[Openstandaarden] [OT] e-id (nog eens)

Geert Uytterhoeven geert at linux-m68k.org
Sun Jun 19 10:34:11 CEST 2005


On Fri, 17 Jun 2005, Sven Putteneers wrote:
> > aangezien zo'n handtekening cryptografisch veilig is wordt daar een hoge 
> > waarde aan toegekend.
> 
> Dit slaagt op niet veel... Een manuele handtekening is niet
> cryptografisch veilig (ik denk dat we daar van uit mogen gaan), maar
> daar wordt ook een hoge waarde aan toegekend. Miljoenendeals worden
> bezegeld met een krabbeltje op papier :)
> 
> > -> Als ik niet kan garanderen dat ik de enige ben die de private key heeft
> > is het potentieel voor misbruik _veel_ te groot (en dat kan mijns inziens 
> > enkel als ik diegene ben die de private key aanmaak) 
> 
> Ik denk dat je redenering hier niet klopt... Als NIEMAND (ook jijzelf
> niet), op geen _enkele_ manier aan je private key kan en enkel jijzelf
> er dingen mee kan ondertekenen (dat enkel jijzelf dit kan, wordt
> gewaarborgd door je PIN), dan heb je die garantie dat je de enige bent
> die je private key kan gebruiken.
> 
> En of voldaan is aan de voorwaarde "niemand kan op geen enkele manier
> aan je private key", is een kwestie van het auditen van het
> productieproces van de eID...
> 
> Weet jij wie er allemaal toegang heeft tot je analoge handtekening? Je
> bank, je kredietkaart-maatschappij, de kassajuffrouw die je
> gehandtekende cheque in ontvangst genomen heeft, het bedrijf waar je
> werkt (ondertekend contract), de overheid, ... (deze lijst gaat nog lang
> voort).

Inderdaad. Onlangs had men aan de receptie een pakketje of brief met een
(analoge) handtekening zonder naam. Om uit te vinden van wie die was had men de
handtekening ingescand en doodleuk naar alle personeelsleden in het gebouw
gemaild. Leuk voor mijn collectie ;-)

Een andere mogelijkheid: in een bepaald bedrijf moeten alle managers vanaf een
bepaald niveau hun `digitale handtekening' doorgeven aan een andere afdeling,
zodat die afdeling hun handtekening kan gebruiken. Die `digitale handtekening'
bleek een GIFje te zijn van de analoge handtekening.

Allemaal redenen om te kunnen aanvechten dat je analoge handtekening niet echt
is...

Gr{oetje,eeting}s,

						Geert

--
Geert Uytterhoeven -- There's lots of Linux beyond ia32 -- geert at linux-m68k.org

In personal conversations with technical people, I call myself a hacker. But
when I'm talking to journalists I just say "programmer" or something like that.
							    -- Linus Torvalds


More information about the Openstandaarden mailing list