[Openstandaarden] verslag meeting eID 2005-02-26 Brussel

[Peter Strickx]

Bart,

Neen, het was niet mijn bedoeling om dit off-list te nemen. Gewoon een
reply gedaan en die gaat meestal naar openstandaarden.be.

Je hebt gelijk dat mijn vergelijking met de wagen nogal mank loopt. Ik
wou hiermee enkel aangeven dat sommige systemen wettelijk ipv.
technisch geregeld worden. Als we de straffen streng genoeg maken in
combinatie met een grote "pakkans" zou dit toch misbruik moeten
afschrikken ? Dit wordt bijna een "verkeersboete" discussie ;-)

Je moet als burger de keuze blijven hebben: vertrouw ik diegene die
mijn kaart vraagt of niet ?
Nogal wat burgers geven vandaag ook hun identiteitsgegevens aan
firma's (misschien niet direct ALLE identiteitsgegevens maar toch
minstens naam, voornaam en adres (soms nog telnr.)) zonder dat daar
"misbruik" wordt van gemaakt. De kaart kan in dergelijke gevallen
helpen om snel de juiste gegevens te geven.
Dat mijn bank de kaart wil gebruiken als "sterke authentificatie"
(vervanging digipass) vind ik een goed idee.
Hotels zijn bvb verplicht om de identiteitsgegevens van hun gasten bij
te houden. De kaart zal hier zeker helpen om dit efficienter en met
betere kwaliteit van de data te doen. Ook in het geval van
"overheidstoepassingen" (bibliotheek, gemeente, voor-ingevulde
formulieren etc...) zal de kaart zeker helpen om sneller en met minder
fouten de identiteitsgegevens op te vragen.

Ik ben het absoluut met je eens dat ik mijn kaart niet zou gebruiken
bij een toepassing waar ik anders ook niet mijn identiteitsgegevens
aan zou toevertrouwen.

Het is waar dat met een betere "technische" bescherming op de
identiteitsgegevens de kaart nog meer zou kunnen gebruikt worden als
sterk authentificatiemiddel (betere scheiding
authentificatie-identificatie).
De huidige middleware voor de eID-kaartlezers verwittigt de gebruiker
wel wanneer er identiteitsgegevens worden gelezen. Het is dus een
software-oplossing (driver kaartlezer) en geen kaart-gebonden
oplossing.

Met vriendelijke groeten,

Peter Strickx

On Fri, 4 Mar 2005 09:53:29 +0100, cobaco (aka Bart Cornelis)
<cobaco at linux.be> wrote:
> Hai Peter,
> 
> On Friday 04 March 2005 06:24, Peter Strickx wrote:
> > Met het risico van een totaal andere discussie op te starten vergelijk
> > ik het soms met een wagen die 220km/h kan maar toch soms 30, 50, 70,
> > 120 km/h mag. De wagen verbieden/niet gebruiken tot wanneer dit
> > probleem is geregeld door de wagen zelf (auto-constructeur of
> > snelheidsbegrenzer) is niet echt een oplossing.
> er, hier is 1 _heel_ groot verschil die die analogie afbreekt:
> - in een auto is het diegene die dat ding in de hand heeft die de beslissing
> maakt om op een bepaalde snelheid te rijden
> - met de eid is het niet diegene die dat ding in de hand heeft, maar
> iedereen die dat ding ziet voorbijkomen die beslist al of niet data over te
> nemen.
> 
> da's eerder een auto die je met knopjes van langs de kant van de weg kunt
> dwingen om sneller te rijden.
> 
> > Ik ben ervan overtuigd dat we vandaag al een goede bescherming bieden
> > (vooral via wetgeving) en dat we zeker de bescherming via de kaart
> > zelf moeten verhogen.
> er wettelijk voor zorgen (in België) dat zomaar gegevens over iemand
> bijhouden niet mag is natuurlijk een goede zaak.  Er vanuit gaan dat zo'n
> wettelijk verbod er ook voor zorgt dat niemand dat gaat doen is
> ongelofelijk onrealistisch.
> 
> Er is een reden waarom we onze auto afsluiten niettegenstaande het feit dat
> diefstal illegaal is (en niet afsluiten wordt wettelijk gezien als
> nalatigheid dacht ik).
> 
> > We zullen ongetwijfeld op nog (vandaag niet-gekende) problemen stuiten
> > met kaart maar dit mag ons niet verlammen en een argument zijn om
> > niets te doen.
> niet gekende problemen ga ik mee akkoord, alleen is er wat mij betreft dus
> een overduidelijk _bekend_ probleem.
> 
> > Dankzij de kaart kunnen vandaag heel wat elektronische toepassingen op
> > een kost-efficiente basis zorgen voor een "sterke authentificatie"
> > waardoor de veiligheid aanzienlijk wordt verhoogd.
> Sterke authenticatie is dikwijls wenselijk (en daar bestaan ook een aantal
> standaarden voor die dit goed doen, denk bv. OpenPGP).
> Aan die sterke authenticatie meteen een heleboel niet-beschermde
> persoonsgegevens hangen die voor jan en alleman toegankelijk zijn is een
> ongelofelijk slecht idee (dat los staat van de authenticatie op zich).
> 
> Afgezien daarvan verhoogd authenticatie op zich veiligheid niet, het
> verhoogd enkel de kans dat eens iemand de regels breekt je die persoon ook
> op het matje zult kunnen roepen. (ter vergelijking de terroristen van 9/11
> hadden geldige papieren), Dit op het matje roepen valt verder teniet omdat
> de sterke authenticatie niet gebruikt wordt om bij te houden wie welke
> informatie opvraagt (en bijgevolg kan opslaan).
> 
> Veiligheid is voornamelijk een proces van proberen de lat voor misbruik hoog
> genoeg te leggen zodanig dat alle winst die je uit het omzeilen van
> beveiliging haalt, tennietgedaan wordt door de moeite die je moet doen om
> de beveiliging te omzeilen (of op z'n minst zo hoog dat je de beveiliging
> niet routinematig kunt omzeilen)
> 
> De eid schiet op dat vlak dus helemaal te kort.
> 
> > De eID is een "proces" (wetgeving & technologie) en geen "big bang".
> cryptgraphie is ver genoeg ontwikkeld om een redelijke (zelfs goede)
> beveiliging van je persoonsgegevens mogelijk te maken. Dit nalaten is wat
> mij betreft een nalatigheid die ervoor zal zorgen dat ik dat ding dus niet
> zal gebruiken buiten gemeentehuis/politie (en dan nog zo weinig mogelijk).
> 
> > Ik deel absoluut je bezorgdheid om nog een betere bescherming te
> > bieden. Vandaag is er al heel wat wetgeving (eerder aangehaalde
> > privacywet) die deze zaken regelt maar de kaart zelf biedt die
> > bescherming (nog) niet.
> Ik ben ik elk geval blij dat het wel op de agenda staat, al is de nodige
> technische beveiliging er dus nog niet. Feit blijft dat zolang die
> bescherming er nog niet is ik dat ding dus niet zal gebruiken (en mijn
> kennissen kring zal aanraden hetzelfde te doen).
> 
> P.S. was het je bedoeling om de discussie of-list te nemen, of was dit
> onbewust (in welk geval enige reactie wat mij betreft naar de lijst kan)
> --
> Cheers, cobaco (aka Bart Cornelis)
> 
> 1. Encrypted mail preferred (GPG KeyID: 0x86624ABB)
> 2. Plain-text mail recommended since I move html and double
>     format mails to a low priority folder (they're mainly spam)
> 
> 
>