Digitale handtekening

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie door middel van bijvoorbeeld technieken van de asymmetrische cryptografie, op een wijze vergelijkbaar met het ondertekenen van papieren documenten aan de hand van een geschreven handtekening. Over het algemeen bestaat een digitale handtekening uit twee algoritmen: één om te bevestigen dat de informatie niet door derden veranderd is, de andere om de identiteit te bevestigen van degene die de informatie "ondertekent". De combinatie van de resultaten van deze twee algoritmen vormt de digitale handtekening. De technieken worden toegepast met behulp van een Public Key Infrastructure.

Elektronische handtekening[bewerken]

Definitie[bewerken]

De term "elektronische handtekening", die vaak incorrect als synoniem van een digitale handtekening wordt gebruikt, is een wettelijke definitie voor diverse, niet noodzakelijk cryptografische, methoden om de identiteit van iemand die een elektronisch bericht zendt te bevestigen. Dit omvat behalve een digitale handtekening ook anderzijds bijvoorbeeld telegram- en telexadressen en een geschreven handtekening op een gefaxt document.

Een voorbeeld van een elektronische handtekening is het formulier van de Belastingdienst, waarop 5 willekeurige cijfers moeten worden ingevuld, een normale handtekening wordt gezet en dat daarna wordt opgestuurd. Deze elektronische handtekening is opgevolgd door de DigiD en wordt enkel nog gebruikt bij aangiften via de FNV Belastingservice en de Ouderenbonden voor het belastingjaar 2011. De toeslagen kunnen niet meer met deze elektronische handtekening worden aangevraagd.

Er zijn ook mensen die denken dat een scan of foto van een handgeschreven handtekening een digitale handtekening is. Dit is onjuist en verwarrend.

Juridische gevolgen[bewerken]

Europa[bewerken]

In Europa is een digitale handtekening dankzij Richtlijn 1999/93/EG nu gelijkgeschakeld aan een "papieren" handtekening. In de meeste gevallen moet die digitale handtekening dan wel met behulp van een gewaarmerkt certificaat te verifiëren te zijn en moet deze met een veilig middel (bijvoorbeeld een smartcard) zijn gemaakt. De juridische gevolgen zijn dan hetzelfde: de plaatser zit er aan vast, tenzij hij aannemelijk kan maken dat hij de handtekening niet gezet heeft.

Een nieuwe e-IDAS regeling (electronic IDentification and Authentication Services) werd door de Europese Commissie aangenomen in juni 2012, op 28 februari 2014 goedgekeurd door de Europese Raad, en op 3 april 2014 door het Europees Parlement aangenomen.[1] Wanneer die regeling in werking treedt (mogelijk 1 juli 2016) zou elke Europese overheid de elektronische identiteitsbewijzen van andere lidstaten moeten lezen en aanvaarden.[2][3]

Nederland[bewerken]

In Nederland is de wet elektronische handtekeningen op 21 mei 2003 in werking getreden. Artikel 3:15a Burgerlijk Wetboek (Nederland) (B.W.) zegt dat een digitale handtekening "dezelfde rechtsgevolgen als een handgeschreven handtekening" heeft, "indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval."

De wetgever gaat vervolgens verder om het in de Richtlijn introduceerde begrip geavanceerde elektronische handtekening te introduceren, dat in grote lijnen met een digitale (PKI) handtekening overeenkomt (art. 3:15a lid 2 BW):

  • De handtekening is op unieke wijze aan de ondertekenaar verbonden (sub a).
  • De handtekening maakt het mogelijk de ondertekenaar te identificeren (sub b).
  • De handtekening is tot stand gekomen met middelen die onder de uitsluitende controle van de ondertekenaar staan (sub c): denk bijvoorbeeld aan eigen computerapparatuur of een eigen smartcard.
  • De handtekening moet zodanig aan het meegestuurde document zijn verbonden, dat elke wijziging achteraf kan worden opgespoord (sub d).

Als aan bovenstaande eisen is voldaan, en de handtekening is gebaseerd op een gekwalificeerd certificaat (bijvoorbeeld een PKIoverheid certificaat) (art. 3:15a lid 2 sub d B.W. en art. 1.1 ss en art. 18.15 lid 1 + 2 Telecommunicatiewet), en de handtekening is aangemaakt met een zogenaamd veilig middel (art. 18.17 lid 1 Telecommunicatiewet: de veiligheidseisen staan in een AMvB), dan wordt de elektronische handtekening in kwestie vermoed voldoende betrouwbaar te zijn. Deze klasse van elektronische handtekeningen, er wordt ook wel van geavanceerde elektronische handtekeningen gesproken, is dus met extra zekerheden omgeven.

De regels van de elektronische handtekening gelden ook buiten het vermogensrecht (art. 3:15c BW).

Overigens is in Nederland een handtekening nooit heilig, er is altijd inhoudelijke toetsing door de rechter mogelijk. Als de plaatser van de handtekening ten stelligste ontkent deze gezet te hebben, moet eerst bewezen worden dat de handtekening echt is (art. 159 Wetboek van Burgerlijke Rechtsvordering).

België[bewerken]

In België is de wet inzake de elektronische handtekening op 9 juli 2001 geformaliseerd.

Gebruik[bewerken]

Er zijn drie redenen waarom men een digitale handtekening wil gebruiken voor het uitwisselen en archiveren van berichten, waardoor het mogelijk wordt om bijvoorbeeld elektronische handel te drijven of anderzijds juridische transacties te laten plaatsvinden:

Authenticiteit[bewerken]

Een geverifieerde digitale handtekening geeft de ontvanger het vertrouwen dat de zender van het bericht inderdaad degene is wiens naam als afzender in het bericht staat. De afzender tekent het bericht met zijn/haar geheime sleutel, de ontvanger verifieert met de publieke sleutel van de afzender.

Het belang van authenticiteit is vooral duidelijk bij het gebruik van communicatie voor financiële doeleinden. Bijvoorbeeld als een bijkantoor van een bank instructies zendt naar het hoofdkantoor om een bedrag naar een rekening over te maken is het belangrijk om te kunnen bepalen of de afzender van het bericht effectief een gemachtigde zender is uit het bijkantoor.

Integriteit[bewerken]

De afzender en de ontvanger willen er beide zeker van zijn dat een bericht niet veranderd is tijdens de transmissie. In bijvoorbeeld een bankscenario is het belangrijk te kunnen bepalen of onderweg niet een paar nullen aan een bedrag zijn toegevoegd.

Een digitale handtekening bevat onder meer een controlegetal van het originele bericht. Deze hash-waarde wordt ook met behulp van cryptografische technieken berekend. Bij ontvangst wordt opnieuw dezelfde controleberekening gemaakt, waarmee kan worden vastgesteld of tussen verzending en ontvangst een mutatie van het bericht heeft plaatsgevonden.

Onweerlegbaarheid[bewerken]

In de cryptografie betekent onweerlegbaarheid (non-repudiation) dat de verzender niet kan ontkennen dat hij/zij een bepaald bericht verzonden heeft (en dat de ontvanger niet kan ontkennen het bericht ontvangen te hebben, maar dat speelt bij de digitale handtekening formeel geen rol). Dat is vooral van belang voor berichten die betrekking hebben op een wettelijk bindende overeenkomst, zoals een contract.

Risico's[bewerken]

Net als in de traditionele papieren wereld is ook een digitale handtekening niet volledig veilig. In de papieren wereld kan een handtekening vervalst worden. In de digitale wereld kan een ontvanger nooit honderd procent zeker zijn van de betrouwbaarheid van een digitale handtekening:

  • een derde persoon kan de geheime sleutel bemachtigd hebben
  • het vercijferingsysteem kan gebroken zijn
  • de certificaten kunnen ongeldig zijn of zoek zijn geraakt

Zie ook[bewerken]

Externe links[bewerken]

Bronnen, noten en/of referenties
  1. Europees Parlement ref. T7-0282/2014.
  2. Knack.be Knack weekblad nr. 32 van 6 augustus 2014, p. 23
  3. Electronic Identification and Trust Services (eIDAS) Regulation Nears Completion timelex.eu, 10 augustus 2014.