Opmerking van de redactie: dit blog artikel werd oorspronkelijk in maart 2017 gepost en is bijgewerkt door GlobalSign Regional Product Manager, Sebastian Schulz, met informatie over het toepassen van geavanceerde elektronische handtekeningen met behulp van de cloudgebaseerde Digital Signing Service van GlobalSign.
In een van onze vorige blogs gaven we een kort overzicht van de verordening (EU) nr. 910/2014, beter bekend als eIDAS. We hebben ook elektronische handtekeningen in het algemeen behandeld met aandacht voor hoe u de juiste keuze kunt maken.
In dit blog artikel willen we echter wat dieper ingaan op de manier waarop eIDAS elektronische handtekeningen classificeert op basis van het niveau van zekerheid dat ze bieden. Als u digitale handtekeningen wilt toepassen, zal deze blog u helpen te beslissen welk niveau van zekerheid u nodig heeft.
Wat zijn de zekerheidsniveaus voor elektronische handtekeningen onder eIDAS?
Er zijn veel verschillende regels voor handtekeningen, vaak met duidelijke verschillen afhankelijk van het land, de industrie of het beoogde gebruik. Elk van hen heeft zijn eigen classificaties voor elektronische handtekeningen ontwikkeld, die het niveau van vertrouwen en zekerheid weergeven dat in die handtekeningen kan worden geplaatst. De verschillende niveaus van vertrouwen en zekerheid die verschillende soorten handtekeningen bieden, hangen grotendeels af van de technische en reglementaire opzet van de betreffende handtekeningen.
Voor dit artikel zullen we de voorwaarden bekijken die door eIDAS worden voorgesteld. eIDAS werd immers geïntroduceerd met als doel het creëren van een gemeenschappelijke basis en een gemeenschappelijk kader voor veilige elektronische handtekeningen. Dit zou het vertrouwen moeten vergroten en de interoperabiliteit, het grensoverschrijdende gebruik en de acceptatie ervan moeten vergemakkelijken.
eIDAS heeft ook een accreditatie in het leven geroepen voor het leveren van elektronische handtekeningen met het hoogste niveau van zekerheid (gekwalificeerde elektronische handtekeningen) en daarmee hebben ze de markt voor elektronische handtekeningen in Europa veranderd. Voordat we daaraan toekomen, moeten we eerst de verschillende niveaus van zekerheid afzonderlijk bekijken.
Basisniveau elektronische handtekeningen
Volgens eIDAS kan op basisniveau een elektronische handtekening worden gedefinieerd als:
Gegevens in elektronische vorm die gehecht zijn aan of logisch verbonden zijn met andere gegevens in elektronische vorm en die door de ondertekenaar worden gebruikt om te ondertekenen.
Als u deze definitie letterlijk neemt, kunt u een document ondertekenen door eenvoudigweg uw handtekening te scannen of door een vakje aan te vinken in een document dat op het apparaat van uw keuze is geopend. Technisch gezien zijn de gegevens in elektronische vorm en aan een bestand gekoppeld, maar er zijn problemen met dit model die eIDAS probeert aan te pakken.
Zoals u misschien al had kunnen raden, is dit helemaal niet bedoeld om een document te ondertekenen. Er kan nog steeds met het document worden geknoeid en een ‘handtekening’ kan gemakkelijk worden vervalst (d.w.z. we kunnen niet zeker zijn wie het vakje heeft aangevinkt om te bevestigen dat de voorwaarden zijn geaccepteerd). Om de juiste vaktaal te gebruiken: noch de integriteit, noch de authenticiteit van het document wordt gegarandeerd.
Geavanceerde elektronische handtekeningen
Onder eIDAS moet een geavanceerde elektronische handtekening aan de volgende vereisten voldoen:
- Op unieke wijze met de ondertekenaar verbonden zijn
- In staat zijn de ondertekenaar te identificeren
- Tot stand zijn gekomen met gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar met een hoge mate van vertrouwen onder zijn eigen controle kan gebruiken
- Gekoppeld zijn aan de gegevens die zo zijn ondertekend dat elke latere wijziging van de gegevens kan worden opgespoord
Het gebruik van digitale handtekeningen op basis van Public Key Infrastructure (PKI) voldoet aan alle bovenstaande eisen. Als u niet weet hoe dat werkt: digitale handtekeningen worden aangebracht met een digitaal certificaat, dat lijkt op een elektronische versie van een paspoort of rijbewijs dat pas wordt afgegeven na een grondige verificatie van uw identiteit door een vertrouwde derde partij (een certificeringsinstantie of CA genoemd). Digitale certificaten, en hun daaruit voortvloeiende handtekeningen, zijn uniek voor het individu en vrijwel onmogelijk om te vervalsen, waardoor aan de twee bovenstaande eisen wordt voldaan.
Omdat de ondertekenaar de enige houder is van de privé sleutel die wordt gebruikt om de handtekening te plaatsen (zie ons artikel over Public Key Infrastructure voor meer informatie over hoe public en private keyparen werken), kunt u er zeker van zijn dat de ondertekenaar de persoon is die hij of zij zegt te zijn. Tot slot wordt bij de verificatie van een handtekening, die automatisch plaatsvindt wanneer een ontvanger het document opent, gecontroleerd of er sinds de ondertekening wijzigingen in het document zijn aangebracht.
Om het opnieuw in vaktaal te zeggen: integriteit en authenticiteit worden gegarandeerd als aan de vereisten voor geavanceerde elektronische handtekeningen wordt voldaan. Geavanceerde elektronische handtekeningen mogen niet juridisch worden afgewezen alleen omdat het een elektronische vorm betreft, wat betekent dat een correct geïmplementeerde geavanceerde elektronische handtekening net zo goed is als een traditionele handtekening in inkt (en zelfs beter). Als de geldigheid van geavanceerde elektronische handtekeningen echter in twijfel wordt getrokken, ligt de bewijslast dat aan alle noodzakelijke criteria is voldaan bij de ondertekenaar.
PKI is wat GlobalSign het beste doet en daarom komen veel van onze producten die al bestonden vóór eIDAS in aanmerking als geavanceerde elektronische handtekening. Naast de traditioneel veilige implementatiemethoden van certificaten op USB-token, helpt onze cloudgebaseerde Digital Signing Service (DSS) u bij het toepassen van digitale handtekeningen die in aanmerking komen als geavanceerde elektronische handtekeningen.
Gekwalificeerde elektronische handtekeningen
Een gekwalificeerde elektronische handtekening is:
Een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen.
Laten we eerst eens kijken wat een ‘gekwalificeerd middel voor het aanmaken van handtekeningen’ is. Volgens de eisen van eIDAS moet het apparaat voor het volgende zorgen:
- De vertrouwelijkheid van de gegevens voor het aanmaken van elektronische handtekeningen.
- De gegevens voor het aanmaken van elektronische handtekeningen kunnen praktisch slechts één keer worden gebruikt.
- De gegevens voor het aanmaken van elektronische handtekeningen kunnen niet worden afgeleid en de handtekening wordt met behulp van de huidige beschikbare technologie tegen vervalsing beschermd.
- De gegevens voor het aanmaken van elektronische handtekeningen kunnen door de rechtmatige ondertekenaar op betrouwbare wijze worden beschermd tegen gebruik door anderen.
- Het hulpmiddel mag de te ondertekenen gegevens niet wijzigen of beletten dat deze gegevens vóór de ondertekening aan de ondertekenaar worden doorgegeven.
- Het genereren of beheren van gegevens van de ondertekenaar namens de ondertekenaar kan alleen worden gedaan door een gekwalificeerde verlener van vertrouwensdiensten.
- Onverminderd punt d) onder punt 1, mogen gekwalificeerde verleners van vertrouwensdiensten die namens de ondertekenaar gegevens voor het aanmaken van elektronische handtekeningen beheren, de gegevens voor het aanmaken van elektronische handtekeningen alleen dupliceren voor back-updoeleinden, mits aan de volgende eisen is voldaan:
- De beveiliging van de gedupliceerde datasets moet op hetzelfde niveau liggen als bij de oorspronkelijke datasets.
- Het aantal gedupliceerde datasets mag niet groter zijn dan het minimum dat nodig is om de continuïteit van de dienstverlening te waarborgen.
De verordening stelt dat als u van plan bent om gekwalificeerde elektronische handtekeningen te gebruiken, u de aanmaak- en handtekeninggegevens moet opslaan op een zeer betrouwbaar en veilig apparaat, zoals cryptografische USB-tokens of Hardware Security Modules (HSM's), in overeenstemming met FIPS 140-2 Level 3, wat een beveiligingsstandaard voor cryptografische modules is.
In het volgende deel van de definitie voor gekwalificeerde elektronische handtekeningen staat dat de gegevens op het apparaat gebaseerd moeten zijn op een ‘gekwalificeerd certificaat voor elektronische handtekeningen’. Een gekwalificeerd certificaat kan alleen worden aangeschaft bij een certificeringsinstantie die is geaccrediteerd als gekwalificeerde verlener van vertrouwensdiensten – zoals GlobalSign! Om ervoor te zorgen dat aan de eis van gekwalificeerd middelen voor het aanmaken van handtekeningen wordt voldaan, bieden we bij GlobalSign een geaccrediteerd gekwalificeerd middel voor het aanmaken van handtekeningen aan in de vorm van een SafeNet USB Token bij de aankoop van gekwalificeerde certificaten.
Als de ‘gouden standaard’ van digitale handtekeningen onder eIDAS worden integriteit en authenticiteit gegarandeerd door gekwalificeerde elektronische handtekeningen. EU-lidstaten zijn verplicht om de geldigheid te erkennen van een gekwalificeerde elektronische handtekening die is gemaakt met behulp van een gekwalificeerd certificaat uit een andere lidstaat. Bovendien kan een gekwalificeerde elektronische handtekening worden beschouwd als het juridische equivalent van een traditionele handtekening in inkt, tenzij er reden is om het misbruik van de onderliggende certificaten te vermoeden. De bewijslast ligt bij de partij die twijfelt aan de geldigheid van de gekwalificeerde handtekening.
Elektronische zegels
Elektronische zegels zijn vergelijkbaar met een elektronische handtekening, maar het verschil zit hem in de identiteit achter de handtekening. Een elektronisch zegel garandeert de integriteit en authenticiteit op dezelfde manier als een elektronische handtekening, maar in plaats van een individu neemt een rechtspersoon de plaats in van de ondertekenaar.
eIDAS vermeldt ze zoals gebruikt door de EU-lidstaten, maar u kunt ze ook gebruiken in uw instelling of organisatie. Of u er een nodig heeft, hangt af van de vraag of u als individu of rechtspersoon moet tekenen. Elektronische zegels zijn over het algemeen meer geschikt voor geautomatiseerde of grootschalige ondertekeningsbehoeften.
Aan welk zekerheidsniveau moet ik voldoen?
Volgens eIDAS artikel 25:
Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.
Het is daarom zinvol om in ieder geval geavanceerde elektronische handtekeningen te gebruiken voor uw workflow voor elektronische handtekeningen, anders kunnen de handtekeningen worden geweigerd, alleen omdat ze elektronisch zijn. Het feit dat elektronische handtekeningen niet geldig zijn, is waarschijnlijk een van de belangrijkste zorgen die bedrijven hebben met de overgang.
Zowel geavanceerde als gekwalificeerde elektronische handtekeningen bieden een hoog niveau van vertrouwen en zekerheid. Bij het overschakelen van traditionele handtekeningen naar elektronische handtekeningen is het van cruciaal belang dat die kenmerken van handtekeningen behouden blijven. Het cruciale verschil is de bewijslast.
Bent u van plan om een workflow voor het ondertekenen van grote volumes te ontwikkelen? Dan is onze Digital Signing Service misschien wel wat u zoekt. Geavanceerde elektronische handtekeningen zullen samen met het bewijs van een veilige workflow en gebruikersauthenticatie vertrouwen en zekerheid voor uw handtekeningen garanderen op een juridisch solide basis.
Zijn gekwalificeerde elektronische handtekeningen expliciet vereist, bijvoorbeeld omdat uw CEO documenten moet ondertekenen voor indiening in een Europese aanbesteding? Het verkrijgen van een gekwalificeerd certificaat dat aan het gekwalificeerde middel voor het aanmaken van handtekeningen wordt verstrekt, maakt het mogelijk om af en toe zeer belangrijke documenten te ondertekenen, zonder dat u zich al te veel zorgen hoeft te maken over het feit of u de veiligheid van de methode zelf kunt bewijzen.
Tot slot is het belangrijk om te onthouden dat, hoewel eIDAS niet het gebruik van openbaar vertrouwde digitale certificaten specificeert, we aanbevelen om ze te gebruiken en ze te kopen bij een openbaar vertrouwde certificeringsinstantie. Publiek vertrouwen is essentieel als u wilt dat uw handtekeningen automatisch worden geverifieerd en vertrouwd op populaire platformen voor het ondertekenen van documenten, zoals Adobe Acrobat Sign of DocuSign. Op deze manier heeft u bij het ondertekenen van documenten niet alleen conformiteit, maar ook een naadloze gebruikerservaring voor de ontvanger van het document.
Als u een oplossing voor elektronische handtekeningen wilt bespreken voor de naleving van eIDAS, kunt u contact opnemen met GlobalSign voor meer informatie.
