Abuse Melding

Je hebt een klacht over de onderstaande posting:

31-08-2005, 14:26 door Anoniem

Gelieve steeds te bemerken dat als je de pin code van je EID niet hoeft in te geven (is blijkbaar de meest geliefde implementatie), er geen sprake is van authenticatie enkel identificatie. De info die door de website/identificatie software wordt uitgelezen zijn de publieke velden (certificaat, leeftijd, geslacht, ..) deze kunnen gecopieerd worden op een andere (java)smartcard. Zonder gebruik te maken van de pin (en dus private sleutel) ben je als website/tegenpartij dus nergens zeker van. Het is enkel door de smartcard een bewerking te laten uitvoeren met de private sleutel dat men zeker is dat a) de persoon aan de andere kant de kaart in zijn bezit heeft (we gaan ervan uit dat de private sleutel nooit de kaart kan verlaten) b) de persoon de pin code van de kaart kent a+b geeft enige zekerheid dat dit ook de eigenaar is van de kaart. (met verificatie van de revocation status kan je de consequenties van diefstal/verlies van de kaart en bij horende pin nog verder ...

Beschrijf je klacht (Optioneel):

captcha