Op 21 mei is in Nederland de Wet Elektronische Handtekeningen in werking getreden. Hiermee krijgt de elektronische handtekening dezelfde juridische status als de gewone, met de hand gezette, handtekening. Zowel de certificatiedienstverlener als de omgeving waarin de elektronische handtekening gezet wordt moet dan wel aan een aantal eisen voldoen. Hoe kan zo'n elektronische ondertekening het veiligst plaatsvinden, binnen de eisen van de wet?
Voor het zetten van een geavanceerde elektronische handtekening zijn de eisen die de wet stelt opvallend minder specifiek. Ten eerste stelt de wet de voor de hand liggende en eenvoudig te implementeren eisen: de handtekening maakt het mogelijk de ondertekenaar te identificeren en is onlosmakelijk aan het getekende document verbonden.
Ten tweede wordt geëist dat de elektronische handtekening tot stand komt met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden. Bovendien moet zij gegenereerd worden door een veilig middel voor het aanmaken van elektronische handtekeningen. Aan deze laatste twee eisen is echter veel lastiger te voldoen, mede omdat ze afhankelijk zijn van de interpretatie van wat een "veilig middel" zou moeten zijn.
Ten tweede geldt juist voor een gewone handtekening dat de intentie voor het zetten van die handtekening door de ondertekenaar (in het algemeen) overduidelijk aanwezig moet zijn geweest. Voor een digitale handtekening geldt dit niet. Het is niet de ondertekenaar zelf, maar een computer die de cryptografisch berekening uitvoert en daarmee de handtekening zet. Lang niet is altijd duidelijk of de ondertekenaar zelf de computer heeft geïnstrueerd om de handtekening te zetten. Dit kan alleen als de digitale handtekening wordt gegenereerd door een voldoende veilig middel dat onder de exclusieve controle van de ondertekenaar staat.
Wat is dan wel een veilige omgeving? Zo'n omgeving moet tenminste aan de volgende eisen voldoen. Alleen de ondertekenaar moet in staat zijn om de geheime sleutel te gebruiken voor het zetten van een handtekening. Ook moet hij erop kunnen vertrouwen dat het document dat getekend wordt ook het document is dat hij wil tekenen. Deze voor de handliggende eis wordt niet expliciet genoemd in de wet. Echter, in een onveilige omgeving kan malafide software een heel ander contract laten tekenen dan welke op het beeldscherm wordt getoond.
Hiermee is het probleem nog niet helemaal opgelost. Hoe weet de chipkaart immers dat een document ondertekend mag/moet worden? Normaal gesproken wordt het gebruik van een chipkaart beperkt door te eisen dat er eerst een juiste PIN-code moet worden ingetypt. Deze PIN-code kan natuurlijk niet via de pc ingevoerd worden. Want dan bestaat weer de kans dat de PIN-code onderschept wordt door een virus, en vervolgens misbruikt wordt voor oneigenlijke toegang.
Dit betekent dat de chipkaart in een beschermde en goedgekeurde chipkaartlezer met eigen toetsenbordje voor de PIN moet worden gestopt. Dergelijke kaartlezers worden bijvoorbeeld ontwikkeld door de banken (FINREAD). Voor een nog hogere graad van beveiliging kan ook worden gedacht aan het ontsluiten van de chipkaart door biometrie, bijvoorbeeld via een chipkaart met een ingebedde vingerafdruksensor.
Blijft over de vraag hoe te garanderen dat het te ondertekenen document ook inderdaad het document is dat voor ondertekening aan de chipkaart wordt gestuurd. Te denken valt hier aan het toevoegen van een display op de chipkaartlezer waarop (de essentie van) het document vóór ondertekening wordt getoond. Nadeel is dat het de kaartlezer aanmerkelijk ingewikkelder wordt gemaakt, waardoor het correct functioneren van de lezer veel lastiger te garanderen is. Speciale, beveiligde apparatuur en software is dus nodig voor digitale handtekeningen, namelijk in de vorm van chipkaarten en kaartlezers. Het correcte functioneren daarvan is cruciaal, en dient in onafhankelijk evaluatieprocedures vastgesteld worden. Dit is een onderwerp op zich.
Er is duidelijk meer onderzoek nodig naar platformen waarop wel veilig een elektronsiche handtekening gezet kan worden. In de eerste plaats kan gekeken worden naar de mogelijkheid om de pc zelf betrouwbaarder te maken. Verschillende initiatieven worden hiervoor al ontplooid. Denk bijvoorbeeld aan de Trusted Computing Platform Alliance (TCPA) en Microsoft's Next-generation secure computing base (voorheen Palladium).
Behalve aan een pc met een beveiligde kaartlezer, valt ook te denken aan werkelijk persoonsgebonden apparaten als een mobiele telefoon, een organiser of een tablet pc. De uitdaging is om dergelijke apparaten om te vormen tot een voldoende veilige omgeving, gegeven het feit dat tegenwoordig zowel op telefoons als op organisers verschillende (eventueel onbetrouwbare) applicaties kunnen draaien.
Prof. Bart Jacobs is hoogleraar beveiliging en correctheid van programmatuur
aan de Universiteit Nijmegen.
Dr. Jaap-Henk Hoepman is senior onderzoeker security en cryptografie,
eveneens bij de Universiteit Nijmegen.
Dit artikel is verschenen in I&I, 21 (3), 2003, pp 8-9, Otto Cramwinckel Uitgever.
Last Version - $Revision: 1.5 $ / $Date: 2003/10/28 10:14:24 $
Maintained by Jaap-Henk Hoepman
Email: