Het identificatiesysteem DigiD dat nodig is om toegang te krijgen tot bepaalde sites van de overheid, wordt zwaarder beveiligd. In voorbereiding is een voorstel voor een DigiD-kaart. De huidige beveiliging met wachtwoord of sms-code is te kwetsbaar. Dit werd op Prinsjesdag 2013 bekend gemaakt.
Uit de begroting van Binnenlandse Zaken blijkt dat de DigiD-kaart ook als pasje voor gebruik buiten de overheid geschikt moet zijn. Gewerkt wordt aan landelijke afspraken waarbinnen diverse identificatiemiddelen worden ingezet bij de elektronische dienstverlening. In ontwikkeling zijn voorzieningen waarmee burgers zelf identiteitsfraude kunnen tegengaan. Het wordt mogelijk de geldigheid van identiteitspapieren van anderen te verifiëren en de eigen identiteitsdocumenten bij diefstal of verlies te blokkeren.
eID
Overigens verkeren de plannen voor een DigiD-kaart in een vroeg stadium. Details over de werking zijn nog niet bekend gemaakt. Volgend jaar worden de voorbereidingen getroffen waarna een besluit moet vallen. Als het doorgaat, moet de uitrol in de periode 2015 tot en met 2017 plaatsvinden. De invoering van een elektronisch identificatiestelsel (eID) en een daarbij horend eID-middel vergt een lange voorbereiding. Dat geldt zeker als het pasje ook buiten de overheid wordt gebruikt.
DigiD werd de afgelopen tijd meermalen geplaagd door storingen. Onder meer een beveiligingslek en een DDoS-aanval legden het systeem plat.
Zover ik weet waren er al sinds de introductie van DigiD plannen om identificatie via een token/pas mogelijk te maken. Dit was echter een beveiliging op een hoger niveau, nodig voor bijvoorbeeld het raadplegen van medische gegevens.
Mij is niet duidelijk of deze niveau’s worden losgelaten en deze identificatie via een token de andere manieren gaat vervangen. Hoe zit dit?
Let allen wel even op dat dit een extreem duidelijke indicatie is dat het DigiD of eID het doel is op een online digitaal paspoort uit te komen. Vraag je daarbij maar eens af of dat iets is wat je écht wil.
DigiD met een extra Token is niet een zwaardere beveiliging, alleen een andere beveiliging. Een Token helpt echt niet tegen DDoS-aanvallen, en aangezien DigiD nog steeds RSA Asymetrische encryptie en RC4 Symmetrische encryptie gebruikt (zie http://nl.wikipedia.org/wiki/RC4_(encryptie) voor de ‘known issues’ ) is het wellicht aan te raden dat DigiD eens overstapt op Elliptic Curve (ECC) en AES met SHA-256 of hogere hashing. Dan heb je echt zwaardere encryptie (zij het niet dat je met een oud OS dan niet meer bij DigiD kan).
Als men echt met een Token (Smartcard) aan de slag wil, wat op zich niet verkeerd is, wie gaat dan de Card Readers voor thuisgebruik betalen ? En gaat men dan gebryuik maken van open standaarden, of ook weer met een lokale, nederlandse partij (net als bij de Zorgpassen) in zee…
En Johan, je online identiteit is al op zoveel plaatsen bekend, een online paspoort zoals je het noemt maakt dan ook niet veel meer uit. Mits goed versleuteld, verspreid opgeslagen en niet achterhaalbaar.