[Openstandaarden] verslag meeting eID 2005-02-26 Brussel

cobaco (aka Bart Cornelis) cobaco at linux.be
Mon Feb 28 22:58:15 CET 2005


On Monday 28 February 2005 22:28, JanC wrote:
> cobaco (aka Bart Cornelis) wrote:
> >> Wil je liever: dat ze je PIN kunnen sniffen en achter je rug een
> >> document in jouw naam ondertekenen?
> >
> > Dat is geen reëel probleem: zolang ze de private key niet hebben, heb
> > je aan het onderscheppen van de pin niks, en kunnen ze dus ook niks
> > ondertekenen achter je rug.
> > Ik mag (hopelijk) wel aannemen dat ze die niet zomaar van de kaart af
> > kunnen halen?
>
> Het signeren gebeurt op de kaart zelf vziw, en die kaart doet dat pas
> als het die PIN krijgt.
>
> Wil je werkelijk op elke plaats waar ze je naam en adres nodig hebben
> die PIN ingeven? 
als het alternatief is geen controle hebben over welke persoonsgegevens ik 
hen door geef? Vanzelfsprekend

> Het intikken van die PIN gebeurt dan namelijk bijna 
> per definitie op een toestel dat niet jouw eigendom is, en dat je dus
> niet kan controleren.
hoeft ook niet zolang je zowel de private key (en dus de kaart)  _en_ de pin 
nodig hebt om persoonsgegevens van de kaart af te halen, 

bij een goede oplossing zou je thuis kunnen instellen wat welke mensen wel 
en niet zomaar van die kaart af kunnen halen. Dat (bepaalde) 
overheidsdiensten standaard toegang hebben tot al je persoonsgegevens is 
een ding, diezelfde informatie beschikbaar stellen aan jan en alleman is 
iets helemaal anders, en is vragen om problemen (winkels proberen al jaren 
via klantenkaarten je koopgedrag aan je identiteit te koppelen, als ze 
zomaar al je persoonsgegevens inclusief rijksregisternummer kunnen 
achterhalen, is het hek helemaal van de dam)

> > Als je persoonsgegevens (waaronder ongetwijfeld je rijksregisternummer)
> > zomaar van die kaart af te halen zijn door iedereen die een reden heeft
> > om je identiteit te controleren, en dus ook door een willekeurige site
> > op het web. Dan is dit voor mij in elk geval reden genoeg om dat ding
> > niet te gebruiken.
>
> Websites & mail clients zullen de 'security device' plugin o.i.d. voor
> je programma gebruiken.  Als je de source daarvan kan bekijken, kan je
> ook controleren welke info die eventueel doorgeeft.
ack, maar dan zit de beveiliging dus extern van de kaart, en moet je die dus 
overal waar je dat ding wil gebruiken eerst gaan instellen -> werkbaar maar 
ver van ideaal en er gaan weinig mensen zijn die zich daar de moeite voor 
doen.
-- 
Cheers, cobaco (aka Bart Cornelis)
  
1. Encrypted mail preferred (GPG KeyID: 0x86624ABB)
2. Plain-text mail recommended since I move html and double
    format mails to a low priority folder (they're mainly spam)
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : http://openstandaarden.be/pipermail/openstandaarden/attachments/20050228/cd66ac6c/attachment-0003.pgp


More information about the Openstandaarden mailing list