Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties
Bron: ECP

Hoewel 74 procent van de deelnemers van het platform voor elektronisch zakendoen ECP.nl aangeeft dat het gebruik van digitale handtekeningen ongetwijfeld enorm zal toenemen, maakt toch slechts 36 procent van de ondervraagden reeds gebruik van de moderne identificatie- en integriteitsmethode. De voornaamste reden die opgegeven wordt is dat de zakenpartners er ook nog geen gebruik van maken. Als deze partners vervolgens hetzelfde denken, dan is er dus een vicieuze cirkel ontstaan die op een of andere manier doorbroken zal moeten worden. Sommigen menen daarnaast dat het nog te onduidelijk is hoe de zaak juridisch in elkaar steekt. Als laatste wordt vermeld dat ongeveer een derde denkt dat het gebruik van een digitale handtekening te omslachtig is, terwijl de helft van degenen die er al gebruik van maken juist aangeven dat het tegenovergestelde het geval is. Over de veiligheid wordt weinig getwijfeld, maar om die te waarborgen is er dan ook een strenge procedure voor:

Digitale handtekeningMet oog op de bewijskracht is het van belang dat de elektronische handtekening voldoet aan het vereiste dat het wetsvoorstel inhoudt. Een elektronische handtekening wordt gelijk gesteld aan de klassieke, geschreven handtekening, wanneer de methode die is gebruikt voldoende betrouwbaar is. De derde partijen die zulke elektronische handtekeningen uitgeven en controleren heten Trusted Third Parties (TTP's).

Deze TTP's dienen op hun beurt ook voldoende betrouwbaar te zijn. In het project TTP.NL, een samenwerkingsverband van overheid, marktpartijen en onafhankelijke deskundigen, zijn criteria uitgewerkt op basis waarvan getoetst kan worden of een TTP aan strenge veiligheidseisen voldoet. Indien dit het geval is krijgt de TTP een keurmerk. ECP.NL faciliteert het project TTP.NL en is de beheerder van dit keurmerk.
Moderatie-faq Wijzig weergave

Reacties (22)

iedereen die meer over deze versleuteling wilt weten hoe de incrypty in elkaar zit.. moet maar eens zoeken op pgp encrypty..
das namelijk de sleutel achter digitale handtekening..

je hebt een private key en en public key..
die public key samen met je private key generen je encrypted key...

in theory werkt het heel eenvoudig.. maar door die combinatie is het zeer moeilijk om de encryptie te kraken.. tenzij je je private key weggeeft..
Is niet helemaal waar, zoals jij het beschrijft geeft je encrpyted key namelijk je private key bloot, en dat mag natuurlijk niet het geval zijn:

Onbekend sleutel = x.
Bekende sleutel = 2.
"Encrypted sleutel" = 6
Rara wat mijn onbekende sleutel was?? B-)

Even luchtig neergezet, maar het komt erop neer dat de sleutels nooit gecombineerd worden...

edit:

Zo! Doet iemand even een rondje -1 overgewaardeerd overal op! :?
PGP is niet de techniek achter de digitale handtekening; het is gewoon een softwarepakket dat bekende (en goede) public key encryption en signing algoritmes gebruikt om een aantal diensten aan te bieden. (PGP is zelfs absoluut geen professionele software die kan gebruikt worden om een grootschalig digitale handtekeningen project op te zetten.)

Een public/private keypair is ook slechts een onderdeel van een infrastructuur voor digitale handtekeningen. Je hebt ook nog een manier nodig om er zeker van te zijn dat de persoon die een encrypted bericht verstuurt ook daadwerkelijk de persoon is die hij beweert te zijn. Ik kan namelijk perfect een keypair aanmaken op naam van Bill Gates bijvoorbeeld.

Er zijn ruwweg twee manieren om die identiteit te garanderen:
- PGP gebruikt de eenvoudige maar niet heel veilige manier die zij 'web of trust' noemen. Jij tekent met jouw sleutel de sleutel van je kameraad als bevestiging dat jij die sleutel vertrouwt als behorende tot je kameraad. Als iemand dan die sleutel krijgt en hij vertrouwt jou dan zal hij ook die sleutel vertrouwen. Zoals gezegd: simpel maar absoluut niet genoeg voor bijvoorbeeld een banktoepassing.
- Een betere maar ingewikkeldere manier is werken met certificaten en certification authorities (CA's). Dit zijn trusted third parties die certificaten uitdelen (lees: een keypair zelf ondertekenen) en waarbij ze dan de identiteit van de aanvrager controleren. Als jij die CA vertrouwt, vertrouw je automatisch alle certificaten die zij uitreiken. Verder moet je ook een manier hebben om expired en revoked certificates te beheren.

De werkbaarheid van digitale handtekeningen en encryptie staat of valt bij de goede werking en beheersbaarheid van deze public key infrastructure (PKI). Dit implementeren op het niveau van een multinational of een land is helemaal niet simpel. Daar zijn ze tot hun scha en schande achter gekomen...

Blijkbaar is het inderdaad zo dat veel mensen geen goed (of zelfs een fout) beeld hebben van de technologie van digitale handtekeningen. Het is weer zo'n buzzword waar ze opgesprongen zijn zonder een deftige voorafgaande studie.
De beste manier om iedereen aan de digitale handtekening te krijgen is als een marktleider zoals Microsoft of Amazon de trend zet. Dan volgen de kleinere spelers en uiteindelijk de particulieren ook wel.
Ik denk eerder dat hiervoor een taak van de overheden is weggelegd. Dan is er geen commerciele drijfveer en zullen de kosten in principe ook lager uitvallen. Zeker als er ook enige concurentie is bij de aanbesteding van zo'n megaproject.
Een aantal reacties die ik heb gelezen geven mij de indruk dat mensen inderdaad niet echt weten wat er verstaan wordt onder een digitale handtekening.

Een digitale handtekening is niet zomaar een of ander bitmap-plaatje of een bitreeks die je zou kunnen vervalsen.

Wanneer jij bijvoorbeeld iets veilig wilt versturen naar bijvoorbeeld een Bank, gebeurt er het volgende (dit gebeurt uiteraard allemaal automatisch) : jij verstuurt een verzoek naar een Trusted Party om de openbare sleutel van de Bank op te vragen. Met behulp van deze sleutel moet je jouw bericht coderen.
Het leuke aan de methode is dat IEDEREEN mag beschikken over de openbare sleutel (om bijv dus te versleutelen) maar alleen de eigenaar van die sleutel (in dit geval de Bank) heeft de geheime sleutel om deze weer te ontcijferen.

Als je nu dus je bericht verstuurt dat versleuteld is met deze openbare sleutel, weet je zeker dat alleen de Bank de juiste sleutel heeft, en alleen de Bank zal jouw bericht kunnen lezen.

Zo zit dus de veiligheid ongeveer in elkaar, helaas kan ik hier niet te diep ingaan op de theorie, maar dat is dus ook een van de problemen bij dit onderwerp: de theorie is behoorlijk ingewikkeld en doordacht, en het zal dus behoorlijk wat tijd kosten voordat consumenten en bedrijven hier op gaan vertrouwen aangezien ze het nooit volledig zullen begrijpen.
Ook zal de Trusted Party echt te "Trusten" moeten zijn, zoals ook vermeld in het artikel.
natuurlijk heb je dan als consument ook een publieke sleutel bij een ttp en zelf een private sleutel, immers de bank wil ook kunnen verifieren dat jij jij bent en berichten encrypted naar jou toe sturen. Maar die zal je voor de eenvoudigheid van het stukje maar even vergeten zijn.

Voor de rest is de materie redelijk te bevatten voor een leek, tenminste de theorie met sleutels. Mensen geloofden ook al jaren dat pinnen / creditcard redelijk veilig en betrouwbaar waren.

Het zou me niet verbazen als ms/passport al technieken er voor klaar heeft liggen immers veel mensen hebben wel een msn/hotmail accountje gratis van ze gehad. Maar naar mijns inziens zou zo iets vanuit de overheid geregeld en ontwikkeld dienen te worden en beheerd, niet door een bedrijf.
Ik denk dat er gewoon nog veel ontbreekt op het vlak van voorlichting. Nederlandse consumenten kopen weinig online bij gebrek aan vertrouwen. Dat dat bij de zakelijke consument vaak minder een rol speelt, komt meestal niet omdat het vertrouwen groter is, maar om het niet het privť vermogen is wat wordt ingezet.

Er zal dus op een bepaalde manier moeten worden duidelijk gemaakt wat de methode is waarmee wordt gewerkt met de digitale handtekening, wat het inhoudt, hoe je eraan komt, en vooral wat men er aan doet om het veilig te maken.

En 100% veilig kan natuurlijk niet, maar er moet een bepaalde gevoelsmatige veiligheid zijn, waardoor het als een betrouwbaar middel wordt gezien. Gevoelsmatige veiligheid ontbreekt sowieso zodra "men" er niets vanaf weet, dus voorlichting en bekend maken met de methode is een eerste stap.

Redelijk slordig trouwens dat als je http://ecp.nl bezoekt, dus zonder "www" ervoor, dat je een service pagina van de provider van ECP krijgt.
eeen paar dagen geleden hadden we al te horen gekregen dat het ssl protocol nog vol zit met fouten..

dit protocol is nodig voor het veilig versturen van onderandere digitale handtekeningen...

het hele gebeuiren hangt een beetje samen..
de consument vind het niet veilig genoeg om
digitale handtekeningen of bestelingen te doen via internet...

met reden.. omdat ze vaak genoeg te horen krijgen dat er weer fouten in de software zitten die deze services mogelijk maakt...

en hierbij bedoel ik dus de normale consument die af en toe gem .. 8 uur per week op inet zitten..
hoezo veiliger ??? als je de juiste software maakt kan je dus een digitale hand tekening VOLLEDIG kopieren
tot de lastste bit aan toe omdat het digital is

denk maar niet omdat het een handtekening is dat de beveiliging better is dan wat we tot nu toe hebben voor wat dan ook

elke beveiliging is tot nu toe gekrakt dus waarom dit niet

een met de hand geschreven handtekening is moeilijk omdat je dan te maken heb met druk verschillen en dikte van lijnen en bepaalde bochten die bij IEDEREEN anders is net als je vingerafdruk

dus als al die punten opgeslagen worden als een digitale handtekening dan is het zeer eenvoudig om een exacte kopie te maken
Voor de leek is het nog niet echt duidelijk hoe en waar ze zo'n digitale handtekening kunnen krijgen. Het is op zich niet moelijk maar toch.. het wordt ze niet echt duidelijk gemaakt hoe en wat. Terwijl het toch best handig is, zo'n extra beveiliging ten dage zoals deze..
Ik denk dat je je bter kutn afvragen of de Consument dit wel wil. De handtekeningen zijn niet echt aanraakbaar, dat vinden mensen eng. Je zet daar namelijk toch dezelfde neer als op die check....

Verder is dit systeem misschien voor 95% veilig, een gewone handtekening(mits hij een beetje geavanceerd is) is voor 99,99% veilig. Dat is nu het probleem, vertrouwen en daarbij komt dan nog de bekendheid.

Verder heb ik ook vaak gehoord dat bedrijven bang zijn voro de kosten die eraan verbonden zouden zijn.
Handtekening voor 99,9% veilig? Heb je er ooit al eens aan gedacht dat er eigenlijk nooit naar de nauwkeurigheid van die handtekening wordt gekeken? Dat kan ook niet, aangezien deze in de loop der tijd altijd een beetje verandert. Daarnaast lukt het nooit twee keer om precies dezelfde handtekening te zetten. Kortom, iedere vervalser die de basis even een beetje oefent, kan de handtekening net zo goed zetten als de bedenker zelf. Hiervoor heeft hij alleen een voorbeeld nodig, wat niet echt moeilijk is aangezien die overal (vaak ook gedrukt of gestempeld) op de correspondentie en folders staat.
hoe en waar
Ik ben bang dat vooral de prijs ook een rol speelt; 1000 euro per jaar betalen bij Verisign of KPN (vaker zelfs veel meer) voor een certificaat om mijn webserver van 128 bits encryptie te voorzien ik echt ontzettend duur.
Een echte handtekening zegt meer 8-)
Daar ben ik het niet mee eens.

Een echte handtekening is veel en veel eenvoudiger te kraken!!!
Even een paar keer oefenen en hij ziet er al (bijna) hetzelfde uit. Degene achter de kassa zal het minieme verschil accepteren.

Maar bij digitale handtekeningen moet ieder bitje van de (bijvoorbeeld 4096 bits) code juist zijn.
Zoals je zegt, het minieme verschil bij een gewone handtekening zal geaccepteerd worden. Maar als je de digitale handtekening kan kraken dan zal die 100% identiek zijn en dus ook altijd geaccepteerd worden. Het zou dus 100% veilig moeten zijn om perfect te wezen, maar als het heel moeilijk te kraken is, dan kan het toch nog goed wezen. Stel dat de houdbaarheid van een handtekening 1 week is en dat de tijd nodig om te kraken 1 jaar is, dan is het dus nog heel erg veilig.
De echte handtekening is toch veiliger, als je een akte bij de notaris tekent dan ziet iedereen de persoon en zijn handtekening. Dan weten ze dat die handtekening van die persoon is.

Op internet kan niet niemand zien wie wie is. Dan moet men op een digitale handtekening rekenen. Als je die handtekening bezit dan ben je ook die persoon voor de computer, dan computer kan niet zien dat de h@xx0r een andere persoon is.

Daarom is de klassieke handtekening veiliger.
Het probleem is echter wel dat 99.99% van alle handtekeningen niet bij de notaris worden gezet, sterker nog, dat er geen andere vorm van legitimatie is. Dus vrijwel elke handmatige handtekening wordt in het dagelijks leven gewoon geaccepteerd zonder enige vorm van verificatie. En juist dat maakt het in de praktijk dus onveiliger.
De digitale handtekening zal denk ik blijven steken op bedrijven en instellingen die gespecialiseerd zijn in valuta. Voor de andere economische sectors is het niet nodig.
Dat denk ik niet, voor allerlei bedrijven is de digitale handtekening veel waard omdat afspraken die je bv. per email maakt anders niet rechtsgeldig zijn.
dan lijkt het me voor een hacker niet moeilijk om een digitale handtekening te achterhalen van een bepaald persoon en via email zo gebruiken ... toch B-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True