De gemeente Amsterdam sluit aan op Publicroam om zijn openbare wifi-netwerk veilig en makkelijk toegankelijk voor bezoekers te maken. Bezoekers maken een account aan die wordt gekoppeld aan hun telefoonnummer. Hiermee kunnen zij automatisch inloggen op het wifi-netwerk van alle deelnemende organisaties.
In Amsterdam zijn vijftig locaties aangesloten op Publicroam. Het betreft gemeentelijke locaties, buurthuizen en het Stedelijk Museum. Vanaf 1 januari 2020 wordt dat aantal met ruim 150 locaties uitgebreid, waaronder alle vestigingen van de Openbare Bibliotheek Amsterdam, markten en sportparken.
Amsterdam sluit zich aan bij steden die gebruikmaken van Publicroam, waaronder Alkmaar, Den Haag, Wassenaar, Vlaardingen, Valkenswaard, Heeze, Hoorn en Delft.
Publicroam is gebaseerd op dezelfde architectuur eduroam (wifi-netwerk voor docenten en studenten) en govroam (voor ambtenaren). Deze variant is bedoeld voor aanbieders van openbare wifi-netwerken. Publicroam beheert een centrale Radius-server en een database met daarin de identiteiten van personen met een Publicroam-account.
Mooi initiatief, Publicroam! Het wekt wel wat vragen op:
– Gratis voor de gebruikers, maar niet voor de aanbieders betekent dat het maar een beperkte oplossing is. Ze beperken de aanbieders ervan zelf al tot “instellingen die aan de wettelijke eisen met betrekking tot privacy voldoen”. Logisch, maar als de beweging tada.city die hier achter zit echt veilige smartcities nastreeft, zal ze toch iets moeten verzinnen waarbij particulieren ook gratis en veilig internet kunnen aanbieden en niet alleen er gratis gebruik van kunnen maken als “organisaties” het aanbieden. Gratis bestaat niet, dat klopt, en fijn dat Publicroam data zoals surfgedrag niet verkoopt of ongevraagd advertenties gaat plaatsen. Maar alleen instanties die bereid zijn om “veilig draadloos internet” aan te bieden en daarvoor kunnen en willen betalen, betekent zo misschien alleen maar meer fragmentatie voor het streven naar een meer veilige versie van OpenWireless.org.
– in de gebruiksvoorwaarden staat: “U mag niet op dagelijkse basis gebruikmaken van eenzelfde WiFi-gastnetwerk en daarbij grote delen van de dag online zijn”. Beetje vreemd, ik mag dus niet drie dagen achter elkaar in de bibliotheek werken met veilig draadloos internet van Publicroam? “Casual use” is alleen toegestaan en dit is dus geen beveiligd wapen tegen de digital divide?
– Ook staat er in de gebruikersvooorwaarden dat je het MAC-adres van je draadloze client niet mag faken. Vreemd, want in bijvoorbeeld in Windows 10 is dat nu juist één van de laatste privacy verbeteringen die privacy bewuste surfers standaard zullen aanzetten. Ook lastig dat Publicroam dat allemaal kan en blijkbaar wil kunnen monitoren met welke MAC-adressen je inlogt, privacy technisch gezien. AVG-technisch gezien is dit juist niet nodig om de dienst “veilige draadloze verbinding” aan te kunnen bieden, dat werkt met fake MAC-adressen ook prima, hoor. Of gebruiken jullie een beperkte set MAC-adressen als een soort 2-factor authentication? Dat zou niet echt handig zijn.
– Erg benieuwd wat het kost eenmalig en per bezoeker die gebruik maakt van Publicroam. Dat laatste is dus meteen wel een onzekere kostenfactor en hoe populairder de dienst wordt bij jouw voordeur of erachter, des te meer je gaat betalen. Of is er een price-cap? Waarom wordt er geheimzinnig gedaan over de kosten voor aanbieders van deze dienst? Is dat niet voor iedere instelling gelijk? Kan dat niet gewoon op de website vermeld: eenmalig €xxx, per jaar vooruit €yyy, per gebruiker € zzz per keer/jaar/dag???
– Je zou ook willen dat Eduroam en Govroam gebruikers van deze IAM-oplossing gebruik kunnen maken, zonder een apart Publicroam account. Technisch gezien een eitje met Radius en kost zo weinig dataverkeer dat de kosten ook verwaarloosbaar zijn (als je toch al stabiele verbinding gebruikt), maar waar blijf je dan met je business model?
– Hoe veilig is WPA2 Enterprise (nog) en wanneer gaat Publicroam WPA3 ondersteunen? Mag je alleen meedoen wanneer je WPA2 WiFi apparatuur gepatched kan worden (en wordt) tegen een KRACK attack? Zie bijv. https://www.electronicdesign.com/embedded-revolution/wpa2-krack-why-security-depth-matters
– wat stellen de privacy garanties van Publicroam voor als je niet weet of de aanbieder van Wifi niet met deep-packet inspection en andere tools je surfgedrag (vanaf een verplicht niet te maskeren MAC-adres, dus individueel herleidbaar) vastlegt? Device “iPhone Johnny” bezoekt met https 10 keer per dag website xxx.com kan gewoon worden gemonitord, nadat je veilig met WPA2 geauthenticeerd bent op het netwerk. en je draadloze verbinding moeilijk afgelusiterd kan worden. Ik vrees dat Publicroam op privacy gebied voor de meeste gebruikers schijnveiligheid gaat betekenen. De aanbieders alleen wijzen op de wet en dat ze het niet mogen, biedt geen garantie. Kijk hoelang de politie in Amsterdam onwettig gebruik kon maken van de verkeerscamera’s om kentekens te scannen op de invalswegen, bijvoorbeeld.
– terugkomend op OpenWireless.org: “We have two choices: let mobile privacy stay dead forever, or build an alternative open wireless future”. Hoe “open” en globaal gericht is jullie netwerk, Publicroam?