[Openstandaarden] [OT] e-id (nog eens)

Wouter Verhelst wouter at grep.be
Mon Jun 20 14:19:45 CEST 2005


On Wed, Jun 15, 2005 at 08:11:34PM +0200, Kristoff Bonne wrote:
> Zijn de volgende (nog) feiten juist?
> 1/ Er is geen PIN-code nodig voor het raadplegen van de persoongegevens 
> op de kaart.

Klopt.

> Dus ... steek de kaart in je PC en elk programma (dus ook 
> eventuele spyware) kan onmiddelijk alle informatie uit de kaart halen.

Half.

De eID-library gaat wel om comfirmatie vragen; dus als de spyware via
die library gaat, zal je het wel weten.

Alleen is het formaat van de eID-kaart wel vrij beschreven (bravo!), wat
dus wil zeggen dat in principe iedereen zijn eigen library kan schrijven
die zich niet aan die restricties houdt.

> 2/ ALLE persoonsgegevens zijn onbeperkt leesbaar op de kaart. Dus, ook 
> al zegt een chat-client "steek uw e-id in de computer om uw leeftijd te 
> controleren"; dan is er niets die de computer tegenhoudt om de andere 
> gegevens op de kaart ook te gaan lezen.

Als de chatclient via de officiële eID-library gaat, niet neen.

> (Hangt eigenlijk samen met onderdeel 1 hierboven).

idd.

[...]
> 3/ Inzake de PIN-code is men enkel veilig van "keyboard sniffing" indien 
> men een kaartlezen heeft die een eigen toetsenbord heeft; maar de enige 
> algemeen beschikbare lezer aan een "redelijke" (OK, 30 euro) prijs heeft 
> die niet.
> (Of zijn er andere goedkope kaartlezers beschikbaar? die wel over een 
> eigen toetsenbord beschikken).

Niet dat ik weet.

> 4/ Er  bestaat een mogelijkheid om de certificaten in de e-id te 
> gebruiken in een mail-programma (o.a thunderbird) zoals nu het geval is 
> met de "thawte" certificaten.
> 
> Echter, uit de documentatie die ik kan vinden op het internet blijkt dat 
> de certificaten als "subject" niet enkel je naam en voornaam bevatten 
> maar ook nog een extra "serial-nummer.. Alleen blijkt dat dat 
> "serie-nummer" in de documentatie wel heel erg veel op een 
> rijksregisternummer lijkt. Kan iemand die ondertussen al een e-id kaart 
> heeft dit bevestigen?

Dat is inderdaad het rijksregisternummer. Geen toeval.

> Want dat zou willen zeggen dat -als je die certificaten zou gebruiken om 
> te ondertekenen- dat je dan automatisch ook je geboortedatum en geslacht 
> meeheeft. (want die zit in het leesbaar deel van je certificaat).

Klopt.

> Ik snap dit niet. Dat men ergens een identificatie-nummer nodig heeft om 
> mensen met dezelfde naam uit-elkaar te kunnen houden lijkt me normaal; 
> maar waarom verdikke je RRN. Men kon daar toch gewoon een niets-zeggen 
> willekeurig getal genomen hebben?

En een nieuw serienummer gaan aanmaken? Da's een beetje belachelijk. Ik
denk dat je beter zou vragen dat men het RRN anders opbouwt dan dat men
voor de eID een nieuw soort serienummer gaat uitvinden. Toch?

> Wie is er op *dit* idee gekomen? Dit lijkt mij toch compleet idioot?
> 
> En dan verder nog 2 andere vraagjes:
> - ben je als je nog een geldig "kartonnen" identiteitskaart hebt (de 
> mijne loopt tot 2006), ben je dan verplicht om je e-id te gaan ophalen 
> als je dat niet wil? (vanwege de privacy-problemen hiermee)?

Neen, uiteraard niet.

> - Op de website van het rijksregister heb ik een interessant document 
> gevonden:
> Zie 
> http://www.rijksregister.fgov.be/eik/algemene_onderrichting_eik/cdoku-aoeik.htm
> Bijlage   3 : formulier om af te zien van het gebruik van de 
> certificaten van de elektronische identiteitskaart 
> <http://www.rijksregister.fgov.be/eik/algemene_onderrichting_eik/bijlage3_formulier_afzien__v_certif_nl_p.pdf>
> 
> Indien ik tot de conclusie kom dat mijn privacy niet gewaarborgd wordt; 
> dan zou ik zeker van deze procedure willen gebruik maken. Heeft iemand 
> dit al gedaan.

Neen, maar het is uiteraard geen enkel probleem.

Als je dat niet doet, dan bevat je eID alleen de zaken die nu al op de
plastieken identiteitskaart staan, en kan je ze niet gebruiken om iets
digitaal te ondertekenen of om jezelf ergens te authenticeren.

> het zou inderessant zijn moest er ook de mogelijkheid bestaan om heel 
> het electronisch onderdeel van de kaart te desactiveren. (dus ook het 
> deel voor de persoonsgegevens). Feit is natuurlijk dat er bepaalde 
> gegevens zijn die niet op de "buitenkant" van de kaart aangebracht zijn..

Exact.

> NB. Weet iemand het email-adres van die persoon (staats-secretaris of 
> zo) die verantwoordelijk is voor de e-id? Ik heb vandaag een vraag 
> gestuurd naar de helpdesk van de dienst van het RR; maar ik wil desnoods 
> weten wat ik moet doen als ik daar geen antwoord krijg.

Daarvoor moet je naar FEDICT, denk ik. Maar maak je geen illusies -- die
mensen hebben blijkbaar 'nogal' druk, ik heb nog geen enkele reactie van
die kant gezien.

Alternatief kan je misschien terecht bij Zetes, het bedrijf dat
ingeschakeld geweest is om de eID te ontwikkelen. Ik heb wel goeie
contacten met hen, maar da's misschien alleen maar omdat ik de Debian
packages onderhoud.

-- 
The amount of time between slipping on the peel and landing on the
pavement is precisely one bananosecond


More information about the Openstandaarden mailing list