Sleutel op de bus
Elektronische post wordt veilig. BelSign staat klaar om digitale certificaten uit te reiken.
Op één punt alvast zit België in de voorhoede van het Internet-gebeuren. Het staat klaar om als eerste in Europa echte “digitale certificaten” te gaan uitreiken aan bedrijven die hun e-mail en transacties elektronisch willen beveiligen. De Nationale Federatie der Kamers voor Handel en Nijverheid van België trekt de kar. Samen met het Leuvense systeemhuis Netvision richtte zij BelSign op, dat als een trusted third party zal gaan fungeren : een onafhankelijke instantie die waarborgt dat een digitaal certificaat authentiek is en toebehoort aan wie het gebruikt. “Een elektronisch paspoort,” zegt Frank Sels, die bij de Kamers het project heeft geleid.
Digitale certificaten beloven het werken op het Internet een stuk eenvoudiger te maken. Wie nu naar een gesloten site surft, moet een gebruikersnaam en een paswoord opgeven. Anciens hebben algauw een dozijn namen en paswoorden en moeten lijstjes bijhouden op computer of op papier om te weten wie ze zijn. Digitale certificaten maken dat overbodig. Uw browser biedt uw certificaat aan de server aan en de toegangscontrole verloopt automatisch. Het Amerikaanse VeriSign zit in pole position in wat een race naar een lucratieve handel wordt : het uitreiken, controleren, intrekken, hernieuwen… van digitale ID’s. Het belang van die handel is te meten aan het kransje bedrijven dat begin december (naast drie durfkapitalisten) 30 miljoen dollar in VeriSign stak : Reuters, Microsoft, Intuit (software voor persoonlijke financiën), AT&T Ventures, Cisco (computernetwerking), Comcast (kabel-tv), First Data Corporation (betalingssystemen), Merrill Lynch, Gemplus (een Franse chipkaartenproducent) en Softbank Ventures (filiaal van de Japanse groep die nu onder andere de Ziff-Davis tijdschriften controleert).
Microsoft-voorzitter Bill Gates heeft al laten aantekenen dat digitale authentificatie een vitale component is om met het Internet van informatieverspreiding naar commercie te gaan. Cruciaal daarbij is dat de uitreikende instantie grondig heeft nagegaan wie de aanvrager van het certificaat is (zie ook kader Sleutels).
BelSign volgt daarvoor de procedures die VeriSign heeft uitgetekend. Om de kosten en de baten van de verificatieprocedure in evenwicht te houden, onderscheidt BelSign momenteel 3 klassen van certificaten :
Klasse 1 is eigenlijk nep. U geeft via uw browser uw e-mailadres op en u krijgt een certificaat terug. Het stuk is puur symbolisch. Gratis.
Klasse 2 vereist dat u elektronisch een aantal identificatiegegevens invoert, die met een betrouwbare database ( trusted database) worden gecheckt. Voor individuen kan dat bijvoorbeeld de database van hun Internet-toegangsleverancier (ISP) zijn. BelSign levert deze certificaten momenteel enkel aan Belgium Online-abonnees, waar ze inbegrepen zijn in het abonnement. Beroepskrediet gebruikt ze voor elektronisch bankieren via Belgium Online (BOL) en is, aldus marketing manager Henk Van Hulle, “creatieve oplossingen aan het bedenken om het project uit te breiden naar andere providers toe”. Voor niet-BOL-abonnees moeten Klasse 2-certificaten “een paar honderd frank” gaan kosten, zegt Frank Sels. “Klasse 2 is voldoende voor e-mail en voor kleine transacties.”
Klasse 3 dient om belangrijke transacties te beschermen en vereist het fysiek verschijnen van de aanvrager voor de certificatie-autoriteit. VeriSign gaat daarvoor de US Postal Service, de Amerikaanse post met zijn (Amerikaanse) notariële bevoegdheid, gebruiken. BelSign wil daarvoor langs de Kamers van Koophandel passeren. “Wij zijn een Europese en internationale organisatie en vervullen al vergelijkbare taken voor de overheid,” zegt Frank Sels. “De Kamers reiken certificaten van oorsprong voor goederen uit in opdracht van het ministerie van Economische Zaken en zij leveren ook de ATA carnets af (Admission Temporaire/Temporary Admission).” De kostprijs van een Klasse 3-certificaat zal rond de 1700 frank liggen.
WEINIG RISICO.
Maar wie de echtheid van digitale certificaten waarborgt, draagt ook verantwoordelijkheid. Gedelegeerd bestuurder Stijn Bijnens van BelSign (en NetVision) : “Het aansprakelijkheidsprobleem is zeer belangrijk.” VeriSign dekt schadegevallen tot 100.000 dollar (3,2 miljoen frank) voor klasse 3. Bij BelSign is de tussenkomst beperkt tot tien keer de inschrijvingsvergoeding.
Niet dat er momenteel veel kans is op miskleunen. Behalve de demo-certificaten en de klasse 2-certificaten aan BOL-abonnees, reikt BelSign momenteel geen certificaten uit. “We willen eerst de integratie met de Microsoft Internet Explorer browser realiseren. Dat gebeurt deze maand,” zegt Frank Sels.
Servers worden wel al gecertifieerd. Sels : “Wat we daar doen, is eigenlijk een virtual business licence toekennen. De eerste tien aanvragen kwamen uit de bankwereld.” Kostprijs : 7000 frank per server in het eerste jaar, 5000 frank in de volgende jaren. Authentificatie gebeurt op basis van de zelf voor te leggen officiële publicaties (Staatsblad), controle van de URL bij BE Domein Administrator Pierre Verbaeten en een navraag bij de informatiedienst Dun & Bradstreet.
Digitale certificaten moeten elk jaar worden hernieuwd.
KEUZE TE OVER.
Hoewel VeriSign al lang een begrip is op het Internet, begint ook dat bedrijf pas in april met het uitreiken van klasse 3-certificaten. Bijnens : “VeriSign is ook niet de enige in de VS. Er zijn al zo’n 20 Certification Authorities (CA). De gebruiker zal moeten leven met een groot aantal CA’s.” In de praktijk zullen die autoriteiten elkaars certificaten erkennen, ofwel via een hiërarchisch systeem alle certificaten aanvaarden diegene die door een “hogere” autoriteit worden aanvaard ofwel via kruiscertificaties, die niet noodzakelijk symmetrisch moeten zijn.
Zo zal BelSign zich scharen onder VeriSign (het is bezig aan alle homologatiecriteria te voldoen en zal op zijn beurt de VeriSign-certificaten accepteren). Maar het is ook sterk geïnteresseerd om de private certificaten te erkennen die aan gebruikers van het Belgische business-to-business betalingsnetwerk Isabel worden uitgereikt. De Isabel-controles zijn strenger dan die van BelSign zelf. Omgekeerd zal Isabel de BelSign-certificaten binnen zijn netwerk niet automatisch erkennen. “Symmetrie kan alleen als beide partijen hetzelfde niveau van trust hebben,” zegt Frank Sels. Stijn Bijnens : “Binnen 2-3 jaar zal die hiërarchie van certificatie-autoriteiten wel stabiel zijn. De overheid heeft daar een belangrijke rol in te spelen.”
Tot nog toe heeft de Belgische overheid zich nog niet laten zien, maar de Europese Unie volgt de zaak van nabij, bevreesd als ze is voor een nieuwe Amerikaanse machtsgreep.
TOEPASSINGEN.
Revolutionair is dat KMO’s, zelfstandigen en het grote publiek via de certificaten een behoorlijk niveau van beveiliging op het Internet krijgen, dankzij goedkope technologie die in de standaardbrowsers zit vervat. Terwijl dergelijke browsers zo populair zijn als het Internet zelf, wordt de groei van een gesloten netwerk als Isabel beperkt door de fysieke installatiecapaciteit. Het 25-tal technici van Telindus, waaraan dat werk is uitbesteed, kan maar een tachtigtal sites per dag afwerken. “1500 installaties in januari, 2000 in februari,” volgens Isabel.
Vooral de zakelijke Internet-gebruiker heeft een goed motief om een digitaal certificaat aan te vragen en te gebruiken. Met zijn certificaat en het S/Mime-protocol kan hij zijn elektronische post beveiligen. S/Mime wordt al ondersteund door een aantal e-mailpakketten, maar zit eind maart ook in de commerciële 4.0-versie van de Netscape Navigator browser. Het versleutelt e-mailberichten en verzekert dat ze ongewijzigd worden ontvangen. Omdat elektronische handel in België nog weinig voorstelt, zal dit in 1997 de belangrijkste toepassing van digitale certificaten zijn, verwacht Stijn Bijnens : “Dit wordt het jaar van de secure e-mail. Vandaag worden offertes over het Internet verstuurd, zonder garantie op vertrouwelijkheid. We moeten de bedrijven ervoor sensibiliseren dat het voor een paar honderd frank wél veilig kan.”
S/Mime vereist dat men het digitale certificaat van zijn correspondent heeft (encryptie gebeurt met de publieke sleutel van de geadresseerde, maar die moet u dan wel hebben). Daarvoor worden speciale databases opgezet volgens de “X.500”-standaard. Zowel BelSign als Visa/Mastercard als (het voor de rest eigenzinnige) Isabel gebruiken X.500-databases voor het beheer van hun digitale certificaten. De techniek is ook perfect toepasbaar binnen bedrijven.
Wat nog ontbreekt, is een veilige manier om de geheime sleutels te bewaren. Wie bij BelSign een digitaal certificaat aanvraagt, genereert zelf op zijn pc een sleutelpaar, waarvan de publieke helft door BelSign wordt gecertifieerd. De private, geheime sleutel, blijft bij de aanvrager en belandt in een bestand op zijn harde schijf. Dat bestand wordt geëncrypteerd en met een paswoord beschermd. Beter zou zijn als de geheime sleutel in een chipkaart zou worden opgeslagen.
De voorbereidingen worden getroffen. GemPlus financiert mee VeriSign. Fabrikanten als Hewlett-Packard of Microsoft beginnen chipkaartlezers in hun klavieren in te bouwen en Europay en Visa/Mastercard tekenen samen een standaard uit. De Proton-kaart van Banksys komt alvast niet in aanmerking, omdat ze geen publiekesleutelencryptie ondersteunt.
BRUNO LEIJNSE
Meer info op http://www.belsign.be, http://www.verisign.com en http://www.rsa.com/standards/
Fout opgemerkt of meer nieuws? Meld het hier