4.3 Digitale handtekening

geheimhouding

De genoemde methoden voor versleuteling bewerkstelligen dat berichten en bestanden die via internet reizen, niet kunnen worden gelezen. De geheimhouding is daarmee dus geregeld. Maar soms is er meer dan geheimhouding alleen nodig: is de verzender (de ondertekenaar) wel degene die hij zegt te zijn?

zeker

Om hier zeker van te zijn, wordt vaak gebruikgemaakt van een digitale handtekening. Het is dan voor u als ontvanger duidelijk wie de afzender is. Ook kunt u er zeker van zijn dat het bericht of bestand onderweg niet is gewijzigd.

4.3.1 Handtekening toevoegen

digest

Het toevoegen van een digitale handtekening kan op diverse manieren. Sommige programma’s bieden speciale mogelijkheden. Een veelgebruikte handelswijze is dat de verzender met zijn versleutelprogramma een korte samenvatting maakt van het bericht, een zogenoemde digest. Deze wordt ook versleuteld en als handtekening meegestuurd met het versleutelde bericht.

Figuur 4.3 Versleuteling met een digest

authentiek

De ontvanger ontcijfert het bericht met de publieke sleutel van de verzender en controleert of de verzender authentiek is. Dat laatste doet hij door ook de handtekening met die publieke sleutel te ontcijferen, zelf een digest van het bericht te maken en die te vergelijken met de meegestuurde digest: die moeten dan overeenkomen (zie figuur 4.3). Een digitale handtekening wordt in veel landen, waaronder de meeste Europese landen en ook Nederland wettelijk erkend.

Voorbeeld

leverancier

Softwareleveranciers gebruiken een digitale handtekening ook om bij het downloaden of installeren van hun producten aan te geven dat ze een betrouwbare partij zijn. Zo’n handtekening hoeft niet versleuteld te zijn, want de inhoud is niet geheim. Maar als koper van de software weet u zo dat het programma uit een betrouwbare bron afkomstig is.

4.3.2 Juridisch kader

middel

certificaat

De Wet elektronische handtekeningen stelt de elektronische handtekening wettelijk gelijk aan de handgeschreven handtekening als er een betrouwbaar middel is gebruikt om de echtheid van de handtekening vast te stellen. Daarvoor moet die handtekening:

• op unieke wijze zijn verbonden met de ondertekenaar;
• het mogelijk maken om de ondertekenaar te identificeren;
• tot stand komen met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;
• op zodanige wijze verbonden zijn aan het elektronisch bestand waarop zij betrekking heeft, dat achteraf elke wijziging van het elektronisch bestand kan worden opgespoord;
• gebaseerd zijn op een gekwalificeerd certificaat;
• gegenereerd zijn door een veilig middel voor het aanmaken van elektronische handtekeningen.

Een geavanceerde digitale handtekening, die bovendien gebaseerd is op een gekwalificeerd certificaat en gegenereerd door een betrouwbaar middel, is dus juridisch gelijk aan de handgeschreven handtekening. Ook een ingescande handtekening kan hieronder worden gerekend, als deze logisch geassocieerd is met andere elektronische gegevens en gebruikt wordt als middel voor authenticatie.

4.3.3 Telecommunicatiewet

vereisten

Wat precies verstaan wordt onder ‘een gekwalificeerd certificaat’ en ‘een veilig middel’ staat beschreven in de Telecommunicatiewet en onderliggende wetgeving. In totaal zijn daarin enkele tientallen vereisten vastgelegd. Dit betekent overigens niet dat een handtekening die niet aan alle genoemde eisen voldoet, niet betrouwbaar genoeg is. Een rechter kan namelijk altijd besluiten dat de gebruikte elektronische handtekening dezelfde rechtsgevolgen heeft als een handgeschreven handtekening.

4.3.4 Keurmerk

gecertificeerd

Om te weten of aan alle eisen is voldaan, kunnen certificatie­dienstverleners zich volgens de Europese Richtlijn Elektronische Handtekening laten toetsen op alle bovenstaande vereisten. Daarna kan een keurmerk worden toegewezen zodat voor buitenstaanders vooraf duidelijk is of de elektronische handtekening die door de dienstverlener wordt gecertificeerd aan alle eisen voldoet en gelijkstaat aan een handgeschreven handtekening.