U bent hier

Digitale veiligheid
4. Encryptie4.4 Certificaten
Voor Digitale veiligheid

4.4 Certificaten

Laatst gewijzigd: mei 2021

PKI

codering

Het is niet altijd mogelijk om iemand eerst om een sleutel te vragen alvorens met een beveiligde zend- en ontvangstprocedure te kunnen beginnen. Daarom wordt er vaak gebruikgemaakt van een Public Key Infrastructure (PKI), waarin sleutels aan personen zijn gekoppeld. In feite is PKI een verzameling van technische, maar vooral organisatorische hulpmiddelen die het gebruik van codering met publieke sleutels ondersteunt.

4.4.1 Derde partij

dienst­verlening

Daar is een derde partij voor nodig die de identiteit van de eigenaar van een sleutel kan bevestigen. Dit wordt gedaan met een certificaat, een soort garantiebewijs van betrouwbaarheid. Meestal wordt de rol van deze derde partij vervuld door speciale organisaties die certificering als dienstverlening aanbieden. Ze worden Certification Authority (CA) of ook wel Certification Service Provider genoemd.

identiteit

Zulke organisaties voorzien publieke sleutels van een certificaat dat de identiteit van de eigenaar garandeert of bevestigt. Om een dergelijk certificaat te krijgen, moet de derde partij die identiteit kunnen vaststellen, dus vaak moet een aanvrager zich daadwerkelijk identificeren met een rijbewijs of paspoort. Een schematische voorstelling van hoe dat werkt, ziet u in figuur 4.4.

Figuur 4.4 Certificaat aanvragen

4.4.2 Legitimatie

website

protocol

In principe kan iedereen een digitaal certificaat aanvragen om zich te ‘legitimeren’ op internet. Er zijn diverse organisaties die deze dienstverlening leveren: in Nederland is bijvoorbeeld pki-overheid-certificaat.nl een belangrijke website met informatie en mogelijkheden. Digitale certificaten zijn bijvoorbeeld ook als elektronische handtekening te gebruiken voor beveiligd e-mailverkeer: het standaard protocol kan dan worden uitgebreid met een beveiligingsprotocol, waarbij versleuteling in combinatie met digitale certificaten mogelijk is. Dit wordt ondersteund door de meeste mailprogramma’s, waaronder Outlook.

4.4.3 SSL

webshop

Er zijn veel meer mogelijkheden met certificaten dan alleen het beveiligen van e-mails. Zo kunt u de toegang tot bepaalde websites of delen daarvan met certificaten regelen. Of wat dacht u van een webshop waar de bezoeker voor zijn betaling creditcardgegevens moet overleggen?

server

Voor de koper is het van belang om zeker te weten dat de website waar hij zijn nummer achterlaat ook daadwerkelijk van de webwinkel is waar hij wil kopen. Zo’n webshop zou daarvoor op de server een procedure met digitale certificaten kunnen hanteren om zijn betrouwbaarheid aan te tonen.

Protocol

intranet

Deze vorm van beveiliging is gebaseerd op uitwisseling van digitale certificaten die via het Secure Socket Layer-protocol wordt verzorgd. Dit SSL-protocol wordt steeds vaker aangeduid met de term Transport Layer Security (TLS). Andersom moeten soms de aanmelders op een site, zoals een afgeschermd deel van het intranet, zich identificeren om toegang te krijgen. Ook hiervoor kunt u het SSL-protocol gebruiken. Websites die zijn beveiligd met SSL herkent u aan de vermelding van het veilige protocol: het webadres (url) wordt dan voorafgegaan door https:// in plaats van http://.

Veel browsers geven ergens in het scherm met een teken of tekst aan dat u werkt via een beveiligde verbinding. Vaak wordt dan een hangslotje getoond in de adresbalk.

gevoelig

De SSL-procedure zorgt voor een veilige uitwisseling van gegevens tussen de cliënt en de server, zodat de data onderweg niet kunnen worden gelezen of veranderd. Daardoor is het een belangrijke toepassing voor online zaken, maar ook voor andere uitwisselingen waarbij de gevoeligheid van de gegevens een rol speelt.

4.4.4 VPN

publiek

Ook intranet-achtige delen van het internet – zoals een Virtual Private Network (VPN) – waarbij decentrale onderdelen, telewerkers of buitendienstmedewerkers van een organisatie via het publieke netwerk (internet) contact maken met de thuisbasis, worden vanzelfsprekend met allerlei beveiligingsmaatregelen beschermd. Hierbij worden digitale certificaten aan zowel de kant van de server als van de cliënt gebruikt om allerlei zaken te beveiligen:

  • de communicatie;
  • het gemeenschappelijk gebruik van (netwerk)bronnen en faciliteiten;
  • het uitwisselen of inzien van informatie en bestanden.

Door de uitwisseling van digitale certificaten ontstaat als het ware een virtuele doorgang (vaak ‘tunnel’ genoemd) die alleen voor de geautoriseerde gebruikers beschikbaar is.