Tag: Digitale handtekening

About Digitale handtekening

Subscribe Feeds

Zijn digitale handtekeningen ineens juridisch ongeldig verklaard?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 46 reacties

Elektronische handtekening niet voldoende betrouwbaar, kopte ITenRecht onlangs. In een recent vonnis verwees de rechtbank Zeeland-West-Brabant een borgtochtovereenkomst naar de prullenbak, omdat de digitaal geplaatste handtekening niet betrouwbaar was. Daarmee kon niet worden bewezen dat de wederpartij daadwerkelijk deze had getekend, zodat de borgtocht niet kon worden opgeëist. Opmerkelijk, want het hele punt van digitale handtekeningen was nu juist die betrouwbaarheid.

De eisende partij had in 2018 voor zijn bedrijf een geldlening aangevraagd bij Swishfund, waarbij hij persoonlijk zich borg stelde voor de lening. Daarvoor werd een digitaal contract ondertekend, en wel met Adobe Sign dat een heel proces heeft voor tekenen:

Het contract wordt naar het e-mailadres van de aanvrager gestuurd. Alvorens deze het document kan openen en digitaal kan ondertekenen dient hij een verificatiecode in te voeren. Deze code wordt per SMS naar het door de aanvrager opgegeven telefoonnummer gestuurd. Nadat de aanvrager het document heeft geopend kan hij parafen en een handtekening plaatsen door deze te typen, tekenen of door een afbeelding in te voegen. De aanvrager kan zelf kiezen welke van deze methoden hij gebruikt. Wanneer het ondertekenen is afgerond wordt het document door Adobe Sign voorzien van een zegel. Hierdoor kan het document niet meer worden gewijzigd.
In 2019 ging het bedrijf failliet, waarna Swishfund de borgsteller uiteraard aansprak. Die liet de zaak lopen, waardoor hij bij verstek werd veroordeeld tot betaling. Daar kwam hij vervolgens tegen in verzet, met het argument dat hij nooit een rechtsgeldige borgovereenkomst had getekend. Dat is belangrijk, want in art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Wat je dus online allemaal zegt of aanvinkt, is dus niet van belang als er geen handtekening onder een (elektronisch of papieren) geschrift staat.

Nou, laat maar zien dan. Swishfund had inderdaad een digitaal ondertekend document, en meende sterk te staan: zij stelde dat de handtekening een gekwalificeerde elektronische handtekening betreft in de zin van artikel 3, onderdeel 12, van de eidas-verordening. Die term wijst op de hoogste en meest veilige vorm van digitaal ondertekenen, namelijk

een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen [dat dus voldoet aan de strengste eisen uit de wet] en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen [dus dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten, dus eentje die voldoet aan de strengste wettelijke eisen];
Ik vat hier de wet enorm samen. Maar de kern komt erop neer dat je voor zo ongeveer elke component van je handtekeningenproces een wettelijke eis hebt, en dat niet zomaar iedere partij even dergelijke krabbels kan faciliteren. Ik ben vast weer te cynisch als ik zeg dat dat zelden goed gaat; laten we het hier er dan op houden dat Swishfund niets had aangedragen waaruit blijkt dat zij met deze bureaucratische wirwar aan eisen had gewerkt. (Dit soort bewijs vergeten gebeurt opmerkelijk vaak; toevallig las ik gisteren nog een vrij ernstige geval waarin eiser Ziggo überhaupt niet eens een contractstekst had overlegd, laat staan bewijs dat het contract aanvaard was.)

Geen gekwalificeerde handtekening dus. Maar dat is niet perse een ramp, want de wet benoemt expliciet dat dit niet mag betekenen dat er geen geschrift ondertekend is (artikel 25 lid 1 eidas-verordening):

Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.

Wat je vervolgens doet, is kijken hoe er dan wél een krabbel is gezet en hoe betrouwbaar je dat gezien de omstandigheden mag beschouwen. Een simpel voorbeeld is de krabbel voor ontvangst van een pakketje. Dat is echt alleen maar een tekening met je vinger, vaak zelfs zonder verificatie tegen je identiteitsbewijs of het lijkt op je ‘echte’ handtekening. (Ja, haha of het lijkt, nee precies. En sterker nog, je ‘echte’ handtekening bestaat niet eens.) In de omstandigheden – vastleggen dat het aan de deur is afgegeven – vind ik dat echter een prima betrouwbare handtekening. Rechtsgeldig bewijs dus.

Hier ging het om een overeenkomst tot borgstelling, wat natuurlijk ietsje meer impact heeft dan tekenen voor een pakketje. Daarom kijkt de rechter een stuk strenger naar het proces:

Het enige direct aan [eiser] te relateren document waarover Swishfund beschikt is het kopie van zijn identiteitsbewijs. Vast staat dat er voorafgaand aan het sluiten van de overeenkomsten op geen enkel moment direct persoonlijk contact is geweest tussen Swishfund aan de ene kant en [eiser] aan de andere kant, terwijl ook niet is gebleken dat partijen eerder zaken met elkaar hebben gedaan. Swishfund stelt weliswaar telefonisch te hebben gesproken met [eiser] , maar deze stelling is tegenover de betwisting door [eiser] onvoldoende onderbouwd. Hoewel geen enkele ondertekeningsmethode bestand zal zijn tegen alle mogelijke vormen van misbruik, levert de door Swishfund gevolgde methode een groot risico op van misbruik door personen die de beschikking hebben over de e-mailadressen en de bankgegevens van een vennootschap en over de persoonsgegevens van haar bestuurders.
Oftewel, een oplichter zou vrij eenvoudig een borgtocht kunnen afsluiten als ze die gegevens uit de laatste zin hebben, en de digitale handtekening van Swishfund verandert daar niets aan. Daar had dus meer verificatie tussen moeten zitten, bijvoorbeeld een videogesprek waarbij je foto en persoon vergelijkt en dan de handtekening laat zetten.

Die meer verificatie is waar we de definitie van “geavanceerde digitale handtekening” voor hebben. Daar zit onder meer de eis in dat je “gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken” gebruikt. Dat zou hier dan de SMS met code zijn, maar als je alleen een webformulier gebruikt dan weet je natuurlijk niet van wie dat nummer is of zelfs maar dat alleen de aanvrager die telefoon kan lezen. Dat is dus niet genoeg.

Dus kortom, geen superveilige wettelijk gekwalificeerde handtekening, geen unieke middelen voor ondertekening dus ook geen geavanceerde handtekening en gezien de omstandigheden ook geen vrije of eenvoudige digitale handtekening. (IT-ers die laatst zeiden dat ze een training IT-recht bij me willen doen, dit is niveautje op de helft, nog steeds interesse?) Daarmee is het stuk dus niet ondertekend door meneer, en vanwege die wettelijke eis is de borgtocht dus niet bewezen. En zelfs als het geen “particuliere borg” is, dan vindt de rechter het ondertekeningsproces niet betrouwbaar genoeg om desondanks van aanvaarding door meneer te spreken.

Zijn hiermee nu digitale handtekeningen ongeldig verklaard, zoals diverse tipgevers me vroegen. Nee, zeer zeker niet. Het zit hem (zoals zo vaak) in de slechte implementatie. Het proces gaat er te makkelijk vanuit dat je de juiste persoon tegenover je hebt, en dat is specifiek bij deze zware verplichting (een borg van totaal iets van 25k) een onoverkomelijk probleem. Heb je minder ernstige verplichtingen, zoals een arbeidscontract waarbij je weet dat je de juiste persoon tegenover je hebt, dan was deze zelfde technologie en proces helemaal prima geweest.

Arnoud

Waarom hebben we eigenlijk nog steeds handtekeningen op papier?

Geplaatst op in Informatiemaatschappij, 21 reacties

handtekening-willem-van-oranjeHet is buitengewoon merkwaardig dat we anno 2016 nog steeds onleesbare krabbels op papier zetten met de gedachte dat dat juridisch belangrijk is. Date las ik bij Slate en ik ben het er helemaal mee eens. Juridische cargoculterij, dat is het.

We zetten allemaal elke dag wel onze handtekening een keer. Een pakketje aannemen, een order bevestigen of ergens inchecken. Het voelt als een formeel moment en daarom doen we het ook. Maar het betekent eigenlijk niets. We doen het omdat we dat altijd al zo doen. Cargoculterij: voor sommige heel formele dingen (zoals een notariële akte of invoering van een wet) is een handtekening nodig om rechtskracht te scheppen, dus als we een handtekening zetten dan krijgt de handeling rechtskracht.

Onzin natuurlijk. Om bijvoorbeeld een contract te sluiten is een handtekening niet nodig; iedere handeling waaruit blijkt dat je dat contract wil, is genoeg. Je hand opsteken, op “Akkoord” klikken of iets dergelijks, meer dan genoeg.

Heel soms zijn er vormvereisten, zoals de wet dat noemt. Een huis kopen moet op papier, en online iets kopen moet via een knop “Bestelling met betalingsverplichting”, anders zijn die niet rechtsgeldig. Maar dat zijn uitzonderingen.

Waarom doen we het dan? Het gaat uiteindelijk om bewijs. Een stuk papier met handtekening is sterker bewijs dan “hij zei destijds ‘joe’ met zijn duim omhoog, echt waar”. De wet noemt een ondertekend stuk papier een akte, en die levert “dwingend bewijs” op – wat daarop staat, is de afspraak en niets anders. Dus dat is handig om te hebben. Maar is het echt nodig? Volgens mij echt niet. Ga je echt ontkennen dat je een arbeidscontract hebt? Dat je in die kamer geslapen hebt?

Dus nee, wat mij betreft is het écht overbodig om steeds met handtekeningen te werken. Het is geschuif met stapels papier en een krabbel met inkt, waar niemand op zit te wachten. Want laten we eerlijk zijn: dat papier wordt daarna gescand en vernietigd, en dat vinden we eigenlijk allemaal prima.

Arnoud

Waarom zetten wij eigenlijk handtekeningen op papier?

Geplaatst op in Privacy, 28 reacties

handtekening.jpgRegelmatig vragen lezers me: waarom doen wij als bedrijf nog steeds zo moeilijk met handtekeningen op stukken papier? Ons hele bedrijf is geautomatiseerd, alleen bij sommige acties moeten er dingen uitgeprint, getekend en weer ingescand zijn. En soms wordt dan zelfs dat stuk papier nog bewaard. Is dat nu echt juridisch nodig?

Juridisch bepalen of een stuk papier écht nodig is, is vaak een hele kluif. Hoofdregel is: het hoeft niet op papier. De wet kent namelijk slechts zelden een harde eis dat iets pas rechtsgeldig is als het op papier staat. Wie er meer weet dan de volgende, mag het zeggen: de koop van een woning (art. 7:2 BW), huurkoop (7A:1576i BW), timesharing (7:50c lid 1 BW), pacht (7:317 lid 1 BW), vrijwillige garantietoezeggingen (7:6a lid 3 BW), verkoop van IE-rechten (art. 2 Auteurswet) en sinds juli 2014 de overeenkomst tot dienstverlening na telefonische acquisitie (6:230v sub 6 BW). De arbeidsovereenkomst hoeft alleen schriftelijk als er een proeftijd (7:652 lid 2 BW), concurrentiebeding (7:653 lid 1 BW) of boetebeding (7:650 lid 2 BW) is opgenomen. Een factuur hoeft niet schriftelijk.

Meestal wil men graag stukken papier omdat dit sterk bewijs oplevert. Met een akte (een ondertekende verklaring op papier) ontstaat ‘dwingend’ bewijs (art. 157 Rechtsvordering) van wat er is afgesproken. Onder voorwaarden is ook een elektronische akte rechtsgeldig (art. 156a Rechtsvordering). Kort gezegd is vereist dat de inhoud zodanig wordt vastgelegd dat deze ongewijzigd gereproduceerd kan worden voor zo lang als nodig. In de ICT-praktijk betekent dit een PDF-bestand en een goed ingericht proces voor het aanmaken en archiveren daarvan.

Heel vaak zijn dit soort bedrijfsprocessen er vooral omdat ze er altijd al waren. Men heeft altijd geleerd dat papier en handtekening “rechtsgeldig” zijn, of zelfs verplicht. Dus dat is het proces en dat blijft het proces. Daar verandering in brengen is niet eenvoudig, want “zo doen we het altijd al” is een van de sterkste argumenten uit de praktijk om iets te laten zoals het is.

Hoe elektronisch zijn jullie met contracten en documenteren?

Arnoud

Maakt de ‘1’ toets op je telefoon een overeenkomst schriftelijk?

Geplaatst op in Informatiemaatschappij, 29 reacties

radar-uitzending-televisie-pretiumIk had ‘m gemist maar een tijdje terug bleek telecombedrijf Pretium bij TROS Radar in de uitzending te zijn geweest. Pretium ligt onder vuur omdat ze via telefonische acquisitie contracten sluit, en daarbij de schriftelijkheidseis uit de wet voor dat soort contracten creatief invult: druk op de ‘1’ toets op je telefoon om te bevestigen dat je het contract wilt, zou hetzelfde zijn als een stuk papier opsturen naar aanleiding van het gesprek.

Onder normale omstandigheden heb je voor contractsluiting geen papier of handtekening nodig. Overeenkomsten sluit je vormvrij, zoals juristen dat noemen, en behalve in een paar speciale gevallen (zoals koop van een huis of een arbeidscontract met concurrentiebeding) heb je geen papier of handtekening nodig.

Specifiek bij het soort overeenkomsten dat Pretium sluit (internet/telefoniediensten na telefonische acquisitie) geldt er sinds afgelopen zomer een expliciete eis dat deze schriftelijk worden aangegaan. Art. 6:230v BW bepaalt namelijk in lid 6 onder meer:

Een overeenkomst op afstand tot het geregeld verrichten van diensten of tot het geregeld leveren van gas, elektriciteit, water of van stadsverwarming, die het gevolg is van dit gesprek, wordt schriftelijk aangegaan.

Telefonie is een vorm van ‘diensten’ en daarom moet ook Pretium aan dit artikel voldoen als zij telefonisch klanten werft – een vorm van overeenkomst op afstand.

Pretium meldt in een reactie dat zij wel degelijk voldoet:

Onder “schriftelijk” aangaan van een overeenkomst wordt verstaan op papier of elektronisch. (zie TK 2012-1013, 33520, nr. 3, p.52). Uit de wetsgeschiedenis blijkt dat op diverse wijzen invulling gegeven kan worden aan een elektronische bevestiging. Voorbeelden zijn het geven van instemming per e-mail, door middel van het aanklikken van een hyperlink of door gebruik te maken van de toetsen op de telefoon.

Ha, een bron. Laten we eens kijken wat er staat in dat Kamerstuk 33520 nr. 3 op pagina 52. De minister meldt hier dat men problemen bij telemarketing wil oplossen – mensen zitten na een gesprek ineens vast aan een contract, en daar zijn ze niet altijd blij mee. Vandaar de oplossing van de schriftelijkheidseis:

Dit betekent dat een per telefoon aangegane overeenkomst op zichzelf niet geldig is. Slechts wanneer de overeenkomst schriftelijk is gesloten, is deze geldig. In de praktijk zal aan deze norm zijn voldaan doordat de handelaar een aanbod tot het aangaan van een overeenkomst in schriftelijke vorm opstelt en aan de consument toestuurt. De consument zal dit aanbod moeten aanvaarden om de uiteindelijke overeenkomst tot stand te brengen.

Als alternatief wordt e-mail genoemd, aangezien de wet (art. 6:227a BW) stelt dat aan een schriftelijkheidseis is voldaan met een elektronisch geschrift onder bepaalde voorwaarden.

De toetsen op de telefoon zie ik hier niet staan. Ook niet in de overige wetsgeschiedenis bij dit artikel maar ik kan wat missen. Ik zie wel “het aanklikken van een in een e-mail gezonden hyperlink” staan (double opt-in), wat denk ik de basis is voor Pretiums zinsnede die verwijst naar e-mail en aanklikken van hyperlinks.

Ik heb dus geen idee waar deze lezing van Pretium vandaan komt. Wellicht zit er een gedachte achter dat het indrukken van een telefoontoets analoog is aan het aanklikken van een hyperlink; beiden zijn een elektronische vorm van een specifieke communicatie die een bevestigingssignaal stuurt. Goed, bij hyperlinks zit er dan een unieke code (token) in de URL zodat je weet dat het klant X is, maar dat hoeft natuurlijk niet als je klant X aan de telefoon hebt. Dan is een token met 1 bit informatie genoeg.

Mijn bezwaar zit hem meer in het doel van de schriftelijkheidseis. Zoals de minister aangaf, heeft men voor ogen dat men na het telefoongesprek een brief opstuurt waar de consument op reageert (bv. door een ondertekend formulier terug te sturen). En het doel daarvan is dat de consument nog even na kan denken. En dát is wat er mist bij de Pretium-werkwijze: je moet in het telefoongesprek al de “schriftelijke” bevestiging geven. Dat gaat in tegen het doel van het wetsartikel en dáárom is dit geen geldige uitleg van de wet.

Update (17 november) de ACM zegt NOPE:

Aan het vereiste van schriftelijkheid wordt niet voldaan als de ondernemer in het telefoongesprek, waarin hij het aanbod doet, de consument bijvoorbeeld vraagt:<br/> • om op een bepaalde telefoontoets te drukken ter bevestiging van de overeenkomst; of<br/> • om een mondeling ja te geven dat op band wordt opgenomen.

Arnoud

Is een vinkje ook goed of moet het echt een handtekening zijn?

Geplaatst op in Privacy, 15 reacties

handtekening-zosh-iphone.pngKennelijk is er weer eens een workshop Digitaal contracteren geweest of zo, want ik kreeg deze week een aardig stapeltje mails met vragen hoe je digitaal mensen akkoord kunt laten gaan met een of ander. Vaak gaat het dan over privacyspecifieke zaken, maar ook zaken als ontvangstbevestigingen of gewoon akkoord op een contract wil men het liefst zo eenvoudig mogelijk doen, dus graag met een digitaal vinkje.

Hoofdregel uit de wet is dat rechtshandelingen vormvrij zijn. Oftewel, alle handelingen die juridisch enig gevolg hebben, mogen worden verricht op elke wijze die je maar kunt bedenken, ténzij in de wet staat dat het op een specifieke manier (vorm) moet. Ik kan bijvoorbeeld akkoord geven op een contract door “ja” te zéggen in plaats van een krabbel te zetten op papier. Ook zou ik rooksignalen kunnen sturen vanaf het dak van mijn huis, maar de vraag is of de wederpartij dat ziet – en natuurlijk moet een handeling wel aankomen bij de wederpartij.

Je mag hier als partijen van afwijken. De wederpartij bij dat contract kan bepalen dat er pas een contractsluiting is wanneer ik die krabbel zet, en mijn mondelinge “ja” is dan niet rechtsgeldig. Maar dat hoeft niet. Alleen bij een paar heel specifieke contracten is een geschrift vereist: koop van een huis, een arbeidscontract met concurrentiebeding en, eh, een verzekeringspolis. Meer kan ik er eigenlijk niet bedenken.

Er is dus geen enkele reden om per se een handtekening op papier te eisen. Nou ja, eentje dan: een stuk papier met handtekening levert sterker bewijs op. Wat op dat stuk papier – een akte – staat, is in principe dwingend bewijs tussen de partijen over de afspraak. “Jamaar ik had het anders bedoeld dan het er staat” is na ondertekening dus geen argument meer.

Dit geldt ook bij toestemming onder de privacywet. De regels voor zulke toestemming zijn strenger dan voor ‘gewoon’ een rechtshandeling: de privacywet eist “vrije, specifieke en op informatie berustende” toestemming. Maar ook hier geldt niet dat die toestemming schriftelijk moet zijn gegeven of dat deze pas gegeven is als men een krabbel op papier heeft geproduceerd. Wederom, die handtekening is handig als bewijs, maar dat is het dan.

Maar Arnoud, waarom doet iedereen dan zo moeilijk over digitale handtekeningen en certificaten en PKI-infrastructuren? Tsja, ik heb werkelijk géén idee. Juridisch nodig is het bepaald niet. Technologie-fetishisme noemde ik het eens: het zo leuk vinden van techniek dat we er allerlei regeltjes voor gaan maken om het “goed te regelen” zonder dat iemand zich nu afvraagt of dit wel geregeld moet worden of waarom. Menig organisatie heeft bérgen regels en bijbehorende compliancedocumenten voor digitale handtekeningen, terwijl voor de krabbel op papier er zelden meer is dan “deze moet worden gezet”. Zucht.

Arnoud

Is Diginotar aansprakelijk voor de schade uit frauduleuze certificaten?

Geplaatst op in Ondernemingsvrijheid, Security, 66 reacties

diginotar-subroot-digid.pngAuw. Iraans verkeer naar Gmail kon worden afgetapt dankzij een door Diginotar goedgekeurd certificaat, zo bleek deze week. Alle grote browsers revoceerden meteen het certificaat van Diginotar, hoewel Firefox later een uitzondering maakte voor DigiD. Na enig getreuzel kwam Diginotar-eigenaar Vasco met een verklaring dat men in juli was gehackt, waarna bleek dat in ieder geval de website al jaren kwetsbaar was. En daarna dook nieuws op dat er nog veel meer valse certificaten in omloop waren, waaronder voor anonimiteitsnetwerk Tor. Heeft Diginotar nu een probleem of niet?

Laten we eens doen of de publiciteit niet al genoeg is om het einde van Diginotar als merknaam in te luiden, en de juridische gevolgen bekijken van deze faal. De wet kent namelijk de nodige bepalingen over certificatiedienstverleners, oftewel personen of bedrijven die certificaten afgeven of andere diensten in verband met elektronische handtekeningen verleent, zoals de Telecommunicatiewet ze definieert.

Toen e-commerce een beetje populair begon te worden, ontstond behoefte aan het zetten van digitale handtekeningen. Waarom is mij volstrekt onduidelijk, handtekeningen zijn namelijk zelden tot nooit nodig in het handelsverkeer. Ja, als je een huis wilt kopen, maar dat is nu net een van de weinige dingen die je niet via een internetdienst kunt doen. Maar goed, er moesten digitale, pardon elektronische handtekeningen komen en daar moest dan een hele infrastructuur bij opgezet worden om te kunnen controleren wie die had gezet. Ik ben daar ooit op afgestudeerd maar ondertussen best wel cynisch over het nut van deze hele poppenkast. Waar is de infrastructuur voor analoge handtekeningen?

Afijn, die infrastructuur oftewel PKI is waar Diginotar een rol in speelde. De opzet van deze infrastructuur is hiërarchisch: we vertrouwen een partij met een certificaat omdat de uitgever van dat certificaat zegt dat dat klopt. En we vertrouwen die uitgever omdat ook hij een certificaat heeft waarvan de uitgever zegt dat het klopt. Enzovoorts, enzoverder tot we bij de wortel van deze hiërarchische boom zijn. (Terzijde: informatici tekenen zulke bomen met de wortel aan de bovenkant. Argh.) Diginotar heeft de positie van root CA, wat zo veel wil zeggen als dat wanneer Diginotar het zegt, het klopt. Gewoon, omdat het kanergens ophoudt. (Overigens geldt dit niet voor DigiD, daar is Diginotar ‘slechts’ sub-root onder de Staat der Nederlanden.)

diginotar-certificaat-faal-auw.pngVertrouwen is dus het fundament waar de dienstverlening van een certificatiedienstverleners op stoelt. Immers, een echt certificaat is op geen enkele wijze te onderscheiden van een per abuis of met kwade trouw uitgegeven certificaat. De enige controle is de elektronische handtekening die erbij staat, maar die zegt niets over de inhoud. Het certificaat waar het allemaal mee begon, vermeldde de sites van Google (*.google.com) maar was in gebruik bij een partij die niet Google was. Dat is fataal voor de goede werking van een PKI.

“Gekwalificeerde” certificaten mag je alleen uitgeven als je geregistreerd bent bij de OPTA (wat Diginotar ook keurig is). Een gekwalificeerd certificaat is een certificaat dat uitgegeven is door een geregistreerde partij die zich netjes aan de regels houdt over betrouwbaarheid, en dat aan een persoon gekoppeld is.

Aan een dienstverlener die dergelijke certificaten uitgeeft, worden zware eisen gesteld door de wet en het daarbij behorende besluit. Zo moet je ETSI TS 101 456 naleven en houdt OPTA toezicht. En de wet (art. 6:196b BW) verklaart de dienstverlener aansprakelijk voor alle schade door onjuist uitgegeven certificaten, tenzij zij kan bewijzen dat zij niet onzorgvuldig heeft gehandeld, of als het certificaat ingetrokken was voordat de schade ontstond, of als het certificaat voor een niet in het certificaat vermeld doel werd aangemerkt.

Alleen: de SSL-certificaten waar het om gaat, zijn geen gekwalificeerde certificaten. Daarmee is die bijzonder strenge aansprakelijkheidsregel niet van toepassing. En dan wordt het lastig, want dan is Diginotar juridisch gezien gewoon een club die iets zegt met een digitale handtekening eronder, en tsja, afgaan op wat mensen zeggen is geen reden om ze aansprakelijk te stellen als ze het fout hadden. Anders heb ik nog wel een leuke claim tegen Astro-TV. Voor aansprakelijkheid is meer nodig: je moet een wettelijke norm geschonden hebben (die in direct verband staat met de schade) of je moet maatschappelijk onzorgvuldig hebben gehandeld, oftewel “dit staat niet in de wet maar vinden we toch dusdanig onfatsoenlijk dat je alsnog schade moet vergoeden”.

Bij die onzorgvuldigheidsnorm wegen altijd de exacte omstandigheden van het geval zwaar. Zo zal bijvoorbeeld meewegen wat de oorzaak van de hack is waarmee deze certificaten gegenereerd konden worden. Was men nalatig in het sleutelbeheer? Of was dit een buitengewoon geavanceerde zero-day hack (à la de RSA phish) die niemand had kunnen opmerken? Heeft Diginotar na het ontdekken van de hack alles gedaan om de gevolgen tegen te gaan, of heeft ze juist zitten treuzelen?

Als blijkt dat ze te weinig hebben gedaan, dan kunnen getroffen Gmailende Iraniërs ze aansprakelijk stellen voor hun schade – alleen zal die lastig aan te tonen zijn. Maar ook andere partijen die getroffen zijn door de onjuist uitgegeven certificaten kunnen dit proberen. Zo zou een webwinkel die zijn SSL-certificaat ongeldig ziet worden omdat Mozilla of Microsoft Diginotar niet meer erkent, omzet kunnen mislopen omdat mensen niet meer durven te bestellen door de foutmeldingen die ze dan krijgen. Gemiste omzet is natuurlijk wel lastig om te onderbouwen, maar zoals uit een zaak tussen TROS Radar en een hondenfokker bleek, kan een deskundige worden opgeroepen die de boeken onderzoekt en inschat wat de omzet of winst zou zijn geweest. In de Radar-zaak werd die op een half miljoen euro geschat.

Arnoud

Digitale handtekeningen op je iPhone

Geplaatst op in Informatiemaatschappij, 13 reacties

handtekening-zosh-iphone.pngIn Apple’s App Store is een applicatie verschenen waarmee je documenten kunt verzenden met je handtekening eronder, meldde iPhoneclub gisteren. De applicatie, Zosh, zou hierdoor een vervanger kunnen zijn van de fax, dat nog steeds de snelste manier is om ondertekende documenten te verzenden. De patent pending signature tool komt neer op een PDF editor die één ding kan, namelijk een plaatje van je handtekening in een PDF invoegen. Dit “let’s you” (sic) een handtekening zetten met je vinger op je iPhone.

Laat ik de discussie over rechtsgeldigheid meteen voor zijn: ja, dit is rechtsgeldig, en wel omdat de wet helemaal nergens eist dat contracten of formulieren ondertekend worden. Die handtekening is dus een leuk stukje dikdoenerij om een afspraak net wat meer gewicht te geven, maar formeel is het nergens voor nodig.

Deze applicatie kan nut hebben als de wederpartij per se een ondertekend document wil hebben, maar dat is puur en alleen een onderlinge wens waar je al of niet aan toe kunt geven. Maar met wettelijke rechtsgeldigheid heeft dat niet zo veel te maken.

En inderdaad, er staan allemaal regels over elektronische en digitale handtekeningen in de wet. Waarom die er staan, is me nog steeds niet duidelijk, en ik ben nog wel op t onderwerp afgestudeerd. In een cynische bui noem ik ’t wel eens technologiefetishisme, het zo leuk vinden van techniek dat we er allerlei regeltjes voor gaan maken om het “goed te regelen” zonder dat iemand zich nu afvraagt of dit wel geregeld moet worden of waarom.

Arnoud

Eerste digitale burgerinitiatief naar Tweede Kamer

Geplaatst op in Informatiemaatschappij, 7 reacties

Het eerste digitale burgerinitiatief wordt vandaag bij de Tweede Kamer ingediend, meldde Nu.nl gisteren. Intrigerend, want in maart vorig jaar werd een e-petitie nog ongeldig verklaard omdat de handtekeningen digitaal en niet op papier gezet waren. Het reglement van de Commissie Burgerinitiatieven is in de tussentijd niet aangepast, dus waarom mag het nu ineens?

De crux blijkt te zitten in de evaluatie van deze regeling die eind november verscheen. Daarin blijkt dat de eis om inktstrepen op papier te verlangen bij petities echt een probleem is en nu eindelijk eens afgeschaft moet worden. Op zijn ambtenaars:

Continuering van de regeling voor onbepaalde tijd noodzaakt daarom te onderzoeken hoe de Kamer in de gelegenheid kan worden gesteld elektronische handtekeningen te verifiëren.

In de tussentijd gaat men over op een compromismodel: petities mogen zonder fysieke handtekeningen worden aangeboden, maar de commissie kan steeksproefgewijs mensen op de lijst alsnog een handtekening laten zetten. Voor de meelezende wiskundigen en statistici nog een interessante passage:

Deze steekproefsgewijze controle moet op basis van statistische regels minimaal 385 fysieke handtekeningen omvatten. Om ervan uit te kunnen gaan dat 95% van alle digitale steunbetuigingen juist is, mogen er in deze controlegroep maximaal 19 fouten zitten, dat wil zeggen de gegevens van naam, adres en woonplaats onjuist zijn. Dan kan met 95% waarschijnlijk- heid mogen worden gesteld dat het benodigde aantal steunbetuigingen van 40 000 geldig is. Het aantal van 385 handtekeningen is ook nodig als sprake is van 55 000 of 70 000 handtekeningen.

Ik hoor graag of dit klopt of niet 🙂

En ik zit me nu af te vragen of er een systeem denkbaar is waarbij je ook zonder deze steekproef petities kunt organiseren zonder het al te makkelijk te maken om frauduleus 40.000 namen te genereren. Ik vrees dat je toch altijd uitkomt bij een eis om te controleren.

Hoewel, hoe gaat dat eigenlijk bij papieren petities? De paar keer dat ik zo’n ding teken (ik heb namelijk een hekel aan zeehondjes, of eigenlijk aan mensen die mij op zaterdagmiddag vragen of ik dat heb) is dat volgens mij best onleesbaar.

Arnoud

MD5-beveiligingsmechanisme achter vertrouwde websites gekraakt

Geplaatst op in Ondernemingsvrijheid, Security, 8 reacties

Nou, mooi is dat. Ben ik net uit bed na een erg leuke oudejaarsavond, blijken een stel beveiligingsonderzoekers e-commerce gekraakt te hebben. Of nou ja, de beveiligingstechniek achter een hoop e-commerce sites. Dit omdat het MD5-algoritme, een klein maar cruciaal deel van de gebruikte beveiligingstechniek al drie -pardon, vier, het is 2009- jaar bijzonder zwak blijkt te zijn. Dankzij deze zwakte kan een aanvaller een nepsite voorzien van volstrekt authentiek uitziende certificaten, zodat niemand meer kan detecteren dat het een nepsite is.

Beveiligde websites, veel gebruikt bij e-commerce sites, maken gebruik van certificaten waarmee een browser kan vaststellen of hij met de echte site communiceert. Die certificaten worden uitgegeven door onafhankelijke instanties zoals CACert of Thawte, en zijn voorzien van hun digitale handtekening zodat er niet mee te knoeien valt.

De fout zit in het MD5-algoritme, dat gebruikt wordt bij het genereren van die digitale handtekening. MD5 genereert een hash, een korte code die uniek is voor het te signeren certificaat, en vervolgens wordt de handtekening geplaatst over die hash. Dit is veel sneller dan het hele certificaat zelf signeren. Het blijkt namelijk veel eenvoudiger dan gedacht om een tweede certificaat te genereren met inhoud naar keuze dat dezelfde hash heeft als het certificaat van zo’n instantie. En daarmee zal iedere browser dat nepcertificaat accepteren als authentiek.

Al in 2005 was bekend dat het MD5-algoritme deze zwakheid had, maar tot nu toe werd dit door veel mensen als een puur theoretische mogelijkheid afgedaan. Met deze publicatie wordt duidelijk dat dit een reële dreiging is. Gelukkig hebben zowel Microsoft als Mozilla maatregelen aangekondigd.

Klikken jullie trouwens ook al die irritante waarschuwingen over certificaten weg zonder ze te lezen? Ik zou het liever niet doen, maar soms heb je weinig keus als je een bepaalde website wilt gebruiken.

Arnoud

Petitie Vroeg Op Stap vanwege digitale handtekeningen ongeldig

Geplaatst op in Informatiemaatschappij, 6 reacties

De petitie van actiegroep Vroeg Op Stap blijkt ongeldig, meldt onder andere Nu.nl. De groep wil vervroegde horecasluitingstijden wettelijk laten vastleggen, en had daarvoor een website opgezet waar sympathisanten hun handtekeningen konden achterlaten. Met 40.000 handtekeningen kun je dan een wetsvoorstel op burgerinitiatief indienen.

Vroeg Op Stap had er meer dan 120.000. De commissie burgerinitiatieven weigerde het voorstel echter toch naar de Tweede Kamer te sturen, omdat de handtekeningen niet op papier stonden maar elektronisch waren. Ze waren daarom niet rechtsgeldig. Dat blijkt ook in de bij Postbus 51-folder te staan.

Wat flauw.

Artikel 9 van het reglement van deze commissie eist dat een burgerinitiatief van haar 40.000 of meer sympathisanten de “naam, adres, geboortedatum en handtekening” verzamelt. Er staat “handtekening”, en dat moet je in principe inderdaad lezen als “handgeschreven handtekening”. Digitale handtekeningen zijn toch rechtsgeldig, denkt u nu. Klopt, maar die regeling is gemaakt voor handtekeningen in het vermogensrecht en het handelsverkeer tussen burgers. Contracten, akten en dat soort zaken.

Interessant daarbij is dat een digitale handtekening, of wat de wet dan noemt een elektronische handtekening, meer is dan alleen die moeilijke wiskunde met certificaten en zo. Een ingetypte naam kan namelijk een geldige digitale handtekening zijn. Daarvoor moet je naar het doel kijken waarvoor de handtekening nodig is. Bij een contract zou je zware eisen kunnen stellen, bij een blogpost heel wat minder. Die naamsvermelding onderaan mijn blogposts is dus een geldige digitale handtekening. Het doel daarvan is aan te geven dat ik auteur ben van die blogpost. En voor dat doel is in de context van bloggen het intypen van de tekst “Arnoud” voldoende.

Artikel 3:15c BW bepaalt dat de regeling over digitale handtekeningen ook buiten het vermogensrecht toepasbaar is, “voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet.” Dit is bijvoorbeeld uitgewerkt in art. 2:13 Algemene Wet Bestuursrecht, dat zegt dat berichten tussen burgers en de overheid elektronisch mogen worden verstuurd tenzij er een specifiek wettelijk verbod of vormvoorschrift dat anders bepaalt. Artikel 2:16 Awb zegt dat een digitale handtekening geaccepteerd moet worden als deze “voldoende betrouwbaar” is voor het doel van het bericht waar de handtekening op staat.

Het doel van de handtekeningen op de petitie is uiteraard dat de commissie (steekproefsgewijs) kan verifiëren dat de handtekeningen echt zijn. Dat zegt commissievoorzitter Johan Remkes ook bij 3voor12: “Papieren handtekeningen zijn beter te controleren. Als we dat willen uitbreiden naar digitale handtekeningen, moet de Tweede Kamer eerst ons reglement veranderen.”

Die logica volg ik niet. Een elektronische lijst met ingetypte namen en adressen lijkt me een stuk beter te controleren dan handgeschreven namen en geboortedatums. De petitie van Vroeg Op Stap laat mensen naast hun naam en e-mail ook hun adres, postcode en woonplaats invullen. En daarmee zijn de gegevens prima te verifiëren. Sterker nog, het lijkt me juist beter om het op deze manier te doen dan de manier van de Postbus 51-folder. Het is niet eens verplicht om je adres in te vullen bij een papieren petitie!

Deze petitie afwijzen enkel en alleen omdat de handtekeningen geen onleesbare krabbels op papier zijn, vind ik dan ook bijzonder weinig vooruitstrevend. We willen toch een E-overheid?

Arnoud