X

Uitgelicht

Certificaten in de cloud
   
 

Door de digitalisering zullen PKIoverheid persoonlijke en beroepscertificaten vaker gebruikt worden. Nu worden deze certificaten nog uitgegeven op een smartcard of een USB token. Er is regelgeving in voorbereiding die het in de toekomst mogelijk maakt certificaten in de cloud op te slaan. 

Door de nieuwe Europese eIDAS verordening zijn de eisen die verband houden met PKIoverheid certificaten aangepast. Hierdoor wordt het mogelijk om PKIoverheid persoonlijke en beroepscertificaten op een server op te slaan, zodat er geen gebruik meer hoeft te worden gemaakt van fysieke tokens. Hier zijn wel strikte voorwaarden aan verbonden, om de veiligheid van de gekwalificeerde certificaten te waarborgen. Zo moeten de certificaten worden opgeslagen op een Hardware Security Module (HSM). De eIDAS verordening schrijft voor dat de Trust Service Provider (TSP) verantwoordelijk (en dus aansprakelijk) is en blijft. Het Agentschap Telecom houdt toezicht op de TSP’s. Voor een deel doen zij dit door te steunen op de werkzaamheden van onafhankelijke EDP auditors, die minimaal jaarlijks audits uitvoeren bij de TSP’s.

Bovenstaande maakt het in principe mogelijk dat TSP’s (bijvoorbeeld KPN) de gekwalificeerde certificaten op een eigen HSM in een door haar beheerde (en dus volledig gecontroleerde) omgeving opslaat. Zelfs het gebruik van een HSM bij organisaties anders dan een TSP, wordt niet verboden door de eIDAS verordening. Wel blijft de TSP de verantwoordelijkheid dragen over de gekwalificeerde certificaten en daarmee dus over de HSM.

Een probleem is echter dat momenteel in Europees verband nog gewerkt wordt aan een normenkader voor certificaten in de cloud, zodat dit soort oplossingen door auditors (zoals BSI) getoetst kunnen worden. Toetsing door auditors is noodzakelijk om geaccrediteerd te blijven.

Momenteel zijn er nog veel vragen rond dit onderwerp en het is nog niet zeker op welke termijn het normenkader uitgewerkt is en goedgekeurd gaat worden. Zo zijn de normen waaraan een HSM moet voldoen (alsmede de omgeving waarin deze HSM staat) nog niet uitgekristalliseerd en kan de Policy Authority van PKIoverheid ook nog aanvullende eisen stellen. Het standpunt van de EDP Auditors die de TSP’s certificeren is nog zeer afwachtend. Daarom zal KPN voorlopig nog geen certificaten in de cloud uitgeven.



« Terug

Kunnen we u verder helpen?