Vandaag wettelijke status voor elektronische handtekening

Bij de webeditie van de AutomatiseringsGids valt te lezen dat we vanaf vandaag officieel gebruik mogen maken van de elektronische handtekening. Door de invoering van een Europese richtlijn in de Wet Elektronische Handtekeningen is de e-handtekening nu gelijkgesteld aan een handgeschreven autogram. In 2001 werd de basis voor de handtekening gelegd en ruim een jaar later kondigde PinkRoccade aan, dat PinkRoccade het eerste bedrijf was waar een elektronische handtekening kan worden geauthoriseerd. De e-handtekening is als volgt opgebouwd:

De elektronische handtekening is een unieke, persoonsgebonden code die met een digitaal bericht wordt meegestuurd en garandeert dat de afzender is wie hij of zij beweert te zijn. Bovendien maakt de code duidelijk dat een bericht onderweg niet veranderd is. De elektronische handtekening wordt uitgegeven door de 'certificatie dienstverlener' ofwel de 'trusted third party' (TTP). Opta controleert de TTP's. (pli)

IT-banen

Reacties (38)

EricV 21 mei 2003 12:45

Weet iemand soms een URL waar ik hierover wat praktische informatie kan krijgen? Zoals welke software ik nodig heb etc...

rtfm @EricV • 21 mei 2003 13:05

kijk eens op www.pki.pinkroccade.com

Hier kun je globale info vinden over PKI
(Public Key Infrastructure).

Je kunt een server voorzien van een digitaal certificaat ('hangslotje'), maar het is ook mogelijk om een email adres te voorzien van een digitaal certificaat. Je kunt er dan zeker van zijn dat de verzender daadwerkelijk degene is die hij/zij beweert te zijn. Als de ontvanger ook een digitaal certificaat heeft kun je je berichten ook nog eens versleutelen.

Een van de eerste pionieers is Verisign.
www.verisign.com

Verwijderd @rtfm • 21 mei 2003 15:21

dus niets nieuws onder de zon, alleen nu is het in NL wettelijk geregeld en de csp die er nu zijn:

pinkrocade
kpn
diginotar
sdu

zie o.a. http://www.ecp.nl/dossieritem.php?dossier_id=7

daarvan zijn een aantal zoals pinkrocade en kpn
zie http://certificaat.kpn.com/ gewoon resellers van verisign.

wat ik me wel afvraag: moet voor wettelijke bescherming binnen NL een certificaat afgegeven zijn door een NL csp of ....

internet houdt niet op bij landsgrenzen en een 'ttp nl' approval zegt mijn US klanten helemaal niks.

en verisign certificaten zijn best wel duur, en er zijn internationaal gezien ook nog een aantal alternarieven zoals geotrust en thawte.

BTB @rtfm • 21 mei 2003 13:40

Dus als ik het goed begrijp is PinkRoccade de Benelux VeriSign affiliate, en is het nu `goedgekeurde' systeem het systeem dat al een hele tijd in de relevante mail programma's zit, zoals bijv. Mozilla.

Ergens was ik bang dat de Nederlandse overheid een systeempje ging invoeren dat alleen in Nederland zou werken.....

Bor Coördinator Frontpage Admins / FP Powermod @EricV • 21 mei 2003 13:04

Check ook de pagina hierover van het ministerie van justitie. Hier is veel meer info te vinden over dit onderwerp vooral gekeken uit een rechtsgeldig oogpunt:

http://www.justitie.nl/publicaties/brochures_en_factsheets/elektronisc he_handtekeningen.asp?ComponentID=9755&SourcePageID=5073

Software is bv PGP.

Pimmeh

@Bor • 21 mei 2003 15:10

Voor de klikbare link:

http://www.justitie.nl/publicaties/brochures_en_factsheets/elektronisc he_handtekeningen.asp?ComponentID=9755&SourcePageID=5073

Twisted @EricV • 21 mei 2003 12:48

hier staat een beetje meer INFO

http://www.opta.nl/index.asp?url=/aanbieders/elektronischehandtekening en.asp

Verwijderd 21 mei 2003 13:24

Dit alles is opgezet door PKIoverheid: http://www.pkioverheid.nl/

Software is btw geen PGP, maar PKI.

Ik studeer komende vrijdag af op dit onderwerp, dus vraagt u maar

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 21 mei 2003 13:42

Software is btw geen PGP, maar PKI.

Ik studeer komende vrijdag af op dit onderwerp, dus vraagt u maar

Dan zou ik maar eens heel snel de boeken in duiken

PKI staat voor Public Key Infrastructure, en zoals de naam dit zegt is dit geen software pakket maar meer een infrastructuur bestaande uit diverse delen software maar vooral ook policies etc. PGP is een software pakket waarmee je gebruik kunt maken van digitale handtekeningen. PKI applicaties zijn bijvoorbeeld EntrustPKI en het product van Baltimore. Als je van mening bent dat PKI een "tool" of applicatie is zit je er volledig naast. Hoeksteen van een Public Key Infrastructure is nou juist niet de software (welke alleen een tool is om bepaalde dingen uit te kunnen voeren) maar juist de policies en het beleid. Ben zelf ook afgestudeerd op PKI dus kan je er nog heel wat over vertellen.

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 21 mei 2003 14:05

Ik bedoel dat de software die gebruikt gaat worden voor de elektronische handtekening vanuit de Nederlandse Overheid geen PGP is, maar gebaseerd is op PKI.

Software wordt niet gebaseerd op een PKI maar maakt deel uit van. Overigens valt niet alleen PKI overheid hier onder hoor maar kan in principe elke TTP zich hier bij aansluiten mits de cp en cps hier bij aansluiten, weer gecontrolleerd door de OPTA zoals je hierboven kunt lezen.

En ik geloof best dat je me er een boel over kunt vertellen, maar niet iets dat ik nog niet weet.

offtopic:
Niet als flame bedoelt maar je maakt wel erg grove fouten voor iemand die er alles van af weet! Welke opleiding doe je? Het is nooit verstandig om te beweren dat je er minstens net zo veel of meer van weet als anderen. Het is nooit onmogelijk om meer te leren. Daarnaast werk ik al langere tijd met deze materie.

musiman

@Verwijderd • 21 mei 2003 14:19

Niet als flame bedoelt maar je maakt wel erg grove fouten voor iemand die er alles van af weet! Welke opleiding doe je? Het is nooit verstandig om te beweren dat je er minstens net zo veel of meer van weet als anderen. Het is nooit onmogelijk om meer te leren. Daarnaast werk ik al langere tijd met deze materie.

Als je kijkt bij zijn profile, blijkt dat hij op de TU Delft zit.

Wat mijn ervaring met HBO- en WO-studenten is, dat zij denken alle wijsheid in pacht te hebben en dat de mensen uit de praktijk (die trouwens vaak, net als ik, ook HBO- en/of WO-onderwijs genoten hebben) hun niks meer kunnen leren.

Dus Hiawatha, heel veel succes met afstuderen, maar ik spreek jou nog wel in de praktijk. Of kom even een trainingkje "PKI in de praktijk" bij mij volgen

musiman

@Verwijderd • 21 mei 2003 13:39

Software is btw geen PGP, maar PKI.

Hij bedoelt dat PGP (Pretty Good Privacy) een commercieel software pakket is dat gebruik maakt van de PKI encryptie- en authenticatietechnieken.

Uiteraard heb je nog andere alternatieven, zoals bijvoorbeeld: http://www.pgpi.org/

TVL @musiman • 21 mei 2003 16:14

Hij bedoelt dat PGP (Pretty Good Privacy) een commercieel software pakket is

Van PGP heb je een commerciele variant en een freeware variant.

Bor Coördinator Frontpage Admins / FP Powermod 21 mei 2003 15:33

Belangrijk bij het plaatsen van digitale handtekeningen en het coderen van berichten met een asymetrische methode is dat er gebruikt wordt gemaakt van 2 sleutelparen . Eén sleutelpaar voor de encryptie en één voor het plaatsen van de digitale handtekening. Dit wordt veroorzaakt door de (wiskundige) achtergrond van beide sleutelparen. Bij encryptie willen we namelijk zo weinig mogelijk informatie over onszelf (de private key) weggeven. Bij een digitale handtekening is het echter andersom, zoveel mogelijk info weggeven maar met een zo hoog mogelijk veiligheidsniveau hierbij (een goed balans is heel belangrijk). Door twee sleutelparen te gebruiken wordt hier in voorzien en dus de veiligheid vergroot.

Het is overigens technisch (afgezien van de cryptografie er achter) niet zo'n heel groot probleem om dit te regelen, maar net zoals bij alle andere beveiligingen is het heel belangrijk een goed en dekkend beleid te hebben wat streng moet worden nageleefd. De mens blijft ook in een PKI een rol spelen en zijn mogelijke invloed kan alleen met behulp van policies / beleid en de naleving hiervan worden beperkt. Een TTP is namelijk electronisch gezien een CA (Certificate Authority) maar in de praktijk naast het stuk software een (aantal) perso(o)n(en). De TTP bepaald aan wie of wat een certificaat zal worden uitgedeeld (wat feite niet veel meer is als het digitaal ondertekenen van de te certificeren Public Key en andere info).

Voor de geinteresseerden onder ons: certificaten worden op dit moment (sinds 1996) vrijwel allemaal opgemaakt volgens de X.509v3 standaard, een aangepast versie van de oude (en bekende) X.500 standaard (directory servers).

Verwijderd @Bor • 21 mei 2003 16:11

Belangrijk bij het plaatsen van digitale handtekeningen en het coderen van berichten met een asymetrische methode is dat er gebruikt wordt gemaakt van 2 sleutelparen . Eén sleutelpaar voor de encryptie en één voor het plaatsen van de digitale handtekening.

Bijna goed. Dit is namelijk 1 van de toepassingsmogelijkheden. In 90% van de gevallen heeft de gebruiker maar 1 sleutelpaar ofwel "certificaat" (want dat is waar we over praten) waarmee beide opties mogelijk zijn. Er zijn echter instanties die verschillende sleutelparen hebben voor signing en encryptie. Dat is zowel voor de gebruiker als de TTP-dienstverlener inderdaad wat meer werk maar kan inderdaad meerwaarde bieden.
In de genoemde X509 standaard kun je nalezen dat certificaten verschillende "key-usage" kunnen hebben. Bij een gemiddeld emailcertificaat is dat sign+encrypt. En omdat je mijn publieke sleuteldeel bij mijn PKI-dienstverlener kunt ophalen (of misschien al hebt uit eerdere berichten) kun je dus met 1 sleutelpaar zowel mijn handtekening verifieren alsmede mij encrypte mail toesturen.
Die key-usage dient er overigens ook voor om te voorkomen dat ik mijn email-certificaat ga gebruiken voor "het slotje op mijn webserver" en andersom! Technisch gezien zou dat, door de asymmetrische encryptie, gewoon kunnen (het zijn en blijven bijv. RSA sleutelparen)
Alleen de mensen met procedures die het geheel een PKI maken, bepalen dan weer de waarde van dit ondertekende sleutelpaar.

KatirZan 21 mei 2003 13:31

Leuk, maar stel dit

Je stuurt fijn je email met je handtekening naar een klant of bedrijf.
Dit bericht wordt onderweg onderschept door een hacker.
Deze kopieert de header en de handtekening.
Gaat nu accorden sluiten d.m.v. het versturen van de email via een ghost email adres(anonymail etc...)

Ik begrijp dus niet echt de securiteit hiervan, lijkt me makkelijk te kraken en te "exploiten".

Ik ga wat meer info hierover opzoeken, check deze thread s00n!

Verwijderd @KatirZan • 21 mei 2003 13:36

dat is dus de truuk. de hacker kan het bericht niet opnieuw zo coderen, hij kan niet de sleutel herleiden uit het bericht. Dus je kunt dat zien dat het bericht verandert is; net zoiets als een CRC of md5 checksum denk ik, alleen dan persoonsgebonden.[edit: ai, je zou moeten kunnen zien dat iemand anders ook bezig is te reageren! ]

Verwijderd @Verwijderd • 21 mei 2003 13:42

Inderdaad. Voor het zetten van een elektronische handtekening wordt gebruik gemaakt van asymmetrische cryptografie. Met een geheime sleutel (voor iedere gebruiker een unieke sleutel die hij of zij dus voor zichzelf moet houden) wordt een handtekening gezet. Dit wordt gedaan door de hash van het bericht te versleutelen.

Een ontvanger kan de handtekening controleren door de handtekening te ontcijferen mbv de publieke sleutel van de afzender. Hij krijgt dan de hash van het bericht. Dit moet overeen komen met de hash die hij zelf kan berekenen van het bericht (openbare hashfuncties zoals MD5 of SHA1)

De grap is dat de publieke sleutel uit een certificaat gehaald wordt. Aan de hand van dit ceritificaat wordt de echtheid van de sleutel gegarandeerd. Het certificaat is namelijk uitgegeven (en ondertekend) door een vertrouwde instantie zoals het bedrijf waarvoor je werkt of de Nederlandse Overheid. Zie het certificaat als een soort Elektronisch paspoort.

Zenow @Verwijderd • 21 mei 2003 14:55

Ongetwijfeld handig voor het bedrijfsleven, maar heeft een gewone gebruiker hier ook iets aan?

Moet ik verwachten dat bijvoorbeeld de Belastingdienst in plaats van de huidige (stompzinnig onveilige) digitale handtekening over een aantal jaren een 'echte' gaat eisen?

Het zou leuk zijn als Hiawatha, gezien zijn afstuderen, wat zou kunnen vertellen over de mogelijke implicaties

Verwijderd @Verwijderd • 21 mei 2003 15:35

(oh, reactie op KatirZan, hierboven)

Het grote voordeel van assymetrische encryptie methoden is dat als het nu te kraken is, je gewoon een grotere sleutel kiest. Zolang je deze (voldoende lange) sleutel niet hebt, is het terugrekenen van zo'n versleuteld bericht niet te doen.

Ik zou je berichtje bijna als overgewaardeerd bestempelen, echter dan kan ik niet meer reageren

HDoc @Verwijderd • 21 mei 2003 19:32

KatirZan: uiteraard kan je uiteindelijk alles wel berekenen. Maar je kan eenvoudig een lange sleutel gebruiken waar, en dat kan je ook eenvoudig berekenen, alle computers op de hele wereld een miljard jaar op aan het rekenen zijn. Voor één key.

Dat is nou eenmaal de lol van de cryptografie. Door middel van de methodes die gebruikt worden is het praktisch niet haalbaar om dit te gaan doen. Simpelweg voortvloeiend uit het ontwerp van de versleuteling is alleen door middel van brute rekenkracht een key te verkrijgen, en door het gebruiken van een lange key is er zoveel brute kracht nodig (hoe slim je ook codeert) om deze te kraken dat geen enkele coder hier aan begint

KatirZan @Verwijderd • 21 mei 2003 14:27

Inderdaad. Voor het zetten van een elektronische handtekening wordt gebruik gemaakt van asymmetrische cryptografie.

Asymetrische Cryptografie is dus te kraken, ondanks dat de meeste mensen denken dat het natte vinger werk is.
Op het moment dat je het programma hebt om het te ontcijferen heb je dus ook het programma om het te creëren, het is en blijven ééntjes en nulletjes.

En wat zo ver betreft is mijn reply dus weer als overbodig gemod, snap het wel, maar denk er eens over na wat een coder kan doen met zo veel informatie.

xavalon @Verwijderd • 21 mei 2003 19:37

Hiawatha,

Leuk onderwerp, ben ik ook op afgestudeerd in 1997! Jaja, toen hadden ze al PKI's.

Daarbij heeft Interpay ook een PKI in gebruik, waar de belastingdienst voor haar diensten weer gebruik maakt. Althans dat was nog zo in 2000, toen in ik bij Interpay werkzaam was.

Verwijderd @KatirZan • 21 mei 2003 13:36

Dat kan dus niet. Een handtekening onderaan een bericht is afhankelijk van:
1) de geheime sleutel van de verstuurder
2) de inhoud van het bericht

Verander je de inhoud, dan heb je de geheime sleutel van de verstuurder nodig om de handtekening kloppend te maken.

Wat vaak verkeerd uitgelegd word is dat een gebruiker een handtekening uitgereikt krijgt die hij of zij mee moet sturen met een bericht. Dit is onjuist. Een handtekening is voor elk bericht en elk persoon uniek. Een handtekening word (zoals boven al vermeldt staat) gegenereerd m.b.v. de geheime sleutel van iemand.

xavalon 21 mei 2003 20:12

Technologie doet er weinig toe. Het heeft zich bewezen dat de sterkte valt of staat met de lengte van de private key.

Lukt het om bij een public key, met 40 onbekende bits, in 20 uur een corresponderende private key te vinden, dan kost dat bij een key met 41 onbekende bits al 2 tot de macht 1 * 20 uur. Ofwel bij een key met 128 onbekende bits is het verschil 2 tot de macht 64 * 20 uur. Een beetje certificaat bevat al een key met 512 onbekende bits, de technologie is niet gelimiteerd en banken gebruiken rustig keys met 2048 onbekende bits.

In de PKI technologie zit het hem dus niet.

Wel als de certificerende autoriteit (CA), zich Trusted Third Party gaat noemen. Begint al psychologisch, ga maar aan de man op straat uitleggen dat KPN trusted is. Idem voor Roccade.

Verisign was in 1995 wellich nog trusted te noemen, in de loop der jaren is het beleid zo terug gedraaid, dat als je maar betaald je een certificaat kunt krijgen. Controles op echtheid aanvragen zijn er nog nauwelijks. Veel te fraudegevoeligd. Daar moet je dus ook niet meer zijn. Daarbij, heeft Microsoft in naam van 500 miljoen PC gebruikers al gezegd dat je Verisign vertrouwd (omdat ze standaard in de lijst van vertrouwelijke Certificate Authorities staan).

En alle andere TTP's waar je als persoon een certificaat kunt krijgen, met alle respect, zijn erg zwak in het beleid om een certificaat te krijgen. Uitzonderingen hierop vragen derdelijk hoge kosten voor de registratie (en daarbij het toepassen van het beleid) dat ze voor de normale man onbetaalbaar zijn geworden. Daarbij opereren ze in een niche markt.

Maar daar ligt hem de kruks. De digitale handtekening staat en valt met het feit dat de natuurlijke persoon die de electronische handtekening plaatst, uniek te identificeren is. Dit zou betekenen dat je zeker moet zijn, dat een bepaalde electronische handtekening alleen en alleen aan een natuurlijk persoon toebehoord, en dat alleen hij de electronische handtekening geplaats zou kunnen hebben (onbetwistbare zekerheid). Dit zou beteken dat de publieke key, voorzien zou moeten zijn van een certificaat, die op haar beurt is uitgegeven door een vertrouwelijke derde.

Om zover te komen, is er een bijna onmogelijke taak om te organiseren dat een persoonlijk certificaat gekoppeld wordt aan een persoon. En dat dit proces gebeurt door een uiterst vertrouwelijke derde partij.

Als er een partij is die het zou moeten kunnen organiseren, dan is het de overheid wel (vandaar pilots/feasability studies onder de noemer PKI overheid). De overheid heeft een "netwerk" voor de uitgifte van paspoorten wat redelijk te vertrouwen is.
Probleem is weer wel, hoe kun je de overheid vertrouwen dat zij geen kopie maken van je keys en dat als backdoor gebruiken om je communicatie af te tappen.

BTW, als je van je bank een certificaat zou krijgen, om je te identificeren bij telebankieren etc, dan kan er nooit sprake van zijn dat de bank een TTP is. Immers er is geen sprake van een betrouwbare derde; het is jij en de bank.

Verwijderd @xavalon • 21 mei 2003 20:42

BTW, als je van je bank een certificaat zou krijgen, om je te identificeren bij telebankieren etc, dan kan er nooit sprake van zijn dat de bank een TTP is. Immers er is geen sprake van een betrouwbare derde; het is jij en de bank.

Dat is het in principe ook met de overheid en Verisign. Het wordt pas een derde partij als ik met jou wil communiceren en wij BEIDE jouw bank vertrouwen, ook al zou ik niets met jouw bank van doen hebben.
Nou geloof ik meteen dat jij jouw bank wel vertrouwd, getuige je salaris en spaargeld. Maar als jij nu toevallig bij de Noord-oost Groningse boerenleenbank bent, weet ik niet of ik die bank wel vertrouw. En dan ben je je status als TTP kwijt.
Verisign (en nog vele anderen) hebben inderdaad dat vertrouwen via Microsoft "gekocht", de vraag wordt nu inderdaad hoe de Nederlandse overheid met hun PKI-project hiermee omgaat.

Verwijderd 21 mei 2003 13:40

www.verisign.com

It_was_me 21 mei 2003 15:18

Even een zwaar off-topic flamebait, Hiawatha zei toch dat ie z'n account op ging zeggen en niet meer zou reageren?

Hmmm, kan niet echt vinden hoe ik m'n account moet opheffen. Dan maar een debiel emailadres en een random password invoeren. Doei allemaal!!!

(Hierop dom reageren heeft geen zin, ik kijk toch niet. En reageren al helemaal niet)

Beetje vreemd dat 'ie dan nog steeds antwoorden verstrekt....

SuperTrooper @It_was_me • 21 mei 2003 15:38

Als je nou gewoon even naar de tijd van zijn post kijkt dan zie je dat hij alle nuttige replies vòòr 14:00u heeft gedaan en pas om 14:39u zei dat hij er geen zin meer in had....

riddles 21 mei 2003 13:51

De website van de PKI van de overheid is hier: http://www.pkioverheid.nl/. Het rootcertificate (sorry, het stamcertificaat) heb ik al geinstalleerd.

Om de lijst van toegetreden CSP's staat nu nog niemand, maar dat zal niet lang gaan duren.

Op dit item kan niet meer gereageerd worden.

Vandaag wettelijke status voor elektronische handtekening

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: