[Openstandaarden] [OT] e-id (nog eens)

cobaco (aka Bart Cornelis) cobaco at linux.be
Tue Jun 21 12:45:42 CEST 2005


On Tuesday 21 June 2005 11:47, Wouter Verhelst wrote:
> On Tue, Jun 21, 2005 at 10:20:52AM +0200, cobaco (aka Bart Cornelis) 
wrote:
> > On Monday 20 June 2005 20:43, Wouter Verhelst wrote:
> > > On Mon, Jun 20, 2005 at 04:01:30PM +0200, cobaco (aka Bart Cornelis)
> Er is een fundamenteel verschil tussen het X.509 trust model en het PGP
> trust model, en het is niet verstandig om te proberen de twee te mixen.
>
> PGP werkt met het 'web of trust': ik weet dat jij bent wie je beweert
> dat je bent omdat ik jouw key gezien heb in combinatie met een
> identiteitsdocument dat door de overheid getekend is (of, indien dat
> niet het geval is, omdat ik de key van Alice en Bob getekend heb, die
> allebei jouw key ook getekend hebben).
>
> X.509 werkt met een 'trusted third party': een Certificate Authority
> wiens enige doel het controleren en verifiëren van certificaten is, en
> daar dan een handtekening onder zetten. Jij als gebruiker word
> verondersteld de procedures die gevolgd worden vooraleer een certificaat
> ondertekend wordt, na te lezen, en dan te bepalen of je de CA vertrouwd.
> Als dat het geval is, dan vertrouw je dat _alle_ certificaten die door
> die CA ondertekend zijn, informatie bevatten die correct is.
>
> Het PGP trust model werkt niet goed voor een overheid, om redenen die
> (hopelijk) geen uitleg vragen. Het X.509 trust model doet dat wel, en is
> ook het trust model dat voor de eID gebruikt wordt.

lijkt me dat X.509 een subset is van pgp trust model waarbij enkel CA's 
kunnen onderteken, als jij als persoon of organizatie extra waarde wil 
hechten aan bepaalde handtekeningen (zoals die van de overheid) is dat de 
keus van die persoon/organizatie. 

-> wat houd de overheid tegen om te zeggen keys die door ons (de CA) 
ondertekend zijn daar hechten we extra waarde aan (zijn wettelijk geldig). 
Dat is een instelling van de software die de overheid gebruikt op hun PC's. 
wat de trust-instellingen voor mij daar heeft de overheid a priori niks mee 
te maken.

> Een certificaat met een ondertekening van een andere key die helemaal
> geen Certificat Authority is, is in het X.509 trust model niet alleen
> overbodig, het is ook nog eens ongeldig.

er, je bedoelt hier denkelijk een key met _enkel_ een niet CA-ondertekening? 
of ook keys met zowel een CA als niet-CA ondertekening?

> > > Ik mag ook hopen dat die processen proberen ervoor te zorgen dat
> > > alleen officiële eID-kaarten gebruikt kunnen worden -- geen kaarten
> > > die eerst door Zetes of andere personen geprepareerd zijn.
> >
> > en waarom niet, zou ik nou net wel willen (en dan ook bv. openPGP keys)
>
> Uhm.
>
> Het zou inderdaad interessant zijn om eventueel extra data zoals een
> PGP-key op een kaart te kunnen zetten, maar ik hoop dat je het met me
> eens bent dat niet zomaar iedereen een aangepaste identiteitskaart mag
> kunnen aanmaken. Toch?

aangepaste identiteitskaart nee, zelfaangemaakte key met die 'legale' 
identiteit laten koppelen (door die door de overheid te laten 
ondertekenen), tuurlijk wel. 
dat de overheid bepaalde eisen stelt alvorens een key te ondertekenen is 
prima, maar ik zie geen enkele reden om dit niet toe te laten.

(of de mogelijkheid dan geboden wordt om die key op een eid te bewaren staat 
daar verder los van)

> > redenering gaat niet op:
> > - is beheer van mijn identiteit waar we het over hebben, gevolgen van
> > verkeerd beheer zijn voor mij,
>
> Identity theft is niet alleen voor jou een probleem. Indien iemand onder
> jouw naam een hoop dingen gaat stelen in een warenhuis, en de politie
> komt bij jou aankloppen, dan heb jij een proces aan je been -- maar door
> het feit dat jij er niks mee te maken hebt, is het warenhuis door dat
> proces ook niet geholpen.

als jij als werknemer bij een warenhuis de sleutel/jouw id-badge/... niet 
goed beheerd en er wordt daardoor iets gestolen hangen daar voor jouw ook 
gevolgen aan vast dit is niet anders

> > - als de overheid meer eisen wil stellen dan vertoon van officiele
> > identificatie
> Komaan zeg! De eID _is_ een document dat bedoeld is voor officiële
> identificatie. Snap je écht niet dat voor de uitreiking daarvan stricte
> regels moeten opgesteld worden? 

stricte regels alvorens een digitale sleutel door de overheid te laten 
ondertekenen is 1 ding
het beheer van genoemde digitale sleutel aan een 3e partij (de overheid, dus 
een bureacratische mastodont) uitbesteden is een compleet ander issue.

Er is niks in het door jezelf aanmaken van de digitale sleutels dat regels 
alvorens de overheid deze wil onderteken uitsluit! 
-- 
Cheers, cobaco (aka Bart Cornelis)
  
1. Encrypted mail preferred (GPG KeyID: 0x86624ABB)
2. Plain-text mail recommended since I move html and double
    format mails to a low priority folder (they're mainly spam)
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : http://openstandaarden.be/pipermail/openstandaarden/attachments/20050621/dec931af/attachment-0003.pgp


More information about the Openstandaarden mailing list