Recently the Dutch company Innopay published, on behalf of the Ministerie of Economic Affairs, a report called A Network Approach to E-identification (http://www.innopay.com/index.php/plain/newsletters/04_2010_e_identity_as_a_two_sided_market_the_business_case_will_drive_adoption_not_the_technology). This is an interesting report that gives some background and motivation for the Dutch eRecognition program which works on a trust framework, of scheme, for business-2-government identity. Together with Paul Oude Luttighuis, a colleague and interoperability expert, we wrote a short reaction. This reaction is below, but in Dutch … For non-Dutch speakers, among others we discuss:
- We support the choice for a network model (or trust framework or scheme)
- The report advocates the use of a four party model, as is used in the financial world, contrary to the probably more common three-party model (user, identity provider, relying party).
- We discuss the risk that new parties trying to enter this market are prevented from doing so by the parties already active in it.
- We discuss the opportunity to have mutual authentication, i.e., the service provider could also authenticate to the user.
- We discuss semantic issues, and pseudonyms.
What follows is the Dutch text (feel free to experiment with Google Translate …).
Wie bent u om mijn klant te zijn?
Recent publiceerde het bedrijf Innopay op verzoek van het Ministerie van Economische Zaken hun rapport A Network Approach to E-identification (http://www.innopay.com/index.php/plain/newsletters/04_2010_e_identity_as_a_two_sided_market_the_business_case_will_drive_adoption_not_the_technology) . Dit belangwekkende rapport bespreekt het gedachtegoed achter huidige e-identity-ontwikkelingen bij de Nederlandse overheid. Paul Oude Luttighuis ( Enterprise Interoperability expert bij Novay) en Maarten Wegdam (Identity Management expert bij Novay) reageren.
============================
Het stuk bepleit een netwerkbenadering. Die gaat uit van interoperabiliteit tussen concurrenten, gevat in een expliciete en goed beheerde set van afspraken (door het stuk een scheme genoemd), in plaats van een centrale voorziening. Als concept is dat niet nieuw, maar in het e-overheidsveld is inderdaad de “centrale voorziening” vaak het leidende concept. Door in het netwerk rollen te onderscheiden wordt er niet alleen gekoppeld, maar ook ontkoppeld: de rollen krijgen de kans zich in hun eigen dynamiek te ontwikkelen. Zo’n model kan daarom soepeler groeien dan een centrale-voorziening-model, zolang de rollen goed gekozen zijn en er voorzieningen zijn om te innoveren op de koppelvlakken tussen de rollen.
Specifiek kiest het stuk voor een zogenoemd vier-partijenmodel, waarin twee hoofdrollen, in dit geval de eindgebruiker en de dienstverlener, elk worden bediend door een ondersteunende rol aan hun zijde. In dit geval is dat de authenticatieprovider, die de eindgebruiker voorziet van authenticatiemiddelen, en de zogenaamde routing service, die de dienstverleners toegang biedt tot het netwerk. De kernafspraak in dit netwerk is dan dat alle authenticatieproviders verbonden zijn met alle routing services. Deze wederzijds gedwongen winkelnering vraagt wel om maatregelen tegen het oneigenlijk weren van nieuwe toetreders tot het netwerk.
Een ander voordeel van het vier-partijenmodel is dat eindgebruiker en dienstverlener via één partij toegang krijgen tot het hele netwerk. Natuurlijk moeten zij dan wel het hele netwerk vertrouwen en, indirect, de authenticatieproviders en routing services daarbinnen. Overigens is ook een decentraal drie-partijenmodel denkbaar. Sterker nog, gangbare identity-federatiestandaarden gaan daarvan uit en niet van een vier-partijenmodel. Sommige identity-federaties, zoals de SURFfederatie, hebben wel een vierde rol, maar centraliseren deze.
Overigens, het geschetste vier-partijenmodel is asymmetrisch. Bij authenticatie is sprake van twee hoofdrollen: de partij wiens identiteit wordt vastgesteld en de partij die die vaststelling ontvangt. In het stuk worden deze rollen geïdentificeerd met respectievelijk de eindgebruiker en de dienstverlener. Dat ziet over het hoofd dat in een transactie ook de eindgebruiker behoefte kan hebben aan zekerheid over de identiteit van de dienstverlener. Is het netwerk niet ook daarvoor te gebruiken?
Een andere adder onder het gras is dat het besproken netwerkmodel weliswaar functioneel decentraal is, maar semantisch wel degelijk centraal. Elke eindgebruiker die het netwerk als zodanig kent, heeft namelijk maar één identiteit in dat netwerk. Anders kunnen niet alle authenticatiemiddelen worden geaccepteerd door alle dienstverleners. Dat brengt privacy-issues met zich mee, die niet door het stuk worden besproken. De voor de hand liggende manier om hiermee om te gaan is om één persoon meerdere “eindgebruikers” te kunnen laten spelen, door middel van pseudoniemen. Dit is gebruikelijk in modern denken over elektronische identiteit. Het stuk maakt echter niet duidelijk of het afsprakenstelsel dit gaat toestaan en hoe wordt geborgd dat pseudoniemen niet toch worden gecombineerd in een omvattender persoonsidentiteit.
Daarnaast heeft een eventuele centralisatie van het identiteitsbegrip ook informatiekundige gevolgen. In relatie met een school is een persoon leerling of student, in relatie met een vereniging is hij lid, in zijn relatie met een bank is hij bankklant. Dat kunnen écht andere relaties zijn, die dus een andere identiteit vragen. Denk bijvoorbeeld aan een gezinslidmaatschap van een vereniging, of aan één persoon die verschillende relaties heeft met één dienstverlener, in verschillende hoedanigheden.
Deze semantische kwestie wordt alleen maar groter als dit afsprakenstelsel wordt uitgebreid richting eindgebruikers die namens hun organisatie optreden, zoals het stuk aan het eind suggereert. Zo zou ook een organisatie-an-sich kunnen worden geauthenticeerd. Echter, of zo’n optreden werkelijk námens een organisatie is, kan van veel dingen afhangen: van een expliciete autorisatie, van de precieze gebruikte dienst, van het tijdstip, van de locatie of van de situatie (denk bijvoorbeeld aan noodgevallen). Deze semantische variëteit dreigt veel complexiteit in het netwerk brengen. Het zal in elk geval niet de bedoeling zijn deze genuanceerde autorisatie onmogelijk te maken, nemen we aan.
Tot slot, het stuk claimt dat zo een centralistische machtspositie wordt voorkomen. Mochten deze netwerken echter succesvol blijken, zullen zij vanzelf een oligopolie of monopolie vestigen en de keuzevrijheid toch weer beperken. Daarom moet het beheer van het afsprakenstelsel zorgvuldig en voldoende open worden vormgegeven.
[…] Broker – similar to the hub architecture, but there is more than one hub (allowing competition between them), as used by for example eHerkenning (eRecognition). […]