Waarom kost een certificaat in het actieplan niets?Een stam certificaat wordt door het bedrijf zelf aangemaakt en gedeponeerd bij de Kamer van Koophandel. Met een (op termijn gratis) software pakket kan men zelf autorisatie certificaten aanmaken, zonder omweg, en zonder dat men geld moet betalen aan een Certificaat dienstverlener.
Wat wel geld kost is het individuele certificaat. Maar elke Nederlander heeft daar maar één van nodig, en deze kan tegelijk worden afgegeven met het paspoort. Een individueel certificaat in een land als Slovenië kost 17 Euro, dus de kosten zijn overzienbaar.

Waarom is een eigen certificaat beter dan een gekwalificeerd certificaatHet geheim zit hem in het stamcertificaat dat bij de Kamer van Koophandel wordt gedeponeerd, en maakt een integraal onderdeel uit van een bedrijfsdossier. Bij een Certificaat Dienstverlener is er altijd sprake van een omweg, die uiteindelijk toch weer op de Kamer van Koophandel terecht komt. Elke procedurele omweg introduceert fouten en geeft de mogelijkheid tot fraude. 

Waarom al dat gedoe met PKI, zijn wachtwoorden niet afdoende?
Hier bestaan veel misverstanden over. Die worden veroorzaakt doordat een wachtwoord vaak wordt gebruikt voor autorisatie, bijvoorbeeld een pincode voor het uit de muur halen van geld. En wachtwoorden worden ook gebruikt om een digitale handtekening te zetten.

Het verschil tussen beiden is dat je een wachtwoord niet kan toevoegen aan een document, en een digitale handtekening wel. Dus voor bewijsvoering achteraf heb je een digitale handtekening nodig.
Wachtwoorden kunnen ook worden gebruikt voor bewijsvoering achteraf, maar dan moet de organisatie een log file bewaren, en allerlei procedure en technische maatregelen nemen om ervoor te zorgen dat niemand ooit iets kan veranderen aan de log file. In de meeste organisaties kan een beetje slimme systeembeheerder deze log file wijzigen, dit aspect kan als puntje bij paaltje komt, voor problemen zorgen. Er hoeft maar één keer in de wereld een systeembeheerder zijn die dat doet, en gebruik maken van wachtwoorden is verdacht.

Wachtwoorden die over het Internet gaan zijn daarnaast heel makkelijk af te luisteren. Elke zichzelf respecterende system administrator kan eenvoudig achter al je wachtwoorden komen, zo'n programma heet een sniffer).
Wil je dat tegengaan dan moet je gebruik maken van een SSL verbinding, en het tot stand komen van deze verbinding is weer op PKI gebaseerd. Dus zowel wachtwoorden als digitale handtekenigen zijn gebaseerd op PKI. Er is wat dit betreft geen verschil tussen beiden.

Wat moet er nu precies gestandaardiseerd worden
Standaardisatie is een hoogst politiek gebeuren, en leidt altijd tot een onvoldoende gestandaardiseerd politiek compromis. Essentiële dingen waar men onderling niet uit komt, worden vaag gelaten.  En juist hiervoor is natuurlijk standaardisatie nodig. En dit politieke proces zit geen kwaliteitscontrole (er is geen Raad van State bij standaardisering), hierdoor worden zaken gewoon vergeten om te standaardiseren.

Wij zijn voor de omgekeerde weg (die Microsoft de facto altijd volgt), en gewoon maken van software. En door het publiceren van de sources ontstaat vanzelf een standaard. 

Wie zijn de dupe van het actieplan
Objectief gezien alleen certificaat dienstverleners, die zullen hun business model moeten aanpassen: niet langer verhuur van certificaten, maar het leveren van producten en diensten rondom PKI.
Alle andere bedrijven zijn er heel blij mee, voor consultants gaat de markt voor services rondom digitale handtekeningen eindelijk open.

En natuurlijk is er de menselijke factor. Velen leiden grote emotionele schade omdat men achteraf moet toegeven dat het anders had gemoeten, en dat men vele jaren heeft besteed aan achteraf nutteloze activiteiten. 

Waarom kan ik niet volstaan met een gescande handtekening.

 

Deze zijn zeer eenvoudig na te maken, praktisch elke middelbare scholier

Jullie zitten te zeuren. Nogmaals, ik ben het helemaal eens met Lizatec

George Bush
President van de Verenigde Staten

draait er zijn hand niet voor om. Hiernaast ziet u de handtekening van President George Bush van de Verenigde Staten. Op zich zegt zo’n handtekening dus helemaal niets.