[Openstandaarden] verslag meeting eID 2005-02-26 Brussel

JanC janc+openstandaarden at lugwv.be
Mon Feb 28 22:28:53 CET 2005 

cobaco (aka Bart Cornelis) wrote:

>> Wil je liever: dat ze je PIN kunnen sniffen en achter je rug een
>> document in jouw naam ondertekenen?

> Dat is geen reëel probleem: zolang ze de private key niet hebben, heb je aan 
> het onderscheppen van de pin niks, en kunnen ze dus ook niks ondertekenen 
> achter je rug. 
> Ik mag (hopelijk) wel aannemen dat ze die niet zomaar van de kaart af kunnen 
> halen?

Het signeren gebeurt op de kaart zelf vziw, en die kaart doet dat pas 
als het die PIN krijgt.

Wil je werkelijk op elke plaats waar ze je naam en adres nodig hebben 
die PIN ingeven?  Het intikken van die PIN gebeurt dan namelijk bijna 
per definitie op een toestel dat niet jouw eigendom is, en dat je dus 
niet kan controleren.

> Als je persoonsgegevens (waaronder ongetwijfeld je rijksregisternummer) 
> zomaar van die kaart af te halen zijn door iedereen die een reden heeft om 
> je identiteit te controleren, en dus ook door een willekeurige site op het 
> web. Dan is dit voor mij in elk geval reden genoeg om dat ding niet te 
> gebruiken. 

Websites & mail clients zullen de 'security device' plugin o.i.d. voor 
je programma gebruiken.  Als je de source daarvan kan bekijken, kan je 
ook controleren welke info die eventueel doorgeeft.

> Kan me nieuws-items (van een jaar of wat terug) herinneren van ergens in 
> Amerika waar ze zo'n elektronische kaart ingevoerd hadden (als rijbewijs 
> meen ik me te herinneren). Deze werd (vanzelfsprekend) al snel gebruikt 
> door bars, en nachtclubs om de ouderdom van klanten te controleren 
> (machinaal). Tot er een paar maand later een reporter naar buiten kwam met 
> het feit dat de nachtclubs ondertussen ook al de persoonsgegevens op die 
> kaart eraf gingen halen zonder dat je van iets wist, en die dan vervolgens 
> voor o.a. marketing en profiling doeleinden gingen misbruiken.

Geboortedatum en ander persoonsgegevens staan gewoon bij elkaar op die 
kaart, dus daar kan je je sowieso niet tegen beschermen (zelfs niet als 
dat beveiligd zou zijn met een PIN).  Tenzij door gewoon niet naar bars 
en nachtclubs te gaan die dit gebruiken, uiteraard.


-- 
JanC

More information about the Openstandaarden mailing list