WYSIWYS: Wat je ziet, is wat je tekent 

Bijdrage van Tom van Bolhuis

29 oktober 2024

Tom van Bolhuis. Herziening eIDAS, komst Europese digitale identiteit
Tom van Bolhuis. Herziening eIDAS, komst Europese digitale identiteit

Wat je ziet, is wat je tekent

De wereld van digitale handtekeningen kent talloze afkortingen en acroniemen. Termen als AES, QES, QTSP en QSCD zijn zo maar een greep uit een lijst met afkortingen, die voor de meesten niet veelzeggend zijn. Nou heeft ieder vak natuurlijk zijn jargon, maar in de cryptografie wordt er soms meer een sport van gemaakt. 

Een interessant voorbeeld hiervan is WYSIWYS, wat staat voor What You See Is What You Sign. Deze term is afgeleid van het bekende WYSIWYG (What You See Is What You Get), dat in de IT-wereld betekent dat de grafische weergave van een document, bijvoorbeeld in een tekstverwerker, precies overeenkomt met het uiteindelijke resultaat 

Hoewel we tegenwoordig gewend zijn dat wat we op ons scherm zien overeenkomt met wat we krijgen, is dat bij digitale handtekeningen complexer. Hoe weet je als gebruiker zeker dat het document dat je digitaal ondertekent, daadwerkelijk de inhoud bevat die je wilt ondertekenen, en dat niet—per ongeluk of opzettelijk—een ander document wordt voorzien van jouw handtekening? 

Hoe werkt WYSIWYS? 

Niet meer printen, handtekening zetten en inscannen. Maak het je klant gemakkelijker.De ironie van de meest betrouwbare implementatie van WYSIWYS is dat je het oorspronkelijke document eigenlijk nooit rechtstreeks ziet. In plaats daarvan zie je een 1-op-1 kopie van het originele document, weergegeven als een afbeelding. De ondertekenoplossing garandeert dat deze kopie exact overeenkomt met het brondocument. Om veiligheidsredenen wordt het originele document zelf nooit naar het apparaat van de ondertekenaar gestuurd voordat de ondertekening plaatsvindt. Dit voorkomt mogelijke aanvallen van buitenaf, zoals een man-in-the-middle attack, waarbij de browser iets anders kan tonen dan wat de server daadwerkelijk heeft verzonden. 

Veilig ondertekenen 

De ondertekening vindt plaats in de beveiligde omgeving van de ondertekenoplossing en niet in de browser van de gebruiker. Zolang je zowel de ondertekenoplossing als de partij die om de handtekening vraagt vertrouwt, kun je er zeker van zijn dat je het juiste document ondertekent, zelfs als er in de browser iets anders zou worden weergegeven. 

Belang van certificeringen 

Volledig uitsluiten dat een browser iets anders toont dan het brondocument is praktisch onmogelijk, en daarom is vertrouwen slechts één onderdeel van de beveiliging. Het is van cruciaal belang dat de ondertekenoplossing voldoet aan strenge eisen en certificeringen, zoals ISO27001, ETSI-standaarden voor ondertekendiensten, en de Europese eIDAS-verordening. Deze normen waarborgen de betrouwbaarheid en veiligheid van de digitale ondertekenoplossingen. 

Kennismaken met PKIsigning?