Hoe betrouwbaar is de digitale handtekening?

• De gewone digitale handtekening
• De geavanceerde digitale handtekening
• De gekwalificeerde digitale handtekening

Deze drie vormen van de digitale handtekening zijn rechtsgeldig volgens de wet, maar vertegenwoordigen een andere bewijskracht. Zo blijft de bewijskracht bij een digitale handtekening lastig. Want hoe bewijs je dat de verzender de persoon is die de handtekening heeft geplaatst? Wat ondersteund de betrouwbaarheid van een digitale handtekening?

Bij een ‘geavanceerde digitale handtekening’ of een ‘gekwalificeerde digitale handtekening’ is dit wel vast te stellen. In alle gevallen staat of valt de bewijskracht echter met de betrouwbaarheid van het onderliggende proces.

De betrouwbaarheid van het proces en de bewijskracht wordt bepaald door de volgende onderdelen:

• Hoe sterk zijn de identificerende kenmerken van de ondertekenaar en hoe goed heeft hij deze onder zijn eigen uitdrukkelijke controle?
• Is duidelijk vastgelegd welke processtappen de gebruiker heeft doorlopen voor het ondertekenen?
• Op welk tijdstip heeft de ondertekening plaatsgevonden en kan dit op een later moment ook worden aangetoond?
• Voldoet het document aan het juiste formaat om duurzaam aan te tonen dat het document digitaal ondertekend is?
• Hoe sterk is het mechanisme dat is gebruikt om de identificerende gegevens onlosmakelijk te verbinden met het document (Associatie), de sterkte van de cryptografie, zodat dit niet eenvoudig kan worden aangepast?

Sterke identificerende kenmerken

Voorbeelden van identificerende kenmerken op het Internet zijn bijvoorbeeld een email adres, ip adres, mobiel nummer, DigiD, iDIN, eHerkenning of een gekwalificeerd certificaat. Het is ook mogelijk om een aantal identificerende kenmerken te “stapelen”, de combinatie zorgt voor een sterkere identificatie. Bij het ondertekenen van het bericht dient de ondertekenaar te kunnen beschikken over deze middelen, het is belangrijk om hier rekening mee te houden. Zo kan de bewijskracht van een gekwalificeerd certificaat wellicht hoger zijn, maar wanneer eindgebruikers hier niet over beschikken of het aanvraagproces enkele dagen in beslag neemt, dan zal de eindgebruiker niet kunnen ondertekenen.

Processtappen van het ondertekenproces

Voor het ondertekenproces is het belangrijk dat de ondertekenaar bewust is van het document hij gaat ondertekenen. Welke documenten zijn getoond en is er een expliciet moment dat de ondertekenaar bewust (wilsuiting) het document heeft ondertekend?

Tijdstip

Voor de betrouwbaarheid van het ondertekenproces en de bewijskracht is het belangrijk om ook het tijdstip van ondertekening op een onafhankelijke manier vast te stellen en op te nemen in de handtekening. Zo kan er geen dispuut ontstaan over het moment van ondertekenen, dan wel dat de ondertekening op een ander tijdstip is uitgevoerd.

Technische standaard PADES – XADES

In de standaarden van de digitale handtekening en vereisten van eIDAS wordt geproken over het XADES of PADES formaat. Feitelijk is dit de technische standaard die aangeeft hoe in het document een juiste digitale hand­tekening in PDF of XML formaat kan worden gezet. Deze standaarden zorgen ervoor dat de digitale handtekeningen op een standaard manier kunnen worden gecontro­leerd door diverse computer programma’s zoals bijvoorbeeld de Adobe PDF reader. Ook zorgt de standaard ervoor dat de digitale handtekeningen in de documenten ook in de toekomst nog altijd op een goede en betrouwbare manier kunnen worden gecontroleerd.

Vasthechten van identificerende kenmerken aan het document

Voor het vasthechten van de identificerende kenmerken aan het document wordt een PKI sleutel gebruikt. Het vasthechten wordt ook wel associatie genoemd. In het geval dat de gebruiker een gekwalificeerd certificaat op een betrouwbaar middel heeft, dan kan deze sleutel worden gebruikt voor de associatie. In andere gevallen kan de associatie gedaan worden met een algemene sleutel. Het is belangrijk dat deze sleutel op een hoogwaardige manier is afgeschermd, bijvoorbeeld op een elektronische chip in een smartcard, usb of hardware security module. Wanneer deze sleutel niet goed is afgeschermd kunnen onbevoegden ook de associatie hebben uitgevoerd. De lengte van de sleutel is ook belangrijk, door een eenvoudige sleutel kan de associatie en verzegeling eenvoudiger worden verbroken.

Alle elektronische handtekeningen kunnen een rechtsgeldigheid hebben en dienen als bewijsmiddel. Alleen het feit dat ze elektronisch zijn of niet voldoen aan de eisen voor gekwalificeerde elektronische handtekeningen, doet daar niets aan af. Als de betrouwbaarheid van het proces niet goed is afgedekt, dan bestaat zelfs bij het gebruik van het gekwalificeerde certificaat de mogelijkheid dat de bewijskracht laag is. Een goede vastlegging van de betrouwbaarheid van het proces van ondertekenen is belangrijk voor de toetsing door een onafhankelijke partij, zoals een rechter.