Digikoppeling baseren op ebMS3

[edwinwisse]

Standaard

• [ ] WUS
• [X] ebMS
• [ ] API

Waarom migreren?

Digikoppeling maakt gebruik van ebMS2. Deze standaard is verouderd en wordt niet meer verder ontwikkeld. De vervangende standaard ebMS3 is vereenvoudigd en wordt ook in de Europese eDelivery standaard toegepast.

Beveiliging en ebMS3

In de oorspronkelijke ebMS2 standaard wordt gebruik gemaakt van SHA-1 hashing voor ondertekening en versleuteling. SHA-1 is niet meer veilig. In het Digikoppeling profiel voor informatieveiligheid is vastgelegd dat SHA-2 wordt toegepast in plaats van SHA-1. Dit is dus een afwijking van de ebMS2 standaard. Dit levert in de praktijk geen probleem op, SHA-1 wordt nergens meer toegepast. Het geeft wel aan hoe verouderd de ebMS2 standaard is. Het is mogelijk om SHA-2 er in toe te passen maar het is voor niemand belangrijk genoeg om dit nog in de standaard op te nemen. Met een overgang naar ebMS3 volgen we weer een actief onderhouden standaard.

Betere aansluiting bij internationale (EU) standaarden

De Europese eDelivery standaard is gebaseerd op ebMS3/AS4. Voor Europees berichtenverkeer wordt de eDelivery standaard gebruikt. AS4 wordt breder gebruikt dan Digikoppeling. Ook binnen PEPPOL wordt ebMS3/AS4 profiel toegepast. PEPPOL is van belang omdat deze standaard ook in Nederland gebruikt wordt voor inkoopsystemen.

Planning

Stakeholders die willen migreren naar een nieuwe koppelvlakstandaard kunnen dit doen wanneer een eDelivery/ebMS3/AS4 koppelvlakspecificatie deel is van de Digikoppeling standaard. Logius neemt een eDelivery koppelvlakspecificatie op in Digikoppeling in 2024. Deze zal naast de bestaande ebMS2 koppelvlakspecificatie staan. De ebMS2 koppelvlakspecificatie wordt op termijn uitgefaseerd afhankelijk van de resultaten van de impactanalyse.

Impact

Digikoppeling wordt breed gebruikt binnen overheden in Nederland. Omdat een Digikoppeling op basis van ebMS3/AS4 niet backwards compatibel is met bestaande Digikoppeling implementaties betekent dit dat stakeholders moeten investeren in nieuwe applicaties om het nieuwe Digikoppeling te ondersteunen. Om de impact van de transitie in beeld te brengen voeren we een impactanalyse uit.

Mitigatie van impact

Er zijn alternatieven voor een transitie naar ebMS3/AS4. Sinds kort is een REST API koppelvlakdefinitie beschikbaar voor Digikoppeling. Daarmee heeft een stakeholder de keuze om te migreren naar het nieuwe ebMS3/AS4 koppelvlak of naar een koppelvlak op basis van de REST API specificatie.

Open source

eDelivery is een breed gebruikte standaard. Daardoor zijn hiervoor ook open source optie zoals Harmony of Holodeck

Naam

Edwin Wisse

Email

edwin.wisse@logius.nl

[edwinwisse]

In het rapport "ebMS3/AS4 als opvolger van ebMS2 binnen Digikoppeling" van VKA en Berenschot wordt gebruik van SHA-1 in ebMS2 als reden genoemd om over te gaan naar ebMS3. In de Digikoppeling Beveiligingsstandaard wordt expliciet gesteld dat SHA-1 voor Digikoppeling vervangen wordt door veiliger hashing zoals SHA-2. Zie Digikoppeling Beveiligingstandaarden en voorschriften 1.4 (centrumvoorstandaarden.nl) Dit punt uit het rapport is daarmee niet relevant meer. Het is daarmee wel een afwijking van de gepubliceerd ebMS2 standaard.

[fterpstra]

Er is geen enkele implementatie van ebms/2 die er moeite mee heeft om SHA-2 te gebruiken. Het geeft vooral aan hoe relatief klein de ebMS community is dat niemand de moeite heeft genomen een aanpassing op de ebMS 2 standaard hiervoor te maken. SHA-1 is al heel lang niet veilig meer.

[edwinwisse]

De vraag wanneer en tegen welke kosten een overgang naar ebMS3 haalbaar is stellen we in de programmeringstafel GU. Daar is het nog niet op de agenda gezet. De eerstvolgende programmeringstafel is in juni. We zijn nog in gesprek over hoe we vragen in de programmeringstafel kunnen agenderen.

[edwinwisse]

Planning toegevoegd aan het voorstel.