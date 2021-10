Door Anoniem: Even uitgeprobeerd: de app met de betreffende qr-code werkt inderdaad. Zo zie je maar weer wat er gebeurt als een private key wordt gelekt. Het lekken van een private key mag nimmer gebeuren en in zo'n geval hoef je je niet af te vragen of de beveilging slecht geregeld was.

Ja dat krijge je als je zoveel signing services vertrouwd. Er zit er altijd wel eentje tussen die de private key niet in een HSM heeft zitten. Vervolgvraag is dan of al die apps die de code checken goed zijn geimplementeerd en de revocation status van de gebruikte certificaten wel checken. Het zou mij niets verbazen als en nog in een of ander land een app is die de hele certificaatcheck uit heeft staan, zoals de ING app een aantal jaren geleden ook had.