nov 10

TrustFrameWork en OpenIdentiteit

Posted in: Digitale Identiteit 0 Reacties

Belangrijk onderdeel voor het accepteren van een digitale identiteit die is uitgegeven door een derde partij zijn de liabilities. Wat als de identiteit niet juist is, wat is het niveau van uitgifte etc.. Binnen OpenID wordt hier voolop aandacht aan besteedt. Een goede omschrijving van de problematiek kan je hier lezen:

Een amerikaans artikel, maar wel duidelijk in de problematiek.

sep 28

PADES een nieuwe standaard

Posted in: Elektronische Handtekening 0 Reacties

Twee weken geleden heeft ETSI de nieuwe PADES standaard geintroduceerd.

Volgens deze standaard is het mogelijk om juridisch rechtsgeldige handtekeningen te zetten op basis van het PDF document formaat. Ondanks dat PDF handtekeningen al veel gebruikt worden, ontbrak het nog aan een officiële standaard.

De standaard is te downloaden op de site van ETSI

Adobe heeft meegewerkt aan de ontwikkeling van deze standaard. Naast PDF is er ook de XADES standaard (XML) en CADES standaard voor Cryptomatic. Een detail whitepaper over de ADES standaard is te vinden op de site van Adobe

aug 25

Bloggen of twitteren…

Posted in: Digitale Identiteit 0 Reacties

Tot mijn grote schrik zag ik dat het alweer 5 maanden geleden is dat ik een artikel plaatste op mijn weblog. Na mijn besluit om per 1 januari voor mijn zelf te starten met Evidos zijn er genoeg ontwikkelingen om iets over te publiceren. Ik heb het nog even geprobeerd met mijn Twitter account @papierloos, maar daar moet ik nog een beetje aan wennen, ik hoop het binnenkort weer een keertje te proberen.

Sinds januari ben ik druk met de verdere ontwikkeling van openid in Nederland. Op openid.startpagina.nl is een overzicht gemaakt van interessante informatie. Op dit moment wordt aan de openid.nl site gewerkt. Het openid event was een succes en ik wijs iedereen graag op het videoverslag.

Ondertussen help ik verschillende organisaties bij het accepteren van externe authenticatievoorzieningen als DigiD, eHerkenning of OpenID. Belangrijk punt hierbij zijn de discussies over het betrouwbaarheidsniveau voor authenticatie. Het ziet er naar uit dat internationaal, maar ook in Nederland concrete stappen gemaakt worden om deze LOA’s (levels of assurance) langzaam te standaardiseren.

Op openid.net staat een goed artikel over de ontwikkelingen om OpenID te accepteren op Overheid websites. Het lijkt erop dat ook hier een vorm van eHerkenning wordt gestart.

Tot slot wijs ik graag nog even op het weblog dat DigiNotar sinds kort is gestart. Ik heb er vertrouwen in dat Bart, Jaap, Zivko, Marcel en alle andere kennis experts leuke “onafhankelijk en vertrouwde” artikelen zullen plaatsen

mrt 26

Artikel in Trouw over papierloos werken

Posted in: Elektronische Handtekening,papierloos 0 Reacties

25 maart stond er in Trouw een leuk artikel “Het papierloze kantoor is veiliger, sneller en groener” over de voortgang in het papierloos werken bij de grotere organisaties. Ondanks de langzame start zie je dat steeds meer organisaties de weg naar het papierloze tijdperk weten te vinden.

De kredietcrisis kan hierbij een belangrijke katalysator zijn omdat hierdoor kosten besparen en duurzaam ondernemen hoog op de agenda staan.

Ik had nog even contact met Maaike Bezemer van Trouw om een aantal van de ontwikkelingen toe te lichten.

mrt 09

Niveau elektronische handtekening afgekeurd in rechtzaak

Posted in: Elektronische Handtekening 1 Reacties

Bijgaand een uitspraak van een rechter in Amerika, waarbij het niveau van de elektronische handtekening niet wordt goedgekeurd en daarmee geen rechtsgeldige handtekening is gerealiseerd.

In deze casus ging het om een medewerker die een elektronische handtekening had geplaatst op een intern document op basis van een gebruikersnaam/ wachtwoord dat uitgegeven was door het bedrijf van de medewerker.

Bij het vaststellen van het niveau van de elektronische handtekening kijkt de rechter naar de betrouwbaarheid van het proces van identificatie. In dit geval is het proces van identificatie het uitreiken van een interne gebruikersnaam en wachtwoord aan de medewerker. De rechter vond dat het bedrijf niet genoeg maatregelen had getroffen om de intranet wachtwoorden af te schermen en alleen de geautoriseerde medewerker toegang te geven. Ook systeembeheerders hadden immers de handtekening kunnen plaatsen.

Bij het realiseren van de elektronische handtekening is het belangrijk om het proces van identificatie zo betrouwbaar mogelijk in te richten.

Ik denk dat er nog veel van dergelijke zaken zullen volgen in de toekomst.

mrt 09

Crisis is stimulans voor papierloos werken

Posted in: Elektronische Handtekening 0 Reacties

Door de crisis zijn veel organisaties gedwongen om anders te gaan werken en kosten te besparen.

Samen met het personeel vinden brainstormsessies plaats hoe en met welke projecten de crisis te bezweren. Zo ook de coalitie.

In veel gevallen staat het thema “papierloos” hoog op de agenda.

Projecten die het gebruik van papier in een waardeketen beperken zijn waardevolle projecten aangezien ze vaak:
– Voordeel en gemak opleveren voor de gebruikers
– Op de korte termijn kosten kunnen besparen (Verzendkosten, personeel, snellere verwerking, opslag)
– Ze maatschappelijk verantwoord zijn en bijdragen aan innovatie.

Het vrijgeven van de mogelijkheid voor elektronisch factureren is hier een voorbeeld van, maar tal van organisaties gaan bijvoorbeeld contracten en orders elektronisch verwerken.

Om voor 100% papierloos te werken is het wel vaak van belang om ook de papieren handtekening te vervangen door een elektronische handtekening.

feb 22

Testen geavanceerde elekronische handtekening door ETSI

Posted in: Elektronische Handtekening 0 Reacties

 In de periode van 16-22 februari organiseert ETSI een interoperabiliteit test voor de geavanceerde handtekening. Leveranciers van elektronische handtekening producten testen hierbij de samenwerking tussen de verschillende ondertekeningsproducten en of deze voldoen aan de technische standaarden:

XAdES & CAdES

Doel van deze testen is te zorgen dat elektronisch getekende documenten op een eenvoudige wijze uit te wisselen zijn tussen bedrijven onderling.

Binnen deze standaarden worden elementen gedefinieerd als:

  • Onafhankelijk tijdstip van ondertekening
  • Geldigheid en vertrouwensniveau van de identiteit bij ondertekening
  • Archiveren van de handtekening

Advanced Electronic Signature Tests

jan 31

Authenticiteit van nieuwsberichten

Posted in: Digitale Identiteit 0 Reacties

Eind januari was er enige ophef over een nieuwe shirtsponsor voor Feyenoord.

Een e-mail die afkomstig lijkt van de perswoordvoerder van Feyenoord, heeft op menig redactie voor gefronste wenkbrauwen gezorgd. De club zou een nieuwe shirtsponsor hebben gevonden in Fisherman’s Friend. Het ging om een vervalsing, maar verschillende journalisten trapten in de grap.

In dit geval was de schade beperkt. Maar eind september was er het zes jaar oude nieuwsbericht over American Airlines dat het aandeel 75% liet dalen.

Al met al een paar duidelijke voorbeelden dat de authenticiteit van een persbericht steeds belangrijker wordt om grote schade te voorkomen. Waarom maken huidige persvoorlichters, nieuwsverspreiders als ANP of Bloomberg nog geen gebruik van een digitale identiteit?

Hoe eenvoudig is het om de elektronische nieuwsberichten te voorzien van een elektronisch waarmerk! XML berichten kunnen voorzien worden van een XML handtekening, PDF berichten kunnen tegenwoordig eenvoudig gewaarmerkt worden en een e-mail bericht biedt ook eenvoudige mogelijkheden.

Opvallend genoeg zijn er nog weinig activiteiten op dit gebied, zowel internationaal en nationaal, terwijl de risico’s toch vrij groot zijn.

dec 30

Nederlandse TU bewijst beveiligingslek in PKI waar MD5 hash wordt gebruikt

Posted in: PKI 0 Reacties

Een nogal technische titel voor deze blogpost, maar ik kon even niet anders bedenken. Of toch “Stro-huisje van biggetje omver geblazen….”

biggetje stro

In eigen bewordingen in het kort een schets van de problematiek zoals deze gepresenteerd is op het Chaos Communication Congres in Berlijn:

Voor de uitgifte van digitale identiteitsbewijzen uit een PKI wordt gebruik gemaakt van een hashwaarde om aan te tonen dat de inhoud van het identiteitsbewijs niet gewijzigd is. De hashwaarde is een rekensom die de inhoud van het identiteitsbewijs weergeeft in een unieke cijferreeks. Wordt de inhoud van het identiteitsbewijs gewijzigd dan zal deze unieke cijferreeks anders zijn. Nu zijn er verschillende methodes om deze cijferreeks te berekenen, de bekende zijn MD5, SHA1 en SHA256.

Deze methodes zijn te vergelijken met de drie huisjes van de drie biggetjes. MD5 is het huisje van Stro, SHA256 is het huisje van beton. Onderzoekers van de TU Eindhoven hebben bewezen dat het gebruik van de MD5 hash in digitale identiteitsbewijzen niet meer veilig is. Een en ander is gepubliceerd in een whitepaper.

Elke, zichzelf respecterende, certificaatuitgever maakt al tijden geen gebruik meer van het MD5 algoritme en is al in de weer met sha256. Zo is de nieuwe root van PKIOverheid ook gebaseerd op sha256. DigiNotar geeft geen certificaten uit op basis van dit md-5 algoritme.

Allereerst moeten we trotst zijn op dit Nederlandse onderzoek, het bewijst maar weer eens de goede expertise die we op dit gebied in huis hebben. Na de publicatie zijn er wereldwijd de nodige discussies op gang gekomen. Daarnaast zijn er toch verschillende, op het oog vertrouwde, goedkope CA’s, die dergelijke identiteitsbewijzen hebben uitgegeven.

Wederom een bewijs dat het kiezen van een goede certificaat instantie verder gaat dan alleen te kijken naar snelheid en prijs. Net als het biggetje dat ging voor stro en uiteindelijk bij zijn broertje in het stenen huisje moest schuilen…

nov 30

Een nieuwe start in 2009

Posted in: Digitale Identiteit 4 Reacties

Vanaf januari 2009 zal ik DigiNotar verlaten en start ik mijn eigen bedrijf Evidos.nl

In tien fantastische jaren ben ik nauw betrokken geweest bij het opzetten van Diginotar en het in de markt zetten van producten rondom digitale identiteit, elektronische handtekening en betrouwbare communicatie. Ik denk dat we met Diginotar een grote bijdrage hebben geleverd aan de acceptatie en standaardisatie van vertrouwensdiensten op Internet zoals bijvoorbeeld, PKIOverheid, Gekwalificeerde elektronische handtekening, Authenticatie diensten, Elektronisch factureren en binnenkort de digitale polis.

Voor mij is nu de tijd gekomen van het eigen ondernemerschap. De afgelopen tijd merkte ik de enorme behoefte van organisaties om op een onafhankelijke manier geholpen te worden bij het opstarten, specificeren en realiseren van digitale identiteit, elektronische handtekening en andere projecten op het gebied van het zeker zakendoen op Internet. Zo is Evidos ontstaan, Evidos staat voor Evidence in Online Services.

Evidos | elektronische handtekening, digitale identiteit

Nu de diensten en producten beschikbaar zijn, pas ik ze graag binnen verschillende organisaties toe.

Gezien mijn ervaring wil ik mij naast mijn expertise en advies binnen organisaties, de komende tijd ook bezighouden met de ontwikkelingen rondom een generieke digitale identiteit voor bedrijven en consumenten. Naar mijn idee één van de belangrijkste fundamenten voor verdere innovatie op het Internet. Indien Nederland erin slaagt om de digitale identiteit op een goede manier te organiseren dan biedt dit enorme kansen voor ons land en onze positie rondom serieuze dienstverlening over het Internet.


Mijn weblog papierloos.nl zal ik bijven onderhouden.