Interactieve themamiddag Elektronische Handtekening
ECP.NL en Platform Informatiebeveiliging
Dagvoorzitter: Paul Overbeek, KPMG
Sprekers: Bert Snel, Siemens en Harm Jan Arendshorst, Pink Roccade
Megaplex
Inleiding
De themamiddag Elektronische Handtekening had als doel een vruchtbare
discussie over het thema Elektronische handtekening te ontlokken.
Daarom werden er door de sprekers geen formele presentaties gehouden,
maar beantwoorden zij vragen uit het publiek, dat actief deelnam aan
de discussie.
Hoewel de discussie voornamelijk technisch van aard was, werd toch een
redelijk goede algemene indruk gegeven van de doelstellingen en
vorderingen op het gebied van de elektronische handtekening.
Er kwamen veel vragen naar voren waarvan de belangrijkste in deze
samenvatting aan de orde komen.
Waarom een digitale handtekening?
Voor de ondernemer is het goedkoper en sneller als hij zijn
bedrijfsprocessen, zoals facturering en inkoop, automatiseert met
behulp van diensten van de informatie en communicatie technologie.
Maar met de groei van deze diensten nemen ook de risico's toe.
PKI (Public Key Infrastructure), een term die de lading beter dekt dan
de populaire term 'digitale handtekening', is een belangrijk
instrument om deze risico's te beperken. PKI is noodzakelijk wil het
vertrouwen van het publiek in diensten van de informatie en
communicatie technologie toenemen. Zonder dit vertrouwen zal de
ontwikkeling afgeremd worden, omdat niemand de techniek durft te
gebruiken.
Vanuit de zaal werd geopperd dat de beveiligingstechniek SSL (Secure
Socket Layer, beveiliging gebruikt in browsers) daarom niet werkt.
Immers, het is niet zichtbaar dat de berichten beveiligd worden voor
het publiek. Er moet een afweging gemaakt worden tussen gebruiksgemak
(meer beveiliging, is minder gemak) of een hogere graad van
beveiliging. De uiteindelijke keuze hangt nauw samen met het doel;
minder belangrijke boodschappen behoeven minder beveiliging.
Wat zijn de functies van PKI?
PKI heeft vele functies. De belangrijkste worden hieronder genoemd.
* Identificatie: van wie is het bericht?
* Integriteit: is het ontvangen bericht nog steeds hetzelfde bericht
als het verzonden bericht?
* Authenticatie: is het bericht ook daadwerkelijk van degene van wie
ik denk dat het is?
Naast deze functies zijn er nog vele andere functies zoals
autorisatie, bewijs etcetera.
Wat doet de overheid?
Het doel van de overheid is het gelijkstellen van de digitale
handtekening met de 'analoge' handtekening.
Dit moet het vertrouwen in de digitale handtekening vergroten. Hiertoe
zijn op nationaal en op communautair niveaue reeds wetten van kracht
en in de maak, die zijn toegespitst op nieuwe technologieën. De OPTA
wordt waarschijnlijk de nieuwe toezichthoudende autoriteit voor
instanties die PKI certificaten gaan uitgeven.
Hoe zit het me de aansprakelijkheid van deze instanties?
De aansprakelijkheid verschilt niet veel van die in de analoge wereld.
De wetgeving uit onder andere het Burgelijk Wetboek is niet techniek
gebonden. Als de uitgevende instantie tekort schiet omdat zij een
product levert wat niet voldoet aan de vereisten, een zogenaamde
'slappe sleutel', dan is deze aansprakelijk. Echter, deze
aansprakelijkheid is beperkt tot een bepaald maximum, zo verklaarde
dhr. Arendshorst. Naarmate een 'zwaardere' handtekening wordt
gebruikt, nemen de waarborgen en bedragen toe. Hier werd ook het
onderscheid gemaakt tussen een gewone digitale handtekening '5.2' en
de gekwalificeerde digitale handtekening '5.1' , die een hoger niveau
van beveiliging garandeert.
Waarom is PKI nog niet publiekelijk geaccepteerd?
Er zijn nog geen sprekende business cases die het succes van de
digitale handtekening onderstrepen, werd vanuit de zaal geopperd. Wat
is hier de reden van en is er wel behoefte aan PKI?
Dhr. Snel verduidelijkte dat elke nieuwe technologie, door de
terughoudendheid van de mens, een incubatietijd heeft van minimaal 10
jaar. Hij voegde hier aan toe dat PKI geen doel op zich is, maar een
middel. PKI is niet de killer application, maar een katalysator voor
killer applications.
De toekomst van PKI.
De meerderheid van de aanwezigen zag voor PKI een belangrijke rol
weggelegd in de toekomst.
PKI zal daadwerkelijk aanslaan als er killer applications op de markt
komen die PKI nodig hebben voor een goede uitvoer. Hierbij werd onder
andere gedacht aan het online invullen van de belasting aangifte en
24-hour banking.
Essentieel voor het succes van PKI is een universele infrastructuur,
waar een belangrijke taak voor de overheid is weggelegd.
De verwachting is dat er 4 à 5 soorten digitale handtekeningen
verschijnen, uitgegeven door een dubbel zo groot aantal instanties.
Conclusie
De doorbraak van PKI is waarschijnlijk slechts een kwestie van tijd
volgens de sprekers. Het wachten is op een uniforme infrastructuur en
het toenemen van het aantal 'killer applications'. PKI zal ook
transactie gebonden zijn, met een hogere graad van beveiliging en
waarborg, naarmate de transactie belangrijker wordt. Daarom zal er ook
niet één PKI komen maar eerder 4 à 5 soorten. De paradox van deze
situatie is dat PKI makkelijker en goedkoper is te realiseren door
schaalvergroting te bewerkstelligen.
Uiteindelijk zal voor het type PKI een afweging gemaakt moeten worden
tussen beveiliging, gebruiksgemak en kosten.