[Openstandaarden] [OT] e-id (nog eens)

Wouter Verhelst wouter at grep.be
Tue Jun 21 11:31:52 CEST 2005 

On Tue, Jun 21, 2005 at 11:13:05AM +0200, Peter Vandenabeele wrote:
> On Mon, Jun 20, 2005 at 08:32:47PM +0200, Wouter Verhelst wrote:
> > On Mon, Jun 20, 2005 at 04:02:45PM +0200, Peter Vandenabeele wrote:
> > > Inderdaad, hier was ik fout.
> > > 
> > > Is mijn zin dan correct als ik ze zo stel:
> > > 
> > > "Het probleem dat ik zie is niet het tekenen met de _geheime_ sleutel
> > >  (als de implementatie correct is, blijft die ook geheim in de kaart), 
> > >  maar dat het aanbieden van de kaart aan een applicatie ineens _alle_ 
> > >  informatie vrijgeeft, zonder dat de gebruiker kan verifieren welke
> > >  informatie de applicatie van de kaart leest en welke niet."
> > 
> > Ook dat is niet correct.
> > 
> > De offici?le eid-library zal standaard vragen of een applicatie iets mag
> > inlezen. De in te lezen zaken zijn opgedeeld in:
> > * "Identity data"
> > * "Address data"
> > * "Picture data"
> > 
> > Voor elke groep gegevens moet een gebruiker confirmeren. Er zijn vier
> > buttons: "Yes", "No", "Always", en "Always to All". De "Yes" button is
> > default, en het verschil tussen "Always" en "Always to All" is dat de
> > eerste de aanroepende applicatie altijd toestemming geeft voor die groep
> > gegevens, terwijl de tweede alle applicaties altijd toestemming geeft
> > voor die groep gegevens.
> > 
> > Uiteraard beschermt dat niet voor applicaties die de eID-kaart
> > rechtstreeks aanlezen, maar da's een ander verhaal.
> 
> Wat ik bedoelde was de case van de "malicious" applicatie die:
> 
> * zonder gebruik van de officiele library
> * zonder toestemming van de eigenaar
> * in strijd met de privacy-wet
> 
> al die data eraf haalt en er ongeoorloofd gebruik van maakt.

Da's inderdaad een probleem.

> Op een standaard PC is het niet zo onrealistisch dat dit soort Spyware
> aanwezig is.

ACK.

[...]
> Als ik het goed begrijp, heeft de kaart geen defense tegen een
> dergelijke malicious applicatie (de kaart checkt niet als de applicatie
> gecertifieerd is; 

De kaart kan zoiets waarschijnlijk niet controleren zonder een hoop
extra intelligentie waarvoor op die kaart domweg geen plaats is...

[...]

-- 
The amount of time between slipping on the peel and landing on the
pavement is precisely one bananosecond

More information about the Openstandaarden mailing list