[Openstandaarden] [OT] e-id (nog eens)

[Luc Stroobant]

cobaco (aka Bart Cornelis) wrote:

> ok wat houd volgende scenario tegen:
> 1) create private key met JVM-programma op gewone pc/kaart-emulator
> 2) make copie van private key
> 3) zet private key via aangepast jvm-programma in speciaal geheugen van 
> kaart
> 4) zet normaal jvm-programma op kaart
> 5) geef kaart aan overheid/gebruiker

Enkele mogelijkheden:

1. Externe data weg schrijven in dat "extra beveiligd geheugen", maakt 
het een groter risico dan het systeem zo te maken dat het aanmaken enkel 
via een ingebouwde procedure kan. (louter een gevoel, ik weet niet hoe 
het systeem technisch in elkaar zit)

2. Stel dat je een private key aanmaakt op een extern toestel en kan 
wegschrijven op een eID. Wat houdt je dan tegen om die key een /tweede/ 
keer weg te schrijven op een andere eID van iemand anders? Het zou 
vermoedelijk nogal problematisch zijn als twee mensen met hetzelfde 
certificaat kunnen ondertekenen?

3. Ik citeer even jezelf:
1) wanneer en door wie wordt de private sleutel aangemaakt? Doe je dat 
zelf als burger, of wordt dit gedaan door de overheid?
-> indien door de overheid heb je meteen het basis-principe van 
public-key encryptie overboord gegooid, aangezien je dan onmogelijk kunt 
garanderen dat de overheid (of de desbtreffende ambtenaar) daar een 
kopie van bijhoud. Wat reden genoeg is om dat ding niet te gebruiken.

Als de private key in de kaart zit en er is redelijke zekerheid dat hij 
er niet uit kan, is de kans groot dat key private blijft. Als elke 
burger (of ambtenaar) de key zelf kan aanmaken op elke PC met een JVM, 
lijkt die kans me behoorlijk te verkleinen... De gemiddelde Windows PC 
in dit land zit namelijk behoorlijk wat software op die dingen achter de 
rug van de eigenaar doet, vrees ik.

Luc