Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
2Activity
0 of .
Results for:
No results containing your search query
P. 1
Identiteit Als Voorwaarde Voor Een Veilige Cyberspace

Identiteit Als Voorwaarde Voor Een Veilige Cyberspace

Ratings: (0)|Views: 163|Likes:
Published by Elisabeth de Leeuw
thema | security & I P

Identiteit als voorwaar cyberspace
De almaar toenemende inzet van internet binnen bedrijven zorgt voor een andere kijk op bedrijfsbeveiliging. Buiten de fysieke beveiliging moeten security managers nu ook, samen met de IT-manager, kijken naar de digitale beveiliging van bedrijven. Want hoe zorg je ervoor dat bedrijfskritische informatie beveiligd is tegen ongewenste indringers, fysiek of digitaal? ELISABETH DE LEEUW *

V

oorwaarde voor een veilige internetomgeving is dat
thema | security & I P

Identiteit als voorwaar cyberspace
De almaar toenemende inzet van internet binnen bedrijven zorgt voor een andere kijk op bedrijfsbeveiliging. Buiten de fysieke beveiliging moeten security managers nu ook, samen met de IT-manager, kijken naar de digitale beveiliging van bedrijven. Want hoe zorg je ervoor dat bedrijfskritische informatie beveiligd is tegen ongewenste indringers, fysiek of digitaal? ELISABETH DE LEEUW *

V

oorwaarde voor een veilige internetomgeving is dat

More info:

Categories:Types, Research
Published by: Elisabeth de Leeuw on Feb 13, 2009
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

04/13/2015

pdf

text

original

 
thema
| security & IP
Security 
Management 
nummer 12 december 2008
26
 
oorwaarde voor een veilige inter-netomgeving is dat de verant-woordelijkheid voor de veiligheiden beveiliging van de verschillende on-derdelen duidelijk en eenduidig is gere-geld. Opzettelijke verstoringen of over-tredingen moeten herleidbaar zijn totéén verantwoordelijke (rechts)persoon.Dat kan alleen bereikt worden als deidentificatie in het kader van
access
en
logistics
op een robuuste wijze wordtgeregeld.Processen op internet zijn moeilijk teherleiden tot plaats, tijd en entiteit.Identificatie op internet verloopt opeen andere manier dan identificatie inde fysieke wereld. De koppeling tussenidentiteitsbeschrijving, identificatie-middelen en de fysieke entiteit vereistextra aandacht. Niet alleen mensen,ook hardware, software en informatie-eenheden moeten geïdentificeerd wor-den. In dit verband wordt daarom ge-sproken van te identificeren entiteitenin plaats van personen. Inzicht in derol en werking van identiteitsmanage-ment op internet is van belang voor desecurity manager en de IT-manager bijde inrichting van het beveiligingsbe-leid. Bovendien is dit inzicht nodig omsnel problemen te kunnen herkennenen goed te kunnen reageren.
Bedreigingen en kansen
Bedrijfsnetwerken moeten bestand zijntegen een enorme toename aan digita-le bedreigingen. Denk hierbij aan deverspreiding van virussen, trojans, bot-nets, spam en fishing mails. Kwaadwil-lenden maken steeds meer gebruik vandit soort technologie om over internettoegang te krijgen tot, of schade aan terichten aan bedrijfsnetwerken. Vanwe-ge het relatief anonieme karakter vanhet internetverkeer zijn de daders ech-ter moeilijk te achterhalen.Internet kan ook een rol spelen bij debestrijding van cybercrime. Door mid-del van
surveillance
en
monitoring 
kun-nen ongewenste incidenten wordenopgespoord. Voor het op heterdaadbetrappen van kwaadwillenden envoor het opbouwen van een sterke be-wijslast zijn betrouwbare instrumentenvoor identificatie nodig.
Primaire en secundaireidentificatie
Een eerste stap is primaire identificatie.Hierbij worden identiteitskenmerkenvastgesteld en geregistreerd in een data-base en zonodig gecombineerd met een
credential
(bijvoorbeeld een paspoort,creditcard, PKI-certificaat). Bij de vast-stelling van de identiteit wordt ver-trouwd op informatie van de te identi-ficeren entiteit of van derde partijen.De betrouwbaarheid daarvan is somsmoeilijk vast te stellen.Op een later moment vinden een of meer secundaire identificaties plaats.De betrouwbaarheid hiervan is afhan-kelijk van de betrouwbaarheid van deprimaire identificatie. De identiteitwordt daarbij vastgesteld op basis vaneen bewering omtrent de identiteit, inde vorm van een uitspraak, bericht of 
credential
. Daarbij wordt gecontroleerdof de fysieke of biometrische kenmer-ken uit de database of op een
credential
 gelijk zijn aan de opgegeven kenmerken.Aanvullend kan om een wachtwoord of pincode worden gevraagd. Afhankelijkvan de context van identificatie, vor-men primaire en secundaire identifica-tie al dan niet afzonderlijke processen.
 Access Management en Logistiek
In de context van
access management 
en logistiek is de primaire identificatiein principe een eenmalige processtap.De secundaire identificatie gebeurt aande hand van de eerder vastgesteldeidentiteit, op initiatief van de entiteitzelf, bijvoorbeeld als iemand zich aan-meldt bij een beveiligde website.Kenmerkend is dat identiteiten wordenbeschreven aan de hand van zowelfysieke, biografische als toegekendekenmerken. Fysieke kenmerken zijnbijvoorbeeld lengte, gewicht, vinger-afdruk. Biografische kenmerken zijnbijvoorbeeld: geboortedatum en-plaats, levenspartner, kinderen. Toe-gekende kenmerken zijn bijvoorbeeld:naam, titel. De resulterende identi-teitsbeschrijving is daardoor relatief betrouwbaar.
Surveillance en Monitoring 
Voor controle op het naleven van regelsen voorschriften en het opsoren vanrisico’s, zijn
surveillance
en
monitoring 
 nodig. Hierbij vallen primaire en secun-
Identiteit als voorwaarcyberspace
De almaar toenemende inzet van internet binnen bedrijven zorgt voor een andere kijk opbedrijfsbeveiliging. Buiten de fysieke beveiliging moeten security managers nu ook, samenmet de IT-manager, kijken naar de digitale beveiliging van bedrijven. Want hoe zorg jeervoor dat bedrijfskritische informatie beveiligd is tegen ongewenste indringers, fysiek of digitaal?
E
LISABETH
 
DE
L
EEUW 
*
20698-11_SECM 1208.indd 26
20698-11_SECM 1208.indd 26
14-11-2008 15:19:06
14-11-2008 15:19:06
 
thema
| security & IP
Security 
Management 
nummer 12 december 2008
27
basis van een
 private key 
kan een iden-titeit met zekerheid worden vastgesteld(tabel 2).
Pseudo identifiers
Semi identifiers
geven geen uitsluitselover de identiteit van een entiteit.Aanvullende informatie is vereist om deidentiteit met zekerheid te kunnen vast-stellen. Door cryptografische bewerkingmet een
 private key 
kunnen
semi identi- fiers
worden omgezet in unieke ken-merken, onlosmakelijk verbonden aande entiteit. We onderscheiden object-kenmerken en locatiekenmerken.
Objectkenmerken
Dit zijn fysieke kenmerken van hetobject. Deze zijn niet uniek (tabel 3).
Locatiekenmerken
Dit zijn locatiegegevens van het object.Deze zijn niet vast aan een entiteit ver-bonden (tabel 4).In de praktijk worden netwerkadressenvaak wel als
true identifier
gehanteerd:
Entiteiten en identifiers
Een transactie is het resultaat van eenketen van processen waarbij mensen,hardware, software en informatie-een-heden betrokken zijn. Om de betrouw-baarheid van processen op internet tewaarborgen moeten alle betrokken en-titeiten geïdentificeerd worden.Bij een proces op internet zijn verschil-lende typen betrokken, die elk aan dehand van een eigen type
identifiers
 kunnen worden onderscheiden.
Soort entiteiten
Zie tabel 1.
Soort identifiers
Het begrip
identifier
is gelaagd vankarakter: een smartcard heeft een
identifier
maar dient zelf ook weer als
identifier
voor een andere entiteit.We onderscheiden
true
 
identifiers
en
 pseudo identifiers.True identifiers
Deze
identifiers
zijn uniek en onlosma-kelijk verbonden aan een entiteit. Op
daire identificatie in principe samen inéén processtap. Identificatie geschiedtad hoc, naar aanleiding van bepaaldeincidenten. De beschikbare identiteits-informatie is contextafhankelijk en be-staat bijvoorbeeld uit IP-adressen of bi-ometrische kenmerken camerabeelden).Deze informatie wordt vergeleken meteerder geregistreerde IP-adressen of beelden. Kenmerkend is dat identiteitenhierbij alleen worden beschreven aan dehand van fysieke kenmerken en nietaan de hand van biografische of toege-kende kenmerken. Door de beperktehoeveelheid en kwaliteit van de gege-vens is de identiteitsbeschrijving vaakrelatief onbetrouwbaar.Eenzelfde entiteit kan meerdere malenworden geïdentificeerd, wat kan leidentot vastlegging van meerdere identitei-ten. Daarom is het belangrijk om eeneenmaal vastgestelde identiteit zo goedmogelijk te koppelen aan reeds bestaan-de identiteiten in het eigen domein enhet domein van
access
en
logistics
.
Verificatieprocessen
 Tijdens het proces van fysieke verifica-tie wordt de relatie tussen entiteit,identiteit en
credential
zo betrouwbaarmogelijk vastgesteld.. Drie variantenworden onderscheiden:1. Directe verificatie: tussen entiteit enidentiteitsdatabase.2. Indirecte verificatie: tussen entiteiten
credential
.3. Verificatie van
credential
: tussen
credential
en identiteitsdatabase.In de volgende figuur is dit schema-tisch weergegeven.
de voor een veilige
Entiteit typeVoorbeeldenElektronischeobjectenData E-mails, elektronische dossiers,databasesSoftwareTelebankapplicaties, e-mailapplica-ties,NetwerkapplicatiesFTP, VOIPBeveiligingsapplicatiesHTTP(s) / SSL / TLS, SMTP, SNMP, SSHFysieke objectenGoederen PC’s, ATMs, POS-terminals, SIM-kaarten, smartcards, credentials,netwerkkaarten, CCTV’s, RFID’sHardwareBagage, forensisch bewijsmateriaalPersonenType identierVoorbeeldenAangehecht (pseudo)IDBarcode, private (crypto)key, cryptografisch bewerktepseudo-identifiers (zie hieronder)Hardware embedded ID Voertuig Identificatie Nummer (VIN) ofwel chassisnum-mer, International Maritime Organization Ship Identifica-tion number (IMO number), Media Acces Control adres(MAC-adres)Software embedded ID Digital Object Identifier (DOI), Globallly Unique_Identifier(GUI), Universally Unique Identifier (UUID).
Tabel 2Tabel 1
entiteit
directe verificatievan identiteitverificatievan credentialindirecte verificatievan identiteit
IDcredentialIDbase
20698-11_SECM 1208.indd 27
20698-11_SECM 1208.indd 27
14-11-2008 15:19:06
14-11-2008 15:19:06
 
thema
| security & IP
Security 
Management 
nummer 12 december 2008
28
zien van een elektronische handteke-ning met behulp van
 private key 
van deentiteit.
Aandachtspunten
Identificatie op internet zal altijd ge-paard gaan met een zekere graad vanonzekerheid. Dat heeft te maken metenkele principiële vraagstukken dieniet eenvoudig zijn op te lossen.
Primaire identificatie
Primaire identificatie is een
single point of failure,
de kwaliteit van alle daaropvolgende identificaties hangt daarvanaf. Men is afhankelijk van verklaringenof certificaten van derde partijen. Ze-ker als het om verklaringen uit hetbuitenland gaat, kan het moeilijk zijnde betrouwbaarheid en de juridischewaarde te duiden.
Betrouwbaarheid biometrie
Biometrie is de methode bij uitstek omeen
userid
op internet te koppelen aaneen fysieke gebruiker. Maar de biome-trische technologie is niet perfect enonkwetsbaar. Fouten in het biometri-sche proces kunnen worden geforceerddoor
spoofing 
en sabotage.
False posi-tives
en
-negatives
ondergraven de inte-griteit en beschikbaarheid ervan. Bio-metrische kenmerken zijn aan veran-dering onderhevig. De kenmerken dieopgeslagen worden in ID-bases en
cre-dentials
moeten daarom regelmatigvervangen worden. Dit kan op gespan-nen voet staan met de levensduur van
credentials
.
Instemming van de betrokken entiteit 
In de cyberspace is het moeilijk omvast te stellen of een persoon uit vrijewil
identifiers
ter beschikking stelt.Apparatuur kan gestolen worden, bu-ren kunnen meeliften op een onbevei-ligd draadloos netwerk (en dus op eenIP-adres), biometrische kenmerkenkunnen onder dwang worden afge-staan. Een voorbeeld van hoe het foutkan gaan is het verschijnsel
‘family voting’
, waarbij verwanten de stem vaneen kiesgerechtigd familielid bepalendan wel daarvan wederrechtelijk ken-nis nemen.
Pseudo identifiers
In een aantal gevallen zijn geen
trueidentifiers
beschikbaar en wordt terin een (RFID) chip. Deze worden alslabels gehecht aan een object, waarmeede opgeslagen identifier aan het objectwordt toegekend. Ook het begrip labelheeft een gelaagd karakter: een micro-chip kan worden beschouwd als eenlabel bevestigd op een smartcard; eensmartcard kan beschouwd worden alseen label van een gebruiker, enzovoort.
 Aanhechting 
Microchips en andere labels zijn nietonlosmakelijk verbonden met de fysie-ke entiteit. De kwaliteit van de aan-hechting is van belang om de identi-teitsvaststelling te borgen.
Incorporatie:
Chips kunnen aan mensen dier worden verbonden door onder-huidse implantatie; informatie kanworden afgedrukt, gebrand, lgeaserDof versmolten.
Uitwendig:
Documenten of microchipskunnen door middel van een nietje,lijm of stickers aan een entiteit wordenverbonden. Dit is een zwakke methodevan aanhechting.
Informatiekundig:
Visuele kenmerkenof informatie worden op zowel entiteitals het label opgenomen. Voorwaardeis wel dat visuele controle hieropplaatsvindt.
Cryptografisch:
Om ongeautoriseerdewijzigingen te voorkomen kan de in-formatie worden versleuteld of voor-
»
Internetproviders zijn in het kadervan de Telecomwet verplicht om ver-keersgegevens, dat wil zeggen tijd-stippen en IP-adressen, te bewaren.Deze gegevens worden in het kadervan opsporing en vervolging op eenlater moment gebruikt om de her-komst van e-mailberichten, zoekop-drachten of websites te achterhalen.
»
Bij IPv6 wordt het netwerkadressamengesteld uit het MAC-adres vande netwerkkaart (rechter 64 bits) enbits uitgezonden door routers (linker64 bits). Ook het MAC-adres is, opde keper beschouwd, niet meer daneen locatiegegeven: het geeft uitsluit-sel ten aanzien van de plaats waareen bepaalde netwerkkaart zich be-vindt (namelijk bij het werkstation)en omgekeerd.
Entiteiten versus identifiers
Het type identifier is afhankelijk vanhet type entiteit. In onderstaandefiguur enkele typen identifiers inrelatie tot enkele typen entiteiten.
Labels
Identifiers
kunnen op een mediumworden opgeslagen en worden gehechtaan een fysiek object. Barcodes,
 privatekeys
, fysiometrische en biometrischegegevens kunnen worden afgedrukt opeen document of worden opgeslagen
Type identierVoorbeeldenBiometrisch kenmerkIris, gelaat, vingerafdruk, stemgeluidFysiometrisch kenmerkLengte, gewicht, soortelijk gewicht, chemische samen-stelling.Type identierVoorbeeldenGeolocatie coördinatenGSM-connectie coördinaten, Wi-Fi-connectie coördina-ten, GPS-coördinaten.NetwerkadresIP-adres, MAC-adres van netwerkkaart
Tabel 3Tabel 4
Type entiteit
   P  e  r  s  o  o  n   F  y  s   i  e   k  o   b   j  e  c   t   E   l  e   k   t  r  o  -  n   i  s  c   h
TrueIdentifiersEmbeddedID’s
Private KeyHardware embeddedSoftware embedded
SemiIdentifiersFysieke kenmerkenLocators
BiometrieFysiometrieGeolocationNetwerk adres
20698-11_SECM 1208.indd 28
20698-11_SECM 1208.indd 28
14-11-2008 15:19:07
14-11-2008 15:19:07

Activity (2)

You've already reviewed this. Edit your review.
1 thousand reads
1 hundred reads

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->