Geen van de duizend door KPN ingetrokken beveiligingscertificaten is daadwerkelijk in omloop geweest, stelt het bedrijf. Auditors stopten fouten van zwaar overbelast personeel vroegtijdig.
Dat stelt het bedrijf in reactie op het onderzoek van Webwereld dat de afgelopen maanden duizend certificaten zijn ingetrokken. Na de ondergang van Diginotar moesten in een korte tijd meer certificaten worden uitgegeven dan normaliter in een jaar tijd gebeurt. Ook moesten opeens veel persoonlijke certificaten worden uitgegeven waardoor er een dubbele piek was.
Achtervang voor fouten
"Om de enorme piek aan nieuwe aanvragen op te vangen heeft KPN veel tijdelijk personeel moeten inhuren. Na een korte training en inwerkperiode zijn deze mensen aan het werk gegaan maar niettemin zijn er in de beginperiode (logischerwijze) meer dan gemiddeld fouten gemaakt", erkent Simona Petescu, voorlichter bij KPN, tegenover Webwereld. "Aangezien wij dit hadden voorzien hebben wij vanaf het eerste moment, begin september, extra controles uitgevoerd om elk risico op een ten onrechte uitgegeven certificaat te voorkomen."
Die extra controles vinden plaats op het moment dat het certificaat al is gemaakt, maar nog niet in omloop is gebracht. Volgens KPN gaat het daarbij om zowel interne als externe auditors. Het externe toezicht wordt door KPMG uitgevoerd. Webwereld heeft zowel KPN als BZK gevraagd deze rapportages te openbaren, dit is nog niet gebeurd.
Als blijkt dat er iets niet deugt staat de procedure het niet toe om het certificaat meteen te vernietigen. Er wordt alsnog een melding van intrekking gemaakt die wél naar buiten toe wordt gecommuniceerd. Dit is volgens KPN puur procedureel "waarbij wij met nadruk stellen dat vanuit bovengenoemde oorzaken geen enkel ingetrokken certificaat daadwerkelijk is uitgegeven."
Ongezien tekenen
Beveiligingsexpert Mattijs van Ommeren, die zelf ook onderzoek deed naar de uitgiftepraktijk van KPN, denkt dat het wel mogelijk is dat inhuurkrachten meer fouten maken maar vindt de gang van zaken opmerkelijk.
"Bij de productie van smartcards is het enrollmentproces en het printen het meest arbeidsintensief. In deze fase wordt normaliter echter niet het feitelijke certificaat aangemaakt, slechts de certificaataanvraag", stelt hij tegenover Webwereld. "De inhuur van tijdelijke krachten levert weliswaar een lage 'yield' aan correcte aanvragen op, maar zou in principe niet mogen leiden tot foutief verleende certificaten, tenzij de foutcontrole achteraf plaatsvindt. Dit zou overeenkomen met het ondertekenen van een contract zonder het eerst gelezen te hebben."
Veel fouten
Ook de uitleg van de persoonlijke certificaten is geloofwaardig, maar laat opnieuw vragen open. "De toename van smartcardaanvragen na Diginotar komt mij redelijk plausibel over. Overigens lijken de niet-smartcardgerelateerde certificaten in batches van 10 a 15 stuks met tussenpozen van ca. een halve minuut te zijn ingetrokken", vertelt hij. "KPN verklaart de stijging door klandizie van Diginotar; Diginotar's specialiteit waren volgens eigen zeggen persoonlijke certificaten. Dit klopt met de gegevens die ik heb van mijn SSL-scan van overheidssites."
Maar daarmee blijft nog wel staan dat er volgens Van Ommeren veel fouten overblijven. "Dit alles neemt niet weg dat er nog een flink aantal certificaten in oktober overblijft na filtering van de smartcards", legt hij uit. Op basis van het antwoord van KPN voert hij een berekening uit en blijft kritisch. " Het aantal 'productiefouten' van dit type certificaten zou significant lager moeten zijn getuige de operatie van de Getronics CA tot september 2011. Als het aantal ex-Diginitar servercertificaten de 500 overstijgt zou me dat verbazen. 177 misbaksels is in dat geval niet realistisch."
Van Ommeren pleit ervoor dat de laatste twijfel wordt weggenomen door een lijst met inhoudelijke intrekkingen te verstrekken. "De enige die hier definitieve duidelijkheid over kan verschaffen zijn uiteraard KPN en de externe auditors."
Bron: Webwereld
Geen opmerkingen:
Een reactie posten