5 Bijlage: Functionele beveiligingsspecificaties Authenticatiemiddel LoA4 en -mechanisme LoA3 en LoA4
Bijlage bij Handreiking Conformiteitstoetsing Authenticatiemiddel en -mechanisme LoA3 en LoA4

Versie 1.0
Datum13 februari 2017
Status Definitief

Wijzigingen

Inleiding

Doelstelling en scope

Het Afsprakenstelsel Elektronische Toegangsdiensten (eTD) [1] is een set van standaarden, afspraken en voorzieningen voor de geautoriseerde toegang tot digitale diensten. In het Normenkader betrouwbaarheidsniveaus [2] zijn betrouwbaarheidsniveaus gedefinieerd. De betrouwbaarheidsniveaus LoA3 en LoA4 sluiten aan bij de betrouwbaarheidsniveaus Substantieel en Hoog zoals gedefinieerd in de eIDAS Verordening (EU) 910/2014 [5] en uitgewerkt in de eIDAS Uitvoeringsverordening (EU) 2015/1502 [6].
Voor toelating tot het afsprakenstelsel moeten authenticatiemiddelen op LoA4 en authenticatiemechanismen op LoA3 en LoA4 een conformiteitstoets ondergaan waarin wordt aangetoond dat voor LoA4 authenticatiemiddel en –mechanisme bestand zijn tegen attack potential high en voor LoA3 het authenticatiemechanisme bestand is tegen attack potential moderate zoals gedefinieerd in Common Criteria methode [13]. De Handreiking conformiteitstoetsing [4] geeft deelnemers aan het Afsprakenstelsel eTD en conformiteitsbeoordelaars een richtsnoer voor het uitvoeren van de conformiteitstoets. Een risicoanalyse neemt daarbij een belangrijke plaats in.
Om deelnemers te ondersteunen bij het realiseren van een betrouwbare oplossing en conformiteitsbeoordelaars bij het uitvoeren van de beoordeling, bevat dit document functionele beveiligingsspecificaties voor authenticatiemiddelen op LoA4 en authenticatiemechanismen op LoA3 en LoA4.
Deze specificaties kunnen als bron dienen bij de voorbereiding op en de uitvoering van de conformiteitstoets. Het inventariseren en uiteindelijk vaststellen van de specifieke beveiligingsspecificaties voor een oplossing is echter een taak van de deelnemer en dit dient gebaseerd te zijn op een risicoanalyse. Het geheel van benodigde beveiligingsmaatregelen hangt daarmee af van de concreet gekozen oplossing en de uitkomsten van de risicoanalyse die daarop uitgevoerd is. De beveiligingsspecificaties in dit document zijn daarmee informatief van aard, omdat immers niet alle specificaties van toepassing zijn op iedere oplossing. Sommige specificaties zijn alleen van toepassing als de oplossing gebruik maakt van een bepaalde technologie (bijv. biometrie).
Benadrukt wordt dat dit document uitsluitend in gaat op functionele beveiligingsspecificaties aan authenticatiemiddelen en –mechanismen. Procedurele en organisatorische eisen met betrekking tot uitgifte en beheer zijn onderdeel van het Normenkader Betrouwbaarheidsniveaus en worden door middel van een audit getoetst.
Samen met de Handreiking conformiteitstoetsing geeft dit document inzicht in de wijze waarop de conformiteitstoetsing van authenticatiemiddelen en -mechanismen is ingeregeld. Dit is van belang voor de notificatie van het stelsel bij de EU ten behoeve van grensoverschrijdend gebruik.
Regelmatig moet geëvalueerd worden of het document nog actueel is. Ontwikkelingen, zowel op het gebied van oplossingen als dreigingen, kunnen ervoor zorgen dat aanpassingen nodig zijn.

Indeling van dit document

Hoofdstuk 2 geeft aan wat verstaan wordt onder authenticatiemiddel en authenticatiemechanisme.
In Hoofdstuk 3 wordt de aanpak beschreven om tot deze functionele beveiligingsspecificaties te komen en worden op generiek niveau de assets en dreigingen beschreven.
In Hoofdstuk 4 volgen de functionele beveiligingsspecificaties. Deze beveiligingsspecificaties dekken de dreigingen zoals geïdentificeerd in Hoofdstuk 3 af.

Authenticatiemiddel en authenticatiemechanisme

Voor het begrip authenticatiemechanisme wordt binnen de eIDAS verordening, de eIDAS uitvoeringsverordening en het Afsprakenstelsel elektronische Toegangsdiensten geen definitie gegeven. In dit document maken we gebruik van de volgende definitie¹:
Een gedefinieerde opeenvolging van berichten tussen Gebruiker (Dienstafnemer) en Authenticatiedienst die aantoont dat de Gebruiker in het bezit is van en controle heeft over één of meer geldige authenticatiefactoren om zijn/haar identiteit vast te stellen en die aantoont aan de Gebruiker dat hij of zij communiceert met de beoogde Authenticatiedienst t.b.v. authenticatie bij een bepaalde Dienstverlener.
Volgens de IDAS Uitvoeringsverordening 1502/2015 [6] kunnen authenticatiefactoren gedefinieerd worden als:
„authenticatiefactor": een factor waarvan is bevestigd dat deze gebonden is aan een persoon en die onder een van de volgende categorieën valt:

1. 1. „op bezit gebaseerde authenticatiefactor": een authenticatiefactor waarvan de betrokkene moet aantonen dat deze in zijn bezit is;
   2. „op kennis gebaseerde authenticatiefactor": een authenticatiefactor waarvan de betrokkene moet aantonen dat hij ervan kennis draagt;
   3. „inherente authenticatiefactor": een authenticatiefactor die op een fysiek kenmerk van een natuurlijke persoon is gebaseerd en waarbij de betrokkene moet aantonen dat hij dat fysieke kenmerk bezit;

De "inherente authenticatiefactor" wordt in de rest van dit document aangeduid als "authenticatiefactor biometrie".
Het authenticatiemiddel is volgens het Afsprakenstelsel eTD [1] "een set van attributen [i.e. authenticatiefactoren] (bijvoorbeeld een certificaat) op grond waarvan authenticatie van een partij kan plaatsvinden". Deze definitie sluit aan bij de definitie voor elektronisch identificatiemiddel uit de eIDAS Verordening [5]:"een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst".
Verder wordt conform het eIDAS guidance document [7] gebruik gemaakt van het uitgangspunt dat aangeeft dat verificatie van het authenticatiemiddel onderdeel uitmaakt van het authenticatiemechanisme bij het bepalen van de weerstand tegen aanvallen: "During assessing attack resistance, the whole authentication mechanism should be taken into account including the risks resulting from verification of the possession of the electronic identification means."
Daarnaast staat in het eIDAS guidance document [7] dat "Reasonable assumptions on the level of security of components used by, but not part of, the authentication scheme (e.g. the environment of the user, browser, smart phone, etc.) should be taken into account during the risk assessment." De Authenticatiedienst kan met de Gebruiker afspraken maken over voorwaarden waaraan de gebruikerscomponenten dienen te voldoen (zoals vereiste versie, installeren van updates en security patches, geen jailbreaking van mobiele telefoon) maar dit valt moeilijk of niet technisch af te dwingen. Daarom wordt de aanname gedaan dat deze gebruikerscomponenten onveilig kunnen zijn en dus niet op de beveiliging ervan vertrouwd kan worden. Het authenticatiemechanisme moet
1 Deze definitie is gebaseerd op de definitie voor authentication protocol uit NIST SP 800-63-1 [8]: "A defined sequence of messages between a Claimant and a Verifier that demonstrates that the Claimant has possession and control of a valid token to establish his/her identity, and optionally, demonstrates to the Claimant that he or she is communicating with the intended Verifier." Maar gaat uit van authenticatiefactoren i.p.v. een token en stelt het aantonen van communicatie met de beoogde authenticatiedienst als voorwaarde.
zo ingericht worden dat ook bij compromittatie van de gebruikerscomponenten de oplossing voldoende veilig is voor het betrouwbaarheidsniveau waarvoor deze bedoeld is.
Figuur 1 illustreert dat de kennisfactoren bezit, kennis en biometrie, die samen het authenticatiemiddel kunnen vormen, worden uitgewisseld tussen de Gebruiker en de Authenticatiedienst en dat de Gebruiker betrouwbare informatie ontvangt over de Authenticatiedienst en over de Dienstverlener ten behoeve waarvan de authenticatie plaatsvindt. De gebruiker kan hierbij gebruik maken van een Client applicatie op zijn eigen platform die wel onderdeel is van het authenticatieschema maar los staat van de browser. De Client applicatie kan zich zelfs op een ander platform bevinden. De Client applicatie kan de communicatie met de gebruiker, de authenticatiefactor bezit en/of biometrische sensoren verzorgen tijdens de authenticatie en/of berichten ontvangen van de Authenticatiedienst.
De mogelijke communicatiekanalen zijn in zwart aangegeven, maar niet alle kanalen hoeven binnen een oplossing gebruikt te worden en ook de specifieke opeenvolging van berichten en de kanalen waarover die worden uitgewisseld, ligt niet vast, maar is afhankelijke van de oplossing.

Figuur 1: Via een gedefinieerde opeenvolging van berichten (niet weergegeven in de figuur) en eventueel met gebruikmaking van een Client applicatie, applicatiefactor bezit of biometrische sensoren worden de kennisfactoren bezit, kennis, en/of biometrie uitgewisseld tussen de Gebruiker en de Authenticatiedienst en ontvangt de Gebruiker betrouwbare informatie over de Authenticatiedienst en de Dienstverlener ten behoeve waarvan de authenticatie plaatsvindt. De kanalen waarover communicatie plaats kan vinden zijn aangegeven door middel van pijlen, maar
niet alle kanalen hoeven gebruikt te worden. Ook de specifieke opeenvolging van berichten ligt niet vast, maar wordt bepaald door de specifieke oplossing.

Als hetzelfde platform gebruikt wordt om via een webbrowser met de Dienstverlener te communiceren en tevens als onderdeel van het authenticatiemiddel (bijv. authenticatiefactor bezit), zorgt dit voor een verhoogd risico waarover de Gebruiker volgens het Afsprakenstelsel elektronische Toegangsdiensten geïnformeerd moet worden.

Eén authenticatiefactor kan bestaan uit meerdere componenten. Zo kunnen in een authenticatiemechanisme bijvoorbeeld twee authenticatiefactoren bezit gebruikt worden. Dit is weergegeven in het voorbeeld in Figuur 2 waarbij gebruik gemaakt wordt van een smartcard en mobiele telefoon als authenticatiefactoren bezit. Ook zijn in Figuur 2 de berichten die worden uitgewisseld aangegeven, de volgorde waarin dat gebeurt en de kanalen waarover deze berichten worden uitgewisseld.

Figuur 2: Voorbeeld van authenticatie op basis van authenticatiefactor kennis (PIN) en authenticatiefactoren bezit (smartcard en mobiele telefoon)

1. De Gebruiker kiest via een webbrowser op zijn PC op de website van een Dienstverlener voor een actie die authenticatie vereist.
2. De Dienstverlener stuurt de Gebruiker door naar zijn Herkenningsmakelaar en geeft daarbij het minimaal vereiste betrouwbaarheidsniveau door.
3. De Herkenningsmakelaar biedt de Gebruiker de mogelijkheid zijn gewenste Authenticatiedienst te kiezen.
4. De Gebruiker kiest zijn Authenticatiedienst.
5. De Herkenningsmakelaar stuurt de Gebruiker door naar zijn Authenticatiedienst en geeft daarbij het minimaal vereiste betrouwbaarheidsniveau door en de Dienstverlener ten behoeve waarvan authenticatie plaats zal vinden.
6. De Authenticatiedienst zorgt voor het activeren van de Client applicatie op de PC van de gebruiker en het opzetten van een verbinding tussen Client applicatie en Authenticatiedienst.
7. De Authenticatiedienst toont de Gebruiker via de Client applicatie op zijn PC informatie over het inlogproces en de Dienstverlener ten behoeve waarvan de authenticatie plaats gaat vinden. Eventueel kan de Gebruiker kiezen uit verschillende inlogmethodes die minimaal het vereiste betrouwbaarheidsniveau hebben.
8. De Authenticatiedienst geeft de Client applicatie op de PC van de Gebruiker opdracht een sessie met de smartcard te starten en stuurt een challenge naar de Client applicatie.
9. De Client applicatie start een sessie met de smartcard via de aan de PC gekoppelde kaartlezer
10. De Client applicatie vraagt de Gebruiker zijn PIN in te voeren ter goedkeuring van deze stap in het authenticatieproces.
11. De Gebruiker voert zijn PIN in op het toetsenbord van zijn PC en deze wordt naar de Client applicatie op de PC gestuurd.
12. De Client applicatie stuurt de PIN via de kaartlezer naar de smartcard
13. De Client applicatie stuurt de van de Authenticatiedienst ontvangen challenge ter ondertekening naar de smartcard.
14. De smartcard ondertekent de challenge.
15. De ondertekende challenge met het bijbehorende certificaat wordt via de kaartlezer naar de Client applicatie gestuurd.
16. De Client applicatie stuurt de ondertekende challenge met het bijbehorende certificaat naar de Authenticatiedienst.
17. De Authenticatiedienst controleert de ondertekende challenge en het bijbehorende certificaat.
18. De Authenticatiedienst stuurt via een push message service (Google Cloud Messaging Service/ Apple Push Notification Service) een push bericht naar Client applicatie op de mobiele telefoon van de Gebruiker met het verzoek aan de Client applicatie om een beveiligde verbinding op te zetten met de Authenticatiedienst.
19. De Client applicatie op de mobiele telefoon zet een beveiligd kanaal op met de Authenticatiedienst.
20. De Authenticatiedienst stuurt informatie over de Authenticatiedienst en Dienstverlener ten behoeve waarvan authenticatie plaatsvindt naar de Client applicatie op de mobiele telefoon.
21. De Gebruiker bevestigt het authenticatieverzoek bij deze Authenticatiedienst ten behoeve van de genoemde Dienstverlener in de Client applicatie op zijn mobiele telefoon.
22. De Client applicatie op de mobiele telefoon stuurt de bevestiging over het beveiligde kanaal naar de Authenticatiedienst.
23. De Authenticatiedienst keurt op basis van deze bevestiging in combinatie met de eerder ontvangen en gecontroleerde ondertekende challenge en bijbehorend certificaat de authenticatie goed.
24. De Authenticatiedienst bevestigt authenticatie van de Gebruiker aan de Herkenningsmakelaar en geeft de identificerende gegevens van de Gebruiker (PI/PP) door.
25. De Herkenningsmakelaar bevestigt authenticatie van de Gebruiker aan de Dienstverlener en geeft de identificerende gegevens van de Gebruiker (PI/PP) door.
26. De Dienstverlener zet de communicatie met de Gebruiker voort.

Aanpak om tot functionele beveiligingsspecificaties te komen

Aanpak

Voor het opstellen van de functionele beveiligingsspecificaties is de volgende aanpak gehanteerd:

• • • Eerst zijn de assets geïdentificeerd van Authenticatiemiddel en Authenticatiemechanisme². Voor het Authenticatiemiddel wordt daarbij onderscheid gemaakt tussen de authenticatiefactoren:
      • Bezit,
      • Kennis en
      • Biometrie.

Voor het Authenticatiemechanisme worden de componenten die een rol spelen in het authenticatiemechanisme en de communicatiekanalen daartussen in beschouwing genomen. De volgende componenten en kanalen worden apart beschouwd:

• • • • Authenticatiemiddel (al behandeld)
      • Authenticatiedienst
      • Client applicatie
      • Communicatie tussen Authenticatiemiddel en Client applicatie
      • Communicatie tussen Authenticatiedienst en Client applicatie
      • Communicatie tussen Authenticatiedienst en Authenticatiemiddel
    • Vervolgens zijn mogelijke dreigingen m.b.t. deze assets in kaart gebracht. Als input is hierbij gebruik gemaakt van het Normenkader betrouwbaarheidsniveaus en de dreigingen zoals gedefinieerd in ISO/IEC 29115.
    • Tot slot zijn in Hoofdstuk 4 de functionele beveiligingsspecificaties opgesteld die de in dit hoofdstuk geïdentificeerde dreigingen tegen gaan.

Identificatie van assets en dreigingen

Voor het Authenticatiemiddel onderkennen we de volgende assets en dreigingen.

2 Conform het eIDAS guidance document [7] en beschreven in Hoofdstuk 2 maakt het Authenticatiemiddel onderdeel uit van het Authenticatiemechanisme. Vanwege het onderscheid dat in de eIDAS verordening en het Afsprakenstelsel eTD gemaakt wordt m.b.t. Authenticatiemiddel en –mechanisme zullen assets, dreigingen en functionele beveiligingsspecificaties toch apart behandeld worden.

Voor het Authenticatiemechanisme onderkennen we de volgende assets en dreigingen.

Functionele beveiligingsspecificaties

Om de dreigingen zoals geïdentificeerd in Hoofdstuk 3 tegen te gaan worden in dit Hoofdstuk functionele beveiligingsspecificaties gedefinieerd voor het authenticatiemiddel en het authenticatiemechanisme. Merk op dat niet iedere specificatie van toepassing zal zijn op iedere oplossing aangezien oplossingen van elkaar verschillen en sommige specificaties specifiek zijn voor een bepaalde component of technologie.

Functionele beveiligingsspecificaties voor het authenticatiemiddel (niveau Hoog/LoA4)

Functionele beveiligingsspecificaties voor het Authenticatiemechanisme (niveaus Substantieel/LoA3 en Hoog/LoA4)

Referenties

1.  Afsprakenstelsel Elektronische Toegangsdiensten, versie 1.10c van 30 september 2016, https://afsprakenstelsel.etoegang.nl/display/as/Startpagina
2.  Normenkader betrouwbaarheidsniveaus, versie 1.10c van 30 september 2016, https://afsprakenstelsel.etoegang.nl/display/as/Normenkader+betrouwbaarheidsniveaus
3. Technische specificaties en procedures voor uitgifte van authenticatiemiddelen, https://afsprakenstelsel.etoegang.nl/display/as/Technische+specificaties+en+procedures+ voor+uitgifte+van+authenticatiemiddelen
4.  Handreiking Conformiteitstoetsing Authenticatiemiddel en –mechanisme LoA3 en LoA4, versie 1.0 van 13 februari 2017.
5. VERORDENING (EU) Nr. 910/2014 VAN HET EUROPEES PARLEMENT EN DE RAAD van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EGISO/IEC 29115
6. UITVOERINGSVERORDENING (EU) 2015/1502 VAN DE COMMISSIE van 8 september 2015 tot vaststelling van minimale technische specificaties en procedures betreffende het betrouwbaarheidsniveau voor elektronische identificatiemiddelen overeenkomstig artikel 8, lid 3, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt
7. Guidance for the application of the levels of assurance which support the eIDAS Regulation, https://www.viestintavirasto.fi/attachments/suositukset/LOA_Guidance.pdf.
8. NIST Special Publication 800-63-1, Electronic Authentication Guideline, December 2011.
9. ISO/IEC 29115 Information technology – Security techniques – Entity authentication assurance framework, first edition, 2013-04-01
10. Common Criteria for Information Technology Security Evaluation, Part 1: Introduction and general model, September 2012, Version 3.1, Revision 4, CCMB-2012-09-0001, https://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R4.pdf
11. Common Criteria for Information Technology Security Evaluation, Part 2: Security functional components, September 2012, Version 3.1, Revision 4, CCMB-2012-09-0002, https://www.commoncriteriaportal.org/files/ccfiles/CCPART2V3.1R4.pdf
12. Common Criteria for Information Technology Security Evaluation, Part 3: Security assurance components, September 2012, Version 3.1, Revision 4, CCMB-2012-09-003,
    https://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R4.pdf
13. Common Methodology for Information Technology Security Evaluation, Evaluation methodology, September 2012, Version 3.1, Revision 4, CCMB-2012-09-0004, https://www.commoncriteriaportal.org/files/ccfiles/CEMV3.1R4.pdf