Breadcrumbs

PvE | Netwerkbeveiliging

5.010 / BgZ-2a-NS-02

Authenticeren met PKI

Omschrijving/Toelichting/Uitleg/Implicaties

Om zich te kunnen authenticeren, kunnen alle systemen betrokken bij transacties in het kader van Twiin een geldig PKIo-certificaat overleggen.

Gebruikte PKIo-certificaten dienen te zijn uitgegeven onder de CA “Staat der Nederlanden Private Services CA – G1”. Deze omvatten:

  • UZI-servercertificaat of

  • PKIoverheid Private Services CA – G1 certificate

Het betreft de systemen in de rol van token-server en -client, notification-server en -client en resource-server en -client.

Zie 10.4.7 | Network level security

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

 

5.020

mTLS

Omschrijving/Toelichting/Uitleg/Implicaties

Alle transacties in het kader van Twiin zijn beveiligd met Mutual Transport Layer Security (mTLS).

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

 

5.030 / BgZ-2a-NS-03

Volgen TLS-richtlijnen NCSC

Omschrijving/Toelichting/Uitleg/Implicaties

GtK-verzender en GtK-ontvanger maken gebruik van TLS versies en -algoritmen die zijn geclassificeerd als beveiligingsniveau "goed" in de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), 2025-5 van het NCSC:

Verplicht gebruik van de volgende cryptografische algoritmes:

  • Certificate Verification: ECDSA, RSA en EdDSA*

  • Key exchange: ECDHE* is afgewaardeerd van goed naar voldoende. Met X25519MLKEM768, SecP256r1MLKEM768, SecP384r1MLKEM1024 zijn er alternatieven, maar deze algoritmes zijn (relatief) nieuw en maken nog geen deel uit van de TLS standaarden. ECDHE moet daarom nog gebruikt worden.

  • Bulk encryption: AES-256-GCM of ChaCha20-Poly1305

  • Hash functions: SHA-512 of SHA-384 of SHA-256

Het is verplicht om alle algoritmen aan te bieden die in de genoemde richtlijnen als "goed" zijn geclassificeerd. Hiermee wordt er voor gezorgd dat wanneer onverhoopt een algoritme in veiligheidsniveau daalt er andere alternatieven overblijven van niveau goed.

*Deze algoritmen zijn afgewaardeerd naar beveiligingsniveau ‘voldoende’. Maar zijn geen (beschikbare) varianten die geclassificeerd is met beveiligingsniveau ‘goed’. Hierdoor is het noodzakelijk om ook deze algoritmen op het niveau ‘voldoende’ te gebruiken.

Het is voor een GtK-server niet verboden om ook andere algoritmen en TLS-versies te ondersteunen van een lager niveau dan goed. De rationale hierachter is dat hard- en software waar de GtK-server gebruik van maakt ook voor andere use cases buiten het Twiin Afsprakenstelsel ingezet kan worden. De GtK-verzender MOET in het kader van Twiin echter wel altijd de door Twiin beschreven algoritmen en TLS-versie bij de GtK-ontvanger aanbieden.

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

 ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), versie 2.1

5.040

Versleuteling volgens TLS

Omschrijving/Toelichting/Uitleg/Implicaties

Transacties in het kader van Twiin worden versleuteld volgens TLS, zoals bedoeld in eis 5.020.

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

 

5.050 / BgZ-2a-NS-04

Controleren geldigheid TLS-certificaat

Omschrijving/Toelichting/Uitleg/Implicaties

GtK-verzender en GtK-ontvanger controleren minimaal ieder uur door middel van CRL of OCSP de geldigheid van de certificaten van systemen waarmee transacties plaatsvinden.

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

 

5.060 / BgZ-2a-NS-05

CPS van het UZI-register

Omschrijving/Toelichting/Uitleg/Implicaties

Systemen die de geldigheid van het UZI-servercertificaat van de andere Systemen dienen te controleren, voldoen aan de verplichting van het Certification Practice Statement (CPS) UZI-register.

Prescription Level/Type

Conditioneel Verplicht

Toetsing

Validatie

Transactie/verwijzing

 Zie https://www.zorgcsp.nl/certification-practice-statement-cps , artikel 4.5.2

CRL’s: https://www.zorgcsp.nl/certificate-revocation-lists-crl-s

BgZ-2a-NS-06

CPS van PKIo

Omschrijving/Toelichting/Uitleg/Implicaties

Wanneer GtK-verzender en GtK-ontvanger de geldigheid van een PKIo-servercertficaat controleren, doen zij dit op basis van de afspraken in het Certification Practice Statement (CPS) PKIoverheid.

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

Zie https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html , hoofdstuk 2

5.070

Gebruik CRL of OSCP

Omschrijving/Toelichting/Uitleg/Implicaties

Systemen die de geldigheid van het PKIo-servercertificaat van de andere Systemen dienen te controleren, doen dit door middel van de meest recent gepubliceerde Certificaten Revocatie Lijst (CRL) of via het Online Certificate Status Protocol (OCSP), minimaal ieder uur.

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

 Zie https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html , paragraaf 2.2.

5.080

Ondertekening volgens DNSSEC

Omschrijving/Toelichting/Uitleg/Implicaties

GtK zijn in hun rol als DNS Server moet er voor zorgen dat de name records behorende bij de hostnames van GtK’en zijn ondertekend volgens DNSSEC.

(proudly copied from MedMij (core.dns.300))

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

 

5.090

Controleren ondertekenning DNSSEC

Omschrijving/Toelichting/Uitleg/Implicaties

Elke GtK, in zijn rol als DNS resolver in het Domain Name System, controleert of de ontvangen name records zijn voorzien van ondertekening volgens DNSSEC en valideert deze volgens DNSSEC. Indien deze controle en validatie niet beide slagen, ziet hij af van verbinding met de betreffende hostname.

Het gebruik van DNSSEC vermindert de kwetsbaarheid van het Domain Name System voor bijvoorbeeld DNS spoofing.

Prescription Level/Type

Verplicht

Toetsing

Validatie

Transactie/verwijzing

(proudly copied from MedMij (core.dns.301))