EID = vals gevoel van veiligheid
EID of Electronic Identity is een security hulpmiddel dat in de eerste plaats tot doel heeft om gegevens die voorheen duidelijk leesbaar op de buitenkant van de identiteitskaart stonden op een veilige manier op te slaan via een smartcard.
Nu, krijgen we een vals gevoel van veiligheid? Enkele problemen op een rijtje volgens security expert en onderzoeker Jan Guldentops.
Technische problemen
EID is een geweldige stap voorwaards, maar er zijn duidelijk wat problemen op vlak van de veiligheid en vooral van de uitwerking van de EID software. Cryptografisch zijn er een heel pak issues, en de toepassingssoftware zit nog vol met kinderfoutjes. Op vlak van privacy kunnen we zeggen dat quasi elke applicatie de gegevens van de EID kaart kan uitlezen.
De EID-authenticatie kan veilig zijn maar de rest van alles wat er rondhangt is dat daarom niet, en dat is net het probleem. Bijvoorbeeld de kaartskimmers die een toestelletje in een ATM of bankkaartlezer verstoppen en zo kaarten uitlezen.
EID is een radertje van het geheel. De EID is geen eiland op zich en heeft bijgevolg toepassingen nodig, die per definitie niet veilig zijn.
Politieke problemen
De EID is een heilige koe daar het een illusie creëert van valse veiligheid. Als een applicatie of toepassing met de EID werkt, wordt ze vaak a priori als veilig aanzien.
Vooral de grootheidswaanzin van politici, waarbij men allerlei nieuwe nationale applicaties opdringt, zoals taxonweb. De norm van IT veiligheid binnen de overheid moet nog op een belangrijke manier matuur worden. De omerta is dat ik niet bang moet zijn van de hacker!? Maar de security onderzoeker die laat zien wat hij doet en met zijn hack naar buiten komt wordt zo goed als doodgezwegen.
Regelrechte struisvogelpolitiek. Sluit de klokkenluider op, koop hem om, maar luister toch niet naar hem en los je problemen op! Bijvoorbeeld, in 1996 publiceerde ik een verhaal over mijn bevindingen bij de eerste Belgische internetbank. Daar was het heel eenvoudig mogelijk om de achterliggende structuur te zien en een overzicht van de rekeningstanden en transacties op te vragen.
Controle problemen
Als laatste is er ook een duidelijk gebrek aan controle! Wie gaat de toepassingen certificiëren? Hoe gaan we om met de publicatie van best practices? Op welke regelmaat moeten er audits doorgevoerd worden en wie gaat ze doen?
Geschreven door Jan Guldentops
