Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties
Bron: Electronic Commerce Platform

Na een hoop overleg met marktpartijen en de overheid heeft Electronic Commerce Platform Nederland (ECP.NL) de basis gelegd voor invoering van een digitale handtekening. Het gaat hierbij om de infrastructuur voor TTP's; Trusted Third Parties. Deze bedrijven zullen sleutels gaan genereren die personen online uniek maken, en moeten dus zeer betrouwbaar zijn. De instanties zullen gecontroleerd moeten worden, wat gaat gebeuren aan de hand van een aantal net afgesproken richtlijnen.

TTP's die voldoen aan de eisen, zullen de titel 'gecertificeerde TTP' krijgen. Hierdoor zal duidelijk gemaakt kunnen worden, welke elektronische handtekeningen gegarandeerd overeenkomen met de persoon die ze gebruikt heeft en welke niet. Nu deze zekerheid er bijna is, staat er weinig meer in de weg om de digitale handtekening als wettige identificatie te gaan gebruiken. Vanzelfsprekend zal dit echter toch nog wel een tijdje duren:

ECPDe basis voor een infrastructuur voor Trusted Third Parties (TTP's of CSP's of CA's) in Nederland is gereed! Het 'gereedschap' voor een certificaat voor TTP's, ontwikkelt door marktpartijen en overheid in het project TTP.NL is klaar. De gecertificeerde TTP is een betrouwbare instelling die de benodigde sleutels levert waarmee een bericht elektronisch ondertekend kan worden en die garandeert dat de elektronische handtekening gekoppeld is aan een bepaald persoon.

Er bestaat een wereldwijde belangstelling voor beveiligingsaspecten rond elektronische handtekeningen. De technische infrastructuur die e-business en e-commerce ondersteunt staat bloot aan veel risico's. Het internet is immers een open computernetwerk en daardoor gevoelig voor fraude en misbruik. Van groot belang voor de groei van e-commerce, is het nemen van maatregelen om e-commerce niet alleen gemakkelijker maar met name vertrouwd te maken. Hierbij kunnen juridische en technische maatregelen een belangrijke rol spelen.

Lees het hele persbericht bij ECP.

Moderatie-faq Wijzig weergave

Reacties (46)

Dit is zeker te weten ook weer te faken, alles wat maar digitaal is kan veranderd/nagemaakt worden, geef mij het oude handwerk maar, dat is niet te vervalsen, nou ja eigenlijk wel. Volgens mij kunnen ze dit soort dingen nooit helemaal veilig maken.
Mja dat is inderdaad zo weer vervalst. Maar leuk dat ze 't proberen, wat kun je anders doen? Je kunt het moeilijk opgeven, dan geef je eigenlijk toe aan de (hackers? vervalsers?) groep mensen die het proberen te verpesten...
Hackers verpesten het niet!
Dat hackers dingen verpesten is echt een misverstand.

Wat zou er gebeuren, als mensen dit gingen gebruiken, wettelijk werdt gemaakt.

En dan eens een grote rechtzaak zou komen omdat mensen er vanuit gaan dat het 100% veilig is. Dan in eens een 'hacker' dit op dat moment pas zou gaan 'misbruiken' en hier kwaad mee zou doen?
Dan is het al te laat.

Dus hoe eerder 'hackers' het 'verpesten' des te beter.
Hoe meer hackers, hoe veiliger het internet wordt. })
(dat klopt niet echt?)
Uiteraard, alles is na te maken. De vraag is echter: wat is makkelijker na te maken?

Denk je 'ns even in: je tankt, betaalt met een creditcard en je zet je handtekening ff op het bonnetje. Welke pompbediende zal gelijk zien dat het ECHT jouw handtekening is? Dat is erg lastig, verschilt per persoon en blijft een geval van persoonlijke perceptie.

Nu anders: je dient bij een TTP, een zeer betrouwbare partij, door middel van allerlei ingewikkelde encrypties, een digitale handtekening aan te vragen en deze TTP zorgt er vervolgens voor dat dit systeem waterdicht (voor de meesten dan) is. En, ook belangrijk: deze partij is objectief!
Ik weet niet of jij de achtergrond van de digitale handtekening kent, maar ff snel :
Je krijgt een private en public key.
Iedereen die het wilt krijgt jouw public key
Je kan een bericht versleutelen met iemands public key en dan kan alleen die persoon met zijn private key het bericht decoderen
Je kan ook het bericht met jouw private key versleutelen en iedereen kan het met jouw public key decoderen. Maar iedereen kan zien dat het van jou afkomstig is, omdat alleen JIJ het met je
edit:
private (stond eerst public)
key versleuteld kan hebben. (de theorie, private key moet wel PRIVATE zijn en zo verstuurd zijn (zoals pincode bijvoorbeeld).

Verder kraken heeft alleen zin als het bericht nog een waarde in de tijd heeft, kan jou het wat schelen in welke taal ze VUUR zeggen(encrypty) en al helemaal niet wie zegt (handtekening) als je voor een vuurpeleton staat.
edit:
foutje van mij, zie iGadget
[correctiemodus]
Maar iedereen kan zien dat het van jou afkomstig is, omdat alleen JIJ het met je public key versleuteld kan hebben
Moet dat niet zijn
Maar iedereen kan zien dat het van jou afkomstig is, omdat alleen JIJ het met je private key versleuteld kan hebben
?

Just a tiny little difference... maar wel essentieel voor je boodschap lijkt me :)

[/correctiemodus]
Dat probleem is opgelost als overal ter wereld dit soort criminele toestanden net zo bestraft wordt als fysieke diefstal e.d. Veel hackers laten het dan wel uit hun hoofd. Ook denk ik dat het wel mogelijk is, als er maar genoeg mensen mee doen. Er wordt namelijk ook gefraudeerd met pinpasjes, acceptgiro's je belasting aanslag en ga zo maar door. Als je echt denkt dat het bij digitale transacties erger is denk ik dat je er naast zit. Ze moeten alleen nog wat voorbeelden stellen en wellicht wat wetten wijzigen.

* 786562 NiGeLaToR
wat niet te vervalsen is is een vinger afdruk... iris scan kan ook maar mag niet gebruikt worden (van onze regering) omdat je met irisscans ook meteen de emotie van een persoon kan zien dit zou een imbreuk op de privAcy zijn..... dna zou ook kunnen maar ik denk dat vingerafdruk handtekeningen het beste zijn.... moet iedereen wel zo'n klein scannertje kopen ;)
mja, en die vingerafdruk die zal toch in bits omgezet moeten worden. Die bitjes zijn toch op te vangen en vervolgens ter identificatie weer opnieuw te gebruiken.
Gekraakt.
Wat echt belangrijk is, is hoe die bitjes, die jou identificatie betekenen versleuteld worden. Niet wat voor bitjes dat nou zijn (oog, vinger, dna, etc etc etc etc)
Een vingerafdruk is niet uniek voor één persoon, omdat die maar 20 onderscheidende kenmerken heeft. Een iris heeft 266 kenmerken. Bovendien zijn ziektes en leeftijd niet van invloed op je iris. Je iris blijft je hele leven hetzelfde. Ook emoties zijn niet af te lezen uit je iris.
Wij hebben op school een vingerafdruklezerding in gebruik om je aan te melden op NT, werkt prima.. Maar je zal die informatie bij on-line gebruik toch altijd moeten versturen en daar ligt dan weer een bedreiging...

DNA zie ik niet echt zitten, anders heb je na een weekje werken geen haar meer op je hoofd en is de binnenkant van beide wangen uitgehold.. :o

edit:

kudhé!! xipetotec is me te snel af... ;(

Hebben we het hier trouwens niet over vingertekeningen? :P
En bovendien is een vingerafdruk dus wel te vervalsen...
Makkelijk is het niet maar al te moeilijk nou ook weer niet. Je hoeft niet eens iemands vinger te hebben, maar bijvoorbeeld een blikje of glas of papiertje met vingerafdruk(weet je eigelijk wel wat je overal achterlaat?) en je maakt zo een kunstvinger met dezelfde afdruk als het origineel.
De iris lijkt me een heel stuk moeilijker na te bootsen...
Maar het beste is natuurlijk een chip in je nek met variabele versleuteling, waarbij de chip steeds een andere unieke sleutel gebruikt. Dan moet je toch echt iemand opereren om aan zijn gegevens te komen. Als je dit dan ook nog eens combineert met (levende)iris-identificatie dan is het toch wel heel erg veilig...

* 786562 XwiZ
Zo lang als er al computers zijn, zijn er al hackers, ieder systeem is al een keer gekraakt, en toch blijven de programmeurs steeds nieuwe dingen bedenken om het hackers moeilijk te maken, maar het zal simpelweg niet mogelijk zijn een onkraakbaar systeem te maken, denk maar na, een passwoord van 100000000000000 cijfers is ook te "raden", zeer onwaarschijnlijk, maar het kan wel. zolang er geen sprake is van direct persoonlijk contact, ben je te vervalsen. zelfs het digitaal genereren van een vingerafdruk is tegenwoordig mogelijk, dus wat kan niet?

het zal waarschijnlijk altijd een kat en muis-spel blijven tussen hackers en engineers
Uiteraard is het zo dat geen enkele beveiliging perfect is. Een beveiliging moet wel goed genoeg zijn dat het de moeite niet waard is om het te kraken. Als een code effectief is, kost het kraken ervan meer dan het bezit ervan oplevert.
wat mij hierbij toch echt makkelijk zou lijken is een 64 of 128 bits code, waarvan zeg maar elke 16 bits van die code bij een andere server zouden zijn, zo kunnen hackers etc. niet door op 1 server in te breken alle codes kraken... misschien een idtje ??
vaak word er gebruik gemaakt van een triple DES /SHA1 encryptie dat is een 3 * 56bit geencrypt, dus 168 bit sleutel.
Nope. want twee van de drie encryptierondes is met dezelfde sleutel dus is het effectief 'maar' een 112 bits encryptie. Als lapmiddel genoeg om te wachten tot AES ingeburgerd geraakt is.
IK vraag me af hoe ze dit willen realiseren. Moet je als je gebruiker een certificaat van deze partij betrekken en zo ja is dit certificaat getrust door alle standaard operating systems.

Zo ja moet je ervorr gaan betalen of iets in die geest.

Als bedriijf zijnde hoe word er dan mee omgegaan kune je deze partij gebruiken als parent CA voor je eigen interne certificate servers ???

Ik ben benieuwd hoe dit zich gaat ontwikkelen. Want dit is best interessante techniek.

O ja, is het alleen om een secure website te bezoeken of of ook zelf secure mail en andere zaken te gaan doen. Dat je dus van hun een privat eky krijgt.

En als je een private key krijgt hoe word deze verstuurd????? Je kunt er wel een password opzetten maar ja is dat nu veilig??
private key maak je zelf aan, en de public key stuur je naar een CA. Daar ligt het probleem niet. Ook niet bij het OS, kijk maar naar PGP. Daar zijn voor praktisch alle OSn versies van. Het probleem ligt nu meer in de trend van: hoe weet je dat diegene die de key instuurd ook daadwerkelijk de persoon is die hij zegt dat ie is. En daar zal dat ECP platform een rol kunnen spelen, misschien in samenwerking met gemeentehuizen, dat je net als je rijbewijs ed paspoort daar een digitale handtekening kunt aanvragen. Maar mensen moeten wel doordrongen zijn van het feit dat ze hun private key idd 'private' houden. Daar ligt, zoals met alle beveiligingsproblemen, de grootste uitdaging: de gebruiker ermee leren werken.
Om eerlijk te zijn weet ik weinig van die techniek, maar al dat gehack of eigenlijk gecrack lijkt me meer een kwestie van de zwakste schakel zoeken. Er zijn programma's gratis te downloaden die hele woordenboeken of combo-boxen los laten op een website. Iets kraken lijkt me een kwestie van tijd of aantallen. Probeer maar eens een lang random passwoord te kraken, de exponentieële functie is toch wel erg groot en als het aantal mogelijkheden met de snelste computer een tijd > 10^10 jaar geeft is het wel veilig genoeg. Ik dacht trouwens dat er al 100% veilige methoden bestonden (als we dus alleen de sterkste schakel bekijken...)
Ik dacht trouwens dat er al 100% veilige methoden bestonden (als we dus alleen de sterkste schakel bekijken...)

One Time Pads ( http://pubweb.nfr.net/~mjr/pubs/otpfaq/ ) zijn de enige 100% veilige encryptietechnologie (mits goed gebruikt -- de mens is de beperkende factor hier -- die zijn een stuk minder secure dan het gemiddelde computer-algoritme)

De mens is altijd de zwakste schakel (een gemiddelde Nederlander geeft z'n PINcode zo mee (als je'm kent). De passphrase van die key dus waarschijnlijk ook - zodat zich iedereen als HEM(of haar) kan voordoen).

(edit: link linkte niet :) )
Er zijn mensen die elke dag hun (auto)sleutels kwijt zijn...

Hoe zit het als je je private/public key kwijt raakt?
Zal niet vaak gebeuren ('t gaat om de passphrase, en iedereen wordt aangeraden een alleen-voor-hem goed-onthoudbare passphrase te verzinnen)

Dan trek je je oude sleutel in, maak je een nieuwe en laat je die opnieuw signen.

Niet te vaak doen trouwens.. dan wordt iedereen helemaal gek }>
Als je iets nooit helemaal veilig kan maken, moet je een systeem gebruiken dat het dichtste bij absolute veiligheid in de buurt komt. Goed dat dergelijke initiatieven genomen worden dus!
als er dan dus wel een fout word gemaakt... word gezegd nou het systeem is bijna 100% dus het zal wel geen fout zijn...

ik vind dat een systeem 100% moet zijn als het ingebruik word genomen... dat het na een tijd niet meer 100% effectief blijkt te zijn is naar mijn mening onvermijd baar
een systeem kan gewoon niet 100% zijn, of je het nu over soft- of hardware hebt
Het is allemaal gemaakt door mensen, en mensen laten nu eenmaal steken vallen af en toe
Er zijn wel systemen die 100% veilig zijn, of alvast, daar wordt hard aan gewerkt. Technisch is het mogelijk. De vraag is alleen wanneer dit echt nodig is, als een systeem voor 99,9% veilig is, maar de kans dat iemand zijn password kwijtraakt/doorspeeld is 1%, waarom dan nog druk maken om die tiende procent. Als iemand bepaalde informatie wil hebben zijn er vaak vele makkelijkere manieren te verzinnen om die te krijgen, dit soort systemen zijn vooral bedoelt om het minder aantrekkelijk te maken te proberen iets te onderscheppen, de drempel omhoog halen, als iemand het echt wil, zijn er altijd manieren te vinden.

* 786562 TheGhostInc
dat zou dus wel een neveneffect van dit initiatief kunnen zijn. Nu is de focus op handtekeningen gezet. En bepaald nieuw is dit niet, kijk maar naar de CA's als Verisign ed, en het is bewezen dat het systeem redelijk veilig is, als de procedures gevolgd worden (wat daar een keer met een certificaat van MS fout is gegaan, maar die sleutel is snel weer teruggetrokken). MS maakt er in al haar mailings al gebruik van (PGP signed), waardoor je zeker weet dat een bericht idd van MS afkomstig is. Als je echt veilig email oid wilt versturen, codeer je het hele bericht gewoon, en zet je er ook nog eens een handtekening van jezelf onder. Hierdoor weet de ontvanger dat het bericht zeker van jou afkomstig is, en dat het op weg naar de ontvanger toe niet is gewijzigd.
Er staat geloof ik nog een heel stuk over hier op tweakers.net, bij Reviews & features, anders zou je eens op http://www.nai.com kunnen kijken.
xilyfresh 100 is wel 100 procent bewezen effectief.
dus met xilyfresh 100 is het syteem :)

maar dan nartuurlijk wel voor je tandjes :o
Ik vraag me af hoeveel mensen inzien wat voor een stroomversnelling zo'n handtekening zal beteken voor de "e-commerce" / "nieuwe economie".
Betalingen zullen geauthoriseerd kunnen worden, DIREKT, over het internet.
De digitale handtekeningen is een van de sleutels tot een suksesvolle nieuwe economie.
Ben blij dat er nog wat bedrijven overblijven die het medium Internet nog willen bewerken.
Zo goed gaat het niet in de IT. En het is dan ook te verwachtten dat de ontwikkelingen wat langzamer zullen gaan ipv sneller.
Hoe meer zielen hoe meer vreugd! Uiteraard is wildgroei ook niet goed....

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True