ICT en de digitale handtekening Door Peter Stolk
Onderwerpen • • • • • • • •
Elektronisch aanleveren van akten Issues bij de start Aanbieders van akten Hoe krijgen we ze zover? Demonstratie Welke technieken hebben we gebruikt Ervaringen in de praktijk Ontwikkelingen
Aanleveren van akten (cijfers 2006) Omzet: € 220 mln
Notaris (880) Akte
Informativerstrekking (20.800.000) Kadaster-on-line (via internet) Akten (1.246.000) Bewijs van Ontvangst
Bewijs van Inschrijving
Kadaster (15) Openbare Registers Kadastrale Registratie
Issues bij de start Overdracht van vastgoed Wettelijke karakter = op akten gebaseerd systeem Openbare Registers: • bevatten kopiën van complete akten • ondertekend door een notaris • moeten beschikbaar blijven voor opvraging Op integere wijze belangrijke documenten via internet versturen?
Aanbieders van akten • Notarissen (95-98%) • Deurwaarders (beslagen) • Belastingdeurwaarders • Gemeenten • Waterschappen • Provincies
Ontwikkeling van een web-applicatie Gebaseerd op Java Web Start en PKCS#11
Functionaliteit Vier soorten verzoeken: • Verzoek tot Inschrijving Stuk • Verzoek tot Inschrijving Verbetering • Verzoek tot Intrekking • Verzoek tot in depotname Web-applicatie genereert mail messages (S/MIME)
Mail Based System Message
Inkomende en uitgaande berichten bestaan uit: • XML formulier • Bevat de filenaam van stuk en eventuele bijlagen • Elk stuk en elke bijlage zijn elk van een digitale handtekening voorzien • Totale bericht is ondertekend
[ ].XML
AKTE.PDF
Handtekening
BIJLAGE.PDF
Handtekening Handtekening
Bewijs en bewaar • Totale mailbericht wordt 20 jaar bewaard (S/MIME); zonodig voorzien van extra handtekening (handtekening verloopt overigens wel) • Voor online bevraging wordt verzoek uit elkaar gehaald. • Aan stukken (akten) wordt bewaardersverklaring toegevoegd omtrent handtekening. • In geval van dispuut wordt originele verzoek erbij gezocht. • Kadaster vormt het archief van de verzoeken.
Elektronisch aanleveren van akten • Geïntroduceerd in september 2005 (na wijziging van de Kadasterwet) Situatie in oktober 2008: • >1000 geregistreerde gebruikers • Circa 92% van de akten ontvangen we digitaal Recente ontwikkelingen: • Bijlagen kunnen ook vooraf digitaal worden opgestuurd (bijv appartementstekeningen) • Essentialia ontvangen in XML formaat (naast akte)
Security issues • Voorgeschreven smartcardreader (USB) • Verplicht gebruik van PIN code • Smartcards van bekende Certificate Service Provider • Signed web application • Web applicatie vraagt bij eerste gebruik expliciet permissie (do you trust this application signed by Kadaster?) • Eisen aan O.S. en versie MS Internet Explorer
Demonstratie Finalist of the European Awards for e-Government 2007
Digitale handtekening • Gelijkstelling van conventionele en digitale handtekening in wetgeving • In principe door gebruik te maken van geëncrypte hashwaarde • Tekenen mbv smartcard of crypto-server • 'public key infrastructure (pki)'
Ingrediënten digitale handtekening • Asymmetrische cryptografie • Gebruik van ‘hashing’ algoritmes • Certificaten • Trusted Third Party
Cryptografie
A=D B=E C=F
Symmetrisch: D=G • Caesar’s algorithm • Drie letters schuiven in het alfabet KADASTER -> NDGDVWHU
Asymmetrisch: • Algoritme van Rivest, Shamir en Adelman (RSA) • Gebruik van geheime en publieke sleutel (public key)
Hashing technieken • Message Digest 5 (MD5) • Secure Hashing Algorithm - 1 (SHA-1)
MD5(There is $1500 in the blue box.) = 05f8cfc03f4e58cbee731aa4a14b3f03 MD5(There is $1100 in the blue box.) = d6dee11aae89661a45eb9d21e30d34cb MD5(The meeting last week was swell.)= 050f3905211cddf36107ffc361c23e3d
Schematic presentation of asymmetric cryptography
Afzender Document
Document
SHA-1 Dig. Handtek.
Hash
Dig. Handtek.
Encryptie met PRIVATE key
Ontvanger Document
Vergelijking van hashwaarden: Hashwaarden gelijk, document integer
Hash
SHA-1
Hash
Document Dig. Handtek.
Decryptie met PUBLIC key
Certificaten • Uitgegeven door Trusted Third Parties of Certificatiedienstverleners • X509v3 • Certificate Revocation List (CRL) of Online Certificate Status Protocol (OCSP)
Omgaan met CRL Vermelding • Aanbieder wordt verwittigd van feit dat zijn smartcard op CRL voorkomt (ACV) • Verwerking van stuk wordt 24 uur opgehouden • Aanbieder krijgt kans om stuk in te trekken • Dit wordt in bewaardersverklaring opgenomen
Manieren van ondertekening Smart card (reader): • Persoonsgebonden • Bedoeld voor tekenen van individuele documenten Crypto server: • Gebonden aan een organisatie of een functie • Bedoeld voor tekenen van grote hoeveelheden documenten • Gebaseerd op Hardware Security Module • Verzorgd on-board secure key storage, key generation en key management functions • “Tamper proof”
Welke problemen in de praktijk? • CRL van CSP voor bepaalde tijd niet benaderbaar • Niet elke CSP biedt beroepscertificaten aan • Storing van cryptoserver kan leiden tot zeer ongewenste effecten
Ontwikkelingen • Digitale facturering • Informatie aanbieden via webservices (ketenintegratie) met authenticatiecontrole obv certificaten • Informatieverstrekking ?
Vragen ?
