Algemeen

  1. Wat is SHA-2?
  2. Moet ik nu al maatregelen nemen?
  3. Verandert er functioneel iets door de invoering van de nieuwe beveiligingsnorm SHA-2?
  4. Wat is PKIoverheid?
  5. Hoe herken ik of mijn UZI-pas SHA-2 gebruikt?
  6. Blijven de huidige passen en servercertificaten gewoon bruikbaar (SHA-1)?
  7. Vanaf welk moment worden er UZI-passen (productie) met een SHA-2 uitgegeven?
  8. Hoe kan ik mijn versie van Microsoft Windows controleren?
  9. Hoe kan ik mijn versie van Mac OS X (Apple) controleren?
  10. Hoe kan ik zien dat een pas onder SHA-2 is uitgegeven (Token Beheer Programma)?
  11. Hoe kan ik zien dat een certificaat met SHA-2 is ondertekend (Internet Explorer)?
  12. Ik werk al met een UZI-pas. Kan ik de nieuwe pas zonder meer gebruiken?
  13. Hoe kan ik in de LDAP zoekpagina zien dat een certificaat uitgegeven is met SHA-2?
  14. Waar moet mijn computersysteem aan voldoen om zonder problemen gebruik te maken van mijn nieuwe UZI-product?
  15. Wat verandert er bij aanvragen van servercertificaten?
  16. Wat verandert er bij het aanvragen van UZI-passen?
  17. Welke foutmelding krijg ik als applicatie software nog niet is geupdate?
  18. Welke foutmelding krijg ik als de SafeSign software nog niet is geupdate?
  1. Wat is SHA-2?

    SHA is een afkorting van: Secure Hash Algorithm. Het doel van deze algoritmen is het beveiligen van elektronische handelingen. SHA-1 wordt al enige tijd gebruikt. SHA-2 is een opvolger hiervan. PKIoverheid ziet er op toe dat alle overheidsorganisaties, waar ook het UZI-register onder valt, met de laatste beveilingsnormen werken.

    Naar boven
  2. Moet ik nu al maatregelen nemen?

    Als u gebruik wilt maken van een nieuwe pas of servercertificaat, dan moet uw systeem aan de minimale eisen voldoen. Vraagt u voorlopig geen nieuwe pas aan, dan is een aanpassing nu ook nog niet nodig.

    Houdt u er wel rekening mee op het moment dat u een nieuw UZI-middel aanvraagt, bijvoorbeeld voor nieuwe medewerkers of na verlies of intrekking van een pas.

    Naar boven
  3. Verandert er functioneel iets door de invoering van de nieuwe beveiligingsnorm SHA-2?

    Functioneel verandert er niets aan de UZI-pas of servercertificaten door SHA-2. Als applicaties (software, programma’s) en besturingssysteem (bijvoorbeeld Windows) geschikt zijn voor SHA-2 merkt de gebruiker geen verschil tussen de huidige generatie passen en SHA-2 passen of servercertificaten.

    Naar boven
  4. Wat is PKIoverheid?

    Public Key Infrastructure voor de overheid, kortweg PKIoverheid, maakt betrouwbare digitale communicatie mogelijk. Met behulp van PKI-certificaten is de informatie die personen en organisaties over het internet sturen, beveiligd op een hoog niveau van betrouwbaarheid.

    PKIoverheid certificaten worden gebruikt bij:

    • het zetten van een rechtsgeldige elektronische handtekening;
    • het beveiligen van websites;
    • het op afstand authenticeren van personen of services;
    • het versleutelen van berichten.
    Naar boven
  5. Hoe herken ik of mijn UZI-pas SHA-2 gebruikt?

    UZI-passen met SHA-2 zijn herkenbaar aan de geldigheidsdatum. Alle passen met een geldigheidsdatum van 1 januari 2014 en verder hebben SHA-2 certificaten.

    Naar boven
  6. Blijven de huidige passen en servercertificaten gewoon bruikbaar (SHA-1)?

    De huidige passen en servercertificaten kunnen gewoon gebruikt worden tot aan het aflopen van hun geldigheidsduur. Dit is maximaal tot 31-12-2013. Een pas of servercertificaat is namelijk maximaal drie jaar geldig.

    Vooralsnog zijn er geen technische ontwikkelingen bekend die dit beleid zouden kunnen wijzigen.

    Naar boven
  7. Vanaf welk moment worden er UZI-passen (productie) met een SHA-2 uitgegeven?

    Vanaf 1 januari 2011 ondertekent het UZI-register elk UZI-middel op basis van SHA-2. Dit geldt voor UZI-passen, UZI-servercertificaten en ZOVAR-servercertificaten. Deze datum is aangegeven vanuit PKIoverheid.

    Naar boven
  8. Hoe kan ik mijn versie van Microsoft Windows controleren?

    Dit kan als volgt:

    • Klik op ‘start’
    • Klik met de rechtermuisknop op ‘Deze Computer’
    • Klik in het menu dat verschijnt op ‘Eigenschappen’ (System Properties)

    Bij Windows XP verschijnt het onderstaande scherm. Controleer of uw systeem minimaal Service Pack 3 heeft. Als u nog gebruikt maakt van Windows XP met een lager Service Pack kunt u via Windows Update de laatste versie downloaden.

    Naar boven
  9. Hoe kan ik mijn versie van Mac OS X (Apple) controleren?

    • Selecteer vanuit het Apple menu ‘About This Mac
    • Het versienummer verschijnt in een scherm:
    Naar boven
  10. Hoe kan ik zien dat een pas onder SHA-2 is uitgegeven (Token Beheer Programma)?

    Dit is te zien aan de naamgeving van certificaten op de pas. Met het SafeSign Token Beheer Programma is dit als volgt te bekijken:

    • Start het SafeSign Token Beheer Programma
    • Start in het menu Token -> Toon Token Objecten
    • Het onderstaande scherm verschijnt.
    • In ‘Labels’ staat ‘G2’ bij de PKI overheid CA’s of ‘G21’ bij de UZI-register CA’s.

    Naar boven
  11. Hoe kan ik zien dat een certificaat met SHA-2 is ondertekend (Internet Explorer)?

    • Voer de UZI-pas in de kaartlezer
    • Start Internet Explorer
    • Start in het menu Tools -> Internet Options
    • Selecteer Tabblad Content, Klik op Certificates
    • U ziet de certificaten van de pas. Selecteer een certificaat en klik op View
    • Klik op Tabblad Details 
    • Achter ‘Signature algorithm’ moet ‘sha256RSA’ staan. Zie het figuur hieronder. Is dat niet het geval, zie vraag ‘Welke foutmeldingen krijg ik als mijn systeem geen SHA-2 ondersteunt?’.

    Naar boven
  12. Ik werk al met een UZI-pas. Kan ik de nieuwe pas zonder meer gebruiken?

    Voor de huidige UZI-passen is sinds november 2009 actuele SafeSign software nodig. Voor Windows is dat SafeSign 3.0.35 of hoger, voor Mac OS versie 3. Dowload de meest recente versie SafeSign 3.0.40externe link.

    Verder vereist SHA-2 een actueel besturingssysteem en applicaties. Zie hiervoor de vraag "Waar moet mijn computersysteem aan voldoen om zonder problemen gebruik te gaan maken van mijn nieuwe UZI-product?"

    Naar boven
  13. Hoe kan ik in de LDAP zoekpagina zien dat een certificaat uitgegeven is met SHA-2?

    Als u een UZI-pas of servercertificaat hebt opgezocht, staat in het resultaatscherm bij ‘Type UZI-pas’ G21 zoals hieronder weergegeven.

    Uiteraard is het ook zichtbaar aan de uitgiftedatum of door de certificaten te openen.

    Ga naar de LDAP zoekpagina

    Naar boven
  14. Waar moet mijn computersysteem aan voldoen om zonder problemen gebruik te maken van mijn nieuwe UZI-product?

    Dit is afhankelijk van de actualiteit van uw systeem. Het kan invloed hebben op 4 verschillende vlakken:

    • Besturingssysteem - bijvoorbeeld Windows Vista
    • Internetbrowser - bijvoorbeeld Internet Explorer
    • SafeSign – dit is de software die nodig is om de UZI-pas te kunnen gebruiken
    • Applicaties - softwareprogramma’s die u gebruikt, bijvoorbeeld om met uw goed beheerd zorgsysteem (GBZ) verbinding te maken met de landelijke infrastructuur.

    De veiligheidsstandaard SHA-2 wordt op dit moment door de huidige gangbare versies ondersteund.

    Minimale eisen besturingssysteem
    Besturingssystemen Minimale versie
    Microsoft (client) Windows XP SP3, Windows Vista, Windows 7
    Microsoft (server) Windows Server 2003 SP1/SP2 + hotfix KB 938397
    Microsoft (server) Windows Server 2008
    Linux Ubuntu 10.04
    Mac OS Mac OS 10.5
    Minimale eisen browser
    Internetbrowser Minimale versie
    Microsoft Internet Explorer 7
    Google Google Chrome 7
    Mozilla Firefox 3.6.2
    Minimale eisen middleware
    Middelware Minimale versie
    SafeSign Windows: 3.0.35 / Mac OS: 3.0.1737

    De minimale versies van de diverse applicaties (softwareprogramma’s die u gebruikt, bijvoorbeeld om met uw GBZ-verbinding te maken met de landelijke infrastructuur) zijn niet in één lijst samen te vatten. Neem contact op met het UZI-register als u er niet zeker van bent dat u met actuele software werkt.

    Zie ook:Is er voor SHA-2 een software update noodzakelijk?

    Naar boven
  15. Wat verandert er bij aanvragen van servercertificaten?

    Bij de aanvraag van servercertificaten is een belangrijke wijziging opgetreden. De RSA sleutellengte in het PKCS#10 bestand moet voortaan 2048 bits RSA zijn. Vanaf 1 januari kunnen géén servercertificaten meer worden geproduceerd met de oude SHA-1 sleutel (1024 bits). Voor lopende aanvragen die niet meer vóór 1 januari geproduceerd kunnen worden, kan alsnog een langere RSA sleutel worden aangeleverd. Vaak verzorgt uw ICT leverancier het aanmaken van het sleutelpaar en PKCS#10 bestand.

    Naar boven
  16. Wat verandert er bij het aanvragen van UZI-passen?

    Bij de aanvraag van passen verandert niets.

    Naar boven
  17. Welke foutmelding krijg ik als applicatie software nog niet is geupdate?

    Het inloggen mislukt of u krijgt een melding over niet vertrouwde of niet te controleren certificaten.

    Naar boven
  18. Welke foutmelding krijg ik als de SafeSign software nog niet is geupdate?

    De actuele SafeSign software is voor Windows SafeSign versie 3.0.35 of 3.0.40 en voor Mac OS versie 3. Als SafeSign niet is geupdate, krijgt men in het Token Beheer Programma de melding van een ‘Blanco token’ met als status ‘niet geïnitialiseerd’. Zonder update van SafeSign is een SHA 2-pas niet bruikbaar.

    Daarnaast verschijnt de volgende popup over een ‘Onbekende ATR’:

    Naar boven
UZI-register