[Openstandaarden] [OT] e-id (nog eens)
Peter Strickx
peter.strickx at gmail.com
Fri Jun 17 15:54:35 CEST 2005
Bart,
Er is in Belgie gekozen om het Rijksregisternummer te kiezen om personen mee
te identificeren. Zo'n uniek nummer biedt veel meer voordelen dan nadelen.
We hebben trouwens de verschillende nummers om een bedrijf te
identificeren (BTW, HR etc...) ook vervangen door een enkel nummer
(KBOnummer) omdat het bedrijf anders (afhankelijk van
de overheidsdienst) altijd een ander nummer moest gebruiken in zijn communicatie
met de overheid.
We kunnen misschien een kaartje uitgeven met hierop 14 verschillende
nummers (14 federale overheidsdiensten) en later ook nog een
Vlaams/Brussels/Waals equivalent ?
Volgens mij dus niet zo ongelooflijk stom (ben je tegen het unieke
nummer of tegen
het feit dat dit nummer al informatie over de persoon (geb.
datum+geslacht) bevat ?).
Het certificaat moet een uniek nummer bevatten dat onmiskenbaar aan
een enkele persoon
kan gelinkt worden (richtlijn Europa). Dit nummer kan door iedereen
gebruikt worden als
unieke sleutel voor de persoon. Dus op vrij korte termijn heb je het
equivalent van het
Rijksregisternummer. Waarom het voor iedereen moeilijk maken als het
gemakkelijk ook
kan (wat natuurlijk niet wil zeggen dat we de privacy zomaar willen opgeven) ?
Dat de identiteitsgegevens op de kaart niet beter beschermd worden is zeker voor
verbetering vatbaar en daar (met verbeteringen aan de kaart/software
etc..) zijn we
volop mee bezig.
De generatie van het sleutelpaar wordt tijdens de personalisatie-fase
van de kaart gedaan door de kaartproducent. Dit proces wordt zowel
technisch als procedurieel geaudit (anders kan er geen gekwalificeerd
certificaat worden afgeleverd) en via dit proces is het technisch
onmogelijk om de prive-sleutel van de kaart te halen. De sleutels
worden aangemaakt door
de chip op de kaart.
We denken eraan om op termijn ook een encryptiecertificaat op de kaart
te zetten. Hiervan MOETEN we een backup hebben omdat bij verlies of
diefstal van de kaart het originele certificaat nodig is om
ge-encrypteerde data terug te kunnen decrypteren. Ook dit zal aan een
streng gereglementeerd proces onderworpen zijn.
Met vriendelijke groeten,
Peter Strickx
On 6/17/05, cobaco (aka Bart Cornelis) <cobaco at linux.be> wrote:
> On Thursday 16 June 2005 20:31, Stef Hoeben wrote:
> > Peter Vandenabeele wrote:
> > >On Wed, Jun 15, 2005 at 08:11:34PM +0200, Kristoff Bonne wrote:
> > Eventjes de aandacht vestigen op
> > http://www.esat.kuleuven.ac.be/~decockd/wiki/bin/view.cgi/Eid/EidForumTOC
> >
> > De forum eigenaar, open souce en Linux guru en een van de meest
> > paranoide mensen
> > tussen Middelkerke en Maaseik, heeft voor Cosic (crypto groep van de
> > KULeuven)
> > consultancy gedaan over de veiligheid van de eID kaart, in opdracht van
> > de overheid.
> > Ook de rest van de site bevat interessante info, vooral zijn technical
> > overview PDf (van
> > 9 MB) en de andere presentaties.
>
> bah, de cryptografische compentent is best in orde technisch gezien de fout
> zit hem in het feit dat :
> 1) elke handtekening het rijksregisternummer bevat (ongeloofelijk stom)
> 2) alle aan de elektronische identiteit gekoppelde gegevens compleet
> onbeschermd op de kaart staan (uh)
>
> daarnaast heb ik nog volgende vraag betreffende het aanmaken van de sleutels
> op de kaart:
> 1) wanneer en door wie wordt de private sleutel aangemaakt? Doe je dat zelf
> als burger, of wordt dit gedaan door de overheid?
> -> indien door de overheid heb je meteen het basis-principe van public-key
> encryptie overboord gegooid, aangezien je dan onmogelijk kunt garanderen
> dat de overheid (of de desbtreffende ambtenaar) daar een kopie van bijhoud.
> Wat reden genoeg is om dat ding niet te gebruiken.
> --
> Cheers, cobaco (aka Bart Cornelis)
>
> 1. Encrypted mail preferred (GPG KeyID: 0x86624ABB)
> 2. Plain-text mail recommended since I move html and double
> format mails to a low priority folder (they're mainly spam)
>
>
> _______________________________________________
> Openstandaarden mailing list
> Openstandaarden at openstandaarden.be
> http://www.openstandaarden.be/mailman/listinfo/openstandaarden
>
>
>
>
More information about the Openstandaarden
mailing list