In de nabije toekomst zullen steeds meer overheidsinstanties en andere organisaties de burger digitaal tegemoet treden. Eén digitaal paspoort moet de komst van waslijst aan smartcards voorkomen. Die efficiëntie is geen bedreiging voor de privacy, stelt Geert Kampschöer, directeur van Wellance.
In Nederland vindt men één digitaal paspoort met bijbehorend identificatienummer eng, stelt Geert Kampschöer. De Taskforce PKI Overheid werkt aan een digitaal paspoort, waardoor de overheid zowel intern, als met burgers en bedrijven transacties digitaal kan uitvoeren. Volgens Kampschöer is er een grote kans dat het ook toepassingen krijgt buiten de overheid, ook al is dat niet de intentie bij de ontwikkeling ervan.
Eén identificatienummer voor bijvoorbeeld medische en financiële informatie wordt door iedereen als een grote bedreiging van de privacy gezien. Volgens Kampschöer hoeft dat niet het geval te zijn als het nummer maar versleuteld is en de integriteit van de verzameling identiteitsgegevens door systemen en procedures gegarandeerd wordt. In zijn eigen bedrijf, dat encryptiesystemen aan het bedrijfsleven levert, wordt vooralsnog het e-mailadres gebruikt als identificatienummer. Wat als basis van dit nummer dient is in wezen triviaal, zolang het maar uniek is.
Encryptie
Een digitaal paspoort kan als basis dienen voor encryptie. De huidige encryptietechnieken zijn asymmetrisch. Bij deze vorm van versleuteling werkt men met één sleutelpaar, een private en een publieke sleutel. Een communicatiebericht wordt versleuteld met de publieke sleutel van de ontvanger, die bij de sleuteluitgevende instantie op te vragen is. De ontvanger maakt met zijn private sleutel het bericht leesbaar en stelt de identiteit van de afzender vast door diens publieke sleutel op te vragen.
De huidige encryptietechnieken zijn zo krachtig dat het jaren duurt om op deze manier gecodeerde informatie zonder sleutels te kraken. Voor een overheid die de communicatie van verdachten ook als deze versleuteld is wil volgen betekent dit dat zij toegang moet krijgen tot de uitgegeven digitale sleutels. De sleutelparen moeten dus centraal vastgelegd zijn en de overheid moet er toegang toe krijgen. Deze toegang tot beide sleutelparen heeft als uiterste consequentie dat de overheid zich met een private sleutel als een bestaand persoon zou kunnen voordoen. Een kopie van deze sleutel is immers een kopie van diens identiteit.
Meerdere sleutelparen
Deze onwenselijke situatie is te omzeilen door drie sleutelparen te introduceren, stelt Kampschöer. Er komt een sleutelpaar dat de vertrouwelijkheid ondersteunt. Op basis van een gerechtelijk bevel kan de overheid kopieën van deze sleutels opvragen om berichten te decoderen. Een tweede sleutelpaar stelt de digitale identiteit van een persoon vast. Deze is niet toegankelijk voor opsporingsinstanties en legt onweerlegbaar de identiteit vast. Het laatste sleutelpaar is bedoeld voor authenticatie en moet het onderscheppen van sleutels om je als iemand anders voor te doen (man in the middle attacks) voorkomen. Deze insteek plaatst de discussie over één of meer digitale identiteiten in een ander daglicht en zal als basis dienen voor het digitale paspoort, verwacht Kampschöer.
