Professor Bart Jacobs van de Radboud Universiteit Nijmegen snapt alle commotie niet over zijn onderzoek naar nieuwe technologie op de te realiseren DigiD-kaart. Onlangs werd hij aangevallen door AET Europe dat beweerde dat zijn samenwerking met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) potentiële leveranciers van de DigiD-kaart buiten spel zou zetten. ‘AET moet niet miepen, onze technologie is open. Als ze willen, kunnen ze het in hun eigen producten gebruiken.’
Op 28 oktober 2013 bracht AET Europe documenten naar buiten die het had verkregen via een procedure Wet openbaarheid bestuur (WOB). Hierbij trok AET-eigenaar Reinoud Weijman de conclusie dat BZK in het geheim met Bart Jacobs samenwerkt aan de nieuwe technologie van de DigiD-kaart. ‘Onzin’, meent Jacobs, ‘we werken erin zelfs samen met Surfnet, TNO en SIDN. Wij werken voor het algemene belang en zijn wetenschappelijk en maatschappelijk gedreven om tot goede beveiliging en privacy te komen. Er is niks stiekems gebeurd, we zijn volledig transparant. We hebben zelfs het ontwerp en de software gepubliceerd. Dat zou AET ook eens moeten doen, dan kunnen we elkaars technologieën vergelijken. Het staat AET en andere bedrijven vrij om onze technologie gratis te gebruiken en om daarmee hun producten te verbeteren.’
Expertise aan universiteiten
Volgens Jacobs gaat het AET vooral om het contact met het ministerie. ‘Wij hebben als universiteit gewoon goede contacten bij BZK en zij willen ook weleens advies ontvangen van een partij die geen commercieel belang heeft. In het verleden, bijvoorbeeld rond de OV-chipkaart, is de overheid bekritiseerd omdat men geen weet had van wat er aan kennis en expertise aan de universiteiten bestond. Nu wordt er wel onderling overlegd en is het weer niet goed. Daarbij is honderdtwintigduizend euro voor een onderzoek niet veel geld. Normaal zou er voor zo’n bedrag aanbesteed moeten worden, maar volgens het ministerie hoefde dat in dit geval niet omdat het om een gezamenlijk onderzoekstraject ging waarin we beiden taken hebben vervuld.’
De vraag van BZK richting Jacobs betrof of de DigiD-kaart zo uitgerust kan worden zodat deze in zowel het publieke als private terrein gebruikt kan worden. Jacobs: ‘De huidige pki-technologie is hiervoor niet toereikend, dan heb je technologie 2.0 of zelfs 3.0 nodig. Dan is het gebruik van attributen, zoals wij ontwikkeld hebben, een mogelijkheid. Maar ook is er meer mogelijk. Zo gebruiken ze in Duitsland domeinspecifieke pseudoniemen. Daarom deed het ministerie afgelopen zomer ook een request for proposal, om te kijken wat er nog meer mogelijk was.’
Proportionele authenticatie
Volgens Jacobs speelt er in de academische wereld al langer een discussie over identity management. Hij meent dat het dan al snel richting het gebruik van attributen gaat. ‘Ik geloof in proportionele authenticatie. Als een ministerie dat vervolgens eist en je kan dat niet leveren, dan val je voor het vervolgtraject gewoon af. In het gebruik van attributen zit de toekomst. Er zijn daarbij wel bedrijven die attributen willen leveren, maar die willen dat dan via een centrale infrastructuur doen, met centrale opslag van de gegevens. Dan is één hack genoeg om alle gegevens te bemachtigen. Wij werken met decentrale opslag op de kaart zelf. Daar is veel moeilijker om op in te breken.’
Binnen de onderzoeksgroep van Jacobs wordt gewerkt aan een zeer privacyvriendelijke chipkaart, de IRMA-kaart. IRMA staat voor ‘I Reveal My Attributes’. Dat is een niet-commercieel open project, waarbij het ontwerp en de implementatie openlijk beschikbaar zijn. ‘Deze kaart maakt het mogelijk je in verschillende situaties op proportionele wijze te authenticeren’, vervolgt Jacobs. ‘Bijvoorbeeld bij de slijter kun je ermee bewijzen dat je boven de achttien bent, zonder verdere informatie los te laten. In het huidige Snowden-tijdperk lijkt me een hoog niveau van beveiliging en privacybescherming van essentieel belang.’
Technisch gezien mag een IRMA kaart interessant lijken maar als het gaat om mengen van authenticatie van personen bij overheidsdiensten, zorginstellingen en bedrijven dan ben je al fout bezig. Als je al die verschillende entiteiten niet fysiek gescheiden houdt zet je de deur wagenwijd open voor feature-creep, gaan alle aangesloten bedrijven dezelfde beveiligingstechnologie gebruiken en is wetmatig gezien zelfs verboden.
Als je met diezelfde kaart bij je supermarkt korting kan krijgen én kan gebruiken om een nieuwe bankrekening te openen met een zakelijk krediet zou bijv ook niet kloppen.
Eén fysieke kaart waarmee je op zoveel manieren toegang hebt is én lastig te beheren bij bijv. verlies maar maakt het ook aantrekkelijker om die van de eigenaar af te pakken en te misbruiken.
Denk dat Jacobs/Radboud een grote stap in de goede richting hebben gezet. Jammer dat het zolang geduurd en inmiddels zoveel geld gekost heeft. Een dergelijk plan hebben we 10 jaar geleden al aan het ministerie gestuurd; “de verantwoordelijke ambtenaren komen erop terug”.
Het enige wat Jacobs moet veranderen is de beveiliging van de kaart, namelijk niet met een pincode maar met een, alleen op de kaart opgeslagen, vinger afdruk. een pincode kan ik nog aan iemand anders geven, maar een vinderafdruk niet.
Wat betreft de reactie van Duinkerken; er is geen sprake van verschillende entiteiten. als het goed is vertegenwoordigt de kaart alleen mijn digitale identiteit, zeg mijn paspoort. alle andere informatie staat bij de verschillende instanties. met mijn kaart open ik alleen deze informatie. kom ik in het ziekenhuis dan gaat mijn ECD/EPD alleen open na het lezen van de kaart. en wat betreft de slijter, in mijn paspoort staat toch ook mijn geboortedatum. systeem kijkt alleen naar mijn paspoort / identieficatie bewijs en rekent leeftijd uit.
@f.alkemade:
Uw vertrouwen in vingerafdrukken lijkt mij tamelijk naief.
Vingerafdrukken laat je (onbedoeld) overal en nergens achter, tenzij je altijd en continu handschoenen draagt.
Die vingerafdrukken kunnen door kwaadwillenden gebruikt worden voor het maken van een ‘kunstvinger’ met juiste vingerafdruk, vochtigheidsgraad, temperatuur e.d. en dus ook voor misbruik.
Een vingerafdruklezer en/of een foto op de IRMA-kaart gebruiken NAAST een pincode is wel een goede mogelijkheid.
N.B. Ik wil mijn vingerafdruk (en pincode) natuurlijk liefst alleen prijsgeven aan de vingerafdruklezer (resp. het toetsenbord o.i.d.) op mijn eigen IRMA-kaart! Want gebruik van andere systemen met eigen vingerafdruklezers draagt alleen maar bij aan een verdere verspreiding van mijn vingerafdruk! En dat is niet gunstig voor het veiligheidsniveau.)
En wat betreft de slijter: bij gebruik van je kaart bij hem in de zaak wordt jouw leeftijd natuurlijk NIET uitgerekend door enig systeem van hem (of van de overheid of een andere instantie)!
Want het idee is nu juist dat de kaartgebruiker NIET zijn of haar geboortedatum (onnodig) prijs geeft, maar alleen overtuigend laat zien dat a) hij/zij werkelijk de èchte kaarthouder is, en b) het attribuut ‘ouder dan 18’ van toepassing is op de kaarthouder.
Op zich een duidelijk verhaal maar waar ik nog wel een beetje mee zit is de wijze waarop de behoefte ingevuld wordt. De overheid heeft er namelijk wel degelijk een handje van om eerst veel geld te investeren in een oplossing en dan in combinatie met marktpartijen de toepassing erbij te zoeken, de ‘feature creep’ van Johan. En ik kan me dan ook niet aan de indruk onttrekken dat het hier zoals F. Alkemade aangeeft om dat andere dossier gaat, het gevoelige EPD. Laatste zin in artikel is wat mij betreft dan ook hilarisch, het was nota bene de overheid die inbreuk deed op de privacy en waar een extern ingehuurde partij de klok over luidde.
De decentrale oplossing op de kaart zelf juich ik alleen maar toe. Baas in eigen buik zou ik zeggen, en geen grote centrale databank waar alles aan elkaar gekoppeld is. Ik ben wel benieuwd hoe je met die technologie omgaat met pseudoidentiteiten (als dat al kan) en hoe er dan is nagedacht over de uitdaging als pseudoidentiteiten uiteindelijk ergens samenkomen in een of andere bedrijfsovername of grootschalige datagraai activiteit. Even plat gezegd, stel ik koop een fles drank bij Keten A en een pakje sigaretten bij Keten B en ik haal medicijnen bij Keten C en ik heb pseudoidentiteiten gebruikt vanaf mijn kaart, wat kan daar dan achteraf mee gedaan worden door toch gegevens slim te combineren. Want iemand zal vast wel wat bewaren, of koppelen aan een betaalactie.
Wat ik in een ander draadje al zei, leg het open op straat, voer discussie, dan krijgen we misschien iets gedragen dat we ook willen. Dat bevorderd alleen maar gebruik op lange termijn.
@f.alkemade Het lijkt erop dat jij/jouw organisatie nog een keer het verschil tussen authorisatie/authenticatie moet nalezen. Een vingerafdruk is namelijk absoluut niet veiliger dan een pincode. Het tegendeel zelfs. Je laat de hele dag op talloze plaatsen honderden of duizenden vingerafdrukken achter. De vingerafdruk beveiliging op die nieuwe iPhone was binnen een dag omzeild door een latex kopie van een vingerafdruk te gebruiken. Laat jij je pincode ook overal rondslingeren?
Daarnaast zijn vingerafdrukscanners vele, vele malen duurder dan een simpel chip + pincode lezertje. Dus een systeem op basis van vingerafdrukken is alleen leuk voor de bankrekening van de leverancier van die dure apparatuur en nog veel duurdere back-end software + benodigde infra.
Dus zullen we een keer stoppen met al die ideeen waar niemand beter van wordt behalve the usual suspects? De overheid heeft nu wel genoeg gefaalde peperdure ICT projecten op zijn kerfstok waarbij ook de leveranciers bepaald niet vrijuit gaan. De belastingbetaler zal dat absoluut waarderen.
Als je veiliger wilt dan kan je de pincode (dus wat je weet) beter uitbreiden met een One-time password/OTP via je smartphone via NFC of via een Yubikey met NFC (dus wat je hebt). Dat is vele malen veiliger dan alleen een pincode en nog veel veiliger en vele malen goedkoper dan alleen een vingerafdruk.
Komen er nu ook nog verontschuldigingen van al diegenen die zich door het ‘moddergooien’ van de AET werknemer hebben laten misleiden?
Ik denk hierbij niet alleen aan reageerders op het artikel ‘Overheid werkt in geheim aan DigiD-kaart’, zoals bijvoorbeeld Johan Duinkerken, maar beslist ook aan Sander Hulsman, de schrijver van dat nogal tendentieuze artikel.
Want hij heeft zich helaas laten verleiden tot allerlei beweringen die niet (b)lijken te kloppen en had veel meer distantie kunnen (en m.i. moeten) bewaren door meer formuleringen op te nemen in de trant van “Meneer X van bedrijf Y voert aan dat …..”.
In plaats daarvan stonden er in het artikel (tendentieuze) beweringen op zijn eigen conto. Bijvoorbeeld staat in de inleiding/samenvatting:
1. “in het diepste geheim” (zie de openingszin)
2. “buitenspel komen te staan” (zie de laatste zin)
De waarschuwing van Stef Joosten was volkomen terecht!
De reactie van Sander op die waarschuwing sneed onvoldoende hout en leek een (onterechte/zwakke) poging zijn handen in onschuld te wassen.
Ik zou graag van Sander horen of dit hem inmiddels ook duidelijk is geworden, kortom of dit voor hem een ‘leermomentje’ is geweest.
Ter aanvulling wil ik nog graag even kwijt dat ik vind dat de gebruiker o.a. beveiligd moet zijn tegen meekijken bij het ingeven van de pincode (die nodig is om je – bij het activeren van jouw IRMA-kaart (het bij elk gebruik weer opnieuw gebruiksklaar maken ervan) – tegenover jouw IRMA-kaart te authenticeren als de èchte kaarthouder).
Ik wil beslist NIET dat je iets moet tikken op een toetsenbord terwijl iemand anders, zoals de slijter of een mini-camera, kan meekijken.
Op (voldoende simpele) oplossingen voor dit ‘shoulder surfing’ probleem ga ik nu niet nader in.
Maar wat mij betreft verdient de ‘fout’/zwakte van PIN-invoer zoals gebruikt bij onze betaalautomaten, GEEN navolging.
Met mijn professionele ervaringen in het hele EPD en Leerling Volg Systeem(LVS) en de overheid/heden, is enige scpesis op zijn plaats. er zijn namelijk twee hele cruciale factoren die hier een rol spelen. Een hele grote en gevaarlijke zelfs, m.i.
Open Source
Open souurce, heel nuttig en handig wanneer je gezamelijk dingen wil ontwikkelen geschikt voor algemeen nut. Lees dan hier een OS zoals Linux en aanverwanten waar iedereen naadr believen aan mee kan bouwen. Tot daar houd het dan helemaal op.
Persoonlijke gegevens en beveiliging
We weten als IT professional allemaal wel dat beveiligen feitelijk een ‘kat en muiss’spel is. Dat is helemaal niets nieuws. Wat wel nieuws zou zijn, volgens mijn bescheiden opini dan, dat u zou denken dat het beveiligen van persoonlijke data zoals met DigiD beoogt, een commerciele aangelegenheid zou moeten zijn.
Non-discussie
Ik vind deze hele discussie, uiteraard zal ik wel weer één van de zeer weinigen zijn, een volkomen Non-discussie. Ik EIS gewoon van de overheid dat zij er zorg voor draagt dat de persoonlijke data van u en mij, en dan specifieke data zoals persoonsgegevens en data zoals je die in ziekenhuizen e.d. tegen komt, bij wet zijn beveiligd. Goed beveiligd.
Realisme vs wens
Ik weet natuurlijk ook wel dat daar de nodige cash in zal gaan zitten en dat je daar dus mensen met gedegen ervaring tegen aan zal moeten gooien. Deze hele discussie is voor mij een signaal dat juist DAT weer niet is geregeld door een volkomen impotente en incompetente overheid.
Natuurlijk begrijp ik de commerciële wens van de klager, maar die zou zich eens achter de oren moeten krabben, vind ik dan.
Ondergetekende vs Ab Klink
Wij heben in een zelfde situatie gezeten, min of meer, met AB Klink en consorten, in een vroeg stadium van het hele EPD debacle. Wij hadden een duidelijk en gesloten systeem als pakketje klaar dat bij implementatie nog geen vijf en twintig miljoen zou gaan kosten van de belastingbetaler.
Wij hebben daarin mogen ervaren hoe stupide en incompetent en vooral arrogant, ambtenaren en politici kunnen zijn en wat de financiële gevolgen zijn van het hele EPD verhaal.
Sec
Beveiligen kan een commerciële zaak lijken maar is dat doorgaans natuurlijk niet. Tenminste, als je er even goed over na denkt. want hoe commerciëler het word i.c.m. overheden, hoe gevaarlijker. Je hebt twee mogelijkheden hier.
1. Of je zegt tegen de overheid exclusief: ‘Regel Het!’
2. Of, als commerciële partij stel je te tenderen met één en volkomen product die bruikbaar en implementeerbaar is voor de overheid.
Klagen heeft dan alleen maar een averechtse uitwerking bij de overheid. Een beetje terecht denk ik dan. Op verschillende momenten heeft Jacobs het in zijn betoog bij het juiste eind.
Ik zie erg veel in deze manier van gebruik van attributen. Je openbaart alleen dat wat op het moment noodzakelijk is, ipv elke keer b.v. je hele paspoort te moeten tonen. Het maakt ook de systemen die ontsloten moeten worden veel eenvoudiger en toekomstvaster.