Zet hier je krabbel maar!

Wedden dat je nog nooit een digitale handtekening euh… hebt gezet? Maar wacht toch maar even voor je de scanner opwarmt of je muis in allerlei bochten wringt om een digitaal duplicaat van je handgeschreven signatuur op je scherm te krijgen. Een digitale handtekening heeft immers niets meer met je ‘hand’ en nog minder met ’tekenen’ te maken. Het is allemaal wel een tikkeltje ingewikkelder, en dat is meteen een van de redenen waarom zo weinig mensen hun documenten digitaal ondertekenen.

De basisbedoeling van een digitale handtekening is alvast vergelijkbaar met die van zijn handgeschreven tegenhanger: je geeft ermee te kennen dat jij de auteur van het document bent, of minstens dat je volledig akkoord gaat met de inhoud ervan. Klinkt niet bepaald sexy, maar je moet wel weten dat digitale handtekeningen nog wel wat extra in petto hebben. Meer bepaald maken ze verschillende vormen van internetverkeer een flink stuk veiliger: communicatie via e-mail of tussen je browser en een webserver, zakelijke transacties zoals bij thuisbankieren, of allerlei software-downloads — waaronder het automatisch binnenhalen van softwarecomponenten bij het surfen.

Wet
We hebben er lang op moeten wachten, maar eindelijk lijkt de wet de digitale (r)evolutie alvast op dit punt te hebben bijgebeend. Op 14 juni 2001 keurde onze Kamer immers een wet goed die definitief het wettelijke kader van digitale handtekeningen regelt, en ze juridisch op hetzelfde niveau plaatst als hun handgeschreven varianten. Dat was overigens wel dringend, want volgens een Europese richtlijn was elke lidstaat tegen 19 juli daartoe verplicht. Jammer genoeg maakt de wet wel een vrij verwarrend onderscheid tussen ‘elektronische handtekeningen’ en hun meer geavanceerde broertjes, de eigenlijke ‘digitale handtekeningen’. Terwijl het bij de eerste enkel om een simpele pincode (personal identification number) kan gaan, komt er bij de andere soort heel wat meer kijken. De rest van dit artikel maakt je duidelijk wít precies, en welke garanties je dat zoal oplevert.

Rijbewijs
Het waaróm lijkt dus wel duidelijk: digitale handtekeningen zorgen voor een veiliger internetverkeer én ze zijn bij wet erkend. Voor we echter aan het wít toe zijn, moeten we wel nog kwijt wat een digitaal certificaat is. Immers, zonder een dergelijk certificaat kun je een digitale handtekening wel op je buik schrijven! Een digitaal certificaat (korten we af als: DC) laat zich nog het beste vergelijken met een rijbewijs (op de informatiesnelweg). En net zoals je een echt rijbewijs alleen maar bij een officiële instantie kunt aanvragen, dien je voor een DC ook bij een erkende instelling aan te kloppen. Een dergelijke instelling kreeg de naam van certificatieautoriteit (CA) mee. De oudste CA in België is BelSign, dat intussen echter Europese tentakels heeft gekregen en zijn naam heeft gewijzigd in GlobalSign. In België kun je verder ook nog terecht bij Isabel en bij E-trust.

Politiebeambte
Het werk dat de CA verricht kun je een beetje vergelijken met wat een politiebeambte doet wanneer die jouw officiële persoonsgegevens vastlegt op een rijbewijs met een uniek nummer. De CA koppelt immers ook jouw identiteit aan een unieke code. Deze unieke code wordt een publieke sleutel (public key) genoemd, en zoals de naam het al aangeeft is deze sleutel voor iedereen toegankelijk. Als je deze code of sleutel nu aan een digitaal document – zoals een e-mailbericht — zou hangen, weet de ontvanger dus dat jij de zender bent, omdat die sleutel onlosmakelijk met jouw identiteit verbonden is. Maar wacht even: als die sleutel publiek is, kan zowat iedereen zijn documenten toch met jouw sleutel ondertekenen? Dat klopt, en om die reden maken DC’en gebruik van een dubbele sleutel (zie kaderstukje): enerzijds een publieke sleutel, anderzijds een strikt geheime, private sleutel (private key), en beide zijn heel nauw met elkaar verbonden. Hoe dat precies in elkaar zit, laten we je dadelijk in de praktijk zien: we kloppen namelijk aan bij GlobalSign, en vragen een gratis democertificaat aan dat dertig dagen geldig blijft. Doe je mee?