[Openstandaarden] [OT] e-id (nog eens)

[Wouter Verhelst]

On Fri, Jun 17, 2005 at 11:42:53AM +0200, cobaco (aka Bart Cornelis) wrote:
> 1) wanneer en door wie wordt de private sleutel aangemaakt? Doe je dat zelf 
> als burger, of wordt dit gedaan door de overheid?
> -> indien door de overheid heb je meteen het basis-principe van public-key 
> encryptie overboord gegooid, aangezien je dan onmogelijk kunt garanderen 
> dat de overheid (of de desbtreffende ambtenaar) daar een kopie van bijhoud. 

Het principe van een SmartCard is dat de kaart de private key genereert,
en die, door haar eigen programmatie, _ONDER GEEN ENKEL BEDING_
vrijgeeft. Dat is met de eID niet anders.

Wanneer er een signature gemaakt wordt, gaat de de host-CPU de hash
genereren van de data in kwestie, en die hash aan de SmartCard
aanbieden. De SmartCard berekent dan de sighash met behulp van de
private key die in zijn flash opgeslagen zit, en stuurt die sighash
terug.

De enige manier waarop je toch aan de private key zou kunnen komen is
door ofwel de key te berekenen door een brute force attack met behulp
van de public key (maar dat kan iedereen met genoeg tijd, genoeg CPU
power, en een kopie van de public key) of door de kaart open te snijden
en met de juiste tools de gegevens op de kaart rechtstreeks uit te
lezen, zonder de processor van de kaart te gebruiken (maar dan weet de
eigenaar van de kaart wél direct dat er iets mis is).

Met andere woorden: de ambtenaar _kan_ helemaal geen kopie bijhouden.

-- 
The amount of time between slipping on the peel and landing on the
pavement is precisely one bananosecond