De verificatie van de digitale handtekening van een bericht verstuurd door de Sociale Zekerheid
De garanties die de handtekening levert, gelden enkel als de handtekening geldig is. Daarom kan de aangever, indien hij wenst, de handtekeningen van de sociale zekerheid controleren. De twee handtekeningsformaten van de sociale zekerheid (CAdES-T en PKCS#7/CMS) hebben een gemeenschappelijke basisstructuur; CAdES-T is een uitbreiding van PKCS#7/CMS. De verschillende validatiestappen van een handtekening in PKCS#7/CMS-formaat zijn eveneens van toepassing op het CAdES-T-formaat.
Functioneel zijn de verificaties die dienen te gebeuren om een PKCS#7- of CAdES-T-handtekening te valideren, de volgende:
- Verificatie van de geldigheid van het certificaat:
Deze stap vereist de extractie van het handtekeningscertificaat van de ondertekenaar om zich te verzekeren dat:- De geldigheidsdatum van het certificaat niet overschreden is.
- Het certificaat weldegelijk uitgegeven is door een Erkende Certificeringsautoriteit « van vertrouwen » en deze opgenomen is in de lijst van erkende Belgische certificatiedienstverleners.
- Het certificaat niet is ingetrokken door de certificeringsautoriteit.
- Het certificaat de identiteit vertegenwoordigt van een bekend en vertrouwd ondertekenaar.
- Verificatie van de waarde van de handtekening:
Deze stap laat toe om te controleren of de waarde van de handtekening weldegelijk klopt, om na te gaan dat het document niet is gewijzigd nadat de handtekening is aangemaakt en om te bevestigen dat de ondertekenaar die de handtekening uitgevoerd heeft ook diegene is die vertegenwoordigd is door het certificaat. Deze verificatie bestaat uit :- Het uitvoeren van de RSA-decodering van de waarde van de handtekening (gecodeerde digest) met behulp van de openbare sleutel van het certificaat van de ondertekenaar. Deze handeling laat toe de gedecodeerde digest van het document te verkrijgen.
- Het berekenen van de waarde van de digest op het document door het gebruik van hetzelfde hash-algoritme dat werd gebruikt door de handtekening.
- Het controleren dat de twee digest identiek zijn.
- Verificatie van de geldigheid van de timestamp (alleen voor CAdES-T-handtekeningen):
Deze stap achterhaalt de timestamp van de handtekening en controleert dat:- De timestamp gegenereerd werd door een erkende "timestamping autoriteit".
- De timestamp betrekking heeft op de handtekening en dus het bestaan van deze handtekening op de genoemde datum bewijst.
Als alle hierboven vermelde controles een positief resultaat opleveren, dan wordt de handtekening als volledig geldig beschouwd. Omwille van performantieredenen kan de verificatie van de geldigheid van de timestamp voltooid worden op een later tijdstip of op optionele wijze. In dit geval, als alleen de genummerde controles 1 en 2 worden uitgevoerd en deze een positief resultaat geven, kan de handtekening ook als geldig beschouwd worden (maar gedeeltelijk gevalideerd).
Opmerking: Technische informatie met betrekking tot de verificatie van handtekeningen met het CAdES-T-formaat zijn beschikbaar in het CadES-formaat, gepubliceerd door het ETSI (European Telecommunications Standards Institute).