[Openstandaarden] [OT] e-id (nog eens)

Peter Strickx peter.strickx at gmail.com
Fri Jun 17 01:13:25 CEST 2005 

Beste Kristoff,

Mijn excuses voor dit late antwoord.

>  Zijn de volgende (nog) feiten juist?
>  1/ Er is geen PIN-code nodig voor het raadplegen van de persoongegevens op
> de kaart. Dus ... steek de kaart in je PC en elk programma (dus ook
> eventuele spyware) kan onmiddelijk alle informatie uit de kaart halen.

Juist. Persoonlijk gebruik ik mijn kaart alleen bij toepassingen die
ik vertrouw.  Ik toon mijn
'gewone' identiteitskaart ook niet aan eender wie.

>  2/ ALLE persoonsgegevens zijn onbeperkt leesbaar op de kaart. Dus, ook al
> zegt een chat-client "steek uw e-id in de computer om uw leeftijd te
> controleren"; dan is er niets die de computer tegenhoudt om de andere
> gegevens op de kaart ook te gaan lezen.
>  
>  (Hangt eigenlijk samen met onderdeel 1 hierboven).

Correct. Net zoals je vandaag ook niet weet wat zo'n programma aan
cookies en dergelijke
achterlaat op je PC.
>  
>  Als ik op de website van de overheid kijk, dan zie ik daar het volgende
> staan: 
> (http://eid.belgium.be/nl/navigation/documents/37074.html):
>  "De raadpleging van de identificatiegegevens op de elektronische
> identiteitskaart mag enkel gebeuren mits uitdrukkelijke toelating van de
> burger, behalve bij wettelijke of reglementaire verplichting. " 
>  
>  Dan lijkt me dit dan toch wel heel raar. Indien de informatie direct en
> onbeperkt leesbaar zijn; dan is er m.i. toch niet echt meer sprake van
> "uitdrukkelijk toelating van de burger". (of heb ik het mis).

De uitdrukkelijke toestemming moet gevraagd worden en de burger stemt
toe door zijn
kaart in de kaartlezer te steken. Doe je dat niet dan geef je geen
toestemming, veel uitdrukkelijker dan dat kan het niet worden.
>  
>  3/ Inzake de PIN-code is men enkel veilig van "keyboard sniffing" indien
> men een kaartlezen heeft die een eigen toetsenbord heeft; maar de enige
> algemeen beschikbare lezer aan een "redelijke" (OK, 30 euro) prijs heeft die
> niet.
>  (Of zijn er andere goedkope kaartlezers beschikbaar? die wel over een eigen
> toetsenbord beschikken).
>  
Juist. Deze zgn. 'secure-pin pad' lezers zijn stukken duurder. Je kan
trouwens de PIN-code
enkel gebruiken in combinatie met de kaart. Dus een 'sniffer' moet er
niet alleen in slagen om
je PIN-code uit alle keyboard-verkeer te filteren maar moet dan ook
een link leggen met je identiteit en erin slagen om je kaart te
bemachtigen. Zodra de eigenaar van de kaart zijn kaart
laat blokkeren kan de dief deze niet langer gebruiken voor
elektronische toepassingen (los van het feit of hij/zij de PIN-code
van de kaart heeft).
>  4/ Er  bestaat een mogelijkheid om de certificaten in de e-id te gebruiken
> in een mail-programma (o.a thunderbird) zoals nu het geval is met de
> "thawte" certificaten.

Juist. Hoewel er nog problemen zijn om het juiste certificaat te
gebruiken (digitale handtekening ipv. authenticatiecertificaat). Heel
wat software uit de US maakt geen onderscheid tussen die twee
certificaten en gebruikt het authenticatiecertificaat om digitaal te
ondertekenen.

>  Echter, uit de documentatie die ik kan vinden op het internet blijkt dat de
> certificaten als "subject" niet enkel je naam en voornaam bevatten maar ook
> nog een extra "serial-nummer.. Alleen blijkt dat dat "serie-nummer" in de
> documentatie wel heel erg veel op een rijksregisternummer lijkt. Kan iemand
> die ondertussen al een e-id kaart heeft dit bevestigen?

Juist.

>  Want dat zou willen zeggen dat -als je die certificaten zou gebruiken om te
> ondertekenen- dat je dan automatisch ook je geboortedatum en geslacht
> meeheeft. (want die zit in het leesbaar deel van je certificaat).

Juist.

>  Ik snap dit niet. Dat men ergens een identificatie-nummer nodig heeft om
> mensen met dezelfde naam uit-elkaar te kunnen houden lijkt me normaal; maar
> waarom verdikke je RRN. Men kon daar toch gewoon een niets-zeggen
> willekeurig getal genomen hebben?
>  Wie is er op *dit* idee gekomen? Dit lijkt mij toch compleet idioot?

Niet zo idioot. Een Europese richtlijn voor certificaten eist een
eenduidige identificatie van de drager van het certificaat. We hadden
natuurlijk een ander (lees betekenisloos) nummer kunnen nemen maar dan
nog zou er een link moeten opgeslagen worden tussen dat nummer en het
rijksregisternummer. Elke toepassing die vandaag het
rijksregisternummer gebruikt als sleutel zou dan een 'vertaalservice'
moeten oproepen om dit nieuwe nummer aan het rijksregisternummer te
koppelen. Lijkt me nogal 'zwaar' om je leeftijd en geslacht te
beschermen.
Heel wat overheden in Europa benijden ons de eID en het
Rijksregisternummer. Met de Commissie voor de Bescherming van de
Persoonlijke Levenssfeer is er ook een orgaan dat toeziet op het
gebruik van persoonsgegevens door de administratie. Heb je die
garantie ook bij je bank of kredietkaartverstrekker ?
Het beschermen van je privacy is heel belangrijk voor de overheid maar
ook het beveiligen van internet-transacties verdient de nodige
aandacht. De eID is een uitstekende manier om een sterke authenticatie
voor elektronische transacties mogelijk te maken.

Ik ben sterk geinteresseerd in een mogelijk alternatief voor de eID
(liefst met alle voordelen zonder de nadelen ;-). Bij Fedict werken we
ondertussen (samen met Zetes en het Rijksregister) aan geleidelijke
verbeteringen van de kaart.

Met vriendelijke groeten,

Peter Strickx


>  En dan verder nog 2 andere vraagjes:
>  - ben je als je nog een geldig "kartonnen" identiteitskaart hebt (de mijne
> loopt tot 2006), ben je dan verplicht om je e-id te gaan ophalen als je dat
> niet wil? (vanwege de privacy-problemen hiermee)?

Neen.
>  - Op de website van het rijksregister heb ik een interessant document
> gevonden: 
>  Zie
> http://www.rijksregister.fgov.be/eik/algemene_onderrichting_eik/cdoku-aoeik.htm
>  Bijlage   3 : formulier om af te zien van het gebruik van de certificaten
> van de elektronische identiteitskaart
>  
>  Indien ik tot de conclusie kom dat mijn privacy niet gewaarborgd wordt; dan
> zou ik zeker van deze procedure willen gebruik maken. Heeft iemand dit al
> gedaan.
>  
>  het zou inderessant zijn moest er ook de mogelijkheid bestaan om heel het
> electronisch onderdeel van de kaart te desactiveren. (dus ook het deel voor
> de persoonsgegevens). Feit is natuurlijk dat er bepaalde gegevens zijn die
> niet op de "buitenkant" van de kaart aangebracht zijn..

Door gebruik te maken van bovenstaande procedure zullen je certificaten worden
'ge-revoked' (ingetrokken) en zullen ze dus niet langer bruikbaar zijn.

>  
>  
>  NB. Weet iemand het email-adres van die persoon (staats-secretaris of zo)
> die verantwoordelijk is voor de e-id? Ik heb vandaag een vraag gestuurd naar
> de helpdesk van de dienst van het RR; maar ik wil desnoods weten wat ik moet
> doen als ik daar geen antwoord krijg.


On 6/15/05, Kristoff Bonne <kristoff.bonne at compaqnet.be> wrote:
>  Gegroet,
>  
>  
>  Het spijt me om even een redelijk "off topic" bericht te schrijven in dit
> forum, maar ik zou eens een klein vervolg willen schrijven op de discussie
> over de "e-id" kaart die hier in maart in de ML gevoerd is.
>  Indien iemand weet wat een beter forum is voor dit onderwerp, gelieve van
> het te laten weten.
>  
>  
>  Het is dat ik een 2-tal weken geleden de vraag gekregen heb om mijn
> "kartonen" identiteitskaart in-te-gaan wisselen voor een e-id kaart; dan ik
> de zaak nog eens goed beginnen bekijken heb.
>  
>  Zijn de volgende (nog) feiten juist?
>  1/ Er is geen PIN-code nodig voor het raadplegen van de persoongegevens op
> de kaart. Dus ... steek de kaart in je PC en elk programma (dus ook
> eventuele spyware) kan onmiddelijk alle informatie uit de kaart halen.
>  
>  2/ ALLE persoonsgegevens zijn onbeperkt leesbaar op de kaart. Dus, ook al
> zegt een chat-client "steek uw e-id in de computer om uw leeftijd te
> controleren"; dan is er niets die de computer tegenhoudt om de andere
> gegevens op de kaart ook te gaan lezen.
>  
>  (Hangt eigenlijk samen met onderdeel 1 hierboven).
>  
>  Als ik op de website van de overheid kijk, dan zie ik daar het volgende
> staan: 
> (http://eid.belgium.be/nl/navigation/documents/37074.html):
>  "De raadpleging van de identificatiegegevens op de elektronische
> identiteitskaart mag enkel gebeuren mits uitdrukkelijke toelating van de
> burger, behalve bij wettelijke of reglementaire verplichting. " 
>  
>  Dan lijkt me dit dan toch wel heel raar. Indien de informatie direct en
> onbeperkt leesbaar zijn; dan is er m.i. toch niet echt meer sprake van
> "uitdrukkelijk toelating van de burger". (of heb ik het mis).
>  
>  
>  3/ Inzake de PIN-code is men enkel veilig van "keyboard sniffing" indien
> men een kaartlezen heeft die een eigen toetsenbord heeft; maar de enige
> algemeen beschikbare lezer aan een "redelijke" (OK, 30 euro) prijs heeft die
> niet.
>  (Of zijn er andere goedkope kaartlezers beschikbaar? die wel over een eigen
> toetsenbord beschikken).
>  
>  
>  4/ Er  bestaat een mogelijkheid om de certificaten in de e-id te gebruiken
> in een mail-programma (o.a thunderbird) zoals nu het geval is met de
> "thawte" certificaten.
>  
>  Echter, uit de documentatie die ik kan vinden op het internet blijkt dat de
> certificaten als "subject" niet enkel je naam en voornaam bevatten maar ook
> nog een extra "serial-nummer.. Alleen blijkt dat dat "serie-nummer" in de
> documentatie wel heel erg veel op een rijksregisternummer lijkt. Kan iemand
> die ondertussen al een e-id kaart heeft dit bevestigen?
>  
>  Want dat zou willen zeggen dat -als je die certificaten zou gebruiken om te
> ondertekenen- dat je dan automatisch ook je geboortedatum en geslacht
> meeheeft. (want die zit in het leesbaar deel van je certificaat).
>  
>  Ik snap dit niet. Dat men ergens een identificatie-nummer nodig heeft om
> mensen met dezelfde naam uit-elkaar te kunnen houden lijkt me normaal; maar
> waarom verdikke je RRN. Men kon daar toch gewoon een niets-zeggen
> willekeurig getal genomen hebben?
>  Wie is er op *dit* idee gekomen? Dit lijkt mij toch compleet idioot?
>  
>  
>  
>  En dan verder nog 2 andere vraagjes:
>  - ben je als je nog een geldig "kartonnen" identiteitskaart hebt (de mijne
> loopt tot 2006), ben je dan verplicht om je e-id te gaan ophalen als je dat
> niet wil? (vanwege de privacy-problemen hiermee)?
>  - Op de website van het rijksregister heb ik een interessant document
> gevonden: 
>  Zie
> http://www.rijksregister.fgov.be/eik/algemene_onderrichting_eik/cdoku-aoeik.htm
>  Bijlage   3 : formulier om af te zien van het gebruik van de certificaten
> van de elektronische identiteitskaart
>  
>  Indien ik tot de conclusie kom dat mijn privacy niet gewaarborgd wordt; dan
> zou ik zeker van deze procedure willen gebruik maken. Heeft iemand dit al
> gedaan.
>  
>  het zou inderessant zijn moest er ook de mogelijkheid bestaan om heel het
> electronisch onderdeel van de kaart te desactiveren. (dus ook het deel voor
> de persoonsgegevens). Feit is natuurlijk dat er bepaalde gegevens zijn die
> niet op de "buitenkant" van de kaart aangebracht zijn..
>  
>  
>  NB. Weet iemand het email-adres van die persoon (staats-secretaris of zo)
> die verantwoordelijk is voor de e-id? Ik heb vandaag een vraag gestuurd naar
> de helpdesk van de dienst van het RR; maar ik wil desnoods weten wat ik moet
> doen als ik daar geen antwoord krijg.
>  
>  
>  
>  Cheerio! Kr. Bonne.
>  
> _______________________________________________
> Openstandaarden mailing list
> Openstandaarden at openstandaarden.be
> http://www.openstandaarden.be/mailman/listinfo/openstandaarden
> 
> 
> 
>

More information about the Openstandaarden mailing list