te herleiden zijn. De
eerste is om helemaal geen gegevens te genereren of op te slaan. De
tweede is om geen identificerende gegevens op te slaan. Bij gebrek aan
dergelijke gegevens is het vrijwel onmogelijk om bestaande informatie
te koppelen aan een specifieke persoon. Deze twee mogelijkheden kunnen
tot een derde gecombineerd worden. Bij deze derde optie worden alleen
de strikt noodzakelijke identificerende gegevens opgeslagen, samen met
niet-identificerende gegevens.
Een conventioneel informatiesysteem omvat de volgende processen:
autorisatie, identificatie en authenticatie, toegangscontrole,
auditing en verantwoording. Voor het uitvoeren van de processen in
zo'n systeem is het vaak nodig dat de identiteit van de gebruiker
bekend is. Binnen het autorisatieproces wordt de identiteit
bijvoorbeeld gebruikt om rechten en plichten van de gebruiker te
onderkennen en op te slaan. Op deze manier wordt de identiteit van de
gebruiker binnen het informatiesysteem bekend. Omdat in een
conventioneel informatiesysteem alle processen aan elkaar gerelateerd
zijn, reist de identiteit vervolgens door het hele systeem.
Om dat te voorkomen dient men zich af te vragen of het voor ieder
proces in een conventioneel informatiesysteem wel nodig is dat de
identiteit van de gebruiker bekend is. Voor identificatie en
authenticatie, toegangscontrole en auditing is de identiteit niet
nodig. Er zijn echter enkele situaties waarin de gebruiker zijn
identiteit bekend moet maken om het verifiëren van bepaalde
eigenschappen mogelijk te maken.
Voor verantwoording kan de identiteit in sommige gevallen nodig zijn.
Het kan gebeuren dat een gebruiker moet worden aangesproken op zijn
gebruik van bepaalde diensten, bijvoorbeeld als hij het
informatiesysteem oneigenlijk gebruikt of zelfs misbruikt.
Het opnemen van een identiteitsprotector (IP) als onderdeel van een
conventioneel informatiesysteem zal leiden tot een wijziging van de
structuur van het systeem waardoor de bescherming van de privacy van
de gebruiker verbetert. De IP kan gezien worden als een onderdeel van
het systeem dat de uitwisseling van de identiteit van de gebruiker met
het systeem in de gaten houdt. De IP biedt de volgende
functionaliteit:
bepaalt in welke gevallen de identiteit bekend wordt gemaakt en doet
daarvan verslag;
genereert pseudo-identiteiten;
vertaalt pseudo-identiteiten naar identiteiten en omgekeerd;
zet pseudo-identiteiten om in andere pseudo-identiteiten;
gaat misbruik tegen.
Een belangrijke functionaliteit van de IP is het omzetten van de
identiteit van een gebruiker in een pseudo-identiteit. De
pseudo-identiteit is een alternatieve (digitale) identiteit die de
gebruiker kan aannemen op het moment dat hij een informatiesysteem
raadpleegt.
De gebruiker moet vertrouwen kunnen hebben in de manier waarop er met
zijn persoonsgegevens wordt omgegaan in het domein waar zijn
identiteit bekend is. De IP kan worden ingezet op een willekeurige
plaats in het systeem waar persoonsgegevens worden uitgewisseld. Dit
biedt verschillende oplossingen voor een informatiesysteem dat
rekening houdt met de privacy van gebruikers. Technieken als
geblindeerde digitale handtekeningen en digitale pseudoniemen kunnen
een rol spelen bij het implementeren van een IP.
Om een informatiesysteem te ontwerpen dat de privacy van de gebruiker
beschermt, dienen de ontwerpcriteria uit Figuur A.2 in ogenschouw te
worden genomen.
B Literatuur
Carlisle Adams & Steve Lloyd (1999). Understanding public-key
infrastructure: Concepts, standards, and deployment considerations.
Technology Series. Indianapolis, IN: Macmillan Technical Publishing.
Beleidsnotitie Nationaal TTP-project (1999). Brief van de
Staatssecretaris van Verkeer en Waterstaat aan de Voorzitter van de
Tweede Kamer der Staten-Generaal. Kamerstukken II, 1998-1999, 26 581,
nr. 1.
Anitha Bondestam (1993). Is it a sin to use a PIN? International
Conference on Privacy and Personal Data Protection. Manchester, 1993.
Stefan Brands (2000). De duistere kant van digitale certificaten:
TTP's en het Big Brother-gevaar. In: Informatiebeveiliging
Praktijkjournaal 3(1), februari 2000.
Stefan Brands (2000a). Rethinking public key infrastructures and
digital certificates: Building in privacy. Cambridge, MA: MIT Press.
Gedeeltelijk op WWW .
Jelle van Buuren (2000). Regelgeving: aftappen versus privacy. Dossier
cryptografie. Amsterdam: Bureau Jansen & Janssen.
Roger Clarke (1994). Human identification in information systems:
Management challenges and public policy issues. Information Technology
and People 7(4), december 1994. WWW .
Roger Clarke (1996). Identification, anonymity and pseudonymity in
consumer transactions: A vital systems design and public policy issue.
Conference on Smart Cards: The Issues', Sydney, oktober 1996. WWW .
Roger Clarke (1998). Message transmission security (or Cryptography in
plain text'). WWW (versie van 11 mei 1998).
Roger Clarke (1999). Identified, anonymous and pseudonymous
transactions: the spectrum of choice. Conference on User
Identification & Privacy Protection, Stockholm, juni 1999. WWW .
Roger Clarke (2000). Privacy requirements of Public Key
Infrastructure. Internet Law Bulletin 3(1), april 2000, pp. 2-6. WWW .
Whitfield Diffie & Martin Hellman (1976). New directions in
cryptography. In: IEEE Transactions on Information Theory 22, 1976,
pp. 644-654.
Egbert Dommering, red. (2000). Informatierecht: Fundamentele rechten
voor de informatiesamenleving. Amsterdam: Cramwinckel.
Anne-Wil Duthler (1998). Met recht een TTP! ITeR, nr. 11. Deventer:
Kluwer.
Carl Ellison (1999). The nature of a usable PKI. Computer Networks 31,
1999, pp. 822-830.
Carl Ellison & Bruce Schneier (2000). Ten risks of PKI: what you're
not being told about public key infrastructure. In: Computer Security
Journal 1, 2000, pp. 1-7. WWW .
Simson Garfinkel (2000). Database Nation. Sebastopol, CA: O'Reilly.
Graham Greenleaf & Roger Clarke. Privacy implications of digital
signatures. Conference on Digital Signatures, Sydney, maart 1997. WWW
.
R. Hes & J.J. Borking (1998). Privacy-enhancing technologies: The path
to anonimity. Revised edition. Achtergrondstudies en Verkenningen 11.
Den Haag: Registratiekamer. WWW .
R. Hes, T.F.M. Hooghiemstra en J.J. Borking (1999). At face value. On
biometrical identification and privacy. Achtergrondstudies en
Verkenningen 15. Den Haag: Registratiekamer. WWW .
Loren M. Kohnfelder (1978). Towards a practical public-key
cryptosystem. Master's thesis, MIT Laboratory for Computer Science,
mei 1978.
Bert-Jaap Koops (1998). The crypto controversy: A key conflict in the
informqtion society. Den Haag: Kluwer Law International.
Lawrence Lessig (1999). Code and other laws of cyberspace. New York,
NY: Basic Books.
E.C. Mac Gillavry (2000). Meewerken aan strafvordering door banken en
Internet Service Providers. Deventer: Gouda Quint.
Ministerie van Economische Zaken & Ministerie van Verkeer en
Waterstaat (1998). Eindrapportage Nationaal TTP-project. Amstelveen:
KPMG EDP Auditors.
E. Schreuders, A. van Ruth, L. Gunther Moor, R. van Kralingen, C.
Prins & I. Bakker (1999). Als de politie iets wil weten Den Haag: SDU.
Simon Singh (1999). The code book: The evolution of secrecy from Mary,
Queen of Scots to quantum cryptography. New York, NY: Doubleday.
Anita Smith, Shaw Pittman & Roger Clarke (2000). Identification,
authentication and anonymity in a legal context. Computer Law &
Security Report 2, 2000, pp. 95-101. WWW .
Koen Versmissen & Ronald Hes (2000). Sleutelen aan privacy:
gebruikersbescherming bij digitale certificaten. In: i&i 18(2), 2000.
C Lijst van begrippen en afkortingen
AMvB
Algemene Maatregel van Bestuur
Attribuutcertificaat
Een digitaal certificaat dat een openbare sleutel koppelt aan bepaalde
attributen van de sleutelhouder; diens identiteit kan daar al dan niet
deel van uitmaken.
Authenticatie (ook: authentificatie)
Het vaststellen dat een bepaalde identiteit terecht geclaimd wordt.
Betrokkene
Degene van wie persoonsgegevens verwerkt worden.
Certificaat
Meestal gebruikt in de zin van digitaal certificaat' (z.a.)
Certification practice statement (CPS)
Een beschrijving van de procedures die de CA volgt bij het uitgeven
van certificaten.
Certificatie-autoriteit (CA)
Een organisatie die digitale certificaten uitgeeft.
Certificatiedienstverlener
Een organisatie die diensten verleent in verband met elektronische
handtekeningen, meestal als CA en/of RA.
Certification Service Provider (CSP)
Certificatiedienstverlener (z.a.)
Digitaal certificaat
Een digitaal ondertekend elektronisch document dat een openbare
sleutel koppelt aan de identiteit en/of andere attributen van de
sleutelhouder.
Digitale handtekening
Een elektronische handtekening gebaseerd op
openbaresleutel-cryptografie.
Elektronische handtekening
Elektronische gegevens die zijn vastgehecht aan of logisch
geassocieerd zijn met een bericht of bestand. Elektronische
handtekeningen worden vooral gebruikt voor het authenticeren van de
auteur of afzender en het garanderen van de integriteit van berichten
en bestanden.
Gekwalificeerd certificaat
Een digitaal certificaat dat voldoet aan een aantal strenge eisen die
zijn vastgelegd in Bijlage II van Richtlijn 99/93/EG.
Identiteitscertificaat
Een digitaal certificaat dat een openbare sleutel koppelt aan de
identiteit van de sleutelhouder, en dat die identiteit ook vermeldt.
NAW-gegevens
Naam, adres en woonplaats.
Openbaresleutel-cryptografie
Cryptografische techniek die gebruik maakt van twee verschillende
sleutels, waarvan er één wordt gebruikt voor het versleutelen van
berichten en de ander voor het ontcijferen ervan. Eén van beide
sleutels, de privésleutel, moet de bezitter geheim houden, de ander
maakt hij openbaar. Afhankelijk van welke sleutel geheim blijft kan
openbaresleutel-cryptografie gebruikt worden voor digitale
handtekeningen of voor het garanderen van de vertrouwelijkheid van
communicatie.
Persoonsgegeven
Alle informatie over een geïdentificeerde of identificeerbare
natuurlijke persoon.
Privacy-enhancing technology (PET)
Alle technieken en ontwerpcriteria uit de ICT die bij kunnen dragen
aan een behoorlijke en zorgvuldige omgang met persoonsgegevens in
informatiesystemen.
Proof and preservation authority (PPA)
Een organisatie die bestanden en berichten opslaat en tijdstempelt,
onder meer ter ondersteuning van onloochenbaarheid.
Public-key infrastructure (PKI)
Een infrastructuur ter ondersteuning van het gebruik van
openbaresleutel-cryptografie.
Registratie-autoriteit (RA)
Een organisatie die de identiteit en/of andere attributen van
sleutelhouders vaststelt.
Trusted third party (TTP)
Een vertrouwde derde partij die diensten aanbiedt ter ondersteuning
van de veiligheid en betrouwbaarheid van elektronische communciatie.
Verantwoordelijke
Degene die persoonsgegevens verwerkt.
Verifiërende partij
Degene die zich baseert op een digitaal certificaat.
Verwerken
Verzamelen, vernietigen en alles wat daartussen zit.
Wet bescherming persoonsgegevens (WBP)
Zie paragraaf 4.2.
D Verantwoording
De samenvatting van en aanbevelingen uit een concept van dit rapport
zijn op verzoek van de Registratiekamer door het Electronic Commerce
Platform Nederland (ECP.NL) voorgelegd aan de deelnemers in het
project TTP.NL.
De Registratiekamer ontving commentaar van de volgende bedrijven en
organisaties, die zij hartelijk bedankt voor hun bijdrage aan haar
begrips- en meningsvorming:
ABN AMRO
Diginotar
ECP.NL
Interpay
Rabobank
Taskforce PKI Overheid
De Registratiekamer zag in het ontvangen commentaar geen aanleiding om
het rapport op fundamentele onderdelen te herzien. Wel zijn op basis
ervan in de tekst van het rapport en de aanbevelingen verscheidene
wijzigingen, toevoegingen en verduidelijkingen aangebracht.