[Openstandaarden] [OT] e-id (nog eens)

Wouter Verhelst wouter at grep.be
Tue Jun 21 11:47:04 CEST 2005


On Tue, Jun 21, 2005 at 10:20:52AM +0200, cobaco (aka Bart Cornelis) wrote:
> On Monday 20 June 2005 20:43, Wouter Verhelst wrote:
> > On Mon, Jun 20, 2005 at 04:01:30PM +0200, cobaco (aka Bart Cornelis) 
> wrote:
> > > On Monday 20 June 2005 14:45, Wouter Verhelst wrote:
> > Ik neem aan dat er processen in voege zijn om te voorkomen dat zomaar
> > gelijk wie een willekeurige public key aan de CA van de overheid kan
> > aanbieden en toch mag hopen dat er een handtekening van de CA onder
> > komt.
> hoezo, dat zou ik net wel verwachten, net zoals je gelijk wie anders je 
> public key kunt laten ondertekenen, op vertoning van wie je bent moet dit 
> kunnen.

Er is een fundamenteel verschil tussen het X.509 trust model en het PGP
trust model, en het is niet verstandig om te proberen de twee te mixen.

PGP werkt met het 'web of trust': ik weet dat jij bent wie je beweert
dat je bent omdat ik jouw key gezien heb in combinatie met een
identiteitsdocument dat door de overheid getekend is (of, indien dat
niet het geval is, omdat ik de key van Alice en Bob getekend heb, die
allebei jouw key ook getekend hebben).

X.509 werkt met een 'trusted third party': een Certificate Authority
wiens enige doel het controleren en verifiëren van certificaten is, en
daar dan een handtekening onder zetten. Jij als gebruiker word
verondersteld de procedures die gevolgd worden vooraleer een certificaat
ondertekend wordt, na te lezen, en dan te bepalen of je de CA vertrouwd.
Als dat het geval is, dan vertrouw je dat _alle_ certificaten die door
die CA ondertekend zijn, informatie bevatten die correct is.

Het PGP trust model werkt niet goed voor een overheid, om redenen die
(hopelijk) geen uitleg vragen. Het X.509 trust model doet dat wel, en is
ook het trust model dat voor de eID gebruikt wordt.

Een certificaat met een ondertekening van een andere key die helemaal
geen Certificat Authority is, is in het X.509 trust model niet alleen
overbodig, het is ook nog eens ongeldig.

> > Ik mag ook hopen dat die processen proberen ervoor te zorgen dat 
> > alleen officiële eID-kaarten gebruikt kunnen worden -- geen kaarten die
> > eerst door Zetes of andere personen geprepareerd zijn.
> 
> en waarom niet, zou ik nou net wel willen (en dan ook bv. openPGP keys)

Uhm.

Het zou inderdaad interessant zijn om eventueel extra data zoals een
PGP-key op een kaart te kunnen zetten, maar ik hoop dat je het met me
eens bent dat niet zomaar iedereen een aangepaste identiteitskaart mag
kunnen aanmaken. Toch?

> > > > > Waarom is het Zetes die de private key aanmaakt?
> > > >
> > > > Het is de overheid die dat doet, niet Zetes.
> > >
> > > ok, dan waarom de overheid en niet de burger?
> >
> > Omdat de overheid er niet op kan betrouwen dat burgers die voor haar
> > onbekend zijn, de sleutel op een veilige manier aanmaken. Vermits ze
> > haar ambtenaren kan trainen, kan ze dat van haar ambtenaren wel
> > verwachten.
> 
> redenering gaat niet op:
> - is beheer van mijn identiteit waar we het over hebben, gevolgen van 
> verkeerd beheer zijn voor mij,

Identity theft is niet alleen voor jou een probleem. Indien iemand onder
jouw naam een hoop dingen gaat stelen in een warenhuis, en de politie
komt bij jou aankloppen, dan heb jij een proces aan je been -- maar door
het feit dat jij er niks mee te maken hebt, is het warenhuis door dat
proces ook niet geholpen.

> dus de keuze van hoe dit te beheren ook. Wij 
> zijn geen kleine kinderen die tegen onszelf beschermd moeten worden door de 
> overheid.

Het is veel meer dan dat.

> - als de overheid meer eisen wil stellen dan vertoon van officiele 
> identificatie

Komaan zeg! De eID _is_ een document dat bedoeld is voor officiële
identificatie. Snap je écht niet dat voor de uitreiking daarvan stricte
regels moeten opgesteld worden? Dat lijkt me verdomme nogal
vanzelfsprekend!

-- 
The amount of time between slipping on the peel and landing on the
pavement is precisely one bananosecond


More information about the Openstandaarden mailing list