Eén van de momenteel lopende projecten loste het probleem op van het ondertekenen (het aanbrengen van een elektronische handtekening) van XML-documenten, namelijk SOAP-pakketten. Het aanbevolen formaat was OASIS Standard 200401 met het X.509 Certificate Token Profile. Deze documenten beschrijven het gebruik van het www-consortium (W3C) XML Digital Signature (XMLDSig) formaat in SOAP-berichten. XML-handtekeningen ondersteunen, net als andere soorten elektronische handtekeningen, authenticatie, gegevensintegriteit en onweerlegbaarheid van gegevensondertekening.

Ik zal verschillende kenmerken van het XMLDSig-formaat opmerken:

1. Niet het gehele XML-document kan als ondertekeningsobject dienen, maar slechts een deel ervan, d.w.z. specifiek knooppunt. Volgens OASIS Standard 200401 is het object dat wordt ondertekend de body (node Lichaam) SOAP-berichten.

2. Verschillende delen van een XML-document kunnen door meerdere ondertekenaars worden ondertekend.

3. Een XML-handtekening kan zich op verschillende niveaus bevinden in relatie tot het ondertekende object:

• de handtekeningstructuur kan bevatten URI(uniforme bronidentificatie);
• De XML-handtekening kan zich op hetzelfde niveau bevinden als het knooppunt dat wordt ondertekend;
• De XML-handtekening kan zich binnen het knooppunt bevinden dat wordt ondertekend;
• Het knooppunt dat wordt ondertekend, kan zich in een XML-handtekeningstructuur bevinden.

4. Om de geldigheid van de elektronische handtekening te controleren is toegang tot het ondertekenobject vereist.

Structuur van een SOAP-envelop

Over het algemeen bestaat een bericht uit een header en een body: Koptekst En Lichaam. Koptekst bevat metagegevens en Lichaam gegevens. De XML-handtekening wordt in het knooppunt geplaatst Koptekst.

Cryptografische algoritmen en canonicalisatie.

Om het probleem op te lossen dat we hebben gebruikt GOST R 34.11-94- Russische cryptografische standaard voor berekeningen van hashfuncties en GOST R 34.10-2001- standaard voor elektronische handtekeningen.

Vanwege de flexibiliteit van de XML-compositieregels kan dezelfde documentstructuur en hetzelfde stukje informatie worden weergegeven door verschillende XML-documenten. Laten we twee documenten bekijken:

Vanuit logisch oogpunt zijn ze gelijkwaardig, dat wil zeggen dat ze hetzelfde XML-schema hebben. Maar de XML-bestanden van deze vermeldingen bevatten niet dezelfde reeks tekens, wat tot verschillende resultaten zal leiden, bijvoorbeeld bij het ophalen van een hash-waarde.

Om dergelijke discrepanties te voorkomen, werden strikte opmaakregels en vereisten voor de inhoud van XML-berichten aangenomen. Het proces waarbij XML-documenten naar een uniforme (canonieke) vorm worden gebracht, wordt genoemd canonicalisering(Engels: Canonicalisering). Voorbeelden van regels kunnen het gebruik van een bepaald coderingsschema (UTF-8), normalisatie van attribuutwaarden, het gebruik van dubbele aanhalingstekens voor attribuutwaarden, een bepaalde volgorde van attributen en naamruimtedeclaraties, enz. zijn. XML-canonicalisatie is er in verschillende typen, die verschillen in de samenstelling van de regels. U kunt meer lezen over het canonicaliseringsproces in de officiële W3C-specificatie (Russische artikelen over dit onderwerp kunt u vinden en)

SIRCrypt-bibliotheek

Om XML-ondertekening in DIRECTUM te implementeren, is een COM-bibliotheek geschreven, waarin 3 klassen worden beschreven: Hasjer, Ondertekenaar En XMLCanonicalizer om respectievelijk de hash-, ES-waarde en canonicalisatie van XML-documenten te verkrijgen.

De bibliotheek vereist Crypto PRO CSP(getest op versie Crypto PRO CSP 3.6.6497 KC2) En .NETTO(minimaal 2,0).

Het registreren van een bibliotheek gebeurt door het volgende commando uit te voeren:

> regasm.exe "pad naar dll" /codebase /tlb

Hasher-object voor hash-berekening volgens GOST

Bevat velden Inhoud (typ "tekenreeks") en HashValueAsBase64 (typ "string"), evenals een methode voor het berekenen van de hashwaarde Hash(). Om te berekenen is het noodzakelijk om te definiëren Inhoud , roep de methode aan Hash(), waardoor in het veld HashValueAsBase64 de hashwaarde wordt naar Base64 geschreven.

Ondertekenaarobject voor het verkrijgen van de ES-waarde volgens GOST

Bevat velden Inhoud (typ "tekenreeks"), Containernaam (typ "tekenreeks"), CertificaatAsPEM (typ "tekenreeks"), BEHandtekeningWaardeAsBase64 (typ "tekenreeks"), methode Teken(). Nadat u het object hebt geïnitialiseerd, moet u het definiëren Inhoud (ondertekengegevens), Containernaam (containernaam van de privésleutel van het certificaat), aanroepmethode Teken(). Dan in het veld CertificaatAsPEM het certificaat dat overeenkomt met de privésleutel bevindt zich in Base64 en het veld BEHandtekeningWaardeAsBase64 handtekeningwaarde als een Base64-tekenreeks.

XMLCanonicalizer-object voor XML-canonicalisatie

Bevat velden XMLInhoud (typ "tekenreeks"), CanoniekeXML (typ "tekenreeks"), methode C14NExc(). Om het canonieke XML-formulier te krijgen, moet u dit specificeren XMLInhoud , telefoongesprek C14NExc(), haal het resultaat uit het veld CanoniekeXML .

XML-handtekeningstructuur

Het maken van een handtekening ziet er als volgt uit: eerst wordt de basis van het zeeppakket gevormd, de knooppunten Koptekst En Lichaam. Lichaam wordt gevuld met gegevens en er wordt een attribuut toegevoegd wsu:ID="Lichaam"- identificatie van de ondertekende gegevens.

Het vullen van de structuur Beveiliging gebeurt in de volgende volgorde:

1. De hashwaarde van het Body-knooppunt wordt in canonieke vorm genomen en in het DigestValue-knooppunt geplaatst.
2. Knoop Ondertekend Info teruggebracht tot canonieke vorm, ondertekend door de elektronische handtekening. Het resultaat in het Base64-tekenreeksformaat gaat naar het knooppunt Handtekeningwaarde.
3. De publieke sleutel van het certificaat waarmee is ondertekend, wordt in het knooppunt geplaatst BinarySecurityToken in Base64-tekenreeksformaat.

Om de op deze manier gegenereerde ES te controleren, moet u alle stappen in omgekeerde volgorde uitvoeren, namelijk:

1. verkrijg de canonieke vorm van een element Ondertekend Info.
2. Controleer aan de hand van het resultaat van de vorige stap of de ES-waarde van het knooppunt geldig is Handtekeningwaarde met behulp van de openbare sleutel van het certificaat. In dit stadium wordt alleen de juistheid van de elektronische handtekening gecontroleerd, wat de onveranderlijkheid van de gegevens niet garandeert.
3. Als de geldigheidscontrole van de elektronische handtekening succesvol is, wordt de hash van het knooppunt vergeleken DigestWaarde en de hash van het knooppunt met de gegevens. Als ze ongelijk zijn, zijn de ondertekende gegevens gewijzigd en is de gehele elektronische handtekening ongeldig.

Gebruiksvoorbeeld

Ontwikkelingskit en bibliotheek

Voorbeelden van XML-ondertekening op ISBL (script): dev.zip (5,95 KB)

Voor permanent gebruik wordt de code die de standaard ondertekening van een voltooide SOAP-envelop uitvoert, verplaatst naar een functie TekenSOAP().

Voor ondertekening wordt een certificaat uit het persoonlijke certificaatarchief van de huidige gebruiker gebruikt.

ML, of eXtensible Markup Language, wordt nu de standaardmanier om informatie op het web (en daarbuiten) te transporteren.

Laten we niet vergeten dat het hoofddoel van XML het beschrijven van de structuur en semantiek van een document is. Het belangrijkste voordeel van XML ten opzichte van andere elektronische documentformaten is dat het de beschrijving van de externe presentatie van een document scheidt van de structuur van het document en de inhoud ervan. XML is een flexibele taal die voor verschillende doeleinden kan worden gebruikt en kan communiceren met veel systemen en databases. Daarom wordt XML tegenwoordig in veel informatiesystemen gebruikt als het belangrijkste gegevensuitwisselingsformaat. Bovendien hebben fabrikanten van databasemanagementsystemen een krachtige stap richting XML gezet. Oracle heeft bijvoorbeeld de XSU (XML-SQL Utility) uitgebracht, een add-on voor JDBC waarmee u XML-gegevens in een database kunt opslaan en ophalen (http://otn.oracle.com/tech/xml/ xdk_java/content.html).

XSU is een hiërarchie van Java-klassen die is ontworpen om gegevens uit object-relationele databasetabellen en -weergaven om te zetten in XML-indeling, gegevens uit XML-documenten in tabellen en weergaven in te voegen, en andere nuttige bewerkingen.

De noodzaak om XML-documenten te beschermen

ML is een krachtig hulpmiddel dat vaak wordt gebruikt om gegevens via internet uit te wisselen. Maar helaas biedt het zelf niet de noodzakelijke bescherming voor de gegevens die het ‘transporteert’. Met andere woorden: er zijn ernstige beveiligingsproblemen bij het gebruik van het XML-formaat (net als bij het gebruik van andere formaten).

• XML kan eenvoudig worden gebruikt voor het verzenden van transactieberichten tussen een bank en een geldautomaat, vertrouwelijke of semi-vertrouwelijke informatie over individuen, informatie over elektronische transacties, of eenvoudigweg om bedrijfseigen documenten in dit formaat te verzenden. Maar tegelijkertijd is het noodzakelijk om de bescherming van informatie te garanderen tegen onvrijwillige of opzettelijke vervormingen, zowel van de kant van de gebruikers van informatiesystemen als wanneer deze via communicatiekanalen worden verzonden. Bescherming moet gebaseerd zijn op de volgende functies:
• authenticatie van interacterende partijen;
• het bevestigen van de authenticiteit en integriteit van informatie;

cryptografische afsluiting van verzonden gegevens.

Om deze informatiebescherming te garanderen, is het raadzaam om elektronische digitale handtekeningen (EDS) en gegevensversleutelingsmethoden te gebruiken. Bovendien zorgt digitale handtekening in de regel voor authenticatie, bevestiging van authenticiteit en integriteit, en wordt de sluiting van gegevens bereikt door middel van encryptie.

EDS en de mogelijkheid van vervalsing ervan

Elektronische digitale handtekening zijn gegevens die zijn toegevoegd aan het oorspronkelijke informatieblok (document), verkregen als resultaat van de cryptografische transformatie ervan (afhankelijk van de geheime sleutel en het oorspronkelijke informatieblok of document). EDS garandeert de integriteit van berichten (documenten) met gegarandeerde identificatie van de auteur (de persoon die het document heeft ondertekend), meestal verzonden via onbeveiligde openbare telecommunicatiekanalen.

Verificatie van de elektronische digitale handtekening van een informatieblok wordt uitgevoerd door cryptografische transformatie van de digitale handtekening met behulp van de openbare sleutel die overeenkomt met de geheime sleutel die heeft deelgenomen aan het proces van het installeren van de digitale handtekening.

De onmogelijkheid om een ​​elektronische digitale handtekening te vervalsen wordt bereikt met behulp van een zeer grote hoeveelheid wiskundige berekeningen (de onmogelijkheid om een ​​handtekening te vervalsen kan bijvoorbeeld te wijten zijn aan de complexiteit van het oplossen van het probleem van discrete logaritme in een veld van p-elementen. El-Gamal handtekeningschema). Het plaatsen van een handtekening op een document verandert het document zelf niet, maar maakt het alleen mogelijk om de authenticiteit en het auteurschap van de ontvangen informatie te verifiëren (dat wil zeggen dat er een datablok wordt toegevoegd aan het document zelf of afzonderlijk daarvan – de digitale handtekening van dit document).

Certificaatautoriteit

Hierboven noemden we de termen “private key” en “public key”. Waar kwamen deze sleutels vandaan? Ze worden gevormd door een certificeringsautoriteit – een bepaalde structuur (organisatie) die certificaten beheert. Een certificaat met een openbare/privésleutel vertegenwoordigt de volgende set gegevens:

• de naam van een onderwerp of object van het systeem dat het op unieke wijze in het systeem identificeert;
• publieke/private sleutel van een subject of object van het systeem;
• aanvullende attributen bepaald door de vereisten voor het gebruik van het certificaat in het systeem;
• elektronische digitale handtekening van de uitgever (certificeringsinstantie), die het geheel van deze gegevens certificeert.

Een private key-certificaat bevat bijvoorbeeld de private sleutel zelf en aanvullende informatie daarover.

Voor elke geregistreerde gebruiker van het informatiesysteem genereert het certificeringscentrum (CA) twee certificaten: een private key-certificaat en een public key-certificaat. In dit geval wordt de eerste SO persoonlijk afgegeven aan de geregistreerde gebruiker (bijvoorbeeld op een diskette) en aan niemand anders - dit is de "handtekening".

Het tweede certificaat, open, wordt door de CA gepubliceerd in een openbare repository, zodat iedereen die geïnteresseerd is het gemakkelijk kan vinden.

De afzender van informatie codeert, met behulp van een geheime sleutel en een asymmetrisch algoritme (algoritme voor digitale handtekeningen), vooraf geselecteerd in overeenstemming tussen de abonnees, de verzonden informatie, gepresenteerd in digitale vorm, en ontvangt zo een digitale handtekening van de gegevens. Vervolgens stuurt de zender van de informatie de niet-versleutelde informatie en de op de hierboven beschreven manier verkregen digitale handtekening via een open communicatiekanaal naar de ontvanger.

De ontvanger van het bericht maakt de digitale handtekening vrij door gebruik te maken van een publieke sleutel (die publiekelijk beschikbaar is) en het algoritme voor digitale handtekeningen dat in onderling overleg tussen de abonnees is gekozen.

Vervolgens vergelijkt hij de niet-gecodeerde informatie die hij heeft ontvangen en de informatie die is verkregen bij het ontsleutelen van de digitale handtekening. Als de digitale handtekening niet is vervalst en de verzonden open informatie niet is vervormd, moeten deze twee informatie volledig overeenkomen. Als de handtekening vervalst is, zullen de ontvangen open informatie en de tijdens de decodering verkregen informatie aanzienlijk verschillen (figuur 1).

Hash-functies

In het bovenstaande interactieschema tussen de afzender en de ontvanger ontbreekt één bewerking. Het houdt verband met de fase van gegevensversleuteling, waarin een elektronische digitale handtekening wordt gevormd.

• Als we alleen maar een digitale handtekening genereren, zal deze (afhankelijk van het algoritme) in de regel ongeveer dezelfde lengte hebben als het originele datablok, en zullen we een bericht van dubbele lengte over het netwerk moeten verzenden. Uiteraard zou dit de gehele werking van het systeem negatief beïnvloeden. Voordat een digitale handtekening wordt gegenereerd, worden de originele gegevens daarom verwerkt met behulp van een hash-functie, waardoor de handtekening compact wordt. Om het juiste resultaat te verkrijgen moet de ontvanger uiteraard dezelfde transformatie uitvoeren op het ontvangen datablok.
• De gebruikte hashfunctie moet een bericht van elke lengte kunnen omzetten in een binaire reeks met een vaste lengte. Daarnaast moet het aan de volgende eisen voldoen:

het bericht na toepassing van de hashfunctie moet afhangen van elk bit van het oorspronkelijke bericht en van hun volgorde;

Als u een gehashte versie van een bericht gebruikt, kunt u het bericht zelf niet herstellen.

Informatie-encryptie is een één-op-één wiskundige (cryptografische) transformatie, afhankelijk van de sleutel (geheime transformatieparameter), die overeenkomt met een blok open informatie, gepresenteerd in een of andere digitale codering, met een blok gecodeerde informatie, ook gepresenteerd in digitale vorm. codering. Encryptie combineert twee processen: het coderen en decoderen van informatie (Fig. 2).

Het fundamentele verschil tussen digitale handtekening- en encryptiemethoden (we denken nu aan asymmetrische algoritmen, waarbij verschillende maar wiskundig gerelateerde sleutels worden gebruikt voor encryptie en decryptie) is dat bij het coderen de publieke sleutel van de ontvanger wordt gebruikt, en bij het decoderen een privésleutel. , terwijl het algoritme voor de digitale handtekening de geheime sleutel van de auteur vereist om een ​​bericht te ondertekenen, en de openbare sleutel van de auteur van het bericht om de digitale handtekening te verifiëren.

Hacken

Theoretisch gezien kan elk versleutelingsalgoritme dat een sleutel gebruikt, worden verbroken door alle sleutelwaarden te doorzoeken. Als de sleutel wordt geselecteerd, neemt het benodigde computervermogen exponentieel toe met de lengte van de sleutel. Een 32-bits sleutel vereist 232 (ongeveer 109) stappen. Deze taak kan door elke amateur worden uitgevoerd en kan op een thuiscomputer worden opgelost. Systemen met een 40-bits sleutel (bijvoorbeeld de geëxporteerde Amerikaanse versie van het RC4-algoritme) vereisen 240 stappen; dergelijke computerkracht is in de meeste kleine bedrijven beschikbaar. Systemen met 56-bits sleutels (DES) vereisen een aanzienlijke inspanning om te openen, maar ze kunnen eenvoudig worden geopend met speciale apparatuur. De kosten van dergelijke apparatuur zijn aanzienlijk, maar betaalbaar voor de maffia, grote bedrijven en overheden. Sleutels met een lengte van 64 bits kunnen momenteel door grote staten worden geopend en zullen de komende jaren beschikbaar zijn voor opening door criminele organisaties, grote bedrijven en kleine staten. 80-bits sleutels kunnen in de toekomst kwetsbaar worden.

Sleutels met een lengte van 128 bits zullen in de nabije toekomst waarschijnlijk onbreekbaar blijven door brute kracht. Er kunnen ook langere sleutels worden gebruikt.

Houd er rekening mee dat een cryptografisch systeem slechts zo sterk is als de zwakste schakel. Geen enkel aspect van het systeemontwerp mag over het hoofd worden gezien, van algoritmeselectie tot sleutelgebruik en distributiebeleid.

Elektronische digitale handtekening van XML-documenten

Degenen die met XML werken, begrijpen al lang het belang van controle over de gegevens die worden overgedragen en weergegeven in XML. De belangrijkste vereisten voor de verzonden gegevens zijn authenticatie van interacterende partijen en bevestiging van de authenticiteit en integriteit van de informatie in het XML-document. Dergelijke problemen worden opgelost door de digitale handtekening van XML-documenten.

Specificaties voor digitale handtekening XML van W3C

Het W3C ontwikkelt momenteel de XML Signature Syntax and Processing-specificatie en andere gerelateerde documenten. Voorlopig heeft het de status van een aanbeveling (http://www.w3.org/TR/xmldsig-core/).

Dit document voorziet in de ondertekening van zowel het gehele XML-document als een deel ervan. Om het XML-ondertekeningsproces uniek te maken, is het concept van een canonieke representatie van XML-gegevens gedefinieerd. In een XML-document kunnen tags die zich op hetzelfde niveau in de hiërarchieboom bevinden, bijvoorbeeld met elkaar worden gemengd, waardoor dubbelzinnigheid ontstaat voor het ondertekeningsproces. De canonieke representatie van XML is een soort sortering (of beter gezegd, reductie tot de eenvoudigste vorm) die dergelijke vrijheden niet toestaat. Methoden en regels voor XML-canonicalisatie worden beschreven in een apart document, “Canonical XML” (http://www.w3.org/TR/xml-c14n), dat ook de status van aanbeveling heeft. Andere materialen die verband houden met het ondertekenen van XML-documenten zijn beschikbaar op: http://www.w3.org/Signature/.

Label XML-handtekening

• De aanbeveling “XML Signature Syntax and Processing” specificeert dat de handtekening en informatie daarover in de tag moeten worden opgenomen
• , dat de volgende onderdelen bevat (ze zijn voornamelijk nodig voor handtekeningverificatie):
• digest-methode (DigestMethod) algoritme voor het samenstellen van een samenvatting van een bericht dat is ondertekend met een bepaalde handtekeningmethode. Het specificeren van een specifieke digest-methode zorgt ervoor dat de gegevens op dezelfde manier worden verwerkt;
• digest-waarde (DigestValue) de berichtsamenvatting zelf, dat wil zeggen een tekenreeks met een vaste lengte die wordt geproduceerd als resultaat van gegevensverwerking met behulp van het digest-algoritme. Zo'n string is uniek en onomkeerbaar: het is praktisch onmogelijk om deze uit andere inhoud te halen, net zoals het onmogelijk is om de originele gegevens ervan opnieuw te creëren. Het is als een vingerafdruk voor de gegevens die worden ondertekend;
• een positieve vergelijking van digestwaarden garandeert de integriteit van de inhoud;
• de handtekening zelf (SignatureValue). Dit zijn de gegevens die zijn verkregen na verwerking door de handtekeningmethode;

informatie over de openbare sleutel (KeyInfo) voor verificatie van digitale handtekeningen. Om precies te zijn: geen sleutel, maar een certificaat, omdat daarin naast de sleutel zelf ook de naam van de eigenaar en het algoritme voor digitale handtekeningen kunnen worden aangegeven. Uiteraard is dit geen uitputtende informatie over wat er in de tag kan staan.

. Hier is het eenvoudigste voorbeeld van een dergelijke handtekening (Lijst 1).

Vorming van digitale handtekening XML

Opgemerkt moet worden dat er enkele verschillen zijn tussen het XML-ondertekenproces en het klassieke proces.

Feit is dat het proces van het ondertekenen van een XML-instance begint met canonicalisering, dat wil zeggen met vereenvoudiging van de datastructuur. Zoals reeds vermeld is deze procedure nodig zodat de digitale handtekening correct kan worden geverifieerd voor hetzelfde XML-document, dat op verschillende manieren wordt gepresenteerd. Dit betekent dat alle XML-documenten vóór ondertekening moeten worden omgezet naar één canonieke vorm. De rest van de stappen zijn hetzelfde als het standaardproces voor het toevoegen van een digitale handtekening: er wordt een samenvattingswaarde voor de gegevens gemaakt met behulp van de opgegeven methode, en vervolgens wordt deze waarde ondertekend met de privésleutel van de auteur van het document.

Verificatie van digitale XML-handtekeningen

Om een ​​handtekening te verifiëren, moet u twee stappen uitvoeren: het verifiëren van de handtekening zelf en het verifiëren van de samenvattingswaarde.

De handtekening zelf wordt eerst geverifieerd om de authenticatie van de eigenaar te garanderen en verwerping te voorkomen. Vervolgens wordt de samenvattingswaarde gecontroleerd om er zeker van te zijn dat de gegevens niet zijn gewijzigd en wordt de integriteit van de inhoud van het XML-document geverifieerd.

Laten we verder gaan met encryptie, waarmee we de verzonden gegevens kunnen sluiten (dat wil zeggen, transformeren in een vorm waarin de betekenis onduidelijk is) en deze aan de ontvangende kant kunnen herstellen. Het W3C-consortium heeft een werkgroep opgericht (http://www.w3.org/Encryption/2001/) die zich specifiek bezighoudt met kwesties rond het versleutelen van XML-gegevens. De XML Encryption Syntax and Processing-specificatie is nu een aanbeveling en is beschikbaar op: http://www.w3.org/TR/xmlenc-core/.

Dit document voorziet in de ondertekening van zowel het gehele XML-document als een deel ervan.

• encryptiemethode (EncryptionMethod) beschrijft het algoritme voor gegevenscodering.
• Als deze tag ontbreekt, moet het versleutelingsalgoritme bekend zijn bij de ontvangende kant, anders is ontsleuteling van het bericht onmogelijk;
• gecodeerde gegevens (CipherData) de daadwerkelijk gecodeerde gegevens of een link naar de locatie ervan. De verscheidenheid aan gegevenstypen die moeten worden gecodeerd en de methoden voor hun logische organisatie zijn vrijwel onbeperkt;
• informatie over sleutels (KeyInfo) informatie over de sleutels waarmee de codering en dienovereenkomstig decodering wordt uitgevoerd. Ze kunnen elders worden opgeslagen en in de XML-instantie worden vervangen door een URL-link;

andere informatie (bijvoorbeeld over beoogde ontvangers). Tagvoorbeeld

getoond in aanbieding 2.

Coderings- en decoderingsproces

XML-gegevens worden gecodeerd met behulp van traditionele cryptografiemethoden met openbare sleutels. Ten eerste worden de gegevens zelf gecodeerd, meestal met behulp van een willekeurig gegenereerde geheime sleutel, die vervolgens ook wordt gecodeerd met de openbare sleutel van de beoogde ontvanger. Deze informatie wordt zo verpakt dat alleen de beoogde ontvanger de geheime sleutel kan extraheren en de gegevens kan ontsleutelen. De geheime sleutel wordt gebruikt om de geheime sleutel te decoderen, en vervolgens worden de gegevens gedecodeerd met behulp van de gevonden geheime sleutel.

Implementatie van XML-documentbeveiliging

We hebben de algemene werkingsprincipes van elektronische digitale handtekeningen besproken en de specificaties die het W3C-consortium op dit gebied heeft ontwikkeld. Dit is allemaal leuk en aardig, maar wat als het echt nodig is om de beschreven XML-gegevensbeschermingsregelingen te implementeren?

Ondanks het feit dat de W3C-standaarden vrij recent zijn verschenen, hebben sommige bedrijven vandaag al de release aangekondigd van hun pakketten (klassebibliotheken) die zowel digitale handtekening als encryptie implementeren. Laten we eens kijken naar de mogelijkheden van sommigen van hen.

Dit pakket, gebaseerd op de programmeertaal Java, is beschikbaar op http://www.alphaworks.ibm.com/tech/xmlsecuritysuite.

XML Security Suite is een tool die beveiligingsfuncties biedt, zoals digitale ondertekening, codering en toegangscontrole voor XML-documenten. Met zijn hulp kunt u meer succes behalen dan het gebruik van de mogelijkheden van tran(bijvoorbeeld Secure Sockets Layer, SSL).

• Dit pakket implementeert drie technologieën:
• De digitale handtekening is gebaseerd op de “XML Signature Syntax and Processing”-specificatie van W3C en IETF (en op de “Canonical XML”-specificatie);
• encryptie is geïmplementeerd op basis van de “XML Encryption Syntax and Processing”-specificatie van W3C;

toegangscontrole voor XML-documenten (XML Access Control Language).

XML Security Suite is een van de beste moderne tools voor het beschermen van XML-documenten.

Naast het archief zelf (JAR) met de klassenbibliotheek, bevat het gedetailleerde documentatie en voorbeelden waarmee u snel door de klassenhiërarchie kunt navigeren.

XML-beveiliging (Apache)

Op XML gebaseerde gegevensbescherming

Security Assertion Markup Language (SAML)

Een gebied dat verschilt van het beschermen van XML-gegevens, maar er nauw mee samenhangt, is het verbeteren van de veiligheid en beveiliging van op XML gebaseerde systemen (protocollen). In dit geval worden andere documenten/systemen/applicaties beveiligd met XML. Momenteel ontwikkelt de beveiligingscommissie van de Organization for the Advancement of Structured Information Standards (OASIS) een Security Assertion Markup Language (SAML).

Federale wet “betreffende elektronische digitale handtekening”

Doelen

De wet definieert de basisconcepten die worden gebruikt in de procedure voor digitale handtekeningen, zoals een certificaat, publieke en private sleutels, bevestiging van de authenticiteit van een elektronische digitale handtekening (we hebben ze eerder onderzocht), enz. Verder definieert de wet de voorwaarden waaronder een elektronische digitale handtekening in een elektronisch document is gelijkwaardig aan een handtekening in een document op papier. Dit betekent in de eerste plaats dat het handtekeningsleutelcertificaat dat betrekking heeft op deze elektronische digitale handtekening niet aan kracht heeft ingeboet op het moment van verificatie of op het moment van ondertekening van het elektronische document. Bovendien moet de authenticiteit van de elektronische digitale handtekening worden bevestigd en moet de digitale handtekening worden gebruikt in overeenstemming met de informatie die is gespecificeerd in het handtekeningsleutelcertificaat.

Certificaten en certificeringsinstanties

De wet beschrijft gedetailleerd waaruit een handtekeningsleutelcertificaat bestaat (uniek registratienummer, volledige naam van de eigenaar, openbare digitale handtekeningsleutel, naam en locatie van het certificeringscentrum, enz.); voorwaarden en procedure voor het opslaan van het certificaat in het certificeringscentrum. De opslagperiode voor een handtekeningsleutelcertificaat in de vorm van een elektronisch document in een certificeringscentrum wordt dus bepaald door een overeenkomst tussen het certificeringscentrum en de eigenaar van het handtekeningsleutelcertificaat. Wat de opslag betreft, wordt deze bepaald door de wetgeving van de Russische Federatie op het gebied van archieven en archiefzaken.

Een apart hoofdstuk van de wet is gewijd aan certificeringscentra. Het proces van het ontwikkelen en verifiëren van een elektronische digitale handtekening kan plaatsvinden zonder de deelname van certificeringscentra, als dit wordt bevestigd door een overeenkomst tussen de partijen. In publieke informatiesystemen en in veel bedrijfsinformatiesystemen is het gebruik van digitale handtekeningen echter onmogelijk zonder de werking van certificeringscentra, aangezien dit zal leiden tot tamelijk eenvoudige mechanismen voor het vervalsen van een handtekening.

Privé (geheime) sleutels

Een elektronische digitale handtekening kan zijn functies alleen vervullen als de ondertekenaar over bepaalde informatie beschikt die niet toegankelijk is voor vreemden. Deze informatie is vergelijkbaar met een encryptiesleutel en wordt daarom de ‘privésleutel van een elektronische digitale handtekening’ genoemd (voorheen werd de vergelijkbare term ‘geheime sleutel’ gebruikt). Het is noodzakelijk om zowel de private sleutel als de encryptiesleutel geheim te houden, aangezien kennis van de private ondertekeningssleutel overeenkomt met een blanco vel papier met de handtekening van de eigenaar van de private sleutel, waarop een aanvaller elke gewenste tekst kan schrijven. worden toegeschreven aan de echte eigenaar van de privésleutel. Kunst. 12 van de wet geeft rechtstreeks de verplichting aan van de eigenaar van het handtekeningsleutelcertificaat om de privésleutel geheim te houden en onmiddellijk opschorting van het handtekeningsleutelcertificaat te eisen als er reden is om aan te nemen dat het geheim van de privéhandtekeningsleutel is geschonden.

Kunst. 5 van de wet legt de procedure vast voor het aanmaken van privéhandtekeningsleutels, waarbij rekening wordt gehouden met de strikte naleving van de geheimhouding van hun creatie. Art. wijst ook op dezelfde omstandigheid. 9 van de wet betreffende de activiteiten van certificeringscentra. In bedrijfsinformatiestructuren kan het probleem van het produceren en distribueren van EDS-privésleutels worden opgelost met behulp van hun eigen methoden. De EDS-gebruiker moet zich echter bewust zijn van de mogelijke gevolgen van een dergelijke organisatie van het functioneren van EDS. Het is heel goed mogelijk dat een bepaalde volgorde als privésleutel wordt gebruikt, zoals gebeurt bij het gebruik van een wachtwoordsysteem.

Binnenlandse standaarden voor algoritmen voor digitale handtekeningen

El Gamal-plan

In 1994 werd de eerste binnenlandse standaard op het gebied van digitale handtekening aangenomen GOST R34.10 94 “Informatietechnologie. Beveiliging van cryptografische informatie. Procedures voor het ontwikkelen en verifiëren van een elektronische digitale handtekening op basis van een asymmetrisch cryptografisch algoritme.” Het definieert procedures voor het werken met digitale handtekeningen op basis van het ElGamal-schema.

De onmogelijkheid om een ​​handtekening te vervalsen is te wijten aan de complexiteit van het oplossen van het probleem van de discrete logaritme in een veld van p-elementen of de complexiteit van het bepalen van het getal x gegeven aan een groot priemgetal p en de getallen a, b uit het interval van 2 tot p-1, die wordt uitgevoerd ter vergelijking:

Wiskundigen staan ​​echter niet stil, en recentelijk is er grote vooruitgang geboekt bij de ontwikkeling van methoden voor het oplossen van het probleem van de discrete logaritme in een veld van p-elementen.

Onlangs is de zogenaamde getallenveldzeefmethode in het leven geroepen. Met zijn hulp kun je de digitale handtekening hacken die met de bovenstaande methode is gegenereerd (tenminste in het geval van de 512-bits module p).

Een van de eenvoudigste oplossingen voor dit probleem is het vergroten van de lengte van de module p. Maar helaas, naarmate p toeneemt, verslechteren de operationele eigenschappen van het algoritme, omdat de lengte van de publieke sleutel en de tijd voor het genereren en verifiëren van de handtekening toenemen.

Elliptische curve

Russische wetenschappers kwamen uiteindelijk tot de conclusie dat het mogelijk was om het El-Gamal-schema enigszins ingewikkelder te maken en zo, zonder extra rekenkosten, de complexiteit van de vervalsing van digitale handtekeningen met vele duizenden keren te vergroten. Een nieuwe versie van het ElGamal-schema maakt gebruik van het apparaat van elliptische krommen over een eindig veld van p-elementen, die worden gedefinieerd als een reeks paren getallen (x, y) (elk ligt in het bereik van 0 tot p-1 ) die voldoet aan de vergelijking (de getallen a en b staan ​​vast en komen overeen met een aanvullende voorwaarde):

Y2 == x3 + bijl + bmodp.

• Andere bronnen
• Informatie over het Oracle XML-SQL-hulpprogramma http://otn.oracle.com/tech/xml/xdk_java/content.html
• SAML-specificaties http://www.oasis-open.org/committees/security/
• XKMS-specificatie http://www.w3.org/TR/xkms/

Federale wet “betreffende elektronische digitale handtekening” Volgens Wet 218-FZ “Over de staatsregistratie van onroerend goed” moeten elektronische XML-documenten en gescande afbeeldingen van documenten worden ondertekend verbeterde gekwalificeerde elektronische handtekening

. Alle programma's uit de serie "Polygon", "Polygon Pro" en het programma "Signature Pro" zijn ondertekend met precies zo'n handtekening.

Om te ondertekenen: Krijgen handtekening sleutel (certificaat) binnen Certificatie centrum (certificaat) binnen. De lijst met geaccrediteerde certificeringscentra wordt gepubliceerd op de website van Rosreestr (Lijst van certificeringscentra). Bij ons kunt u een certificaat verkrijgen

LLC "Programmacentrum" Koop en installeer het programma samen met de handtekening op uw computer CryptoPro CSP (certificaat) binnen. De lijst met geaccrediteerde certificeringscentra wordt gepubliceerd op de website van Rosreestr (Lijst van certificeringscentra). Bij ons kunt u een certificaat verkrijgen

(het bevat de vereiste Russische handtekeningstandaarden), die ook bij ons kunnen worden gekocht Opmerking: andere ondertekeningsprogramma's niet vereist : CryptoARM (de handtekeningmogelijkheden van CryptoARM zijn vergelijkbaar met die van de programma's in de “», « Veelhoek Veelhoek Pro "en programma's"»).

(het bevat de vereiste Russische handtekeningstandaarden), die ook bij ons kunnen worden gekocht als u de handtekeningsleutel van het Certificatiecentrum hebt ontvangen vóór de publicatie van Wet 63-FZ “Over elektronische handtekeningen” (vóór 1 juli 2013), dan is een dergelijke sleutel geldig tot 1 januari 2014. Voor gebruik in 2017 moet deze worden vervangen door een nieuwe. Dit komt door het feit dat volgens de nieuwe wet de handtekening het SNILS-certificaatnummer (Russisch Pensioenfonds) moet bevatten.

Softwaremodules van het Polygon Pro-platform

Onderteken een elektronisch document in de softwaremodules van het Polygon Pro-platform

Ga als volgt te werk om een ​​XML-bestand te ondertekenen:

(het bevat de vereiste Russische handtekeningstandaarden), die ook bij ons kunnen worden gekocht Als er fouten worden gedetecteerd, wordt onder de XML-bestandsstructuur een protocol voor het controleren van het elektronische document met waarschuwingen en/of fouten weergegeven. Het wordt aanbevolen om fouten te corrigeren en ook op waarschuwingen te letten.

Op dezelfde manier kunt u een XML-bestand rechtstreeks vanuit de “ WeergaveXML", klik hiervoor op de knop in de werkbalk - « AbonnerenXML-bestand» .

• Na het klikken wordt een venster geopend met een lijst met geïnstalleerde certificaten. Selecteer degene die je wilt en klik « OK» .

• Vervolgens zal het programma het hoofddocument ondertekenen en een succesbericht weergeven.

Let op: in dezelfde map als het ondertekende bestand wordt een handtekeningbestand gegenereerd met dezelfde naam, met de extensie * . sig.

Onderteken een groep bestanden in de softwaremodules van het Polygon Pro-platform

Het programma heeft de mogelijkheid om tegelijkertijd een groep bestanden te ondertekenen;

(het bevat de vereiste Russische handtekeningstandaarden), die ook bij ons kunnen worden gekocht Als de lijst bestanden bevat die niet hoeven te worden ondertekend, schakelt u deze uit om ze uit te sluiten van de ondertekeningsprocedure.

• Klik op de knop « Abonneren» , waarna een venster wordt geopend met een lijst met geïnstalleerde certificaten. Selecteer degene die je wilt en klik « OK» .

• Vervolgens zal het programma alle documenten ondertekenen en een bericht over het ondertekenen weergeven.

(het bevat de vereiste Russische handtekeningstandaarden), die ook bij ons kunnen worden gekocht Als er fouten optreden tijdens het ondertekenen, wordt er een verificatielogboek weergegeven met waarschuwingen en/of fouten. Voor een correcte ondertekening moeten fouten worden gecorrigeerd.

Onderteken het bestand in de softwaremodules van het Polygon Pro-platform

Het programma heeft de mogelijkheid om elk bestaand bestand te ondertekenen, bijvoorbeeld bijgevoegde bestanden aan een project (gescande documenten of afbeeldingsbestanden), inclusief een elektronisch document (XML-bestand) dat op dezelfde manier kan worden ondertekend.

• Thuis" in het submenu van de knop " Onderteken alles» klik op de knop - « Abonneren…", waarna een bestandsselectievenster wordt geopend.

• In het geopende venster selecteert u het bestand dat u wilt ondertekenen en klikt u op de knop " Open».

Er wordt een venster geopend met een lijst met geïnstalleerde certificaten. Selecteer degene die je wilt en klik op " OK».

• Vervolgens zal het programma het geselecteerde document ondertekenen en een bericht weergeven over de gereedheid.

(het bevat de vereiste Russische handtekeningstandaarden), die ook bij ons kunnen worden gekocht in dezelfde map als het ondertekende bestand wordt een handtekeningbestand gegenereerd met dezelfde naam, met de extensie * . sig.

Controleer de elektronische handtekening in de softwaremodules van het Polygon Pro-platform

Als u een ondertekend bestand van buitenaf heeft ontvangen en wilt controleren of het ontvangen bestand is gewijzigd nadat het is ondertekend, of eenvoudigweg wilt controleren of de bestandshandtekening correct is gegenereerd, voert u het volgende uit:

Op het lint van de softwaremodule in het tabblad " Thuis" in het submenu van de knop " Onderteken alles» klik op de knop « Rekening…».

Selecteer het bestand met de handtekening (met de extensie *. sig), dat moet worden geverifieerd, of, indien nodig, een ondertekend bestand. Als deze twee bestanden zich in verschillende mappen bevinden, geeft het programma een waarschuwingsvenster weer waarin u op de knop “ Herhalen" en selecteer het bronbestand.

• U krijgt een protocolvenster met informatie of het document correct is ondertekend, door wie en wanneer, of informatie over de discrepantie met het bronbestand, of dat er andere fouten zijn opgetreden, hierover verschijnt een melding.

Programma "Handtekening Pro"

Voor gemakkelijke interactie met Certificatie centrumLLC "Programmacentrum", het beheer van digitale certificaten en privésleutels van elektronische handtekeningen, maar ook voor het ondertekenen van diverse bestanden met een elektronische handtekening, is het programma SignaturePro ontwikkeld.

Instructies voor het ondertekenen van bestanden als u geen programma's uit de Polygon-, Polygon Pro- of Signature Pro-serie gebruikt.

Hoe onderteken je een bestand met een elektronische digitale handtekening?

Deze instructies zijn bij benadering; specifieke stappen kunnen afhankelijk zijn van de software die op uw computer is geïnstalleerd. Een deel van de instructies is in februari 2012 voltooid, maar onze programma's bieden een handiger optie voor het ondertekenen van elektronische documentbestanden verbeterde gekwalificeerde elektronische handtekening.

Elektronische documentbestanden ondertekenen: grensplan, kaartplan, technisch plan Met een elektronische handtekening moet u de aanwezigheid van geïnstalleerde programma’s verifiëren:

cryptoprovider "CryptoPro CSP";

"Crypto-ARM" - dit programma is alleen nodig wanneer je geen programma's uit de serie “Polygon” gebruikt, dit programma is qua ondertekening identiek aan de programma's uit de serie “Polygon” en is dus niet nodig; om bestanden te ondertekenen met programma's uit de "Polygon" -serie, zie de vorige pagina van de instructies; U kunt ondertekenen met zowel de programma's uit de "Polygon"-serie als het CryptoARM-programma, als u denkt dat dit handiger is dan het gebruik van de bestaande mogelijkheden van de programma's uit de "Polygon"-serie;

Elk bestand (XML, scan van een afgedrukt document en aanvraagbestanden) moet worden ondertekend, aangezien de kadastrale registratieautoriteit alleen bestandsparen accepteert: het originele bestand en het handtekeningbestand daarvoor. Om een ​​bestand te ondertekenen, moet u het in het Verkenner-venster selecteren en met de rechtermuisknop klikken (RMB). Er verschijnt een contextmenu waarin u "CryptoARM" selecteert en vervolgens " Abonneren…».

Zorg er vervolgens voor dat de bestandsnaam correct is

Belangrijk! zet de schakelaar op stand " DER-codering", specificeer naar eigen goeddunken de map voor de uitvoerbestanden. Druk op de knop " Volgende" Wijs in het volgende venster handtekeningparameters toe

In dit venster is het belangrijkste dat u het vakje “ Sla de handtekening op in een apart bestand" Klik op de knop Volgende" In het volgende venster klikt u op de knop Kiezen»

Er wordt een certificaatselectievenster geopend

selecteer daarin het certificaat van uw sleutel (kijk op de naam van de eigenaar). Na het selecteren klikt u op de knop OK" En " Volgende" In het laatste venster voordat u het document ondertekent, klikt u op de knop " Klaar».

Belangrijk! Voor elk bestand is het noodzakelijk om een ​​handtekeningbestand aan te maken, aangezien slechts één paar wordt geaccepteerd: het originele bestand (xml of ander) + een handtekening ervoor (sig-bestand).

Tegenwoordig, nu bijna alle documentstromen papierloos worden, is het ondertekenen van documenten met hulp de normaalste zaak van de wereld.

Op het gebied van overheidsopdrachten worden ingediende aanvragen elektronisch ondertekend. Hierdoor hebben klanten de garantie dat ze met echte deelnemers te maken hebben. Ook contracten die worden gesloten als gevolg van overheidsopdrachten komen pas in werking na bekrachtiging met behulp van een elektronische digitale handtekening.

Ook in de volgende situaties is een digitale handtekening vereist:

1. Rapportage aan regelgevende instanties. U kunt het elektronisch indienen bij diensten als de Federale Belastingdienst, Rosstat, Pensioenfonds en Sociaal Verzekeringsfonds. Dit vereenvoudigt de overdracht van informatie aanzienlijk en verhoogt de nauwkeurigheid: de meeste diensten bieden automatische foutcontrole.
2. Elektronisch documentbeheer (EDF). Een van de meest voorkomende toepassingen, aangezien een op deze manier ondertekende brief overeenkomt met een papieren brief met een stempel en een visum. Hiermee kunt u zowel binnen als buiten het bedrijf overstappen op een papierloze documentenstroom.
3. Overheidsdiensten. Een staatsburger van de Russische Federatie kan ingediende aanvragen bij departementen onderschrijven via het portaal voor overheidsdiensten, deelnemen aan publieke initiatieven, een persoonlijk account gebruiken op de website van de Federale Belastingdienst en zelfs een lening aanvragen.
4. Facturen, contracten en officiële brieven die elektronisch zijn ondertekend, kunnen als bewijsmateriaal worden gebruikt. Volgens het Wetboek van Arbitrageprocedure van de Russische Federatie is een dergelijk document analoog aan een papieren document met een handgeschreven visum.

Welke soorten elektronische handtekeningen zijn er?

Een elektronische handtekening is een ‘stempel’ waarmee u de eigenaar kunt identificeren en de integriteit van het ondertekende document kunt verifiëren. De soorten digitale handtekeningen en de procedure voor de uitvoering ervan zijn goedgekeurd. Hij stelde vast dat er drie soorten handtekeningen zijn:

1. Eenvoudig. Vaak gebruikt voor het ondertekenen van brieven of specificaties, bevestigd met wachtwoorden, codes en andere middelen, meestal gebruikt in zakelijke EDI-systemen.
2. Versterkt. Het wordt verkregen door het proces van cryptografische verwerking van informatie en het gebruik van een privésleutel. Hiermee kunt u bepalen wie het document heeft ondertekend, evenals het feit dat er na ondertekening wijzigingen zijn aangebracht.
3. Versterkt. Het is vergelijkbaar met een ongekwalificeerde, maar voor de creatie en verificatie ervan worden cryptografische beveiligingstechnologieën gebruikt die zijn gecertificeerd door de FSB van de Russische Federatie. Dergelijke elektronische handtekeningen worden alleen uitgegeven door geaccrediteerde

Er zijn verschillende manieren om een ​​document te bekrachtigen. Laten we eens kijken naar de meest voorkomende.

Wij ondertekenen met het CryptoPRO CSP softwarepakket

Hoe u een Word-document elektronisch kunt ondertekenen(MS-Word)

1. Open het gewenste bestand, klik op het menu “Bestand” - “Informatie” - “Elektronische handtekening toevoegen (CRYPTO-PRO)”.

2. Selecteer de gewenste elektronische handtekening, voeg indien nodig een opmerking toe en klik op “Ondertekenen”.

3. Als er geen fouten zijn, toont het systeem een ​​venster met succesvolle ondertekening.

Als de CryptoPRO Office Signature-plug-in is geïnstalleerd

1. Open het gewenste bestand, selecteer “Bestand” en vervolgens “Digitale handtekening toevoegen”.

2. Selecteer, net als bij de vorige optie, de vereiste elektronische handtekening, voeg indien nodig een opmerking toe en klik op “Ondertekenen”.

3. Als er geen fouten zijn, geeft het systeem een ​​bericht weer dat het document succesvol is ondertekend.

Hoe u een PDF-document elektronisch kunt ondertekenen(Adobe Acrobat-PDF)

1. Open het vereiste PDF-bestand, klik op het paneel “Extra” en bekijk het label “Certificaten”. Laten we het kiezen.

2. Klik op “Een digitale handtekening toepassen” en selecteer het gebied in het bestand waar de handtekeningmarkering moet worden geplaatst.

4. Er wordt een venster geopend met een voorbeeld van de postzegel. Als alles klopt, klik dan op “Ondertekenen”.

5. Het systeem geeft een melding over een succesvolle ondertekening. Dat is alles.

Ondertekenen met het CryptoARM-softwarepakket

Met deze methode is het mogelijk om alle moderne formaten, evenals archieven, te coderen.

Dus laten we het uitzoeken hoe u een document met digitale handtekening ondertekent met behulp van CryptoARM.

1. Open het programma "CryptoARM" en selecteer het allereerste actie-item - "Ondertekenen".

2. We bestuderen zorgvuldig de instructies van de ES Creation Master. Klik op “Volgende”.

3. Klik op “Bestand selecteren”, ga naar het gewenste bestand, klik erop en klik op “Volgende”.

4. Selecteer het bestand dat u wilt ondertekenen en klik op “Volgende”.

5. We zien het venster "Uitvoerformaat". Als er geen verplichte vereisten zijn, laten we de codering zoals deze is. U kunt het eindresultaat opslaan in ZIP-formaat (voor verzending per e-mail) of een locatie kiezen om het eindresultaat op te slaan. Klik op “Volgende”.

6. In “Parameters” kunt u een eigenschap selecteren, een opmerking toevoegen en ook een bijgevoegde elektronische handtekening (bijgevoegd aan het bronbestand) of losstaand (opgeslagen als afzonderlijk bestand) selecteren, evenals desgewenst aanvullende parameters. Als alles gereed is, klikt u op “Volgende”.

7. Nu moet u een certificaat selecteren; klik op “Selecteren”, geef het gewenste certificaat aan en klik op “Volgende”.

8. In de volgende fase zien we het laatste venster met een korte beschrijving van de gegevens. Als de bestanden de volgende keer in dezelfde volgorde worden ondertekend, kunt u het profiel opslaan. Klik op “Voltooien”.

9. Als er geen fouten zijn, geeft het systeem een ​​bericht weer dat aangeeft dat de ondertekening is geslaagd.