De nieuwe eID draad

[netslet]

Citaat:

Oorspronkelijk geplaatst door monza

Van de belgische eID niet neen. Tot op heden is deze techniek toch wwel gebleken uiterst moeilijk te zijn. U mag niet vergeten dat dit wel heel veel moeite is en dat daar criminelen zich dus niet echt met gaan bezig houden. Die gaan voor de opportuniteiten.

Bwoah, veel moeite of veel geld... De originele aanval was gelukt door de onderzoekers mbv een oscilloscoop twv 50 dollar. Da's wel al een tijdje geleden en de ontwikkelaars van smartchips zitten ook niet stil natuurlijk. De crypto-analisten anderzijds ook niet (SPA -> DPA -> HO-DPA)

Maar een apparaat daar volledig tegen beveiligen kan nooit lukken. Dus als er maar voldoende geld en tijd tegenaan gesmeten wordt kan de private key ge-extract worden. Het punt dat ik wil maken is dat die hoeveelheid benodigde tijd en geld steeds kleiner wordt. Electronica wordt namelijk steeds sneller en goedkoper.

Met identiteitsdiefstal valt wel trouwens behoorlijk wat poen te scheppen. En de opportuniteit om er aan mee te doen zal enkel nog maar groter worden wanneer er meer en meer toepassingen met de eid zullen ontwikkeld worden.

[Flanelcondoom]

Citaat:

Oorspronkelijk geplaatst door netslet

Bwoah, veel moeite of veel geld... De originele aanval was gelukt door de onderzoekers mbv een oscilloscoop twv 50 dollar. Da's wel al een tijdje geleden en de ontwikkelaars van smartchips zitten ook niet stil natuurlijk. De crypto-analisten anderzijds ook niet (SPA -> DPA -> HO-DPA)

Maar een apparaat daar volledig tegen beveiligen kan nooit lukken. Dus als er maar voldoende geld en tijd tegenaan gesmeten wordt kan de private key ge-extract worden. Het punt dat ik wil maken is dat die hoeveelheid benodigde tijd en geld steeds kleiner wordt. Electronica wordt namelijk steeds sneller en goedkoper.

Met identiteitsdiefstal valt wel trouwens behoorlijk wat poen te scheppen. En de opportuniteit om er aan mee te doen zal enkel nog maar groter worden wanneer er meer en meer toepassingen met de eid zullen ontwikkeld worden.

Zelfs al zorgt men ervoor dat de sleutels niet de chip kunnen verlaten in opgecrypteerde vorm, patroonherkenning zal het systeem wel achterhalen.

Jeweetwel, zoals je met pen en papier de encryptiemethode van Caesar kunt kraken door er meteen de klinkers uit te halen.

Ik kijk vooral naar de corporaties. Een bug aansluiten op alle ID-kaartlezers, en ze hebben info over iedereen.

[netslet]

Citaat:

Oorspronkelijk geplaatst door Fallen Angel

Via een brute force aanval is dat niet mogelijk denk ik.

Waarom is een brute force aanval onmogelijk? Dat het mogelijks ontieglijk lang zal duren, tot daar aan toe, maar onmogelijk?

[netslet]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

Zelfs al zorgt men ervoor dat de sleutels niet de chip kunnen verlaten in opgecrypteerde vorm, patroonherkenning zal het systeem wel achterhalen.

Jeweetwel, zoals je met pen en papier de encryptiemethode van Caesar kunt kraken door er meteen de klinkers uit te halen.

Ik kijk vooral naar de corporaties. Een bug aansluiten op alle ID-kaartlezers, en ze hebben info over iedereen.

Daarvoor hoeft zelfs niets gekraakt te worden. Alle persoonsinformatie is door iedereen leesbaar (zonder PIN-code ofzo in te tikken).

Dus wil de steward in de cinema je leeftijd nakijken en moet je je eid in een apparaatje stoppen dan heeft die ineens ook je adres en al de rest van je gegevens.

[Fallen Angel]

Citaat:

Oorspronkelijk geplaatst door netslet

Waarom is een brute force aanval onmogelijk? Dat het mogelijks ontieglijk lang zal duren, tot daar aan toe, maar onmogelijk?

Supercomputers en jaren rekentijd zijn niet meteen handig.

Ik heb me trouwens vergist met mijn vorig bericht.

Bij een assymtrisch encryptiesysteem heb je niet alle sleutels in handen en kan je ze de geheime sleutel niet vinden via memory scan.

[monza]

Citaat:

Oorspronkelijk geplaatst door netslet

Waarom is een brute force aanval onmogelijk? Dat het mogelijks ontieglijk lang zal duren, tot daar aan toe, maar onmogelijk?

Omdat een smartcard blokkeert na dat men 3 maal de slechte pin code heeft ingegeven.

[Flanelcondoom]

Citaat:

Oorspronkelijk geplaatst door netslet

Daarvoor hoeft zelfs niets gekraakt te worden. Alle persoonsinformatie is door iedereen leesbaar (zonder PIN-code ofzo in te tikken).

Dus wil de steward in de cinema je leeftijd nakijken en moet je je eid in een apparaatje stoppen dan heeft die ineens ook je adres en al de rest van je gegevens.

Dus gewoon opslaan en doorverpatsen aan studiebureau's?

[monza]

Citaat:

Oorspronkelijk geplaatst door netslet

Bwoah, veel moeite of veel geld... De originele aanval was gelukt door de onderzoekers mbv een oscilloscoop twv 50 dollar. Da's wel al een tijdje geleden en de ontwikkelaars van smartchips zitten ook niet stil natuurlijk. De crypto-analisten anderzijds ook niet (SPA -> DPA -> HO-DPA)

Maar een apparaat daar volledig tegen beveiligen kan nooit lukken. Dus als er maar voldoende geld en tijd tegenaan gesmeten wordt kan de private key ge-extract worden. Het punt dat ik wil maken is dat die hoeveelheid benodigde tijd en geld steeds kleiner wordt. Electronica wordt namelijk steeds sneller en goedkoper.

Met identiteitsdiefstal valt wel trouwens behoorlijk wat poen te scheppen. En de opportuniteit om er aan mee te doen zal enkel nog maar groter worden wanneer er meer en meer toepassingen met de eid zullen ontwikkeld worden.

Ik beweer ook niet dat 100 procent zekerheid bestaat, maar u gegevens zitten nu ook in databanken die al dan niet via internet zichtbaar zijn. eID gaat dat heus niet gevaarlijker maken. De orginele aanval heeft niet als resultaat gehad dat men de hele zooi eruit heeft kunnen halen, men had een deel van de sleutel om het encryptie mechanisme op de kaart te kunnen verstaan. Dan had je eventueel de private key van de gebruiker van de eID kunnen bemachtigen maar die kan je niet gebruiken zonder de pin code.

[monza]

Citaat:

Oorspronkelijk geplaatst door netslet

Daarvoor hoeft zelfs niets gekraakt te worden. Alle persoonsinformatie is door iedereen leesbaar (zonder PIN-code ofzo in te tikken).

Dus wil de steward in de cinema je leeftijd nakijken en moet je je eid in een apparaatje stoppen dan heeft die ineens ook je adres en al de rest van je gegevens.

De persooninformatie die zichtbaar is diezelfde als op uw normale oude identiteitskaart.
Dus ik snap niet wat daar het gevaar is. Niemand zegt tegen u dat ge die zomaar in iederer reader moet duwen. Tenslotte geeft u uw identiteitskaart nu ook niet af aan de eerste de beste die je tegenkomt.

[monza]

Citaat:

Oorspronkelijk geplaatst door netslet

Dus wil de steward in de cinema je leeftijd nakijken en moet je je eid in een apparaatje stoppen dan heeft die ineens ook je adres en al de rest van je gegevens.

Je geboorte datum is zichtbaar op je kaart. Het enige dat niet zichtbaar is is je adres.
En dus moet je die kaart nergens in duwen

[netslet]

Citaat:

Oorspronkelijk geplaatst door monza

Omdat een smartcard blokkeert na dat men 3 maal de slechte pin code heeft ingegeven.

Daar komt terug Power Analysis in het spel: de lezer houdt het aantal foute ingaves bij door naar het flash geheugen te schrijven. Dit is merkbaar in de analyse (een plotse energieopwekking is nodig alvorens men naar het flash geheugen kan schrijven), dus laat men voor dit gebeurt de stroom uitvallen zodat de lezer de foutieve poging niet kan registreren.

[netslet]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

Dus gewoon opslaan en doorverpatsen aan studiebureau's?

Bvb met zo eentje.

Maar soit, ik ben nu wel eventjes weg van het forum. Zal later wel nog proberen te reageren.

[monza]

Citaat:

Oorspronkelijk geplaatst door netslet

Daar komt terug Power Analysis in het spel: de lezer houdt het aantal foute ingaves bij door naar het flash geheugen te schrijven. Dit is merkbaar in de analyse (een plotse energieopwekking is nodig alvorens men naar het flash geheugen kan schrijven), dus laat men voor dit gebeurt de stroom uitvallen zodat de lezer de foutieve poging niet kan registreren.

tegen de tijd dat jij dat gevonden hebt is mijn eID aan verniewing toe. Want als we het model uit luxemburg volgen gaat de pincode niet 4 maar 6 cijfers zijn
In theorie zal je gelijk hebben, maar aangezien de processor kan na herhaling wel eens het spelletje blokkeren en dan is het gedaan met proberen.

[Pelgrim]

nu heb ik met dat alles nog altijd geen argument gelezen waarom ik een EID zou moeten hebben.

[brother paul]

Citaat:

Oorspronkelijk geplaatst door Pelgrim

nu heb ik met dat alles nog altijd geen argument gelezen waarom ik een EID zou moeten hebben.

Doe zo verder jong, je wordt nog allochtoon in Belgie.

[brother paul]

Citaat:

Oorspronkelijk geplaatst door monza

Je geboorte datum is zichtbaar op je kaart. Het enige dat niet zichtbaar is is je adres.
En dus moet je die kaart nergens in duwen

Dat adre skun je wel uitlezen verdomme dat is niet juist.

[monza]

Citaat:

Oorspronkelijk geplaatst door brother paul

Dat adre skun je wel uitlezen verdomme dat is niet juist.

fysiek op de kaart hé slimmeke, alle replies lezen dan hebt ge de context.

[Pelgrim]

Citaat:

Oorspronkelijk geplaatst door brother paul

Doe zo verder jong, je wordt nog allochtoon in Belgie.

Amai, wat een argumentatie.

[monza]

Citaat:

Oorspronkelijk geplaatst door Pelgrim

nu heb ik met dat alles nog altijd geen argument gelezen waarom ik een EID zou moeten hebben.

Om online uw belastingsaangifte te doen bvb, om diezelfde kaart te gebruiken als identificatie bij uw ebanking.
U vindt wel dat de andere een gebrek hebben aan argumentatie maar u brengt zelf maar bitter weinig aan. Als we zo zouden gedacht hebben toen de gsm uitkwam had niemand een gsm vandaag.

[Henri1]

Citaat:

Oorspronkelijk geplaatst door Pelgrim

nu heb ik met dat alles nog altijd geen argument gelezen waarom ik een EID zou moeten hebben.

Jij bent ook overal tegen hé, dus niet representatief.