Hoi iedereen
We gebruiken nu al een tijdje een eID in België, en ik stel me toch enkele vragen ivm de achterliggende technologie. Ik heb cybercrime gestudeerd en zou eens willen kijken wat er mogelijk is met dat eID. Ik wil me vooral bezig houden met het stuk dat voor de PIN komt, dit is al interessant genoeg. Daar zit namelijk een foto, algemene gegevens en adresgegevens van de eigenaar van een eID. Deze zijn uitleesbaar zonder enige authorisatie en toch gebruiken veel dagelijkse applicaties alleen deze gegevens.
Waar ik naartoe wil: Een eID middleware laten denken dat die een echte eID leest, dus foto + adresgegevens + algemene gegevens.
Eerst heb ik wat opzoekwerk gedaan. Wat ik denk te weten:
De Belgische eID is een Cryptoflex JavaCard 32K van het huidige Gemalto.
Het 'onbeveiligde deel' is zo opgebouwd:
De crux zit hem dus in de volgende zaken:
-Correcte opmaak van de bestanden (PKCS #15 file structuur)
-Correcte aanmaak van NRN signature files (hier tast ik volledig in het duister)
-Zorgen dat de middleware niet vastloopt op het ontbreken van het authentication deel. (ziet er zo uit: http://imgur.com/00LR9F2)
I'm just scratching the surface here. Ik zal bevindingen, interessante informatie hier nog verder posten.
Als er mensen zijn die kennis over het onderwerp hebben, delen is leuk!
Ik probeer later deze week al zoveel mogelijk raw data van m'n eID te scrapen.
Dankje
We gebruiken nu al een tijdje een eID in België, en ik stel me toch enkele vragen ivm de achterliggende technologie. Ik heb cybercrime gestudeerd en zou eens willen kijken wat er mogelijk is met dat eID. Ik wil me vooral bezig houden met het stuk dat voor de PIN komt, dit is al interessant genoeg. Daar zit namelijk een foto, algemene gegevens en adresgegevens van de eigenaar van een eID. Deze zijn uitleesbaar zonder enige authorisatie en toch gebruiken veel dagelijkse applicaties alleen deze gegevens.
Waar ik naartoe wil: Een eID middleware laten denken dat die een echte eID leest, dus foto + adresgegevens + algemene gegevens.
Eerst heb ik wat opzoekwerk gedaan. Wat ik denk te weten:
De Belgische eID is een Cryptoflex JavaCard 32K van het huidige Gemalto.
Het 'onbeveiligde deel' is zo opgebouwd:
De crux zit hem dus in de volgende zaken:
-Correcte opmaak van de bestanden (PKCS #15 file structuur)
-Correcte aanmaak van NRN signature files (hier tast ik volledig in het duister)
-Zorgen dat de middleware niet vastloopt op het ontbreken van het authentication deel. (ziet er zo uit: http://imgur.com/00LR9F2)
I'm just scratching the surface here. Ik zal bevindingen, interessante informatie hier nog verder posten.
Als er mensen zijn die kennis over het onderwerp hebben, delen is leuk!
Ik probeer later deze week al zoveel mogelijk raw data van m'n eID te scrapen.
Dankje
:strip_icc():strip_exif()/u/53288/icon.jpg?f=community){kind=icon}
/u/44155/marzman.png?f=community)