Interactieve themamiddag Elektronische Handtekening

ECP.NL en Platform Informatiebeveiliging

Dagvoorzitter: Paul Overbeek, KPMG
Sprekers: Bert Snel, Siemens en Harm Jan Arendshorst, Pink Roccade Megaplex

Inleiding

De themamiddag Elektronische Handtekening had als doel een vruchtbare discussie over het thema Elektronische handtekening te ontlokken. Daarom werden er door de sprekers geen formele presentaties gehouden, maar beantwoorden zij vragen uit het publiek, dat actief deelnam aan de discussie.
Hoewel de discussie voornamelijk technisch van aard was, werd toch een redelijk goede algemene indruk gegeven van de doelstellingen en vorderingen op het gebied van de elektronische handtekening. Er kwamen veel vragen naar voren waarvan de belangrijkste in deze samenvatting aan de orde komen.

Waarom een digitale handtekening?

Voor de ondernemer is het goedkoper en sneller als hij zijn bedrijfsprocessen, zoals facturering en inkoop, automatiseert met behulp van diensten van de informatie en communicatie technologie. Maar met de groei van deze diensten nemen ook de risico's toe. PKI (Public Key Infrastructure), een term die de lading beter dekt dan de populaire term 'digitale handtekening', is een belangrijk instrument om deze risico's te beperken. PKI is noodzakelijk wil het vertrouwen van het publiek in diensten van de informatie en communicatie technologie toenemen. Zonder dit vertrouwen zal de ontwikkeling afgeremd worden, omdat niemand de techniek durft te gebruiken.
Vanuit de zaal werd geopperd dat de beveiligingstechniek SSL (Secure Socket Layer, beveiliging gebruikt in browsers) daarom niet werkt. Immers, het is niet zichtbaar dat de berichten beveiligd worden voor het publiek. Er moet een afweging gemaakt worden tussen gebruiksgemak (meer beveiliging, is minder gemak) of een hogere graad van beveiliging. De uiteindelijke keuze hangt nauw samen met het doel; minder belangrijke boodschappen behoeven minder beveiliging.

Wat zijn de functies van PKI?

PKI heeft vele functies. De belangrijkste worden hieronder genoemd.
* Identificatie: van wie is het bericht?

* Integriteit: is het ontvangen bericht nog steeds hetzelfde bericht als het verzonden bericht?

* Authenticatie: is het bericht ook daadwerkelijk van degene van wie ik denk dat het is?

Naast deze functies zijn er nog vele andere functies zoals autorisatie, bewijs etcetera.

Wat doet de overheid?

Het doel van de overheid is het gelijkstellen van de digitale handtekening met de 'analoge' handtekening.
Dit moet het vertrouwen in de digitale handtekening vergroten. Hiertoe zijn op nationaal en op communautair niveaue reeds wetten van kracht en in de maak, die zijn toegespitst op nieuwe technologieën. De OPTA wordt waarschijnlijk de nieuwe toezichthoudende autoriteit voor instanties die PKI certificaten gaan uitgeven.

Hoe zit het me de aansprakelijkheid van deze instanties?

De aansprakelijkheid verschilt niet veel van die in de analoge wereld. De wetgeving uit onder andere het Burgelijk Wetboek is niet techniek gebonden. Als de uitgevende instantie tekort schiet omdat zij een product levert wat niet voldoet aan de vereisten, een zogenaamde 'slappe sleutel', dan is deze aansprakelijk. Echter, deze aansprakelijkheid is beperkt tot een bepaald maximum, zo verklaarde dhr. Arendshorst. Naarmate een 'zwaardere' handtekening wordt gebruikt, nemen de waarborgen en bedragen toe. Hier werd ook het onderscheid gemaakt tussen een gewone digitale handtekening '5.2' en de gekwalificeerde digitale handtekening '5.1' , die een hoger niveau van beveiliging garandeert.

Waarom is PKI nog niet publiekelijk geaccepteerd?

Er zijn nog geen sprekende business cases die het succes van de digitale handtekening onderstrepen, werd vanuit de zaal geopperd. Wat is hier de reden van en is er wel behoefte aan PKI? Dhr. Snel verduidelijkte dat elke nieuwe technologie, door de terughoudendheid van de mens, een incubatietijd heeft van minimaal 10 jaar. Hij voegde hier aan toe dat PKI geen doel op zich is, maar een middel. PKI is niet de killer application, maar een katalysator voor killer applications.

De toekomst van PKI.

De meerderheid van de aanwezigen zag voor PKI een belangrijke rol weggelegd in de toekomst.
PKI zal daadwerkelijk aanslaan als er killer applications op de markt komen die PKI nodig hebben voor een goede uitvoer. Hierbij werd onder andere gedacht aan het online invullen van de belasting aangifte en 24-hour banking.
Essentieel voor het succes van PKI is een universele infrastructuur, waar een belangrijke taak voor de overheid is weggelegd. De verwachting is dat er 4 à 5 soorten digitale handtekeningen verschijnen, uitgegeven door een dubbel zo groot aantal instanties.

Conclusie

De doorbraak van PKI is waarschijnlijk slechts een kwestie van tijd volgens de sprekers. Het wachten is op een uniforme infrastructuur en het toenemen van het aantal 'killer applications'. PKI zal ook transactie gebonden zijn, met een hogere graad van beveiliging en waarborg, naarmate de transactie belangrijker wordt. Daarom zal er ook niet één PKI komen maar eerder 4 à 5 soorten. De paradox van deze situatie is dat PKI makkelijker en goedkoper is te realiseren door schaalvergroting te bewerkstelligen.
Uiteindelijk zal voor het type PKI een afweging gemaakt moeten worden tussen beveiliging, gebruiksgemak en kosten.