1.4.110. Technische kern
PvE | Netwerkbeveiliging¶
| 5.010 / BgZ-2a-NS-02 | Authenticeren met PKI |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | Om zich te kunnen authenticeren, kunnen alle systemen betrokken bij transacties in het kader van Twiin een geldig PKIo-certificaat overleggen. Gebruikte PKIo-certificaten dienen te zijn uitgegeven onder de CA “Staat der Nederlanden Private Services CA – G1”. Deze omvatten: * UZI-servercertificaat of * PKIoverheid Private Services CA – G1 certificate Het betreft de systemen in de rol van token-server en -client, notification-server en -client en resource-server en -client. Zie 10.4.7 | Network level security |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing |
| 5.020 | mTLS |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | Alle transacties in het kader van Twiin zijn beveiligd met Mutual Transport Layer Security (mTLS). |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing |
| 5.030 / BgZ-2a-NS-03 | Volgen TLS-richtlijnen NCSC |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | GtK-verzender en GtK-ontvanger maken gebruik van TLS versies en -algoritmen die zijn geclassificeerd als beveiligingsniveau "goed" in de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), 2025-5 van het NCSC: Verplicht gebruik van de volgende cryptografische algoritmes: * Certificate Verification: ECDSA, RSA en EdDSA* * Key exchange: ECDHE* is afgewaardeerd van goed naar voldoende. Met X25519MLKEM768, SecP256r1MLKEM768, SecP384r1MLKEM1024 zijn er alternatieven, maar deze algoritmes zijn (relatief) nieuw en maken nog geen deel uit van de TLS standaarden. ECDHE moet daarom nog gebruikt worden. * Bulk encryption: AES-256-GCM of ChaCha20-Poly1305 * Hash functions: SHA-512 of SHA-384 of SHA-256 Het is verplicht om alle** algoritmen aan te bieden die in de genoemde richtlijnen als "goed" zijn geclassificeerd. Hiermee wordt er voor gezorgd dat wanneer onverhoopt een algoritme in veiligheidsniveau daalt er andere alternatieven overblijven van niveau goed. *Deze algoritmen zijn afgewaardeerd naar beveiligingsniveau ‘voldoende’. Maar zijn geen (beschikbare) varianten die geclassificeerd is met beveiligingsniveau ‘goed’. Hierdoor is het noodzakelijk om ook deze algoritmen op het niveau ‘voldoende’ te gebruiken. **Er geldt een uitzondering voor ChaCha20-Poly1305. Voor bulk encryptie wordt door sommige partijen de keuze gemaakt voor AES-256-GCM en niet voor ondersteuning van ChaCha20-Poly1305. De laatste is namelijk niet compliant met de eisen (Federal Information Processing Standards) die het Amerikaanse NIST (National Institute of Standards and Technology) stelt. Het is voor een GtK-server niet verboden om ook andere algoritmen en TLS-versies te ondersteunen van een lager niveau dan goed. De rationale hierachter is dat hard- en software waar de GtK-server gebruik van maakt ook voor andere use cases buiten het Twiin Afsprakenstelsel ingezet kan worden. De GtK-verzender MOET in het kader van Twiin echter wel altijd de door Twiin beschreven algoritmen en TLS-versie bij de GtK-ontvanger aanbieden. |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing | ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), versie 2.1 |
| 5.040 | Versleuteling volgens TLS |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | Transacties in het kader van Twiin worden versleuteld volgens TLS, zoals bedoeld in eis 5.020. |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing |
| 5.050 / BgZ-2a-NS-04 | Controleren geldigheid TLS-certificaat |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | GtK-verzender en GtK-ontvanger controleren minimaal ieder uur door middel van CRL of OCSP de geldigheid van de certificaten van systemen waarmee transacties plaatsvinden. |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing |
| 5.060 / BgZ-2a-NS-05 | CPS van het UZI-register |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | Systemen die de geldigheid van het UZI-servercertificaat van de andere Systemen dienen te controleren, voldoen aan de verplichting van het Certification Practice Statement (CPS) UZI-register. |
| Prescription Level/Type | Conditioneel Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing | Zie https://www.zorgcsp.nl/certification-practice-statement-cps , artikel 4.5.2 CRL’s: https://www.zorgcsp.nl/certificate-revocation-lists-crl-s |
| BgZ-2a-NS-06 | CPS van PKIo |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | Wanneer GtK-verzender en GtK-ontvanger de geldigheid van een PKIo-servercertficaat controleren, doen zij dit op basis van de afspraken in het Certification Practice Statement (CPS) PKIoverheid. |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing | Zie https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html , hoofdstuk 2 |
| 5.070 | Gebruik CRL of OSCP |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | Systemen die de geldigheid van het PKIo-servercertificaat van de andere Systemen dienen te controleren, doen dit door middel van de meest recent gepubliceerde Certificaten Revocatie Lijst (CRL) of via het Online Certificate Status Protocol (OCSP), minimaal ieder uur. |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing | Zie https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html , paragraaf 2.2. |
| 5.080 | Ondertekening volgens DNSSEC |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | GtK zijn in hun rol als DNS Server moet er voor zorgen dat de name records behorende bij de hostnames van GtK’en zijn ondertekend volgens DNSSEC. (proudly copied from MedMij (core.dns.300)) |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing |
| 5.090 | Controleren ondertekenning DNSSEC |
|---|---|
| Omschrijving/Toelichting/Uitleg/Implicaties | Elke GtK, in zijn rol als DNS resolver in het Domain Name System, controleert of de ontvangen name records zijn voorzien van ondertekening volgens DNSSEC en valideert deze volgens DNSSEC. Indien deze controle en validatie niet beide slagen, ziet hij af van verbinding met de betreffende hostname. Het gebruik van DNSSEC vermindert de kwetsbaarheid van het Domain Name System voor bijvoorbeeld DNS spoofing. |
| Prescription Level/Type | Verplicht |
| Toetsing | Validatie |
| Transactie/verwijzing | (proudly copied from MedMij (core.dns.301)) |