[Openstandaarden] verslag meeting eID 2005-02-26 Brussel

Peter Strickx peter.strickx at gmail.com
Wed Mar 2 06:14:15 CET 2005


Bart,

Vandaag laat de API dit niet toe. Bij FEDICT zijn we ons zeker bewust
dat we sommige informatie op de kaart beter moeten beschermen maar we
willen ook de kaart niet zo sterk beveiligen dat ze 'onbruikbaar'
wordt (bvb soms willen we wel dat toepassingen de kaart gebruken om
voor-invulling van identiteitsinformatie te doen - bvb bij aanvragen
van attesten, opstellen van proces-verbaal, etc...) . De vraag wordt
dan "hoe kunnen we op een pragmatische manier toegang geven tot de
identiteitsgegevens aan 'goede' toepassingen ?"

Een md5 (of beter nog SHA-1 of SHA-256) hash heeft maar zin bij
verficatie van gegevens indien je de hash kan vergelijken.

Voor 'verificatie' doeleinden (bvb politie, bank etc..) moet je de
kaart lezen en kan je deze gegevens opslaan. Een mogelijke oplossing
hiervoor zou een 'public service certificaat' kunnen zijn dat enkel
aan de bevoegde openbare diensten toegang geeft tot de
identiteitsgegevens.

Toepassingen die de kaart willen gebruiken als 'sterke
authentificatie' kunnen dan nog altijd het
'authentificatiecertificaat' gebruiken en via challenge-response de
verificatie doen.

Ander probleem dat dan opduikt is de aanwezigheid van het
Rijksregisternummer in het certificaat. Hieruit kan persoonlijke
informatie worden afgeleid (geboortedatum, geslacht). Het zou
misschien beter zijn op termijn hier het rijksregisternummer te
vervangen door een hash zodat er geen persoonlijke informatie uit het
'unieke' nummer kan afgeleid worden. De 'echte' uitdaging bestaat erin
om bedrijven te verbieden informatie op te slaan op basis van dat
unieke nummer (en zo eventueel later informatie uit te wisselen rond
personen om 'profielen' aan te maken die kunnen gebrukt worden bij
verkoop/marketing).
Maar wat doe je dan met documenten die je ondertekend hebt met een
digitale handtekening ? Dan moet je het 'handtekening'-certificaat
opslaan (waarin zich hetzelfde unieke nummer bevindt).

De e-ID is nog geen perfecte oplossing maar ik betwijfel dat deze
vandaag bestaat en op dezelfde grote schaal is geimplementeerd. Laat
ons het gebruik stimuleren en terwijl kijken naar oplossingen om de
privacy nog te verbeteren zonder het gebruik te bemoeilijken.

Met vriendelijke groeten,

Peter Strickx



On Tue, 1 Mar 2005 12:03:37 +0100, cobaco (aka Bart Cornelis)
<cobaco at linux.be> wrote:
> On Tuesday 01 March 2005 11:19, Geert Hendrickx wrote:
> > On Tue, Mar 01, 2005 at 12:31:39AM +0100, cobaco (aka Bart Cornelis)
> wrote:
> > > bij de huidige identiteitskaart valt het op als die gegevens
> > > overgenomen worden (in tegenstelling tot gewoon controle van 'je bent
> > > inderdaad persoon X' of 'je bent inderdaad ouder/jonger dan X'), en dat
> > > laat je niet zomaar toe.
> > >
> > > Probleem met een eid waar iedeen zomaar alles vanaf kan halen is dat je
> > > die controle verliest. het verifieren en overnemen wordt 1
> > > niet-onderscheidbare stap,wat misbruik heel erg makkelijk maakt.
> >
> > Een mogelijke oplossing voor dit probleem zijn misschien checksums (bijvb
> > md5) van de gegevens?  Als het slechts gaat om verificatie van mijn
> > gegevens ("jij bent inderdaad persoon X"), moet mijn kaart alleen de hash
> > value van mijn naam, adres, ... vrijgeven.
> 
> klinkt als een oplossing, weet iemand of the eid dit toelaat?
> --
> Cheers, cobaco (aka Bart Cornelis)
> 
> 1. Encrypted mail preferred (GPG KeyID: 0x86624ABB)
> 2. Plain-text mail recommended since I move html and double
>     format mails to a low priority folder (they're mainly spam)
> 
> 
> _______________________________________________
> Openstandaarden mailing list
> Openstandaarden at openstandaarden.be
> http://www.openstandaarden.be/mailman/listinfo/openstandaarden
> 
> 
> 
>



More information about the Openstandaarden mailing list