Electronic seals
Wanneer machines namens partijen geautomatiseerd gegevensuitwisseling opzetten middels een datadienst, moet worden bepaald of de machine (server) namens de partij de juiste autorisatie heeft om gebruik te maken van de datadienst. Hiervoor is het van belang dat de identiteit van de partij namens wie de machine handelt wordt geauthenticeerd. Bij het bepalen van de autorisatie door de datadienstaanbieder is een mate van zekerheid (authenticatie) van de identificatie van de datadienstgebruiker essentieel.
Voorbeeld: Een machine namens een partij is een server die namens de datadienstgebruiker geautomatiseerd een datadienst initieert bij de datadienstaanbieder om elke 24 uur de laatste productinformatie op te halen.
Authenticatie van een machine van datadienstgebruiker en datadienstaanbieders op datadienst niveau is mogelijk met electronic seals op twee niveaus. Het DSGO gebruikt hiervoor respectievelijk advanced electronic seals (AdSeals) of qualified electronic seal (QSeals) uitgegeven onder de eIDAS verordening. Op deze wijze is praktische invulling gegeven aan twee betrouwbaarheidsniveaus: advanced en qualified.
Voor meer informatie over de eIDAS verordening zie de pagina Electronic Identification and Trust Services (eIDAS).
Achtergrondinformatie electronic seals
Het DSGO hanteert een definitie van electronic seal in lijn met de Europese Unie:
An electronic seal is a data in electronic form, which is attached to or logically associated with other data in electronic form to ensure the latter’s origin and integrity, where the creator of a seal is a legal person (unlike the electronic signature that is issued by a natural person).
In this purpose, electronic seals might serve as evidence that an electronic document was issued by a legal person, ensuring certainty of the document’s origin and integrity. Nevertheless, across the European Union, when a transaction requires a qualified electronic seal from a legal person, a qualified electronic signature from the authorised representative of the legal person is equally acceptable.
Bron:
Het QSeal is het hoogste niveau van een electronische handtekening voor rechtspersonen. Op de pagina van de Europese Unie wordt het volgende gesteld over Elektronische handtekeningen:
Across all EU Member States, the legal effects of electronic signatures are laid down in Article 25 of eIDAS.
An electronic signature (either simple, advanced or qualified) shall not be denied legal effect and admissibility as evidence in legal proceedings solely on the grounds that it is in an electronic form or that it does not meet the requirements for qualified electronic signatures. Regarding qualified electronic signatures, they explicitly have the equivalent legal effect of handwritten signatures across all EU Member States.
Bron:
En specifiek voor electronic seals:
Across all EU Member States, the legal effects of electronic seals are laid down in Article 35 of eIDAS. Like an electronic signature, an electronic seal shall not be denied legal effect and admissibility as evidence in legal proceedings solely on the grounds that it is in an electronic form or that it does not meet the requirements for qualified electronic seals.
Regarding qualified electronic seals, they explicitly enjoy the presumption of integrity of the data and of correctness of the origin of that data to which the qualified electronic seal is linked across all EU Member States.
Bron:
Kortom, een QSeal heeft de hoogste mate van betrouwbaarheid: qualified. De toepassing hiervan is wenselijk zodra het gaat om datatransacties die 100% waterdicht en rechtsgeldig moeten zijn. Denk bijvoorbeeld aan het indienen van een belastingaangifte, een tenderdocument of een vergunningsverzoek.
In het DSGO zijn er toepassingen waar dit niveau van betrouwbaarheid niet altijd aan de orde is. Dit hangt sterk af van de inhoud van de datadienst en de use case waarin de datatransactie plaatsvindt. Het ondersteunen van het betrouwbaarheidsniveau van advanced biedt dan ook meer mogelijkheden voor datadienstaanbieders en datadienstgebruikers.
Toepassing electronic seals in het DSGO
De datadienstaanbieder bepaalt welk niveau van authenticatie vereist is voor het gebruik van de datadienst. Dit wordt in het capabilities_info object opgenomen in een nieuw attribuut Authenticator Assurance Level (aal).
Toelichting electronic seals voor authenticatie op datadienst niveau in het DSGO
Authenticatie JSON Web Tokens (JWTs) die voorzien zijn van zowel informatie voor identificatie als authenticatie kunnen getekend worden door een eIDAS AdSeal of QSeal om de inhoud van de JWT te vertrouwen. Hierdoor is er op Europees niveau rechtszekerheid over de inhoud van JWTs. Voor meer informatie zie de pagina JSON Web Tokens (JWT).
QSeals en AdSEals zijn veiliger en geschikter om in een schaalbaar netwerk te gebruiken ten opzichte van API keys. Er is geen pre-registratie en daardoor foutgevoelige en mogelijk omvangrijke API key administratie nodig.
Verder kunnen QSeals en AdSeals ook worden gebruikt voor onweerlegbaarheid, waar API keys niet geschikt voor zijn (zie onweerlegbaarheid voor meer informatie).
Het is de verwachting dat QSeals en AdSeals in de komende jaren de standaard worden om veilig digitale datatransacties te doen.
In lijn met de eIDAS regulering worden AdSeals of QSeals gebruikt die uitgegeven zijn door gekwalificeerde vertrouwensdienstverleners (Certificate Authorities) op de List of Trusted Lists (LOTL), die de identiteit van de aanvrager zorgvuldig controleren.
Merk op: QSeals worden uitgegeven middels een Qualified Signature/Seal Creation Device (QCSD). De huidige oplossingen (een hardware device zoals een smartcard of usb stick) en Hardware Signing Modules zijn niet geschikt voor het toepassingsgebied van datatransacties in een digitaal stelsel. Momenteel is de QSCD hardware variant praktisch niet uitvoerbaar en de remote QSCD variant buiten proportioneel kostbaar voor afsprakenstelsels.
Daarom accepteert het DSGO ook AdSeals voor het ondertekenen van authenticatie- en onweerlegbaarheid JWTs. Op dit moment is het een beslissing waarin praktische uitvoerbaarheid enerzijds is afgewogen tegen vertrouwen en informatiebeveiliging anderzijds.
DSGO.Basis: Partijen ZOUDEN QSeals MOETEN gebruiken en MOGEN AdSeals gebruiken voor het tekenen van JWTs
DSGO.Basis: Partijen MOETEN alle root certificaten voor QSeals en AdSeals van uitgevers op de EU/EEA List of Trusted Lists (LoTL) en PKIO accepteren
DSGO.Basis: Partijen MOETEN een QSeal of AdSeal gebruiken die overeenkomt met hun Organisatie ID. Zie Identificatie van organisaties voor meer informatie.
Datadiensten in het Publieke Domein
Datadienstaanbieders binnen de Nederlandse publieke sector dienen ook de autorisatie van machines handelend namens partijen te verifiëren. Bijvoorbeeld voor datadiensten van het Omgevingsloket. De Generieke Digitale Infrastructuur (GDI) biedt bouwstenen voor datadiensten van publieke dienstverleners. Daarbij worden PKI-Overheid certificaten gebruikt voor authenticatie op dezelfde manier als QSeals en AdSeals binnen het DSGO. Het DSGO bevat op dit moment geen additionele eisen voor datadiensten binnen de scope van GDI. Zie voor meer informatie bijvoorbeeld de website van GDI en de Digikoppeling REST API specificatie.
Merk op, de transitie van PKI-Overheid certificaten (met een Nederlandse root) naar QSeals en AdSeals (met een Europese root) wordt de komende jaren verwacht. Uitgevers van beide certificaten moeten op dit moment al voldoen aan de eisen die eIDAS stelt aan vertrouwensdienstaanbieders (trust service providers).