Hier kunnen wij het zo vreselijk mee eens zijn. Enerzijds zet het aan tot een gulle lach, maar is het eigenlijk om te huilen zo onverantwoord.

pkioverheid.nl kan niet eens een mailformpje maken... de 'contact' pagina van die site is een mooie spamrelay

De overheid kan helemaal geen website's bouwen dan puur op geluk.
Neem bijvoorbeeld www.aanlega50.nl, je hebt er vrijwel niks aan omdat het ding niet interoperabel is, je hebt persee MSIE nodig om de functionele secties in te kunnen zien. Daarvoor gaan wij niet speciaal Wine installeren onder Linux.
Belachelijk.

Zeker Linux. Onder Mac OS X werkt het prima.

En welke client gebruik je onder OSX? Zeker MSIE.

Lees nog eens het commentaar hierboven, maar dan heel nauwkeurig. Je kunt het best.

Mozilla, die kan het best.

Goed, ik heb Java en JavaScript bij hoge uitzondering aan en gebruik Mozilla 1.1 onder Linux:

Ga naar http://www.aanlega50.nl en kies voor ,,het project'', vervolgens voor ,,overzicht A50'' en klik op de afbeelding (afb. 1) om het programma te starten en het overzicht te bekijken. (zowat een der belangrijkste onderdelen)

Functioneerd dus niet.

Bij afbeelding 2 zou je op het schematisch overzicht op de betreffende regio's kunnen klikken om deze vergroot weer te kunnen geven (in geval afb. 1 niet werkt)

Functioneerd ook niet!

Is dat geweldig of niet van het Ministerie van Verkeer en Waterstaat?

Waardeloos.

Terwijl ze reeds maanden geleden al op de hoogte zijn gebracht van dat prutswerk.

Is jou toevallig het begrip interoperabiliteit ontgaan, dat het een hoog geprezen goed is op internet en onontbeerlijk bovendien?

Is het je daarbuiten ook ontgaan dat het totaal geen nut heeft om, zeker als ,,neutrale'' overheid, om puur specifiek voor één Browser site's te maken.

Men moet zich maar gewoon houden aan de geldende technische interoperabele internet-normeringen zodat iedereen het kan benaderen, waar overheid klaarblijkelijk geen ster in is.

Het is inderdaad heel erg onverantwoord. Zeker omdat er alleen over *deze* ontwikkelingen wordt gesproken. De wereld bestaat voor PKI Overheid schijnbaar alleen uit Microsoft.

Een beetje boel te kortzichtig denk ik.

Beetje makkelijk om zo populair alles af te zeiken wat PKI overheid doet en de gebruikte technieken zoals een smartcard. Zelfs jij weet dat deze technologie ook veel voordelen kan bieden: digitaal archiveren bijvoorbeeld?? Het ondertekenen van een document met een digitaal certificaat is nog steeds een veilige methode mits je het goed implementeerd. Het bewaren van een sleutel op een smartcard is helemaal niet 'onveilig'...tuurlijk kan alles gekraakt worden als het door mensen is gebouwd. Kom liever met een goed alternatief --> opbouwende kritiek dus, in plaats van bijv. een plug-in voor Outlook belachelijk te maken. Zonder dergelijke plug-ins zal het veilig versturen van mail nooit grootschalig ingevoerd worden....en kom nu aub niet met je PGP verhaal aanzetten!
Wees blij dat initiatieven als PKI overheid er zijn zodat brede en grootschalige invoer en acceptatie makkelijker wordt en geef aan hoe het nog beter kan.
NB ik werk dus zelf niet voor PKI Overheid, maar ben er (net als jij) wel bij gebaat dat informatiebeveiliging hoger op de agenda komt van overheid en bedrijfsleven.

wat is er mis met PGP?

Niets, net als met bijvoorbeeld een plug-in voor Microsoft software of Lotus Notes of Baan of SAP of.....what ever.

Deze column heeft niets te maken met "makkelijk" afzeiken wat PKI overheid doet. PKI Overheid heeft zichzelf ten doel gesteld om digitale certificaten aan te gaan bieden met de hoogst mogelijke betrouwbaarheidsgarantie die er te geven is. Zij lopen echter tegen de technologische beperkingen aan die er nu eenmaal zijn. Hoewel ik hun streven toejuich en het prijzenswaardig vind dat ze de lat bewust zo hoog hebben gelegd, geloof ik niet alles wat ze zeggen. En als er een 100% focus ligt op het ontwikkelen van producten voor een Microsoft omgeving dan geloof ik er nog minder van. Sterker zelfs, ik denk dat dat een gevaarlijke ontwikkeling is.
Wat dat met smart cards te maken heeft weet ik niet. Kun je dat misschien uitleggen?
Aan de kwaliteit van de plugin hoeft het niet te liggen. Voorbeeld: als ik in Zaandam geen heipalen in de grond sla als ik een huis ga bouwen, dan zakt het na verloop van tijd in. Ook al zijn de muren nog zo recht en zo stevig. Als je de lat hoog legt moet je harder trainen. Dus zouden bijvoorbeeld open source initiatieven van PKI Overheid toe te juichen zijn.
Dergelijk plugins hebben werkelijk absoluut niets te maken met het veilig versturen van mail. Er zijn meerdere wegen die naar Rome leiden.
Ik wou in antwoord op deze opmerking eerst schrijven: "<rant>Het is jammer dat je je naam niet bekend hebt gemaakt, dan kon ik je tenminste recht in je gezicht zeggen dat je een slappe lul bent.</rant>". Maar daar zie ik toch maar vanaf. Zoals je kunt lezen heeft het dus niet met PGP of X509 te maken maar met het volledige scala aan gebruikte technieken. En het feit dat het op zoveel verschillende punten fout kan gaan. Waar ik me dus het meeste zorgen over maak is het grenzeloze vertrouwen dat men in deze technieken denkt te kunnen (gaan?)stellen. Lees maar eens (http://www.moonfather.com/weblog/nlarchives/denationaleidentiteitskaart.html) over de nationale identiteitskaart.
Geloof me, ik heb liever dat onderwijs hoger op de agenda komt. Dan komt die informatiebeveiliging vanzelf wel.

Leon (de echte, ja)

Digitaal archiveren met PKI?

PKI Overheid wordt niet als geheel en zeker niet gemakkelijk noch populair door de mangel gehaald. Het princiepe van PKIoverheid is juist aanmoedigend omdat er eveneens zoveel extra toepassingen bestaan waarvoor het ingezet kan worden.


Ten eerste laten veiligheid en Microsoftproducten zich niet een zin op gelijk niveau noemen;

Ten tweede behoort overheid zich nog altijd onafhankelijk op te stellen;

Ten derde behoort overheid het goede voorbeeld te geven, dat zou resulteren in ontmoedigingsbeleid ten opzichte van gebruik van onveilige software (!).

Ten vierde heeft dat niets te maken met veilig versturen van mail of waarmee dat wordt verzonden, dat heeft raakvlakken met andere technieken.


PGP functioneerd interoperabel, platformonafhankelijk en is daar zelfs een RFC over: RFC2440 (OpenPGP) ftp://ftp.rfc-editor.org/in-notes/rfc2440.txt


Zoals Leon terecht aanvoert zou OpenSource een beter alternatief vormen waarop ontwikkelaars voor een keur aan toepassingen PKIoverheid kunnen implementeren, wil PKIoverheid breed en grootschalig ingevoerd willen worden. Zeker wanneer de overheid rekening houdt met de toekomst.


Als het goed is werken noch overheid, noch het bedrijfsleven met Outlook, bijvoorbeeld.

Bij het effectief werken aan informatiebeveiliging ontkom je niet aan ontmoedigingsbeleid van bedenkelijke producten en het bevorderen van veiliger alternatieven wil het inderdaad baten.

Je hoeft ook niet alles te geloven wat PKI Overheid zegt of doet, maar zonder dergelijke initiatieven, ook al is het 100% MS, zouden we volledig afhankelijk zijn van de leveranciers, dat is pas gevaarlijk! Daarnaast is MS moeilijk meer weg te denken, toch? Gebruikte technieken zijn niet per definitie onveilig omdat deze complex zijn. Een geschreven handtekening is voor mij vele malen eenvoudiger te omzeilen dan een digitale. Alle wegen die naar Rome leiden maken wel gebruik van dezelfde cryptotechnieken.....

Met deze reply hoopte ik te bewerkstelligen dat je je ook iets positiever zult opstellen en geen regenachtige zondagmiddag forums opstelt. En als mensen niet met naam (en foto) op Internet willen heb je dat gewoon te respecteren.

Ik ben blij dat je je voornemen om scheldwoorden te gebruiken hebt herzien, dat zou niet zo chique zijn. Ik zou wel eens een klant van je kunnen zijn:-)

Wat gevaarlijk is, is wanneer men initiatieven ontwikkeld die men voor doet komen als afhankelijk van een bepaalde leverancier die toevallig al ruimschoots als negatief bekend staat als bedenkelijke monopolist met evenzo bewezen bedenkelijke producten. (Zoek op Microsoft bij de U.S. Department of Justice, bij CERT, SecurityFocus, bij de Europese Unie, etc.) Gelukkig krijgt het steeds meer tegengas, zoals vandaag naar buiten is gekomen: http://www.computable.nl/artikels/buitlan2/i4302rbp.htm

Vergeet niet dat zonder overheid een heel arrangement uitstekende oplossingen zijn gemaakt door industrie en kundige welwillenden omwille van betrouwbare (instant) verificatie van documenten en bestanden in de vorm van onder andere (Open)PGP.

Wat de industrie en welwillende participanten echter niet kunnen (of zelfs mogen gelet op wetgeving aangaande persoonsregistratie) is gehouden aan de overheid: Het betrouwbaar koppelen van een identiteit aan een digitale. Betrouwbaar, omdat wij er van uit moeten kunnen gaan dat de overheid deze gegevens juist beheert en verstrekt.

Waar bij de ,,publieke oplossingen'' de keuze van identiteit vrij is, ligt deze bij PKIoverheid vast waardoor die laatste bij een keur aan toepassingen als betrouwbare constante kan dienen waar verder op door kan worden gegaan door de industrie en welwillende participanten.

In feite wil de industrie een constante: ,,geef ons een betrouwbare constante waarbij de werkelijke identiteit is te verifiëren''.

Zo'n huidige Chipper-card bijvoorbeeld waarin zoiets simpels als de geboortedatum van de houder vast ligt dat uitgelezen kan worden (nu om sigaretten-automaten te laten controleren of de bediener van het automaat eigenlijk wel sigaretten mag kopen) is ideaal: Je zou er bijvoorbeeld kinder-chatkanalen mee kunnen uitrusten om ongewenste oudere individuelen buiten de `deur' te houden. Dan komt de wens van demissionair minister Donner op dat vlak ook realistischer over.


Wat niet meer weg is te denken is de opkomst van andere alternatieven, zoals ondermeer bijvoorbeeld Unix/Linux, welke steeds meer draagvlak krijgen - en Microsoft dus (terecht) inboet. In feite is Microsoft heel goed weg te denken omdat alles ook zonder Microsoft functioneerd.

De enige reden die zou bestaan afhankelijk van Microsoft te zijn is wanneer men afhankelijk is van het huidige arrangement aan spelletjes dat te koop is.

Ter verduidelijking aangevend dat alles dat wordt gebruikt in werkomgevingen, waar arbeid wordt verricht, prestaties worden geleverd en dat momenteel bij een organisatie onder Windows zou draaien, geheel vervangbaar is om (beter) onder een ander platform te functioneren, dat voor een heel arrangement aan spellen niet zal gelden.


Je zal een universeel platform moeten hebben, een universele cryptotechniek. Een item dat zeer van belang is omvat zondermeer de sterkte van een sleutel bij de gebruikte cryptotechnieken. Deze sterkte (grootte) van de sleutel zal afdoende moeten zijn om ook in de toekomst (nog) enige zekerheid te kunnen bieden, wetend dat de hardware qua verwerkingssnelheid en kracht sterk blijf evolueren.

http://www.ietf.org/html.charters/pkix-charter.html


Internet-Drafts:
Internet X.509 Public Key Infrastructure:Roadmap (154861 bytes)
Simple Certificate Validation Protocol (SCVP) (63959 bytes)
Internet X.509 Public Key Infrastructure Permanent Identifier (22340 bytes)
The PKIX UserGroupName GeneralName Type (30178 bytes)
Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (138444 bytes)
Internet X.509 Public Key Infrastructure: Logotypes in X.509 certificates (41121 bytes)
Policy Requirements for Time-Stamping Authorities (86986 bytes)
Update for Appendix A in draft-ietf-pkix-new-part1-12.txt (40580 bytes)
Warranty Certificate Extension (14695 bytes)
Update for Section 3 in draft-ietf-pkix-ipki-pkalgs-05.txt (13185 bytes)
Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) (57645 bytes)
LDAPv3 DN strings for use with PKIs (6666 bytes)
Attribute Certificate Policies Extension (17487 bytes)
Wireless LAN Certificate Extensions and Attributes (14187 bytes)
Certificate Validation Protocol (51793 bytes)
Internet X.509 Public Key Infrastructure LDAP Schema and Syntaxes for PKIs (46732 bytes)
Internet X.509 Public Key Infrastructure LDAP Schema and Syntaxes for PMIs (49376 bytes)
Request For Comments:
Internet X.509 Public Key Infrastructure Certificate and CRL Profile (RFC 2459) (278438 bytes)
Internet X.509 Public Key Infrastructure Certificate Management Protocols (RFC 2510) (158178 bytes)
Internet X.509 Certificate Request Message Format (RFC 2511) (48278 bytes)
Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 2527) (91860 bytes)
Internet X.509 Public Key Infrastructure Representation of Key Exchange Algorithm (KEA) Keys in Internet X.509 Public Key Infrastructure Certificates (RFC 2528) (18273 bytes)
Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2 (RFC 2559) (22894 bytes)
Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP (RFC 2585) (14813 bytes)
Internet X.509 Public Key Infrastructure LDAPv2 Schema (RFC 2587) (15102 bytes)
X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP (RFC 2560) (43243 bytes)
Certificate Management Messages over CMS (RFC 2797) (103357 bytes)
Diffie-Hellman Proof-of-Possession Algorithms (RFC 2875) (45231 bytes)
Internet X.509 Public Key Infrastructure Qualified Certificates Profile (RFC 3039) (67619 bytes)
Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols (RFC 3029) (107347 bytes)
Internet X.509 Public Key Infrastructure Time Stamp Protocols (TSP) (RFC 3161) (54585 bytes)
Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and CRI Profile (RFC 3279) (53833 bytes)
Internet X.509 Public Key Infrastructure Certificate and CRL Profile (RFC 3280) (295556 bytes)
An Internet Attribute Certificate Profile for Authorization (RFC 3281) (90580 bytes)
Delegated Path Validation and Delegated Path Discovery Protocol Requirements (RFC 3379) (32455 bytes)

Akkoord, maar waarom dan toch in die richting gezocht? Kijk eens vooruit en zeg me dat je er zeker van bent dat over vijf jaar nog steeds heel nederland gebruik maakt van louter Microsoft. Tussen de introductie van Windows 3 en Windows 95 zat 5 jaar. In die tijd is de wereld verandert. Is het zo moeilijk voor te stellen dat ontwikkelingen nu een andere kant op gaan? En als dat zo is, op welk paard willen we dan wedden? Op allemaal?
Een zéér wijs man zei eens: Complexity is the worst nightmare for security Lees het maar na in (http://www.moonfather.com/weblog/nlarchives/interviewmetbruceschneier.html) dit interview.
Het leven draait om vertrouwen (misschien ook wel niet but for the sake of the argument). Afgelopen weekend werd in een verdraaid interessant interview op Business Nieuws Radio ingegaan op het algemeen geaccepteerde "snel"recht in onze rechtstaat. In Nederland worden zaken behandeld door rechters als hamerstukken: het volledige dossier wordt voorbereid door politie en officier, al dan niet met behulp van deskundigen die hun <onderzoeks> zegje doen, waarna tijdens de zitting de verdachte nog mag zeggen wat hij of zij er van vindt. Daarna volgt de veroordeling. Met als gevolg een Puttense moordzaak waar de deskundige na zeven jaar kwam zeggen dat hij eigenlijk niet bedoeld had wat hij had gezegd. Foutje.

Als we toewerken naar een situatie waarbij we geloven dat een persoon middels een electronische handtekening een wilsbeschikking heeft laten zien, dan kan ik je garanderen dat er heel veel onschuldige slachtoffers gaan vallen.
Nee, dat is niet waar. Er wordt specifiek over een <toepassing> van deze techniek gesproken, plugins op een wintel platform. Het gebruik van plugins op een onveilig medium om veiligheid te creëren werkt niet. Nooit. Of zoals Jon Callas het zei: To paraphrase Laotse "You cannot create trust with cryptography, no matter how much cryptography you use."
Het kan aan mij liggen, maar dit vat ik op als een "aanklacht". Niet kies. En onnodig. Zeker anoniem.
Precies, maar dan mag ik ze nog wel een slappe lul vinden. Neem dan een nickname.
Dat heb ik inderdaad.
We zouden in ieder geval heerlijk lang kunnen debatteren. Bel me eens op, dan spreken we en avondje af in de kroeg! Gezellig.

Leon (je weet wel, die ene)

X.509 komt helemaal niet voor in de OpenPGP-standaard waarop je reageert. Maar ik kan mij voorstellen dat wanneer je niet gewend bent documentatie te lezen X.509 dan op jouw over moet komen als een niet te begrijpen stapel bagger. Dat valt wel mee en passen deze nog gewoon op een floppy of geprint in een ordner.

Elk project moet nu eenmaal uitvoerig nauwgezet worden gedocumenteerd wil daar een bruikbare RFC uit ontstaan. Zo'n project kan niet op een boodschappenklad worden omschreven waardoor het belangrijk is dat je begrijpend kunt lezen en je een voorstelling kunt maken van de materie. Anders is deze materie niet aan je besteedt.

Volgens mij werd er niet gereageerd op de openpgp standaard.

Leon.

De verwarring zal hierdoor zijn ontstaan, omdat het een reactie betrof van Unregistered op zijn/haar quote: ,,Originally posted by Virtal Technologies
PGP functioneerd (wiew) interoperabel, platformonafhankelijk en is daar zelfs een RFC over: RFC2440 (OpenPGP) ftp://ftp.rfc-editor.org/in-notes/rfc2440.txt ''

Wat betreft ,,(wiew)'': Editen gaat niet altijd zo grandioos om (nare) tikfouten te corrigeren omdat de edit-pagina wordt gecached.

De taalpolitie slaapt nooit.

Dat is niet erg en misschien ook maar beter. Het is jammer dat ik geen beschikking heb over ``columnist skills'' en het benodigde geduld mis. Wellicht dat met wat meer aandacht en minder gehaast ge-enter, de noodzaak tot achteraf editen meer achterwege kan blijven. Dan is er ook geen caching probleem :)