Hoofdinhoud
Een Public Key Infrastructure (PKI) is een verzameling van standaarden waarmee uitgifte en beheer van digitale certificaten wordt gerealiseerd. Deze certificaten worden PKIoverheidcertificaten genoemd en zijn belangrijk voor de beveiliging van overheidscommunicatie.
Beveiligen van elektronische diensten
PKI voor de overheid, kortweg PKIoverheid, zorgt voor een veilige gegevensuitwisseling en verbinding tussen overheid, burgers en bedrijfsleven en tussen overheden onderling. Het is een van de bouwstenen van de Generieke Digitale Infrastructuur (GDI) van de Digitale Overheid. PKIoverheidcertificaten zijn dé standaard voor het beveiligen van elektronische diensten. Overheidsorganisaties kunnen daardoor zelfstandig en betrouwbaar hun diensten aanbieden en garanderen daarmee efficiënte, veilige en betrouwbare dienstverlening.
Waar staat PKIoverheid voor?
PKIoverheid staat voor:
- hoogwaardige betrouwbare certificaten
- veilig: een beveiligingsstandaard welke is toegespitst op de Nederlandse situatie
- autonoom: niet afhankelijk van commerciële partijen
- interoperabiliteit: breed betrouwbare certificaten die worden uitgegeven door de Staat der Nederlanden. Hierdoor kan PKIoverheid vergeleken worden met een keurmerk, gebaseerd op Nederlandse wet- en regelgeving en Europese standaarden. Het voldoet aan internationaal geaccepteerde richtlijnen
Afsprakenstelsel PKIoverheid
PKIoverheid is een afsprakenstelsel dat wordt beheerd door Logius. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is de opdrachtgever. (Commerciële) Certificaatauthoriteiten (CA’s) kunnen aansluiten bij PKIoverheid. CA's worden ook wel Trust Service Provider (TSP) genoemd. TSP’s geven de certificaten uit onder het vertrouwensanker van de Staat der Nederlanden zoals beschreven in de richtlijnen van het afsprakenstelsel. TSP's zijn de directe schakel met de gebruikers van certificaten. TSP's waarborgt de integriteit en authenticiteit van het certificaat en staat in voor de identiteit van de certificaatbezitter.
Wat doet Logius?
Logius en de partijen uit het stelsel vormen Certificaatauthoriteiten (CA's). Zij zijn verantwoordelijk voor de uitgifte van digitale certificaten. Een CA waarborgt de integriteit, correctheid en authenticiteit van het certificaat en staat in voor de identiteit van de certificaatbezitter. Het toezicht op CA's is zeer strikt. Er vinden regelmatig controles plaats door een onafhankelijke auditor.
Binnen het afsprakenstelsel is Logius verantwoordelijk voor:
- uitgifte en beheer van betrouwbare digitale certificaten
- ontwikkeling en beheer van de PKIoverheid-kaders. Dit is het Programma van Eisen. Dit wordt hieronder verder toegelicht
- proces van toetreding door TSP’s
- toezicht op de werkzaamheden van TSP’s, samenwerkingspartners en stelseldeelnemers
Programma van Eisen
De basis van PKIoverheid is het Programma van Eisen (PvE). Dit programma is gebaseerd op Europese standaarden en Nederlandse wetgeving. Hiermee kunnen gebruikers erop vertrouwen dat zij gebruikmaken van een kwalitatief hoogwaardige en betrouwbare PKI-infrastructuur, die voldoet aan internationaal geaccepteerde richtlijnen. Het PvE is alleen beschikbaar in het Engels. In het Engels wordt dit het Programme of Requirements (POR) genoemd.
Het Programma van Eisen bevat:
- normen ten aanzien van de betrouwbaarheid en kwaliteit van de dienstverlening
- formaten van certificaten
- wijze waarop de geldigheid wordt gecontroleerd
- procedures die worden gevolgd als een organisatie als TSP wil toetreden tot PKIoverheid
Het PvE ontwikkelt door veranderende juridische perspectieven, geactualiseerde internationale standaarden en technologische vooruitgang. Het past zich ook aan praktische ervaringen met PKI in de praktijk aan. Wijzigingsvoorstellen die zijn ingediend en goedgekeurd door PKIoverheid worden online gepubliceerd op de website PKIoverheid. De wijzigingen worden meegenomen in de eerstvolgende reguliere update van het PvE.