De eIDDe eID

24-02-2012 ON5UK

24-02-2012 on5uk@base.be 1

Ontstaan van de eIDOntstaan van de eID

Fedict: promotie e-gov+

Binnenlandse Zaken: veiligheid Identiteitskaart=

2003: eerste eID in 11 pilootgemeentenEind 2004: nationale uitrolEind 2009: elke Belg heeft zijn eID

24-02-2012 on5uk@base.be 2

Waartoe dient de eID?Waartoe dient de eID?

1) Visuele identificatie2) Digitale identificatie: uitlezen van de

gegevens in de chip3) Uw identiteit bewijzen (authenticatie)4) Digitaal tekenen van documenten5) Reisdocument

24-02-2012 on5uk@base.be 3

Beveiliging met symmetrische sleutelsBeveiliging met symmetrische sleutels

24-02-2012 on5uk@base.be 4

ON4BOB

ON7ALICE DL1HELGA

F2LOUISE

- Op basis van een gedeeld geheim- Aantal sleutels=n(n-1)/2- Elk lid houdt (n-1) sleutels bij

PKI PKI (Public Key Infrastructure)(Public Key Infrastructure)

24-02-2012 on5uk@base.be 5

- Elk lid ontvangt een sleutelpaar: 1 publieke + 1 geheime sleutel. De ene kan niet uit de andere afgeleid worden.

- Aantal sleutels=2n- Elk lid houdt 1 sleutel bij- Wie verzekert mij dat de publieke sleutel die van ON7ALICE is?

certifiëringsorganisme (CA)

Productie van de eID (1)Productie van de eID (1)

24-02-2012 on5uk@base.be 6

Rijksregister

Gemeente0

1

2

3

4

5

6 78

9

10a

10b PIN+PUK2

11

12

Productie van de eID (2)Productie van de eID (2)

24-02-2012 on5uk@base.be 7

0) Burger ontvangt uitnodiging of neemt initiatief1)Burger naar gemeentehuis met foto.2)“Face to face” identificatie. Plaatsen handtekeningen op basisdocument.3,4) Zetes ontvangt aanvraag aanmaak eID via RR. Zetes ontvangt basisdocument via G4.5) Zetes start productie kaart6) Zetes stuurt PUK1 naar RR7) Zetes vraagt 2 certificaten aan Certipost8) Certipost maakt certificaten voor Zetes en doet een update van de CRL9) Zetes zet certificaten op de kaart10a) Zetes zet alle andere info op de kaart, deactiveert de kaart en stuurt ze naar gemeentehuis (G4)10b) Zetes stuurt PIN + PUK2 naar burger11) Burger ontvangt uitnodiging om kaart op te halen 12) Ambtenaar start activatieprocedure: aanmaak private sleutels, update CRL door CA

Het uiterlijke van de eID Het uiterlijke van de eID (1)(1)

Naam, voornamen, geboorteplaats en –datum, geslacht, kaartnr., geldigheid, handtekening houder, foto

24-02-2012 on5uk@base.be 8

Het uiterlijke van de eID Het uiterlijke van de eID (2)(2)

24-02-2012 on5uk@base.be 9

Rijkregisternr., plaats van afgifte, handtekening van de gemachtigde ambtenaar, MRZ (Machine Readable Zone)

NIET: adres, beroep, burgerlijke stand

Het uiterlijke van de eID Het uiterlijke van de eID (3)(3) Beveiligingselementen Beveiligingselementen

Zie https://www.checkdoc.be

24-02-2012 on5uk@base.be 10

1) Rainbow and guilloche printing

2) Changeable Laser image

3) Optical variable ink

4) Alphagram

5) Reliëf en UV print

6) Laser engraving

Wat heb je nodig?Wat heb je nodig?

24-02-2012 on5uk@base.be 11

- PC

- Kaartlezer (met of zonder klavier)- Zie www.cardreaders.be

- Middleware (laat toepassingen communiceren met de eID)

- Zie eID.belgium.be

DEMO EID-VIEWER

De chip De chip

24-02-2012 on5uk@base.be 12

CPU: 16 bitsCrypto processor (RSA, DES)ROM: 136 KB met OSEEPROM:32 KB met Belpic applet en data (sleutels, certificaten, ID)RAM: 5 KB

Alle gegevens die uiterlijk zichtbaar zijn + adresData getekend door RR

Geen andere gegevens op de kaart (kaart is sleutel voor toegang tot andere DB)

Het gebruik van de private sleutels kan enkel via de PIN-code

De private sleutels worden aangemaakt bij de activatie van de kaart. Ze verlaten nooit de kaart

Geen encryptiesleutel

Hash?Hash?

24-02-2012 on5uk@base.be 13

Algoritme (MD4, MD5, SHA1…) waarmee men een verkorte versie van het document maakt.

-Eenvoudig om aan te maken

-Verschillende documenten verschillende hashes

-Omgekeerde bewerking uitgesloten

-Elke wijziging van het document wijzigt de hash

- Hash gemaakt door de toepassing

Principe van de digitalePrincipe van de digitale handtekening (1) handtekening (1)

24-02-2012 on5uk@base.be 14

Principe van de digitalePrincipe van de digitale handtekening (2) handtekening (2)

24-02-2012 on5uk@base.be 15

BELANGRIJK

1)Integriteit, authenticatie en onloochenbaarheid OK, vertrouwelijkheid NOK (encryptie).

2)De tekst, digitale handtekening en certificaat moeten samen bewaard blijven. Bij uitprinten verliest de ondertekening zijn geldigheid. Bijzondere maatregelen om de geldigheid van de handtekening in de tijd te kunnen aantonen.

3)De status van het certificaat van de afzender moet gecontroleerd worden!

4) WISIWYS?

5) Geldigheid op lange termijn?

ToepassingenToepassingen

Browsers, mailprogramma’s, tekstverwerkers, rekenbladprogramma’s enz. moeten geconfigureerd worden.

Verloopt meestal automatisch via QuickInstall, maar niet altijd en niet voor alle programma’s.

Zie: http://eid.belgium.be/nl/je_eid_gebruiken/hulp_nodig_/problemen_met_de_installatie/

24-02-2012 on5uk@base.be 16

Demo authenticatieDemo authenticatie

24-02-2012 on5uk@base.be 17

ON5UKeID/middleware

Browser Website RR1

65

4

3

1

2

1) Website stuurt “challenge” naar browser2) Browser activeert de middleware. ON4BOB geeft pincode.3) Browser zend hash van challenge naar eID. eID encrypteert hash

met private sleutel4) eID zendt handtekening + certificaat naar browser5) Browser stuurt handtekening + certificaat naar website6) Website maakt hash van challenge, decrypteert handtekening

met publieke sleutel en vergelijkt hashes.

Demo Thunderbird, Demo Thunderbird, Word,Sign Word,Sign

- Gebruik voor mails het authenticatiecertificaat !

- Mail: de handtekening gaat verloren bij een forward.

- Word: de handtekening gaat verloren bij elke wijziging, kopie, …

- Controleer bij ontvangst de geldigheid van het certificaat bij de certificator:

- http://repository.eid.belgium.be

24-02-2012 on5uk@base.be 18

IdentiteitsfraudeIdentiteitsfraude

24-02-2012 on5uk@base.be 19

- Een van de snelst groeiende misdaden- Uw identiteit is geld waard- Behandel uw IK en uw pin-code zoals uw bankkaart- Jaarlijks 100.000 IK verloren en 50.000 gestolen.- Wat te doen bij verlies of diefstal:

CheckdocCheckdoc

https//www.checkdoc.be

24-02-2012 on5uk@base.be 20

Controleer zelf de geldigheid van een eID, paspoort, …

EvolutieEvolutie

24-02-2012 on5uk@base.be 21

Geldigheid eID 5 10 jaar Integratie SIS kaart (barcode)

EEPROM:32 64 KB

LinksLinkshttp://www.ibz.rrn.fgov.be/http://repository.eid.belgium.be/http://eid.belgium.be/https://www.docstop.be/DocStop/https://www.checkdoc.be/CheckDoc/

https://securehomes.esat.kuleuven.be/~decockd/wiki/bin/view.cgi/Main/WebHome

http://www.cardreaders.be/nl/default.htmhttp://eid.startpagina.be/https://sign.belgium.be/index.action

24-02-2012 on5uk@base.be 22