8 juni 2007
De internationale standaardenorganisatie OASIS (Organisation for the Advancement of Structured Information Standards) heeft een nieuwe standaard goedgekeurd voor digitale handtekeningen voor Internet-diensten. De standaard moet de authentisering van gegevensuitwisseling via het Web garanderen. Versie 1.0 van de Digital Signatures Services (DSS) Standard richt zich specifiek op de waarborging van de betrouwbaarheid van gegevens en documenten die tussen verschillende webservers worden uitgewisseld. Bij uitwisseling krijgen de te verzenden objecten een electronische variant van een poststempel, of, zoals een woordvoerder van OASIS zegt: 'Version 1.0 of the DSS-standard provides a tamper-proof mechanism to provide electronic timestamps, postmarks or official corporate imprimaturs'. OASIS ratificeerde de standaard met haar ' highest level of ratification', zo vervolgde de woordvoerder. De persverklaring van OASIS stelt dat DSS 'defines an XML interface to process digital signatures for Web services and other applications, enabling the sharing of digital signature creation, verification and other associated services, without complex client software and configuration'.
OASIS beheert vele opkomende standaarden op het terrein van de Webdiensten, een term die verwijst naar de interacties tussen verschillende servers over het internet. Met een Webdienst die een digitale handtekening levert kan een bedrijf, volgens OASIS, ' use a separate server to handle the chore rather than building it directly into each application that needed it'. De standaard heeft twee componenten, een voor de handtekening zelf en een voor de verificatie van de handtekening. 'Using these protocols, a client can send documents to a server and receive back a signature on the documents; or send documents and a signature to a server and receive back an answer on whether the signature verifies the documents. … A DSS signature secures an organization's documents efficiently and effectively while maintaining accountability down to the individual level', zo zegt Nick Pope van Thales eSecurity Ltd., lid van het OASIS DSS Technical Committee (en schrijver van het relevante artikel hier). 'What's more, DSS allows sensitive signing keys to be protected by using tamper-proof signing devices and by locating the server in a room with controlled access. Costs are reduced with DSS, because security can be highly localized'. DSS ondersteunt diverse handtekeningformaten, inclusief XML en CMS. Het is ontwikkeld rond een aantal kernelementen en procedures, zoals time-stamps, 'code signing', electronische postzegels e.d. OASIS werkte nauw samen met de Universal Postal Union, een VN-onderdeel, om DSS samen te laten werken met haar Electronic Post Mark-systeem (UPU EPM). 'Deploying support for digital signatures can be extremely challenging, especially for large companies. The task of allocating and certifying user keys can be burdensome and difficult to secure', zegt Patrick Gannon, Chief Executive Officer van OASIS. 'The DSS OASIS Standard presents an approach to digital signing which significantly reduces these obstacles. The added services enabled by this standard are meeting global needs, and the Universal Postal Union is a good example'. Het verficatieproces gebruikt 'a range of transport and security bindings', zo zegt althans de OASIS' DSS FAQ. Het gebruik van HTTP Post of SOAP is als optie mogelijk.