Thuis in uw branche

Reactie SRA geen privacylek in KPN-BAPI certificaten

  • Publicatiedatum: 25-01-2013

Op 24 januari werd in accountancynieuws een bericht geplaatst over een mogelijk privacylek in de uitgifte van KPN-BAPI certificaten dat al sinds april 2012 bestaat. SRA heeft deze situatie destijds al geconstateerd en besproken met KPN.

Hieruit bleek al snel dat er geen sprake is van een privacylek. De mogelijkheid om certificaten op te vragen is conform de specificaties zoals deze ooit zijn opgezet met Belastingdienst / Diginotar (zie schermafdruk ) en zijn ‘as is’ overgenomen als integraal onderdeel van de migratie op verzoek van de Belastingdienst. Dit werkt in principe al sinds de start van BAPI.

Met het gedownloade certificaat kan niets worden gedaan behalve door degene die beschikt over de private sleutel (public key). Deze private sleutel is in bezit van de aanvrager. Alleen als met beide  onderdelen vervolgens op dezelfde computer wordt gewerkt, kan de identiteit worden overgenomen. Hiervoor zijn dus naast gedownloade certificaat nog twee acties nodig. Als de aanvrager de private key kwijt is, kan hij deze intrekken. Kortom, er is geen sprake van een privacylek.

Gelet op het belang van een voorspoedige BAPI-migratie van Diginotar naar KPN en het feit dat er geen sprake is van een privacylek heeft SRA hier destijds niet nader over bericht.

 

Met het gedownloade certificaat kunt u niets tenzij u beschikt over de 'private key'. Deze is in bezit van de aanvrager. Als u met beide onderdelen vervolgens op dezelfde computer zou werken, kunt u de identiteit overnemen. Hiervoor zijn dus naast het gedownloade certificaat nog twee acties nodig. Als de aanvrager de 'private key' kwijt is, kan hij deze intrekken. Er is dus geen sprake van een privacylek.

  • Bekijk alle berichten over Diginotar

 

SRA.nl maakt gebruik van cookies. Klik hier voor meer informatie.

Cookies accepteren