Elektronische handtekening morgen van kracht
Vanaf morgen is een elektronische handtekening voor de wet gelijkwaardig aan een handgeschreven handtekening op papier. Dat volgt uit het van kracht worden van de Wet Elektronische Handtekeningen waarin de Europese richtlijn is geïmplementeerd.
De elektronische handtekening is een unieke, persoonsgebonden code die met een digitaal bericht wordt meegestuurd en garandeert dat de afzender is wie hij of zij beweert te zijn. Bovendien maakt de code duidelijk dat een bericht onderweg niet veranderd is. De elektronische handtekening wordt uitgegeven door de 'certificatie dienstverlener' ofwel de 'trusted third party' (TTP). Opta controleert de TTP's. (pli) (Automatiserings Gids
Voor mij geld nog steeds sign and encrypt.
Ik zou er toch eerst meer van willen weten voordat ik zoiets zou gebruiken. Is het na te maken, hoe wordt het bericht verbonden met de handtekening, hoe kan het thuis gebruikt worden (via een tekenbordje?), Hoe weet je dan of hij telkens hetzelfde is of maak je hem 1 keer en kun je hem dan overal aanhangen... dan kan hij ook gecopieerd worden... hoe kun je hem veilig op meerdere PC´s gebruiken... en als laatste: WIE zijn dan die trusted parties??
Voor mij geld nog steeds sign and encrypt.
Digitale handtekening heeft niets met een lichtpen/tekenbord te maken.
Het gaat erom dat digitale handtekeningen -zoals in certificaten - rechtsgeldig zijn.
Wat je wilt weten is wie de root CA zijn, waarom ze dat zijn, wie hun controleert, en wie de controleur controleert.
In Nederland is Verisign/root CA bij Pink Roccade ondergebracht, en doet KPMG de controle.
Alleen de raad van commisarissen controleert de controleurs.
Met andere worden is gewoon een door de overheid gesubsideerd kartel ontstaan waar in het geheel geen zicht op is.
Afgezien hiervan heeft men te maken met acceptatie, en ik vermoed gezien smartcard/chipper/chipknip en online gebruik van creditcard dat de doorsnee Nederlander liever een contract op kantoor/thuis/in de winkel tekent dan dat digitaal gaat doen.
Hopelijk dat er op termijn een voordeliger/gratis alternatief komt die beter aansluit op de eisen van de markt en die niet slechts is opgezet om een paar markt partijen te spekken met publiek en private centjes.
Hoe weet je dan of hij telkens hetzelfde is of maak je hem 1 keer en kun je hem dan overal aanhangen... dan kan hij ook gecopieerd worden... hoe kun je hem veilig op meerdere PC´s gebruiken... en als laatste: WIE zijn dan die trusted parties??
Een trusted party is een partij die jij vertrouwd, dat kan de overheid zijn maar veel eerder je bank, immers daar laat je je spaarcentjes en je salaris door 'beheren'.
Een andere trusted party kan je niet vertrouwen, zeker niet als het idee bij overheid afkomstig is, zij hebben zonder dat iemand -uit samenleving- erom gevraagt heeft aangekondigt keyescrow mogelijkheden in te bouwen, waarbij de door jouw aangeschafte certificaat -waar hantekening een onderdeel van is- ook tegen je gebruikt kan worden.
Een trusted party is een partij die jij vertrouwd, dat kan de overheid zijn maar veel eerder je bank, immers daar laat je je spaarcentjes en je salaris door 'beheren'.
Een andere trusted party kan je niet vertrouwen, zeker niet als het idee bij overheid afkomstig is, zij hebben zonder dat iemand -uit samenleving- erom gevraagt heeft aangekondigt keyescrow mogelijkheden in te bouwen, waarbij de door jouw aangeschafte certificaat -waar hantekening een onderdeel van is- ook tegen je gebruikt kan worden.
Key escrow van het sleutelpaar dat wordt gebruikt voor de elektronische handtekening mag helemaal niet vanuit de Wet elektronische handtekeningen (zie ook ETSI 101456 en het Proramma van Eisen van PKIoverheid). De OPTA en de 'certificerende partijen' (geaccrediteerde auditors zoals KPMG) zien er op toe dat dit dan ook niet gebeurd door certificaatuitgevende instanties. Of het nu een overheidspartij betreft of niet.
Het risico dat een handtekening 'tegen' je wordt gebruikt is dan ook minimaal doordat er geen kopie van je private sleutel van de handtekening wordt aangemaakt. Het enige risico op misbruik is als je je smartcard en pincpde kwijt raakt of als iemand een mes op je keel zet natuurlijk. Maar dat risico hebben we ook geaccepteerd bij de PIN-automaat...
Zolang je niet je eigen privatekeys mag maken, en deze zelf op een smartcard zet, heb je geen enkele garantie dat key niet ergens gebackup bewaard wordt.
Overigens kan je wel stellen dat de wetgeving op digitale handtekening keyescrow verbied, wetgeving mbt de opsporing 'overruled' dat ten alle tijden.
Zie ook:
http://www.bof.nl/nieuws/021210.html
(btw: wetten kunnen veranderen nadat iets algeheel geaccepteerd is, op dit moment zou key escrow 1 van de vele nagels in de doodkist van digitale handtekening betekenen)
Zie voor de andere nagels:
http://www.webwereld.nl/nieuws/printout.phtml?id=15107
[url=http://www.nu.nl/news.jsp?n=150677&c=119]Handtekening Beatles duurder dan Hitler[/url]
Uitgegeven: 21 mei 2003 16:49
Laatst gewijzigd: 21 mei 2003 16:49
LONDEN - Een foto gesigneerd door de vier Beatles is nummer een op de lijst van de honderd duurste handtekeningen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
