[Openstandaarden] [OT] e-id (nog eens)
Wouter Verhelst
wouter at grep.be
Tue Jun 21 11:31:52 CEST 2005
On Tue, Jun 21, 2005 at 11:13:05AM +0200, Peter Vandenabeele wrote:
> On Mon, Jun 20, 2005 at 08:32:47PM +0200, Wouter Verhelst wrote:
> > On Mon, Jun 20, 2005 at 04:02:45PM +0200, Peter Vandenabeele wrote:
> > > Inderdaad, hier was ik fout.
> > >
> > > Is mijn zin dan correct als ik ze zo stel:
> > >
> > > "Het probleem dat ik zie is niet het tekenen met de _geheime_ sleutel
> > > (als de implementatie correct is, blijft die ook geheim in de kaart),
> > > maar dat het aanbieden van de kaart aan een applicatie ineens _alle_
> > > informatie vrijgeeft, zonder dat de gebruiker kan verifieren welke
> > > informatie de applicatie van de kaart leest en welke niet."
> >
> > Ook dat is niet correct.
> >
> > De offici?le eid-library zal standaard vragen of een applicatie iets mag
> > inlezen. De in te lezen zaken zijn opgedeeld in:
> > * "Identity data"
> > * "Address data"
> > * "Picture data"
> >
> > Voor elke groep gegevens moet een gebruiker confirmeren. Er zijn vier
> > buttons: "Yes", "No", "Always", en "Always to All". De "Yes" button is
> > default, en het verschil tussen "Always" en "Always to All" is dat de
> > eerste de aanroepende applicatie altijd toestemming geeft voor die groep
> > gegevens, terwijl de tweede alle applicaties altijd toestemming geeft
> > voor die groep gegevens.
> >
> > Uiteraard beschermt dat niet voor applicaties die de eID-kaart
> > rechtstreeks aanlezen, maar da's een ander verhaal.
>
> Wat ik bedoelde was de case van de "malicious" applicatie die:
>
> * zonder gebruik van de officiele library
> * zonder toestemming van de eigenaar
> * in strijd met de privacy-wet
>
> al die data eraf haalt en er ongeoorloofd gebruik van maakt.
Da's inderdaad een probleem.
> Op een standaard PC is het niet zo onrealistisch dat dit soort Spyware
> aanwezig is.
ACK.
[...]
> Als ik het goed begrijp, heeft de kaart geen defense tegen een
> dergelijke malicious applicatie (de kaart checkt niet als de applicatie
> gecertifieerd is;
De kaart kan zoiets waarschijnlijk niet controleren zonder een hoop
extra intelligentie waarvoor op die kaart domweg geen plaats is...
[...]
--
The amount of time between slipping on the peel and landing on the
pavement is precisely one bananosecond
More information about the Openstandaarden
mailing list