AIVD keurt gebruik open source VPN-software goed
Gepubliceerd: Dinsdag 22 november 2011
Auteur: Brenno de Winter
Voor het maken van veilige verbindingen in een ambtelijke omgeving heeft de AIVD het open source OpenVPN goedgekeurd. Om dat mogelijk te maken moest Fox IT wel wijzigingen aanbrengen.
De stap is belangrijk, omdat er bij het Rijk veel meer mobiele verbindingen komen naar de kantooromgeving, onder de noemer van "Het Nieuwe Werken". Van buiten moet er dan natuurlijk wel toegang zijn tot vertrouwelijke documenten, die het label "Departementaal Vertrouwelijk" hebben. Die stukken zijn geen staatsgeheim, maar ze zijn wel gevoelig en dus moet de verbinding goed zijn beveiligd.
OpenVPN
Voor de versleutelde verbinding is gekozen voor het open-sourcepakket OpenVPN. Alleen was dat pakket volgens de ministeries niet direct geschikt voor het gebruik met de vertrouwelijke documenten. Op verzoek van diverse ministeries heeft Fox-IT daarom een aantal wijzigingen in de programmatuur doorgevoerd.
Zo maakt de software standaard gebruik van OpenSSL. Dat is verwijderd en in plaats daarvan wordt de versleuteling voor het Rijk geregeld met PolarSSL. Dat is compacter en er kunnen modules uit worden verwijderd. Fox-IT heeft hiervoor een analyse gemaakt van de cryptografie van PolarSSL en het heeft een aantal fouten verbeterd. Ook de OpenVPN-software werd kritisch tegen het licht gehouden en op punten verbeterd.
Verder heeft Fox-IT de functionaliteit van OpenVPN zo beperkt dat alleen de gangbare AES-versleuteling wordt gebruikt. Andere cryptografie staat de software niet toe. Het eindresultaat wordt verspreid via een website van Fox-IT. Geen enkele ander distributiekanaal wordt als geldig erkend. Volgens het beveiligingsbedrijf wordt daarmee voorkomen dat er trojaanse paarden in de software terecht komen.
Open-sourcegedachte
Nadat de programmatuur is aangepast heeft het Nationaal Bureau Verbindingsbeveiliging van de AIVD een controle uitgevoerd en de software vrijgegeven. Dat betekent dat ambtenaren het mogen gebruiken om van een afstand vertrouwelijke documenten met het stempel Departementaal Vertrouwelijk in te zien, mits het volgens de regels wordt gebruikt.
En omdat het open-sourcesoftware is kan iedereen de software gewoon pakken en gebruiken. De verbeteringen in de software zijn teruggegeven aan de gemeenschap. "Alle wijzigingen hebben we netjes aangemeld en we hebben met de makers gecommuniceerd", vertelt Joost Bijl van Fox-IT. "Dus ook in nieuwe versies ga je dat terugzien."
NOiV
Het was geen toeval dat de ministeries naar OpenVPN gingen kijken. Het doel was namelijk om een oplossing te kiezen die voldoet aan het programma Nederland Open in Verbinding en dus lag het open-sourcepakket voor de hand.
Het programmabureau NOiV heeft geen rol gespeeld bij het project. "Het programmabureau is niet direct bij dit project betrokken geweest, maar de AIVD is onderdeel van Binnenlandse Zaken en dat ministerie is een van de twee opdrachtgevers voor Nederland Open in Verbinding", stelt Ineke Schop, programmamanager. "Ze zijn dus uitstekend op de hoogte wat er aan tools en handreikingen ontwikkeld is door ons en waar ze deze kunnen vinden. Heel mooi trouwens van de AIVD, ik hoop dat ze doorgaan op de open weg."
