[Openstandaarden] Staatsecretarus Vanvelthoven wil goedkope internet computer, een kans voor Open Office / firefox / e.d.

Wouter Verhelst wouter at debian.org
Sun Dec 5 16:56:24 CET 2004


Op zo, 05-12-2004 te 15:31 +0100, schreef Peter Strickx:
> Beste,
> 
> Vooral in reactie op een aantal eID opmerkingen:
> 
> - de eID kan gelezen worden met behulp van een PC/SC kaartlezer en de
> toolkit die kan
> gedownload worden via www.belgium.be/fedict/ -> Projecten -> eID
> De toolkits zijn beschikbaar in Java, Linux, Solaris, MacOSX en Windows

Ah.

Effe die pagina's daarrond gelezen. Voor de mensen van
Openstandaarden.be: het zou gaan om een PKI-structuur waarbij de
overheid zou optreden als CA (ik vermoed dus een X.509-achtig trust
model) en waarbij de private keys op de eID zouden komen te staan. Het
zou ook een processor op de kaart zelf zijn die de private key zou
gebruiken, dus niet de processor van het device dat de kaart probeert te
lezen. Klinkt allemaal vrij goed doordacht.

Beetje verder doorklikken laat je een document vinden wat een soort
white paper voor developers is, en wat min of meer uitlegt hoe het
systeem zou gaan werken. Dat document is 16 pagina's lang, en stopt met
een hoofdstuk waarin de gebruikte standaarden uitgelegd worden. Daar
word je met de desbetreffende ISO- en RFC-nummers om de oren geslagen.
Ja, het is X.509 :-)

Effe de Linux-versie van die toolkit gedownload; werkt met (en vereist)
OpenSC, een smart card reader-framework met LGPL-licentie, en OpenSSL.

Eerder dan een negatieve reactie, denk ik dan ook dat we de overheid
mogen feliciteren in het gebruik van open standaarden.

Het enige minpuntje dat ik op het eerste zicht kan zien (maar wat vanuit
het openstandaarden.be-standpunt minder belangrijk is), is het feit dat
de toolkit zélf binary-only is. Hoewel ik de reden daarvoor kan
begrijpen (de library vraagt zelf een pincode aan de gebruiker voor het
signature-deel van de eID, om te voorkomen dat een kwaadwillend
developer een PIN-code zou cachen en de handtekening van een eigenaar
onder iets zetten zonder medeweten van de eigenaar in kwestie), denk ik
toch dat het hier om een geval van 'security through obscurity' gaat;
maar ik kan zo direct geen beter alternatief bedenken. Daarnaast moet er
rekening mee gehouden worden dat een gebruiker niet gegarandeerd aan de
X server aan het werken is waaraan de library dénkt dat die werkt...

Dit betekent jammer genoeg ook dat ik met die toolkit op mijn (PowerPC
Linux) laptop niet veel kan aanvangen. Nah ja.

Zijn er geen card readers met ingebouwd klavier, waarop een gebruiker
eventueel een PIN-code zou kunnen intikken?

> De reden waarom bij de 11 pilootgemeenten een "eiland" is opgezet was enkel voor
> de ondersteuning. Bij problemen kon het dus NIET aan de interactie met andere
> software liggen.

Juist, da's een redelijke en begrijpelijke houding in een test-fase.

-- 
         EARTH
     smog  |   bricks
 AIR  --  mud  -- FIRE
soda water |   tequila
         WATER
 -- with thanks to fortune




More information about the Openstandaarden mailing list