OpenID en de belgische identiteitskaart
Afgelopen week las ik een berich over een initiatief waarbij openid gekoppeld gaat worden aan de bestaande belgische ID kaart E-ID. Op deze manier krijg je een extra niveau van beveiliging voor het gebruik van je openID. Ipv je wachtwoord gebruik je je ID kaart om toegang te krijgen bij je OpenID provider.
Dit zijn ook voor Diginotar belangrijke ontwikkelingen, zeker als het vertrouwensniveau van OpenID steeds hoger wordt. Ik vraag mij alleen af of het gebruikte token (Belgische E-ID) ook als attribuut aan de dienstverlener kan worden doorgegeven. Alleen op deze wijze kan de dienstverlener het vertrouwensniveau van de Belgische E-ID binnen openID gebruiken en dus niet alleen de openID gebruiker. Ik zal het eens navragen.
6 Responses to "OpenID en de belgische identiteitskaart"
Feed for this Entry | Trackback AddressPascal Van Hecke says on: mei 10, 2007
Volgens wat ik ervan begrijp gaat dat tegen het idee in van OpenID…
Als een gebruiker zich bij een (correct geïmplementeerde) OpenID consumer aanmeldt met zijn/haar URL, dan heeft die gebruiker de garantie dat niemand anders zich kan aanmelden met die URL.
Echter: de gebruiker kiest zelf hoe spijkerhard hij/zij die garantie wil maken, daar heeft hij volledige vrijheid in.
Het is zijn of haar keus te kiezen voor een Openid provider die een usernaam/paswoord vereist, dan wel sterke authenticatie (zoals OpenEid.be blijkbaar gaat doen met de Belgische identiteitskaart). De OPenID consumer site heeft zich daar niet mee te moeien…
Extreem gesteld: de gebruiker kan er zelfs voor kiezen om in de html van zijn thuis-url te verwijzen naar een openID provider die van om het even wie zegt dat hij /zij de eigenaar is van die URL, zonder enige check in te bouwen…
Dit staat ook zo op http://openid.net/about.bml :
“What about spam?
Again, this is not a trust system.
Somebody could run their own identity server that says they’re http://spammer.example.com/000001/ all the way to http://spammer.example.com/999999/ and that’s not a goal of this system to prevent. It’s another layer’s job to say the identities with URL spammer.example.com/* is a spammer, or some ID server is a known spammer, or some particular identity is a known spammer.
What this does prevent is anybody but that spammer from using that identity URL. While somebody else could make their ID server say that they’re that http://spammer.example.com/000001/ URL, a) why would they?, and b) unless they also controlled the host spammer.example.com, they couldn’t change the tag to point to their rogue identity server”
Pascal Van Hecke says on: mei 10, 2007
… en hetzelfde voorbeeld wordt aangehaald in deze posting van Simon Willison:
Pascal Van Hecke says on: mei 10, 2007
Oh en … (sorry voor het comment bombardement) ik zie het hier nog eens expliciet staan op het stroomdiagramma:
http://openid.net/pres/protocolflow-1.1.png
“OpenID does not specify the method an identity server uses to verify that the user owns their URL”
Chris Obdam says on: mei 10, 2007
Custom attributes worden ook toegestaan. Je kan als consumer site een specifiek Eid variabele opvragen. Wanneer de provider deze niet kan bieden kan je als consumer site de login weigeren. Niet erg open maar dit zijn zeker interesante mogelijkheden.
Frank says on: mei 10, 2007
Chris, gaat dat niet in tegen één van de basisgedachten van OpenID, namelijk dat je je credentials maar aan 1 partij (je ID provider) toevertrouwt?
Als ik onze openid server zou ombouwen om ook met eID’s te werken (wat ik sterk overweeg), dan ga ik zeker niet de credentials gaan doorgeven aan sites die erom vragen. Eventueel de public key, maar zeker niks meer!
@PapierLoos: stel dat je weet dat een bepaalde openid server enkel logins via eID toelaat. Dan ben je zeker dat wie via die bepaalde openid server komt, wel degelijk met “een” eID ingelogd is. Meer weet je niet, maar meer hoef je ook niet te weten in de openID filosofie. Wil je toch meer weten en wil je bovendien weten of JantjeSmith wel degelijk Jan Smith uit de Noordlaan in Antwerpen is, dan is openid de verkeerde technologie. Je implementeert dan beter zelf een eID login systeem op je site.
Hans Klunder says on: mei 10, 2007
Het is inderdaad zo dat openid alleen identity garandeert zonder te vertellen hoe de gebruiker zicht geauthenticeerd heeft.
Door te kijken naar de provider kun je dan inderdaad vaststellen of het een door jou applicatie vereist authenticatie niveau betreft.
(bv id.diginotar.nl doet alleen PKI)
Op termijn zou je dan een derde partij kunnen hebben (a la TTP kamer, die een lijstje bijhouden van providers die een bepaald minimum niveau hanteren en dit ook certificeren)
Voor diginotar zou het natuurlijk een fluitje van een cent moeten zijn om bv id.diginotar.nl als openid provider in te richten zodat een applicatie zeker weet dat als de openid URL dit domein bevat het een PKI authenticatie geweest is. Lijkt me ook wel leuke reclame voor diginotar 
