Zeker tekenen

In oktober of november zal de regering een wetsvoorstel indienen over digitale handtekeningen. Tegen de zomer van 1998 zou de materie wettelijk geregeld moeten zijn. Maar niets belet u om er nu al mee te beginnen.

Het Internet doet een nieuwe business ontstaan : het uitreiken en beheren van digitale certificaten. Dat zijn de digitale equivalenten van paspoorten, identiteitskaarten, rijbewijzen, lidkaarten, abonnementen en wat er in het dagelijkse leven nog meer wordt gebruikt om iemands eigenheid en rechten vast te stellen. Alleen al de programma’s (“servers”) die dergelijke digitale certificaten beheren, zullen volgens Dataquest in 2000 goed zijn voor een verkoop van bijna 50.000 stuks en een waarde van bijna 290 miljoen dollar. Uiteindelijk zal zowat iedereen die met elektronische communicatie in aanraking komt en over drie jaar zullen dat volgens Morgan Stanley zowat 200 miljoen mensen zijn minstens één certificaat hebben en waarschijnlijk verschillende. Wie dan weet dat het Amerikaanse VeriSign vandaag 19,95 dollar per jaar vraagt voor zijn goedkoopste betrouwbare certificaat en het Belgische Belsign 750 frank, kan op zijn vingers natellen hoeveel geld in dit dienstencircuit wel zal omgaan. Er zijn dan ook veel gegadigden voor die buit, hoewel mogelijk weinig uitverkorenen.

Wat is een digitaal certificaat ?

Een digitaal certificaat is eenvoudig gezegd een elektronisch bewijs dat een digitale code een bepaalde identiteit of autoriteit vertegenwoordigt. Een certificaat bevat naast de zogenaamde publieke sleutel (dat is de code zelf), ook de naam van de eigenaar, zijn e-mailadres, een vervaldatum en de naam en coördinaten van de certificatie-autoriteit die het certificaat heeft uitgereikt, naast andere informatie. De certificatie-autoriteit (CA) is de instantie die tegenover derden bevestigt dat de digitale code en de eigenaar onlosmakelijk met elkaar zijn verbonden. De CA treedt dus zowat op als een bevoegd gemeente-ambtenaar of een notaris, als een zogenaamde Trusted Third Party.

Waarvoor dient een digitaal certificaat ?

Ten eerste, om de confidentialiteit van een interactie te waarborgen en ten tweede, om de authenticiteit en de integriteit ervan te garanderen. Die tweede functie betekent ook dat de afzender niet langer met goed fatsoen kan loochenen dat hij verantwoordelijk is voor een met zijn digitaal certificaat gesigneerd bericht of dito transactie (de zogenaamde non-repudiation of onloochenbaarheid van de digitale handtekening).

Hoe raakt u aan een digitaal certificaat ?

U vraagt het aan bij een certificatie-autoriteit. De procedure verschilt volgens de gewenste betrouwbaarheid van het certificaat en wordt in detail beschreven in het Certification Practice Statement (CPS) dat elke certificatie-autoriteit op haar website moet hebben. Voor certificaten met een beperkte betrouwbaarheid kan u dit helemaal on line afwerken. Momenteel is er in België en Luxemburg maar één speler waar u een digitaal certificaat kan aanvragen : BelSign nv, waarin de Belgische Federatie van Kamers van Koophandel 51 percent aanhoudt (het Leuvense engineeringhuis NetVision 49 %) en dat zich in het algemeen tot het bedrijfsleven richt. Een tweede Belgische certificatie-autoriteit, Isa CA, werkt voorlopig alleen voor gebruikers van het bancaire Isabel business-to-business-netwerk.

Certificatie-autoriteiten zullen strikt worden gereglementeerd. Er komt een licentiesysteem en een voorafgaand onderzoek naar de technische, zedelijke en financiële diepgang van de aspirant- certificatie-autoriteiten (CA’s), zoals deze instanties zullen heten. De CA’s zullen continuïteit moeten garanderen : de uitgereikte certificaten zullen volgens een Duits ontwerp van regelgeving 33 jaar moeten worden bewaard. Volgens dit ontwerp zullen de certificaten ook voortdurend on line voor controle beschikbaar moeten zijn en via een 24/24 uur-telefoonnummer onmiddellijk moeten kunnen worden geblokkeerd net zoals betaalkaarten nu. Momenteel is een werkgroep van juridische specialisten van CRID (Namen) en ICRI (Leuven), aangevuld met technocraten als Frank Robben van de Kruispuntbank, bezig met het uitschrijven van het wettelijk kader.

Hoe gebruikt u een digitaal certificaat ?

Met de nieuwste generatie browsers : de Navigator 4 alias Communicator van Netscape Communications of Outlook Express uit de Internet Explorer 4 van Microsoft, die overigens nog altijd in de testfase is. Momenteel maken ze amper 1 % van de geïnstalleerde basis aan browsers uit, maar algemeen directeur Anthony Belpaire van BelSign hoopt dat dit tegen het jaareinde zowat 20 % zal zijn.

Wat wordt de belangrijkste lanceertoepassing voor digitale certificaten ?

Voor het antwoord op die vraag zou Anthony Belpaire goud geven. Het zal immers mee de evolutie van de certificatie-markt bepalen. Als ex-werknemer van Belgium Online heeft hij van dichtbij het debacle meegemaakt van de vermeende successtrategieën die twee à drie jaar geleden werden uitgetekend voor het Internet, bijvoorbeeld voor The Microsoft Network.

Thuisbankieren. Belpaire : “De sleutelapplicatie nu, objectief vastgesteld, binnen puur Internet, is home banking. En waarschijnlijk zal thuisbankieren ook één van de belangrijkste katalysatoren zijn voor het verspreiden van certificaten.” Hij verwijst naar het succes van Cera Online (en nu ook van Anhyp Online) waar Cera, volgens diensthoofd Rudi Peeters, met een gecombineerd aanbod van home banking en Internet-toegang, in een half jaar tijd 7000 gebruikers haalde, waarvan “90 tot 95 %” nieuw waren voor het Internet. Cera werkt met certificaten, zij het niet volgens de CCITT X509 standaard.

De banken staan dus op de eerste rij om via de confidentialiteit, authenticiteit en onloochenbaarheid die certificaten bieden, nieuwe distributiekanalen aan te boren. Rudi Peeters vindt het ook logisch dat een bank zelf optreedt als lokale certificatie-autoriteit voor haar eigen klanten. Maar verder dan dat moet een bank niet gaan, vindt hij.

“Ik zal heel blij zijn als er een erkende CA komt. Nu kunnen we immers enkel aan onze bestaande klanten aanbieden om een (Internet-)rekening te openen. Zij moeten daarvoor naar het kantoor komen. Als er een CA bestaat, zal men on line een rekening kunnen openen.”

Een andere bancaire toepassing die de digitale-certificatenindustrie kan lanceren, is het systeem voor veilig betalen met een kredietkaart, SET (zie Trends, 21 augustus 1997). Wie SET wil gebruiken als handelaar en als klant zal over een koppel digitale SET-certificaten moeten beschikken.

E-mail. Anthony Belpaire : “In een residentiële context, maar zeker en vast binnen een bedrijfscontext, is de core applicatie verrijkt e-mailverkeer. Wij zorgen ervoor dat e-mailcommunicatie niet langer een soort postkaart is, die voor iedereen te lezen is, maar een verzegelde brief, met waarborgen errond dat dat zegel niet kan worden doorbroken.” Confidentialiteit en waarborg rond identiteit zouden evident moeten zijn in contacten, vindt Belpaire, “en die evidentie proberen wij te creëren.” Als e-mail dezelfde (of betere) bewijskracht als fax kan krijgen, zijn er nog extra troeven. “Zo’n puur elektronisch proces met waarborg van confidentialiteit en met digitale handtekening is veel gebruiksvriendelijker omdat je automatische archivering kan hebben. Je kan het zoals in een EDI-gebaseerde applicatie ( electronic data interchange) binnen de onderneming flexibel verwerken.” Technisch neemt veilige e-mail de vorm aan van de S/Mime– of PGP/Mime-standaard.

E-handel. Digitale certificaten zijn niet alleen een waarborg voor de handelaar, maar ook voor de klant. In de mistige wereld van het Internet is het niet altijd evident te weten wie je voor je hebt, zoals Mars-adepten onlangs ontdekten toen ze via www. nasa. com in het rijk van Venus belandden en niet bij de ruimtevaartorganisatie www. nasa. gov. De standaard voor het beveiligen van de interactie tussen handelaar en klant via certificaten is SSL ( Secure Sockets Layer).

Autorisatie en authentificatie. Dat zijn alle toepassingen waar men zijn identiteit moet bewijzen om bepaalde rechten te kunnen opeisen. Een dokter die zich via zijn certificaat identificeert voor een on line-databank met patiëntgegevens. Klanten van een Internet-toegangsleverancier die een beroep doen op de on line support. Anthony Belpaire : “Nu gebeurt dat via paswoorden, maar het beheer daarvan is moeilijk, zeker als er een dynamische component aanhangt. Certificaten zijn veiliger omdat er heel wat meer gegevens instaan dan in een User ID en een paswoord. Je moet je trouwens eerst authentificeren tegenover je eigen certificaat aan de hand van een paswoord.” Interessant is dat in een CCITT X509 v3-certificaat de norm voor Internet-certificaten attributen kunnen worden geschreven, bijvoorbeeld het personeelsnummer van een werknemer. “Zo’n certificaat blijft perfect compatibel met alle andere wereldwijde certificaten, zelfs als geen enkele andere organisatie zo’n stamnummer in zijn certificaten heeft. Maar voor bedrijven krijgt dat certificaat daardoor een meerwaarde. Veel Internet-toepassingen ontstaan vanuit een human resources-perspectief om het personeel te informeren en om processen als vakantie-aanvragen te automatiseren. Dan is het heel aantrekkelijk voor een bedrijf dat zo’n certificaat als authenticatie- en autorisatiemiddel zich aanpast aan zijn databanken die eigenlijk als enige sleutel het stamnummer hebben.”

Andere toepassingsgebieden : verzekeringsmakelaars, dokters, advocaten, apothekers, notarissen… en het hele domein van de overheid en de sociale zekerheid.

Hoeveel digitale certificaten zullen we hebben ?

Theoretisch is één certificaat voldoende. In de attributen van een certificaat kunnen immers een hele reeks toepassingen (en beperkingen) worden gespecifieerd. Belpaire : “Het hele certificatiemodel streeft naar uniformisering : ik krijg één certificaat en daar kan ik zowel mijn bancaire applicaties mee verzorgen, als een bedrijfsgerelateerde communicatie mee organiseren.” Om dat praktisch te organiseren, kan de functie van registratie-autoriteit gescheiden worden van die van certificatie-autoriteit, aldus Belpaire. De registratie-autoriteit speelt de rol van notaris bij het vaststellen van de identiteit en de hoedanigheid van de aanvrager. De certificatie-autoriteit neemt de verantwoordelijkheid voor het auditen van de procedures van zijn partners op en verder voor de praktijk van het tekenen, uitgeven, voor nazicht terbeschikking stellen en eventueel herroepen van de certificaten.

Belpaire : “Belsign doet normaal beide functies, maar we kunnen in bepaalde gevallen de registratie outsourcen, bijvoorbeeld aan een bank. Of klant x van bank Y een certificaat mag krijgen voor bancaire applicaties is de verantwoordelijkheid van de bank. Onze taak is ervoor te zorgen dat het uitreikingsproces vlot en veilig verloopt. Dat heeft als voordeel dat de klant die een bancair certificaat aanvraagt ook andere toegevoegde waarde kan vinden op zo’n certificaat. Hij kan het ook voor e-mailcommunicatie gebruiken of voor elektronische handel.”

Dit veralgemenen van de geldigheid van een certificaat door een publieke certificatie-autoriteit is een vorm van kruiscertificeren. Een CA kan de certificaten van een andere CA erkennen als blijkt dat hun toekenningsprocedures even strikt zijn. De erkenning kan eventueel maar in één richting gelden. (A kan de certificaten van B erkennen omdat de procedures van B strenger zijn, maar dat betekent niet dat B de zwakkere certificaten van A erkent). In de toekomst zullen er hiërarchieën van certificatie-autoriteiten ontstaan, die elkaars certificaten erkennen. BelSign rekent er bijvoorbeeld op dat de Europese en internationale federaties van kamers van koophandel zo’n super-CA zullen opzetten en er is ook al lang sprake van akkoorden met de Amerikaanse publieke CA VeriSign, waarvan echter nog niets is geconcretiseerd.

BelSign denkt in oktober ook uit te pakken met de namen van een aantal Internet-toegangsleveranciers, die op grond van hun geaudite databases klasse-2-certificaten van BelSign (met vaststelling van identiteit, adres en e-mailadres) aan hun klanten zullen aanbieden. We krijgen dus certificaten met vele digitale logotje op, zoals op bankkaarten.

Kan iedereen alles in mijn certificaat lezen ?

Bij een publieke certificatie-autoriteit is dat zeker de bedoeling. In de directory van de publieke certificatie-autoriteit vind “je alle attributen (inclusief jouw publieke sleutel), niet geëncrypteerd,”e-mailt technisch directeur Christian Buysschaert van BelSign ons (kijk zelf op http://www.belsign.be/en/dcc/receive/find cert.html). Dat maakt het nogal waarschijnlijk dat we niet met één certificaat zullen eindigen, maar met hele bundels. Sommige zullen publiek zijn, andere strikt privé, uitgereikt door particuliere CA’s. Kan u zich voorstellen dat u bij La Redoute gaat shoppen met een certificaat dat ook aangeeft waar u werkt of welk patiëntnummer u heeft in een bepaald ziekenhuis ? Privacy is een ernstig probleem in deze hele discussie. Wie een klasse-1-(e-mail)-certificaat bij VeriSign aanvraagt, wordt uitgenodigd om ook maar meteen zijn woonplaats, geboortedatum en geslacht daarin op te laten nemen dan moet hij die vervelende data niet telkens weer intypen als hij zich ergens aanmeldt. Het Duitse voorstel van regelgeving waarop de Belgische wetgeving zich goeddeels zal inspireren voorziet expliciet in de mogelijkheid om publieke certificaten uit te reiken op basis van pseudoniemen.

Wat is de juridische waarde van een certificaat ?

Als u zich schriftelijk akkoord verklaart om onderhavige summiere uitspraak niet tegen ons te gebruiken : bij gebrek aan een wettelijk kader, beperkt. Anthony Belpaire : “Digitale handtekeningen zijn vandaag perfect rechtsgeldig te gebruiken wanneer er op voorhand een akkoord is tussen de partijen waarin ze dit middel als bindend aanvaarden.” Dat is prima voor de belangrijke markt van besloten gebruikersgroepen, maar onbruikbaar op het Internet, waar communicatie vaak momentaan en tussen volslagen onbekenden verloopt. Het gebrek aan wetgeving is daarom volgens Belpaire één van de fundamentele remmen op het gebruik van digitale certificaten, samen met de nog beperkte verspreiding van de geschikte browsers en van toepassingsprogramma’s die certificaten ondersteunen.

Wat moet dat kosten ?

Hoe hoger de klasse van een certificaat van 1 tot 4 hoe strenger de homologatieprocedure en hoe hoger de aansprakelijkheid van de certificatie-autoriteit. Die aansprakelijkheid reflecteert zich in de prijs. Anthony Belpaire : “Onze grootste toegevoegde waarde is onze waarborg. We kijken daarom uit naar bedrijfsapplicaties waar een confidentieel communicatiekanaal met een bepaalde bewijskracht een toegevoegde waarde biedt.” De strategie is daarbij, aldus Belpaire, om de prijzen voor privé-gebruikers laag te houden, zodanig dat er voldoende kritische massa wordt geschapen. De winst moet komen van het bedrijfsleven. Klasse 1 (certificeren van naam en e-mailadres voor demodoeleinden) biedt geen enkele garantie en is gratis. Klasse 2 (verifiëren van naam, e-mail en adres op basis van betrouwbare geachte databases) kost 750 frank, BTW inclusief. Voor bedrijven is er een duurdere “klasse 2 Pro”, die ook de bedrijfsnaam bevat, maar waarvan de prijs niet is bekendgemaakt. Klasse 3, waarvoor u zich fysisch bij een registratie-autoriteit moet aanmelden (bijvoorbeeld bij een regionale kamer van koophandel) kost standaard 1800 frank, maar de prijs kan in functie van de gewenste waarborg à la carte worden bepaald. Servercertificaten voor handelaars kosten 7000 frank en er is nog een aparte prijs voor softwarecertificaten die bevestigen dat een bepaald stuk software authentiek en integer is. VeriSign heeft de aansprakelijkheidskwestie al verpakt in een verzekeringspolis.

Waar wacht u op ?

U kan zichzelf gratis van een authentiek demo-certificaat voorzien op onder meer www. belsign. be of www. verisign. com. Geen garantie.

BRUNO LEIJNSE

Volgende week : Veilige e-mail met S/Mime.

ANTHONY BELPAIRE (BELSIGN) Thuisbankieren wordt één van de belangrijkste katalysatoren voor het verspreiden van certificaten.