Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties
Bron: ZDNet Nederland

Vanaf dit moment zijn digitale handtekeningen in heel Europa rechtsgeldig. Juridisch gezien, staat de gecomputeriseerde variant nu gelijk aan de ouderwetse pennenstrepen die al tijden dienst doen. Op deze manier hoopt de Europese Commissie bedrijven de mogelijkheid te geven om sneller en veiliger zaken te doen, aangezien contracten nu gewoon via het internet getekend kunnen worden.

De beste manier om de handtekening te gebruiken, is volgens analisten aan de hand van de 'public key infrastructure' (PKI) van het bedrijf Baltimore Technologies. Op deze manier wordt niet alleen een handtekening aangemaakt, maar versleutelt men ook meteen het originele bericht. Naderhand kan de ontvanger controleren of degene die het bericht verstuurde ook daadwerkelijk de persoon is waar het van afkomstig zou moeten zijn:

Digitale handtekeningMet PKI-systemen kunnen ontvangers van e-mail de identiteit van de verzender met zekerheid vaststellen. Tegelijkertijd worden de berichten versleuteld, waardoor iemand die het bericht onderschept ze niet kan lezen. Op die manier combineert PKI dus encryptie met digitale certificaten, die gezamenlijk als digitale handtekening worden verstuurd. Volgens experts bestaat er nog geen gelijkwaardig alternatief voor PKI.

Met dank aan ZDNet voor de informatie.

Moderatie-faq Wijzig weergave

Reacties (60)

moeten we voor zulk soort gevoelige dingen geen Open Source programms of systeem gebruiken ipv dit systeem van een Amerikaans bedrijf uit Balrimore ??
Nee.

Als het onder open source zou vallen, zou op het moment dat het toch gehackt wordt of iets dergelijks, niemand aansprakelijk kunnen zijn. Als dan bijvoorbeeld je bankrekening leeggeroofd wordt, ben je de pineut.
Nu met een bedrijf erachter kun je in iedergeval nog zeggen dat HUN techniek gewoon niet klopt en zou je hun aan kunnen klagen.
Waar heb je het over? Er bestaat een open source van PGP, namelijk GPG. Public key encryptie is veilig zolang de quantum computers niet krachtig genoeg zijn (maar met quantum technologie kunnen we dan wel waterdichte beveiliging gaan maken).

Maar als jij een obscuur algoritme beter vertrouwd dan mathematisch bewezen algoritmen ga dan gerust je gang :Y).
Met heel veel rekenkracht kan dat inderdaad. Maar wie zo'n rekenkracht ter zijner beschikking heeft zal er echt niet met gaan inzitten dat het algoritme proprierty is.

Als het vrije software is daarentegen, dan kunnen diegenen die het gebruiken tenminste nagaan (of laten nagaan) of het algoritme wel klopt.
Ik weet best dat het moeilijk is om te kraken, maar er is een mogelijkheid toe, dus kan het voorkomen.
Veiligheid heeft in dit geval niks met open source te maken, maar met de wiskundige onderbouwing.
Ik werk aan een PKI voor een grote financiele instelling en die hebben gekozen voor een Open Source toolkit, vergelijkbaar met het spul van Balitmore (dat bij hun te licht bevonden werd ;)

Overigens heeft Nederland een zeer slimme groep wiskundigen die voortdurened probeert RSA keys te kraken zodat die steeds groter moeten worden om veiligheid te garanderen
En een minder slimme groep computernerds die steeds proberen RC5 keys te kraken zodat ze heel misschien een kans maken op 10.000 dollar, maar de stroom die dit alles kost loopt waarschijnlijk al in de tienduizenden... }:0
Nee.

Als het onder open source zou vallen, zou op het moment dat het toch gehackt wordt of iets dergelijks, niemand aansprakelijk kunnen zijn. Als dan bijvoorbeeld je bankrekening leeggeroofd wordt, ben je de pineut.
Nu met een bedrijf erachter kun je in iedergeval nog zeggen dat HUN techniek gewoon niet klopt en zou je hun aan kunnen klagen.
:?
Jij denkt toch niet dat je het bedrijf aansprakelijk kan stellen als jou code word gekraakt? Misschien als het mogelijk is om elke code van het bedrijf binnen afzienbare tijd (6mnd?) te kraken is dat mogelijk.

Ik had maar niet gerekend op een schadevergoeding, net zo min als bij opensource... Maar als iedereen z'n handtekening bij dit bedrijf weghaalt ontstaat er natuurlijk wel een monopoliepositie. Nu zou je dat ook kunnen zeggen van opensource, maar daar hoef je je dan niet perse scheel aan te betalen...

Dacht ik . . .
Als je de richtlijn even zou lezen zou je ook kunnen zien dat de aansprakelijkheid daarin al beperkt is tot een beperkt aantal situaties.

Ten eerste moet er reden zijn voor de TTP om het certificaat in te trekken en dat dient niet als zodanig geregistreerd te zijn door de TTP. Hier kan de TTP onderuit komen als hij kan aantonen zorgvuldig te hebben gehandeld.
Ten tweede mag een TTP beperkingen aan het gebruik van een certificaat opleggen.
Ten derde mag een TTP een bovengrens van de waarde van de transacties in het certificaat opnemen.

Dit betekent dus dat het qua aansprakelijkheid ongeveer het zelfde werkt als een pinpas. Als je vervolgens even doordenkt aan hoe de Postbank haar pinpas als universeel identificatiemiddel gebruikt, en het feit dat een chipper en een chipknip allebei een chip hebben die in principe gebruikt kan worden om een certificaat te dragen kan je je een beetje indenken welke kant het opgaat. Het is in feite een verdere juridisering van iets dat bij de Postbank al gebeurd.
Verder in dit kader misschien relevant dat Surfnet een proef heeft waarbij studenten worden geidentificeerd aan de hand van hun bankpassen (moet Surfnet wel voor betalen aan de banken, een teken aan de wand?).

Alles is er dus al lang en gebeurd al lang, voor de aansprakelijkheid bestaan al lang modellen, de wet is techniekonafhankelijk, dus open source kan best.
Inderdaad Open Source zou veel beter zijn. Er moet in ieder geval een open definitie komen hoe het allemaal gaat werken. het is echt superdom om 1 bedrijf alles te laten regelen. Wat als het bedrijf failliet gaat?? Moet de overheid dan bijspringen ofzo??
Nee er kan beter een open alternatief ontwikkeld worden, gemanaged door de overheden van Europa. Ik zie het absoluut niet zitten dat ze zulke belangrijke dingen door een bedrijf laten opknappen.
Er zijn allang definities over hoe of wat bij PKI, X509 in al zijn varianten.

Met 'juist geen Open Source' bedoel ik juist dat Open Source problemen gaat opleveren omdat je er dat niet zeker van bent dat je CA wel trusted is. En de overheid moet zich er al helemaal niet mee gaan bemoeien, maar helaas is dat het geval al. De overheid wil namelijk dat er gebruik wordt gemaakt van 'Key-Escrow' oftewel key-recovery. Ik ben m'n private key kwijt en kan deze gewoon weer opvragen.
Probleem: Als ik het kan, dan kan de BVD dat ook!!!!
Ik zie in de verste verte niet wat 'Open Source' te maken heeft met het al dan niet thrusted zijn van Certificate Authorities.

Terwijl ik me beroepsmatig toch al vrij lang met PKI's bezig houdt.
Er moet juist GEEN Open Source worden gebruikt. Dan is een certificaat niet rechtsgeldig meer.

Trouwens, Baltimore is een bedrijf wat software levert voor PKI zoals wel veel meer bedrijven. Of is iedereen Verisign vergeten ofzo?
Niet rechtsgeldig omdat het algoritme open source zou zijn?

Dat de public keys op een betrouwbare server (met overheidscontrole liefst) opgeslagen zijn, en dat het algoritme door experts is gecontrolleerd lijken me de enige eisen te zijn.

Als het open source of vrije software is dan kunnen juist meer experts het algoritme gaan verifiŽren, en zo versterkt ook het vertrouwen van de gebruikers in het systeem.
Baltimore Technologies is een Iers bedrijf trouwens.
Dit werkt met een public en een private key. Er is ooit een virus geweest dat zulke private keys van je computer stal. 04-02-1999 NIEUW MS-WORD VIRUS STEELT PGP SLEUTELS
Maar je loopt toch altijd het risico dat de key wordt gestolen, of niet dan? Het algoritme zelf heeft daar niets mee te maken. PGP blijft toch gewoon 'pretty good'. :9
Knape jongen als je een applicatie kan bedenken die mijn private key uit mijn smartcard haald. het is mij nog niet gelukt.
Het is hoog tijd dat internettransacties goed beveiligd gaan worden, want het fenomeen "internettransacties' komt maar zeer moeilijk van zijn slechte fraudegevoeligheidsimago af. Niet helemaal onterecht natuurlijk, als je ziet op wat voor manieren er misbruik gemaakt wordt van creditcardgegevens. Het vervelende (tot nu toe) voor bedrijven is, dat de leverende partij de dupe is van fraudepogingen: iemand misbruikt jouw creditcardgegevens en koopt er iets (duurs) mee. Jij krijgt een afschrift met daarop die transactie - waar jij niets van weet. Je draait de transactie terug, en het leverende bedrijf is zowel zijn geld als zijn goederen kwijt. Ik vind PKI een goeie stap vooruit in het beveiligen van internettransacties.
Voor alle duidelijkheid, het document ( http://www.europa.eu.int/search/s97.vts ) bevat slechts een richtlijn (zonder directe werking voor de burgers) voor een model EDI-overeenkomst. M.a.w. het draagt de staten op hun wetgeving aan te passen op deze model-overeenkomst en beveelt organisaties (ook bedrijven dus) aan om deze overeenkomst te gaan hanteren. Juridisch lijkt het een beetje op de digitale handtekening onder je belastingaangifte. Je sluit een overeenkomst (met je geschreven handtekening) waarbij je met een organisatie het gebruik van je digitale handtekening afspreekt.
Nee. EDI staat voor Electronic Data Interchange en EDI richtlijnen gaan over het sluiten van overeenkomsten door twee computersystemen.
Bijvoorbeeld als de computer van de grootste kruidenier van Nederland ;) een overeenkomst sluit voor levering van 300 ton sperciebonen met de computer van Martine Bijl :P . Da's EDI.

Ik zie in het artikel op ZDNet het woord EDI niet staan hoor...
Kletskoek. Iedere eerstejaarsstudent rechten kan je uitleggen dat er maar twee soorten rechtssubjecten zijn die overeenkomsten kunnen sluiten: Natuurlijke personen (jij en ik) en rechtspersonen (BV's, stichtingen, coŲperaties). EDI ziet op het sluiten van overeenkomsten tussen personen door tussenkomst van computers. We zijn misschien aardig op weg met AI, maar computers die zelfstandig overeenkomsten sluiten bestaan juridisch in elk geval niet!
BTW, lees niet alleen het berichtje in ZDNet, maar ook de source bij de EU. ZDNet is geen juridisch vakblad, en dit soort complexe besluiten goed samenvatten is een vak apart.
Een EDI overeenkomst wordt gesloten tussen twee rechtspersonen důůr twee computers. Misschien moet ik het idd. iets nuanceren, maar dat neemt niet weg dat imho EDI vrij weinig met digitale handtekeningen te maken heeft in de zin van de handtekening die je op je rijbewijs hebt staan...

EDI ziet overigens nergens op: het is geen wet.

Tenslotte is het antwoord op de vraag of computers zelfstandig overeenkomsten kunnen sluiten een kwestie van interpretatie. Ik denk namelijk van wel. Door toedoen van computers wordt een overeenkomst gesloten, die mag dan wel rechtspersonen binden en niet de computers, maar er komt geen mens aan te pas. Computers sluiten dus wel degelijk zelfstandig overeenkomsten.

Ik maak uit je stukje tekst op dat je rechten studeert. Zie mijn profile. Ik ben niet achterlijk, dus je stelling over de "rechtssubjecten" die overeenkomsten kunnen sluiten is echt niet nieuw voor me. Ik denk dat we over hetzelfde praten, maar wel langs elkaar heen.

Aan welke universiteit studeer je? Ik kan niets opmaken uit je profile...
Ik meen mij te herinneren (mijn vennootschapsrecht is wat roestig, ik ben al heel lang geleden afgestudeerd als fiscalist) dat vennootschappen handelen door hun organen ,ic het bestuur. Dat kan vervolgens natuurlijk allerlei personeelsleden vertegenwoordigingsbevoegdheid geven, zodat uiteindelijk iedere betrokkene in meer of mindere mate de vennootschap kan binden. Ik denk alleen dat het niet mogelijk is om een niet-rechtssubject vertegenwoordigingsbevoegd te maken. In zoverre kunnen computers geen overeenkomsten sluiten. Maar je hebt gelijk, het is een interpretatiekwestie.
BTW, dat je niks in mijn profile aantreft is omdat ik mijn beroep (belastinginspecteur) en studie niet relevant vind voor Tweakers, en ik in principe nooit meer persoonlijke gegevens op straat gooi dan strikt nodig!
Hmmm, ben benieuwd hoe lang het duurt voordat dit gehackt is.
Zeer lang... je kunt een key namelijk zeer groot maken. En hoeveel jaar zijn de Dutch Power Cows al aan het rekenen op zo'n klein peil getal? Gooi er maar een 3k encryptie overheen en je hoeft je echt geen zorgen te maken.
Dat zeg jij nou wel... maar dnetc doet het op brute force... ik denk dat iemand die iets probeert te kraken eerder probeert de structuur en/ logica probeert te achterhalen.

Kijk maar naar de verschillende key generatoren op internet, voor diverse programma's...

Sterker nog, kijk naar een bedrijf als Microsoft, die willen allemaal vette regcodes e.d.
Terwijl ze de boel zo geprogrammeerd hebben, dat het ZO verschrikkelijk simpel is, om die hele regcode te omzeilen is.. als je weet hoe je het moet doen, kan je installeren zonder dat hij om codes vraagt...

Wat ik hiermee wilt zeggen is, dat de code wel goed kan zijn, maar als de programmatuur lek is, of de voorwaarden niet geschapen zijn, waarin het optimaal werkt, is bijna niets te beveiligen... er spelen dus meer dingen als alleen de code...
so what als het gehacked wordt?

Het zal langer duren om de digitale handtekening te vervalsen, dan dat je een echte (met inkt enzo) handtekening probeert te vervalsen.

Dus ik vind deze methode zelfs beter dan een krabbel onder een papiertje zetten.
Eigenaardig eigenlijk. In het Burgerlijk Wetboek is nergens te vinden aan welke eisen een normale handtekening moet voldoen. Gek om dan bij een digitale wel eisen te stellen. Stel dan bij een gewone handtekening ook eisen.

Volgens mij werd het woord "handtekening" in het Nederlandse recht Łberhaupt niet gebezigd...
Helaas is dit nog niet rechtsgeldig in Nederland (het vloeit voort uit richtlijn nr 1999/94/EG van 13 december 1999) die op 19 juli doorgevoerd had moeten zijn in de nationale wetten maar dat in Nederland nog niet is :r). Wat ZDNet nu met dit bericht komt melden is mij dus een volkomen raadsel :?

Maar ik heb het concept wetsvoorstel zoals op 18 mei naar het parlement gestuurd hier liggen en zal even wat geredigeerde en (volgens mij) relevante citaatjes doen.
[...] wordt vermoed voldoende betrouwbaar te zijn, indien een electronische handtekening voldoet aan de volgende eisen:
a. zij is op unieke wijze aan de ondertekenaar verbonden;
b. zij maakt het mogelijk om de ondertekenaar te identificeren;
c. zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; en
d. zij is op zodanige wijze aan het electronische bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord;
e. zij is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel dd Telecommunicatiewet; en
f. zij is gegenereerd door een veilig middel voor het aanmaken van electronische handtekeningen als bedoelt in artikel 1.1, onderdeel gg Telecommunicatiewet.
Voor alle info en toelichtingen etc. even zoeken op parlement.nl naar stukken van het vergaderjaar 2000-2001 met nummer 27743.
Hier en hier kan je meer lezen over hoe PKI werkt.
De Nederlandse overheid is al geruime tijd bezig met de toepassing van de dig. handtek. voor overheidsproducten. Zie voor meer informatie www.pkioverheid.nl. De overheid is hier bezig met de ontwikkeling van de dig. handtek. voor eigen gebruik. Overigens wordt op deze site ook duidelijk dat je er met alleen een dig. handtek. niet bent. Zowel voor het bedrijfsleven als voor de overheid zelf moeten certificaten worden uitgegeven voor het versturen van vertrouwelijke informatie. Hopelijk zullen ook steeds meer bedrijven technieken als SSL hiervoor gaan gebruiken. Alleen dig. handtek is niet genoeg voor een betrouwbare online markt.

Het verbaast mij eigenlijk dat de Europese Commissie dit nu pas gelijk heeft gesteld aan de 'normale' handtekening. Ik vind het jammer dat wetgeving zoveel achterloopt bij de vraag/ontwikkelingen op de markt. Wel een grote stap voorwaarts voor de online markten.
Het domme van digitale handtekeningen is dat er niet gegarandeerd wordt dat JIJ hem zet. Er wordt slechts gegarandeerd dat jij hem ooit in je bezit hebt gehad en er wordt aangenomen dat jij nog steeds de enige bent die dat ding heeft. Helaas wordt beveiliging van computers nog steeds niet goed genoeg uitgevoerd om je digitale sleutels te kunnen beveiligen.

Dit is vergelijkbaar met het bewaren van je pincode in een slecht afgesloten huis in de gevaarlijkste wijken ter wereld. Jawel dames en heren; internet wordt dan een machtsmiddel omdat je er echt dingen mee kan doen. Het is dan niet meer het doosje dat in je kamer staat, maar het plundert je bankrekening waardoor je maaltijd misschien minder normaal wordt dan je dacht. Dit was al zo bij grote instituten en nu komt dit bij jou in de buurt.

Totdat er een fysieke beveiliging bestaat (USB-keys, chipcards oid) is de hedendaagse computer niet veilig genoeg IMNSHO. Dat is echter wel het absolute minimum.
Wat is nou de digitale handteking? Een cijfercode ofzo???
Blah blah blah, je moet ons hebben, wij zijn goed, e-commerce, etc. maar er wordt geen woord besteed aan wat het nu eigenlijk inhoud of welke encryptietechniek ze gebruiken.

Een digitale handtekening maakt gebruik van een public/private-key principe. Hierbij heeft de eigenaar 2 keys (cijfers, zie ze maar als wachtwoorden) die bij elkaar horen. Het bijzondere aan zo'n key-paar is dat een boodschap die met de ene key is versleuteld met de andere key van het paar weer leesbaar kan worden gemaakt.
Eťn van de keys van het paar wordt openbaar gemaakt, dit is de public key (zet hem bijvoorbeeld in je e-mail footer, op je webpage of bij een bedrijf dat ze voor je publiceert). De andere houdt je strikt geheim, vandaar de benaming private key.

De duidelijkste toepassing is encryptie: Als persoon A naar persoon B een vertrouwelijk bericht wil sturen dan versleuteld persoon A het bericht met de public key van persoon B waarna persoon B de enige is die het bericht nog kan ontcijferen (met de private key van persoon B dus). Het berichtis niet terug te rekenen aan de hand van de public key waarmee het gecodeerd is.

Door echter het proces een ietwat vreemde wending te geven kan een digitale handtekening worden gezet:
Als persoon A een bericht wil sturen naar persoon B en dit digitaal wil ondertekenen dan decodeert persoon A het bericht met zijn private key.
Het 'vreemde' is dat een ongecodeerd bericht wordt gedecodeerd, maar het effect hiervan is heel handig: Encoderen met de public key van persoon A levert het originele bericht op. Omdat persoon A de enige is die een bericht kan maken dat na encodering met zijn public key het origineel weer oplevert wordt dit gezien als een digitale handtekening.

Dit werkt o.a. bij RSA zo. RSA wordt in amerika nog gezien als geheim en kunnen amerikaanse bedrijven dit dus niet gebruiken in software die amerika uit gaat, maar in Nederland wordt dit gewoon behandeld op informatica-opleidingen en is er niets geheims aan. uitleg, compleet met eenvoudige rekenvoorbeelden is dan ook makkelijk te vinden in diverse bibliotheken.
Als je er meer over wilt weten dan raadt ik je aan even een boekje hierover op te zoeken, het is geen ingewikkelde theorie, in 1 dag kun je begrijpen hoe het werkt en binnen een week kan iemand met een beetje wiskundig inzicht zelf wat eenvoudige (=met kleine getallen) encrypties maken.

Het systeem haalt zijn kracht uit het gebruik van zeer grote priemgetallen. Machtsverheffen met getallen van 300 cijfers (decimaal) is niet makkelijk en kost ook computers nog veel tijd. Als iemand een manier weet om snel grote priemgetallen te berekenen dan kun je meteen miljonair zijn en heb je vrijwel alle zware encryptiemethoden gekraakt. succes ;)

Op den duur worden computers wel snel genoeg om berichten brute force (= alle mogelijke keys proberen) te kraken, maar dan nemen we wel weer grote getallen en verklaren we de kleine handtekeningen ongeldig. Voor handtekeningen is de toenemende computerkracht dus geen probleem, maar encryptie is wel een misleidend gevoel van onveiligheid. Over een jaar of 100 zal een bericht waar we nu vele jaren met veel computers op moeten rekenen (al bekend met distrubuted.net? }:O ) snel ontcijferd zijn, en komen de geheimen alsnog op straat te liggen, maar de kans dat de FBI alle nu geŽncodeerde data opslaat om die over 100 jaar te decoderen in de hoop nog wat misdrijven op te lossen lijkt me klein :z. De kans dat een bericht dat vandaag (met de huidige veilige geachte lengte keys, 1024 bits als ik me niet vergis) wordt gecodeerd of ondertekend wordt ontcijferd/vervalst in de komende jaren is zeeeer klein.

Ben je echt geÔnteresseerd in b.v. RSA encryptiemethoden, dan zou je me zelfs kunnen mailen. :)
Dit werkt o.a. bij RSA zo. RSA wordt in amerika nog gezien als geheim en kunnen amerikaanse bedrijven dit dus niet gebruiken in software die amerika uit gaat, maar in Nederland wordt dit gewoon behandeld op informatica-opleidingen en is er niets geheims aan. uitleg, compleet met eenvoudige rekenvoorbeelden is dan ook makkelijk te vinden in diverse bibliotheken.
Ik kan het mis hebben, maar aan RSA is niks geheims meer aan. Het patent is in september 2000 vervallen en iedereen mag de code in welk form dan ook publiceren.

Gelukkig zit de kracht in de grootte van de sleutel en niet het algoritme zelf. Dat is trouwens ook het uitgangspunt van vele encryptie-algoritmen, zowel bij algo's zoals Rijndael als bij PKI algo's zoals RSA.
/off-topic
Hmm, mensen ik moet ff kwijt dat dit een toffe flash is die The Source ons gaf. De moeite waard..

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True