Digitale handtekening

Een digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie door middel van bijvoorbeeld technieken van de asymmetrische cryptografie, op een wijze vergelijkbaar met het ondertekenen van papieren documenten aan de hand van een geschreven handtekening. Over het algemeen bestaat een digitale handtekening uit twee algoritmen: één om te bevestigen dat de informatie niet door derden veranderd is, de andere om de identiteit te bevestigen van degene die de informatie "ondertekent". De combinatie van de resultaten van deze twee algoritmen vormt de digitale handtekening. De technieken worden toegepast met behulp van een Public Key Infrastructure.

In dit voorbeeld wordt het bericht digitaal ondertekend m.b.v. asymmetrische cryptografie.
1. Alice ondertekent het bericht met haar private key.
2. Bob kan verifiëren dat Alice het bericht verstuurd heeft en dat het bericht niet gewijzigd is.

Elektronische handtekening bewerken

Definitie bewerken

De term "elektronische handtekening", die vaak incorrect als synoniem van een digitale handtekening wordt gebruikt, is een wettelijke definitie voor diverse, niet noodzakelijk cryptografische, methoden om de identiteit van iemand die een elektronisch bericht zendt te bevestigen. Dit omvat behalve een digitale handtekening ook anderzijds bijvoorbeeld telegram- en telexadressen en een geschreven handtekening op een gefaxt document.

Een voorbeeld van een elektronische handtekening is het formulier van de Belastingdienst, waarop 5 willekeurige cijfers moeten worden ingevuld, een normale handtekening wordt gezet en dat daarna wordt opgestuurd. Deze elektronische handtekening is opgevolgd door de DigiD en wordt niet meer gebruikt.

Er zijn ook mensen die denken dat een scan of foto van een handgeschreven handtekening een digitale of elektronische handtekening is. Dit is onjuist en verwarrend, en heeft geen juridische waarde, omdat een dergelijke scan of foto moeiteloos door iedereen gekopieerd kan worden. Een gescande handtekening in een tekstdocument kan volgens de Belgische wetgeving evenwel ook als vervanger voor een digitale handtekening gebruikt worden, maar slechts op voorwaarde dat de authenticiteit ervan verzekerd is.[1]

Juridische gevolgen bewerken

Europa bewerken

In Europa was een digitale handtekening dankzij Richtlijn 1999/93/EG[2] reeds gelijkgeschakeld aan een "papieren" handtekening. In de meeste gevallen moet die digitale handtekening dan wel met behulp van een gewaarmerkt certificaat te verifiëren zijn en moet deze met een veilig middel (bijvoorbeeld een smartcard) zijn gemaakt. De juridische gevolgen zijn dan hetzelfde: de plaatser zit eraan vast, tenzij hij aannemelijk kan maken dat hij de handtekening niet gezet heeft.

Een nieuwe eIDAS-verordening werd door de Europese Commissie aangenomen in juni 2012, op 28 februari 2014 goedgekeurd door de Europese Raad, en op 3 april 2014 door het Europees Parlement aangenomen.[3] Sedert die regeling op 1 juli 2016 in werking is getreden, zou elke Europese overheid de elektronische identiteitsbewijzen van andere lidstaten moeten lezen en aanvaarden.[4][5][6]

Nederland bewerken

In Nederland is de wet elektronische handtekeningen op 21 mei 2003 in werking getreden. Boek 3 van het Nederlandse Burgerlijk Wetboek zegt in artikel 15a[7] dat een digitale handtekening "dezelfde rechtsgevolgen als een handgeschreven handtekening" heeft, "indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval."

De wetgever gaat vervolgens verder om het in de Richtlijn geïntroduceerde begrip geavanceerde elektronische handtekening te introduceren, dat in grote lijnen met een digitale (PKI) handtekening overeenkomt (art. 3:15a lid 2 BW):

  • De handtekening is op unieke wijze aan de ondertekenaar verbonden (sub a).
  • De handtekening maakt het mogelijk de ondertekenaar te identificeren (sub b).
  • De handtekening is tot stand gekomen met middelen die onder de uitsluitende controle van de ondertekenaar staan (sub c): denk bijvoorbeeld aan eigen computerapparatuur of een eigen smartcard.
  • De handtekening moet zodanig aan het meegestuurde document zijn verbonden, dat elke wijziging achteraf kan worden opgespoord (sub d).

Als aan bovenstaande eisen is voldaan, en de handtekening is gebaseerd op een gekwalificeerd certificaat (bijvoorbeeld een PKIoverheid certificaat) (art. 3:15a lid 2 sub d B.W. en art. 1.1 ss en art. 18.15 lid 1 + 2 Telecommunicatiewet), en de handtekening is aangemaakt met een zogenaamd veilig middel (art. 18.17 lid 1 Telecommunicatiewet: de veiligheidseisen staan in een AMvB), dan wordt de elektronische handtekening in kwestie vermoed voldoende betrouwbaar te zijn. Deze klasse van elektronische handtekeningen, er wordt ook wel van gekwalificeerde elektronische handtekeningen gesproken, is dus met extra zekerheden omgeven.

De regels van de elektronische handtekening gelden ook buiten het vermogensrecht (art. 3:15c BW).

Overigens is in Nederland een handtekening nooit heilig, er is altijd inhoudelijke toetsing door de rechter mogelijk. Als de plaatser van de handtekening ten stelligste ontkent deze gezet te hebben, moet eerst bewezen worden dat de handtekening echt is (art. 159 Wetboek van Burgerlijke Rechtsvordering).

België bewerken

In België wordt de elektronische handtekening geregeld door de wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor de elektronische handtekeningen en certificatiediensten. De wet volgt de bepalingen van de richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999. De accreditatie en controle van certificatiedienstverleners wordt geregeld in het Koninklijk Besluit van 6 december 2002.[8]

Gebruik bewerken

Er zijn drie redenen waarom men een digitale handtekening wil gebruiken voor het uitwisselen en archiveren van berichten, waardoor het mogelijk wordt om bijvoorbeeld elektronische handel te drijven of anderzijds juridische transacties te laten plaatsvinden:

Authenticiteit bewerken

Een geverifieerde digitale handtekening geeft de ontvanger het vertrouwen dat de zender van het bericht inderdaad degene is wiens naam als afzender in het bericht staat. De afzender tekent het bericht met zijn/haar geheime sleutel, de ontvanger verifieert met de publieke sleutel van de afzender.

Het belang van authenticiteit is vooral duidelijk bij het gebruik van communicatie voor financiële doeleinden. Bijvoorbeeld als een bijkantoor van een bank instructies zendt naar het hoofdkantoor om een bedrag naar een rekening over te maken is het belangrijk om te kunnen bepalen of de afzender van het bericht effectief een gemachtigde zender is uit het bijkantoor.

Integriteit bewerken

De afzender en de ontvanger willen er beide zeker van zijn dat een bericht niet veranderd is tijdens de transmissie. In bijvoorbeeld een bankscenario is het belangrijk te kunnen bepalen of onderweg niet een paar nullen aan een bedrag zijn toegevoegd.

Een digitale handtekening bevat onder meer een controlegetal van het originele bericht. Deze hash-waarde wordt ook met behulp van cryptografische technieken berekend. Bij ontvangst wordt opnieuw dezelfde controleberekening gemaakt, waarmee kan worden vastgesteld of tussen verzending en ontvangst een mutatie van het bericht heeft plaatsgevonden.

Onweerlegbaarheid bewerken

In de cryptografie betekent onweerlegbaarheid (non-repudiation) dat de verzender niet kan ontkennen dat hij/zij een bepaald bericht verzonden heeft (en dat de ontvanger niet kan ontkennen het bericht ontvangen te hebben, maar dat speelt bij de digitale handtekening formeel geen rol). Dat is vooral van belang voor berichten die betrekking hebben op een wettelijk bindende overeenkomst, zoals een contract.

Risico's bewerken

Net als in de traditionele papieren wereld is ook een digitale handtekening niet volledig veilig. In de papieren wereld kan een handtekening vervalst worden. In de digitale wereld kan een ontvanger nooit honderd procent zeker zijn van de betrouwbaarheid van een digitale handtekening:

  • een derde persoon kan de geheime sleutel bemachtigd hebben
  • het vercijferingsysteem kan gebroken zijn
  • de certificaten kunnen ongeldig zijn of zoek zijn geraakt

Zie ook bewerken

Externe links bewerken