Cryptografische sleutels kunnen het best in bewaring worden gegeven aan de banken, en niet aan de overheid, meent Ch. van Dijken.
In het artikel ‘Overheid bevordert elektronisch winkelen’ (Computable, 18 juli) wordt gesteld dat voor de bevordering van de handel via Internet in Nederland Trusted Third Parties (TTP’s) in het leven moeten worden geroepen. TTP’s zijn instanties die cryptografische sleutels van anderen in bewaring houden.
Dit is mijns inziens allerminst nodig. Ter onderbouwing van dit standpunt dient het uitlekken van het feit dat een kleine vierhonderd wetten en regels bij de Europese Gemeenschap hadden moeten zijn aangemeld. Volgens het ‘Securitel arrest’ van het Europese hof had deze nalatigheid tot gevolg, dat die wetten hun rechtsgeldigheid verloren. Kennelijk hadden de ministers van Economische Zaken en Justitie tevergeefs gehoopt dat een en ander kon worden rechtgebreid, alvorens het in de publiciteit kwam. Ook het uitlekken van informatie over wie er door de politie wordt afgeluisterd doet sterk vermoeden, dat de overheid niet echt in staat is geheimen te bewaren. Dus vind ik dat die overheid moet afzien van de wens geheime encryptiesleutels van anderen onder haar hoede te nemen.
Twee sleutels
Alvorens dieper op deze zaken in te gaan, even een korte uiteenzetting over public key cryptography. Bij deze vorm van bescherming door middel van geheimschrift maakt een gebruiker twee complementaire sleutels aan. De eerste sleutel wordt ten behoeve van verzenders vrijgegeven. De tweede moet de gebruiker strikt geheim houden en dient om ontvangen berichten weer leesbaar of bestanden weer bruikbaar te maken.
Het verstrekken van de sleutels aan het publiek kan plaatsvinden onder de hoede van een certifying authority (CA). Deze staat in voor de echtheid van de gegevens in de openbare sleutels waarover hij het beheer voert. De CA bereikt dit door de openbare sleutel van elke gebruiker te coderen met z’n eigen geheime sleutel, de digitale handtekening. De openbare sleutel van de CA zou dan van diens ‘home page’ geplukt kunnen worden.
Een klant die een bedrijf – op volstrekt betrouwbare wijze – een e-mail wil sturen, vraagt de openbare sleutel uit de home page van dat bedrijf op. Daaruit kan die klant ook opmaken wie de CA van die sleutel is. Vervolgens decodeert de klant de opgevraagde sleutel van dat bedrijf met die van de CA. De klant beschikt nu over de openbare sleutel, waarmee hij zijn bericht aan dat bedrijf moet beveiligen. Dit laatste gebeurt door e-mailtjes zowel met de openbare sleutel van de ontvanger als met de geheime sleutel van de verzender te verzegelen. Die laatste bewerking levert dus weer een digitale handtekening op, ditmaal die van de klant.
Bank als CA
Gezien het voorgaande, lijkt het me dat de grote banken in Nederland in een uitstekende positie verkeren om als certifying authority op te treden. Als er instellingen zijn, die zowel bij de consument als bij het bedrijfsleven een hoge mate van vertrouwen genieten, dan zijn het wel de grote banken. Het aanmaken van de sleutels zou dan door de klant moeten gebeuren, in het bijzijn van een bankmedewerker en op een computer van de bank. Vervolgens kopieert de klant zijn geheime sleutel naar diskette en verwijdert hij zijn geheime sleutel uit de computer van de bank. Uiteraard zullen de banken hiervoor kosten in rekening brengen; persoonlijk vind ik een bedrag van twintig tot dertig gulden per jaar voor individuele consumenten alleszins redelijk.
De enige rol die ik hierin voor de overheid zie weggelegd is het wettelijk vastleggen dat digitale handtekeningen, zoals boven beschreven, dezelfde rechtsgeldigheid hebben als pen-handtekeningen.
Ch. van Dijken, Gouda
