Basis voor elektronische handtekening gelegd

Na een hoop overleg met marktpartijen en de overheid heeft Electronic Commerce Platform Nederland (ECP.NL) de basis gelegd voor invoering van een digitale handtekening. Het gaat hierbij om de infrastructuur voor TTP's; Trusted Third Parties. Deze bedrijven zullen sleutels gaan genereren die personen online uniek maken, en moeten dus zeer betrouwbaar zijn. De instanties zullen gecontroleerd moeten worden, wat gaat gebeuren aan de hand van een aantal net afgesproken richtlijnen.

TTP's die voldoen aan de eisen, zullen de titel 'gecertificeerde TTP' krijgen. Hierdoor zal duidelijk gemaakt kunnen worden, welke elektronische handtekeningen gegarandeerd overeenkomen met de persoon die ze gebruikt heeft en welke niet. Nu deze zekerheid er bijna is, staat er weinig meer in de weg om de digitale handtekening als wettige identificatie te gaan gebruiken. Vanzelfsprekend zal dit echter toch nog wel een tijdje duren:

De basis voor een infrastructuur voor Trusted Third Parties (TTP's of CSP's of CA's) in Nederland is gereed! Het 'gereedschap' voor een certificaat voor TTP's, ontwikkelt door marktpartijen en overheid in het project TTP.NL is klaar. De gecertificeerde TTP is een betrouwbare instelling die de benodigde sleutels levert waarmee een bericht elektronisch ondertekend kan worden en die garandeert dat de elektronische handtekening gekoppeld is aan een bepaald persoon.

Er bestaat een wereldwijde belangstelling voor beveiligingsaspecten rond elektronische handtekeningen. De technische infrastructuur die e-business en e-commerce ondersteunt staat bloot aan veel risico's. Het internet is immers een open computernetwerk en daardoor gevoelig voor fraude en misbruik. Van groot belang voor de groei van e-commerce, is het nemen van maatregelen om e-commerce niet alleen gemakkelijker maar met name vertrouwd te maken. Hierbij kunnen juridische en technische maatregelen een belangrijke rol spelen.

Lees het hele persbericht bij ECP.

IT-banen

Reacties (46)

eX0duS 11 juli 2001 15:57

Dit is zeker te weten ook weer te faken, alles wat maar digitaal is kan veranderd/nagemaakt worden, geef mij het oude handwerk maar, dat is niet te vervalsen, nou ja eigenlijk wel. Volgens mij kunnen ze dit soort dingen nooit helemaal veilig maken.

Verwijderd @eX0duS • 11 juli 2001 16:01

Mja dat is inderdaad zo weer vervalst. Maar leuk dat ze 't proberen, wat kun je anders doen? Je kunt het moeilijk opgeven, dan geef je eigenlijk toe aan de (hackers? vervalsers?) groep mensen die het proberen te verpesten...

[]InTeR[] @Verwijderd • 12 juli 2001 03:14

Hackers verpesten het niet!
Dat hackers dingen verpesten is echt een misverstand.

Wat zou er gebeuren, als mensen dit gingen gebruiken, wettelijk werdt gemaakt.

En dan eens een grote rechtzaak zou komen omdat mensen er vanuit gaan dat het 100% veilig is. Dan in eens een 'hacker' dit op dat moment pas zou gaan 'misbruiken' en hier kwaad mee zou doen?
Dan is het al te laat.

Dus hoe eerder 'hackers' het 'verpesten' des te beter.
Hoe meer hackers, hoe veiliger het internet wordt.

(dat klopt niet echt?)

buum @eX0duS • 11 juli 2001 16:46

Uiteraard, alles is na te maken. De vraag is echter: wat is makkelijker na te maken?

Denk je 'ns even in: je tankt, betaalt met een creditcard en je zet je handtekening ff op het bonnetje. Welke pompbediende zal gelijk zien dat het ECHT jouw handtekening is? Dat is erg lastig, verschilt per persoon en blijft een geval van persoonlijke perceptie.

Nu anders: je dient bij een TTP, een zeer betrouwbare partij, door middel van allerlei ingewikkelde encrypties, een digitale handtekening aan te vragen en deze TTP zorgt er vervolgens voor dat dit systeem waterdicht (voor de meesten dan) is. En, ook belangrijk: deze partij is objectief!

mvt @eX0duS • 11 juli 2001 21:19

Ik weet niet of jij de achtergrond van de digitale handtekening kent, maar ff snel :
Je krijgt een private en public key.
Iedereen die het wilt krijgt jouw public key
Je kan een bericht versleutelen met iemands public key en dan kan alleen die persoon met zijn private key het bericht decoderen
Je kan ook het bericht met jouw private key versleutelen en iedereen kan het met jouw public key decoderen. Maar iedereen kan zien dat het van jou afkomstig is, omdat alleen JIJ het met je

edit:
private (stond eerst public)

key versleuteld kan hebben. (de theorie, private key moet wel PRIVATE zijn en zo verstuurd zijn (zoals pincode bijvoorbeeld).

Verder kraken heeft alleen zin als het bericht nog een waarde in de tijd heeft, kan jou het wat schelen in welke taal ze VUUR zeggen(encrypty) en al helemaal niet wie zegt (handtekening) als je voor een vuurpeleton staat.

edit:
foutje van mij, zie iGadget

iGadget @mvt • 12 juli 2001 03:02

[correctiemodus]

Maar iedereen kan zien dat het van jou afkomstig is, omdat alleen JIJ het met je public key versleuteld kan hebben

Moet dat niet zijn
Maar iedereen kan zien dat het van jou afkomstig is, omdat alleen JIJ het met je private key versleuteld kan hebben
?

Just a tiny little difference... maar wel essentieel voor je boodschap lijkt me

[/correctiemodus]

NiGeLaToR

@eX0duS • 11 juli 2001 16:26

Dat probleem is opgelost als overal ter wereld dit soort criminele toestanden net zo bestraft wordt als fysieke diefstal e.d. Veel hackers laten het dan wel uit hun hoofd. Ook denk ik dat het wel mogelijk is, als er maar genoeg mensen mee doen. Er wordt namelijk ook gefraudeerd met pinpasjes, acceptgiro's je belasting aanslag en ga zo maar door. Als je echt denkt dat het bij digitale transacties erger is denk ik dat je er naast zit. Ze moeten alleen nog wat voorbeelden stellen en wellicht wat wetten wijzigen.

* 786562 NiGeLaToR

justice strike 11 juli 2001 16:03

wat niet te vervalsen is is een vinger afdruk... iris scan kan ook maar mag niet gebruikt worden (van onze regering) omdat je met irisscans ook meteen de emotie van een persoon kan zien dit zou een imbreuk op de privAcy zijn..... dna zou ook kunnen maar ik denk dat vingerafdruk handtekeningen het beste zijn.... moet iedereen wel zo'n klein scannertje kopen

xipetotec @justice strike • 11 juli 2001 16:12

mja, en die vingerafdruk die zal toch in bits omgezet moeten worden. Die bitjes zijn toch op te vangen en vervolgens ter identificatie weer opnieuw te gebruiken.
Gekraakt.
Wat echt belangrijk is, is hoe die bitjes, die jou identificatie betekenen versleuteld worden. Niet wat voor bitjes dat nou zijn (oog, vinger, dna, etc etc etc etc)

metalant @justice strike • 11 juli 2001 16:17

Een vingerafdruk is niet uniek voor één persoon, omdat die maar 20 onderscheidende kenmerken heeft. Een iris heeft 266 kenmerken. Bovendien zijn ziektes en leeftijd niet van invloed op je iris. Je iris blijft je hele leven hetzelfde. Ook emoties zijn niet af te lezen uit je iris.

Verwijderd @justice strike • 11 juli 2001 16:15

Wij hebben op school een vingerafdruklezerding in gebruik om je aan te melden op NT, werkt prima.. Maar je zal die informatie bij on-line gebruik toch altijd moeten versturen en daar ligt dan weer een bedreiging...

DNA zie ik niet echt zitten, anders heb je na een weekje werken geen haar meer op je hoofd en is de binnenkant van beide wangen uitgehold..

edit:

kudhé!! xipetotec is me te snel af...

Hebben we het hier trouwens niet over vingertekeningen?

XwiZ @justice strike • 11 juli 2001 23:31

En bovendien is een vingerafdruk dus wel te vervalsen...
Makkelijk is het niet maar al te moeilijk nou ook weer niet. Je hoeft niet eens iemands vinger te hebben, maar bijvoorbeeld een blikje of glas of papiertje met vingerafdruk(weet je eigelijk wel wat je overal achterlaat?) en je maakt zo een kunstvinger met dezelfde afdruk als het origineel.
De iris lijkt me een heel stuk moeilijker na te bootsen...
Maar het beste is natuurlijk een chip in je nek met variabele versleuteling, waarbij de chip steeds een andere unieke sleutel gebruikt. Dan moet je toch echt iemand opereren om aan zijn gegevens te komen. Als je dit dan ook nog eens combineert met (levende)iris-identificatie dan is het toch wel heel erg veilig...

* 786562 XwiZ

Verwijderd 11 juli 2001 17:01

Zo lang als er al computers zijn, zijn er al hackers, ieder systeem is al een keer gekraakt, en toch blijven de programmeurs steeds nieuwe dingen bedenken om het hackers moeilijk te maken, maar het zal simpelweg niet mogelijk zijn een onkraakbaar systeem te maken, denk maar na, een passwoord van 100000000000000 cijfers is ook te "raden", zeer onwaarschijnlijk, maar het kan wel. zolang er geen sprake is van direct persoonlijk contact, ben je te vervalsen. zelfs het digitaal genereren van een vingerafdruk is tegenwoordig mogelijk, dus wat kan niet?

het zal waarschijnlijk altijd een kat en muis-spel blijven tussen hackers en engineers

Knutselsmurf

@Verwijderd • 11 juli 2001 20:08

Uiteraard is het zo dat geen enkele beveiliging perfect is. Een beveiliging moet wel goed genoeg zijn dat het de moeite niet waard is om het te kraken. Als een code effectief is, kost het kraken ervan meer dan het bezit ervan oplevert.

KeeZ 11 juli 2001 16:03

wat mij hierbij toch echt makkelijk zou lijken is een 64 of 128 bits code, waarvan zeg maar elke 16 bits van die code bij een andere server zouden zijn, zo kunnen hackers etc. niet door op 1 server in te breken alle codes kraken... misschien een idtje ??

LeNNy

@KeeZ • 11 juli 2001 16:10

vaak word er gebruik gemaakt van een triple DES /SHA1 encryptie dat is een 3 * 56bit geencrypt, dus 168 bit sleutel.

Jit @LeNNy • 11 juli 2001 19:34

Nope. want twee van de drie encryptierondes is met dezelfde sleutel dus is het effectief 'maar' een 112 bits encryptie. Als lapmiddel genoeg om te wachten tot AES ingeburgerd geraakt is.

Verwijderd 11 juli 2001 16:15

Om eerlijk te zijn weet ik weinig van die techniek, maar al dat gehack of eigenlijk gecrack lijkt me meer een kwestie van de zwakste schakel zoeken. Er zijn programma's gratis te downloaden die hele woordenboeken of combo-boxen los laten op een website. Iets kraken lijkt me een kwestie van tijd of aantallen. Probeer maar eens een lang random passwoord te kraken, de exponentieële functie is toch wel erg groot en als het aantal mogelijkheden met de snelste computer een tijd > 10^10 jaar geeft is het wel veilig genoeg. Ik dacht trouwens dat er al 100% veilige methoden bestonden (als we dus alleen de sterkste schakel bekijken...)

Treenaks @Verwijderd • 11 juli 2001 17:02

Ik dacht trouwens dat er al 100% veilige methoden bestonden (als we dus alleen de sterkste schakel bekijken...)

One Time Pads ( http://pubweb.nfr.net/~mjr/pubs/otpfaq/ ) zijn de enige 100% veilige encryptietechnologie (mits goed gebruikt -- de mens is de beperkende factor hier -- die zijn een stuk minder secure dan het gemiddelde computer-algoritme)

De mens is altijd de zwakste schakel (een gemiddelde Nederlander geeft z'n PINcode zo mee (als je'm kent). De passphrase van die key dus waarschijnlijk ook - zodat zich iedereen als HEM(of haar) kan voordoen).

(edit: link linkte niet

)

CmdrKeen 11 juli 2001 16:02

Als je iets nooit helemaal veilig kan maken, moet je een systeem gebruiken dat het dichtste bij absolute veiligheid in de buurt komt. Goed dat dergelijke initiatieven genomen worden dus!

Soullie @CmdrKeen • 11 juli 2001 16:07

als er dan dus wel een fout word gemaakt... word gezegd nou het systeem is bijna 100% dus het zal wel geen fout zijn...

ik vind dat een systeem 100% moet zijn als het ingebruik word genomen... dat het na een tijd niet meer 100% effectief blijkt te zijn is naar mijn mening onvermijd baar

Verwijderd @Soullie • 11 juli 2001 16:19

een systeem kan gewoon niet 100% zijn, of je het nu over soft- of hardware hebt
Het is allemaal gemaakt door mensen, en mensen laten nu eenmaal steken vallen af en toe

TheGhostInc @Verwijderd • 12 juli 2001 00:21

Er zijn wel systemen die 100% veilig zijn, of alvast, daar wordt hard aan gewerkt. Technisch is het mogelijk. De vraag is alleen wanneer dit echt nodig is, als een systeem voor 99,9% veilig is, maar de kans dat iemand zijn password kwijtraakt/doorspeeld is 1%, waarom dan nog druk maken om die tiende procent. Als iemand bepaalde informatie wil hebben zijn er vaak vele makkelijkere manieren te verzinnen om die te krijgen, dit soort systemen zijn vooral bedoelt om het minder aantrekkelijk te maken te proberen iets te onderscheppen, de drempel omhoog halen, als iemand het echt wil, zijn er altijd manieren te vinden.

* 786562 TheGhostInc

blaatenator @Verwijderd • 13 juli 2001 10:57

dat zou dus wel een neveneffect van dit initiatief kunnen zijn. Nu is de focus op handtekeningen gezet. En bepaald nieuw is dit niet, kijk maar naar de CA's als Verisign ed, en het is bewezen dat het systeem redelijk veilig is, als de procedures gevolgd worden (wat daar een keer met een certificaat van MS fout is gegaan, maar die sleutel is snel weer teruggetrokken). MS maakt er in al haar mailings al gebruik van (PGP signed), waardoor je zeker weet dat een bericht idd van MS afkomstig is. Als je echt veilig email oid wilt versturen, codeer je het hele bericht gewoon, en zet je er ook nog eens een handtekening van jezelf onder. Hierdoor weet de ontvanger dat het bericht zeker van jou afkomstig is, en dat het op weg naar de ontvanger toe niet is gewijzigd.
Er staat geloof ik nog een heel stuk over hier op tweakers.net, bij Reviews & features, anders zou je eens op http://www.nai.com kunnen kijken.

Verwijderd @Soullie • 11 juli 2001 16:56

xilyfresh 100 is wel 100 procent bewezen effectief.
dus met xilyfresh 100 is het syteem

maar dan nartuurlijk wel voor je tandjes

xipetotec 11 juli 2001 16:05

Ik vraag me af hoeveel mensen inzien wat voor een stroomversnelling zo'n handtekening zal beteken voor de "e-commerce" / "nieuwe economie".
Betalingen zullen geauthoriseerd kunnen worden, DIREKT, over het internet.
De digitale handtekeningen is een van de sleutels tot een suksesvolle nieuwe economie.

Verwijderd 11 juli 2001 16:05

Ben blij dat er nog wat bedrijven overblijven die het medium Internet nog willen bewerken.
Zo goed gaat het niet in de IT. En het is dan ook te verwachtten dat de ontwikkelingen wat langzamer zullen gaan ipv sneller.
Hoe meer zielen hoe meer vreugd! Uiteraard is wildgroei ook niet goed....

LeNNy

11 juli 2001 16:07

IK vraag me af hoe ze dit willen realiseren. Moet je als je gebruiker een certificaat van deze partij betrekken en zo ja is dit certificaat getrust door alle standaard operating systems.

Zo ja moet je ervorr gaan betalen of iets in die geest.

Als bedriijf zijnde hoe word er dan mee omgegaan kune je deze partij gebruiken als parent CA voor je eigen interne certificate servers ???

Ik ben benieuwd hoe dit zich gaat ontwikkelen. Want dit is best interessante techniek.

O ja, is het alleen om een secure website te bezoeken of of ook zelf secure mail en andere zaken te gaan doen. Dat je dus van hun een privat eky krijgt.

En als je een private key krijgt hoe word deze verstuurd????? Je kunt er wel een password opzetten maar ja is dat nu veilig??

blaatenator @LeNNy • 13 juli 2001 11:15

private key maak je zelf aan, en de public key stuur je naar een CA. Daar ligt het probleem niet. Ook niet bij het OS, kijk maar naar PGP. Daar zijn voor praktisch alle OSn versies van. Het probleem ligt nu meer in de trend van: hoe weet je dat diegene die de key instuurd ook daadwerkelijk de persoon is die hij zegt dat ie is. En daar zal dat ECP platform een rol kunnen spelen, misschien in samenwerking met gemeentehuizen, dat je net als je rijbewijs ed paspoort daar een digitale handtekening kunt aanvragen. Maar mensen moeten wel doordrongen zijn van het feit dat ze hun private key idd 'private' houden. Daar ligt, zoals met alle beveiligingsproblemen, de grootste uitdaging: de gebruiker ermee leren werken.

kreator 11 juli 2001 16:08

Niet om het een of ander, maar denk je nou echt dat een vingerafdruk op de pc niet te vervalsen is? Iemand kan toch gewoon de vingerafdruk van een ander kopieren...

En photoshop doet ook wonderen...

Het zal dus wel niet zo zijn dat zoiets ooit 100% gegarandaard veilig wordt, net als betalen met een creditcard op internet....

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: