[Openstandaarden] [OT] e-id (nog eens)

[Wouter Verhelst]

On Tue, Jun 21, 2005 at 12:45:42PM +0200, cobaco (aka Bart Cornelis) wrote:
> lijkt me dat X.509 een subset is van pgp trust model waarbij enkel CA's 
> kunnen onderteken,

Neen. Ga alsjeblieft ergens wat documentatie lezen.

De twee zijn compleet verschillend.

> als jij als persoon of organizatie extra waarde wil hechten aan
> bepaalde handtekeningen (zoals die van de overheid) is dat de keus van
> die persoon/organizatie. 

Uiteraard. Vandaar dat je ook kunt kiezen om bepaalde CA's wel te
vertrouwen, en andere niet.

Maar meer granulatie dan dat kan in het X.509 trust model niet.

(Uiteraard kan je wel je access policy zo opzetten dat alleen die en die
personen kunnen aanloggen, maar da's een ander verhaal; de claim 'geloof
je of die persoon is wie hij beweert dat hij is' kan je alleen hard
maken door de juiste CA -- die van de overheid -- te vertrouwen.)

> -> wat houd de overheid tegen om te zeggen keys die door ons (de CA) 
> ondertekend zijn daar hechten we extra waarde aan (zijn wettelijk geldig). 
> Dat is een instelling van de software die de overheid gebruikt op hun PC's. 
> wat de trust-instellingen voor mij daar heeft de overheid a priori niks mee 
> te maken.
> 
> > Een certificaat met een ondertekening van een andere key die helemaal
> > geen Certificat Authority is, is in het X.509 trust model niet alleen
> > overbodig, het is ook nog eens ongeldig.
> 
> er, je bedoelt hier denkelijk een key met _enkel_ een niet CA-ondertekening? 

Neen.

> of ook keys met zowel een CA als niet-CA ondertekening?

Ja. Alle niet-CA ondertekeningen zijn ongeldig. Of, meer precies: een
certificate moet de correcte signing optie hebben om een ander
certificate te kunnen signen. Standaard certificates (zoals de twee
eerste certificates op een eID-kaart) hebben die signing optie niet; een
certificate van een CA heeft die optie wel.

Nogmaals, X.509 is _geen_ PGP.

> > > > Ik mag ook hopen dat die processen proberen ervoor te zorgen dat
> > > > alleen officiële eID-kaarten gebruikt kunnen worden -- geen kaarten
> > > > die eerst door Zetes of andere personen geprepareerd zijn.
> > >
> > > en waarom niet, zou ik nou net wel willen (en dan ook bv. openPGP keys)
> >
> > Uhm.
> >
> > Het zou inderdaad interessant zijn om eventueel extra data zoals een
> > PGP-key op een kaart te kunnen zetten, maar ik hoop dat je het met me
> > eens bent dat niet zomaar iedereen een aangepaste identiteitskaart mag
> > kunnen aanmaken. Toch?
> 
> aangepaste identiteitskaart nee, zelfaangemaakte key met die 'legale' 
> identiteit laten koppelen (door die door de overheid te laten 
> ondertekenen), tuurlijk wel. 

Dat valt dus onder 'extra data'.

> dat de overheid bepaalde eisen stelt alvorens een key te ondertekenen is 
> prima, maar ik zie geen enkele reden om dit niet toe te laten.

Je bedoelt hopelijk toch niet het ondertekenen van een PGP-key met een
X.509 CA?

> > > redenering gaat niet op:
> > > - is beheer van mijn identiteit waar we het over hebben, gevolgen van
> > > verkeerd beheer zijn voor mij,
> >
> > Identity theft is niet alleen voor jou een probleem. Indien iemand onder
> > jouw naam een hoop dingen gaat stelen in een warenhuis, en de politie
> > komt bij jou aankloppen, dan heb jij een proces aan je been -- maar door
> > het feit dat jij er niks mee te maken hebt, is het warenhuis door dat
> > proces ook niet geholpen.
> 
> als jij als werknemer bij een warenhuis de sleutel/jouw id-badge/... niet 
> goed beheerd en er wordt daardoor iets gestolen hangen daar voor jouw ook 
> gevolgen aan vast dit is niet anders

Wie maakt de badges aan? Jij, of de beveiligingsfirma van het warenhuis?

-- 
The amount of time between slipping on the peel and landing on the
pavement is precisely one bananosecond