eid - Page 2

  • Open Source EID reader for browsers

    Someone here around still believes that browsers are secure enough to use and integrate EID and smartcards and the confidential (financial) transactions that come with it.

    Some programmers from the official project have launched an open source project on Google to read the EID data with or within a browser.

    "The eID Applet is a browser component to enable the use of the Belgian eID card within web applications in the most user friendly way possible today. The eID Applet runs on Windows, Mac OS X, and Linux platforms and supports a wide range of web browsers including Firefox, IE, and Safari. Since the eID Applet can run both with or without eID Middleware installed, it puts minimal requirements on the client browser environment.

    The eID Applet SDK allows for web developers to operate the eID Applet with ease while staying focused on the application business requirements. The eID Applet developer's guide is a good starting point for web developers and enterprise application architects.

    Make yourself member of the eID Applet group for free support and staying up to date with the eID Applet project. Given the constant security threats in the world of web applications, the security features of the eID Applet are ever evolving. Every day we invest effort in keeping the eID Applet as safe as possible by applying innovative security concepts. Via the eID Applet group we also keep you informed about eID Applet security updates.
    http://code.google.com/p/eid-applet"

    anyone an opinion (even anonymous) about the security of this code ?

    if necessary we can transfer the information without publication (responsable disclosure) as we often do....

  • the slow but steady diffusion of our national registration number

    You can compare it a bit with the social security number in the US for all transactions with egov applications. The RRN as it is called is part of our EID and is supposed to be kept secret and seperate when the EID is being used.

    It is always interesting to read how programmers are pushing the limits and trying to do logical things but that has some dangerous consequences if their belief in the security of the protocols and methods and insider security are proven to be wrong.

    So on the EID forum, I have come across this discussion

    "

  • I know it is not legal to save the national number (rijksregisternummer) in the database.
    But is it legal to use the national number as an argument for a one-way hash function (M5, SHA-1, ...) and save the return value of this a one-way hash function in the database? Johan -- AnonYmous - 09 Mar 2009, 11:40:07
  • Although no official position was never taken, this should be safe.
    Add some static data (like your company name) to the national number before hashing it, so the results are different from another implementation. -- MarcStern - 09 Mar 2009, 13:08:35
  • Given that the RRN is present in the public certificates, is it illegal to keep signed emails in a mail archive? In front of the law it's not very different from a database as you could retrieve the same information as well, especially if the mails get indexed.
    I'm curious to know the law text that makes RRN databases illegal and how they tackle the mailboxes... -- PhilippeTeuwen - 09 Mar 2009, 20:12:46
  • hi, it all depends on the purpose why the number is used... if the use corresponds/matches the purpose, then there will be no issue with storing the national number... -- DannyDeCock - 10 Mar 2009, 00:48:46
    https://securehomes.esat.kuleuven.be/~decockd/wiki/bin/view.cgi/EidForums/ForumEidCards0079
  • all participants in this discussion are really the highest level of EID advisors running around here.

    and as it is mentioned our RRN is also somewhere in the digital signatures of the online mail and forms that are kept in databases here and there.

    so we could say there is a certain diffusion of RRN numbers taking place....

  • Belsec and the Belgian EID in 2008

    2008 started with the month of the EID and we had to close that month down due to a discovery that astonished us so much that we were afraid about what could come next that it was better to inform the responsable people that even those simple bypasses were possible

    It was also the year of the first critical report - even if it could go a bit further and was stonewalled by propaganda and a gaff by some politician that diverted the attention.

    The update that was published several months later seems even more flawed and for the moment we don't understand what is happening and are utterly confused between middleware, driver and security and quality controls and are not sure about what people are talking and what will be the way forward.

    This year also showed that there is a total lack of opennes and audits and research for a project that is so important for our society, privacy and industry.

     11/11/08 12:15 comix : belsec birthday and EID (Electronic Identity Card)

    11/11/08 12:00 Exclusive : EID : Has Microsoft rewritten some code ?
    26/10/08 22:58 New EID privacy protection already bypassed ? 
    16/10/08 16:14 Massachusetts Issues Comprehensive ID Theft Prevention Regulations 
    19/10/08 23:24 hacked Cert-ID service yes really.... 
    19/10/08 23:39 workshop voor veilige ontwikkeling EID 13 november 
    16/10/08 16:52 EID and Ehealth : introduction (presentation) 
    30/09/08 14:47 E-passports can be falsified without any alerts going off, make your own 
    26/09/08 12:59 E-land archive : Vragen bij de EID deel 5
    26/09/08 12:59 E-land archive Vragen bij de EID deel 4
    26/09/08 12:58 E-land archive Vragen bij de EID deel 3 
    26/09/08 12:55 E-land archive Vragen bij de EID deel 2 
    26/09/08 12:54 E-land archive Vragen bij de EID deel 1 
      20/08/08 14:12 the new Belgian EID middleware is nowhere to be seen 
    10/08/08 21:19 Belgian RFID passport can be tampered with without much risk ? and 38 others....
    25/06/08 09:49 EID not integrated in MSN chat or Microsoft
    25/06/08 09:16 EID : the press announcement of the Administration 
    13/06/08 09:59 EID : representative Jambon makes some mistakes
    13/06/08 09:08 It is now time to make your ideas and proposals about a secure EID public or known
    13/06/08 08:43 Onderzoek over EID door Leuvense professoren online 
    04/06/08 00:19 Do not place your passport in a microwave - this is official
    04/06/08 00:15 Parlementaire vraag over de RFID chip in onze paspoorten 
    29/05/08 13:40 EID : I am a man now and a woman online 
    02/06/08 10:47 Hoe met social engineering EID en federaal token misbruiken ? 
    17/05/08 15:01 EID some articles about the EID video and the privacywall leak 
    16/05/08 11:31 EID : we are no part of a hidden campaign
    16/05/08 10:50 EID why developers hate security and want to forget about it
    15/05/08 12:53 FEDICT responds to the film about EID and some thoughts about the solution
    15/05/08 12:16 Book with 'Best of Practices for developers of EID Middleware'
    29/04/08 15:26 Huge mistake when using your eID 
    18/04/08 14:49 The mifare attack video's (RFID - Smartcard) 
    23/04/08 17:17 Belgian EID and the Microsoft question 
    18/04/08 09:24 Belgian eID card extension integrated in Apache’s next version
    28/03/08 19:43 Vulnerable EID login servers without monitoring
    28/03/08 19:25 EID replacing the root certificates and rootservers 
    20/03/08 13:55 EID BEST PRACTICE TO KEEP ALWAYS IN MIND
    18/03/08 15:05 EID must read articles 
    13/03/08 15:01 RFID access cards are hackable 
    13/03/08 14:32 Roel Deseyn stelt parlementaire controle op EID voor 
    07/03/08 11:57 Will our EID have medical data or not ? 
    03/02/08 09:39 two new action buttons safe internet and private EID 
    19/01/08 10:45 Belgian E-ID Nr 12 some basic guides by Marc Stern 
    13/01/08 01:04 Belgian E-ID Nr 11 : keyloggers work with E-ID 
    03/01/08 16:45 Belgian E-ID Nr 3 : read any E-id you have 
    03/01/08 13:16 Belgian E-ID Nr 2 : what does Privacy International think ?
  • EID and MD5 (update 1 important)

    MD5 is a encryption method that has been broken before and as such gives not much protection to your data or code if you use MD5 to protect (hide) it from external sources.

    This is what a specialist told us about EID and MD5 as we asked him the question because MD5 is being routed out of codes and transactions around the world and as Microsoft has said that MD5 has no place in the Secure Development Lifecycle.

    - eID supports signing mechanisms using SHA1 or MD5 or RIPEMD but it
    depends what the application is asking for.
    - eID files:
      EF(ID#RN) contains SHA-1 hash of the picture
      EF(SGN) contains SHA-1 RSA signature of the other files
      EF(PuK#7 ID) contains SHA-1 hash of the CA Role Public Key
    - certificates:
      All personal & root certificates are signed with SHA-1 RSA signatures

    So no MD5 unless your own application wants your eID to create a MD5
    signature...

    my comment : and here is the catch, it accepts to work and transfer data - your data - with an application that uses MD5 even when MD5 is being called unsafe.

    EID should begin to think differently. They should begin to think that they will only interact with hardware like card readers that have certified as being secure and the EID will only work with applications that are secure enough and certified as such. Just going by blind trust is being too blind to be trusted. It is not because it works with EID and EID has been totally or not security developed that every application and hardware that has been developed for it is as secure.

    This is the reason that the creditcard companies have developed the PCI standard. Because you can only trust the things you can control yourself. The PCI standards is far from perfect, but it has the merit of being there. There is nothing for the EID except some best of practices book that is only available in book and that is even not made by the agency that has brought the EID on the market and is as such not responsable for the book.

    If anyone wants to add to this discussion, you can, feel free

    Marc Stern did, one of the EID specialists in Belgium, we copy the text here so you don't have to open a new tab to read the posting. It is an interesting read about the importance of security in the process. 

    " When we created the specifications of the eID, in 2001, almost all existing applications (browsers, e-mail clients, etc.) were using MD5 only. So we had to support it, although we already knew it should not be used by well secured applications.

    I am pretty sure that MD5 will not be supported anymore in the next version of the card - although we may have to support SHA-1 for some time, although it is already considered as weak :-(   Marc Stern   marc.stern(at)approach.be www.approach.be"

  • Parlementaire vraag en antwoord EID

    Na een jaar aandringen zijn de audit rapporten toegankelijk voor parlementairen. (For our English readers : After a year of asking it is now possible for members of parliament to have access to the official (but secret) audit reports about EID that are already some years old).

    Indien het niet voor de inzet van Roel Deseyn was, zou het onderwerp nooit op de politieke agenda blijven staan. We hebben hem daarvoor ook genomineerd volgend jaar en zijn benieuwd wat hij dit jaar zal uitspoken om weer genomineerd te worden :) Er is immers werk genoeg op tafel en bitter weinig echte vooruitgang geboekt sinds de hoorzittingen verleden jaar terwijl de problemen met de beveiliging steeds groter en complexer worden.

    Minister Depadt toont heeft hier trouwens een zekere inspanning gedaan om wat duidelijkheid te verschaffen. We bedanken alleszins voor de beperkte openbaarheid van de auditrapporten die kunnen bijdragen tot een betere discussie en inzicht in de problematiek van de EID en de vereisten naar de toekomst toe.

    We willen er echter wel op wijzen dat er misschien toch nog fundamentele problemen zijn met deze upgrade want wat als antwoord wordt gegeven is zelfs volgens de eigen informatie van het rijksregister niet helemaal correct. Lees maar eens deze postings.

    We hopen echter vooral dat Minister DePadt niet de hardnekkige ontkenning van zijn voorganger zal volgen maar de problematiek met verantwoordelijkheid, rust en leiderschap aan de ene kant en openheid en kritisch debat (een liberaal principe, toch) aan de andere kant zal tot een goed einde brengen.

    Misschien hebben we geen Marshallplan nodig, maar een plan Depadt. De centrale vraag in dat plan is er in dat plan niet alleen plaats voor kwaliteitscontrole, processen en procedures maar ook voor externe testen, kritiek en debat. De electronische identiteitskaart is te belangrijk om enkel en alleen aan de techneuten over te laten.

    We hopen dus op witte rook tijdens deze wittebroodsweken.... :)

    All our EID research http://belsec.skynetblogs.be/tag/1/EID

    Parlementaire Vraag EID (page 44)

  • trying to use my EID online

    not so simple

    they say configuration not in order (that is new to me) and give some links to pages that don't exist anymore  or just say something I can't do anything with

    or give warnings like this

     

    bo38

  • EID online document signing with EID and PDF conversion

    It is assumed that you have ready a document to sign (on your hard drive).


    1 - First, select the file to sign by clicking the "browse" button.

    2 - Then click the button "I am ready to sign". After a short time you document is converted in pdf format (this time depends on the size of your original document), a window opens and displays your document.

    3 -
    Scroll to the last page of your document where are located the signature zones. In this beta version of the service, there are two areas of signature. (If you need more than two signatures, please let us know). Click on one of the signature rectangles on this the last page to sign. Then enter your PIN code, as requested.

    Done, the document is signed including a time stamp in the PDF! Save it on your disk and / or transmit it to the next eventual signing person.

    https://signbox.eidcompany.be/

    now we need only more privacy, security and certification. EID is a great idea if one can assure the security and privacy completely. The user is interested in something that is secure, not something that is easy. The accent of the upgrade is not enough based upon security and privacy. This is a pitty because the possibilities are enormous. Maybe someone somewhere some day will realise this. First security and privacy than userinterface and than all the rest will follow. Now it is just a bomb waiting for the first real hard attackresearch to happen.

  • EID technical information in english

    http://eid.belgium.be/nl/Achtergrondinfo/De_eID_technisch/index.jsp in dutch but the texts of the pdf files are in English and this is the same for the french. I hope everybody speaks and understands english as good as an english speaking person.

    I don't

     

     

     

  • EID does not like the Apple token system

    "The tokenD developped by Apple had some serious shortcomings:

    Usage of the non-repudation certificate is not possible

    Usage of the authentication certificate works for "older" eID cards but not for newer cards "

  • EID : another way to hijack the information again

    sorry guys I am not making this up but this is the security warning

    but is this based upon an MD5 code (which is unique for each version of an application and changes after each update or change and which would make it difficult to change the name of an application to another for example)

    read this and remember the film how the first was bypassed and think again

    " Whenever an application, using the eidlib tries to read the public data from the eID card, a warning dialog is displayed, informing the user and asking her/his permission. The dialog is displayed only once during the lifetime of the application" source

  • EID the privacy service is gone and how to bypass the new one....

    What was the problem ?

    The problem was that there was much publicity about a privacy firewall. It would warn you when an application tried to read the data on your EID chip and export it (to where-ever in XML for example to be combined with other stolen data). But that privacyfirewall is gone. It made some wrong expectations, they say ....

    What is the situation now ?  we citate

    "The privacy service was removed from the v3.5, and replaced by an access dialog warning the user the application is reading one of the ID-related files. This dialog is not displayed for applications built against a v2.6 runtime and off course the old privacy service is not present anymore. The old v2.6 application filtering is known to be "defunct" but part of the v2.6 runtime and still present for v2.6 applications. " source

    So this says my pentesting mind. § I make an application that is built upon the 2.6 runtime. Any new EID card will have no warning at all.... §

    should have put a warning that the application was in a 2.6 runtime environment and could read your data...... except if I understand it wrongly... please tell me I am wrong....  This would be too simple.... or not....

  • EID update : how will it be organised, if there is any organisation ?

    There is a new middleware available. This is good and we support good things. But it is only good if it is distributed. What are you with patches that aren't installed ?

    Will there be a campaign ? Will all old EID middleware that contacts a central service be alerted that it needs to be upgraded for security and functional reasons ? Will all providers that use the EID be informed and asked to organize an upgrade ? Will it be included in the Microsoft updates (GREAT IDEA) and if I was MIcrosoft I would do it....

    It also seems that the update is quite impressive and that it will have consequences that are foreseen and not foreseen. The EID is an open software that is being used in lots of processes in very particular ways. This is another problem with the EID. There is too little control and management, version control and technical documentation (like norms and standards and certification)

    But the first management question here is how to get the update as fast as possible to as many people as possible. And to be sure that the helpdeks is ready to answer any question and send any technical problems to the developpers to find solutions and prepare the next upgrade.

  • EID : the new middleware is official

    You can find it here

    http://eid.belgium.be/nl/Hoe_installeer_je_de_eID/Quick_Install/

    The old middleware will be replaced. The old middleware had some serious problems with security and privacy. We also know that the old middleware was questioned by some in Microsoft.

    We are curious to know how this new middleware will withstand attacks and bypassing. We hope they have done some securityresearch themselves.

    We will not necessarily divulge or publish information we receive, but it will come in the right hands as fast as possible. Security researchers that send us this information won't be prosecuted if they don't publish the information. The publication of the information will be negotiated with FEDICT. You have to be precise under which name (or anonymous) you want to be known. This blogger is not an expert coder, so don't think I am the culprit.

    The goal is to have a secure EID system with security testing that is inherent in the developpement process and with a formalized 'responsable disclosure' policy.

    But we still have a long way to go. The readers for the EID cards for example aren't equally secure.... this was discovered in the beginning of the year. A hardened secure encrypting EID reader should be the goal for 2009. We don't need 10, we only need 1 that is very secure and that can be upgraded by a simple process.

  • Belgian EID : check 24/365 if it was stolen

     the administration has just made available two services to determine whether a Belgian identity document has been stolen, lost, invalidated, etc. 
    CheckDoc (cf. https://www.checkdoc.be) is an online service that allows anyone (after userid/password authentication) to determine whether a Belgian identity document is valid or not. 
    DocStop is a phone-based service, available at the international free number 00800 2123 2123 (or at the non-free number +32 2 518 2123). 
    Both services are available 24 hours a day, every day of the year, and permit the validation or revocation of any chip-based identity document issued in Belgium. These services allow anyone to avoid the risk of fraudulent use of Belgian identity documents, as well as the financial consequences from any such use

    by Danny De Cock 

  • New EID privacy protection already bypassed ?

    In the EID forum of university researcher Danny Decock some people complained that in the new middleware the privacy firewall was directly enforced and enabled. This was the response on our video that showed that with a small change in the registry one can make any application authorized to read all the data on the EID without any warning.

    The forum shows how to disable the new protection with some very simple code. So the new protection does not really solve anything and ain't so hard as it was announced to be - even if it is months to late and it is not clear at all how the older versions of the middleware will be upgraded.

    Popup warning about/preventing eid card accesses...

    • When using this link http://b-eid.com/project/?p=contact there is always a popup that asks "een webapplicatie vraagt toegang tot uw kaart". Is there no way that I can put firefox a.o. as allowed applications ... ?? -- AnonYmous - 14 Oct 2008, 11:50:55
    • The eid card middleware is responsible for this popup... I am checking out how to control this... -- DannyDeCock - 14 Oct 2008, 14:43:38
    • http://eid.belgium.be/nl/binaries/Release%20notes%20eID%20middleware%20v3%205_tcm147-22546.pdf
      ...tries to read the public data from the eID card, a warning dialog is displayed, informing the user and asking her/his permission. The dialog is displayed only once during the lifetime of the application.
      ... only once during the lifetime of the application ... ???
      This is not working, I get the popup every time ...
      -- AnonYmous - 15 Oct 2008, 08:47:16
    • Deze html code geeft geen popups (althans niet in IE explorer 7)

    <form name="actionform"> <applet codebase="." archive="beidlib.jar"

    code="be.belgium.eid.BEID_Applet.class" name="BEIDApplet" align="middle"

    height="180" hspace="0" vspace="0" width="140"> <param name="Reader"

    value=""> <param name="OCSP" value="-1"> <param name="CRL" value="1">

    <param name="DisableWarning" value="true"> </applet></form>

    Ben DE CAT (www.smarteid.be) -- AnonYmous - 21 Oct 2008, 16:10:55

    • Inderdaad,

    <param name="DisableWarning" value="true">

    toevoegen en je bent van die vervelende popup af. Werkt ook in FF3; Google Chrome moet ik thuis nog effe proberen.
    Met dank ... -- AnonYmous - 22 Oct 2008, 12:22:07

    so If I understand it correctly I maka e webpage with a form that has the following code and the user won't see any popup code ? Waah, explain that to a phisher....

  • workshop voor veilige ontwikkeling EID 13 november

    workshop 'eIDea2008 - Ontwikkeling van Veilige Toepassingen met de Belgische e-ID kaart'. Dit event vindt plaats in congrescentrum 'Het Pand' te Gent op donderdag 13 november 2008 en wordt georganiseerd in het kader van het onderzoeksproject 'eIDea'. Deze workshop is het resultaat van een samenwerkingsverband tussen KaHo? Sint-Lieven en KULeuven.

    Voor meer informatie en voor registratie kan u terecht op de website http://ingenieur.kahosl.be/projecten/e-idea/ws2008/ (gelieve te registreren voor 5 november 2008!).

    Programma:

    • 14u00 - 14u10 Welkom
    • 14u10 - 14u35 Willem Debeuckelaere (voorzitter Privacy Commissie) - "Beginselen van de privacy bescherming, ingezonderd bij gebruik e-ID"
    • 14u35 - 15u00 Peter Strickx (Chief Technology Officer Fedict) - "E-ID voor software ontwikkelaars"
    • 15u10 - 15u40 David Maelfait (Alphatronics), Johan De Vriendt (Arena Solutions), Frank Delanghe (DSoft) - "e-ID technology in concrete business toepassingen"
    • 15u40 - 16u10 Pauze
    • 16u10 - 16u40 Jorn Lapon (onderzoeker eIDea project) - "Een e-ID gebaseerd ticketing systeem"
    • 16u40 - 17u10 Frank Robben (general manager e-health platform) - "Uitdagingen bij de integratie van de Belgische e-ID kaart in e-health toepassingen"
    • 17u10 - 18u00 Panel: "Evolutie en toekomst van de Belgische e-ID kaart en toepassingen"
      Frank Robben (Kruispuntbank), Bart De Decker (KULeuven), Peter Strickx (Fedict), Willem Debeuckelaere (Privacy Commissie)
    • 18u00 - 19u30 Networking drink

    Bij verdere vragen i.v.m. de workshop kan U contact opnemen met vincent (dot) naessens (at) kahosl (dot) be.

    Gelieve deze uitnodiging te verspreiden naar potentieel geïnteresseerden die deze kritiekloze presentaties willen aanhoren :)

  • EID and Ehealth : introduction (presentation)

    A general presentation of the global certificate structure of the EID and how it is going to be used in the ehealth project.

    presentation

     

  • Massachusetts Issues Comprehensive ID Theft Prevention Regulations

    In keeping with the Patrick Administration’s commitment to protecting consumers, the Office of Consumer Affairs and Business Regulation (OCABR) last Friday issued a comprehensive set of final regulations establishing standards for how businesses protect and store consumers’ personal information. Additionally, Governor Patrick has signed an executive order requiring all state agencies to immediately take steps to implement security measures consistent with the requirements established by OCABR's regulations for private companies. The order calls for the adoption of uniform standards across government that protect the integrity of personal information and further the objectives of the identity theft prevention law

  • E-land archive : Vragen bij de EID deel 5

    We zullen deze serie over onze EID afsluiten met de kaartlezer voor de EID. De kaartlezer is zo'n bakske dat je krijgt of dat je kan kopen (of dat klaar staat) om je EID in te steken. Je hebt dit nodig indien je gebruik wilt maken van alle nieuwe mogelijkheden van deze nieuwe EID. Kaartlezers zijn echter belangrijk omdat ze de eerste bescherming zijn van de gegevens op de kaart. Een aantal onderzoekers proberen momenteel met verschillende soorten aanvallen om via deze kaartlezers de gegevens van de kaart te kunnen lezen of onderscheppen nog voor ze op de soms goed beveiligde computer komen. De opgang van skimming (waarbij de gegevens van je bankkaart door een frauduleuze kaartlezer worden bijgehouden) bewijst dat oplichters zich aanpassen aan de steeds betere bescherming van andere onderdelen van het betalings- of identificatieproces (wie ben je ?).

    De hele interesse voor de EID ontstond bij mij toen ik mijn EID in een kaartlezer stopte en men mij niet vroeg om een pincode in te vullen. Dit was voor het gemak van de politieagenten, maar ik vroeg me wel af of we hiermee niet teveel controle verloren. Zelfs als alle gegevens publiek zijn op de kaart, kan men op deze manier op een geautomatiseerde manier persoonsgegevens onderscheppen, bijhouden en versturen om te verwerken. Zonder de EID zou het veel moeilijker zijn geweest.

    Op het internet staat een website met verschillende kaartlezers die men kan kopen. Aan de ene kant zijn er de gewone goedkope lezers die geen enkele vorm van bescherming bieden en aan de andere kant zijn er de duurdere die worden geacht om een betere bescherming te bieden. Deze laatste zouden  vooral in handelszaken en overheden worden gebruikt. Er staat echter nergens vermeld wanneer en hoe die kaartlezers werden getest en aan welke veiligheidsnormen ze beantwoorden.

    Sommige van die kaartlezers bleken tijdens het onderzoek van de EID door verschillende bloggers niet bestand tegen virussen die de gegevens van de EID kaart konden onderscheppen en versturen. We weten dus niet welke kaartlezer in welke mate veilig genoeg is om hem op een veilige manier te kunnen aanbieden aan uw klanten of bezoekers. Daarvoor dienen controleprocedures zoals deze voor al uw electrische toestellen thuis maar die blijkbaar niet worden toegepast op de kaartlezers voor uw EID. Men noemt dit certificatie. Dit betekent dat het toestel beantwoordt aan een serie veiligheidsnormen.

    En alhoewel de hele ontdekkingstocht naar de EID ons een serie onaangename verrassingen opleverde, blijven we realistisch. We zijn niet tegen de EID op zich en willen ze ook niet afschaffen. We stellen ook niet dat de EID momenteel een groot veiligheidsgevaar inhoudt. Het is wel zo dat de huidige EID onvoldoende normen en standaarden heeft die op gezette tijdstippen worden gecontroleerd door specialisten om er zeker van te zijn dat ze bestand zou zijn tegen enkele mogelijke aanvalsschema's. Deze zijn momenteel theorethisch. Maar het is hoe dan ook niet aanvaardbaar dat we sinds mei wachten op de aangekondigde veiligheidsupdate van de beschermingssoftware voor onze EID. De reden is dat men een veiligheidsupdate heeft samengevoegd met een grote update waardoor de veiligheidsupdate afhankelijk wordt van de rest. Het is belangrijk in een veiligheidsstrategie dat de veiligheidsupdates totaal onafhankelijk gebeuren van de andere updates. De enige belangrijke factor voor een veiligheidsupdate is de veiligheidsvereiste van haar veiligheidsupdate en de snelheid waarmee ze moet worden verspreid. Want met veiligheid begint en eindigt alles. Enfin, bij ons toch....

  • E-land archive Vragen bij de EID deel 4

    Wij houden van normen, standaarden, toezicht en controle tijdens zowel het opstellen, ontwikkelen als het installeren en onderhouden van een ITproject. Met EID zijn wij dan ook niet anders ingesteld dan tegenover elk ander ITproject. Het EID-project zou integendeel zelfs strenger moeten behandeld worden gezien het strategisch belang van dit project voor onze economie en privacy.
    We gingen dus op zoek naar deze normen en standaarden in het ITproject, maar kwamen van een kale reis terug. Aangezien men steeds vertelde dat het om een project ging waarvan de code zeer toegankelijk was, dachten we dus dat er permanent aangepaste publiekelijk beschikbare normen en standaarden en Best of Practices zouden zijn. Er waren wel enkele goedbedoelde individuele projecten en een halfslachtig niet altijd volledig officieel initiatief, maar dit is niet wat men kan verwachten van een dergelijk belangrijk ITproject. Het enige dat ons een beetje aan normen en standaarden deed denken was een werkgroep van vele grote ITnamen die ooit eens zei dat ze dergelijke normen zou opstellen, maar waar slechts een betalend boekje over Best of Practices de leegte een beetje moet opvullen. Die handleiding heeft ook noch de stempel van een officieel orgaan, noch de permanente kritische input van 'de gemeenschap'.

    Men verzekerde ons echter dat er normen en kwaliteitscontroles aanwezig waren en en wie waren wij om daaraan te twijfelen ?  Tot dat berichten verschenen in de pers over chips die uit de kaarten vielen en andere vergissingen in de data op de kaarten. Het waren kleine aantallen kaarten die procentueel onbelangrijk leken maar wel een indicator waren dat er een probleem was met de kwaliteitscontrole. Het effect van ons onderzoek was echter dat sommige interne medewerkers ook begonnen te praten en dat zij een boekje opendeden over het gebrek aan kwaliteitscontrole en projectmanagement dat zij zagen. Dit alles moet echter door onafhankelijke ITauditoren worden onderzocht en nadien worden bijgestuurd. En het was dan ook niet aan ons om dit te publiceren, maar wel om beleidsmakers hiervan op de hoogte te brengen.

    Dit stukje over normen en standaarden kon echter niet worden afgesloten zonder een verwijzing naar de disucssie over normen tussen Microsoft en de aanhangers van EID. Microsoft had zich van in het begin sterk geïnteresseerd in ons EID project. Bill Gates was indertijd zelfs naar België gekomen om er een valse EID te ontvangen. Na deze PR push bleek het allemaal nogal stil te vallen. De nieuwe CEO van Microsoft België gooide echter dit jaar de steen in het kippenhok. Hij stelde dat Microsoft zich enkel zou houden aan internationale kwaliteitsnormen en -standaarden op het vlak van smartcards (wat een EID is) en liet verstaan dat EID daar misschien wel niet aan voldeed. Het leek voor de buitenstaanders een bijzonder moeilijke discussie, maar ze is niet zonder belang. Het is niet echt duidelijk wat de huidige houding is van Microsoft tegenover de EID, maar het lijkt er wel op dat Microsoft de lat wilt hoger leggen dan men oorspronkelijk bij ons met EID van plan was. Misschien speelt hierin het feit dat Microsoft op het vlak van veiligheid doorheen haar hele bedrijf en gamma de kwaliteitslat steeds hoger aan het leggen is. In veiligheid is stilstaan in feite achteruitgaan. Het wordt misschien tijd voor een grote sprong voorwaarts voor de Belgische EID.