[Openstandaarden] [OT] e-id (nog eens)

Sven Putteneers sven at tuxera.be
Fri Jun 17 15:46:46 CEST 2005


On Fri, 17 Jun 2005 at 14:55:27 +0200, cobaco (aka Bart Cornelis)(cobaco at linux.be) wrote:
> >
> > Nope, aangezien je op geen enkele manier aan het stuk geheugen op de
> > kaart kunt waar je private keys zijn opgeslagen. Er bestaat geen
> > commando "write private key" of zo om naar de kaart te sturen (en dit
> > kan nagegaan worden door de software die op de kaart komt te auditen).
> 
> ok wat houd volgende scenario tegen:
> 1) create private key met JVM-programma op gewone pc/kaart-emulator
> 2) make copie van private key
> 3) zet private key via aangepast jvm-programma in speciaal geheugen van 
> kaart
> 4) zet normaal jvm-programma op kaart
> 5) geef kaart aan overheid/gebruiker
> 
> 1-4 kunnen denk ik zonder problemen programmatisch (en dus achter je rug)

Auditing van het productieproces van de kaart houdt dit scenario tegen.
Maar dat is, zoals je hieronder hebt aangehaald, inderdaad vertrouwen in
een 3e partij.

> hoe verwacht je dat zonder begrip van die basisbeginselen ooit een veilig 
> gebruik van PKI? gaat hier niet om de technische details maar om het 
> basis-idee, dat is best uit te leggen.

Met andere woorden, je moet mensen kunnen duidelijk maken dat hun
digitale handtekening evenwaardig is aan een handtekening gemaakt met
een pen (daarvan kennen ze de implicaties).

> afgezien daarvan verwacht ik uberhaupt niet dat genoemde grootmoeder die 
> digitale handtekening uberhaupt gaat gebruiken (tenminste niet als de 
> overheid/zwembad/bibliotheek/.... dit niet afdwingen)

Waarom niet? Technologievrees is de enige reden die ik mij kan bedenken,
voor de rest zou ik mij niet meteen iets kunnen voorstellen...
En als je die grootmoeder duidelijk maakt dat haar digitale handtekening
en haar analoge handtekening evenwaardig zijn, dan weet ze wat de
gevolgen zijn van het zetten ervan.

> een identiteitskaart met een PKI-paar, en de verdere gegevens enkel 
> niet-digitaal was:
> - perfect doenbaar geweest 
> - waarborgt de privacy, geeft digitale handtekening

Da's waar. Maar de hele bedoeling van de eID is nu net die gegevens in
een digitale vorm ter beschikking te stellen.

> _als_ je als overheid beslist om de extra stap om alle gegevens ook digitaal 
> op de kaart te zetten maakt, dan moet je de privacy van die gegevens kunnen 
> garanderen, kun je dit niet dan is dit een stap te ver, de mogelijkheden 
> voor misbruik zijn simpelweg veel en veels te groot.

Je hebt een punt. Maar de gegevens die men (eender welk bedrijf)
uitleest van je eID zijn nog altijd onderhevig aan de wetgeving op de
privacy.

En hoe het huidige systeem verbeterd kan worden, is volgens mij net de
hele bedoeling van deze discussie-thread.

> > Om een afweging te maken tussen die twee gaan er altijd opofferingen
> > gemaakt moeten worden (en wat mij betreft liever aan de kant van
> > gebruiksgemak dan aan de kant van bescherming van privacy).
> 
> ik heb sterk de indruk dat die afweging helemaal niet gemaakt is maar dat 
> men gewoon gezegt heeft "we hebben nog wat plaats over op dat ding dus 
> laten we naast het PKI-paar ook een boel andere gegevens erop zetten, dat 
> is lekker handig", zonder daarbij over de (vooral negatieve) gevolgen na te 
> denken.

Voor de echte basisgegevens heb je nog altijd de gegevens die op je
kaart zijn gedrukt. Deze vallen af te lezen zonder nog maar een
kaartlezer in de buurt te hebben.

> > Het enige doenbare voorstel dat ik hier heb zien passeren, is dat van
> > Kristof Bonne. Voor elke categorie informatie info die men van je kaart
> > wil query'en, moet je expliciet toestemming geven.
> 
> er is in de vorige discussie over dit onderwerp gezegt dat dit niet mogelijk 
> is met de huidige kaart.

Inderdaad. Daarom ook "voorstel" ;)

> > En om iets te ondertekenen met je eID, moet je sowieso je pincode
> > ingeven. Dus er zit een beveiligingslaag bovenop de keypairs die op je
> > kaart staan.
> 
> hm, en die pincode is hoe lang (of liever kort)? laat me raden 4 cijfers? 

4 of 6 cijfers, dit kan je kiezen bij het bestellen van je eID. En je
kan je PIN altijd gaan wijzigen op het gemeentehuis (zowel de code zelf als
de lengte).

> -> als je bij de private key hebt is dit zonder problemen te breken met 
> brute force.

Het volgende weet ik niet meer zeker, maar het lijkt mij logisch. Ik
dacht dat de kaart geblokkeerd werd na 3x de verkeerde PIN (systeem
bankkaart dus).
Brute force is dus geen optie.

> -> als ik op anderen moet betrouwen voor de generatie van m'n private key, 
> ben ik nooit zeker dat deze nergens anders bestaat, en kan ik dat ding dus 
> niet vertrouwen.

Dan blijf je je analoge handtekening gebruiken... En daar kan je ook
niet zeker van zijn dat deze nergens anders bestaat (in tegendeel). Je
analoge handtekening is private en public key tegelijk...

> als je een manuele handtekening aanvecht zal niemand af komen met 'is niet 
> te vervalsen' gaat met de eid dus wel gebeuren, terwijl dit mijns inziens 
> dus niet zeker is.

Hoe zeker ben je hier van, dat men de elektronische handtekening als
onvervalsbaar gaat zien? Zelfs al is ze onvervalsbaar, dan nog kan
iemand die je kaart even 'leent' (zonder dat je hiervan op de hoogte
bent) en je PIN code kent, dingen in jouw naam ondertekenen.
Ik denk dat mogelijke rechtszaken veel meer op dit vlak gaan
uitgevochten worden, dan op het vlak van "iemand heeft mijn private key
geraden".
En zo'n rechtszaken gaan er zeker komen, denk maar aan een mogelijk
scenario van een getrouwd koppel waarbij de beide partners elkaars PIN
kennen en gemakkelijk toegang hebben tot elkaars eID. Voeg hier een
nakende echtscheiding of zo aan toe... You get the picture.

> > > -> Als ik niet kan garanderen dat ik de enige ben die de private key
> > > heeft is het potentieel voor misbruik _veel_ te groot (en dat kan mijns
> > > inziens enkel als ik diegene ben die de private key aanmaak)
> >
> > Ik denk dat je redenering hier niet klopt... 
> aanname klopt mogelijk niet, de redenering echter wel (let op de _als_ :)

I stand corrected :)

Ik bedoelde eerder dat het volgens mij niet juist is om te
veronderstellen dat je zelf je private key moet aanmaken om te kunnen
garanderen dat dan niemand anders die kent.
Het is volgens mij even goed als je keypairs worden aangemaakt door een
extern device (de eID in dit geval) dat aan niemand toegang geeft tot je
private key.

> akkoord, maar ik ben momenteel helemaal niet overtuigd dat er gewaarborgt is
> dat niemand aan de private key kan komen voor deze op de kaart komt (of zit 
> die JVM-met programma ingebakken in _hardware_ (en dus niet firmware)?

Daar durf ik niets over zeggen :) Dat weet ik niet zeker. Het lijkt mij
wel logisch dat de software maar 1x naar de kaart kan geschreven worden
en daarna niet meer gewijzigd kan worden (met als gevolg dat je voor een
software-upgrade een nieuwe kaart moet gaan halen ipv je kaart te
flashen).

> > , is een kwestie van het auditen van het productieproces van de eID...
> nee, dat dwingt nog steeds het (onnodig) vertrouwen van een 3e partij af

Inderdaad... Maar er zijn genoeg dingen waar je voor op een 3e partij
vertrouwt: je bank (die zouden in theorie ook je rekening kunnen
plunderen zonder sporen na te laten), de politie (die zouden je een
strafblad kunnen bezorgen zonder dat je ooit een vlieg kwaad hebt
gedaan), ...
Wat natuurlijk niet betekent dat, omdat je voor andere dingen (geld,
reputatie) gedwongen wordt vertrouwen te hebben in een 3e partij, dit
ook zo moet zijn voor je privacy.

> _het_ grote verschil is hier dat iedereen weet dat de normale handtekening 
> te vervalsen is, en dat iedereen er van zal uitgaan dat dit voor de 
> digitale niet het geval is (en als dat goed wordt aangepakt is dit 
> normaliter ook zo). 

Hier maak je wel een erg grote veronderstelling... Zal iedereen er wel
van uit gaan dat een digitale handtekening niet te vervalsen is? En
zelfs al is dat zo, dan nog kan er op andere manieren misbruik gemaakt
worden (zie mijn echtscheidings-situatie hierboven).
Om hierover te oordelen, zijn er rechtbanken.

> Bovenstaande maakt de gevolgen van misbruik onneindig veel groter (beeld je 
> de situatie in de de film 'The net' in, zonder de happy ending), en als de 
> geschiedenis 1 ding overduidelijk maakt is het dat dit soort macht vroeg of 
> laat altijd misbruikt wordt (en de manier van besluitvorming op Europees 
> niveau maakt me hier de laatste tijd maar al te bewust van)

Ik denk dat je hier een groter sociaal probleem aankaart dan enkel een
praktisch probleem m.b.t. de eID.

Groeten,
Sven


-- 
Encrypted mail preferred. As of Jan 27th 2005, all outgoing mail is signed.
GPG keyID: 0x66A13305
GPG key fingerprint: 5B8C 97A2 20C4 E578 CDEB  71C9 23CA 0681 66A1 3305
GPG key URL: http://fenix.cmi.ua.ac.be/~p005742/gpg_pubkey.asc
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 198 bytes
Desc: not available
Url : http://openstandaarden.be/pipermail/openstandaarden/attachments/20050617/f18014a2/attachment-0003.pgp


More information about the Openstandaarden mailing list