Zet u even een krabbel

Herbert Blankesteijn

Dit voorjaar zal de Eerste Kamer zijn goedkeuring verlenen aan een wet die digitale handtekeningen erkent, en die de daarmee gewaarmerkte documenten rechtsgeldig maakt. Het bedrijfsleven, dat veel te winnen heeft bij digitale transacties, staat ervoor klaar. Burgers krijgen er eerst mee te maken als werknemers, maar over een paar jaar zullen ze ook als privépersonen en consumenten hun koopovereenkomsten, contracten, vergunningaanvragen en dergelijke digitaal kunnen ondertekenen.

Electronische transacties zijn sneller voor elkaar, omdat er geen papieren met de post meehoeven en er geen personen voor loketten hoeven te verschijnen. Het scheelt moeite, kilometers en kosten; de opslag van bewijsstukken wordt eenvoudiger en goedkoper, terwijl terugvinden en doorzoeken makkelijker en sneller zal gaan. Octrooiaanvragen, juridische contracten en andere bedrijfsinformatie kunnen dan veilig via internet worden verstuurd.

Basis voor de digitale handtekening is een Europese richtlijn uit 1999, die stelt dat iedere lidstaat van de Europese Unie een wet voor de elektronische handtekening moet hebben, dat deze handtekening moet worden uitgegeven door gecertificeerde dienstverleners, en dat er een norm moet zijn die de technische details van een handtekening specificeert. Deze norm bestaat al sinds mei 2000 onder de naam ES 101 456. De beveiliging is daarin een cruciaal aspect. De handtekening garandeert het akkoord van een bepaalde persoon, en mag daarom niet vervalst, gestolen of ten onrechte gebruikt kunnen worden en mag niet van het getekende document kunnen worden gescheiden. Na het tekenen moet het onmogelijk zijn veranderingen aan te brengen zonder de handtkening te beschadigen.

De normen zijn er dus al geruime tijd. Sinds 27 november vorig jaar is PinkRoccade de eerste gecertificeerde dienstverlener in Europa. Het certificeringsonderzoek is uitgevoerd door KPMG waarvoor KPMG op zijn beurt is geaccrediteerd door de Raad voor de Accreditatie. Ook Enschedé/Sdu, Diginotar en KPN hebben ambities om gecertificeerd te worden. Het enige wat nog ontbreekt is de goedkeuring door de Eerste Kamer van de Nederlandse wet op de elektronische handtekening.

Hoe gaat dat straks in de praktijk? Henk Hendriks, Business Unit Director Trusted E-business Services van PinkRoccade kan een van de mogelijkheden binnenshuis demonstreren. Op zijn pc heeft het e-mailprogramma Outlook twee extra knopjes. Met het ene kan hij een mailtje ondertekenen. Dat betekent dat er een certificaat (in feite een tekstattachment met codes) wordt meegestuurd, dat door het mailprogramma van een ontvanger kan worden herkend als dat van Hendriks. Het andere knopje kan het bericht bovendien coderen, op zo'n manier dat het alleen door de geadresseerde kan worden ontcijferd. Deze kan de mail met even simpele handelingen decoderen, waarbij dialoogvensters melden van wie het bericht komt en van welke garanties het is voorzien.

De techniek achter de digitale handtekening is naar digitale begrippen oud en heet Public Key Infrastructure (Pki). Al in 1991 verscheen de eerste versie van het programma Pgp (Pretty Good Privacy), waarmee iedereen zijn mail kon ondertekenen en coderen. Dit had vooral waarde voor wie de techniek kende en vertrouwde - een wettelijke basis ervoor was er niet. Gebruikersvriendelijk was de software ook niet. Tot op de dag van vandaag is Pgp niet bijzonder gangbaar. Binnen afzienbare tijd wordt Pki (waar Pgp een speciaal geval van is) gemeengoed, maar dan op zo'n manier dat niemand er omkijken naar heeft. Recente versies van populaire software zijn er al geschikt voor. Behalve Office bijvoorbeeld Lotus, Novell, Netscape en Adobe Acrobat.

Mogelijk kader:

Iedere gebruiker van Pki heeft een openbare sleutel en een geheime. In de computerpraktijk zijn dit 'gewoon' getallen. Wie een boodschap getekend wil versturen, codeert deze met zijn geheime sleutel. Niemand anders hoort deze te hebben. Als de ontvanger het kan decoderen met de openbare sleutel van dezelfde persoon (als hij deze niet al heeft, kan hij hem via internet verkrijgen) is daarmee aangetoond dat het bericht inderdaad van deze persoon afkomstig is én dat het onderweg niet is veranderd.

Wil de afzender bovendien zorgen dat alleen de geadresseerde het bericht kan lezen, dan codeert hij bovendien met de openbare sleutel van deze persoon. Het bericht kan nu alleen geopend worden met de geheime sleutel van de geadresseerde. In het verleden waren dit nogal wat handelingen; in moderne software is dat gereduceerd tot welgeteld twee klikjes.

Einde kader

Dat deze eenvoud ook risico's introduceert erkent Hendriks: 'Als je van je pc wegloopt, kan een ander mail met jouw handtekening versturen. Daarom is bij ons bedrijf verplicht dat binnen een minuut de screensaver in werking treedt, die zelf beveiligd is met een wachtwoord. Overigens kun je ook het beveiligingsniveau op je pc nog sterker instellen door elke keer dat je een certificaat gebruikt een pincode moet intoetsen.' Er komt een digitale handtekening die gekoppeld is aan een smartcard, die zelf weer beveiligd is met een pincode, of met biometrische gegevens zoals een vingerafdruk of een irisscan. Voor een sluitende beveiliging is zo’n smartcard essentieel.

Met deze manifestatie van de electronische handtekening zal de burger waarschijnlijk te maken krijgen. Hendriks: 'Zo tegen 2005 of 2006 zal de overheid een identiteitskaart invoeren met digitale gegevens van de eigenaar. Zo'n kaart krijg je alleen als je je eerst fysiek identificeert, bijvoorbeeld op het gemeentehuis. Maar met die kaart wordt het mogelijk op afstand digitaal te tekenen, bijvoorbeeld thuis achter de pc, maar in principe achter elke pc met een geschikte kaartlezer.' Daarmee kunnen dan ook diploma's, patiëntendossiers, veilig digitaal worden verstuurd en kunnen subsidieaanvragen en geboorteaangiften via internet plaatsvinden.

Voor thuisgebruik zal de burger dus behalve de kaart een kaartlezer moeten hebben, als los onderdeel bij de pc, of misschien als ingebouwde voorziening. Omdat een kaart verloren kan worden, zal bij het ondertekenen doorgaans een pincode worden gevraagd, en omdat niet iedereen even verstandig omgaat met pincodes lijkt een een vingerafdruk of een irisscan Hendriks veiliger. Maar dat vereist weer meer techniek, en leidt tot meer kosten.

Dus de burger mag weer betalen voor iets waarom hij niet heeft gevraagd? Hendriks houdt het voor mogelijk, maar het is afhankelijk van het overheidsbeleid. 'Vergeet niet,' zegt hij, 'dat de burger er ook van gaat profiteren. Hij zal allerlei administratieve procedures sneller kunnen afhandelen, hoeft er de deur niet voor uit en hoeft niet meer in de rij te staan. Dat scheelt tijd en geld. Zo is het ook denkbaar dat werkzaamheden van de notaris minder tijd gaan kosten en dus aanzienlijk goedkoper worden.'