OpenID een elektronische handtekening?
31-05-2007
De definitie van de elektronische handtekening conform artikel 3:15a, lid 4 BW luidt:
“Onder elektronische handtekening wordt een handtekening verstaan die bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie.”?
OpenID bestaat uit een gebruikersnaam en wachtwoord. Om aan de definitie van een elektronische handtekening in de zin van artikel3:15a, lid 4 BW te voldoen, dient de elektronische handtekening te bestaan uit gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens. Daarnaast dient OpenID te dienen als middel voor authentificatie. De vasthechting aan- of logische associatie van elektronische gegevens met OpenID zal technisch niet veel problemen opleveren. Wel maakt het verschil of het proces van vasthechting of logische associatie plaatsvindt op de webserver van de aanbieder van de webservice of bij een onafhankelijke derde (TTP). Het plaatsen van het proces bij een TTP is juridisch gezien betrouwbaarder.
Het is nog maar de vraag of OpenID kan worden gezien als betrouwbaar middel voor authentificatie. Een OpenID-account maak jezelf aan en is daarom niet direct betrouwbaar. Kort gezegd: een elektronische handtekening die je aan jezelf geeft is onbetrouwbaar. Daarmee is nog niet aangetoond dat met behulp OpenID geen elektronische handtekening kan worden gezet. OpenID vereist namelijk per e-mail een bevestiging tijdens het aanmaken van het account. Als het account wordt bevestigd middels een e-mailadres dat is uitgegeven door een betaalde Internet Service Provider (ISP) is OpenID als middel voor authentificatie betrouwbaarder dan wanneer het e-mailadres is uitgegeven door Hotmail of Gmail. Bij een betaalde ISP bestaat namelijk de mogelijkheid om de identiteit te controleren aan de hand van betalingsgegevens.
Met behulp van OpenID kan dan ook een elektronische handtekening worden gezet. Het OpenID-account dient dan wel te zijn geverifieerd middels een e-mailadres uitgegeven door een betaalde ISP. Daarnaast zal de elektronische handtekening meer bewijswaarde krijgen indien het ondertekeningsproces plaatsvindt bij een TTP.
DigiNotar heeft een testapplicatie ontwikkeld waarmee een elektronische handtekening met behulp van OpenID kan worden gezet:
https://testsigning.diginotar.nl/openidsign/
Dit bericht is geschreven naar aanleiding van een bericht op Papierloos.nl over OpenID.
3 Comments Reageer
-
1. Internetrecht: actualitei&hellip | juni 12th, 2007 at 12:14
ICTRecht Weblog » OpenID een elektronische handtekening?…
Eén van de eisen voor een rechtsgeldige digitale handtekening is dat er een betrouwbaar middel voor identificatie van de plaatser gebruikt wordt. Een OpenID identiteit is een webadres of URL, met een mogelijkheid om te bewijzen dat jij eigenaar bent v…
-
2. Sotexis | februari 12th, 2008 at 08:59
Er zijn veel mensen die van de door de ISP aangeboden e-mail client gebruik maken, echter dat betekend ook dat je ervoor kiest om je internetnaam aan een tijdelijke ISP te verbinden. Als ik mails klanten krijg met Planet, Chello, HetNet e.d. dan vind ik hen onvolwassen kwezels.
Je ID zou door koppeling met een OpenID vastgesteld kunnen worden d.m.v. een legitimatie service b.v. op het postkantoor. Wie zou er een dergelijke service via de BV Postkantoren willen opzetten en wie van het grote publiek heeft er zoveel belang bij dat hij/zij de moeite neemt om daarvoor onverplicht naar het postkantoor te gaan?
DiGiD van de belastingdienst zou daarvoor reeds geschikt zijn maar is helaas niet toegankelijk voor bedrijven uit de marktsector.
-
3. Dirk-Willem van Gulik | februari 20th, 2008 at 14:15
1) Ten aanzien van: “….OpenID bestaat uit een gebruikersnaam en
wachtwoord….” — ik geloof dat dit wat kort door de bocht is – OpenID is een dienst welke na vaststelling van ‘controle van een entitiet’ informatie over die entiteit aan derden verstrekt. Het bewijs dat die entiteit ‘controle’ heeft kan bestaan uit het door de entiteit laten opzeggen van zijn wachtwoord. Maar het kan ook geavanceerder. In een aantal experimenten gebruiken wij op dit moment A-Select, DigiD en certificaten verstrekt door organisaites van het diginotar type – die op een chipkaart vastliggen. In dit laatste geval gaat de ‘controle’ verder dan alleen een gedeeld geheim – maar is het bewezen bezit van iets dat redelijkerwijs niet te copieren of te simuleren is.Ten tweede – de crux zit hem in: “…Om aan de definitie van een elektronische handtekening in de zin van artikel3:15a, lid 4 BW te voldoen, dient de elektronische handtekening te bestaan uit gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens….”“.
En dat is nu juist wat OpenID mijn inziens doet.
De hamvraag is dan ook niet of ‘je jezelf als betrouwbaar verklaard’ — maar of die informatie feiten (in de zin van, zeg, SAML facts), in feite verklaringen van derden, bevat die daar op een voor de ontvanger acceptabel nivuea uitsluitsel over geven.
Dus in zoverre is OpenID wel degenlijk een nagenoeg ideale basis voor een ge-federeerd
handtekening systeem – welk aan alle eisen voldoen.Heels schiet zowel de eigenlijke specificatie nog te kort op het gebied van het kenbaar maken van arbitraire extra informatie (zoals bijvoorbeeld een x509 referentie van DigiNotar) -en- de implementatie tekort (het in-band veriferen van die informatie).
Dw.
Geef een reactie
De volgende HTML TAGS zijn toegestaan:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Trackback deze post | Subscribe to the comments via RSS Feed