De Afdeling stelt vast dat een schermafdruk van de validatie van de elektronische handtekening onvoldoende is om te kunnen vaststellen dat de maatregel een rechtsgeldige handtekening bevat. Wacht, wat? Sorry: een elektronische handtekening controleer je met een computerproces, niet door naar een plaatje te kijken. Ja, dat was een uitspraak bij de Raad van State.
Veel overheidsbesluiten moeten worden ondertekend, en vaak is daarbij een digitale (elektronische) handtekening toegestaan. Zo ook bij deze zaak, waar werd besloten een vreemdeling in bewaring te stellen en deze daartegen in beroep ging. Alleen ging er wat mis, want de handtekening kon niet worden geverifieerd: “SigDict / Contents illegal data”. En hoe dan verder?
Ook bij de vreemdeling verschijnt deze foutmelding, als hij de handtekening wil valideren. De minister heeft bij de rechtbank daarom een schermafdruk overgelegd, waarop volgens hem de succesvolle validatie van de elektronische handtekening te zien is.De rechtbank vond dat genoeg bewijs, maar de Afdeling fluit ze terug. Validatie van een elektronische handtekening doe je met iets ingewikkelds met priemgetallen, niet met een schermafdruk waarin een applicatie zegt dat ‘ie dat gedaan heeft.
Gelukkig had men nog een IT-deskundige achter de hand die de verklaring vond:
Bij de Rechtspraak is dat bestand omgezet naar een bestandsformaat dat geschikt is voor digitale archivering. Deze omzetting heeft ervoor gezorgd dat informatie in het deel van het bestand waar de elektronische handtekening zich bevindt beschadigd is geraakt. Het bestand met de beschadigde handtekening is vervolgens in de digitale dossiers van de vreemdeling, de rechtbank en de Afdeling terechtgekomen. De deskundige heeft beschikking gekregen over een versie van het bestand die nog niet door de Rechtspraak was omgezet. Dit originele bestand kon hij zonder foutmelding valideren. Vervolgens heeft hij door het uitvoeren van verschillende tests de foutmelding kunnen repliceren en daarmee kunnen vaststellen dat de foutmelding bedoeld onder 1 verschijnt nadat het bestandsformaat wordt gewijzigd.Binnen de pdf familie bestaat er het zogeheten PDF/A formaat, dat (ISO 19005-1) specifiek ontwikkeld is voor archivering. Kennelijk is de uitspraak omgezet naar dit formaat, waarbij de handtekening niet goed meegekomen is. Ik lees tussen de regels door dat de Rechtspraak deze conversie automatisch deed bij binnenkomende bestanden die niet al in PDF/A zijn, maar dat ze dat nu hersteld hebben.
Nu vastgesteld is dat dit de fout was, weten we meteen dat er dus niet inhoudelijk met het bestand gerommeld is (en de deskundige had dit ook nog handmatig gecontroleerd). En belangrijker: er is dus oorspronkelijk een rechtsgeldige elektronische handtekening gezet.
Het is jammer maar uiteindelijk niet relevant dat die vreemdeling niet meteen een verifieerbare handtekening heeft gekregen, aldus de Afdeling. Men krijgt de stukken alsnog, maar het bezwaar over het niet ondertekend zijn van het besluit wordt afgewezen.
Arnoud
“Bij controle van de digitale handtekening bleek dat de Rechtspraak de akte gewijzigd had.” Dat is mijn interpretatie van het verhaal.
Bij het elektronisch ondertekenen van een PDF document wordt er een cryptografische hash berekend van de inhoud van het document m.u.v. de handtekening. Een (kleine) wijziging van de inhoud van het document leidt tot een andere hash-waarde en daaruit concludeert de controle routine dat de digitale handtekening niet bij betreffende versie van het document hoort. “Gewijzigd document, potentiële fraude gedetecteerd.” Foei Rechtspraak!
Ik begrijp je interpretatie. Maakt het dan uit als achteraf blijkt dat de uploadmodule van de Rechtspraak automatisch PDF omzet naar PDF/A als je niet een PDF/A aanlevert conform de handleiding? De deskundige had vastgesteld dat er geen letter gewijzigd was aan de tekst van de akte.
Als het document inderdaad is omgezet door de uploadmodule van de Rechtspraak en daarbij de handtekening niet goed is overgenomen, dan lijkt dat me equivalent aan een situatie waarin de griffier van de rechtbank per ongeluk de handtekening van een papieren document onleesbaar heeft gemaakt bij het indienen. Het lijkt me een vormfout van de rechtbank die later grotendeels hersteld kan worden door alsnog het origineel bij te voegen en een correctie naar de betrokken partijen te sturen. Wat voor impact dat vervolgens op de lopende zaak heeft (uitstel van lopende procedures om partijen tijd te geven om te reageren op de nieuwe informatie?) weet ik niet.
De cryptografische hashfunctie gaat andere waarden genereren als er een enkele byte in het bestand verandert. Sommige wijzigingen (zoals het veranderen van regeleinde-tekens) hebben geen invloed op de inhoud en layout van het gerepresenteerde document, maar wel op de hashwaarde van de pdf. Zelfs een simpele wijziging als het veranderen van de headerregel in het bestand van “%PDF-1.5” in “%PDF-1.5/A” is genoeg om de hash van het bestand te wijzigen, zonder de functionele inhoud van het document aan te passen.
Ik gebruik hier ter verduidelijking het woord document voor de akte en bestand voor de pdf code die bij interpretatie het document reproduceert.
Het is heel gangbaar, zo niet verplicht, voor overheden om documenten om te zetten naar pdf/a. Het betekent nogal wat als alle documenten in het archief ongeldig zouden zijn als niet ook nog ergens de originele getekende versie ligt…?
Ook: een handtekening is bij mijn weten maar een paar jaar geldig. Dan elke paar jaar alle documenten openen, en voorzien van nieuwe / extra handtekening? Met elke paar jaar het risico op wel een inhoudelijke wijziging.
Dan wordt de ouderwetse natte (en heel makkelijk te kopiëren) handtekening opeens weer heel aanlokkelijk?
Ik heb even gemist waarom een handtekening ongeldig wordt? Bedoel je omdat het certificaat van de plaatsende ambtenaar een beperkte geldigheid heeft?
Dat is nog wel een interessante. Je kunt natuurlijk verlengen, maar wat doe je als die ambtenaar uit dienst is of zelfs overleden en diens identiteit dus niet meer geverifieerd kan worden? Beter wordt er dan met functionele titels getekend, “Griffier rechtbank Amsterdam” of “Senior ambtenaar gemeente Den Haag”. Dat kan de opvolger dan bevestigen.
Of het certificaat waarmee de digitale handtekening gezet is wordt later ingetrokken (revoked). Wat zou dat betekenen voor de status van het document?
Een en ander hangt af van de reden van intrekking… Als de ambtenaar overlijdt of vertrekt dan is dat reden om het certificaat in te trekken, maar alle reeds getekende documenten blijven geldig. Als een certificaat is ingetrokken omdat deze “valselijk is opgemaakt” moet je alle documenten die met dat certificaat getekend zijn als “valselijk ondertekend” beschouwen.
De interessante gevallen zijn intrekkingen omdat de privé-sleutel die bij het certificaat hoort gelekt is. Met die sleutel en het certificaat kan een derde documenten ondertekenen in naam van de ambtenaar, terwijl de ambtenaar aan zijn bureau met dezelfde sleutel en certificaat ook documenten ondertekent. Veel plezier met uitzoeken wat correct en wat vals is; het eerste probleem is te achterhalen wanneer de sleutel gelekt is.
Het kan ook ingetrokken worden omdat het certificaat in handen van derden is gevallen.
Dat betekent dat vanaf dat moment de ondertekeningen vals zijn, maar alles daarvoor is nog steeds echt.
Wat ik begrepen heb van gekwalificeerde certificaten en elektronische handtekeningen is dat het certificaat een beperkte levensduur heeft, maar dat handtekeningen die tijdens de levensduur van een certificaat gezet zijn geldig blijven. Omdat sommige aktes tientallen jaren relevant kunnen zijn (overdracht onroerend goed) wordt nogal wat geëist van de cryptografische kwaliteit van een certificaat… de cryptografie moet (tientallen) jaren bestand blijven tegen aanvallen.
De PDF standaard laat het toe om een bestand, inclusief al gezette handtekeningen, opnieuw te ondertekenen. Daarmee kan een archivaris bevestigen dat hij het bestand in goede staat met ondertekening en al ontvangen heeft. Bij gebruik van modernere cryptografische methoden worden daarmee de mogelijkheden tot niet-detecteerbaar wijzigen van het document weer (vrijwel) onmogelijk gemaakt.
Het realistische risico is volgens mij niet zozeer de cryptografische kwaliteit van de certificaten, alswel die van de daadwerkelijke handtekening. Certificaat chains kunnen volledig worden geembed in documenten; maar de twintig jaar oude MD5 signature is tegenwoordig goed te vervalsen. Dit kan inderdaad alleen echt opgelost worden met de nieuwe ondertekening van de archivaris.
Met het risico dat we te diep in de technische details duiken: MD5 is een hash-algoritme, net als SHA-1 en de SHA-2 familie. De eigenlijke handtekening wordt gezet met een (publieke sleutel) versleutelingsalgoritme als RSA of DSA. Zowel een zwakte in het hash-algoritme als een zwak sleutelpaar voor de versleuteling leiden tot een zwakke handtekening. (Zwak -> vervalsbaar.) De certificaatketen moet ook sterk genoeg zijn, want indien het mogelijk is om een certificaat op andermans naam te bemachtigen, kun je uit zijn/haar naam van alles ondertekenen.
Realistische risico’s: MD5 en SHA-1 zijn bekend zwak, bij RSA en DSA wordt de minimaal geadviseerde sleutellengte regelmatig vergroot. Voor wat betreft de certificaatketen noem ik DigiNotar even, slechts als voorbeeld hoe het fout kan gaan.
En ook daarom moet een migratie/conversie proces bij de overheid cf Archiefwet 1995, Archiefbesluit 1995 en Archiefregeling worden uitgevoerd. Het zou mij niet verbazen dat of een verklaring ex artikel 25 van de Archiefregeling of een Besluit met verklaring ex artikel 6 en 8 van het Archiefbesluit 1995 ontbreken.
Zie: https://labyrinth.rienkjonker.nl/juridischecontext
Wat is “De afdeling”? Dat wordt nergens uitgelegd en is ook niet te vinden in een zoekmachine.
Verder lijkt de overgang naar alles digitaal niet geheel doordacht, ben benieuwd wat er over 10 jaar allemaal mis gaat
Excuses! De Afdeling bestuursrechtspraak van de Raad van State, zeg maar de Hoge Raad voor het bestuursrecht.
Niet echt een nieuw probleem, zie hier bijvoorbeeld een artikel uit 2008: https://www.computable.nl/2008/08/02/pdf-a-de-problemen-rond-de-digitale-handtekening/
Heb ik het goed begrepen dat de rechtbank bewijsstukken aangepast heeft?
Dat lijkt me zeer problematisch en veel verregaander dan de case die hier besproken wordt.
De rechtbank heeft een (automatische) bestandsconversie toegepast op een ingestuurd PDF bestand. Deze conversie heeft het gepresenteerde document niet inhoudelijk veranderd, maar wel de elektronische handtekening ongeldig gemaakt.
Omdat de advocaat alleen de PDF met ongeldige handtekening toegestuurd kreeg kon zij niet verifiëren of aan de vormvereiste van geldige ondertekening was voldaan. De door de rechtbank aangestelde expert kon aan de hand van het originele PDF bestand wel vaststelen dat deze correct ondertekend was en heeft ook gecontroleerd dat de door beide PDF bestanden beschreven documenten inhoudelijk gelijk waren.