De nieuwe eID draad

[Flanelcondoom]

Citaat:

Oorspronkelijk geplaatst door monza

Op een smartcard zit een processor, het is dus niet zomaar een simpele chip. En je kan enkel via die processor aan de data die op je kaart staat. De data op deze chip is versleuteld volgens een encryptie dat in de kaart gebakken zit. Dus als je die data copieert heb je versleutelde data. Dan moet je eerst het public/private key scheme van de kaart zien te kraken. Ik wens je alvast veel geluk daarmee. Moest je dat gelukt zijn heb je nog de eventuele publieke en private sleutel van de eigenaar van de kaart. Als je met je eID iets ondertekend gebruik je een prive sleutel die je moet deblokkeren met je pin code. Als je je identificeert idem.

En als je met electronica aan het werk gaat kan het zijn dat je de kaart blokkeert of stuk maakt, de meeste kaarten in eID projecten zijn tamper resistant. Men kan wel zaken terug vinden maar die zijn te bepekt om er iets mee aan te vangen en vragen teveel tijd.

In tegenstelling met een DVD wat gewoon RAM is en waarbij je niets nodig hebt om de data te lezen, afgezien van een dvd speler natuurlijk.

De code op zich kraken beschouw ik als onmogelijk. Een RSA-encryptie is al marginaal moeilijk.

Maar... er is geen zekerheid dat privesleutels prive blijven.

[monza]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

De code op zich kraken beschouw ik als onmogelijk. Een RSA-encryptie is al marginaal moeilijk.

Maar... er is geen zekerheid dat privesleutels prive blijven.

Tegen domheid van de gebruiker is geen enkele bescherming mogelijk
OOk niet in het dagelijkse leven, kijk maar hoeveel bankkaarten er worden gekopieerd en waarom? Omdat de gebruiker zich niet gedraagt naar behoren.

[Flanelcondoom]

Citaat:

Oorspronkelijk geplaatst door monza

Tegen domheid van de gebruiker is geen enkele bescherming mogelijk
OOk niet in het dagelijkse leven, kijk maar hoeveel bankkaarten er worden gekopieerd en waarom? Omdat de gebruiker zich niet gedraagt naar behoren.

Bestaan er dan geen non-stupidity induced manieren om die sleutels te verkrijgen van een groot aantal gebruikers?

[monza]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

Maar... er is geen zekerheid dat privesleutels prive blijven.

De meeste gevallen van identiteitsdiefstal vandaag gebeuren met gestolen identeitskaarten en look-a-like mensen die deze ge(mis)bruiken.

[Flanelcondoom]

Citaat:

Oorspronkelijk geplaatst door monza

De meeste gevallen van identiteitsdiefstal vandaag gebeuren met gestolen identeitskaarten en look-a-like mensen die deze ge(mis)bruiken.

En als wij het hier hebben over een vrij goed georganiseerd netwerk met connecties in de dataverwerking?

[monza]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

Bestaan er dan geen non-stupidity induced manieren om die sleutels te verkrijgen van een groot aantal gebruikers?

Om de sleutel te bemachtigen moet ge eerst alle obstakels zoals ik beschreef omzeilen en dan moet je nog de pin-code hebben ook.
Misschien zullen die ooit bestaan maar tot op heden nog niet.

[monza]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

En als wij het hier hebben over een vrij goed georganiseerd netwerk met connecties in de dataverwerking?

In pki gaat uw data niet zomaar over netwerken, als ik mij identificeer deblokkeer ik mijn privé sleutel maar ik stuur deze niet op.
De checksum van mijn sleutel en de checksum van mij sleutel in de database worden nagekeken. Als ge de database kunt veranderen dan is natuurlijk heel uw probleem opgelost maar dat zal nog niet zo dadelijk zijn. Want dat soort databases kan je niet in je eentje veranderen. Daar heb je joint-access voor nodig en de de nodige weeral eens encryptie sleutels.

[Pelgrim]

Citaat:

Oorspronkelijk geplaatst door monza

En omdat u ze in beiden gevallen niet krijgt gaat u maar wat zeuren over de veiligheid van de elektronische versie.

En de kritischi kan je ook de mond snoeren door wat denigrerend hen te verwijten dat ze 'maar wat zeuren'.

Ja, ik zeur er over. Omdat ik toch nog enige zin voor kritische houding tegenover de gevestigde machten heb. En ik ben daar nog trots op ook.

Citaat:

Je bent natuurlijk vrij om te doen wat je wil, dus ik neem aan dat je uw huidige identiteitskaart ook anoniem hebt gemaakt.

Nee hoor, die is goed genoeg. Ik kan alles zien wat er op staat en ik weet daarmee ook welke informatie aan anderen wordt gegeven als ik die laat zien.

[Pelgrim]

Citaat:

Oorspronkelijk geplaatst door Fallen Angel

De chip gewoon eventjes buigen tot je krak hoort volstaat.
Uw identiteitskaart in de microgolfoven is niet zo'n goed idee aangezien de plastiek kan smelten.

De microgolfoven is goed voor dingen die je grondig wil vernietigen zonder dat je je achteraf zorgen moet maken over hoe het eruit gaat zien.

ah, bedankt, dat is misschien een beter idee

Nu ja, voorlopig heb ik dat niet nodig, ik blijf bij mijn kartonnen kaartje.

[Flanelcondoom]

Citaat:

Oorspronkelijk geplaatst door monza

In pki gaat uw data niet zomaar over netwerken, als ik mij identificeer deblokkeer ik mijn privé sleutel maar ik stuur deze niet op.
De checksum van mijn sleutel en de checksum van mij sleutel in de database worden nagekeken. Als ge de database kunt veranderen dan is natuurlijk heel uw probleem opgelost maar dat zal nog niet zo dadelijk zijn. Want dat soort databases kan je niet in je eentje veranderen. Daar heb je joint-access voor nodig en de de nodige weeral eens encryptie sleutels.

Het is dus enkel mogelijk op een niveau waarbij het achterhalend element volledige controle heeft over de datastructuren.

Nuja, gevaarlijk genoeg voor mij.

[monza]

Citaat:

Oorspronkelijk geplaatst door Pelgrim

En de kritischi kan je ook de mond snoeren door wat denigrerend hen te verwijten dat ze 'maar wat zeuren'.

Ja, ik zeur er over. Omdat ik toch nog enige zin voor kritische houding tegenover de gevestigde machten heb. En ik ben daar nog trots op ook.



Nee hoor, die is goed genoeg. Ik kan alles zien wat er op staat en ik weet daarmee ook welke informatie aan anderen wordt gegeven als ik die laat zien.

Dat weet u met uw eID ook

[monza]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

Het is dus enkel mogelijk op een niveau waarbij het achterhalend element volledige controle heeft over de datastructuren.

Nuja, gevaarlijk genoeg voor mij.

Dat is met uw huidige gegevens niet anders.

[netslet]

Monza,

jij blijkt best wel wat van eid's af te weten. Zou jij me kunnen vertellen in hoeverre de huidige gebruikte chips zijn beschermd tegen Differential Power Analysis aanvallen?

[Pelgrim]

Citaat:

Oorspronkelijk geplaatst door monza

Dat weet u met uw eID ook

neen dat weet ik niet.

[Flanelcondoom]

Citaat:

Oorspronkelijk geplaatst door netslet

Monza,

jij blijkt best wel wat van eid's af te weten. Zou jij me kunnen vertellen in hoeverre de huidige gebruikte chips zijn beschermd tegen Differential Power Analysis aanvallen?

Mijn vermoeden is aangezien de gegevens toch geencrypteerd zijn, zal alles wat men eruithaalt geencrypteerde data zijn.

Op welke vorm van aanval doel jij precies?

[netslet]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

Mijn vermoeden is aangezien de gegevens toch geencrypteerd zijn, zal alles wat men eruithaalt geencrypteerde data zijn.

Op welke vorm van aanval doel jij precies?

Veel te simpel uitgelegd: Een analyse van de energieconsumptie van het cryptografisch toestel maken zodat genoeg te weten kan gekomen worden om een voldoende idee van de interne werking (circuits) te weten te komen om zo op een niet-invasieve manier een sleutel te kunnen genereren.

meer info:

wiki
wat papers

[monza]

Citaat:

Oorspronkelijk geplaatst door netslet

Veel te simpel uitgelegd: Een analyse van de energieconsumptie van het cryptografisch toestel maken zodat genoeg te weten kan gekomen worden om een voldoende idee van de interne werking (circuits) te weten te komen om zo op een niet-invasieve manier een sleutel te kunnen genereren.

meer info:

wiki
wat papers

Van de belgische eID niet neen. Tot op heden is deze techniek toch wwel gebleken uiterst moeilijk te zijn. U mag niet vergeten dat dit wel heel veel moeite is en dat daar criminelen zich dus niet echt met gaan bezig houden. Die gaan voor de opportuniteiten.

[Flanelcondoom]

Citaat:

Oorspronkelijk geplaatst door netslet

Veel te simpel uitgelegd: Een analyse van de energieconsumptie van het cryptografisch toestel maken zodat genoeg te weten kan gekomen worden om een voldoende idee van de interne werking (circuits) te weten te komen om zo op een niet-invasieve manier een sleutel te kunnen genereren.

meer info:

wiki
wat papers

Ik vrees dat mijn kennis ontoereikend is om jou een degelijk antwoord te bieden. Ik heb vermoedens, maar wil niet op mijn geweten hebben dat iemand dankzij mij met verkeerde gegevens rondloopt.

[Henri1]

Ik snap het niet ???

Is het nu omdat de extreem "Vlaams Nationalisme - predikers" over een iets uitgebreider strafbald beschikken dan de "normale" vlaming dat ze zo tegen die identiteitskaart en de erop vastgelegde gegevens zijn?

Er zijn er zelfs die hier discussiëren zonder dat ze mogen gaan "stemmen" bij verkiezingen.
Ik vind dat nogal dom, veranderingen willen en je stemrecht weggooien.

[Fallen Angel]

Citaat:

Oorspronkelijk geplaatst door Flanelcondoom

De code op zich kraken beschouw ik als onmogelijk. Een RSA-encryptie is al marginaal moeilijk.

Maar... er is geen zekerheid dat privesleutels prive blijven.

Via een brute force aanval is dat niet mogelijk denk ik.

Via memory scanning kan men er denk ik wel achter komen.

Elke bewerking in het geheugen van je computer kan je nakijken.