Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Bron: Webwereld, submitter: Freemann

Onder andere Webwereld en Nu.nl melden dat de Eerste Kamer gisteren zijn goedkeuring heeft gegeven aan een wetsvoorstel wat tot een rechtsgeldige status van de digitale handtekening moet leiden. De digitale handtekening kan eigenlijk op twee manieren tot stand komen: door een papieren handtekening in te scannen, of een bepaalde sleutel op een dermate manier te produceren en presenteren dat deze sleutel alleen door de ondertekenende, op een door hem of haar gecontroleerde wijze en een tot hem of haar terug te leiden manier tot stand is gekomen. Dit kan door een iemand bij een document een certificaat en een publieke sleutel mee te laten sturen, waarna via dit certificaat de publieke sleutel teruggekoppeld wordt aan de private sleutel, waarvan de afzender eigenaar is.

Digitale handtekeningDe publieke sleutel wordt gegenereerd door een zogeheten Certification Service Provider (CSP), die door middel van een keurmerk van de overheid op zijn objectiviteit en eerlijkheid is gecontroleerd. In maart 2002 werd de richtlijn tot het rechtsgeldig maken van de digitale handtekening al door de Tweede Kamer goedgekeurd, daarna heeft dit voorstel echter nog meer dan een jaar bij de Eerste Kamer gelegen.

Moderatie-faq Wijzig weergave

Reacties (35)

de mensen in de kamer weten helemaal niet waar ze het over hebben, die hebben zich door een paar bureauklerken laten overhalen, terwijl ze nog helemaal niet kunnen garanderen dat digitale handtekenigng fraude vrij is.

Zo spelen ze mensen die kwade bedoelingen hebben helemaal in de hand, en later als het mis gaat, dan treden ze gewoon weer af en laten ze iemand anders met de rotzooi achter. maar ja, zo zijn politici.
Ach ze zullen ongetwijfeld een rapport onder hun neus gekregen hebben, waarvan verwacht wordt dat ze het lezen alvorens een beslissing te nemen. En je kan ze natuurlijk niet verwijten weinig van technische computerzaken af te weten. Anders waren ze wel in de IT gegaan :z.

Dus IMHO zijn die politici niet zo evil als jij ze vindt. En bovendien denk ik dat met een goede digitale handtekening (dus met sleutels enzo) moeilijker te frauderen is dan met een handtekening van inkt. Nu kan de digitalisering tenminste weer vooruit, aangezien belangrijke stukken die voorheen met de hand ondertekend moesten worden (hardcopy dus) nu gewoon per email kunnen gaan.
dus binnenkort : 100+ landen met allemaal hun eigen certificate authority en eigen regels en eigen formaten... It's a start though...

* 786562 l3
Dit (elektronische handtekening) is net bij ons bedrijf (300.000 werknemers wereldwijd, nee niet microsoft) ingevoerd. De FDA (Food and Drug Administration) heeft het goedgekeurd en dat geeft wel aan dat het een redelijk solide systeem is. Het is een combinatie van een elf-cijferig employee nummer en een password. Tuurlijk, dat is te kraken, maar het geeft in ieder geval een redelijke zekerheid. Het belangrijkste is je werknemers overtuigen dat het cruciaal is om je pw geheim te houden.
Het belangrijkste is je werknemers overtuigen dat het cruciaal is om je pw geheim te houden.
Wat dus NEVER lukt met 300.000 medewerkers. Waarom wordt er niet met chipcards, of nog beter, vingerafdrukken gewerkt? Een digitale handtekening op basis van een password wat je moet onthouden lijkt me buitengewoon onveilig.
Dat met die chipcard is misschien nog wel een idee (ook al is dit wel diefstal gevoelig) maar vooralsnog is de vingerafdruk zeer simpel te foppen. Dit kan in sommige gevallen al met een plakbandje met de vinerafdruk erop van de persoon in kwestie.
Er heeft hierover in de ' CT van enkele maanden terug een mooi artikel gestaan.
Eigelijk een beetje offtopic maar toch als reactie over het feit dat fingerprint readers niet goed zouden zijn:
Dan weet ik niet wat voor een systeem ze getest hebben. Ik heb zelf op een bedrijf gewerkt waar dat ze van die fingerprint lezers maakte in combinatie met een chipcard.
Maar die fingerprint technologie komt van Authentic af. Deze fingerprint lezers kijk eerst of er een leven huid om geplaatst word dmv een stroompje, daarna wordt de levende huid gelezen. En dat is niet de directe huid die je ziet want die is niet echt levend meer. Het maakt dus ook uit als je hele droge handen hebt, want je weerstand is dan anders dan bij gewone vingers.
Daarnaast is het vast ook wel getest met een dode vinger want in china zijn er echt wel mensen die voor een paar 1000 dollar hun vinger afhakken om het te testen.

Ik heb wel ooit ergens gelezen een Japanner 't gelukt was dit nog te omzeilen, namelijk met dat spul waar die gummy beertjes van gemaakt worden. Dat dat is dus niet eventjes simpel met een plakbandje want dat wordt gezien.

Daarnaast is alles te na te maken, zowel handtekening als electronische handtekening als chipcard als fingerprint. Zolang je maar geld hebt lukt alles.
Een gewone ("analoge") handtekening is ook makkelijk te kopieren of over te trekken. De veiligheid daarvan is dus ook maar betrekkelijk.
Prima: handtekening van je Pa inscannen en ondertekenen maar!

Lijkt me wel dat ze akkoord zijn gegaan met optie 2!! Anders wordt oplichting kinderspel!
hehe, jammer dat er nog geen digitale school rapporten bestaan :)

Edit: oops typo |:(
hmm met die gescande handtekening ben ik niet zo blij... te makkelijk te misbruiken, immers hij is perfect te kopieren... Vrees dat dit nog leuke rechtzaken kan opleveren, NOT!

Dan ga ik liever voor een Public Key Infrastructure, die is niet voor niets uit gedacht!
Ik vrees dat dit voer zal zijn voor juridici en academici.

Ik ben zelf voorstander van een digitale handtekening in combinatie met een grondige opleiding van de gebruiker.

Vele mensen zullen met de digitale handtekening een vals gevoel van veiligheid krijgen. Als ik zie hoe makkelijk mensen met hun eigen prive-informatie omgaan (en nog makkelijk met die van anderen) dan vrees ik het ergste.

Het aantal mensen wat 'zomaar' hun credit card nummer of wachtwoord (werk EN prive) meedelen aan frauderende derden is zorgwekkend hoog.

Bij het 'scannen' van een analoge handtekening vrees ik dat ik zo door de mand val. Ik heb in mijn hele leven nog geen twee keer de zelfde handtekening gezet. Dit omdat ik gewoon te slordig ben. Dit heeft me reeds 1 keer problemen opgeleverd in een winkel waar ik met Visa wou betalen ( _/-\o_ voor die winkel).

Als ze RCA gaan implementeren zoals ik dat ken (met een tijdsgebonden sleutelcode) dan wil ik best aannemen dat een digitale handtekening vrijwel niet te kraken is met de huidige processorsnelheden. Wel zit je dan weer met de beveiliging van de lijn. Als je je sleutel over een niet-beveiligde lijn stuurt kan iemand alsnog je sleutel stelen en binnen het zelfde tijdsblok bij een andere (of dezelfde) site je handtekening plaatsen. Dit is een reëel scenario aangezien ik nog steeds sites tegenkomen die on-line betalingen bieden over een http verbinding (<> https).

Conclusie: Men zal nog steeds zelf verantwoordelijk zijn voor het gebruik wat men hiervan maakt. Als je je autoradio in de auto laat zitten in Utrecht stad dan ben je hem gegarandeerd kwijt (alsook een ruitje). Als je je pincode aan een ander geeft of ongegeneerd openbaar je pincode intoetst riskeer je fraude. Dat geldt ook voor deze handtekening. Mensen zijn dus nog steeds eindverantwoordelijk.
Optie 2 is ook leuk. Die was toch ook al gekraakt ?
Dus zodra dit mainstream vinden bepaalde criminele personen er vast nog veel meer toepassingen voor !
Gekraakt? Dan moet je ofwel een sleutel van te weinig bits gebruiken, of zo achterlijk zijn je (privé) sleutel over het internet te sturen. Is dat niet het geval, dan is het kraken in de praktijk veel te complex. Even wat uitleg over public-key versleuteling:

Public-key versleuteling maakt gebruik van 2 sleutels: een public en een private key. Van een gebruiker is slechts de public key algemeen bekend. Alleen de gebruiker zelf kent zijn private key. Op het moment dat iemand met behulp van een public key iets versleuteld kan alleen met de bijbehorende private key het bericht worden ontcijferd. Niet met de public key, waarmee het versleuteld is. Ook als iemand een bericht schrijft en dit versleuteld met zijn private key kan dit alleen met behulp van de bijbehorende public key ontcijferd worden.

RSA is een voorbeeld van een public key system. De ontwikkelaars hiervan zijn Rivest/Shamir/Adelman (1976). Het systeem is gebaseerd op het "geloof" dat er geen snelle manier is om een groot getal te ontbinden in 2 priemgetallen. Er is echter een stelling die zegt dat ieder niet-priemgetal te ontbinden is als het produkt van een uniek paar priemgetallen. Hiervan wordt in RSA gebruik gemaakt.

RSA bestaat uit de volgende 7 stappen:

1. Zoek 2 grote priemgetallen p en q en laat n := p.q. Nu is n een heel groot getal en zijn p en q de unieke priemgetallen waarin n te ontbinden is.
2. Zoek een groot geheel getal getal d dat "relatief priem" is met met het gehele getal (p-1)(q-1) en d>max{p,q}. Relatief priem tussen 2 getallen betekend dat ze geen factor gezamenlijk hebben.
d is nu de private key.
3. Bereken het unieke geheel getal uit de range 1 <= e <= (p-1)(q-1) volgens de formule e.d = 1 (mod (p-1) (q-1))
4. De publieke sleutel is nu het paar (e , n)
5. Laat M de boodschap die je wilt versturen zijn.
6. Representeer deze in een Cryptogram C volgens:
C = M^e (mod n)
7. Ontsleutel met private key d en de formule:
D = C^d (mod n)

Over de snelheid waarmee RSA gekraakt kan worden, worden speculaties gemaakt. In 1977 zei Ron Rivest, een van de uitvinders van RSA, dat het miljarden jaar duurde om een getal van 125 decimalen te factoriseren. In 1994 werd een getal van 129 decimalen gefactoriseerd (ong 512 bits) .

In de onderstaande tabel staan tijden die nodig zijn om een RSA code te kraken. De tijd staat aangegeven in mips-years. Een computer die een miljoen instrukties per seconde uitvoert, doet dus 1 jaar over 1 mips-year. Dit is per definitie een DEC VAX 11/780. Ter vergelijk: een 486 DX2 50 : 2 mips.

512 bits < 200 mip-years
768 bits = 100,000 mip-years
1024 bits = 3*10^7 mip-years
1536 bits = 2*10^11 mip-years
2048 bits = 4*10^14 mip-years

Bron: Universiteit Tilburg
De zwakte zit hem zeker niet in deze technische details, maar in het feit dat veel mensen hun computer slecht beveiligen, waardoor privesleutels waarschijnlijk veel gestolen zullen worden...
256 bits RSA is al gekraakt in 1999. Gemiddeld duurde dat een week. Nu is de overstap naar 512 bits wel erg groot, maar je moet met een aantal dingen rekening houden: zoveel priemgetallen zijn er niet (goed, het zijn er wel veel, maar in vergelijking tot de andere getallen van 512 bits valt dat best mee).

Stap 2 en 3 leggen ook weer wat beperkingen op zodat het vinden van de sleutel weer makkelijker wordt.

Een andere is: sommige denken dat als je een sleutel "brute force" probeert te vinden, dat je dan bij de eerste begint en dat de laatste ook daadwerkelijk de sleutel is. Volgens mij is dat geen correcte aanname...
Een andere is: sommige denken dat als je een sleutel "brute force" probeert te vinden, dat je dan bij de eerste begint en dat de laatste ook daadwerkelijk de sleutel is. Volgens mij is dat geen correcte aanname...
Echt wel! Je houdt toch op met zoeken als je hem gevonden hebt ;)
Die zin van mij was inderdaad wat verkeerd geformuleerd, ik bedoelde met "de laatste" dus echt het allerlaatste (priem)getal wat in bijv. 512 bits past. Je stopt meestal als je de juiste sleutel vind en dat is dan wel de laatste, maar ik bedoel dus de andere laatste :+
Optie 1 is niet veel anders dan de handtekeningen die dagelijks uitgeprint worden op de brieven die je thuis ontvangt (van bijv de bank).

Toch lijkt het mij geen goede optie, omdat de meeste mensen een gevoel van anonimiteit hebben als ze surfen en daardoor er sneller misbruik van zullen maken. Zoals al gezegd: kinderen die ff de handtekening van hun ouders inscannen.

Optie 2 klinkt alweer een stuk beter.
Toch vind ik dat het tijd wordt voor de vingerafdruk-lezer/iris-scanner om eens door te breken.

Een kind maakt sneller een kopie van zijn vader zn handtekening dan dat hij met een pen zijn vader zn oog eruit steekt en voor een irisscanner houdt :)
Het gevaar "kind" vs. "ouder" is eigenlijk behoorlijk te verwaarlozen. Je kunt immers ook makkelijk even een creditcard nummertje overpennen.
Je moet uitkijken voor de grotere fraude... daar moet je maatregelen tegen nemen.
Een kind maakt sneller een kopie van zijn vader zn handtekening dan dat hij met een pen zijn vader zn oog eruit steekt en voor een irisscanner houdt
Och, valt wel mee. "Zeg pap, kijk es?" "Huh? wat? wat is dat? wat valt daarin te zien?" "Och, laat maar, snap jij toch niet." :)
Ben tegen beiden... Ten eerste gaat het de rest van de wereld geen flikker aan wat mijn vingerafdruk is. Er zijn ook al aardig wat theorien die het systeem misbruiken om iemand anders voor een misdaad op te laten draaien.

Ten tweede wil ik geen laser in m'n ogen en het kan me geen bal boeien wat welk wetenschappelijk onderzoek dan ook aantoond, van vele medicijnen word ook beweerd dat ze helpen, maar de schade (die wij misschien door gebrek aan kennis nog niet kunnen zien) die ze mogelijk aanrichten word niks over verteld. Veel dingen in deze wereld worden ongeacht de gevolgen maar door gepushed omdat er niks beters is... Ze verzinnen nog maar even verder.

Aan de andere kant, als ik moet kiezen optie 1. Vinger afdrukken kunnen ze ook van glazen e.d. aftrekken als ze willen. Optie 2... ik verhuis liever naar een onbewoond eiland :-)
Vreemd ... voor paspoorten word je handtekening al een tijdje ingescand ... wat is daar dan tot nu toe de status van geweest?
Die handtekening voor je paspoort zet je op papier bij een "trusted third party" aka de ambtenaar bij jouw gemeente, in het gemeentehuis (ook deelgemeente). Die handtekening gaat per post (trusted party => TPG post) naar de rijksambtenaar die de handtekening onder de scanner door haalt.

Hierbij kun je niet makkelijk frauderen.

Maar bij een "gewone" ingescande handtekening per e-mail wel. Dit heeft dezelfde status als dat je met je gestolen creditcard spullen kopen. Is volledig gedekt door de bank/creditcardmaatschappij.
Dit betekent volgens mij dat dat je binnen afzienbare tijd als bedrijf betalingseisen kunt gaan stellen aan een klant via het internet. Dat zou de internethandel en de economie in het algemeen ten goede kunnen komen.

Voorbeeldje: Ik had kort geleden via het internet ADSL besteld bij een ISP, voordat ik doorhad dat ik veel goedkoper en sneller via de universiteit een abbo kon nemen. Gelukkig kon ik bij die ISP annuleren, anders had ik d'r een jaar aan vast gezeten, en daar flink van gebaald.

Waarom kon ik überhaupt annuleren? Omdat het niet mogelijk was via internet een bank-machtiging voor die ISP te tekenen. Als dat via de digital sig binnenkort wel kan, dan zit je d'r in zo'n geval aan vast, omdat zo'n ISP je aanvraag in behandeling zal nemen op voorwaarde dat jij je sig plaatst voor de betaling.
Slecht nieuws, dat zooitje digibeeten die "goed" voorgelicht zijn door de commercie, weten ze dan nog niet dat alles wat digitaal is te kraken is.
Nu kunnen anderen van alles met je uithalen en jij moet maar kunnen bewijzen dat je het niet bent, wat bijna onmogenlijk is want het is toch wettelijk.
Probeer maar eens een rechter uit te leggen hoe alles in zijn werk gaat terwijl hij er niks van snapt.
Ik heb al de grootste problemen te bewijzen dat het GAK fouten heeft gemaakt terwijl ik het zwart op wit heb staan dat ze fout waren. :'(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True