Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Bron: OPTA, submitter: Muff

De eerste aanbieder van de elektronische handtekening is gisteren bij de OPTA geregistreerd, zo lezen we op de site van diezelfde OPTA. Het bedrijf PinkRoccade is de eerste die een elektronische handtekening mag uitgeven die dezelfde rechtsgeldigheid heeft als de handtekening op papier. Een van de nieuwe taken van de OPTA sinds de Wet Elektronische Handtekening is het registreren en toezicht houden op bedrijven die certificaten voor e-handtekeningen uitgeven.

Volgens de nieuwe wet moeten bedrijven die een elektrohandtekening willen gebruiken deze aanvragen bij een certificatiedienstverlener. Deze staat ervoor in dat de handtekening daadwerkelijk van de verzender komt en onderweg niet is veranderd. Dienstverleners zijn verplicht zich bij de OPTA te registreren. Uit de registratie blijkt dat de dienstverlener aan de wettelijke eisen voor de elektronische handtekening voldoet. De OPTA benadrukt dat registratie niet betekent dat de autoriteit aansprakelijk is of instaat voor de kwaliteit van de verleende diensten:

Digitale handtekening Uit het feit dat een certificatiedienstverlener geregistreerd is bij OPTA mag worden afgeleid dat er aan de wettelijke vereisten wordt voldaan. Registratie bij OPTA betekent echter uitdrukkelijk niet dat OPTA instaat, of aansprakelijk is, voor de feitelijke kwaliteit van een certificatiedienstverlener. Na registratie ziet OPTA erop toe of de certificatiedienstverlener aan de eisen van de wet blijft voldoen. OPTA is bevoegd om de registratie te beëindigen indien de certificatiedienstverlener niet aan de wettelijke eisen voldoet.
Moderatie-faq Wijzig weergave

Reacties (26)

Ik vind dit een grote stap voorwaarts. Denk eens in wat dit zou kunnen gaan betekenen. Contracten in een gehele range kunnen via elektronische wijze gesloten worden.

Misschien duurt het ook niet meer zo lang dat we straks al onze zaken die we bijv. bij een notaris laten doen, nu zelf standaard in kunnen vullen en zo met een handtekening via de mail er weer uit kunnen doen. Maar ook koopcontracten etc etc.

Samenvattend een hele goeie zaak.
PKI is vooral gunstig voor de CA's. Lekker geld vragen om een certificaatje uit te braken. Wow. En dat hebben ze er bij de overheid nog in een wet weten te krijgen ook! Zo'n handtekening zegt vrij weinig. De CA garandeert hoogstens dat ze fatsoenlijk met hun sleutel omgaan. Hoe de sleutel die de CA zegt te kennen door de eigenaar behandeld wordt, is vaak niet geregeld. Voor significante transacties is het echt niet zo'n voordeel om even bij elkaar langs te gaan en even een handtekening te zetten. Voor kleinere transacties is het overbodig, want er worden al genoeg zaken gedaan via het internet. Hier lost PKI dus ook niks op, wat niet al op andere manieren gedaan wordt.

Wie neemt er trouwens de verantwoordelijkheid als er schade geleden wordt omdat er een door de CA erkende sleutel gekopieerd is? Kan ik een handtekening ongeldig laten verklaren? Kan ik een sleutel terugroepen zodat er geen handtekeningen meer mee gezet kunnen worden?

Lees maar eens: http://www.counterpane.com/pki-risks.pdf
Wie neemt er trouwens de verantwoordelijkheid als er schade geleden wordt omdat er een door de CA erkende sleutel gekopieerd is? Kan ik een handtekening ongeldig laten verklaren? Kan ik een sleutel terugroepen zodat er geen handtekeningen meer mee gezet kunnen worden?
Om met je laaste 2 vragen te beginnen: Ja en Nee. Op het moment dat jij je private key niet meer vertrouwd (bang dat 'ie gekopieerd is ofzo) revoke je je certificaat. Op dat moment is de sleutel ongeldig. Er kunnen dan overigens nog steeds handtekeningen mee gezet worden, maar pki berust dan ook op het feit dat ik tijdens de transactie bij de CA controleer of jouw cert niet ongeldig verklaard is. Daardoor is terugroepen niet nodig, alleen het registreren als "revoked" is voldoende om het op de crl (Certificate Revocation List) te plaatsten.

De CA neemt de verantwoordelijkheid voor het vertrouwelijk blijven van jouw informatie, MITS jij kunt aantonen dat niemand anders dan jij bij je private key kan en indien dat wel zo is, dat je hem onmiddelijk revoked. Daarna is er niemand meer verantwoordelijk, want het certificaat is ongeldig.

Er is bij mijn weten nog nooit een uitspraak gedaan over die vertrouwelijkheid en dat kan natuurlijk nog leuk worden, want hoe je het ook wend of keert, de handtekening wordt ALTIJD door je computer geplaatst, waar jij hem opdracht toe geeft. Alleen, weet jij precies wat er in jouw computer gebeurd? Is er niet een of ander virus dat jouw smartcard activeert om zichzelf te signen en door te sturen? Of banktransacties doet?

Een probleem waar pki nog wel mee kampt, is het daadwerkelijk revoken en het controleren op geldigheid van het certificaat. Dat zal echt afgedwongen moeten worden, anders blijven jouw vragen heel erg terecht.
Pink werkt veel voor de overheid, denk echter dat het nog wel even zal duren voor de e-handtekening daar doordringt :'(
Ik denk dat dat nog wel eens mee zou kunnen vallen; binnen de overheid lopen namelijk best wel veel projecten op het gebied van electronische handtekeningen.

Een paar voorbeeldjes:
- Ministerie van BZK, project eID (voor dus electronische ID's voor burgers)

- Ministerie van Economische Zaken, project Senter (waarbij bedrijven met behulp van electronische certificaten subsidie-aanvragen kunnen indienen voor technologisch vernieuwend onderzoek)

- Ministerie van LNV, project Laser (weet zo niet waar het over gaat, alleen dat het bestaat :+ )

- Gemeente Den Haag, project Arrondissement van Advocaten (advocaten krijgen middels electronische certificaten toegang tot gegevens uit het GBA van de gemeente)

- Rijksdienst Wegverkeer, project voor het gebruik van PKI bij vrachtwagens en vrachtwagenchauffeurs, ter vervanging van de standaard papieren vrachtbrieven en voor de automatische electronische ondertekening van dat soort documenten enzo.

Overigens denk ik dat na Pink nu ook een paar andere organisaties zullen volgen met een registratie bij de OPTA. Naast Pink zijn namelijk ook KPN, Diginotar (vereniging van notarissen) en Joh. Enschedé al behoorlijk ver met het ontwikkelen van certificaten die voldoen aan de eisen die gesteld worden door PKI overheid.
Dit bericht is feitelijk onjuist!

PinkRoccade is de tweede. DigiNotar was de eerste.
Ik kan het weten, want tot voor kort heb ik met ze aan een project gewerkt waarmee digitaal kan worden aanbesteed.

www.diginotar.nl/
Diginotar is naar mijn weten niet goedgekeurd om rechtsgeldige handtekeningen uit te delen.
Uit het feit dat een certificatiedienstverlener geregistreerd is bij OPTA mag worden afgeleid dat er aan de wettelijke vereisten wordt voldaan
Dus om rechtsgeldige handtekeningen uit te kunnen delen moet je geregistreerd staan bij de OPTA.


Toetreding tot PKIoverheid (zie http://www.pkioverheid.nl )
Vervolgens dient de CSP het certificaat van zijn "root" te laten tekenen door de root van de PKI voor de overheid. Op dat moment is opname in de PKI voor de overheid geëffectueerd.
Het 'intermediate' certificaat van Digitonar is niet getekend door PKI overheid.
Ik moet zeggen dat ik het fijne van het gebruik (van de NL handtekening) niet weet maar ik zie dat diginotar een root certificaat heeft staan om te downloaden. Dat is nogal wat om een publieke (veilige!) root te draaien/zijn.

PinkRoccade zit als Verisign 'dealer' al een paar jaar in de certificaten. Klinkt me wat beter in de oren.
Bij KPN kan het dus ook al. http://certificaat.kpn.com
KPN werkt samen met verisign.com.
Er zijn 3 grote CA's nl. verisign.com, entrust.com en thawte.
PinkRoccade is wel degelijk de eerste aanbieder die certificaten kan uitgeven onder het domein overheid, welke onderdeel is van de PKI Overheid.
Voor mij blijft 't toch meer een vercommercieelde versie van PGP/GnuPG... maar mischien denk ik wel te simpel :)
Je weet gewoon niet hoe het in elkaar steekt. :P

Jij signed je mail met je private key, en crypt 'm met mijn public key. Ik kan jouw mailtje gewoon lezen, en zien dat jij 'm gecrypt heb. Maar wie ben jij? Je kunt een key maken onder de naam "Bill Clinton", maar ben je dan ook gelijk de voormalig president van de states?

Wat PR zegt te gaan doen is kijken wat er in je paspoort staat, dat vergelijken met je key, en als die twee van dezelfde persoon blijken te zijn zetten zij hun .sig onder jouw certificaat. Als ik PR vertrouw, kan ik er dan vanuit gaan dat jij bent wie je zegt te zijn.

De keys die dat oplevert kun je gewoon met GnuPG gebruiken. GnuPG zal mij dan vertellen dat PR gelooft dat jouw identiteit klopt, en nogmaals: als ik PR geloof, kan ik jouw bewering dat je ironx bent geloven.
"I repeat: I did not sign that document" :+
Wat betreft veiligheid is het afwachten, zodra aanvraag en authorisatie met passwd via een pc geschied is het niet veilig. Die encryptieformule kraak je niet.
Maar via een virus wordt een certificaataanvraag gedetecteerd, toetsenbord wordt gelogd en opsturen maar naar... Tja wie zou documenten willen stempelen met een andere wetsgeldige e-handtekening? :9

De vraag is verder of je betaalde snap-ins :( nodig hebt om te e-mailen met een e-handtekening.
Binnen outlook b.v. is het heel anders geregeld dan dat certificaat van pinkroccade.
Outlook 98/2000/2002(XP)/2003 kunnen allemaal met certificaten overweg.

Ik heb zelf een CA ingericht en draai met S/MIME mbv certificaten (signing en encryptie).

je moet alleen de juiste gegevens in het certificaat hebben staan.
Zou je ook via sun's javamail een certificaat met een document kunnen e-mailen?
Leuk, maar voor bedrijven/particulieren is het nog steeds niet mogelijk zo'n digitale handtekening aan te vragen :\
Op dit moment is de aanvraag en uitgifte beperkt tot personen die deelnemen aan projecten waarin PKIoverheid certificaten toegepast worden.
Lekker nuttig ;)
Eerst maar eens inburgeren bij projecten, overheidsinstellingen en andere commerciele doeleinden. Uiteindelijk wordt het ooit eens simpelere om dit op persoonsbasis aan te vragen.

Ik ben er nog steeds voor om dit grootschaliger te doen. 1 CA in Nederland die certificaten tekent en die bijvoorbeeld Nederlandse banken vertrouwen. Zo kan de identiteit van de gebruik tenminste worden vastgesteld (mits pki goed wordt gebruikt met een mooie passphrase (wachtwoord) en mutual authentication).
Ooit zal deze vorm van authenticatie door groeien tot is standaards. Dan kunnen een hoop mensen minder freaked out raken over een identiteitscrisis omdat dit systeem iig je garandeerd wie er gehandeld heeft.
Dit is inderdaad goed nieuws...
Hopelijk gaan de aandelen weer omhoog nou!
en daardoor weer mijn salaris :P
Een (hopelijk) goede start van het digitale handtekening verhaal. Als PinkRoccade en de overheid hiermee goed aan de slag gaan, dan komen mensen hier sneller mee in aanraking, dan wanneer het slechts door kleine gespecialiseerde bedrijven als dienst zou worden aangeboden.

Als het allemaal in goede banen wordt geleid, dan kan de elektronische handtekening een mooie toekomst vooruit zien :)
mijn benieuwen wanneer de eerste progies op inet komen omdeze certificaat na te maken..
Waarom heb je daar een 'progie' voor nodig? Het publieke deel van het certificaat _moet_ je downloaden om er uberhaupt iets mee te kunnen. Je krijgt 'm ongevraagd. Wil jij het certificaat van Microsoft hebben? https://www.microsoft.com. Vervolgens krijg je een dialoog, met ondermeer een knop 'view certificate'. Kun je gelijk zien wat er in een certificaat staat.
tis een standaard openssl thingy voor linux. Er zal vast ook wel een Windows implementatie bestaan.
Proggie is er al.
binnen jdk1.4 nl keytool.exe
Deze maakt gewoon een certificaat aan.
keytool -genkey [-.....]
Hoe kan dit nu werken???

Mijn naam begint helemaal niet met een E !!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True