[Openstandaarden] [OT] e-id (nog eens)

cobaco (aka Bart Cornelis) cobaco at linux.be
Tue Jun 21 13:56:59 CEST 2005 

On Tuesday 21 June 2005 13:06, Wouter Verhelst wrote:
> On Tue, Jun 21, 2005 at 12:45:42PM +0200, cobaco (aka Bart Cornelis) 
wrote:
> > lijkt me dat X.509 een subset is van pgp trust model waarbij enkel CA's
> > kunnen onderteken,
> Neen. Ga alsjeblieft ergens wat documentatie lezen.
> De twee zijn compleet verschillend.

bij het een mogen alleen bepaalde entities (CA's) ondertekenen, bij het 
ander mag iedereen ondertekenen. 

eerste lijkt me duidelijk een subset van het 2e, waarbij je extra waarde 
(trust) hecht aan de mening van een bepaalde groep entities (of omgekeerd 
bekeken de mening van de meeste entities negeerd)

In wikipedia's Web_of_trust ingang vindt ik:
"Version 3 of X.509 includes enough flexibility to support an OpenPGP-like 
web of trust" 
Het enige verschil is dat bij X.509 standaard 1 CA-signature genoeg is om de 
sleutel te vertrouwen (of zo heb ik het tot nog toe begrepen), terwijl bij 
OpenPGP web-of-trust de vertrouwenswaarde afhankelijk is van jouw lokale 
instellingen (1 fully trusted, of 3 marginally trusted standaard voor gnupg 
als ik me goed herrinner)

> > -> wat houd de overheid tegen om te zeggen keys die door ons (de CA)
> > ondertekend zijn daar hechten we extra waarde aan (zijn wettelijk
> > geldig). Dat is een instelling van de software die de overheid gebruikt
> > op hun PC's. wat de trust-instellingen voor mij daar heeft de overheid
> > a priori niks mee te maken.
> >
> > > Een certificaat met een ondertekening van een andere key die helemaal
> > > geen Certificat Authority is, is in het X.509 trust model niet alleen
> > > overbodig, het is ook nog eens ongeldig.

?!? wat is daar in redenering achter:
een tweede entity die zegt "ja deze sleutel hoort bij die persoon" maakt 
diezelfde uitspraak van een eerdere enitity toch niet ongeldig?

> Alle niet-CA ondertekeningen zijn ongeldig. Of, meer precies: een
> certificate moet de correcte signing optie hebben om een ander
> certificate te kunnen signen. Standaard certificates (zoals de twee
> eerste certificates op een eID-kaart) hebben die signing optie niet; een
> certificate van een CA heeft die optie wel.
>
> Nogmaals, X.509 is _geen_ PGP.
ah, dus een CA is een entity wiens sleutel met de juiste opties gegenereert 
is (en wien's key ook door jouw vertrouwd wordt)

> > dat de overheid bepaalde eisen stelt alvorens een key te ondertekenen
> > is prima, maar ik zie geen enkele reden om dit niet toe te laten.
>
> Je bedoelt hopelijk toch niet het ondertekenen van een PGP-key met een
> X.509 CA?
nee, met een openPGP-key van de overheid

> > > > redenering gaat niet op:
> > > > - is beheer van mijn identiteit waar we het over hebben, gevolgen
> > > > van verkeerd beheer zijn voor mij,
> > > Identity theft is niet alleen voor jou een probleem. Indien iemand
> > > onder jouw naam een hoop dingen gaat stelen in een warenhuis, en de
> > > politie komt bij jou aankloppen, dan heb jij een proces aan je been
> > > -- maar door het feit dat jij er niks mee te maken hebt, is het
> > > warenhuis door dat proces ook niet geholpen.
> > als jij als werknemer bij een warenhuis de sleutel/jouw id-badge/...
> > niet goed beheerd en er wordt daardoor iets gestolen hangen daar voor
> > jouw ook gevolgen aan vast dit is niet anders
> Wie maakt de badges aan? Jij, of de beveiligingsfirma van het warenhuis?

om de vergelijking te doen opgaan hebben we het niet over het aanmaken, maar 
het instellen van badges, en dat doet (normaliter) het warenhuis, 
Equivalent daarvan wordt het toewijzen van vertrouwen sleutel, en rechten 
aan die vertrouwde sleutel, ook dit doet het warenhuis
(vindt het warenhuis "ondertekend door de overheid-sleutel" voldoende prima, 
zoniet houd niets hen tegen om jouw sleutel met hun sleutel te ondertekenen 
mits bepaalde eisen voldaan zijn)
-- 
Cheers, cobaco (aka Bart Cornelis)
  
1. Encrypted mail preferred (GPG KeyID: 0x86624ABB)
2. Plain-text mail recommended since I move html and double
    format mails to a low priority folder (they're mainly spam)
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : http://openstandaarden.be/pipermail/openstandaarden/attachments/20050621/9ee805bc/attachment-0003.pgp

More information about the Openstandaarden mailing list