Voor het aangaan van een wettelijke transactie is nog vaak een ouderwetse, op papier gezette handtekening nodig. Met de komst van de Wet Elektronische Handtekening en de Wet Elektronische Handel kunnen digitale handtekeningen dezelfde waarde krijgen als een met inkt gezette krabbel.
De roep om authenticatie van mailberichten wordt steeds sterker. Men wil immers vast kunnen stellen of diegene van wie een bericht afkomstig lijkt te zijn, ook daadwerkelijk die persoon is. In de advocatuur en het notariaat speelt deze problematiek al enige tijd. Bij Pels Rijcken & Droogleever Fortuijn Advocaten en Notarissen gaat een groot gedeelte van de digitale communicatie zowel met authenticatie als encryptie. Pieter Offers, hoofd Facilitaire Dienst en Automatisering, stipte dit thema al in een vroeg stadium aan.
Fax, post en koerier
"Bij Pels Rijcken zijn we daar al in 2001 over gaan nadenken", legt hij uit. "De technische mogelijkheden waren er overigens nog niet. Er bestonden wel allerlei initiatieven, maar het was nog niet duidelijk welke kant het op zou gaan. Het doel was wel helder: het zeker stellen van iemands identiteit wanneer iemand een bericht stuurt. Vooral in het notariaat was dat belangrijk. In de advocatuur speelde het op dat moment nog niet. Goed bezien werden er nog maar weinig zaken elektronisch gedaan. Veel schriftelijke communicatie ging per fax, post en koerier. E-mail gebruikten we voornamelijk om een klant of collega te laten weten dat er een fax of een koerier aan zou komen. Pas nu zie je dat die transportvormen minder worden ingezet en vervangen worden door digitale communicatiemiddelen. Al gaat er nog heel wat per envelop."
Eerste keer
Offers merkt op dat de traditionele manier van bezorgen een minder gegarandeerde authenticatie bevat dan elektronische post. "Iedereen kan aan de hand van internet een briefhoofd namaken en een naam en handtekening eronder zetten. De weg waar digitale authenticatie naar toe gaat, is in dat opzicht heel wat veiliger. We gaan hard naar het punt toe waar we als werknemer allemaal goed geauthenticeerd zijn en de werkgever een geauthenticeerde organisatie is. Als je het goed beschouwt, wordt dat dan de eerste keer in de geschiedenis dat we er echt zeker van zijn dat degene die ons een bericht stuurt, ook daadwerkelijk de persoon is waar hij of zij zich voor uitgeeft." Offers plaatst hierbij de kanttekening dat we op persoonlijk niveau al vrij ver zijn, maar er nog geen goede authenticatievorm voor organisaties bestaat. "Kijk naar wat er met phishing gebeurt. Je kan wel een mail van de bank krijgen, maar je blijft het risico lopen dat het fake is."
Gateway-oplossing
Pas rond 2004 is Pels Rijcken & Droogleever Fortuijn gestart met het zoeken naar een leverancier. Alleen was het nog niet duidelijk welke methodiek op grote schaal ingevoerd zou worden. "Het gaat er bij authenticatie en encryptie om dat ook klanten zich willen aansluiten. Het werkt namelijk alleen maar als twee partijen overeenkomstige technieken gebruiken." Pels Rijcken is met Izecom in zee gegaan. Daartoe is er tussen de clients en de internetgateway de Izemail-'gateway' geplaatst. In deze gateway worden de mails ondertekend en versleuteld voordat ze naar de ontvanger worden gezonden. Dit heeft als voordeel dat er niets op de individuele desktops hoeft te worden geïnstalleerd. Als voor een bepaald domein of mailadres is vastgesteld dat er aan beide zijden gebruik wordt gemaakt van authenticatie, wordt de mail naar die persoon of organisatie automatisch door de gateway versleuteld en ondertekend. "De manier waarop de gebruiker op ons kantoor kan zien of iets ondertekend is, is een klein icoontje. Omdat we gebruik maken van een gateway, hebben we ook de mogelijkheid om bijvoorbeeld onze BlackBerries te gebruiken. Het hele authenticatieproces en encryptieproces vindt plaats voordat een bericht via de BlackBerry-server naar de BlackBerry van onze gebruiker (en vice versa) gaat. Zo behouden we alle flexibiliteit en kunnen we in principe elke toepassing gebruiken." Desktopsoftware wordt in principe alleen bij de klanten en relaties geplaatst. Voor organisaties die liever niet hebben dat er software wordt geïnstalleerd is er een webinterface beschikbaar. Deze draait op de beveiligde servers van Izecom en kan worden gelezen nadat de gebruiker is geautoriseerd om de voor hem bestemde mail te lezen.
Papertrail
Volgens Offers zijn er nog meer wensen bij het versturen van mail. "Bijvoorbeeld ontvangstzekerheid: de garantie dat een bepaald bericht aankomt. We zijn op dit moment in gesprek met een aantal partijen over aangetekende e-mail: dat een verzender een bericht aankondigt en dat de geauthenticeerde gebruiker in een bewuste actie dit bericht ophaalt. Het grote voordeel is dat je precies kan registreren wanneer en door wie het bericht is opgehaald. Je hebt dan een sluitende ‘papertrail' van een bericht. Pas als dat een feit is, kunnen we met authenticatie, encryptie en zekerheid van ontvangst over waterdicht en veilig e-mailverkeer spreken."
Bewezen identiteit
Er zijn verschillende manieren van mailauthenticatie. De meeste draaien op de desktop en zijn dus lastig te beheren voor wat grotere organisaties. Consumenten of kleine organisaties kiezen vaak voor Pretty Good Privacy (PGP). Deze methodes werken overigens vrijwel allemaal met PKI (public key infrastructure) dat nog steeds als een goed en eenvoudig systeem voor digitale handtekeningen wordt gezien. Alleen de eigenaar kent zijn private sleutel en deze is daarmee dus persoonsgebonden. De publieke sleutel wordt opgeslagen op een van de vele OpenPGP-servers. De digitale handtekening maakt daarnaast ook altijd deel uit van het document of het bericht. Zelfs na lange tijd kan worden nagegaan wie het bericht heeft ondertekend. Het grote nadeel van OpenPGP is dat er niemand is die de digitale handtekening koppelt aan een bewezen identiteit. Om de digitale handtekeningen op te slaan en te verifiëren op die bewezen identiteit zijn zogenaamde certification authorities (CA) opgezet. Verisign is daarbij ongetwijfeld de meest bekende, maar ook partijen als KPN, Diginotar en SDURoccade hebben het recht deze certificaten uit te geven.
Aardig artikel, alleen de sidebar “Bewezen identiteit” slaat de plank behoorlijk mis. Het “recht” om certificaten uit te geven heeft iedereen, iedereen kan zijn/haar eigen CA beginnen. De kern van PKI is echter het onderliggende vertrouwen. Daarom heeft het voor jan-met-de-pet meestal weinig nut om certificaten aan derden uit te geven, omdat niemand hem kent zal niemand hem vertrouwen. Binnen een besloten gebruikersgroep (bv bedrijf, extranet etc) is het echter geen probleem om je eigen CA te beginnen. Het enige waar je voor moet zorgen is dat het vertrouwen dat de gebruikers in de CA hebben terecht is, en dat betekend weer dat de CA passend beveiligd moet zijn. Wat passend is zal verschillen van situatie tot situatie.
We hebben een research systeem operationeel waarbij zowel de identificatie als de veiligheid wiskundig (informatie-theoretisch) bewijsbaar is. Ook kunnen we electronische documenten met behulp van steganografie met een “onzichtbaar” watermerk voorzien, zodat de authenticiteit van de documenten door bevoegde personen gecontroleerd kan worden. Dit systeem wordt op dit moment operationeel gebruikt om vertrouwelijke research informatie uit te wisselen. Een presentatie van het systeem is te bekijken op de link http://picasaweb.google.com/freemovequantumexchange