Professor Bart Jacobs van de Radboud Universiteit Nijmegen snapt alle commotie niet over zijn onderzoek naar nieuwe technologie op de te realiseren DigiD-kaart. Onlangs werd hij aangevallen door AET Europe dat beweerde dat zijn samenwerking met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) potentiële leveranciers van de DigiD-kaart buiten spel zou zetten. ‘AET moet niet miepen, onze technologie is open. Als ze willen, kunnen ze het in hun eigen producten gebruiken.’
Op 28 oktober 2013 bracht AET Europe documenten naar buiten die het had verkregen via een procedure Wet openbaarheid bestuur (WOB). Hierbij trok AET-eigenaar Reinoud Weijman de conclusie dat BZK in het geheim met Bart Jacobs samenwerkt aan de nieuwe technologie van de DigiD-kaart. ‘Onzin’, meent Jacobs, ‘we werken erin zelfs samen met Surfnet, TNO en SIDN. Wij werken voor het algemene belang en zijn wetenschappelijk en maatschappelijk gedreven om tot goede beveiliging en privacy te komen. Er is niks stiekems gebeurd, we zijn volledig transparant. We hebben zelfs het ontwerp en de software gepubliceerd. Dat zou AET ook eens moeten doen, dan kunnen we elkaars technologieën vergelijken. Het staat AET en andere bedrijven vrij om onze technologie gratis te gebruiken en om daarmee hun producten te verbeteren.’
Expertise aan universiteiten
Volgens Jacobs gaat het AET vooral om het contact met het ministerie. ‘Wij hebben als universiteit gewoon goede contacten bij BZK en zij willen ook weleens advies ontvangen van een partij die geen commercieel belang heeft. In het verleden, bijvoorbeeld rond de OV-chipkaart, is de overheid bekritiseerd omdat men geen weet had van wat er aan kennis en expertise aan de universiteiten bestond. Nu wordt er wel onderling overlegd en is het weer niet goed. Daarbij is honderdtwintigduizend euro voor een onderzoek niet veel geld. Normaal zou er voor zo’n bedrag aanbesteed moeten worden, maar volgens het ministerie hoefde dat in dit geval niet omdat het om een gezamenlijk onderzoekstraject ging waarin we beiden taken hebben vervuld.’
De vraag van BZK richting Jacobs betrof of de DigiD-kaart zo uitgerust kan worden zodat deze in zowel het publieke als private terrein gebruikt kan worden. Jacobs: ‘De huidige pki-technologie is hiervoor niet toereikend, dan heb je technologie 2.0 of zelfs 3.0 nodig. Dan is het gebruik van attributen, zoals wij ontwikkeld hebben, een mogelijkheid. Maar ook is er meer mogelijk. Zo gebruiken ze in Duitsland domeinspecifieke pseudoniemen. Daarom deed het ministerie afgelopen zomer ook een request for proposal, om te kijken wat er nog meer mogelijk was.’
Proportionele authenticatie
Volgens Jacobs speelt er in de academische wereld al langer een discussie over identity management. Hij meent dat het dan al snel richting het gebruik van attributen gaat. ‘Ik geloof in proportionele authenticatie. Als een ministerie dat vervolgens eist en je kan dat niet leveren, dan val je voor het vervolgtraject gewoon af. In het gebruik van attributen zit de toekomst. Er zijn daarbij wel bedrijven die attributen willen leveren, maar die willen dat dan via een centrale infrastructuur doen, met centrale opslag van de gegevens. Dan is één hack genoeg om alle gegevens te bemachtigen. Wij werken met decentrale opslag op de kaart zelf. Daar is veel moeilijker om op in te breken.’
Binnen de onderzoeksgroep van Jacobs wordt gewerkt aan een zeer privacyvriendelijke chipkaart, de IRMA-kaart. IRMA staat voor ‘I Reveal My Attributes’. Dat is een niet-commercieel open project, waarbij het ontwerp en de implementatie openlijk beschikbaar zijn. ‘Deze kaart maakt het mogelijk je in verschillende situaties op proportionele wijze te authenticeren’, vervolgt Jacobs. ‘Bijvoorbeeld bij de slijter kun je ermee bewijzen dat je boven de achttien bent, zonder verdere informatie los te laten. In het huidige Snowden-tijdperk lijkt me een hoog niveau van beveiliging en privacybescherming van essentieel belang.’
@Wiebren de Jonge
Klinkt alsof je een paard in deze race hebt lopen. Misschien wel even zo flink om dat toe te lichten.
Maar los van dat. De gang van zaken is op zijn minst onfortuinlijk te noemen want ongeacht de klaagzang van AET is het voorziene einddoel reden waard om je zwaar zorgen te maken.
Gezien de wapenfeiten van het verleden aangaande de prestaties van de overheid bij IT beveiligingsvraagstukken horend dit soort discussies breed uitgemeten te worden in het publieke domein.
Willen wij als burger in een digitaal keurslijf gebonden worden waarbij continu met voldongen feiten worden geconfronteerd omdat dit niet wenselijk wordt geacht door democratisch gekozen politici?
Binnen 5 a 10 jaar zal al contant betalen grotendeels uitgefaseerd zijn en worden deze allemaal opgeslagen en geanalyseerd door de hoogste bieders.
Het CPB dat onlangs een brandbrief heeft gestuurd vanwege het feit dat de Nederlandse gemeentes toch wel heel erg veel gegevens over haar burgers heeft en gaat combineren wat wettelijk gezien helemaal niet mag.
Een minister van binnenlandse zaken die schouderophalend reageert op het feit dat een ander land onze soevereiniteit schendt door miljoenen telefoontjes op te slaan?
De rode draad in deze is dat wij als ITers aan de bel horen te trekken dat we massaal de foute kant op aan het gaan zijn en de onwetenden hierbij horen in te lichten waarom we de foute kant op aan het gaan zijn.
Veiligheid is goed, maar centralisatie van veiligheid zowel als aan de gevende als ontvangende kant is een ontwikkeling die te gevaarlijk is en moet vermeden worden. Niet alleen spreiding van risico maar ook spreiding van macht op informatie want anders gaan er straks mensen gewist worden door een druk op de knop.
@Johan Duinkerken:
Voor alle duidelijkheid, ik heb géén ‘paard in deze race lopen’.
Ik heb absoluut geen financieel belang of andere betrokkenheid bij deze kwestie (incl. de IRMA-kaart), anders dan dat ik een aantal jaren geleden eens met Bart Jacobs heb samengewerkt aan twee artikelen over privacy-vriendelijke km-heffing.
In mijn ogen is Bart door jou en Sander Hulsman (uiterst) onheus behandeld.
Jullie hebben beiden tamelijk tendentieuze en onheuse teksten ‘de wereld in geslingerd’.
(Johan, kijk nog maar eens goed na hoe jij gereageerd hebt op het eerdere artikel met de ‘aanval’/insinuaties van de AET medewerker.)
Maar helaas heb ik nog (steeds) geen enkele vorm van ook maar enige verontschuldiging gezien.
Dus ook niet nadat kristalhelder was geworden dat jullie helemaal fout zaten.
Het zou jullie sieren als jullie publiekelijk tenminste (alsnog) enige spijt zouden tonen.