Privacy Sensitive Data Exchange

Privacy Sensitive Data Exchange

Met KeyTalk beveilig je de data exchange tussen gebruikers, portalen of systemen en hiermee communicerende apps, op basis van Two-Way SSL.

Voor uitwisseling van (zeer) gevoelige data is de klassieke HTTPS-verbinding niet voldoende veilig. Met KeyTalk CKMS is het mogelijk om extra beveiliging aan te brengen: met behulp van gebruikerscertificaten ontstaat Two-Way SSL. Eventueel met Twee Factor Authenticatie (2FA), gebaseerd op een device of token. Dat maakt bijvoorbeeld man-in-the-middle attacks niet meer mogelijk.

Hoe werkt het in de praktijk?

Aan gebruikerszijde: gebruikers downloaden de KeyTalk app en loggen hierop in met hun gebruikelijke credentials. De app haalt vervolgens een certificaat en key pair op, en installeert dit automatisch op het device. De gebruiker heeft op basis hiervan toegang tot het portal of backend system. Zo lang het certificaat geldig is, is opnieuw inloggen niet nodig.

  • KeyTalk wordt gekoppeld aan het AD, authenticatie met Kerberos is ook mogelijk. Eventueel kan hardwareherkenning ingesteld worden als tweede factor (2FA), zodat gebruikers enkel met een vertrouwd device kunnen inloggen.
  • De geldigheidsduur van het certificaat is instelbaar per gebruiker of gebruikersgroep. De gebruiker hoeft tijdens de geldigheidsduur (bijvoorbeeld een dag of een week) maar één keer in te loggen, de rest van de geldigheid verloopt authenticatie automatisch via het certificaat.

Gratis interne private certificaten (en sleutels)

KeyTalk kan gekoppeld worden aan externe public CA’s als GMO GLobalSign of Digicert QuoVadis. Voor gesloten gebruikersgroepen bieden we een voordelig alternatief: KeyTalk interne CA genereert gratis (!) interne private certificaten (en sleutels). Dure publieke certificaten zijn daarmee dus niet meer nodig.

Technische details

Applicaties die client certificaat gebaseerde authenticatie ondersteunen (zoals Outlook/Exchange (Online), SharePoint, IIS, Apache, TomCat en vele anderen) kunnen worden geconfigureerd om hierom te vragen. Meestal gebeurt dit op basis van één of meerdere expliciet vertrouwde CA bron(nen) en een (gebruikers)naam in het certificaat.

De applicatie zal op basis van een public-private key handshake de verbinding tot stand brengen en de gegevens van het aageboden client certificaat valideren.

Zodra alles correct wordt bevonden door de server en de applicatie, zal met de meeste applicaties een tweezijdig SSL-geauthenticeerde verbinding of TLS worden opgezet. Daarmee ben je zelfs beschermd tegen Man-in-the-Middle-aanvallen (MITM-attacks) zoals Modlishka.

Meer weten?

Wil je een demo, Proof of Concept of direct technisch de diepte in met een van onze PKI experts? Neem gerust contact op, we denken graag met je mee!