Privacy and security in an eID solution?

irma4

In the Netherlands we have a digitale identity solution, called DigiD, for citizins that want to use e-government services. It is used quite a lot (compared to e.g. Belgium or Germany), but not very secure (only SMS as second factor, and verification via a well-known address contrary to e.g. face-2-face). The Dutch government is now working on a more secure eID solution, as part of an bigger identity trust framework that is called “eID stelsel” (roughly translates to eID scheme or eID framework). In the below blog post (in Dutch …) we discuss this, and zoom in on the IRMA research project in which we participate. IRMA smartcard aims to be both secure and privacy friendly (attributes, double blind certificates etc).

Een betrouwbaardere en privacyvriendelijkere DigiD

In een kamerbrief over de toekomstbestendigheid van Nederlandse identiteits-infrastructuur, schrijft minister Plasterk dat DigiD, in de huidige vorm, op korte termijn niet meer voldoende beveiliging biedt voor nieuwe gevoelige e-overheids diensten. Voor deze diensten is een veiligere eID oplossing nodig. Te denken valt dan, bijvoorbeeld, aan toekomstige diensten als toegang van patiënten tot hun elektronische patientendossier.

Dat DigiD niet veilig genoeg meer is, betekent overigens niet dat DigiD gefaald heeft. In vergelijking met onze buurlanden gebruiken Nederlanders DigiD relatief vaak (aangifte inkomstenbelasting blijft de belangrijkste applicatie).

De Belgen hebben al sinds jaren een veel veiliger middel op basis van een traditionele kaart met chip met metalen contactjes; ondanks deze veiligheid wordt deze vrij weinig gebruikt. De wet van de remmende voorsprong lijkt hier ook te gaan werken: ten tijde van de invoering was zo’n kaart state-of-the-art, maar toen kon nog geen rekening gehouden worden met smart phones en tablets. En een reader kopen en installeren werpt een drempel op voor gebruikers.
De Duitsers, die recenter een eID kaart met chip hebben ingevoerd, hebben gekozen voor een contactloze RFID variant, deze is ook te gebruiken met mobiele apparaten met Near Field Communication. Maar de Duitsers lijken voor wat betreft adoptie hetzelfde probleem te hebben als de Belgen: superveilig, maar weinig diensten om ‘m te kunnen gebruiken. Gebruikersvolume eerst, voor minder gevoelige diensten, en vervolgens veiliger maken voor gevoeligere diensten, lijkt dus nog niet zo’n slechte strategie.

Het veiliger maken van een eID is niet alleen een kwestie van een chip toevoegen. Naast de techniek is de kwaliteit van het uitgifteproces bepalend voor het betrouwbaarheids-niveau van authenticatie. Aansluiten bij de de-facto STORK standaard zorgt ervoor dat een betekenisvol betrouwbaarheidsniveau bereikt wordt.

Een probleem dat al deze oplossingen gemeen hebben is privacy. Bij DigiD kan de overheid precies zien welke diensten een burger gebruikt. DigiD kan alleen gebruikt worden voor e-overheid, pensioen en zorg diensten, maar er is een bredere behoefte aan een betrouwbare digitale identiteit. Dat de overheid kan ‘tracken’ welke diensten haar burgers op het internet gebruiken is vanuit privacy overwegingen natuurlijk onwenselijk.

Afgezien van de privacy aspecten, hebben we een Nederland een situatie waarin de overheid, bij wet, leeftijdsverificatie eist voor bepaalde soorten producten of diensten. Bijvoorbeeld bij het online kopen van alcoholhoudende drank moet de aanbieder de leeftijd van de consument controleren. Maar tegelijk biedt de overheid geen identiteits-oplossing waarmee drankwinkels hieraan kunnen voldoen. Novay heeft eerder naar private alternatieven voor leeftijdsverificatie gekeken, zie ook de brief van staatssecretaris Teeven aan de kamer.

Bij gebruik van overheidsoplossing voor de private sector wordt privacy belangrijker: in tegenstelling tot de meeste diensten waar DigiD nu voor gebruikt wordt, hoeft de dienstverlener vaak niet te weten wie je bent, en bijvoorbeeld alleen dat je oud genoeg bent. En de Nederlandse overheid hoeft niet te weten wanneer je drank koopt, of gokt. Overigens, in het geval van online gokken, in het nieuwe wetsvoorstel, moet de dienstverlener vanuit zijn zorgplicht en vanuit fraudeoverwegingen de identiteit van de gebuiker kennen.

Bij de Duitse eID oplossing maatregelen genomen om de privacy kant ervan te verbeteren. Met name zijn attributen (bv geboortedatum, adres, naam) pas voor dienstverleners toegankelijk nadat ze hebben beargumenteerd waarom toegang tot attributen nodig is (minimal disclosure).

Maar privacy-vriendelijkheid kan nog een stap verder. De IRMA kaart is een contactloze proof-of-concept eID oplossing op basis van zogenaamde anonymous credentials.  Onder leiding van de Radboud Universiteit, en met een aantal andere partijen die mee-onderzoeken (SURFnet, TNO , SIDN, Novay) wordt gekeken naar de haalbaarheid en naar mogelijk gebruik van deze techniek in de toekomst.

Met IRMA kan de gebruiker zijn woonplaats prijsgeven, zonder het precieze adres  aan de dienstverlener te laten zien; of het feit dat hij ouder dan 18, zonder de precieze geboortedatum mee te delen. IRMA gebruikt daarvoor een nieuw soort elektronische handtekening. Deze handtekening zelf levert ook geen traceerbare informatie, dus een bezoek met een IRMA kaart aan de drankwinkel kan niet gecorreleerd worden aan eerdere bezoeken met dezelfde IRMA kaart. En de uitgever van een IRMA kaart kan niet ‘tracken’ bij welke dienstverleners iemand gebruikt.

Novay doet mee in het IRMA project. Met name heeft Novay (experts Identity, Privacy & Trust) onderzocht hoe op een kaart, die al aan een burger is uitgereikt, op een betrouwbare manier extra informatie gezet kunnen worden, bijvoorbeeld een update van een adres uit de GBA.

Het gebied eID en digitale identiteiten is volop in beweging.

Deze blogpost is geschreven samen met Martijn Oostdijk.

One Response to Privacy and security in an eID solution?

  1. […] gebruikt wordt zou veiliger, gebruikersvriendelijker en goedkoper zijn. Maar die hebben we (nog) niet in Nederland. Ik ga ervanuit dat het wetvoorstel de gebruik van zo’n oplossing, zodra die […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s