[Openstandaarden] verslag meeting eID 2005-02-26 Brussel

Peter Vandenabeele peter.vandenabeele at mind.be
Sun Mar 6 21:23:28 CET 2005


On Sat, Mar 05, 2005 at 10:04:04AM +0100, Peter Strickx wrote:
...
> Ik ben het absoluut met je eens dat ik mijn kaart niet zou gebruiken
> bij een toepassing waar ik anders ook niet mijn identiteitsgegevens
> aan zou toevertrouwen.

Chat-rooms ?

Multi-user chat (op chat rooms dus, niet in 1-on-1 chat met op voorhand
bekende personen) is IMO voor volwassenen, en a fortiori voor kids, een 
van de toepassingen waar je in eerste instantie anonimiteit wenst te
gebruiken als bescherming van je privacy en soms zelfs van je fysische 
integriteit. Dat is de economische reden waarom volwassenen real money 
betalen aan two-way anonymous mailing op dating sites; om nadien geen 
stalking te krijgen van afgewezen contacten en niet bekend te worden
in zijn vriendenkring als ingeschreven op een dating site. Daar verdient 
bijv. Rendez-Vous goed geld aan (off-topic: het doet me toch plezier 
dat die mensen ook publiek de oproep tegen software patenten ondertekenen).

Ik kom toch telkens tot diezelfde conclusie dat chatrooms voor kids net 
_niet_ de applicatie is waar we eID als eerste grootschalig experiment 
willen voor gebruiken ? Het is niet omdat een groot Amerikaans bedrijf en 
een Vlaams minister dat willen, dat wij moeten volgen.

Ik blijf erbij dat het veel beter om als eerste applicatie een te kiezen 
waar volwassenen _wel_ op mogen en niet een applicatie waar ze _niet_ op 
mogen en waarbij de privacy van kids potentieel zwaar geschaad wordt ...

De toegevoegde waarde van de kaart (en die is er zeker !) en de juiste
applicaties zijn die waarbij je je volledige identiteit bewijst aan
een +/- trusted server. In dat geval kent de andere kant je identiteit, 
er is dus geen kans op diefstal van de ID gegevens (je hebt ze al
vrijwillig verstrekt), maar je moet ze wel nog bewijzen en dat is de 
echte toegevoegde waarde van de private key op de kaart.

Een trusted server die mijn kaart mag benaderen is IMHO alleen:
* een server van de overheid
* een server die ik met SSL over IP benader, omdat ik via dns en whois 
  wel weet wie dat IP adres beheert (als de lokale interface tussen
  de kaart en de IP verbinding veilig is ... zou de SSL link vanop de
  kaart zelf kunnen komen als de bandbreedte klein genoeg is ??)
* een server van een vriend, mijn werk, de dokter, de mutualiteit, ...
* elke server waarvan het helemaal geen kwaad kan dat men weet wie je
  bent met alle ID gegevens die zonder decryptie van je kaart zijn te
  lezen

In al die gevallen heb je nog de vraag hoe je op een betrouwbare manier
een PIN ingeeft. Kan die interface niet keyloggen ?

Een trusted server lijkt me helemaal niet:
* een toestel dat ID's checkt aan een discotheek
* een Windows computer die gewoon thuis staat bij mensen 
  
De analogie die ik zie is met het commando passwd:

  peter at vamos:~/speel$ passwd 
  Changing password for peter
  (current) UNIX password: 
  Enter new UNIX password: 
  Retype new UNIX password: 
 
Dit commando vraagt mijn paswoord in clear tekst ... schande ? Toch niet ... 
dit commando heeft dat nodig om te checken dat ik wel "peter" ben voor ik 
mijn nieuw paswoord ingeef. Dus in deze context is het wel toegelaten dat 
de applicatie het "paswoord" krijgt dat wordt ingetypt:

* ofwel ben ik echt "peter" ... die applicatie draait met mijn 
  toestemming en ik mag erop rekenen dat die juist is (behalve als iemand 
  een fake "passwd" heeft geinstalleerd of dit bijv. een shell is van
  een andere gebruiker die zijn PS1 op mijn username heeft ingesteld 
  of een keylogger ...)

* ofwel ben ik niet "peter" en dan zou ik wel heel dom zijn om mijn
  echte paswoord in een applicatie van peter in te tikken.

Terug naar eID: als ik aan een toepassing probeer te bewijzen dat ik
Peter Vandenabeele ben, dan is er ook geen probleem dat die applicatie
weet dat ik Peter Vandenabeele ben, het is net de info die ik wil bewijzen.

En als je dan echt de leeftijd wil bewijzen (zonder de rest van de info
vrij te geven), dan kan je beter andere kaartjes uitvinden, die door een 
(private) second level CA getekend worden en die alleen maar die info 
vrijgeven. Het bewijs is dan afhankelijk van de credibiliteit van die 
2nd level CA, maar dat is te regelen, ook in de private sector. En als
die private speler ook de chat applicatie uitbaat, en de regels van
privacy volgt, dan kan ze heel de applicatie redelijk goed afschermen
(en zelfs dan zou je de kids nog een aparte, geanonimiseerde kaart
kunnen geven die alleen de leeftijd en een nick "exposed").

> De huidige middleware voor de eID-kaartlezers verwittigt de gebruiker
> wel wanneer er identiteitsgegevens worden gelezen. Het is dus een
> software-oplossing (driver kaartlezer) en geen kaart-gebonden
> oplossing.

Die middleware is niet gesigneerd neem ik aan (ze moet zich niet
authenticeren t.o.v. de kaart) en ze wordt Open Source. In dat geval, 
wat weerhoudt een bad-guy ervan om een stuk Belgische Spyware te 
schrijven dat die gegevens er wel afhaalt, zonder de gebruiker te 
verwittigen ?

Het is me eigenlijk nog niet duidelijk welke info er juist van de
kaart is af te lezen zonder PIN en zonder een overheid te zijn. Ik zou 
graag een pointer krijgen naar een publieke spec waar dat staat 
gedocumenteerd (dank bij voorbaat).

> > > Ik ben ervan overtuigd dat we vandaag al een goede bescherming bieden
> > > (vooral via wetgeving) en dat we zeker de bescherming via de kaart
> > > zelf moeten verhogen.
> > er wettelijk voor zorgen (in Belgi?) dat zomaar gegevens over iemand
> > bijhouden niet mag is natuurlijk een goede zaak.  Er vanuit gaan dat zo'n
> > wettelijk verbod er ook voor zorgt dat niemand dat gaat doen is
> > ongelofelijk onrealistisch.

Virussen en Spyware zijn ook illegaal, maar wel een realiteit die we
toch niet kunnen vergeten.

> > > We zullen ongetwijfeld op nog (vandaag niet-gekende) problemen stuiten
> > > met kaart maar dit mag ons niet verlammen en een argument zijn om
> > > niets te doen.

Inderdaad. 

Maar het lijkt me in eerste instantie beter om te focussen op applicaties 
waarbij we wel het unieke voordeel van de kaart gebruiken om onze identiteit 
te bewijzen en ook waarbij we in eerste instantie met minder kwetsbare 
volwassenen werken, dan 12 jarige kids te gebruiken voor het eerste 
grootschalige experiment (sorry, maar ik kan er echt niet over).

Dit is in eerste instantie veel veiliger dan applicaties waarbij we proberen 
anoniem te blijven en toch de kaart te gebruiken om partiele info (bijv. 
leeftijd) te bewijzen en hopen dat de rest van de info niet misbruikt
zal worden. Zo'n gedeeltelijke applicatie zou wel kunnen, maar dan tegen 
een trusted server, en dat is een banale Windows PC thuis niet.

> > > Dankzij de kaart kunnen vandaag heel wat elektronische toepassingen op
> > > een kost-efficiente basis zorgen voor een "sterke authentificatie"
> > > waardoor de veiligheid aanzienlijk wordt verhoogd.

Inderdaad. Bijv. ter vervanging van Digipas die alleen maar voor Fortis
werkt en binnenkort nodig wordt om je Fortis VISA te kunnen gebruiken
... (probeer maar eens Kinepolis ticket te betalen met Credit Card als
klant van Fortis ... de 1e keer wordt het je nog vergeven, de volgende 
keer moet je een Digipass hebben zeggen ze, ik heb het niet een 2e keer
geprobeerd, ik ga wle zo betalen bij Kinepolis ...).

Peter



More information about the Openstandaarden mailing list