Post on 04-Feb-2016
description
De eIDDe eID
24-02-2012 ON5UK
24-02-2012 on5uk@base.be 1
Ontstaan van de eIDOntstaan van de eID
Fedict: promotie e-gov+
Binnenlandse Zaken: veiligheid Identiteitskaart=
2003: eerste eID in 11 pilootgemeentenEind 2004: nationale uitrolEind 2009: elke Belg heeft zijn eID
24-02-2012 on5uk@base.be 2
Waartoe dient de eID?Waartoe dient de eID?
1) Visuele identificatie2) Digitale identificatie: uitlezen van de
gegevens in de chip3) Uw identiteit bewijzen (authenticatie)4) Digitaal tekenen van documenten5) Reisdocument
24-02-2012 on5uk@base.be 3
Beveiliging met symmetrische sleutelsBeveiliging met symmetrische sleutels
24-02-2012 on5uk@base.be 4
ON4BOB
ON7ALICE DL1HELGA
F2LOUISE
- Op basis van een gedeeld geheim- Aantal sleutels=n(n-1)/2- Elk lid houdt (n-1) sleutels bij
PKI PKI (Public Key Infrastructure)(Public Key Infrastructure)
24-02-2012 on5uk@base.be 5
- Elk lid ontvangt een sleutelpaar: 1 publieke + 1 geheime sleutel. De ene kan niet uit de andere afgeleid worden.
- Aantal sleutels=2n- Elk lid houdt 1 sleutel bij- Wie verzekert mij dat de publieke sleutel die van ON7ALICE is?
certifiëringsorganisme (CA)
Productie van de eID (1)Productie van de eID (1)
24-02-2012 on5uk@base.be 6
Rijksregister
Gemeente0
1
2
3
4
5
6 78
9
10a
10b PIN+PUK2
11
12
Productie van de eID (2)Productie van de eID (2)
24-02-2012 on5uk@base.be 7
0) Burger ontvangt uitnodiging of neemt initiatief1)Burger naar gemeentehuis met foto.2)“Face to face” identificatie. Plaatsen handtekeningen op basisdocument.3,4) Zetes ontvangt aanvraag aanmaak eID via RR. Zetes ontvangt basisdocument via G4.5) Zetes start productie kaart6) Zetes stuurt PUK1 naar RR7) Zetes vraagt 2 certificaten aan Certipost8) Certipost maakt certificaten voor Zetes en doet een update van de CRL9) Zetes zet certificaten op de kaart10a) Zetes zet alle andere info op de kaart, deactiveert de kaart en stuurt ze naar gemeentehuis (G4)10b) Zetes stuurt PIN + PUK2 naar burger11) Burger ontvangt uitnodiging om kaart op te halen 12) Ambtenaar start activatieprocedure: aanmaak private sleutels, update CRL door CA
Het uiterlijke van de eID Het uiterlijke van de eID (1)(1)
Naam, voornamen, geboorteplaats en –datum, geslacht, kaartnr., geldigheid, handtekening houder, foto
24-02-2012 on5uk@base.be 8
Het uiterlijke van de eID Het uiterlijke van de eID (2)(2)
24-02-2012 on5uk@base.be 9
Rijkregisternr., plaats van afgifte, handtekening van de gemachtigde ambtenaar, MRZ (Machine Readable Zone)
NIET: adres, beroep, burgerlijke stand
Het uiterlijke van de eID Het uiterlijke van de eID (3)(3) Beveiligingselementen Beveiligingselementen
Zie https://www.checkdoc.be
24-02-2012 on5uk@base.be 10
1) Rainbow and guilloche printing
2) Changeable Laser image
3) Optical variable ink
4) Alphagram
5) Reliëf en UV print
6) Laser engraving
Wat heb je nodig?Wat heb je nodig?
24-02-2012 on5uk@base.be 11
- PC
- Kaartlezer (met of zonder klavier)- Zie www.cardreaders.be
- Middleware (laat toepassingen communiceren met de eID)
- Zie eID.belgium.be
DEMO EID-VIEWER
De chip De chip
24-02-2012 on5uk@base.be 12
CPU: 16 bitsCrypto processor (RSA, DES)ROM: 136 KB met OSEEPROM:32 KB met Belpic applet en data (sleutels, certificaten, ID)RAM: 5 KB
Alle gegevens die uiterlijk zichtbaar zijn + adresData getekend door RR
Geen andere gegevens op de kaart (kaart is sleutel voor toegang tot andere DB)
Het gebruik van de private sleutels kan enkel via de PIN-code
De private sleutels worden aangemaakt bij de activatie van de kaart. Ze verlaten nooit de kaart
Geen encryptiesleutel
Hash?Hash?
24-02-2012 on5uk@base.be 13
Algoritme (MD4, MD5, SHA1…) waarmee men een verkorte versie van het document maakt.
-Eenvoudig om aan te maken
-Verschillende documenten verschillende hashes
-Omgekeerde bewerking uitgesloten
-Elke wijziging van het document wijzigt de hash
- Hash gemaakt door de toepassing
Principe van de digitalePrincipe van de digitale handtekening (1) handtekening (1)
24-02-2012 on5uk@base.be 14
Principe van de digitalePrincipe van de digitale handtekening (2) handtekening (2)
24-02-2012 on5uk@base.be 15
BELANGRIJK
1)Integriteit, authenticatie en onloochenbaarheid OK, vertrouwelijkheid NOK (encryptie).
2)De tekst, digitale handtekening en certificaat moeten samen bewaard blijven. Bij uitprinten verliest de ondertekening zijn geldigheid. Bijzondere maatregelen om de geldigheid van de handtekening in de tijd te kunnen aantonen.
3)De status van het certificaat van de afzender moet gecontroleerd worden!
4) WISIWYS?
5) Geldigheid op lange termijn?
ToepassingenToepassingen
Browsers, mailprogramma’s, tekstverwerkers, rekenbladprogramma’s enz. moeten geconfigureerd worden.
Verloopt meestal automatisch via QuickInstall, maar niet altijd en niet voor alle programma’s.
Zie: http://eid.belgium.be/nl/je_eid_gebruiken/hulp_nodig_/problemen_met_de_installatie/
24-02-2012 on5uk@base.be 16
Demo authenticatieDemo authenticatie
24-02-2012 on5uk@base.be 17
ON5UKeID/middleware
Browser Website RR1
65
4
3
1
2
1) Website stuurt “challenge” naar browser2) Browser activeert de middleware. ON4BOB geeft pincode.3) Browser zend hash van challenge naar eID. eID encrypteert hash
met private sleutel4) eID zendt handtekening + certificaat naar browser5) Browser stuurt handtekening + certificaat naar website6) Website maakt hash van challenge, decrypteert handtekening
met publieke sleutel en vergelijkt hashes.
Demo Thunderbird, Demo Thunderbird, Word,Sign Word,Sign
- Gebruik voor mails het authenticatiecertificaat !
- Mail: de handtekening gaat verloren bij een forward.
- Word: de handtekening gaat verloren bij elke wijziging, kopie, …
- Controleer bij ontvangst de geldigheid van het certificaat bij de certificator:
- http://repository.eid.belgium.be
24-02-2012 on5uk@base.be 18
IdentiteitsfraudeIdentiteitsfraude
24-02-2012 on5uk@base.be 19
- Een van de snelst groeiende misdaden- Uw identiteit is geld waard- Behandel uw IK en uw pin-code zoals uw bankkaart- Jaarlijks 100.000 IK verloren en 50.000 gestolen.- Wat te doen bij verlies of diefstal:
CheckdocCheckdoc
https//www.checkdoc.be
24-02-2012 on5uk@base.be 20
Controleer zelf de geldigheid van een eID, paspoort, …
EvolutieEvolutie
24-02-2012 on5uk@base.be 21
Geldigheid eID 5 10 jaar Integratie SIS kaart (barcode)
EEPROM:32 64 KB
LinksLinkshttp://www.ibz.rrn.fgov.be/http://repository.eid.belgium.be/http://eid.belgium.be/https://www.docstop.be/DocStop/https://www.checkdoc.be/CheckDoc/
https://securehomes.esat.kuleuven.be/~decockd/wiki/bin/view.cgi/Main/WebHome
http://www.cardreaders.be/nl/default.htmhttp://eid.startpagina.be/https://sign.belgium.be/index.action
24-02-2012 on5uk@base.be 22