Vaarwel privacy, welkom bigbrother

Dat het internet er veiliger door wordt is een farce, zeer
naiëf.
De gebrekige Windows software wordt er niet veiliger op.
Ik ga liever zorgvuldiger om met mijn ID dan deze
klakkeloos over onveilige software en verbindingen naar
commerciëlen te versturen.
België laakt de Europese Wetgeving die de burger juist
moeten beschermen.
Dat vind ik zeer verwerpelijk.

"Staatssecretaris voor de Informatisering van de Staat Vanvelthoven is
extatisch dat Gates reageert op zijn oproep om eID te koppelen aan het
chatten"...
Volgens mij werd ie er nat van.

Ik denk best dat het helpt tegen viezerikken en newbies die
alleen maar aan lopen te klooien, maar ik betwijfel dat het
zal helpen tegen de echte harde kern. (niet dat die MSN
gebruiken maar toch...)

Wat zijn ze toch gewiekst (is dat correct belgisch?) Onder het mom we beschermen kinderen hiermee hopen ze zoveel mogelijk kritiek van zich af te houden dat dit een enorme inbreuk is op de privacy van internetters. Even terug lezen in 1984 of we op schema liggen...

Heh je hebt echt geen idee waar je over praat. Om te
beginnen werken de eIDs van Belgie volgens het
public+private key principe. Je public key versturen over
onveilige software en of verbindingen is dan geen enkel
probleem... daarom is het ook een public key.

In plaats van te beweren dat Belgie lak heeft aan de burger
en de europese wetgeving zou je even moeten stilstaan en
beseffen dat het best een slim systeem is.
Niemand verplicht je om je eID te gebruiken voor MSN maar
als alternatief voor Passport.NET vind ik dit 100 keer
beter. Voor online aankopen zou dit ook erg praktisch kunnen
zijn.

Laten
we daar vanuit gaan :)
Hoeveel
bit is dat?
Ik
bekritiseer de toepassing, niet de technologie.
Prima. Waarvoor zou je dat bij enige messenger
willen gebruiken? Misschien kun je dat verduidelijken?
Zegt de term identiteitsdiefstal je iets?
Het risico is dat dit in de toekomst een toevlucht gaat
nemen wanneer men nu niet oplet.
Dan wordt het internet zelfs gevaarlijker dan hij nu is.

Ik begrijp België wel maar ben ik er niet voor te porren om
door een handje vol kinderverkrachters Russische Roulette
met de veiligheid van miljoenen gewone burgers te spelen.

Om er verder op in te gaan:
Dit
is natuurlijk geen enkel bezwaar. Of het bij messengers nut
heeft is zeer de vraag omdat bijna iedereen die van
dergelijke toepassingen gebruik maakt enkel bekenden
(klasgenoten/collegae, vrienden, familie en kennissen) in
zijn of haar lijstje heeft staan.

Echter navolgend citaat introduceert wezenlijke gevaren:
Hier
gaat het niet enkel meer over de leeftijd.

Ben je bijvoorbeeld op de hoogte van het feit dat tot nu toe
enkel in België enige keren herhaaldelijk het
betalingsverkeer volkomen plat is komen te liggen waardoor
mensen tijdelijk nergens in België met hun bankpassen konden
betalen?

In welk licht gaan we dan de private + public keys zien, dat
van centrale opslag afhankelijk is?

Is de key sterk genoeg? Zoveel opslagcapaciteit hebben die
dingen niet.

Welke gegevens zijn met het Belgische ID toegankelijk?
Men zegt er de leeftijd uit te (willen) herleiden, dat
impliceert dat er naast een key meer gegevens worden verzonden.

Met andere woorden, welke veiligheid denkt men er mee te
verkrijgen en worden er geen nieuwe problemen geïntroduceert
in plaats van verholpen?

Dat mag uitvoerig worden onderzocht voordat er reden is tot
juichen.

Nou ben ik niet echt hoopvol over de combinatie microsoft en
security, maar ik word ondertussen helemaal ziek van mensen
die de keylength evenredig maken aan de veiligheid van een
systeem.

Dezelfde manier als we nu Passport.NET gebruiken voor
messenger. Het lijkt mij dat die eID veiliger is dan het
domme wachtwoord wat nu op Passport.NET zit.

Ik weet wat identiteitsdiefstal is... leg mij even uit hoe
ze dat kunnen doen zonder je private key en wachtwoord te
stelen. Aangezien die niet van je eID afkomt ben ik wel
benieuwd hoe je te werk gaat.

Afgezien die opmerking over de hoeveelheid bits van de key
heb ik je nog niets zien zeggen waaruit ik kan afleiden dat
er reden is om een dergelijk standpunt in te nemen.

Hier is inderdaad een probleem maar ik zie het verband niet
met de gebruikte authing/authoring technologie. Ik dacht dat
we het hadden over de toepassing van de eIDs. Voor zover ik
weet heeft dat weinig te maken met de stabiliteit van de
systemen waar je die eIDs zou gebruiken. Die moeten
uiteraard goed zijn maar daarom is mijn eID toch niet opeens
minder goed.

Dit is tot nu toe de enige vraag die ik
hier gelezen heb met betrekking tot de eID. Als deze niet
sterk genoeg is dan zou ik niet op de eID rekenen om mijn
identiteit te garanderen.

Momenteel geloof ik dat je volksregister gegevens en
medische gegevens ermee gekoppeld zijn. Je adres,
geboorteakte, allergien dat soort spul.

Ik denk dat het veiliger is dan het simpele wachtwoord wat
we nu bij msn, amazon, playboy.com gebruiken. Of deze
toepassingen een veiliger systeem nodig hebben is wel even
de vraag maar zolang ik niet verplicht wordt mijn eID te
gebruiken dan zie ik geen probleem.

Voor eCommerce lijkt het me best praktisch aangezien je je
orders digitaal kan signeren en heel wat misverstanden of
geknoei voorkomen kan worden.

In het kort de veiligheid die je bekomt is dat je tenminste
weet met wie je praat over een digitaal netwerk. Lijkt mij
een hele verbetering op het huidige systeem wat gebaseerd is
op een grote dosis vertrouwen en goede wil.

De problemen zijn degene eigen aan het public+private key
principe. Iemand die je private key steelt en het wachtwoord
kent om hem uit te lezen of als de key te zwak is kan je
identiteit stelen. Van dat moment aan is de eID vrijwel even
onbetrouwbaar als het huidige wachtwoorden systeem.
Net als met je bankpas zal je deze dan zo snel mogelijk
moeten laten deactiveren.

Tja, je hoeft natuurlijk niet te chatten. Ga ook weer eens gewoon naar een
gezellige kroeg om een biertje te happen. Internet is maar marginaal
belangrijk in dit leven...

Als de spruiten maar op tafel staan vanavond! En als ik ze door een
Internet-ramp niet meer kan kopen bij de Appie, dan ga ik ze zelf toch
plukken.

Werd dit beweerd dan dat dit de 'enige' factor zou zijn?
Nee, dat werd het niet.
Wel is de keylength mede van belang in combinatie met het
gebruikte algoritme.

Het zou zo mooi KUNNEN werken.. helaas zal het ongetwijfeld
misbruikt worden.

Technisch moet het mogelijk zijn om bijv. bij die
leeftijdscontrole zo door te voeren:

Gebruiker A en gebruiker B gebruiken MSN.
Gebruiker B wil de leeftijd van gebruiker A graag verifieren
en stuurt die aanvraag naar gebruiker A
Gebruiker A beslist of hij deze informatie prijs wil geven,
hij besluit dat niet te doen want hij is een perverse
50-jarige man die doet alsof hij 20 is.
Gebruiker B ziet dat de vraag is geweigerd en zet gebruiker
A op ignore.

Hoe je het ook went of keert, er zitten zeker voordelen aan
het systeem. Ik vind het bijv. wel gaaf dat je zou kunnen
emailen met een soort-van PGP alleen dan nu is je key niet
alleen gesigned door een paar vrienden maar door de
belgische overheid. Als je computer bij default is uitgerust
met de crypto gegevens van de belgische overheid kun je
99.99% zeker zijn dat een email van degeen komt wie hij zegt
dat hij is.. omdat deze is gesigneerd door de vertrouwde
belgische overheid die de persoon in kwestie in het echt
heeft ontmoet.
Al met al VERGROOT dit de privacy. Het ligt er maar net aan
hoe dit geimplementeerd wordt.

Het kan ook de verkeerde manier gedaan worden:

- Bij Microsoft passport moet je je gegevens opsturen zoals
ze zijn aangebracht in je EID

Noujah.. ik geef m'n gegevens echt niet aan Microsoft door.
Het is technisch even goed mogelijk om ze op je computer te
bewaren (zie DOTGNU: http://dotgnu.org/), ik heb het recht
om microsoft niet te vertrouwen met mijn gegevens. Ik vind
dat ik het recht heb om te beschikken over mijn informatie
en zelf te kiezen aan wie ik deze doorstuur, en daarbij wil
ook kunnen aangeven welke gegevens ik wel en niet prijsgeef.
Ik vind ook dat het handig zou zijn als ik in sommige
gevallen bepaalde gegevens van mij kan sturen en ook met
enige zekerheid kan aantonen dat deze kloppen.

Het probleem is echter in hoeverre mensen de geldigheid van
de eID bekijken. Als massaal alle banken en
overheidsinstellingen de eID als een onfeilbare
identificatiemethode gaan zien dan zal het vertrouwen erin
boven de pet groeien en boven de het beveiligingsniveau
komen dat de eID te bieden heeft, het zal dan dusdanig
aantrekkelijk voor criminelen worden dat ze achter elkaar
eIDs zullen stelen.

Bedenk wel dat het eID het belang van het internet
aanzienlijk kan verhogen als het aanslaat. Hoe meer
vertrouwen men er in heeft hoe meer het gebruikt gaat worden
voor ECHT privacy-gevoelige zaken en hoe aantrekkelijker het
wordt voor criminelen om te stelen.

Het is in ieder geval technologie die, afhankelijk van de
implementatie, wel heel veel mogelijkheden biedt, zelfs
mogelijkheden waarbij de privacy gewaarborgd blijft.
Voorbeeldje: Server S wil weten of client C wel 18+ is, maar
we willen S niet vertellen wie C precies is ivm privacy.

S -> C: Nonce, is18?
C -> O: Nonce, {Nonce}privkey_c, is18?
(overheid authenticeert client, kijkt of-ie 18 is. maakt een
certificaat dat zegt dat de aanbieder van deze nonce
inderdaad 18+ is)
O -> C: {Nonce, is18!}privkey_o
C -> S: {Nonce, is18!}privkey_o

Mooi toch? Heeft iemand een goede verwijzing met details
over de implementatie?
http://www.belgium.be/zip/eid_middleware_nl.html is al wat.

E.e.a. zal pas in 2009 gereed zijn. Hailstorm dus (i.e.
vaporware)!

Dat iets 'lijkt' is niet afdoende.
Hoe belangrijk is daarnaast dat Passport.NET verhaal?
Totaal onbelangrijk.
Liever een compromised inlog dan mijn eID ter grabbel.
Je digital eID zelve.
Wachtwoorden e.d. zijn gewoon te sniffen. De verbinding
waarover het wordt verzonden is de zwakste schakel alsook
het Windows O.S. zelve (keyloggers, e.d.) Dat kon je zelf
ook bedenken.
Dat soort toepassingen gebruik je sowieso niet
voor vertrouwelijk verkeer.
Medewerkers die met elkaar 'chatten' is een no go.
Elkaars leeftijd is daar al duidelijk van! :)
Die link is qua doelgroep dus heel eenvoudig snel gemaakt
wanneer je de problematiek op http://www.saferinternet.org/
volgt. Messengers zijn geen sigarettenautomaten, waar je ten
minste 16 voor moet zijn om er sigaretten uit te kunnen halen.

Het Russische Roulette spelen met de veiligheid van
miljoenen burgers refereert aan het mede civiel gebruik van
het eID versus de kleine opslagcapaciteit van een dergelijke
chipcard. Met andere woorden: zo sterk kan die key/algoritme
niet zijn.
De keypair zal toch ergens secundair verifieert moeten worden :)
Hoe sterk is deze dan?
Wordt daarnaast een betrouwbaar algoritme gebruikt?
In die
gevallen werkt het eID als een Token, zegmaar als een vast
dossiernummer binnen de niet-publieke registers. Maar wordt
geïmpliceert meer dan een token mee te zenden (o.a. de
leeftijd), tenzij een publiek register wordt aangemaakt
waaruit derden kunnen raadplegen?
Je eID als login noem je veiligheid, veiliger dan de huidige
login's?
Of je ermee de garantie krijgt te weten met wie je praat
valt nog te bezien.
Je krijgt messengers niet zomaar werkelijk veiliger. Daar
komt sowieso veel meer bij kijken dan 'n inlog-met-eID. Het
inloggen zal makkelijker worden met een eID maar staat dat
los van veiligheid.

Het is digitaal, en als de sterkte in keylength en algoritme
niet afdoende zijn eenvoudig te faken/te achterhalen/na te
maken. Omdat de opslagcapaciteit van die cardchips nog zo
ontzettend laag is, betwijfel ik dat dit systeem geschikt is
voor miljoenen burgers.

Ik zie best de voordelen van zo'n token bij
overheidsinstanties en kan het best veilig zijn dat token
enkel bij deze instanties te gebruiken. Maar heb ik zo mijn
bedenkingen bij gemengd civiel gebruik van datzelfde token.
Je gebruikt je bankpas ook enkel voor bankzaken.
Er zijn trouwens gevallen bekend waarbij dat pasje werd
gekopieerd en de pincode opgenomen ...

Dat is overigens een vergelijkbare chipcard.

Leeftijdscontrole is weinig privacygevoelig, dat prima kan
worden geïmplementeerd. Zeker wanneer deze informatie
rechtstreeks van de overheid komt. Een soort 'whois' systeem ;)

Dat kan in dit geval een voordeel zijn. Het maakt een
discussie los waarbij zaken worden geopperd waarmee men
rekening kan houden. Het systeem dat men initieel in
gedachten heeft kan daar beter door worden.
Dat is althans mijn doel om zo'n discussie aan te gaan.

Euhm, in 2009 moete *alle* belgen zo'n kaart hebben. Nu (ja,
*nu*) kun je al zo'n nieuwe kaart ophalen, maar je mag tot
2009 ook nog een `oude' kaart hebben.

Je digital eID zelve. Wachtwoorden e.d. zijn gewoon te
sniffen. De verbinding waarover het wordt verzonden is de
zwakste schakel alsook
het Windows O.S. zelve (keyloggers, e.d.) Dat kon je zelf
ook bedenken.
[/quote]
Dit is een valide punt: als iemand de computer waarin een
eID zit heeft gehacked, kan hij zich in principe voordoen
als die ander. Voor sommige toepassingen is dat erg, daar
zal je dus meer moeten gebruiken dan alleen de eID.
Tegenover het huidige belastingaangifte-via-internet-systeem
is het bijvoorbeeld echter geen stap achteruit. En als het
wordt gebruikt om te `bewijzen' dat een 12-jarig hackertje
toch 18+ is, swah...


Sommige chatkanalen, datingsites, etc misschien wel.


Het zal je verbazen hoe goed smartcards al kunnen zijn
tegenwoordig. Zie bijvoorbeeld
http://www-sop.inria.fr/lemme/verificard/2002/slides/oostdijk.pdf
(en dat is uit 2002)


Sja, in hetzelfde licht als andere gecentraliseerde systemen.


Dat zou ik ook wel eens willen weten. Het lijkt me overigens
wel dat je die informatie niet op die kaart zelf gaat
zetten, maar dat je de overheid certificaten laat maken voor
eigenschappen (zoals leeftijd, zie hierboven)


Nee! Een magneetstrip kun je compleet kopieren, maar een
smartcard kan gebieden hebben die niet direct uit te lezen
zijn (bijvoorbeeld de private key). Die kun je dan alleen
indirect benaderen door te praten met de programmatuur die
op die chip draait (je kunt bijvoorbeeld dan wel zeggen:
`sign voor mij alsjeblieft deze nonce eens').

Je bedoelt: gecracked =
gekraakt = ingebroken.
Hacking = verbeteren = voorkomen.
Daar valt zeker wat voor te zeggen, ben ik
geheel met je eens.
Dat ziet er leuk uit, een mooie
proof of concept dat verdere hardening kan gebruiken. Ik
betwijfel de mogelijkheden dan ook niet van de cards. Maar
hoe sterk is de key/algoritme van het eID?
Dat cards slim kunnen zijn is heel prettig. Maar er is ook I/O.
Dat is waar. Het geheel wordt wel
gevoeliger naar mate mensen van meer zaken afhankelijk worden.

I'm speechless...
Ik ga er echt niet meer met je in discussie. Je private key
wordt nooit verzonden en staat niet op je pc. Er is geen eID
om te stelen tenzij je de fysieke kaart steelt en het
wachtwoord uit de eigenaar klopt.
Zoek eerst even op hoe private+public key identificatie
werkt voor je nog wat zegt.

Het is helemaal geen punt omdat de key niet op de computer
staat. Verder is het bewaken van je private key een
verantwoordelijk waar je zelf op moet waken. Ben je toch je
identiteitskaart kwijt dan zou de key nog krachtig genoeg
moeten zijn dat je de tijd hebt deze te laten deactiveren.

Verder ben je verantwoordelijk voor het bewaken van je eigen
persoonsgegevens. Als de Belgische regering mijn gegevens
beschikbaar stelt aan een Amazon of Microsoft zonder dat ik
eerst mijn toestemming heb gegeven met mijn digitale
handtekening dan zal ik dit meteen melden bij de pers en dan
stort het eID systeem gelijk in.

Dat
werd niet geschreven :)
Lees het geheel nog eens over, bij voorkeur iets meer dan
enkel die alinea.
Dat valt nog te
bezien. Een aantal vragen zijn nog onbeantwoord gebleven.
Hoe sterk is de key/algoritme zei je?
Dat heb ik, vandaar deze
discussie :)

Zelfs als je de fysieke kaart hebt is het (althans met
moderne smartcards) kun je vaak nog de private key er niet
vanaf lezen. Je kunt de kaart dus stelen, maar niet
kopieren. Dat is Nuttig.


Wat zeur je nou man. Als de gebruikte crypto niet sterk
genoeg is moet je de kaart niet gebruiken voor toepassingen
waar dat wel vereist is. Tot je me kan laten zien dat die 2
dingen echt aan de hand zijn, doen al je reacties er niet
echt toe.

Je kunt er wel omheen babbelen: maar hoe
sterk is dat dan?
Dan kun je toch gewoon antwoord geven als het niet zwak zou
zijn.
Want dat gegeven wordt tot nu toe angstvallig? verzwegen.
Het doet er weldegelijk ook toe.

Dan weten we meteen waar het eID wel of niet geschikt voor
kan zijn.

Als ik het zou weten zou ik het je vertellen... Zoek het
zelf uit zou ik zeggen.

ik vind dat idee van Bill maar griezelig.
dadelijk komt longhorn uit met een shipcard reader..

dan weten ze meteen wie je bent, weg privacy..
kijk, en dat is nu ook eigenlijk waarom M$ zo'n machtpositie
heeft.
alles in e gaten willen houden voor de US overheid..

wordt iedere letter die je tikt ,of woord, overgeseint als
dit aan bepaald criteria voldoet ,
b.v
bush moet dood (hij moet ook dood)