Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 38, views: 1.486 •
Bron: PinkRoccade, submitter: Wouter Tinus

Automatiseerder PinkRoccade is naar eigen zeggen als eerste in Nederland in staat geavanceerde electronische handtekeningen op de markt te brengen volgens de nieuwe Wet Electronische Handtekening. Op 27 november is KPMG Certification toestemming verleend om ICT-dienstverleners te kunnen certificeren voor de uitgifte van certificaten voor electronische handtekeningen, en het eerste bedrijf dat KPMG certificeerde was PinkRoccade. Andere spelers die zich op korte termijn op de markt willen gaan begeven zijn Enschede/SDU, Diginotar en KPN. Met de nieuwe electronische handtekening zou het eindelijk mogelijk moeten worden zich via internet betrouwbaar te identificeren, waardoor vertragende en onnodig dure papierstromen sterk verminderd worden:

Digitale handtekeningDe Wet Electronische Handtekening bepaalt dat een (geavanceerde) elektronische handtekening dezelfde rechtsgevolgen heeft als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authenticatie voldoende betrouwbaar is. Die methode moet daarbij voldoen aan een aantal in de wet genoemde eisen. Zo moet de elektronische handtekening op unieke wijze aan de ondertekenaar verbonden zijn, de methode voor authenticatie moet het mogelijk maken de ondertekenaar te identificeren en de elektronische handtekening moet gebaseerd zijn op een gekwalificeerd certificaat. In de praktijk betekent dit dat een organisatie elk proces waarbij een handgeschreven handtekening vereist is nu digitaal kan afhandelen.

Naar alle waarschijnlijkheid zal de Eerste Kamer binnenkort officieel instemmen met de wet, waarna deze in februari volgend jaar in werking kan treden. KPMG verwacht dat bedrijven als PinkRoccade certificaten en infrastructuur zullen verstrekken aan overheidsinstellingen en bedrijven, waarna klanten en werknemers zich via een smartcard en een kaartlezer kunnen identificeren. Gewone consumenten echter zullen voorlopig nog niet vaak met de nieuwe techniek in aanraking komen: vooralsnog zal op beperkte schaal geëxperimenteerd worden, bijvoorbeeld met de zorgpas of electronisch stemmen.

Reacties (38)

Reactiefilter:-138038+130+210+30
Ze waren samen met KPN al geruime tijd de enigen in Nederland die Verisign certificaten uit mochten delen. Het viel dus wel te verwachten dat ze voor in de rij stonden om ook deze dienst te mogen leveren.

Ik betwijfel of het wel een goede ontwikkeling is dat slechts een paar grote bedrijven dergelijke diensten aan mogen/kunnen bieden. Je werkt dan in de hand dat men de prijzen kunstmatig hoog houden.

Een fysiek paspoort halen bij de gemeente is vele malen goedkoper dan een "electronische handtekening" verkrijgen. Dat vertaal ik naar dat de prijzen voor deze electroninische diensten veel te hoog zijn.

Een voorstel om de handel via internet veiliger te maken is om deze "electronische handtekeningen" gewoon bij het gemeentehuis aan te vragen voor een prijs die lager is dan een fysiek paspoort. Dit neemt een grote (vaak financiele) drempel weg voor het MKB om "veilig" hun zaak uit te kunnen breiden op het internet.
een handtekening is nooit het zelfde.
een digitale wel.(en dat is nou net de fout)

ooit wel eens mee gedaan aan D2OL?

ik heb de beste jongens maar een e-mailtje gestuurd want er was erg makkelijk te cheaten, en zo ook met een DIGITALE handtekening.

(oja, deze mag weg gemod worden hoor voor diegenen die zich geroepen voelen)
Goh, dat ze je op +3 hebben gezet, (interresant, maar helaas voor jou is je stelling fout)

Een digitale handtekening is NIET een ingescande gewone handtekening. Het is een soort van hash die bewijst dat de bron waar het vandaan komt inderdaad die bron is.

kortweg:

Digitale master handtekening + jouw bericht = ondertekening
Digitale "public handtekening" + onderteking + jouwbericht = OK/NietOK

Zolang je jouw digitale "master" handtekening geheim houd is je handteking veilig. Deze is in theorie met brute force the herleiden uit de publieke key (dat is zojuist voor RC5-64 in 2 jaar tijd voor 1 bepaalde key gedaan met 1000'den computer)

Alleen door implentatie bugs is dit te hacken, de theorie is nog steed veilig. (anologie, je kunt zelf geen xbox signed application maken, maar wel met een hardware aanpassing zorgen dat unsigned appicaties draaien)

Wat diginotar/pinkroade ofzo doen is de publieke handtekening verspreiden en zeggen dat chuckylee bent(en ik dus niet). Dat heet "trust", jij vertrouwt pink dat zij kunnen vaststellen dat die sleutel werklijk aan ckuckylee is uitgegeven en niet aan een willekeurige hacker
Dat is het oude RSA encrypt systeem waar je op doelt. Ik mag toch hopen dat er iets geavanceerders achter zit als public key encryptie!! ;)
Die 1000-en pc's zijn wel gewonne gebruikers pc's geweest he? Wie weet hoe snel de cpu's over een jaar zijn. Zit je mooi met je encryptie systeem dat veel te snel te kraken is.
tegenwoordig kan de encrypty sterkte zo sterk worden gekozen, dat het zelfs met alle huidige computers duizenden jaren bezig zouden zijn.
Encryptie sterkte is het probleem niet meer. Het is tegenwoordig eenvoudiger (en goedkoper) om de persoon in kwestie te ontvoeren, vol te pompen met chemicalien, zodat tie zijn / haar private key / pincode gewoon geeft voor de decrypty.
Als de CIA / NSA berichten met zware encryptie willen ontcijferen doen ze dat toch echt op bovenstaande manier. Die gaan echt niet 100 jaar wachten totdat een stel computers die code hebben gekraakt.
Dus zoals gewoonlijk is de eindgebruiker weer de zwakste schakel in de keten.
Dat is het oude RSA encrypt systeem waar je op doelt

(Waar haal je dit uit? )
En dat is zelfs nog veilig te noemen op dit moment. Als je heeel heeel veel PC's nodig hebt die jaren en jaren rekenen op 1 bericht, dan noem ik dat NU nog veilig echt!. Het zou pas "gekraakt" zijn als iemand een manier vind om met aanziellijk minder brute force deze te kraken.

Het enige wat op dit moment echt nieuwe is aan deze systemen zijn iets grotere key, het principe van digitale handtekeingen veranderd niet echt.

De zwakheid zit hem eerder in een ander onderdeel: hoe bewijst een digitale handtekeing dat het jij was die achter het toetsen bord zit (En niet een hacker die met een remote control de "PC" heeft overgenomen) .
Een digitale handtekening is ook erg omslachtig om te verkrijgen. Ergens moet iemand (een notaris) fysiek controleren dat jij echt de persoon bent voor wie deze electronische handtekening is bedoeld.

Vervolgens krijg je je handtekening mee op floppy....

Beter is om direct over te gaan op biometrische identificatie, maar die techniek is nog niet voor het grote publiek geschikt ivm prijs etc. Pas dan ben ik van mening dat je je geschreven handtekening kan vervangen door een elektronische variant, omdat JIJ weer onderdeel bent van het proces en niet 1024bytes.

Heeft Pink/Roccade trouwens al een applicatie die PKI is?
Als je het artikel goed leest, zie je dat je je digitale handtekening meekrijgt op een smartcard en niet op floppy. Das al een stuk veiliger.

Bovendien kan een applicatie niet "PKI zijn" want een applicatie is geen infrastructuur. (Public Key Infrastructure)

Maar geloof me, jouw emailclient ondersteund S/MIME, dus certificaten. En die zijn weer onderdeel van een PKI.

Dus mijn mailtje ondertekend door mijn certificaat is straks rechtsgeldig en met dat mailtje kun je dus in een rechtzaak stand houden. Iets wat nu dus niet lukt.
Dat is juist het enge. Een digitale handtekening zegt niet veel meer dan dat een blok data niet veranderd is sinds [persoon waarvan de handtekening is] hem ondertekend heeft. Het heeft verder helemaal niks te maken met de reden dat je een "echte" handtekening ergens onder zet.

Stel dat iemand het wachtwoord voor je key steelt, dan kan hij in jouw naam(!) dingen gaan lopen zeggen. Bewijs dan maar eens dat je het niet was...
Kijk, en daarom zetten ze dat blokje data op een smartcard. Die smartcard versleuteld zodat je private sleutel-deel nooit van die kaart komt.
Zo eng is het niet: Ik moet eerst jouw (pin)pasje jatten, dan jouw pincode (dus password) "ontdekken" en dan kan ik er pas wat mee.
Kijk maar wat er bij de (post)bank gebeurd: Daar indentificeer je je met pinpas+pincode. Maar (vooral) voor particulieren gaat het daar om financieel grote risico's: nieuwe rekening, pinpas, lening, girobetaalkaarten (bestaan dan wel niet meer, maar is wel een voorbeeld) En daar zijn geen regels en eisen door de overheid voor opgesteld! En toch gebruikt iedereen het :?

Als jou angst terecht zou zijn, gaat heel nederland ophouden met het gebruik van pinpas met pincode? Ik begrijp dus dat jij daar ook principieel tegen bent? (no offense!)

<edit, typo>
De digitale handtekening zal op een smartcard geplaatst worden. In een smartcard kun je afdwingen dat voor bepaalde handelingen een pin-code nodig is.
Het zetten van een digitale handtekening moet inderdaad bewust gebeuren. Op het moment dat jij iets wilt ondertekenen zul je dan ook je pin-code moeten invoeren, dit is een extra handeling en zodoende kan iemand er vanuit gaan dat de handtekening bewust gezet is.

Overigens verbaast het me niks dat PinkRoccade nu gecertificeerd is. Ze zijn namelijk nauw betrokken bij het project PKIOverheid. PKIOverheid heeft als doel het opzetten van een PKI infrastuctuur voor communicatie tussen burgers en overheid, bedrijven en overheid en overheid en overheid.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Wanneer je het vermoeden heb, dat iemand iets uit jouw naam doet, kan
je je digitale certificaat intrekken. Het certificaat wordt op de
blacklist (Certificate Revocation List) gezet en de ontvangende
partijen zien dan dat een illegaal certificaat gebruikt is om zaken
te ondertekenen.

Voor degene die zich in 'signing' en 'encrypty' willen verdiepen,
kunnen voorzichtig aan de slag met bijv. PGP. Het verschil met tussen
PGP en Certificaten is dat bij PGP er geen 'Trusted Third Party' is.

-----BEGIN PGP SIGNATURE-----
Version: PGP 7.1

iQA/AwUBPecl0NPt7bJrzkAGEQLwkwCfWvBaPExFV3F2/hG0LqSmh8myhggAniul
QYwgi7JlJ0sFa+bNhbWh5TBK
=p/O7
-----END PGP SIGNATURE-----
Ik wil mijn private key niet eens aan PinkRoccade geven! Ze mogen een publiek deel hebben, zo lang het maar niet verplicht wordt om mijn private key aan die 'trusted third party' te geven (key escrow). In dat geval kan nl. heel makkelijk iemand anders zich als mij voordoen (dat is natuurlijk beveiligd, maar zo lang ik niet alle controle heb over wie zich als mij zou kunnen identificeren is het niet goed genoeg).

Een handtekening onder een contract van miljoenen zetten is toch net iets anders dan ¤5000 van iemand's credit card roven (die daar ook nog eens tegen verzekerd is)
een stukje uit de license agreement bij thawte:

:: Key Escrow and Government Access to Keys ::
Encryption and digital signatures are the only tools individuals have in the fight to protect their online privacy. The security of this system is based on the belief that the individual, and only the individual, has a copy of the private key used for decryption and signature. However, in an attempt to snoop on the communications of their citizens and those of other countries, some governments have suggested that these private keys should essentially be copied and held by law enforcement officials as well. This is tantamount to handing over your house keys and the ability to sign your name on a document.

We view with dismay recent attempts by the USA to mandate key escrow and recovery. Such rules are both impractical and Orwellian. We strongly encourage you to take what action you can to make your opinion on this topic clear and public. Suffice it to say that we do not participate in any such programs, and so long as it is at all possible for us to do business in the international arena without compromising the privacy of our users that will remain the case.
Ja, dat biometrische lijkt wel leuk, maar dan moet je wel het nodige geld neertellen. Je kunt niet verwachten dat een muis met duimscanner voor pak um beet ¤300 dezelfde resultaten kan leveren als professionele (lees: door VS defensie gebruikte) apparatuur.

Iemand die test van een paar maanden geleden in de C't gezien? Nagenoeg elke vingerafdruk- of gezichtsscanner was voor de gek te houden met eenvoudige huis-, tuin- en keukenmiddelen (geprinte foto, plakband, e.d.)

Nee, op dit moment is betaalbare biometrische identificatie IMO alleen handig, maar niet veilig.
Ik heb liever dat ze me pinpas pikken dan me vinger/oog ;)
Beter is om direct over te gaan op biometrische identificatie, maar die techniek is nog niet voor het grote publiek geschikt ivm prijs etc.
De prijs is niet het grootste probleem bij biometrische identificatie. Het probleem is dat er nog steeds geen systeem is dat betrouwbaar genoeg is, lees anders de c't van een maand of 2 geleden. Daar werden een stuk of wat biometrische oplossingen onderzocht en ze bleken allemaal (min of meer) eenvoudig te foppen. Dat waren welliswaar allemaal relatief betaalbare oplossingen maar hetzelfde probleem geldt ook voor de wat professionelere producten.

Zolang de foutmarge van biometrische systemen nog veel te hoog is zullen we het toch moeten doen met deze digitale handtekeningen.

Edit: sorry, ik werd tijdens het typen even gestoord door een telefoontje, Raymond was me daarom net een minuutje voor ;)
<damn verkeerder thread.. sorrie! dezxe mag je negeren..>
>>Ergens moet iemand (een notaris) fysiek >>controleren dat jij echt de persoon bent voor wie >>deze electronische handtekening is bedoeld.

Denk je dat dat anders is als er gebruik wordt gemaakt van biometrische data? dat mag je dan eens uitleggen. Uiteindelijk is bijv. een irisscan ook maar een een x-tal bits (bijv 512 bits). Ooit moet er worden vastgesteld wie behoort bij die scan code. En dan nog, wat wil je daar dan mee doen? het voordeel van een digitale handtekening is dat je kan vast stellen of ie door de juiste persoon is getekend zolang deze natuurlijk wel goed op zn private key heeft gepast.
Ik vind het niet goed dat een commerciele partij EN de techniek ontwikkelt EN de handtekeningen uitdeelt. Dat betekent dat Pink Roccade een backdoor zou kunnen bouwen om bij alle gegevens te kunnen. Misschien doen ze dat wel niet, maar je moet die mogelijkheid gewoon niet hebben. En wie gaat de handtekeningen beheren? Stel dat jij je sleutel kwijt bent? Dan moet iemand je een nieuwe kunnen geven. Maar OK, voor dat probleem is nog een oplossing te vinden.

Een onafhankelijke organisatie zou de handtekeningen moeten beheren en dan het liefs onder toezicht van een groep notarissen. En trouwens al helemaal niet de overheid, ik heb gehoord dat de overheid het beheer mischien naar zich toe wil trekken. Dat kan al helemaal niet (scheiding overheid, justitie, volk).

Verder, een digitale handtekening raak je kwijt. Als er iets fout kan gaan, dan gaat het ooit fout. Het lijkt met niet handig om mijn oma een digitale handtekening te laten meezeulen op een pas en een pincode te laten onthouden. En mijn portemonee wordt ook nog wel eens gerold, dan moet ik weer een nieuwe aanvragen. Doe mij maar Biometrie idd.
1) Als ze een achterdeur inbouwen, is dat het einde van PinkRoccade. Aangezien er strenge audits zijn voor dat soort partijen, is de kans zeer klein, dat zoiets gebeurt.
2) handtekeningen beheren :? :? . De enige die de handtekening beheert, is de eigenaar van dat certificaat (de eindgebruiker).
3) heb je ooit wel eens iets met biometrie ondertekend??? Je kan die biometrie wel toepassen in combinatie met smartcard etc. Je vingerafdruk / iris is je pincode.

Het enige wat pink nu kan, is certificaten uitgeven, die voldoen aan de eisen die gesteld worden door PKIOverheid en door de Europese wetgeving (welke velden moeten in het certificaat aanwezig zijn. Waarmee kunnen en mogen die velden gevuld worden).
Stel dat Pink als TTP gaat fungeren, dan wil dat alleen maar zeggen, dat de CA van Pink word toegevoegd aan de lijst met trusted CA's in de browsers etc. (zoals PPT post daar bijvoorbeeld ook al tussen staat).
Tegen het verliezen van je sleutelpaar bestaat iets als Key-Escrow (optioneel in een PKI environment). Dit is een mechanisme, waarbij de prive sleutel wordt opgeslagen. Om in een later stadium weer bij die sleutel te kunnen komen, moet je dan wel behoorlijk wat credentials overleggen.
Begrijp wel dat velen bang zijn voor fraude met electronische handtekeningen, maar ik vraag me dan af: "is de huidige manier van ondertekenen dan zo veilig?"


Het is toch redelijk simpel om iemands handtekening te vervalsen (ok, de een wat makkelijker dan de ander :) )
Heb dat ook altijd een beetje wazige manier van indentificatie gevonden.
Heel mooi die technieken, ik ken ze, en ik vertrouw ze. Maar ik heb nog niet gezien dat ze inderdaad gebruikt gaan worden en daar maar ik me juist zorgen om Het gaat mij meer om de organisatorische kanten::

1) Misschien heb ik teveel X-Files gekeken. KPMG Certification heeft PinkRoccade een certificaat gegeven. Maar deze betrouwbare partij heeft ook een rapport over een zekere Bram Peper geschreven dat niet bleek te kloppen en dat heeft zijn carriere kapot gemaakt. KPMG spreek met PinkR af dat ze betrouwbaar zijn, maar wat heb ik als burger daarmee te maken, waarom zou ik deze afspraken vertrouwen? Er moet met mij een afpraak gemaakt worden over betrouwbaarheid.

2) Zo zou het moeten zijn: iedereen beheert zijn eigen handtekening. Maar wat doe je als je deze kwijtraakt? Ik bedoel niet technisch maar organisatorisch. Hoe gaat een verstandelijk gehandicapte met een 'Key-Escrow in een PKI environment' om?

3) Je kunt het 'getal' wat je uit biometrische gegevens haalt ook als pincode gebruiken. De pas moet je wel erbij blijven gebruiken. Het lijkt me een goed alternatief.

Niet iedereen is in staat zijn handtekening (pas) te beheren. Denk aan zwakzinnigen, bejaarden, gehandicapten. Als de persoonlijke zaken door een familielid worden geregeld door de pas en de pincode mee te geven, dan _kan_ dit familielid heel anoniem misbruik maken van deze digitale identiteit.
Er zijn nu al legio mensen, die niet met een pinpas overweg kunnen. Dat soort mensen zal je altijd blijven houden.
Voor de rest is en kan dit een mooi aanvullend alternatief zijn.
Doe mij maar zo'n ding.
Als ik ergens een schurfthekel aan heb, is een MS-Word document uitprinten, ondertekenen (met de aloude ballpoint) en terugfaxen om een transactie rond te krijgen |:( |:( |:( .
Op die manier moet ik dus ook nog eens een papieren archief bijhouden |:( .
Laat die digitale handtekening maar snel komen.
Zeker mee eens, ik doe mijn bankzaken alleen per internet. Dan wordt alles lekker voor me bijgehouden. En ik baal er al van dat mijn afschriften eens per maand binnenkomen en niet eens per jaar. Ik ben ook zeker niet tegen een electronische handtekening, al ben ik wat sceptisch/achterdochtig.

* 786562 dimi
Ik vraag me dan af wat z'n handtekening dan moet gaan kosten ?
Normale certificaten voor bv email zijn toch ook al behoorlijk duur !
Wat voor methodes er ook gebruikt mogen gaan worden voor digitale identifiactie/autenficatie, het gaat om het vertrouwen van bedrijven/instellingen die het moeten accepteren. Daarbij vind ik dat dit vertrouwen niet bij een commerciele instelling gelegd moet worden!
FYI
deze e-handtekeningen zitten bij Pink in een zwaar beveiligde omgeving.. zowel fysiek als infrastructureel.
(telt 6 beveiligingslagen)

misschien dat een nuclear bestending gebouw met ruimtes waarbij alleen een combinatie van 2 verschillende vingerafdrukken ( 1 admin en 1 supervisor) mogelijk is, jullie wat zegt? en vergeet kogelvrij glas en waterbestendige deuren niet.

de beveiliging van de infrastructuur kan ik niet over oordelen.
Als ik het niet dacht! De echte digitale ondertekenaard ken niet zonder de Gamma! Of komen de waterbestendige deuren van de Praxis :+

Mooie overkill, dat wel, want juist de infrastructuur is natuurlijk de zwakke schakel. Een hacker zal het hoogstens amusant vinden dat de ruimte waarin de server staat die hij net gekraakt heeft alleen toegankelijk is met de vingerafdruk van twee geauthoriseerde personen ;)

En nucleaire aanvallen weerstaan vind ik ook altijd zo'n goeie... Alsof we The Morning After weer allemaal en masse met onze digitale handtekeningen CD's met rouwmuziek gaan bestellen bij bol.com B-)
Wat is het verschil met een 'eenvoudig' 509-certificaat? Voor registratie bij bijv. Thawte vragen ze ook al naar je Sofinummer.
Wanneer ik een berichtje naar een overheidsinstantie versleutel met dit certificaat kunnen ze controleren dat het idd van mij afkomstig is. sim-pel
Wat is het verschil met een 'eenvoudig' 509-certificaat? Voor registratie bij bijv. Thawte vragen ze ook al naar je Sofinummer.
Wanneer ik een berichtje naar een overheidsinstantie versleutel met dit certificaat kunnen ze controleren dat het idd van mij afkomstig is. sim-pel
Wanneer je een gratis certificaat bij thawte haalt, dan wordt er NERGENS op gecontroleerd. Je kan daar invullen wat je wilt (vandaar dat het gratis is).
Die certifcaten zijn er alleen maar om een idee te krijgen, wat een certifcaat allemaal kan (of niet kan).
Ik zal zo'n certificaat nooit vertrouwen.
Als je zo'n cert aanvraag, staat zelfs de naam van de gebruiker er niet in (omdat thawte dit ook niet kan controleren). Mocht je je naam wel in het certificaat willen hebben, dan moet je op een manier aantonen, dat je bent wie je zegt te zijn.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Games Apple Politiek en recht Consoles Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013