[Openstandaarden] [OT] e-id (nog eens)

cobaco (aka Bart Cornelis) cobaco at linux.be
Fri Jun 17 12:01:41 CEST 2005 

On Friday 17 June 2005 01:13, Peter Strickx wrote:
> >  2/ ALLE persoonsgegevens zijn onbeperkt leesbaar op de kaart. Dus, ook
> > al zegt een chat-client "steek uw e-id in de computer om uw leeftijd te
> > controleren"; dan is er niets die de computer tegenhoudt om de andere
> > gegevens op de kaart ook te gaan lezen.
> >
> >  (Hangt eigenlijk samen met onderdeel 1 hierboven).
>
> Correct. Net zoals je vandaag ook niet weet wat zo'n programma aan
> cookies en dergelijke
> achterlaat op je PC.

weet ik wel, aangezien ik die programma's instel om cookies te weigeren, 
tenzij ik expliciet toestemming geef voor gevraagde cookie

> >  Als ik op de website van de overheid kijk, dan zie ik daar het
> > volgende staan:
> > (http://eid.belgium.be/nl/navigation/documents/37074.html):
> >  "De raadpleging van de identificatiegegevens op de elektronische
> > identiteitskaart mag enkel gebeuren mits uitdrukkelijke toelating van
> > de burger, behalve bij wettelijke of reglementaire verplichting. "
> >
> >  Dan lijkt me dit dan toch wel heel raar. Indien de informatie direct
> > en onbeperkt leesbaar zijn; dan is er m.i. toch niet echt meer sprake
> > van "uitdrukkelijk toelating van de burger". (of heb ik het mis).
>
> De uitdrukkelijke toestemming moet gevraagd worden en de burger stemt
> toe door zijn
> kaart in de kaartlezer te steken. Doe je dat niet dan geef je geen
> toestemming, veel uitdrukkelijker dan dat kan het niet worden.

afgaande op bovenstaande redenering geef je door het simpel gebruik van de 
eid dus uitdrukkelijke toestemming om _alle_ gegevens eraf te halen!

bovendien moet je dan niet alleen de persoon achter de lezer vertrouwen, 
maar ook iedereen die er software-matig ook maar iets mee te maken heeft 
-> dat gaat gegarandeert fout

> >  Ik snap dit niet. Dat men ergens een identificatie-nummer nodig heeft
> > om mensen met dezelfde naam uit-elkaar te kunnen houden lijkt me
> > normaal; maar waarom verdikke je RRN. Men kon daar toch gewoon een
> > niets-zeggen willekeurig getal genomen hebben?
> >  Wie is er op *dit* idee gekomen? Dit lijkt mij toch compleet idioot?
>
> Niet zo idioot. Een Europese richtlijn voor certificaten eist een
> eenduidige identificatie van de drager van het certificaat. We hadden
> natuurlijk een ander (lees betekenisloos) nummer kunnen nemen maar dan
> nog zou er een link moeten opgeslagen worden tussen dat nummer en het
> rijksregisternummer. Elke toepassing die vandaag het
> rijksregisternummer gebruikt als sleutel zou dan een 'vertaalservice'
> moeten oproepen om dit nieuwe nummer aan het rijksregisternummer te
> koppelen. Lijkt me nogal 'zwaar' om je leeftijd en geslacht te
> beschermen.
> Heel wat overheden in Europa benijden ons de eID en het
> Rijksregisternummer. Met de Commissie voor de Bescherming van de
> Persoonlijke Levenssfeer is er ook een orgaan dat toeziet op het
> gebruik van persoonsgegevens door de administratie. Heb je die
> garantie ook bij je bank of kredietkaartverstrekker ?
> Het beschermen van je privacy is heel belangrijk voor de overheid maar
> ook het beveiligen van internet-transacties verdient de nodige
> aandacht. De eID is een uitstekende manier om een sterke authenticatie
> voor elektronische transacties mogelijk te maken.

er, ik werk en woon momenteel in Nederland waar ze ook zo'n uniek nummer 
hebben, er is mij toen _expliciet_ verteld toen ik dat toegewezen kreeg dat 
uit dat nummer verder niks geen gegevens over mij af te leiden zijn. Dat 
soort dingen is wat mij betreft een basisvereiste, en ik ben daarin echt 
niet alleen

> Ik ben sterk geinteresseerd in een mogelijk alternatief voor de eID
> (liefst met alle voordelen zonder de nadelen ;-). Bij Fedict werken we
> ondertussen (samen met Zetes en het Rijksregister) aan geleidelijke
> verbeteringen van de kaart.

het enige wat je nodig hebt is:
- een lijst met door de overheid goedgekeurde/ondersteunde public-key 
systemen (OpenPGP, S/Mime, thawte, ...)
- de mogelijkheid om op vertoon van je officiele identificatie je public key 
te laten ondertekenen door de overheid (zo doen ze het geloof ik in spanje, 
als ik mij een blog-entry van planet debian goed herrinner)

Dat je je private key kunt bewaren op je eid is leuk, maar absoluut niet 
nodig.

afgezien daarvan bedenk ik met het volgende:
1) de private key is niet van de kaart af te halen eens die erop staat 
(juist?)
2) je moet elke 5 jaar een nieuwe identiteitskaart gaan halen
-> hoe wordt die private key overgezet naar de nieuwe kaart?
-- 
Cheers, cobaco (aka Bart Cornelis)
  
1. Encrypted mail preferred (GPG KeyID: 0x86624ABB)
2. Plain-text mail recommended since I move html and double
    format mails to a low priority folder (they're mainly spam)
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : http://openstandaarden.be/pipermail/openstandaarden/attachments/20050617/e33be9e6/attachment-0003.pgp

More information about the Openstandaarden mailing list