een van de eerste lessen die ik op het internet leerde staat mij nog altijd
bij. " Daar waar iets in de computer kan, kan ook iets uit de computer". Wat
men hiermee bedoelt is dat alles inweze wel te kraken valt. Een digitale
handtekening opzich haalt dus niet zo veel uit. Pas als het hele proces met
mensen die verstand van zaken hebben, word uitgevoerd. Pas dan kan je
over een redelijk betrouwbaar systeem spreken.

De stelling kan ik volledig onderschrijven. Het gaat er immers om dat het
document voorzien is van kenmerken waarmee ik de echtheid kan
controleren.

Het gaat hierbij dus niet om encryptie zodat een derde er niet meer bij kan.

Stel dat er een factuur (als voorbeeld) binnen komt die voorzien is van een
digitale handtekening zal ik deze moeten kunnen verifieren, en dat is dan
ook meteen de crux. Heb ik hiervoor aanvullende software (licenties) nodig,
is de partij waar ik de handtekening controleer betrouwbaar, wat kan ik met
het document als de geldigheid van het certificaat, waarmee de
handtekening is gezet, verloopt?

Het is imho een essentieele ontwikkeling, die nog wat werk nodig heeft.

Wat een onzin reacties hierboven.... Kijk eens op bugtraq.
Er zijn redelijk wat hackers die dit soort "handtekeningen"
gebruiken in de mail. Het werkt wel degelijk.

De (e-)belastingaangifte is al voorzien van een elektronische handtekening.

Werkt perfect!

De stelling gaat uit van de premisse dat zaken doen met
onbekenden toeneemt. Tevens wekt het de verwachting dat
onbekende personen betrouwbaar gemaakt kunnen worden door
een digitale handtekening.

Alles staat of valt echter met de exoneratieclausules die
door de "Trusted Third Party" (TTP) zijn opgenomen in hun
"Certificate Practice Statement" (CPS).

In TTP land is het common practice om risico's daar te
leggen waar ze
thuis horen ... De Certificate Practice Statements die door
TTP's worden gebruikt om de eindgebruiker duidelijkheid te
verschaffen over de gehanteerde normen en waarden waar het
het uitdelen van certificaten betreft, zijn doorspekt met
juridische termen en beslaan gemiddeld meer dan 50 A4 pagina's.

De gebruiker zal, door het accepteren van de digitale
handtekening van de derde partij, verklaren dat hij/zij op
de hoogte is van alle ins- en outs van public-key cryptografie.

Het grote aantal exoneratieclausules legt uiteindelijk het
risico volledig bij de certificaat accepterende partij. U.

Met andere woorden; een digitale handtekeningen circus dat
bedoeld is om zaken doen betrouwbaarder te maken levert
enkel duurdere zaken op.

Dat de digitale handtekening nodig is voor veilig zaken doen
op internet is dus flauwekul.

Een digitale handtekening is absoluut geen flauwekul. Zoals
iedereen weet kun je zelf de afzender van je mailtjes
bepalen. Ik kan gewoon in (f)Outlook instellen dat ik vanaf
het mailadres [email]bill.gates@microsoft.com[/email] mail. Hoe kun je
controleren of een mailtje echt van de afzender afkomt? Een
digitale handtekening is de manier.
Nu zal niemand snel verwachten dat Bill Gates een mailtje
stuurt, maar als je een mailtje krijgt van je bank of een
ander bedrijf waar je zaken mee doet, zijn er mensen die
toch denken dat t allemaal waar is. De digitale handtekening
zou dus vele phishing scams voorkomen.

Een digitale handtekening is een schoon goed, alleen in de
praktijk blijkt dat heel wat mensen hier niets om geven en
er ook niet veel van afweten. Zolang het niet "en-mass"
gebruikt wordt, denk ik ook niet dat het zijn doel bereikt.

Ik denk dat een sensibiliseringsactie van de overheid uit
hier verandering in kan brengen.

Natuurlijk mag de technologische vooruitgang geen beperking
zijn voor het gebruik van deze digitale handtekeningen.

Ik denk dat het weinig uitmaakt of de overheid dit
promoot... Ik denk dat als bedrijven hiermee gaan werken,
dat de simpele thuisgebruiker een stuk beter word geinformeerd.

PKI stelt niet zoveel voor, echter door de organisatorische implicaties die
ook juridische consequenties hebben wordt implementatie bemoeilijkt.

Als je het echt goed wilt doen heb je gewoon meer juristen als techneuten
nodig en om deze reden kan PKI niet het wondermiddel zijn.

Overigens is er geen enkele wondermiddel.
Tenzij je overweegt om standaard alles te publiceren en hiermee niets
hebt wat van enige waarde kan zijn, immers probeer jij maar uit
winstbejacht een foldertje die je in je bus hebt gehad, te hacken :-)

wel fijn dat elke afdeling van die overheid van ons een
eigen systeem ontwikkelt. lekker bezig jongens.

ach ja, die hele hype waait wel over nadat er enkele
miljoenen in zijn geinvesteerd..

dmv een digitale handtekening kan je misschien een aantal zaken
bepalen zoals de identiteit van de zender, of bewijzen dat de zender het
bericht ook daadwerkelijk heeft verzonden(non-repudiation). Dat betekent
nog niet dat iemand(man-in-the-middle) dergelijke berichten niet kan
meelezen.

Door een digitale handtekening te gebruiken zal het zaken doen niet
veiliger worden.

PKI is alleen geschikt voor een gesloten gebruikergroep (Dua als iedereen
dezelfde root heeft/kent). Op het internet zul je dit nooit gaan bereiken. PKI
voor een open gebruikersgroep kent zoveel implementatie problemen dat
deze projecten al 10-15 jaar op rij mislukken. Gelukkig heeft onze overheid
belasting geld genoeg te verkwisten om ook tot deze constatering te
komen.

Versleutelde emails gebruiken is maar heel zelden nodig.
Maar zeker zijn dat de email komt van de persoon van wie je
het verwacht is wel duidelijk belangrijker voor business.
Als ik een email stuur naar men drukker dat ik 500 extra
foldertjes wil mag iedereen dat lezen. En de drukker is vrij
zeker dat de mail van mij komt en niet van een spoof die mij
een fikse faktuur probeert erbij te lappen.

Op die wijze verschuif je het probleem: hoe weet je dat het
de digitale handtekening is van de persoon die je denkt??

....bewijzen dat de zender hetbericht ook daadwerkelijk
heeft verzonden(non-repudiation).
SF: Het betekent ook dat de zender bewijs heeft dat de
ontvanger het heeft ontvangen. Heel belangrijk in bijv.
financieel data-verkeer, denk maar eens aan
aankoopopdrachten voor effecten.

..."Certificate Practice Statement" ..... meer dan 50 A4
pagina's
SF: klopt, maar net is net als met algemene voorwaarden: in
de regel niet nodig daar eerst een studie van te maken
voordat tot aankoop overgegaan wordt
...Dat de digitale handtekening nodig is voor veilig zaken doen
op internet is dus flauwekul.
SF: je theoretisch bezwaren kloppen wel, maar leiden niet
tot de conclusie die je trekt: ook al kloppen ze, een
digitale handtekening kan nog steeds nodig zijn.

...PKI is alleen geschikt voor een gesloten gebruikergroep
SF: ja, bijvoorbeeld iedereen met de nederlandse nationaliteit.

...Op die wijze verschuif je het probleem: hoe weet je dat het
de digitale handtekening is van de persoon die je denkt??
SF: door dat na te gaan via de chain-of-trust in de
PKI-infrastructuur.

PKI is geen eitje, daar komt heel wat bij kijken. De
encryptie klopt meestal wel, maar in de implementatie zijn
wel gaten te vinden.
Maar Root-CA door de overheid lijkt me een goede zaak. Ik
pleit ook voor een officieel email adres (naast de
commerciele), af te halen bij het postkantoor, met je paspoort.
SF

Ik geloof er niet zo zeer in met de huidige stand van techniek.

Ik heb geen vertrouwen in een digitale handtekening zeker in die
zin dat deze niet continue aan verandering onderhevig is.
Als iemand jouw handtekening nodig heeft voor malafide
praktijken is een digitale handtekening ideaal en helemaal een
die nooit verandert.

Als ik de site van diginotar zo bezie valt mij op dat er een
certificerings server wordt gebruikt. Ik denk dat als je het veilig
wiilt houden er zo min mogelijk partijen moeten zijn. De
rechtmatige verzender en de rechtmatige ontvangende partij.
Hoe meer partijen, hoe meer kans om te kunnen onderscheppen
en vervalsen.

Het probleem blijft het medium internet. Als de TCPA chip
gewoon voor normale zaken zoals een digitale handtekening zou
worden gebruikt ben je er ook maar gedeeltelijk. Stel dat de
toekomstige TCPA chip in je computer van jouw profiel (user
aangemeld bij OS, dat kan zijn via wachtwoord/login ,
biometrische vormen van herkenning) en jouw computer een
unique id aanmaakt. Waarna je je vervolgens aanmeldt bij de
desbetreffende certificerings server. Deze server moet dan wel
heilig zijn en dat betwijfel ik of deze dat ook blijft.
En daar bedoel ik niet alleen krakers mee maar ook big brother.

Ook kun je voor de belastingdienst weer een andere digitale
handtekening aanmaken dan voor de site van de bank enz enz
als oplossing.

Echter, voortaan is jouw computer en jij dan bekend als computer
A en persoon A. Wat ik mij steeds weer afvraag is het volgende :

1
Je bent dan gebonden aan deze computer dus dat is ook niet
ideaal in de zin van flexibel zijn maar misschien wel weer veiliger
in die zin dat je maar van een computer en verbindingspunt aan
het internet(gedeeltelijke controle van ISP + computer +
authenticatie) je zaken kan doen en dat is je systeem thuis.

2
Om te controleren of je bent wie je bent moeten jouw gegevens
gecontroleerd worden. Dus moeten deze worden verstuurd via
het internet. En dan is het weer te onderscheppen en helaas
vast ook weer te kraken. De vindingrijkheid van de mens kent nu
eenmaal geen grenzen als de mens maar wilt. Dus de volgende
oplossing welke helaas nog zeer ver in de toekomst ligt voor de
massa is dan de juiste.

De enige echte veilige manier is een twee weg communicatie
met een destructieve decryptie zoals quantum encryptie
technieken.

Onderscheppen is verminken en gelijk wordt door de
ontvangende partij vastgesteld dat de verstuurde data
onderschept is waarna de versturende partij hier van op de
hoogte wordt gesteld en de versturende partij onmiddelijk een
nieuwe sleutel en een andere versleuteling gebruikt.
Ook kun je op deze wijze de data steeds versleutelen met een
andere sleutel en wel met zeer korte tussenposen ook de
versleuteling techniek kun je varieëren. Op deze wijze is het
voorlopig onmogelijk om de boel te kraken.
Vraag is hoe je dit moet implementeren over een wereldwijd
internet. Misschien moet je het enigzins lokaal houden, maar dan
kun je weer niet internationaal aan de slag. Kan wel maar dan
komen er weer meer spelers meedoen met alle gevolgen van
dien. Er komt vast wel een oplossing door bundeling van
verschillende technieken.


Tot die tijd is een tunnel (zoals een vpn of geavanceerder, help
me hier een beetje want ik weet ook niet de nieuwste
technieken) het beste om te gebruiken.
Een virtueel rechtstreekse verbinding waarvan de versleuteling
continue rouleert en de sleutel zelf ook.
Op die manier wordt het al een stuk veiliger.

Er is slechts een grote maar : Hoe nauwkeuriger je wilt
vaststellen of een persoon zegt wie hij/zij is hoe meer de privacy
in gedrang zal komen. Je kan je nu eenmaal niet anoniem een
digitale handtekening aan meten, want wat heeft die
handtekening dan nog voor nut...


ALG

Een Man-in-the-middle aanval kan niet worden uitgevoerd bij
assymetrische encryptie, mits goed geimplementeerd.
Als ik mijn prive key versleutel met jouw publieke key, ben jij toch echt de
enige die mijn digitale handtekening kan lezen, doordat je eerst met jou
prive key de boel moet dycrypten. Man in the middle is dan helemaal niet
mogelijk. Dit lukt alleen als ik beide partijen een foutieve publieke key geef
en dan er tussen kan zitten. Dat bedoel ik met foute implementatie. Wij zijn
de CA's en RA's? Hoe goed zijn die te vertrouwen? Hoe worden key
gegenereerd? Enz,enz

...nee, dat blijkt wel.

Als iedereen dezelfde hard- en software ontvangt voor het
zetten en valideren van handtekeningen, dan zou het kunnen.
Personen zonder de Nederlandse nationaliteit hebben dan wel
pech. Ik zie dit echter niet gebeuren. Jij wel?

uhh, JA.
hardware-software: da's enkel implementatie. Een 'kastje'
voor je token is net zoiets als een Chipknip-kastje bij de
sigarenboer. Massaproductie drukt de prijs.
Vroeg of laat (en of je het leuk vindt of niet) heeft men
persoonsgebonden tokens voor dit soort toepassingen (PKI,
maar ook authenicatie op allerlei andere plekken, bijv.
voetbalstadion). Nu is dat een paspoort met een foto, een
magneetstrip met een PIN code. Biometrie komt eraan, dat is
een kwestie van tijd.
Het uitdelen zou gemakkelijk kunnen op basis van
nationaliteit, net als een paspoort. Lijkt me ook logisch
want het heeft dezelfde functie.

BTW: In de Bijbel staat een voorspelling dat er een tijd
komt waarin het niet mogelijk is handel te drijven zonder
token in de hand of in het voorhoofd.

SF

Dat is grappig,

Daarom waren toen vroeger de streepjescodes werden
ingevoerd nogal wat mensen tegen het invoeren van
streepjescodes.
De hand van het beest werd er namelijk in gezien.
Staat dit toevallig ook niet zo in de bijbel ?

ALG

Met http://www.gnupg.org/ kun je electronische berichten
digitaal signeren al of niet met gebruik van encryptie. Het
doet er regelmatig niet toe of een electronisch bericht niet
encrypted is. De signatuur kan een prima verificatie zijn
van de afzender, en vooral een waarborg voor de inhoud van
het digitaal gesigneerde goed. Je kunt immers geen bit
veranderen zonder dat dit onopgemerkt kan blijven met de
signatuur. Enige modificatie, hoe miniem deze ook moge zijn,
wordt direct opgemerkt wanneer men de signatuur en daarmee
tevens de inhoud op echtheid checkt. Iemand die onder
afspraken uit wil komen of gewoon je woorden wil verdraaien
kan de inhoud niet ongemerkt manipuleren. Dat is de meest
essentiële waarborg dat je daarmee bereikt, waar je het ook
voor inzet.
De controleerbaarheid van de integriteit, de
onweerlegbaarheid van de inhoud is dus onmisbaar voor veilig
digitaal zaken doen.