[Openstandaarden] [OT] e-id (nog eens)

Kristoff Bonne kristoff.bonne at compaqnet.be
Thu Jun 16 10:22:03 CEST 2005 

Gegroet,

Stef Hoeben schreef:

> 3: Er zijn nu een 4-tal pinpad lezers die de eID kaart ondersteunen, 
> maar idd wel duurder dan 30 €...
> (Persoonlijk lijkt het me belangrijker dat je PC goed beveiligd en 
> virus-vrij is..)

Mij leek het belangrijker om die  beveiliging in de kaart in-te-bouwen 
of desnoods in de kaart-lezer (in firmware op de kaartlezen, wat niet 
zomaar te wijzigen is en desnoods zelfs kan "gecontroleerd" worden door 
de overheid).


> Als je bezorgt bent om je privacy, moet je je kaart dus nergens 
> insteken. Dan heb je eigenlijk
> hetzelfde als je huidige kartonnetje (eigenlijk iets minder omdat het 
> adres niet op de platiek staat).

Probleem is dat als (ik zeg het maar) de gemeente beslist om de 
bibliotheekkaarten te vervangen door eid's, idem voor het zwembad, 
toegang tot de gebouwen van je werkgever, klantenkaarten, enz. enz. 
m.a.w. dat het gebruik van die kaart "algemeen" wordt (wat toch één van 
de bedoelingen is de overheid) .. dat het niet-gebruiken van je e-id wel 
heel erg moeilijk wordt.



> Dat lijkt me ook een betere bescherming dan af te zien van het gebruik 
> van de certificaten,
> waarvoor je trouwens toch je PIN nodig hebt.

Wat mij trouwens nog niet duidelijk is is -als je afziet van je 
certificaten- als die dan nog op de kaart blijven staan of niet. Geldt 
dat dan voor beide certificaten?
Indien ze toch niet meer "nodig" hebt, dan zie ik persoonlijk gezegd 
geen reden waarom die nog op de kaart zouden blijven staan -zeker gezien 
die gewoon leesbaar en onbeschermd zijn-?



Cheerio! Kr. Bonne.

>
> Cheers,
> Stef
>
> Kristoff Bonne wrote:
>
> Gegroet,
>
>
> Het spijt me om even een redelijk "off topic" bericht te schrijven in 
> dit forum, maar ik zou eens een klein vervolg willen schrijven op de 
> discussie over de "e-id" kaart die hier in maart in de ML gevoerd is.
> Indien iemand weet wat een beter forum is voor dit onderwerp, gelieve 
> van het te laten weten.
>
>
> Het is dat ik een 2-tal weken geleden de vraag gekregen heb om mijn 
> "kartonen" identiteitskaart in-te-gaan wisselen voor een e-id kaart; 
> dan ik de zaak nog eens goed beginnen bekijken heb.
>
> Zijn de volgende (nog) feiten juist?
> 1/ Er is geen PIN-code nodig voor het raadplegen van de 
> persoongegevens op de kaart. Dus ... steek de kaart in je PC en elk 
> programma (dus ook eventuele spyware) kan onmiddelijk alle informatie 
> uit de kaart halen.
>
> 2/ ALLE persoonsgegevens zijn onbeperkt leesbaar op de kaart. Dus, ook 
> al zegt een chat-client "steek uw e-id in de computer om uw leeftijd 
> te controleren"; dan is er niets die de computer tegenhoudt om de 
> andere gegevens op de kaart ook te gaan lezen.
>
> (Hangt eigenlijk samen met onderdeel 1 hierboven).
>
> Als ik op de website van de overheid kijk, dan zie ik daar het 
> volgende staan:  
> (http://eid.belgium.be/nl/navigation/documents/37074.html):
> "De raadpleging van de identificatiegegevens op de elektronische 
> identiteitskaart mag enkel gebeuren mits uitdrukkelijke toelating van 
> de burger, behalve bij wettelijke of reglementaire verplichting. "
>
> Dan lijkt me dit dan toch wel heel raar. Indien de informatie direct 
> en onbeperkt leesbaar zijn; dan is er m.i. toch niet echt meer sprake 
> van "uitdrukkelijk toelating van de burger". (of heb ik het mis).
>
>
> 3/ Inzake de PIN-code is men enkel veilig van "keyboard sniffing" 
> indien men een kaartlezen heeft die een eigen toetsenbord heeft; maar 
> de enige algemeen beschikbare lezer aan een "redelijke" (OK, 30 euro) 
> prijs heeft die niet.
> (Of zijn er andere goedkope kaartlezers beschikbaar? die wel over een 
> eigen toetsenbord beschikken).
>
>
> 4/ Er  bestaat een mogelijkheid om de certificaten in de e-id te 
> gebruiken in een mail-programma (o.a thunderbird) zoals nu het geval 
> is met de "thawte" certificaten.
>
> Echter, uit de documentatie die ik kan vinden op het internet blijkt 
> dat de certificaten als "subject" niet enkel je naam en voornaam 
> bevatten maar ook nog een extra "serial-nummer.. Alleen blijkt dat dat 
> "serie-nummer" in de documentatie wel heel erg veel op een 
> rijksregisternummer lijkt. Kan iemand die ondertussen al een e-id 
> kaart heeft dit bevestigen?
>
> Want dat zou willen zeggen dat -als je die certificaten zou gebruiken 
> om te ondertekenen- dat je dan automatisch ook je geboortedatum en 
> geslacht meeheeft. (want die zit in het leesbaar deel van je 
> certificaat).
>
> Ik snap dit niet. Dat men ergens een identificatie-nummer nodig heeft 
> om mensen met dezelfde naam uit-elkaar te kunnen houden lijkt me 
> normaal; maar waarom verdikke je RRN. Men kon daar toch gewoon een 
> niets-zeggen willekeurig getal genomen hebben?
> Wie is er op *dit* idee gekomen? Dit lijkt mij toch compleet idioot?
>
>
>
> En dan verder nog 2 andere vraagjes:
> - ben je als je nog een geldig "kartonnen" identiteitskaart hebt (de 
> mijne loopt tot 2006), ben je dan verplicht om je e-id te gaan ophalen 
> als je dat niet wil? (vanwege de privacy-problemen hiermee)?
> - Op de website van het rijksregister heb ik een interessant document 
> gevonden:
> Zie 
> http://www.rijksregister.fgov.be/eik/algemene_onderrichting_eik/cdoku-aoeik.htm 
>
> Bijlage   3 : formulier om af te zien van het gebruik van de 
> certificaten van de elektronische identiteitskaart 
> <http://www.rijksregister.fgov.be/eik/algemene_onderrichting_eik/bijlage3_formulier_afzien__v_certif_nl_p.pdf> 
>
>
> Indien ik tot de conclusie kom dat mijn privacy niet gewaarborgd 
> wordt; dan zou ik zeker van deze procedure willen gebruik maken. Heeft 
> iemand dit al gedaan.
>
> het zou inderessant zijn moest er ook de mogelijkheid bestaan om heel 
> het electronisch onderdeel van de kaart te desactiveren. (dus ook het 
> deel voor de persoonsgegevens). Feit is natuurlijk dat er bepaalde 
> gegevens zijn die niet op de "buitenkant" van de kaart aangebracht zijn..
>
>
> NB. Weet iemand het email-adres van die persoon (staats-secretaris of 
> zo) die verantwoordelijk is voor de e-id? Ik heb vandaag een vraag 
> gestuurd naar de helpdesk van de dienst van het RR; maar ik wil 
> desnoods weten wat ik moet doen als ik daar geen antwoord krijg.
>
>
>
> Cheerio! Kr. Bonne.
>
>
> _______________________________________________
> Openstandaarden mailing list
> Openstandaarden at openstandaarden.be
> http://www.openstandaarden.be/mailman/listinfo/openstandaarden
>
>

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3210 bytes
Desc: S/MIME Cryptographic Signature
Url : http://openstandaarden.be/pipermail/openstandaarden/attachments/20050616/acd9ec4d/smime-0003.bin

More information about the Openstandaarden mailing list