Getekend voor het leven - Papierloos · 2013. 4. 19. · 30PAG >

<30> PAG

<!ELEMENTjAArGAnG 17 n nr 3

4

Getekend voor het leven?ontwikkelinGen rondom de elektronische hAndtekeninG

Door Ernst Jan van Nigtevecht,[email protected]

Ik begin met een introductie van de Wet elektroni-sche handtekeningen en een uitstapje naar het Besluit elektronisch verkeer met de bestuursrechter en het Besluit elektronisch proces-verbaal. Het eerst genoemde besluit laat een andere invulling zien van de eisen rondom de elektronische handtekening. Het tweede genoemde besluit geeft een invulling binnen het strafrecht voor het proces-verbaal en de lange-termijnhoudbaarheid van elektronische handtekeningen. De aspecten van de houdbaarheid van elektronische handtekeningen zullen in het artikel verder worden uitgewerkt. De Eu-ropese ontwikkelingen op dat vlak worden ook even aangestipt. Het hoofdstuk De praktijk gaat in op het tekenen van een document en de te hanteren docu-mentformaten, mede in het licht van de archivering en de (lange-termijn) houdbaarheid van de geldig-heid van elektronische handtekeningen. Dit laatste aspect is aanleiding om in te gaan op het onderwerp Evidence Records en een Europese standaard daarvoor (LTANS).

Wet elektronische handtekeningen

Nederland heeft sinds 2003 wetgeving op basis van de Europese richtlijn 93 uit 1999. Het begint als volgt:1. Een elektronische handtekening heeft dezelfde rechtsge-volgen als een handgeschreven handtekening, indien de me-thode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval.

De term authentificatie is een samentrekking van authenticatie en identificatie. De frase ‘dezelfde rechtsge-volgen als een handgeschreven handtekening’ is met reden gekozen. Vele wetsteksten waren namelijk geschre-ven voor het gebruik van papieren documenten en met pen geschreven handtekeningen. Het wijzigen van alle relevante wetsteksten was op dat moment ondoenlijk: met deze expliciete uitdrukking kon

deze problematiek worden omzeild, hoewel de gelijk-stelling van digitale documenten aan papieren ge-schriften nog wel noodzakelijk was. De elektronische handtekening kon echter nog niet in alle gevallen worden gebruikt, bijvoorbeeld binnen het strafrecht (maar daarover later meer). Ook het soort document kan tot andere eisen leiden, zoals de elektronische factuur op basis van de Europese Richtlijn 2001/115/EC.

Het kernbegrip voldoende betrouwbaar is als volgt ingevuld:a) zij is op unieke wijze aan de ondertekenaar ver-

bonden;b) zij maakt het mogelijk de ondertekenaar te identi-

ficeren;c) zij komt tot stand met middelen die de onderteke-

naar onder zijn uitsluitende controle kan houden; en

d) zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord;

e) zij is gebaseerd op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel ss, van de Telecommunicatiewet; en

f) zij is gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen als bedoeld in artikel 1.1, onderdeel vv, van de Tele-communicatiewet.

De laatste twee onderdelen, e) en f), stellen nadere eisen aan de onderdelen a) t/m d). Het betreft:n de gegevens in het certificaat, n de wijze waarop het certificaat wordt uitgegeven

(o.a. de controle van de identiteitsgegevens van de persoon),

n het middel waarmee de handtekening wordt gemaakt: het ‘veilig middel’, in de praktijk een smartcard of USB-token.

De geschreven handtekening op papier is voor iedereen een bekend begrip. Door de digita-lisering van de samenleving zijn steeds meer documenten digitaal waardoor het gebruik van een elektronische handtekening ‘voor de hand’ ligt. De elektronische handtekening is dan ook bedoeld als digitale evenknie van de geschreven handtekening. Dit artikel schetst een aantal ontwikkelingen rondom het gebruik van de elektronische handtekening en enkele praktische zaken, onder andere rond het behoud van de juridische waarde van dergelijke documenten.

< > PAG


5

De nadere eisen zijn terug te vinden in de Ministeriële Regeling [3] en daarmee de Europese CEN (European Committee for Standardization ) / ETSI (European Telecom-munications Standards Institute ) normen voor de elek-tronische handtekening.

Elektronische handtekeningen die aan alle genoemde eisen voldoen worden ook wel gekwalificeerd ge-noemd, naar aanleiding van de term ‘gekwalificeerd certificaat’. Dit type elektronische handtekening is daarmee zeer sterk verbonden aan de persoon die on-dertekent, zowel fysiek als qua identiteit, waarbij de certificaat-uitgever het veilig middel persoonlijk heeft uitgereikt aan de persoon (face-to-face).

Wettelijk kunnen echter ook elektronische handteke-ningen worden gebruikt die niet voldoen aan de eisen e) en f). Dit is aangegeven in artikel 3 van het wets-artikel. Dergelijke handtekeningen worden geavan-ceerd genoemd, omdat ze zijn gebaseerd op dezelfde PKI-technologie. PKI is de afkorting van Public Key Infrastructure, de technologie waarbij er een privé en een publieke sleutel is van een certificaat. Alleen is er meer vrijheid omtrent de wijze waarop het certificaat is gemaakt, is uitgegeven en het middel waarop het staat. Een voorbeeld is een authenticatiecertificaat, welke op een pc kan worden geplaatst.

Alleen voor de gekwalificeerde elektronische hand-tekening in een digitaal document geldt dat de juridische waarde op voorhand hetzelfde is als een geschreven handtekening op een papieren document: de rechtsgeldigheid wordt aangenomen. Voor alle dui-delijkheid: een geavanceerde elektronische handteke-ning is ook volkomen rechtsgeldig, alleen is dit niet op voorhand gelijk aan de handgeschreven handtekening: de ondertekenaar moet de betrouwbaarheid aanto-nen. Een gekwalificeerde elektronische handtekening is dus niet altijd vereist. Reeds in 2004 is dit in een artikel [4] aangegeven door Jos Dumortier, één van de grondleggers van de Europese regeling:

‘It is a common misunderstanding that, in Europe, in order to have a legally valid electronic signature, you need a “qualified” electronic signature. (..) The “qualified” electronic signature is therefore only a temporary concept, mainly useful for bridging a transition period. It can, on a longer term, be useful to have a standardized secure electronic signature for all kinds of applications, but such a standard should preferably not be dictated by the legal rules on the “qualified” electronic signature.’

Merk op dat het nog steeds noodzakelijk blijft dat de wetgever aangeeft wat een voldoende betrouwbare elektronische handtekening is voor het doel waarvoor de elektronische gegevens worden gebruikt. Een klein uitstapje: voor bijvoorbeeld elektronische facturen is in Nederland geen gekwalificeerde elektroni-sche handtekening verplicht, conform de Europese Richtlijn uit 2001 [5]. Van belang is dat kan worden aangetoond dat de factuur door de eigen organisatie is verstuurd en niet is veranderd. Naar aanleiding van

de Europese Richtlijn [6] uit 2006 gaat Duitsland waar-schijnlijk de wet aanpassen zodat een Duitse eFactuur geen gekwalificeerde elektronische handtekening meer behoeft.

Uitstapje: Besluit elektronisch verkeer met de bestuursrechter

Een voorbeeld van een andere invulling van de juridi-sche eisen aan een elektronische handtekening is het Besluit elektronisch verkeer met de bestuursrechter [7] uit 2010. Volgens de bijbehorende regeling [8]:‘(..) wordt in ieder geval als voldoende betrouwbaar aange-merkt een methode van authentificatie die minimaal van betrouwbaarheidsniveau 2 STORK is.’

Praktisch gesproken komt dit neer op een handte-kening op basis van (ten minste) DigiD-Basis. Het ge-bruik van een gekwalificeerd certificaat, door de bur-ger, is hierbij dus niet nodig. Vraag blijft wel hoe zo’n document daadwerkelijk kan worden getekend, want DigiD-Basis is slechts een authenticatie-methode!

Een mogelijke methode is de inzet van een derde partij die het desbetreffende document elektronisch waarmerkt (een ondertekening door een systeem) met in de ondertekening verwerkt de identificerende gege-vens van de persoon, na een succesvolle authenticatie met DigiD-Basis. Met het elektronische waarmerk staat:n de derde partij niet garant voor de juistheid van

de inhoud van het document;n de derde partij wel garant voor (i) de juiste wijze van

authenticatie en (ii) de identificerende gegevens van de persoon.

Uitstapje: Besluit elektronisch proces-verbaal

In de Memorie van toelichting betreffende het wets-voorstel elektronische handtekening is in 2001 opge-tekend dat deze niet als vanzelfsprekend kan worden toegepast binnen het strafrecht:‘Wat betreft het strafrecht is nog in studie in hoeverre wets-wijziging of aanvulling nodig is. Derhalve ligt het niet voor de hand de schakelbepaling voor het strafrecht te gebruiken.’

Met de Wet elektronische aangiften en processen-verbaal is in 2006 het kader geschapen om een proces-verbaal elektronisch te ondertekenen en te verzenden ‘mits dit voldoet aan de bij of krachten algemene maatregel van bestuur gestelde eisen’. De invulling daarvan is op 17 januari 2011 in werking getreden met het Besluit elektronisch proces-verbaal [9]. Daarmee is het binnen het strafrecht mogelijk geworden om een proces-verbaal volledig digitaal te laten ontstaan; een papieren proces-verbaal is dan niet meer nodig. Het vereiste kwaliteitsniveau is die van een gekwalificeerde elek-tronische handtekening. Een kanttekening is nog wel op zijn plaats: indien een derde partij, zoals een verdachte of getuige, een handtekening moet kun-nen plaatsen, vereist dit nog wel aanvullende wet-

<30> PAG


6

telijke regelingen. (Mogelijk dat in combinatie met de gekwalificeerde elektronische handtekening van de verbalisant een derde partij kan tekenen op basis van een teken-tableau, waarbij de grafische weergave van de geschreven handtekening in het document wordt verwerkt nog voordat de verbalisant het document ondertekent.)

Naast de mogelijkheid om een digitaal proces-verbaal te ondertekenen met een elektronische handtekening kan ook een papieren proces-verbaal worden gedigita-liseerd: een daarvoor aangewezen ambtenaar kan met zijn of haar elektronische handtekening een digitaal afschrift ondertekenen. Daarmee is de digitale kopie een elektronisch proces-verbaal geworden, met dezelf-de bewijskracht als het papieren origineel. Er worden echter wel eisen gesteld aan de kwaliteit van de kopie: het besluit beschrijft dat in de bijlage.

Omdat een proces-verbaal mogelijk ook vele jaren moet worden bewaard en de bewijskracht moet behouden, zijn er aanvullende eisen gesteld aan het elektronische document. Deze eisen richten zich op het verzamelen van gegevens over de geldigheid van het certificaat, ten tijde van het moment van onder-tekenen en de geldigheid van de certificaten van de uitgever(s). Deze informatie wordt verzameld om te voorkomen dat op een later tijdstip, vele jaren nadat de certificaten zijn verlopen, de geldigheid niet meer (online) aantoonbaar is. Om de integriteit van deze gegevens voor meerdere jaren te kunnen aantonen krijgt het document, tezamen met de verzamelde gegevens, ook een (reeks van) tijdstempel(s).

Een tijdstempel is een digitaal ondertekend tijdstip, verkregen op het moment dat het stempel wordt aan-gevraagd, met een hoge mate van betrouwbaarheid zowel wat betreft het tijdstip als de ondertekening. De digitale ondertekening van het tijdstip is tevens gekoppeld aan het ondertekende document. Een dergelijk tijdstempel wordt door een speciaal systeem gemaakt dat voldoet aan Europese richtlijnen voor ‘vertrouwde tijdstempel’ service providers [10]. Een tijd-stempel kan een geldigheid hebben van 10 jaar.

In de bijlage van het besluit is aangegeven dat de inte-griteit van het proces-verbaal, inclusief gegevens over de geldigheid van de elektronische handtekening, op elk moment aantoonbaar moet zijn. Dit kan prak-tisch worden aangetoond als het (laatst geplaatste) tijdstempel altijd online te verifiëren is en geldig is. Mocht dit op korte termijn niet meer zo zijn, dan zal er tijdig een nieuwe tijdstempel worden geplaatst waarmee opnieuw voor langere tijd aan deze eis kan worden voldaan (vandaar dat er een reeks van tijd-stempels ontstaat). De gehanteerde standaarden zijn voor XML-documenten XAdES (XML Advanced Electronic Signature, ETSI TS 101.903) (in het bijzonder XAdES-A) en voor PDF-documenten PAdES (PDF Advanced Electronic Signature, ETSI TS 102.778) (in het bijzon-der PAdES-4, ook wel PAdES Long Term Validation). De LTANS [11] respectievelijk ANSI X9.95 [12] standaarden

zijn daarentegen inzetbaar voor elk type document, met bijkomend voordeel dat deze standaarden ef-ficiënter zijn voor het bewaken van grote hoeveelhe-den documenten (men maakt gebruik van zogeheten ‘Evidence Records’, records waarmee het bestaan van een bepaald bestand op een bepaalde datum/tijd kan worden aangetoond). Meer hierover in het hoofdstuk ‘De praktijk’.

Europese ontwikkelingen

De invoering en het gebruik van de elektronische handtekening binnen Europa is onderwerp van onder-zoek geweest in de afgelopen jaren. Een belangrijke constatering was:‘The lack of mutual recognition of electronic signatures among the Member States has been recognised as one of the barriers in conducting business at the European level, namely in the area of public eProcurement. Therefore, an understanding of the current legal implications and requirements in terms of interoperability of electronic signatures is required.’

Mede door deze constatering zijn een aantal program-ma’s gestart, zoals: n iDABC [13] voor de verbetering van digitale infor-

matieuitwisseling tussen overheden, burgers en bedrijven. Een belangrijk onderwerp was bijvoor-beeld de validatie van elektronische handteke-ningen van personen uit verschillende Europese lidstaten. Hoe weet je welke certificaatuitgevers aan de eisen voldoen?

n STORK [14] voor onder andere een interoperabele methode van elektronische identificatie (eID) bin-nen de Europese lidstaten. Dit leidde tot 4 niveaus van betrouwbaarheid, waarbij de gekwalificeerde elektronische handtekening het hoogste niveau is (STORK 4; hoogste betrouwbaarheid), en het plaatsen van tekstuele informatie over de identi-teit als laagste niveau (STORK 1; geen of minimale betrouwbaarheid). Het gebruik van DigiD is niveau STORK 2 (lage betrouwbaarheid).

n PEPPOL [15], voor het verhogen van verbindingen en interoperabiliteit tussen inkoop organisaties. Ook hier speelt het vraagstuk van de validatie van elektronische handtekening een belangrijke rol.

Binnen Nederland is het relatief eenvoudig te bepalen welke certificaatuitgevers voldoen aan de Europese regelgeving en Nederlandse wetgeving: de OPTA [16] publiceert een dergelijke lijst. Echter, op welke wijze is te bepalen welke certificaatuitgevers in de andere Europese lidstaten voldoen aan de eisen voor de gekwalificeerde elektronische handtekeningen? Op basis van het programma iDABC leidde dit tot de Vertrouwenslijst [17] (ook wel Trusted Status List [18]) waarin alle certificaatuitgevers binnen de Europese lidstaten zijn opgenomen die aan de eisen voldoen. Hiermee kunnen tevens validatiediensten [19] wor-den ingericht, per lidstaat, voor het controleren van elektronische handtekeningen met een gekwalificeerd certificaat.

< > PAG


7

De praktijk

Het toepassen van de gekwalificeerde elektronische handtekening betekent minimaal het volgende:n De ondertekenaar heeft een gekwalificeerd certifi-

caat op een smartcard of USB-token.n De ondertekenaar heeft een softwareprogramma,

of web-applicatie, waarmee een document kan worden voorzien van een elektronische handteke-ning, bij voorkeur met een vertrouwd tijdstempel om het moment van tekenen te bekrachtigen.

n Er is een softwareprogramma, of web-applicatie, waarmee een elektronisch ondertekend document adequaat kan worden gevalideerd.

n Er is een voorziening / methode waarmee de lange-termijngeldigheid van de elektronische handteke-ning kan worden verzekerd. Dit is niet alleen van belang voor het proces-verbaal, maar in feite voor al die gevallen waarbij de juridische waarde van de elektronische handtekeningen langer ‘houdbaar’ moet zijn dan de periode waarin de verifieerbaar-heid van de handtekening nog mogelijk is.

n Er is een digitaal archief (voor bedrijven en overheidsinstanties en aangenomen dat het een archiefobject is).

In de vervolghoofdstukken wordt ingegaan op een aantal van de genoemde onderwerpen.

Duurzaamheid en documentformaten

Hoewel archiveren vaak als ‘laatste processtap’ wordt gezien, heeft het gebruik van de elektronische handtekening wel consequenties: het archiveren van elektronisch getekende documenten veronderstelt namelijk dat de documenten reeds in een archief-waardig formaat zijn opgemaakt! Dit kan bijvoorbeeld PDF/A zijn of XML (met bijbehorende gegevens voor de presentatie). Dus het vraagstuk rondom ‘archiveren’ en ‘documentformaten’ wordt direct actueel aan het begin van het creatieproces van deze documenten. Want eenmaal getekend kan het formaat niet meer worden gewijzigd zonder de elektronische handte-kening ongeldig te maken (tenzij men de juridische waarde verloren wil laten gaan...).

Document ondertekenen

Het is gebruikelijk om tijdens het ondertekenen van het document de geldigheid van het certificaat te con-troleren. Dit gebeurt op basis van een Online Certificate Status Protocol (OCSP: IETF RFC 2560). Als alternatief kan de Certificate Revocation List (CRL: IETF RFC 5280) worden gebruikt, tijdens het tekenen. Dit wordt echter niet aangera-den omdat een CRL enige uren ach-terloopt op de actuele status van een certificaat. De CRL moet alleen worden gebruikt bij de validatie, ten minste een dag na het moment van de ondertekening

omdat wettelijk de CRL maximaal 1 dag mag achterlo-pen met de actuele status van het certificaat.

Met OpenSSL kan eenvoudig een OCSP request worden gesteld. In figuur 1 wordt een certificaat, uitgegeven door de Justitie CA, gecontroleerd:

De uitgever is natuurlijk te zien in het certificaat van de persoon, als voorbeeld de afbeelding hieronder. De URL van de OCSP-responder is te vinden onder de tab ‘details’, bij het onderdeel ‘Authority Information Access’.

De oplettende lezer zal ook zien dat Windows het certificaat niet kan verifiëren: “Windows does not have enough information to verify this certificate”. Is daarmee een handtekening op basis van dit certificaat ongel-dig? Om deze vraag te beantwoorden zal er informatie nodig zijn over (i) het vertrouwen in de uitgever van het certificaat (wat in het bovenstaande voorbeeld niet aanwezig is) en (ii) indien van toepassing, het vertrouwen in de tussenliggende certificaten tot aan de ‘root’. Het is daarbij niet voldoende om alleen de ‘root’ te vertrouwen want dan zouden de PKIoverheid-certificaten van DigiNotar ook nog steeds worden vertrouwd. Door een hack-incident bij DigiNotar in juli 2011, wat recent tot veel publiciteit leidde zijn alle DigiNotar-certificaten (ook met betrekking tot de PKIoverheid) ingetrokken. (gelukkig bevat Windows een lijst met ‘niet vertrouwde certificaten van certifi-caatuitgevers’).

Pas als de informatie over de tussenliggende certifi-caten aan Windows is gegeven (door deze tussenlig-gende certificaten te installeren) wordt er vertrouwen getoond (zie figuur 2).

Dit is een klein voorbeeld van de complexiteit en afhankelijkheid met betrekking tot het creëren van

vertrouwen in certificaten, door certificaatuitgevers (zoals ‘Justitie CA’, ‘Getronics CA’ en de ‘Staat der Nederlanden’) en verificatiesoft-ware.

$ openssl ocsp -url http://ocsp1.managedpki.com

-issuer GetronicsCSPJustitieCA-G2.pem -cert certifi-

caat.pem –text

Figuur 1: Controle van een certificaat

<30> PAG


8

Het voorbeeld in figuur 3 is een resultaat van een OCSP-controle, uitgevoerd op 19 april 2011. De actuele status is geel gearceerd.

Een voorbeeld van een elemen-taire digitale handtekening kan met LibreOffice eenvoudig worden gemaakt (zie figuur 4). Het ODF-document wordt eerst uitgepakt met 7-zip. De tekstuele inhoud is te vinden in content.xml en de ondertekening in het bestand

META-INF/documentsignatures.xml. De XML-structuur voor de ondertekening maakt gebruik van de XML-DSIG-stan-daard [20].

In het SignedInfo deel is aangegeven wat er is ondertekend: in ODF zijn meer-

dere Reference-elementen opgenomen, verwijzend naar het onderdeel in het ODF-document (zie figuur 5).

Per Reference-element wordt een hash-waarde bere-kend (DigestValue) van het betreffende onderdeel in het ODF-document.

De ondertekening bevat naast het gebruikte certifi-caat (KeyInfo, de publieke sleutel ten behoeve van de verificatie) de ondertekening (SignatureValue) van het SignedInfo gedeelte. Daarmee zijn alle hash-waardes ondertekend en daarmee het document. (Bij het ondertekenen van documenten wordt altijd alleen een hash-waarde van het document gebruikt voor de ondertekening.)

Figuur 2: Tonen van informatie over tussenliggende certifi-caten.

Figuur 5: Voorbeeld digitale handtekening

Figuur 6: Reference-element in digitale handtekening

Figuur 3: OCSP-controle

Figuur 4: Overzicht van componenten digitale handtekening gemaakt met LibreOffice

OCSP Request Data:

Version: 1 (0x0)

Requestor List:

Certificate ID:

Hash Algorithm: sha1

Issuer Name Hash: AC30410604DAFCDD159E46C181EAECD4D36A036E

Issuer Key Hash: 76E23236160370290317231EB5C948ECEB107F6C

Serial Number: 6788F59B7954B540AE14A6408EAD2524

Request Extensions:

OCSP Nonce:

0410B01DBF7B547CCEEFFA3EBF68C0420E61

OCSP Response Data:

OCSP Response Status: successful (0x0)

Response Type: Basic OCSP Response

Version: 1 (0x0)

Responder Id: C = NL, O = Getronics Nederland BV, CN = Getronics CSP Justitie OCSP - G2

Produced At: Apr 19 05:49:39 2011 GMT

Responses:

Certificate ID:

Hash Algorithm: sha1

Issuer Name Hash: AC30410604DAFCDD159E46C181EAECD4D36A036E

Issuer Key Hash: 76E23236160370290317231EB5C948ECEB107F6C

Serial Number: 6788F59B7954B540AE14A6408EAD2524

Cert Status: good

This Update: Apr 19 05:49:39 2011 GMT

<overige gegevens weggelaten>

< > PAG


9

In het voorbeeld in figuur 7 is een self-signed certifi-caat gebruikt.

Het tijdstip van de ondertekening is ook in het object opgenomen (onderaan, in het voorbeeld). Maar hoe be-trouwbaar is die waarde? Het is een tijdstip dat door de computer zelf is gegeven, wat er op kan duiden dat het gemanipuleerd kan zijn (want de klok van de computer is eenvoudig te wijzigen, voordat er wordt getekend).

Een betrouwbaar tijdstip kan worden verkregen door het gebruik van een timestamp service, zoals bijvoor-beeld Certum [21], QuoVadis [22], GuardTime [23] of DigiStamp [24]. Niet elke timestamp service levert echter dezelfde kwaliteit. (In combinatie met een ge-

kwalificeerd elektronische handtekening wordt vaak een timestamp voorgesteld op basis van een gekwa-lificeerd certificaat; in sommige Europese landen is dit verplicht, zoals in Duitsland.) Binnen Europa zijn hiervoor richtlijnen gedefinieerd, uitgewerkt in ETSI-normen (naast natuurlijk de basisnorm RFC 3161):n ETSI TS 101.861 Time-stamping Profile.n ETSI TS 102.023 Electronic Signatures and Infra-

structures (ESI) Policy Requirements for Time-stam-ping Authority.

Een veel gebruikt document formaat is echter PDF, en in het bijzonder PDF/A-1 als duurzame variant ten behoeve van archivering. Ondertekeningen in PDF-documenten maken gebruik van de CMS-standaard (Cryptographic Message Syntax).

Figuur 7: Self-signed certificaat

<SignatureValue>FjYREAcemQNXGOwFcRwOtbB6ZrooPac6BZx71aCyYGMIExm7Rz2riOH09AVRCJ1L

OlxDH0t626YCaPF7JB/X+S12iXravLS74H7ZnAs1J2ogFyU6dkhWkXl3SBflCL0V

vuCzOlGJUXMNJ36XAIQTiZrB4F9BqVQTIeTSxkodHQsXXVQB+WgmnfduqgyV5bk1

RIvDkpUFWXRyobpUxfytpTwu5VX4tL63bdAFN0wBtBx9W0dsLM309/Azeb++YLsP

r4/rZtEADGwbjxABZAGffpvebqmgiZql/NBFcl7L+JipSdZ5255mm513ddDhGMC6

qtqHNfFGvnuI4IO3UNTAuQ==

</SignatureValue>

<KeyInfo>

<X509Data>

<X509IssuerSerial>

<X509IssuerName>CN=Ernst Jan, O=Ernst Jan van Nigtevecht</X509IssuerName>

<X509SerialNumber>100708912966064060720824009929419620089</X509SerialNumber>

</X509IssuerSerial>

<X509Certificate>MIIDBzCCAe+gAwIBAgIQS8PUw/CSa8OwBqn45TN++TANBgkqhkiG9w0BAQUFADA3

MSEwHwYDVQQKExhFcm5zdCBKYW4gdmFuIE5pZ3RldmVjaHQxEjAQBgNVBAMTCUVy

bnN0IEphbjAeFw0wOTAzMTkwNjAyMDdaFw0xMTAzMTkwNjAyMDdaMDcxITAfBgNV

BAoTGEVybnN0IEphbiB2YW4gTmlndGV2ZWNodDESMBAGA1UEAxMJRXJuc3QgSmFu

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApFIdAIPGrok/W2wg4FDz

KMsuDvx6k9pmiA2zAchb2jLNqgBO9jgyvPkGFDAoRNFf3x1ZZyA1hn7r7jvpPYBv

NamVg/Ay9MSGydHMTCSZMOJ2u8iqdk7WWPisJYEe+vn7Zbwl2vOctCEi6q2oubUo

ch5pDirizeC8v9HjFyYCZiE/lww3/X8CLrp32GBna8Jtg5jUHzYLI8wR1pEM5Ix8

hibyCMhRMSaqiVherplnxLHHUwQ48I17mBrCTBvxTvW2ZgT73qQJ3N05zrH39Ym3

X3wV95SGXJ4/MhjBcA4o4YisMw6DZ91PeWwb4lqjefRz/BxccFl63PUIBrZc0EJI

SwIDAQABow8wDTALBgNVHQ8EBAMCAKAwDQYJKoZIhvcNAQEFBQADggEBABHva87w

YiUGnogwWu1ojI5OW6Pyyc1QbW/03YXk30Fo1QPY5UFTRfAM/BKZ8eXHOcJuqEfj

F6Lbhw4UjLxIUMEMumSgE/x2t8GZdFvuBkoe9452QaXnOr6708eVrE4hav5gbi8V

PKPLPE+b56AZ1ZBTucCTRfVy18vZSQvA+7tXs+dtPGvRm+d1NR33zxNdBDOt+BVU

defhLUalDOz0Gak7dDlbu/Qns89zPqWTmEqlkQWaR5cbGMwre9CjXL/Tw8VtIV+5

jxse7LBepdKVvypH2jvNzb3wI3aurunT3LwnJusCcr0nfGTMNPp26ywInULmTo9E

y+zIZsgZcr7hJTQ=</X509Certificate>

</X509Data>

</KeyInfo>

<Object>

<SignatureProperties>

<SignatureProperty

Id="ID_00350056001d00f2003e00f0004b005d008d00fc008e007f001c000e0050006d"

Target="#ID_0046002100a30051008000b9004a00be00930074004300f70012003d00aa0063">

<dc:date xmlns:dc="http://purl.org/dc/elements/1.1/"

>2011-09-19T06:59:07,96</dc:date>

</SignatureProperty>

</SignatureProperties>

</Object>

<30> PAG


10

Geldigheid op de lange termijn (XAdES / PAdES)

Certificaten hebben maar een beperkte levensduur; meestal 3 tot 4 jaar. Een certificaat kan echter ook eerder worden ingetrokken, bijvoorbeeld als de smart-card kwijt is. Als het certificaat verkregen is op basis van een functie binnen een bedrijf, zal het certificaat ook ingetrokken worden als de persoon uit dienst treedt.

Gelukkig publiceert de certificaatuitgever de informa-tie over de geldigheid van de uitgegeven certificaten (middels de eerder genoemde OCSP en CRL). Deze informatie is echter voor een beperkte tijd online be-schikbaar. Wettelijk gezien minimaal een half jaar na het moment waarop het certificaat is ingetrokken of ongeldig is geworden. Wettelijk moet de certificaatuit-gever de administratie tot 7 jaar bewaren; maar deze informatie is niet online beschikbaar. Verificatie wordt dan een lastig verhaal, vooral als het ook nog buitenlandse certificaatuitgevers betreft. Praktisch kan het langer online beschikbaar zijn, maar er komt een moment waarop de geldigheidscontrole niet meer online kan worden uitgevoerd. Hoe kan de geldigheid dan toch vele jaren na dato nog worden aangetoond?

Deze problematiek wordt bijvoorbeeld beschreven voor de verificatie van elektronische facturen [25] op basis van de Europese Richtlijn 2006/112/EC.‘In case of electronic invoices, authentication and integrity have to be guaranteed over the whole storage period of invoices which can be from 5 to 11 (or even longer if data are needed for tax inspection) years depending on the national requirements. A problem that arises when using electronic signatures for electronic invoicing is the method to store the electronic invoices in a way that the electronic signature stays verifiable over years. Electronic invoicing storing systems need to take care of this problem. Verifying an electronic signature that has been created several years before could come up against problems.’

Deze problematiek is echter reeds vroeg onderkend. Dit leidde tot de CMS Advanced Electronic Signatures (CA-dES) standaard, voor CMS-gebaseerde ondertekenin-gen. Als vervolg is in februari 2002 door ETSI de XML-variant gestandaardiseerd in de Technical Specification (TS) 101 903, ook wel XML Advanced Signature (XAdES) ge-noemd. In maart 2009 is de PDF-variant tot standaard verheven, de Technical Specification (TS) 102 778, ook wel PDF Advanced Signature (PAdES) genoemd. Vanuit ETSI blijft dit onderwerp een punt van aandacht.

Kenmerkend voor deze standaarden is dat er informa-tie wordt verzameld over de geldigheid van de certi-ficaten die gebruikt zijn in het proces van de onder-tekening. Dit is dus niet alleen het certificaat van de ondertekenaar! Het betreft ook de certificaten, en hun geldigheid, van de uitgever van de certificaten, tot aan de ‘root’ toe. Het geheel wordt ‘verzegeld’ met een tijdstempel. Voor XML-documenten is dit een XAdES-A formaat (‘A’ = Archive) en voor PDF documenten is dit

een PAdES-4 of PAdES-LTV formaat (‘LTV’ = Long Term Validation).

Dergelijke documenten worden gemaakt tijdens het proces van validatie. Het is dus niet nodig om de XAdES-A of PAdES-LTV direct op het moment van on-dertekenen te maken. Belangrijkste redenen zijn:n Tijdens het ondertekenen is er niet altijd een in-

ternetverbinding. (Het gebruik van een tijdstempel is dan ook niet mogelijk; de geldigheid wordt dan gerelateerd aan het moment van de verificatie.)

n De publicatie van de intrekking van de certificaten kan enige tijd duren; dit geldt met name voor het gebruik van CRL’s.

n Sommige landen vereisen een korte wachtperiode nog voordat de verificatie plaatsvindt.

Voor een optimale zekerheid over de geldigheid kan de verificatie dus beter op een later moment wor-den uitgevoerd. Dit stelt ook minder eisen aan de programmatuur waarmee de ondertekening wordt uitgevoerd.

Langetermijnintegriteit met Evidence Records

Als eenmaal een XAdES-A of PAdES-LTV is gemaakt zal de integriteit van het document moeten worden bewaakt. Een geldig en online te verifiëren tijdstempel moet hiervoor zorgen. Echter:n Ook een tijdstempel is gemaakt op basis van een

certificaat met een beperkte levensduur (bijvoor-beeld tussen de 3 tot 10 jaar, afhankelijk van de kwaliteit van de tijdstempel-service).

n De cryptografische technieken zullen verouderd raken waardoor de integriteit niet meer te garan-deren is.

Dit impliceert dat elk document van een nieuw tijdstempel moet worden voorzien nog voordat het certificaat niet meer geldig is en nog voordat de cryp-tografische techniek verouderd is. Het zal duidelijk zijn dat hiervoor een geautomatiseerd mechanisme nodig is. Elk document zal als geheel moet worden verwerkt: elk XAdES-A of PAdES-LTV document zal van een nieuw tijdstempel moeten worden voorzien, ‘bovenop’ het vorige tijdstempel in dat document. Voor grote hoeveelheden documenten zijn er echter efficiëntere methodes. Deze methodes maken gebruik van zogeheten Evidence Records.

Internationaal zijn een aantal trends te onderken-nen ten aanzien van wet en regelgeving op het gebied Evidence Records for Electronically Stored Infor-mation (ESI). Een in het oog springende regelgeving is die van Sarbanes-Oxley van de Verenigde Staten. Deze is ontstaan na verschillende grootschalige fraudezaken. Andere regelgevingen zijn bijvoorbeeld Gramm-Leach-Bliley of HIPAA. Een ander voorbeeld is de Sedona Principles zoals die zijn vastgesteld tijdens The Sedona Conference over onder andere ESI Evidence & Admissibility.

< > PAG


11

Het idee om elk officieel document van een stempel te voorzien om het bestaan en de compleetheid van documenten aan te tonen heeft in 1893 geleid tot de uitvinding van Bates stempel door Edwin G. Bates. Voor die tijd een revolutionair principe. Elke bladzijde werd voorzien van een nummer; het nummer wordt automatisch verhoogd bij elke stempel. Het nummer wordt tevens gebruikt om naar de documenten te verwijzen. Ook vandaag de dag wordt het nog aan-gebracht op documenten. Maar in de digitale wereld is dit een weinig zinvolle methode omdat dergelijke nummers net zo makkelijk te wijzigen zijn als het document zelf. Het is tijd voor een alternatief, of zoals Ralph C. Losey het zegt ‘Sorry, Mr. Bates, your one hundred-year-plus reign is over’[27]

Een Evidence Record levert bewijs over het bestaan van een document op een bepaald tijdstip; het verbindt zich niet aan de inhoud van een document. In feite wordt de hash-waarde van het document berekend en onder-tekend met het tijdstip waarop het Evidence Record is aangevraagd. Vanuit het oogpunt van informatie-beveiliging is deze methode goed te gebruiken omdat de documenten zelf niet opgestuurd worden (alleen de hash-waarde). Standaarden waarmee Evidence Records kunnen worden geïmplementeerd zijn met name:n ANSI X9.95 Trusted Time Stamps, 2005 (ISO/IEC

18014-3).n LTANS: Long-term Archive And Notary Services

[28].

Hieronder worden een aantal voorbeelden gegeven van implementaties waarmee Evidence Records kun-nen worden gemaakt waarbij extra waarborgen zijn toe-gepast, zoals het koppelen van bestaande en nieuwe hash-waardes (in de eigen administratie) en het publi-ceren van de toestand van de eigen administratie in diverse media (met behulp van een hash-waarde).n Surety [30], onder de noemer “Absolute Proof”. Een

service op basis van de standaard X9.95, ISO/IEC 18014-3.

n PFU (onderdeel van Fujitsu). Een service op basis van de ISO/IEC 18014-3 standaard. ‘Japan’s first international standard conforming TimeStamp service (RFC3161, ISO18014). Its TimeStamps are attached to digital data to promote reliability by offering “proof of existence” and “proof of completeness” verifiability.’ [31]

n GuardTime (www.guardtime.com). “For internal control, regulatory transparency and legal admissibility, businesses need to be able to prove that their data is intact,” said Mike Gault, CEO of GuardTime. The current data integrity model involves buying expensive hardware/software from companies such as EMC, IBM, or Hitachi Data Systems, and relies on rigid and costly internal processes. With GuardTime’s solution, proof depends solely on the data itself – free from the choice of storage device, third party validation, or well kept secrets or keys.” [32]

De twee screenshots in figuur 8 zijn een visuele pre-sentatie van een Evidence Record van een document, verkregen bij Surety. Het laat zien dat er twee verschil-lende soorten hash-algoritmen zijn gebruikt: SHA-256 en RIPEMD-160. Mocht één van de twee hash-algorit-men niet meer voldoen, dan is de kans groot dat het andere algoritme nog wel voldoet: dat geeft de eige-naar van het document de tijd om het van een nieuw Evidence Record te voorzien (indien dat gewenst is). Ook is te zien wanneer Surety de toestand van hun systeem heeft gepubliceerd (in die hash-waarde is ook de hash van het document verwerkt).

Long-Term Archive and Notary Services (LTANS)

De LTANS-standaard is een methode voor het creëren van Evidence Records. Het is ontstaan uit onderzoeks-werk ArchiSafe [33], een Duits e-Overheid project. (Het ArchiSafe-project heeft inmiddels geleid tot een technische richtlijn voor de Duitse overheid.)

De LTANS-standaard stelt geen specifieke eisen aan het formaat van het object; er kunnen diverse formaten mee worden verwerkt (PDF, XML, video, audio, etc.). De evidence records (ER) worden opgebouwd conform de LTANS ERS of ERS-XML- standaard [33]; het schema in figuur 9 geeft een overzicht.

Een Archive Data Object (ADO) is een basiselement voor archivering. Het is mogelijk om een groep van data-

Figuur 8: Visuele presentatie van een Evidence Record van een document, verkregen bij Surety

Figuur 9: Evidence Records opgebouwd conform de LTANS ERS of ERS-XML- standaard

<30> PAG


12

objecten als één geheel te beschouwen; dit wordt een Archive Data Object Group genoemd. Zowel een Archive Data Object als een Archive Data Object Group wordt een Archive Object genoemd. In geval van een Archive Data Object Group zal er een hash-tree worden gemaakt.

Een hash-tree is een boomstructuur van hash-waardes die in de root met één hash-waarde wordt gere-presenteerd (zie ook fi guur 10). Die hash-waarde wordt dan gebruikt voor het maken van een tijdstem-pel; grote groepen documenten kunnen zo ‘in één keer’ van een tijdstempel worden voorzien.

Op tijdstip T1 worden een Archive Object voorzien van een tijdstempel. Zo’n tijdstempel heet een Archive Time-Stamp. Nog voordat de geldigheid van certifi caat van T1 verloopt of ongeldig wordt verklaard moet er een nieuw tijdstempel, T2, worden geplaatst over het vorige tijdstempel T1 (en daarmee ook het Archive Object). Hetzelfde principe geldt voor het plaatsen van tijdstempel T3. (NB. Voorafgaand aan het plaatsen van een nieuw tijdstempel worden tevens validatiegege-vens verzameld en opgeslagen over het vorige tijd-stempel.) Door een nieuwe tijdstempel te plaatsen op het voorafgaande tijdstempel wordt indirect de gehele keten van tijdstempel beveiligd. Zo’n keten van tijd-stempels wordt een Archive Time-Stamp Chain genoemd.

Merk op dat bij het plaatsen van een nieuw tijdstem-pel, de individuele objecten (de Archive Objects) niet hoeven te worden geraadpleegd. Er is echter één uitzondering: wanneer een nieuwe hash-techniek nood-zakelijk is [34], zal er een nieuwe Archive Time-Stamp Chain moeten worden gemaakt. Daarbij worden ook de oorspronkelijk Archive Objects geraadpleegd voor het uitrekenen van nieuwe hash-waardes. De vorige Archive Time-Stamp Chain wordt meegenomen bij het uitrekenen van de uiteindelijke hash-waarde: want daarmee wordt bewijs geleverd dat ook gedurende die tijd de gegevens niet zijn veranderd. (Het geheel van Archive Time-Stamp Chains wordt een Archive Time-Stamp Sequence genoemd.) Het gebruik van een nieuw hash-algoritme treedt niet vaak op: waarschijnlijk 1 maal in de 10 jaar tot misschien wel 20 jaar.

Ter afsluiting noem ik hier nog de Duitse technische richtlijn genoemd voor de langetermijnopslag van elektronische documenten, in het bijzonder docu-menten met een elektronische handtekening. Het be-treft BSI-TR 03125 Beweiswerterhaltung kryptographisch signierter Dokumente.

De richtlijn is het resultaat van vele jaren onderzoek rondom het project ArchiSafe. De LTANS Evidence Record Syntax (ERS) is daar bijvoorbeeld mede een re-sultaat van. De richtlijn is gericht op de realisatie van een archief voor digitale documenten, in het bijzon-der documenten met elektronische handtekeningen,

waarvan de bewijswaarde nog vele jaren aantoonbaar moet zijn.

Tot slot

Dat de elektronische handtekening in een digitaal document als evenknie is bedoeld van de geschreven handtekening op een papieren document is snel en eenvoudig gezegd. De realisatie van een goed stelstel van voorzieningen voor de creatie, de controle en het behoud van de geldigheid (ook op de lange termijn) van elektronische handtekeningen is echter niet triviaal. Mede gezien de Europese inspanning op het gebied van standaardisatie en het creëren van bijpas-sende voorzieningen kan men de indruk krijgen dat we maar met papier moeten blijven werken. Feit blijft dat steeds meer zaken elektronisch worden geregeld. En als elke burger in Nederland met zijn paspoort een document zou kunnen ondertekenen, zoals de Belgen al meerdere jaren kunnen, de overheid een aantal standaardvoorzieningen aanbiedt voor bijvoorbeeld het controleren van elektronische handtekeningen, dan zou het een gebruiker wel eens veel gemak kun-nen geven. Per slot van rekening zullen de vele details voor een gewone gebruiker van een elektronische handtekening verborgen moeten blijven!

Referenties

[1] Wet elektronische handtekeningen, Burgerlijk Wetboek 3, Artikel 15a. Staatsblad 2003

[2] Europese Richtlijn 1999/93/EG van het Europese Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen.

[3] Regeling van de Staatssecretaris van Economi-sche Zaken van 6 mei 2003, nr. WJZ/03/02263, houdende nadere regels met betrekking tot elek-tronische handtekeningen. Nadere eisen voor de certifi caat uitgever: ETSI TS 101 862. Nadere eisen voor het certifi caat: ETSI TS 101 456. Na-dere eisen voor het veilig middel: CEN Workshop Agreement 14169.

[4] Jos Dumortier, “Legal Status of Qualifi ed Elec-tronic Signatures in Europe”, ISSE 2004-Securing

objecten als één geheel te beschouwen; dit wordt een genoemd. Zowel een Archive

Data Object als een Archive Data Object Group wordt een Archive Object genoemd. In geval van een Archive Data Object Group zal

Figuur 10: Hash-tree

< > PAG


13

Electronic Business Processes, edited by S. Paulus, N. Pohlmann, H. Reimer, Vieweg, 2004, p. 281-289

[5] Europese Richtlijn 2001/115/EC: ‘Member States shall not require invoices to be signed’

[6] Europese Richtlijn 2006/112/EC en CEN Work-shop Agreement (CWA) 15579 (July 2006).

[7] Besluit van 7 juli 2010, houdende regels inzake elektronisch verkeer met de bestuursrechter (Besluit elektronisch verkeer met de bestuurs-rechter).

[8] Regeling aanwijzing betrouwbaarheidsniveau authentificatie bij elektronisch verkeer met de bestuursrechter, september 2010.

[9] Besluit van 17 januari 2011, houdende regels met betrekking tot het elektronisch proces-verbaal.

[10] Europese Richtlijnen voor vertrouwde tijdstem-pel service providers: (1) IETF RFC 3161; (2) Time-stamping Profile ETSI TS 101.861 en (3) Electronic Signatures and Infrastructures (ESI) Policy Re-quirements for Time-stamping Authoritie ETSI TS 102.023. Voor gekwalificeerde elektronische handtekeningen wordt over het algemeen een tijdstempel voorgesteld op basis van een gekwali-ficeerd certificaat.

[11] LTANS: Long Term Archive and Notary Services. IETF RFC 4810 Long-Term Archive Service Require-ments; IETF RFC 4998 Evidence Record Syntax (ERS); IETF RFC 6283 Extensible Markup Langu-age Evidence Record Syntax (XMLERS).

[12] ANSI: American National Standards Institute. Ac-credited Standards Committee X9, Inc., (ASC X9), Trusted Time Stamp Management and Security.

[13] iDABC: Interoperable Delivery of European eGovernment Services to public Administrations, Businesses and Citizens. Het programma is in 2009 afgesloten.

[14] STORK: Secure idenTity acrOss boRders linked. STORK-eID Consortium, D2.3 - Quality authenti-cator scheme, 27 February 2009.

[15] PEPPOL: Pan-European Public Procurement OnLine project. Deliverable D1.1 Requirements for Use of Signatures in Public Procurement Processes, Part 4: Architecture and Trust Models. Deliverable D1.1 Requirements for Use of Signatures in Public Procurement Processes, Part 7: eID and eSignature Quality Classification.

[16] OPTA Publicatielijst van vertrouwde certifi-caatuitgevers: https://www.opta.nl/nl/tsl/

[17] BESCHIKKING VAN DE COMMISSIE van 16 okto-ber 2009, Inzake maatregelen voor een gemak-kelijker gebruik van elektronische procedures via het „één- loket” in het kader van Richtlijn 2006/123/EG van het Europees Parlement en de Raad betreffende diensten op de interne markt.

[18] Trust-service Status Lists (TSL) conform ETSI TR 102 231.

[19] STORK-eID Consortium, Work Item 3.2.6, Signa-ture Trust Verification, 15 March 2010.

[20] XML-DSIG-standaard: http://www.w3.org/TR/xmldsig-core/

[21] Certum: http://www.certum.eu/certum/cert,offer_time_stamp.xml

[22] QuoVadis: http://www.quovadisglobal.ch/en-GB/Dienstleistungen/SigningServices/TimeStamp.aspx

[23] Guardtime: http://www.guardtime.com/[24] DigiStamp: http://www.digistamp.com/[25] CWA 15579, E-invoices and digital signatures,

July 2006. Zie Hoofdstuk 6.[26] ETSI electronic signatures: http://www.etsi.org/

WebSite/Technologies/ElectronicSignature.aspx[27] Hash: The New Bates Stamp, Ralph C. Losey,

Originally Published in Journal of Technology Law & Policy 1 (June 2007). http://ralphlosey.files. wordpress.com/2007/09/hasharticlelosey.pdf

[28] IETF RFC 4810 Long-Term Archive Service Requi-rements; IETF RFC 4998 Evidence Record Syntax (ERS); IETF RFC 6283 Extensible Markup Langu-age Evidence Record Syntax (XMLERS).

[29] Surety: www.surety.com[30] PFU, Fujitsu: http://www.pfu.fujitsu.com/en/tsa/

function/[31] Bespreking GuardTime in Business Insider:

http://articles.businessinsider.com/2010-05-27/tech/30010823_1_hitachi-data-systems-data- integrity-infocomm-development-authority

[32] ArchiSafe website: http://www.archisafe.de/s/archisafe/index

[33] IETF LTANS RFC 6283: Extensible Markup Langu-age Evidence Record Syntax (XMLERS).

[34] Binnen de Europese Unie worden richtlijnen vastgesteld door ETSI (TS 102 176-1) voor de toe-passingsperiode van de hash-algoritmen. Daar-naast worden de aanbevelingen van het NIST ook gevolgd. Een interessante overzichtssite van richtlijnen over sleutellengtes is bijvoorbeeld http://www.keylength.com/en/4/

[35] BSI-TR 03125 “Beweiswerterhaltung kryptogra-phisch signierter Dokumente”: https://www.bsi.bund.de/ContentBSI/Publikationen/Technische-Richtlinien/tr03125/index_htm.html

3<<< Ernst Jan van Nigtevecht, Sonnenglanz Consul-ting BV, is meerdere jaren werkzaam op het gebied van PKI en de toepassing van de elektronische handtekening. Hij is als adviseur betrokken geweest bij de totstandko-ming van het Besluit elektronisch proces-verbaal en is voor het Ministerie van Veiligheid en Justitie als architect werkzaam geweest bij de realisatie van services voor het tekenen, valideren en langetermijnopslag van elektroni-sche documenten.<<<4

Getekend voor het leven - Papierloos · 2013. 4. 19. · 30PAG >

Documents

Transcript of Getekend voor het leven - Papierloos · 2013. 4. 19. · 30PAG >