Pilot elektronische id-kaart gaat van start in Den Haag

Minister van Binnenlandse Zaken Ronald Plasterk heeft de eerste Nederlandse elektronische identiteitskaart uitgereikt in het kader van een pilot, die maandag van start is gegaan in Den Haag. Met de kaart kunnen gebruikers online inloggen en overheidsdiensten afnemen.

Op dit moment maken burgers in Nederland nog gebruik van DigiD als zij overheidsdiensten afnemen op internet, aldus het ministerie. De pilot moet onderzoeken of dit ook kan aan de hand van de elektronische identiteitskaart. Het voordeel van alternatieve inlogmethodes is dat er een extra beveiligingslaag wordt toegevoegd en dat burgers niet meer afhankelijk zijn van een enkel inlogsysteem, wat soms voor problemen kan zorgen. Vorig jaar gaf de Nederlandse privacytoezichthouder ook al aan dat DigiD niet veilig genoeg is.

Over de werking van de kaart noemt het bericht alleen dat de gegevens op de elektronische identiteitskaart worden opgeslagen op een chip, die uitgelezen kan worden met een kaartlezer. Ook zouden er naast de pilot in Den Haag andere proeven worden uitgevoerd. Zo testen duizend mensen in Eindhoven en Groningen het elektronisch rijbewijs. Daarnaast zijn er 30.000 burgers betrokken bij de pilot private inlogmiddelen, die wordt uitgevoerd in samenwerking met verschillende bedrijven. Deze vallen allemaal binnen de Idensys-afspraken.

Na de evaluatie van de pilots gaat het kabinet een definitief besluit nemen over de verschillende inlogmiddelen.

IT-banen

Reacties (107)

Alexing 15 februari 2016 15:05

Prof. Bart Jacobs over de nadelen van Idensys:
https://www.pilab.nl/inde...sys-under-review/?lang=nl

pheppy @Alexing • 15 februari 2016 18:20

Bart Jacobs is op dit onderwerp niet de onafhankelijk wetenschapper die hij lijkt. IRMA is een beetje zijn levenswerk en dat krijgt volgens hem niet de aandacht die het verdiend. Hierdoor gaat hij het duel met gestrekt been aan en speelt hij op de man (in dat stukje), ik vind dat geenstijl in zijn positie.
Zijn collega Eric Verheul schetst een genuanceerder beeld over de discussie federatief vs niet-federatief: https://www.cs.ru.nl/E.Ve...ons/Reactie_column_FD.pdf

Bruin Poeper @pheppy • 16 februari 2016 01:20

Bart Jacobs is op dit onderwerp niet de onafhankelijk wetenschapper die hij lijkt. IRMA is een beetje zijn levenswerk en dat krijgt volgens hem niet de aandacht die het verdiend. Hierdoor gaat hij het duel met gestrekt been aan en speelt hij op de man (in dat stukje), ik vind dat geenstijl in zijn positie.
Zijn collega Eric Verheul schetst een genuanceerder beeld over de discussie federatief vs niet-federatief: https://www.cs.ru.nl/E.Ve...ons/Reactie_column_FD.pdf

Heb het stuk van Bart Jacobs helemaal gelezen. En moest geleidelijk concluderen dat Mazars er wel verschikkelijk van langs krijgt.

Maar ik vind dat Jacobs (tientallen) heel goede argumenten inbrengt.
Vooral het "pseudoniemen"-systeem van Idensys zuigt. Het "attributen"-systeem van IRMA (Jacobs) zouden we volgens mij moeten hebben (ik ben geen deskundige).
Heel jammer voor Mazars dat ze zo door de plee gespoeld worden, maar ze hebben het er zelf naar gemaakt. Overduidelijk werken zij niet voor de burger-consument. Lees op hun website maar waar ze zich mee bezig houden, de slijmerds.

Ik weet zeker dat het gelik naar "ondernemers" er bij deze man zeker niet in gaat.

[Reactie gewijzigd door Bruin Poeper op 23 juli 2024 20:18]

pheppy @Bruin Poeper • 16 februari 2016 08:43

[quote]
Maar ik vind dat Jacobs (tientallen) heel goede argumenten inbrengt.
Vooral het "pseudoniemen"-systeem van Idensys zuigt.
[/qoute]
En wat zuigt er dan aan de pseudoniemen. Ze zijn dienstverlener specifiek dus voor dienstverleners onderling niet te relateren (itt Google login ed). Onderwerp (tussen authenticatiedienst en dienstverlener zijn ze versleuteld en gerandomiseerd (dus onherkenbaar). De pseudonimene zijn persistent waar nodig of wisselend per sessie als dat voldoende is en een attribuut voldoende. Met de versleutelingsplannen van Verheul zijn de persistente pseudonimen ook nog eens het zelfde ondanks dat je verschillende authenticatiediensten gebruikt, zonder dat deze partijen daarvoor iets uit hoeven te wisselen. Het zelfde geldt voor een machtigingsdienst als je jezelf wil laten vertegenwoordigen. Dus maximale keuzevrijheid, geen identiteit of geschiedenis kwijt al jij je kaart verliest.
Je kan de pseudoniemen zelfs zodanig gebruiken dat (met behulp van smartcard of smartphone) dat je authenticatiedienst jou niet herkent. En het is mogelijk om een dienstverleners ook een (Versleutelde gerandomiseerde) pseudoidenteit te verstrekken waarmee hij jou veilig en betrouwbaar aan kan wijzen bij een derde partij. Bijv mijn zoontje die bij Wolters-Kluwer een test maakt die de resultaten vervolgens doorsturen naar je school. Bij Noordhoff doet mijn zoontje hetzelfde en toch kunnen WK en Noordhoff niet zien dat het dezelfde leerling is. Geen BSN of pseudoBSN. Klinkt als magie. Het is brilliant.

Attributen op een IRMA kaart zijn vast ook nuttig in een aantal gevallen. Ik hoop alleen maar dat een dergelijke weg er niet op uit komt dat ik steeds heel veel attributen moet verstrekken omdat de Dienstverlener mij anders niet gegarandeerd uniek kan herkennen. Voor Jan Smit uit Volendam heb je veel gegevens nodig om uniek te zijn. Net zoals cookies geef je dan makkelijk toe omdat je anders de website niet opkomt. Een dienstverleners heeft nu eenmaal een betere onderhandelingspositie dan jij als individu. En veel mensen zullen zich ook niet de mogelijke impact realiseren van het afgeven van hun attributen. Privacy-by-design vereist dataminimalisatie. Dus juist het afgeven van zo min mogelijk gegevens. Als alleen een persistente pseudoniem voldoet, omdat de Dienstverlener zijn gebruikers wel moet herkennen, dan moet je ook niet meer gegevens verstrekken. IRMA wil daarom ook Dienstverlener specifieke klantnummers gaan verstrekken. Echter dan moeten alle Dienstverlenerrs IRMA ondersteunen en ook de koppelvlakken van IRMA alternatieven (anders beperk je de keuzevrijheid en de innovatie) en dat is gewoon te veel gevraagd voor de meeste Dienstverleners. Die er vervolgens weer services providers tussen gaan zetten (net als bij IDEAL) en dan is het hele privacy voordeel van een IRMA kaart direct naar een Dienstverlener weer weg. En krijg je een paar landelijke mega hotspots bij deze service providers.

Maak je keuze zou ik zeggen.

Bruin Poeper @pheppy • 16 februari 2016 10:50

En wat zuigt er dan aan de pseudoniemen. Ze zijn dienstverlener specifiek dus voor dienstverleners onderling niet te relateren (itt Google login ed). Onderwerp (tussen authenticatiedienst en dienstverlener zijn ze versleuteld en gerandomiseerd (dus onherkenbaar).

Dat legt Jacobs dus goed uit. Het is niet end-to-end encryted.
Pseudoniemen bieden schijnveiligheid. Ergens zit een man-in-het-midden die weet welke pseudoniemen van de zelfde persoon in omloop zijn.
Als de commercie gaat samenspannen komt alles van jou bij hun op straat te liggen.

Toen Google net kwam kijken kon je zoeken op pseudoniemen. Ik heb mezelf toen eens gegoogled en kwam er achter dat ik veel meer over mezelf prijs gaf dan ik kwijt wou. Uit wat ik schreef in diverse fora kwam een prachtig totaalbeeld over mezelf (en anderen) naar boven drijven. 2 halve waarheden maken een hele! Later heeft Google er voor gezorgd dat je die zoekresultaten niet meer te zien krijgt. Maar ik heb geleerd dat het kan. En dan gebeurt het ook. Je kan een computer de meest waarschijnlijke waarheid laten zoeken. Ook al jok je hier en daar, je spreekt meestal ook een beetje de waarheid.

Bij beroemdheden met een publiek pseudoniem maakt het ook totaal niet uit wat hun echte naam is.

[Reactie gewijzigd door Bruin Poeper op 23 juli 2024 20:18]

pheppy @Bruin Poeper • 16 februari 2016 13:52

Het is maar wat je E2E versleuteling noemt. Binnen een federatieve oplossing verklaart een vertrouwde 3de partij over jouw (pseudo) Identiteit en/of attributen. Deze partij (bijv een authenticatiedienst) versleuteld dit voor een dienstverlener. Het betreffende bericht is versleuteld van bron naar ontvanger, ongeacht de partijen die het bericht langs zien komen. Dat is E2E versleuteling.

In een niet-federatieve oplossing zal jouw eigen smartcard of smartphone een dergelijke verklaring aanleveren en versleutelt aanleveren en is de E2E versleuteling tussen jouw device en de dienstverlener. Zoals Jacobs graag ziet van een apparaat onder jouw controle direct naar de beoogde dienstverlener.
Echter, in veel gevallen zal er toch een vertrouwde derde partij moeten zijn die verklaart dat het jouw (pseudo) identiteit of attribuut is. En als die partij deze gegevens onversleuteld op jouw smartcard of smartphone zet is dat een potentieel risico. Als hij dit versleuteld doet heb je feitelijk toch weer E2E versleuteling tussen vertrouwde 3de partij en de dienstverlener.
Slechts als jij zelf de bron bent van een bericht (bijv je typt een email of een chat-bericht) dat is het waardevol als de E2E versleuteling begint bij een apparaat onder jouw controle tot het apparaat onder de controle van de beoogde ontvanger. Maar dat is niet waar federatieve authenticatie zich op richt.

Wat betreft die MitM, met de juiste versleuteling kan dat echt niet. Verheul heeft daar eerder over geschreven. http://www.cs.ru.nl/E.Ver.../eID2.0/PP_Scheme_091.pdf dat is nogal complex en wetenschappelijk. Dus je kan ook beginnen met een vereenvoudigende uitleg in deze presentatie https://www.cs.ru.nl/E.Ve...tations/The_Dutch_eID.pdf

Dan zie je ook dat met die pseudoniemen je niemand kan volgen bij verschillende websitebezoek zelfs als die de verkregen pseudoniemen publiceren. Daar zou jij ook mee geholpen zijn. Misschien kan je Tweakers vragen om mee te doen met de Idensys pilots...

Bruin Poeper @pheppy • 16 februari 2016 14:49

Echter, in veel gevallen zal er toch een vertrouwde derde partij moeten zijn die verklaart dat het jouw (pseudo) identiteit of attribuut is. En als die partij deze gegevens onversleuteld op jouw smartcard of smartphone zet is dat een potentieel risico. Als hij dit versleuteld doet heb je feitelijk toch weer E2E versleuteling tussen vertrouwde 3de partij en de dienstverlener.

Ik zie inderdaad wel probleempjes met bv een doktersverklaring. In hoeverre is die degelijk? Hoe vaak wordt die dokter niet voor een karretje gespannen.
En lastig is het ook. De doktersverklaring heb je nodig om een uitkering of vrijstelling ergens voor te krijgen (want je hebt wat), in het andere geval heb je die nodig om aan te tonen hoe gezond je bent om een goedkope verzekering te krijgen.
Maar het probleem ligt dan niet aan de kaart dat die attributen niet altijd even hard zijn.
Wellicht moet de kaarthouder zelf kunnen aanvinken welke attributen hij (tijdelijk / niet) wil laten zien.

Slechts als jij zelf de bron bent van een bericht (bijv je typt een email of een chat-bericht) dat is het waardevol als de E2E versleuteling begint bij een apparaat onder jouw controle tot het apparaat onder de controle van de beoogde ontvanger. Maar dat is niet waar federatieve authenticatie zich op richt.

Dit is gewoon minachting van de burger-consument.
Je bent me een mooie! Een kaart met een federatieve authentificatie richt zich er dus op om mij als verantwoordelijk kaarthouder buitenspel te zetten? Beetje raar dat juist ik als persoonlijke kaarteigenaar niet van belang ben. Het bedrijfsleven richt zich dus op zekerheid (controle) voor zichzelf, maar de privacy (controle) van de kaarthouder is niet van belang?
Zo'n kaart is niet vóór maar tegen de consument.
Je moet die consument positie wèl meenemen. Als is het alleen maar uit respect.

[Reactie gewijzigd door Bruin Poeper op 23 juli 2024 20:18]

pheppy @Bruin Poeper • 16 februari 2016 16:32

Ik begrijp niet hoe je hierop komt. Een nette federatieve oplossing zet de gebruiker in het geheel niet buitenspel. Mijn punt is dat E2E encryptie een juiste term is voor een situatie waarin een bericht versleuteld is vanaf de partij die het bericht opstelt tot aan de partij voor wie het bericht bedoeld is. Aangezien veel partijen een zelfverklaring over identiteit en attributen niet betrouwbaar genoeg vinden, is er een derde partij die over de gebruiker verklaart. En deze verklaring wordt van deze derde partij tot aan de ontvangende partij versleuteld. En dat noem ik E2E versleuteling. Volgens mij is dat terecht.

Zo'n federatief stelsel stelt eisen op om te zorgen dat de Gebruiker in controle blijft van zijn eigen gegevens. Bij Idensys verplicht het stelsel ook nog een onafhankelijke controle op naleving van de eisen (zie etoegang.nl). Daardoor zullen authenticatiediensten alleen attributen en (pseudo) ID's onder gebruikersinstemming verstrekken. Een federatief stelsel kan daarbij extra bescherming bieden door Dienstverleners wel of niet te autoriseren om zo'n attribuut op te vragen. En om in elk geval heel transparant te zijn over de noodzaak voor het attribuut. Nogmaals, de onderhandelingspositie van een gebruiker tegenover een grote dienstverlener (website) is niet in evenwicht en veel mensen kunnen de impact van het afgeven van gegarandeerd betrouwbare persoonlijke gegevens niet goed inschatten. Bij een niet-federatieve oplossing staat de Gebruiker er alleen voor. Jij en ik kunnen misschien een goed geïnformeerde beslissing nemen. Maar dat geld lang niet voor iedereen. In mijn vriendenkring ben ik ook de enige die fake informatie intypt bij al die webshops (naam, leeftijd etc). Tip: fake naam is soms lastig bij afhaalpunten.

Mijn conclusie is dat zowel een federatieve als een niet-federatieve oplossing privacy vriendelijk kan zijn en de gebruiker in controle kan laten zijn. Overigens kunnen beide ook zodanig in gericht worden dat ze niet aan deze voorwaarden voldoen. Een federatieve oplossing bij voorbaat diskwalificeren op basis van die argumenten is volgens mij niet terecht.

DeComponeur @pheppy • 15 februari 2016 20:05

En het mag dan wel een levenswerk zijn, als het dan ook nog niet werkt
wordt het lekker gênant

Minister Plasterk reikte vandaag de eerste Idensys kaart uit die inloggen bij overheidsdiensten en private partijen mogelijk moet maken.
http://www.rtlz.nl/tv/laa...d-dood-idensys-komt-eraan

Anoniem: 2198 @pheppy • 15 februari 2016 20:03

Sorry, maar volgens mij ben jij degene die hier "op de man" speelt door niet de inhoud van het artikel, maar de persoon die het geschreven heeft ter discussie te stellen.

De reactie van Eric Verheul was op Jaap Henk Hoeman's blog post http://blog.xot.nl/2016/0...-de-authenticatie-pooier/. JHH heeft ook weer reactie op Eric Verheul gegeven: http://blog.xot.nl/2016/0...tie-pooier-onder-de-loep/ (om even het plaatje compleet te maken).

Als wat Jacobs zegt in dat artikel klopt, en ik heb geen reden aan te nemen dat wat daar staat niet klopt, los van IRMA of een discussie over federatief/niet federatief, dan is dat uiterst kwalijk, het is bijna ongeloofwaardig belachelijk die architectuur van Idensys... #donotwant

pheppy @Anoniem: 2198 • 15 februari 2016 21:06

Misschien verwijt ik als pot de ketel. Maar ik vind mijn opmerking in geen verhouding tot het artikel van Bart over het werk van Mazar. Beeld jij je in dat je naar eer en geweten een PIA samenstelt. En dat een wetenschapper vervolgens zo'n stuk over je schrijft met insinuaties en al. Dan is dat van een geheel ander niveau dan dan een duiding van het belang in IRMA dat Bart Jacobs heeft. Een belang dat hij zelf ook niet onder stoelen of banken stopt.

Ik adviseer je om zelf de stukken van Jacobs en Verheul te lezen. En het korte antwoord is dat een slecht ontwerp altijd tot brokken leidt, ongeacht federatief of niet-federatief. Maar dat een gedegen federatief ontwerp kan zorgen voor een veilig, betrouwbaar, privacyvriendelijk etc etc. Ondanks de voorkeur van Jacobs en een aantal anderen voor een niet-federatieve oplossing. Zullen zij beamen dat federatief op zijn minst een hele acceptabele oplossing kan bieden. Maar dat lees je nergens terug.

Een niet federatieve oplossing zou dat misschien ook kunnen, maar dat is nog nooit door iemand uit gewerkt. Voor speciale gevallen kan je een eind komen maar belangrijke zaken zijn nog nergens beproefd als nationale authenticatie oplossing. Duitsland zat er nog het dichtste bij. Weliswaar centrale overheidsoplossing, maar met direct contact tussen smartcard en dienstverlener. In de praktijk gebruikt bijna niemand die kaart. En blijkt de directe contact tussen kaart en dienstverlener niet te werken. Ze zijn nu terug naar een beperkt aantal commerciële partijen die heel veel dienstverleners 'helpen'. Omdat het ontwerp van kaart-tot-dienstverlener is ontworpen betekend dit dat deze tussen partijen enorme hotspots worden.

Dus ik ben het met je eens. Als Bart Jacobs gelijk heeft is dat geen goede zaak. Overigens wel de praktijk wereldwijd. Idensys wil een flink aantal stappen verder gaan. Maar niet iedereen ziet heil in de route. Zelfs jij wordt opgehitst om zonder je er in te verdiepen om woorden als "ongeloofwaardig belachelijk" te gebruiken. Onder voorbehoud maar toch...

pheppy @Anoniem: 2198 • 15 februari 2016 22:02

.... JHH heeft ook weer reactie op Eric Verheul gegeven: http://blog.xot.nl/2016/0...tie-pooier-onder-de-loep/ (om even het plaatje compleet te maken).

Lees dan ook even de reacties die daar onder staan ...

[Reactie gewijzigd door pheppy op 23 juli 2024 20:18]

GekkePrutser @Alexing • 15 februari 2016 18:12

Dat klinkt wel zorgelijk...

Al sinds het begin van het idee van DigiD-smartcards heb ik de vrees dat ze dit ook voor derde partijen toe willen staan. Zodat websites en fora het bijvoorbeeld kunnen verplichten dat je jezelf aanmeldt met smartcard, zodat je bijvoorbeeld geen anonieme nicknames meer kan gebruiken. Als dat echt aanslaat dan krijg je op een gegeven moment het probleem dat je zonder smartcard niet meer kan internetten en overal je echte identiteit achter laat. Dat lijkt me een zeer slechte ontwikkeling. Ik begrijp dat ze hier pseudoniemen gebruiken maar als ik het artikel goed lees, heeft een website daar alleen wat aan als ze die toch aan een persoon kunnen koppelen.

Ik vind het ook een slechte zaak dat er derde partijen als authenticators optreden, dit zou puur en alleen moeten gebeuren door de overheid. En je zou er al helemaal niet voor moeten hoeven betalen.

loekf2

@Alexing • 15 februari 2016 15:31

Bedankt voor de link!!

Even snel doorgelezen, wat een gedrocht probeert de overheid ons weer door de strot te duwen.

Inderdaad, men begrijpt niet wat end-to-end encryptie is en je als "authenticatiepooier" aanbieden is een gouden kans voor databrokers en bedrijven die houden van profilelen bouwen op basis van metadata. Je krijgt de identiteit er nog kado bij.

[Reactie gewijzigd door loekf2 op 23 juli 2024 20:18]

Kenhas @loekf2 • 16 februari 2016 08:23

Dus jij vormt je mening op basis van dat ene "artikel" ?
Ken de auteur van het artikel niet maar als ik het zo doorlees, lijkt het me toch wel een zeer gekleurd artikel.

Waarom is dit een gouden kans voor databrokers ? Het is geen verplicht systeem om te gebruiken op je webshop en is, in mijn ogen, één van de mogelijkheden om ergens in te loggen (naast de manieren van Facebook, Google, ...)

Ik, als belg, weet geen details van het nederlandse systeem maar mijn eigen ervaringen met Belgisch e-id zijn (zowel als burger als ambtenaar) enkel maar positief.

Ik ga hier zeker het systeem niet verdedigen. Er zullen wel genoeg nadelen aan zijn, zoals het feit dat het gaat om een centraal systeem en dus kwetsbaar. Maar ik reageerde dus vooral op "even snel doorgelezen, wat een gedrocht".

kamustra 15 februari 2016 15:06

Hopelijk wordt over het muurtje gekeken. België heeft hier al jaren ervaring mee en het loopt erg goed. Intussen heeft iedereen een e-ID en slingert in elk huishouden wel een kaartlezer rond.
Bij officiële instanties kan je met je kaart en pincode al veel papierwerk overslaan. Door de link met de kruispuntendatabank kan je in principe alle papierwerk overslaan.
Ook thuis kan je hier mee verder: erg veel toepassingen van de verschillende overheden waar je kan inloggen met je e-ID. Er zijn ook toepassingen om pdf-documenten of mails te tekenen maar die zijn bij mijn weten minder gangbaar.

De gegevens die op de e-ID staan zijn grotendeels hetzelfde als op de fysieke kaart: NAW, rijksregisternummer (nationaal ID), digitale versie van je pasfoto en een private en public key om certificaten voor versleuteling/authenticatie/ondertekening te genereren.
Adres staat enkel op de chip; als je verhuisd binnen dezelfde gemeente moet je dus geen nieuwe kaart.

Nadeel is wel dat als je je kaart ergens insteekt, het alles of niets is: je kan niet selecteren welke gegevens je bij die bepaalde transactie wel of niet doorgeeft. Pincode is ook niet nodig om de gegevens uit te lezen, enkel om de certificaten te gebruiken.
Ook bijvoorbeeld frisdrankautomaten, die werken met een e-ID om je leeftijd te verifiëren om alcohol te kopen, kunnen zo in theorie al je gegevens lezen. Eigenlijk hebben deze enkel een flag nodig: + of - 16.

Bijkomend voordeel aan de e-ID is dat deze de vervanger is geworden van de chipkaarten die gebruikt werden als identificatie voor de sociale zekerheid: bij elke zorgverlener, apotheker, ... kan je nu gewoon je e-ID laten lezen om gebruik te maken van de sociale zekerheid en extra regelingen zoals verhoogde tegemoetkoming of derde-betalingsregelingen. Een kaartje minder en heel wat bureaucratie bespaard voor de burger.

[Reactie gewijzigd door kamustra op 23 juli 2024 20:18]

Snake @kamustra • 15 februari 2016 15:11

Het meest irritante is dat hierdoor je altijd Java moet geinstalleerd (anders kan de browser niet praten met de smart-card lezer) worden. Er is nog steeds geen native oplossing hiervoor (bijvoorbeeld een native app die tokens genereerd).

bogy @Snake • 15 februari 2016 15:55

je hoeft niet altijd java geinstalleerd te hebben hoor...

vroeger was dit zo, maar tegenwoordig wordt gewoon het smartcard systeem van windows gebruikt...

bovendien, je kan je mails officieel maken door ze digitaal te ondertekenen, je kan ook gewoon documenten zelf digitaal ondertekenen (ik doe meestal export to pdf en dan in acrobat reader de handtekening plaatsen); dit maakt het allemaal even officieel als ware stond er een gewone handtekening op een analoog document. Ook in de browser heb je dus al lang geen java meer nodig om met de handtekening te werken; er bestaan zelfs plugins voor firefox enzo.

bovendien werkt het ook gewoon op linux zonder een probleem; het enige wat soms voor problemen zorgt is als de client-software geupdate wordt, onder windows krijg je dan geowon een foutmelding dat je niet kan inloggen en moet je het zelf uitzoeken; onder linux heb je dat nooit voor want de software wordt aangeleverd dmv een software-bibliotheek, en die update je software automatisch zonder dat je er verder naar moet kijken (dus samen met al je andere software die uit libraries komt, wat in principe voor 99.9% zo is als je met linux werkt)

Anoniem: 456893 @bogy • 15 februari 2016 17:46

PDF's met eID ondertekenen in Acrobat is geen geldige manier. Dit werkt goed zolang je certificaat geldig is. Maar eens het revoked is (wanneer je je eID verliest, of wanneer je een nieuwe krijgt), dan hebben die documenten plots geen geldige handtekening meer.
Er moet namelijk ook een getekende timestamp in de handtekening zitten. En tenzij dat Acrobat inmiddels gebruik maakt van een timestamp server (lijkt me sterk dat dat uberhaupt kan zonder dit te configureren), gaat het dus niet werken.

Wat je natuurlijk wel kan doen, is je PDF laten tekenen op signing site van de overheid (https://sign.belgium.be). Wel wat omslachtiger (want je hebt internet nodig), maar dan heb je wel een "echt" digitaal ondertekent document.

bogy @Anoniem: 456893 • 15 februari 2016 18:07

wanneer je de pdf signeert, zet hij wel een datum van ondertekening erbij én moet je natuurlijk de optie nemen dat de pdf niet meer gewijzigd kan worden eens ondertekend..
ik doe het al jaren zo...
bovendien teken ik ook altijd mijn btw-aangiftes zo.. OMDAT HET ZO MOET van de STAAT; dus kom nu niet roepen dat het niet geldig is als de overheid het zelf zo gebiedt!

ruytero @Anoniem: 456893 • 16 februari 2016 10:01

Beroepshalve werk ik redelijk vaak met de eID en het digitaal ondertekenen van PDF's. Ik ben consultant voor het Adobe AEM Forms (vroeger Adobe LiveCycle ES) platform. Hierin ontwikkelen wij regelmatig oplossingen die gebruik maken van digitale handtekeningen, oa voor de Belgische en Vlaamse overheden.
Een PDF die een digitale handtekening met een eID bevat is perfect rechtsgeldig. De digitale handtekeningen op een PDF kunnen perfect conform LTV gemaakt worden en kunnen de revocation status bevatten op het moment van ondertekenen, hetgeen ze mee LTV maakt.
De laatste versies zijn ook perfect PADES complient (https://en.wikipedia.org/wiki/PAdES)

Anoniem: 456893 @ruytero • 19 februari 2016 10:43

Natuurlijk kan je een PDF digitaal tekenen op een manier dat deze perfect rechtsgeldig is (de signing portaal van de overheid doet exact dat). Kwestie is wel dat idd de revoke status van het certificaat op dat moment moet kunnen nagaan. Dus je hebt ook een getekende timestamp nodig.
Kwestie is wel dat dit niet standaard lukt met Acrobat (toch niet toen ik mij nog bezig hield met eID). Vermoedelijk zal dit inderdaad wel gewoon in acrobat kunnen geconfigureerd worden (hier was ik misschien wat snel met mijn conclusies te trekken).

ruytero @Anoniem: 456893 • 19 februari 2016 10:57

Allemaal perfect mogelijk, revoke status en timestamps.
Ik heb wel niet zo heel veel ervaring met Acrobat zelf, maar wij ontwikkelen toepassingen met het LiveCycle platform en de functionaliteiten daar laten dat perfect toe. Als je serverzijde een handtekenveld op een PDF plaatst kan je hierin perfect configureren of deze revoke status moet bevatten en ook welke timestamp server er gebruikt moet worden.

My Tec Master @Snake • 15 februari 2016 15:15

Dan lijkt me dit per definitie al onveilig, Java heeft volgens mij door de jaren heen voor aardig wat lekken op de gemiddelde pc gezorgd. Ik bedacht me net trouwens dat mijn Yubikey geen java gebruikt, maar als een toetsenbord werkt. Zou dat niet kunnen qua authenticatie met de lezen en chip?

Anoniem: 456893 @My Tec Master • 15 februari 2016 17:55

De private keys verlaten de chipkaart nooit. In dat opzicht is de kaart wle veilig. Het zwakke punt is de pincode die je meestal zal ingeven via het keyboard van je PC. In dat opzicht is Java niet het grote risico. Een veel groter risico is malware op je pc.

Een mogelijke oplossing om dit te omzeilen is een veilige kaartlezer met ingebouwde keypad. Bij deze kaartlezers verlaat de pincode het toestel niet. Sommige keyboards met ingebouwde kaartlezer werken ook zo (maar enkel met de cijfers rechts, niet deze bovenaan), maar zeker niet allemaal. Nier alle kaartlezers met keypad zijn trouwens veilige kaartlezers. En je moet natuurlijk ook voor een betrouwbare fabrikant kiezen, en liefs took voor gebruik telkens de verzegeling controlleren.

Nog beter zou natuurlijk zijn om een keypad op de kaart zelf te hebben. Maar gaat het wel erg duur worden. Een gewone eID kaart is nu al duur genoeg

bogy @Anoniem: 456893 • 15 februari 2016 18:09

je kan kaartlezers met scherm en keypad gebruiken, da's geen enkel probleem...
alle Belfius bank klanten hebben zo'n kaartlezer; werkt perfect ... je geeft dus idd je pincode in op de kaartlezer en niet op de pc...

Anoniem: 456893 @bogy • 19 februari 2016 10:35

Dat is dus exact wat ik ook zei: een kaartlezer met eigen keypad. Je moet dan wel een model nemen dat de pincode niet eerst naar de pc stuurt (zo bestaan er ook hopen lezers).
Houd enkel in het achterhoofd dat er ook in dat soort kaartlezers een bug kan zitten. Een collega heeft ooit bij wijze van proof of concept een "secure" kaartlezer zover gekregen de pincode alsnog ergens op te slaan zodat deze gewoon daarna vanuit de pc kon uitgelezen worden. De kans dat dit ooit echt gata geëxploid worden is natuurlijk zeer klein, maar 100% veilig zit je nooit natuurlijk (geldt bij alles op het internet).

bogy @Anoniem: 456893 • 20 februari 2016 19:22

de kaartlezer die ik gebruik is een Vasco Digipass 870.
link: https://www.vasco.com/pro...igipass/digipass_870.aspx)

deze stuurt niets door naar de pc wat je intypt op het keypad. dit is echt een van de meest secure kaartlezers die er is, hij werkt ook met visa/mastercard/maestro en lokale banksystemen zowel in connected mode (usb) als in disconnected mode (nummers overtypen); in connected mode worden enkel de controlenummers gecomuniceerd met de pc; ook hier blijft de pin tussen keypad en kaart.

batjes

Internet

@My Tec Master • 15 februari 2016 15:19

Java zelf is niet zo zeer onveilig, net zo min als C dat is. De Java Webapplet was (is) gatenkaas, maar dit staat los van Java als taal zelf.

My Tec Master @batjes • 15 februari 2016 16:08

Maar voor gebruik heb je toch de java webapplet nodig? Ik bedoelde trouwens ook niet de taal zelf maar meer het gebruik en vooral het niet updaten van java op de pc als gevaar.

Glodenox

@My Tec Master • 15 februari 2016 16:32

De Java webapplet is niet nodig. Bezoek anders eens https://test.eid.belgium.be/ Op Firefox moet je alleen maar de middleware en de add-on voor Firefox geïnstalleerd hebben om succesvol in te loggen. De Java plugin wordt hier nergens gebruikt. Persoonlijk geen ervaring met de andere browsers, maar ik vermoed dat deze ook wel zullen werken.

batjes

Internet

@My Tec Master • 15 februari 2016 16:17

Ik heb geen ervaring met de Belgische oplossing en als ik de reactie van Bogy zie lijkt het op recentere Windows geen issue te zijn gezien de interne functies van Windows gebruikt worden i.p.v. Java.

Anoniem: 677520 @My Tec Master • 15 februari 2016 21:16

Op chrome geen java meer maar een extensie voor e-id

My Tec Master @Anoniem: 677520 • 15 februari 2016 21:24

Dat is al een stuk beter, alleen nu er nog voor zorgen dat iedereen die plugin weet te installeren. Voor de meeste gebruikers geen probleem, voor sommigen wel.

kamustra @Snake • 15 februari 2016 15:13

Een omweg is met de federale tokens werken, dan heb je helemaal geen kaartlezer of extra software nodig. Kaartje met 20 tokens kan je aanvragen, na inloggen met gebruikersnaam en wachtwoord wordt een bepaalde token gevraagd. Op die manier kan je wel inloggen op toepassingen van de overheden.

Ik geloof dat dit gelijkaardig werkt aan het DigiD in Nederland, maar het is natuurlijk weer een extra kaartje met tokens en gaat een beetje voorbij aan de e-ID.

ATS @kamustra • 15 februari 2016 15:27

Klinkt als de TAN lijsten die je bij ING kan (kon?) krijgen...

kamustra @ATS • 15 februari 2016 15:29

Klopt, geen onbekend beveiligingsconcept. Iets wat je weet (user/pass) en wat je hebt (tokens).

Arum @Snake • 15 februari 2016 15:31

Java is geen vereiste om te authenticeren met de belgische eID.

Er wordt wel een eID Viewer (java applicatie) meegeleverd met de installatie van de eID Middleware, maar die dient enkel om je kaartgegevens te bekijken en eventueel PIN te wijzigen.

Anoniem: 411179 @kamustra • 15 februari 2016 16:51

Het vervelende aan het systeem vind ik wel dat de e-ID software niet aan de praat te krijgen is op OS X bij mij thuis (meerdere apparaten). Hoewel er wel een mac-variant van de software bestaat, werkt deze klaarblijkelijk niet feilloos. Ik moet telkens een Windows-pc opzoeken om digitaal met overheidsinstanties te kunnen communiceren. Jammer dat de ondersteuning zo Windows-gericht is.

Verder kan de software ook niet overweg met zomaar welke browser. De laatste keer dat ik het gebruikte kon op Windows enkel Internet Explorer of een verouderde versie van Firefox gebruikt worden. Wellicht om bepaalde beveiligingsredenen(?), maar het cliché van trage overheidswerking wordt er wel mee bevestigd.

Anoniem: 456893 @Anoniem: 411179 • 15 februari 2016 18:01

Heb je al contact opgenomen met de helpdesk van Fedict? OSX is voor hen een even belangrijk platform als Linux of Windows hoor.

Robbedem @Anoniem: 411179 • 15 februari 2016 19:32

Het werkt wel op OS X hoor, maar het kan idd wel eens een probleem zijn.
Overlaatst nog veel problemen gehad, waarbij om één of andere reden de java installatie maar niet gevonden werd...

Op een Surface Pro werkte het echter meteen zonder problemen.
Uiteindelijk is het wel opgelost geraakt, maar vergeleken met Windows is het op een Mac dus een ramp. Dit terwijl veel mensen net een Mac kopen met het idee dat dat minder problemen zou geven...

Blaatpraat @kamustra • 15 februari 2016 17:31

Opmerking ivm verhuizen: zelfs als je verhuist naar de andere kant van België hoef je geen nieuwe kaart.
Niet enkel binnen dezelfde gemeente dus.
Alleen zul je dan voor een nieuwe kaart (nadat je huidige vervallen is) naar die nieuwe gemeente moeten gaan, en zal die gemeente op de kaart vermeld staan, maar dat is dus enkel de gemeente van uitgifte.

bogy @Blaatpraat • 15 februari 2016 18:13

je moest in belgie nooit een nieuwe kaart halen als je verhuisde hoor ... vroeger werd het nieuwe adres gewoon op de sticker op de achterkant getypt ...

aangezien we nu met een kaart zitten die in kaartlezers moet is zo'n sticker niet meer echt iets dat we willen... bovendien had je vroeger de keuze om je rijksregisternr niet op de kaart te hebben (die stond ook altijd op de sticker), dat kan nu niet meer, ze staat er altijd op

DarkJack @kamustra • 15 februari 2016 15:44

Document signing met eID in office (Word bijvoorbeeld) is een piece of cake.

Ik heb bij mijn aankoop van mijn huis bepaalde initiële documenten daarmee ondertekent omdat ik geen postzegel en papier wilde verspillen. Werkte echt enorm vlot, ook de Notaris had er geen probleem mee.

Enkel de verkoopacte zelf moest ik nog op papier ondertekenen, maar binnen enkele jaren is wss zelfs dat niet meer nodig.

WhatsappHack

Internet

@kamustra • 15 februari 2016 16:17

Dit klinkt in mijn oren dan als een zeer slecht ontworpen systeem dat dus geen rekening houdt met privacy van de gebruikers... Liever niet. Dat het bij de overheid lekker werkt is mooi, maar als het voor al het andere extreem onveilig is dan hoeft dat van mij hiernin NL niet te komen, hehe. Dan nog liever die AgeCoin erin houden.

Via smartphone zou dit beter af te vangen moeten zijn.

iAR @kamustra • 15 februari 2016 16:22

Ik begreep dat ze juist in estland of letland enor mver waren met digitaal burgerschap. Zag dat laatst bij Tegenlicht van de VPRO.

IndoBoy @kamustra • 16 februari 2016 03:02

In Italië hebben ze ook zo'n persoonlijke kaart. Alleen met deze kaart kun je dan sigaretten uit de muur halen. Lekker handig voor toeristen

Bruin Poeper @kamustra • 16 februari 2016 03:28

Hopelijk wordt over het muurtje gekeken. België heeft hier al jaren ervaring mee en het loopt erg goed. Intussen heeft iedereen een e-ID en slingert in elk huishouden wel een kaartlezer rond.

Dat zal best goed werken. Maar jaren geleden was de Google nog niet zo brutaal als nu.
Dat de Belgen zijn waarschijnlijk nog onwetend dat hun e-ID achter hun rug om ook zo kan worden gebruikt.
Misschien mag het niet, maar op zeker moment gebeurt het. Omdat het kan. De ervaring leert dat wettelijke verboden op een glijdende schaal komen te liggen. Overheid legt belasting- en veiligheidsdiensten, justitie en politie geen stroo breed in de weg.

Ik zie helemaal geen reden, nu we het weten, om zo'n systeem dan toch maar in te voeren.
De e-ID is al achterhaald.

[Reactie gewijzigd door Bruin Poeper op 23 juli 2024 20:18]

Woverke 15 februari 2016 15:43

Hier in Estland hebben ze al 9 jaar de volgende stap: Inloggen via mobiel met een speciale SIM-kaart die private en public keys heeft. Werkt op alle gsm's, aangezien het gebruik maakt van ingebouwde gsm functies, er zijn geen apps nodig. https://e-estonia.com/component/mobile-id/ . Met mobile-id kan ik zowel authenticeren als digitaal handtekenen.

De gewone elektronische identiteitskaart werd 11 jaar geleden geintroduceerd.

Ik heb ook een eigen bedrijf hier en alle contracten met andere bedrijven ondertekenen we beide digitaal. Als ik een overheidsdienst nodig heb kan ik alle informatie en diensten gemakkelijk vinden.

Ook inloggen via third parties is mogelijk. Alle banken hebben naast id-kaart en mobile id ook hun eigen inlogmethodes en die worden ook aanvaard om in te loggen bij de overheidsdiensten.

Ik geloof dat meer dan 90% van de belastingaangiftes hier online gebeuren (heb het daarstraks in letterlijk 20 seconden zelf gedaan en waarschijnlijk krijg ik eind deze week al het bedrag teruggestort) en alle voorschriften van dokters zijn digitaal en gekoppeld aan de rijksregisternummers en kunnen enkel opgehaald worden door de houder van de identieitskaart (of in het geval van kinderen door diens ouders bv).

Er zijn echt ongelofelijk veel elektronische overheidsdiensten beschikbaar, kijk maar eens hier https://www.eesti.ee/eng/services/citizen

Één van de leukere vond ik de mogelijkheid om het aantal voorkomens van een voornaam op te zoeken. Ik ben blijkbaar de enige "Wout" in Estland en onze zoon "Birk" is één van in totaal 8 jongens met die naam

kaas-schaaf @Woverke • 15 februari 2016 16:11

Toegang tot een SIM kaart is bijv op iOS niet mogelijk (net als op de meeste, al dan niet alle Windows Phone toestellen en een groot deel van de Android phones). Dit is en blijft dus een nichemarkt.

Ze zijn in Estland echter wel al veel verder met digitale handtekeningen waar de Nederlandse overheid nog wel wat van kan leren. Er zijn in Nederland wel projecten bezig (o.a. onder Idensys, wat fouten heeft maar ook vele voordelen, want de crypto zit wel goed in elkaar indien de gebruiker de juiste partij kiest, maar de privacy niet of minder...), maar die zijn er op zijn vroegst pas begin volgend jaar.

Note: De Smartcard/signature oplossing werkt prima zoals in Estland/Belgie is aangetoond, maar is duur: In Belgie/Estland heeft iedereen zo'n apparaat aangeschaft, maar in Nederland bezig vrijwel niemand er een.

[Reactie gewijzigd door kaas-schaaf op 23 juli 2024 20:18]

Woverke @kaas-schaaf • 15 februari 2016 18:51

De SIM kaart applicatie werkt gewoon op alle telefoons hoor, ook op mijn windows phone. Het gaat om een "SIM Application". Werkt zonder enige app te moeten installeren.

kaas-schaaf @Woverke • 16 februari 2016 10:30

In dat geval is het een stukje software of HCE achtige trucjes. De SIM Api (iig voor android) is op weinig phones (goed) geimplementeerd, hoewel acceptatie groter word. Ander kan de OpenMobile API gebruikt worden maar ondersteuning daarvoor is schaars, net als voor SEEK (native api).
Op iOS is directe SIM card access niet mogelijk. Ik vraag me dan ook af wat ze precies hebben gedaan, gebruiken ze de identifiers van de kaart of werkelijk de applicaties die er op staan. In het laatste geval gebruiken ze in ieder geval voor iOS hidden APIs wat een directe reject opleverd als de applicatie in de appstore staat.
Voor android blijft het een gatenkaas qua implementatie, met half en niet werkende implementaties. De google nexus apparaten werken, samsung bijvoorbeeld 'ja, maar' en de chinese spullen meestal nee.

Het is overigens de Gemalto mGov implementatie voor het geval iemand daarin geinteresseerd is.

Na even zoeken lijkt het er op dat windows phone inderdaad api level access naar de simkaart ondersteund. I stand corrected.

Woverke @kaas-schaaf • 17 februari 2016 13:29

Ik denk dat het Este mobile id de SIM Application Toolkit gebruikt (https://en.wikipedia.org/wiki/SIM_Application_Toolkit). Een referentie naar hoe het op iPhone werkt vond ik onder de pagina met instructies over hoe je je PIN kan wijzigen: http://www.id.ee/?lang=en&id=34466 . Daar staan screenshots op en zeker op iphone lijkt het toch echt wel op ingebouwde ondersteuning, aangezien het te vinden is onder Settings > Phone > Sim Aplications

kaas-schaaf @Woverke • 17 februari 2016 16:23

Die applicatie calls gebeuren idd zeer waarschijnlijk via de SIM Toolkit (ook op iOS, nu de Card Application Toolkit geheten). Ik dacht echter dat die op iOS onvoldoende support had voor echt fatsoenlijke data transfers naar de chip te transporteren en de juiste calls te kunnen doen (zoals APDUs/AT commands inschieten vanuit de ME/Telefoon), echter het blijft allemaal proprietary spul waar helaas weinig over te vinden is. Wellicht toch maar weer eens verder zoeken dan mijn neus lang is..

Dank voor de info.

Anoniem: 132566 15 februari 2016 16:11

Onder het toeziend oog van de persoon die de gehele privacy van heel Nederland te grabbel gooit...zal me een mooie kaart worden, denk ik dan...

Wat interessanter is: kun je de kaart spoofen en je voordoen als iemand anders, kun je zelf een kaart fabriceren/emuleren? Dit wordt weer zo'n systeem dat iedereen als onfeilbaar beschouwd (zeker Plasterk en de rest vd digibete-snurkers in Den Haag op het pluche) en iedere overheidsdienst dan wel gemeente die hier op overschakelt, weg fraude, hallo gemak en je kunt dadelijk je kont niet meer krabben zonder die kaart ergens in gestoken te hebben en dan blijkt ineens dat je met een kloon kaart van Alibaba.com met zelf ingevoerde data, een kaart kunt spoofen.

Weer x-miljard down the drain...een hoop ophef en een paar euforische studenten van de Radboud-U of TU/x die dit bij Zembla (of soortgelijk) mogen demonstreren. Noem mij pessimistisch, noem mij zwartgallig, een doemdenker, maar ik zeg: 'mark my words'.

Mijn doemscenario: alles staat op de kaart, je hebt geen invloed welke data erop komt, bij verlies ben je zwaar de zak en die kaart heb je nodig voor het dumpen van je huisafval, een mailtje naar de gemeente tot je belastingaangifte en door externe koppeling van alles databases icm deze kaart kan iedere (lokale-)overheidsdienst zien hoe jij je leven leidt en wat je uitvreet.

Het feit dat je niks meer kunt, zonder dit soort middelen (iets communiceren, iets indienen bijv.), maakt mij al pissig op een bepaalde manier, alsof je als een rat in een tredmolen gedwongen wordt te trappelen...anders geen beloning. Bepaalde bestuursrechtelijke voorzieningen kun je gewoon niet meer benutten (terwijl dit je goed recht is!) omdat je weigert jezelf digitaal te laten brandmerken (als vee!)

De natte droom van iedere overheidsdienst en intelligence-agency.
Met dank aan grote vriend Plasterk, de verachtelijke PvdA en het CDA en de rest van het slapende pluche dat niet ingrijpt (dat is nog het ergste!)

EDIT: ik denk eigenlijk dat iedere vorm van een hard-copy middel (zoals een plastic pas met chip/magneetstrip en visuele gegevens) de grootste zwakheden met zich meebrengen, die je maar kunt bedenken: a) de mens die er mee omgaat en faalt b) het feit dat zo'n middel al onder 'attack' ligt en verouderd is, op het moment dat deze de deur uitgaat.

Grote manco is dan ook, dat voortschrijdende technologie en inzichten, maar ook criminelen niet bij te benen zijn en 17 miljoen passen niet ad-hoc bij iedere nieuwigheidje hieromtrent, vervangen kunnen worden. Gevolg is dan ook, dat iedereen op een gegeven moment met een onveilig middel komt te zitten en de trage, logge, lompe overheid aan zet is, om in te grijpen en voor een beter methode te zorgen.

Dat zag men nu al meerdere malen met DigiD, maar ook bankpassen die uit de brievenbus worden gevist, zijn er een voorbeeld van.

[Reactie gewijzigd door Anoniem: 132566 op 23 juli 2024 20:18]

Anoniem: 464382 @Anoniem: 132566 • 15 februari 2016 20:22

+3
Nu nog een pilot binnenkort verplicht. Hadde we niet zoiets al gezien in geschiedernis.

Dasprive 15 februari 2016 15:10

Op het moment dat duidelijk werd dat het eHerkenning systeem, bedoelt voor het zakenleven, in feite het nieuwe Idensys ging worden haakte ik al af.

Ipv zelf verantwoordelijkheid te nemen en dit systeem van overheidswege uit te bouwen en te beheren gaat men het elektronische burger-identificatieplatform laten beheren door het bedrijfsleven, de kat op het spek binden heet dat. In deze tijden van privacy by design & default is dat toch onbegrijpelijk?

En dan laat men een PIA uitvoeren door een partij die kennelijk zelf het begrip "encryptie" amper begrijpt.
https://www.eherkenning.n...ieplateau_eIDv1_final.pdf

Héél erg jammer dat de NL overheid hier kennelijk de makkelijke weg wil kiezen door een gefaald bedrijfsleven systeem te recycleren ipv vanaf de grond een nieuw, degelijk en future-proof systeem te bouwen met veiligheid en bescherming persoonsgegevens in gedachten te hebben ipv return on investment.

pheppy @Dasprive • 15 februari 2016 19:35

Als de overheid zijn authenticatie in eigen hand neemt roept iedereen dat dit weer het volgende falende overheids ICT project wordt, ambtenaren er geen verstand van hebben en mensen iets door de strot geduwd krijgen door de overheid die verder toch niet te vertrouwen is.
Als de overheid zijn authenticatie overlaat aan gespecialiseerde bedrijven, dan verkoopt de overheid zijn ziel (en onze privacy) aan de private duivel die daar vooral snode plannen mee heeft en op zijn minst vooral bezig is met winstmaximalisatie voor zijn aandeelhouders. En daarnaast ook nog eens banden heeft met Amerikaanse bedrijven die onze hele doopceel achter de rug om aflevert aan de buitenlandse veiligheidsdiensten.

Met Idensys heeft de overheid gekozen voor een publiek private samenwerking. De overheid is in elk geval voor het overheidsdomein verantwoordelijk voor relevante wet- en regelgeving. En stelt zo de spelregels op waarbinnen de private partijen bewegingsruimte krijgen. De overheid is vooralsnog van plan om zelf ook authenticatiemiddelen aan te bieden en daar ging dit artikel over. Burgers kunnen daarmee zelf kiezen voor een overheidsmiddel of een middel van een bedrijf dat ze vertrouwen. De overheid kan de kosten voor een betrouwbare, privacy vriendelijke en altijd beschikbare authenticatie infrastructuur delen met het bedrijfsleven. Minimaal profiteren allerlei sectoren als zorg, rechtspraak, onderwijs, etc van deze inspanning. En misschien geldt dat voor alle sectoren in Nederland. Er is maximale keuze vrijheid, ruimte voor innovatie en de kennis van overheid en bedrijfsleven wordt gedeeld.

Wat betreft eHerkenning, dat drijft mee op strenge eisen die de overheid stelt aan authenticatie voor zijn burgers. En omdat alles gepubliceerd wordt www.idensys.nl kan iedereen controleren of dat op de juiste manier gebeurt en de goede keuzes worden gemaakt.
Dat hierbij is gekozen om steeds kleine stapjes te nemen richting de gewenste situatie en onderweg te leren is wat mij betreft de enige manier. Alternatief is om dit in een keer als gigantisch project op te pakken en we weten allemaal hoe dat soort trajecten aflopen.

Engineer Stewie 15 februari 2016 15:17

In België hebben we dit geruime tijd. Ben al aan de 2de bezig volgens mij (>10 jaar).

Opvragen gegevens kinderdagverblijf, persoonsbelasting invullen, registreren bij containerpark gaat allemaal met de elektronische ID.
Adreswijzigingen zijn ook zo gebeurd daar deze enkel in de chip opgeslagen is en nietmeer grafisch op de ID kaart zoals vroeger.

Voor thuis werkt elke simpele USB kaartlezer perfect (op een windows systeem althans).

batjes

Internet

@Engineer Stewie • 15 februari 2016 15:24

Met uitzondering van het kinderdagverblijf (denk ik) doen we dat hier in NL allemaal met ons DigiD. Zo'n e-chip is meer toevoeging op, niet alsof we dit soort systemen niet hadden

ATS @batjes • 15 februari 2016 15:37

Precies. En adresgegevens stonden toch al niet op ID kaarten; enkel een plaats van uitgifte. Dat is gewoon lang niet altijd gelijk aan de woonplaats, en niemand ziet dat ook als hetzelfde geloof ik.

Engineer Stewie @batjes • 15 februari 2016 15:31

Oh, dan log je vanaf dan in met de chip en pincode

. Maakt de integratie alleen makkelijker toch

batjes

Internet

@Engineer Stewie • 15 februari 2016 15:44

Mijn overheid kennende proberen we zelf het wiel eerst uit te vinden (en dan is de beta versie een driehoek, release versie een vierkant), dus of dat makkelijker zal gaan moet nog blijken

supersnathan94

@batjes • 15 februari 2016 16:44

Ik denk dat ze dan nog eerder met een tetraëder aankomen. Zo ingewikkeld dat niemand er iets van snapt en het werkt totaal niet goed voor wat er mee bereikt moet worden.

cadsite 15 februari 2016 15:12

En ik die dacht dat NL altijd voor liep op BE als het gaat over technologie...
Ik zit ondertussen al aan mijn 2de digiID en ik was bij de laatsten om er een te hebben. Mijn eerste heb ik zo'n 8 jaar geleden gekregen.

Dit is vooral handig bij het inchecken in een hotel, inschrijven in een sportclub, formulieren online aanvragen van de overheid,...

Het enige nadeel bij ons is dat adres niet meer gedrukt staat maar uit te lezen is van de chip. Dat maakt wel dat je geen nieuwe ID nodig hebt als je verhuist.
Elk nadeel heb zijn voordeel.

Enne, de vrees voor de kaartlezer: Dat kost bijna niets en hier krijg je deze van verschillende diensten gewoon gratis. Ik heb er bijvoorbeeld 2 liggen, beiden gratis gekregen.

[Reactie gewijzigd door cadsite op 23 juli 2024 20:18]

KoningsGap @cadsite • 15 februari 2016 15:15

Adres staat in Nederland ook niet op het paspoort/id-kaart/rijbewijs.

Anoniem: 398486 15 februari 2016 17:58

wie begint de hack?

Anoniem: 464382 @Anoniem: 398486 • 15 februari 2016 20:19

Nieuws: ID chip skimmers in omloop. Criminelen/bedrijven hebben nu alles van je.

onedutch 15 februari 2016 22:41

ToT Android 6 (marshmallow) slikte iedereen 'zomaar' alle voorwaarden als je een APP wilt installeren. Nu kun je in Android 6 zeggen, maakt niet uit wat de APP wil, niemand mag bij mijn contacten / foto's. Eindelijk zul je denken, heeft dat dan zolang geduurt.

Idensys is net zo, als de oude Android, slikken omdat je iets wilt (al je gegevens overal). Irma echter is net als Android 6, je kunt zelf op elk moment elk gegeven van je jij prijsgeven.

Tijd voor een ICT minister, overheid en computers, gaat niet goed..

[Reactie gewijzigd door onedutch op 23 juli 2024 20:18]

hanwrath @onedutch • 10 maart 2016 23:20

Een ICT minister gaat alleen maar helpen om zulke projecten er wat vlotter doorheen te drukken. Wellicht kan zo'n minister eerder gesjaakt worden om de val te maken + op te stappen als een random ministerie een megalomaan en onmogelijk ICT project compleet in het honderd laat lopen.

Ik vrees dat een ICT minister met vakinhoudelijke kennis en de mindset van een lid van de piratenpartij hierbij het enige denkbare doch zeer onwaarschijnlijke positieve scenario zou vormen.

Overigens, die authenticatiepartijen: een vaste door overheid aangewezen groep die gebruikersdata gaat oogsten -met een door belastinggeld gefinancierd ICT project- en oppotten voor de doorverkoop.
Lijkt me dat deze authenticatiepartijen binnenkort de 'nieuwe KvK' worden, Lubach, eat your heart out

Schandalig rijk worden door systemen die met belastinggeld zijn gebouwd = goed businessmodel.

GoT.Typhoon 15 februari 2016 15:05

Waarom zo moeilijk? Al die gegevens zijn toch al opgeslagen, gebruik gewoon een zelfde systeem als bij de politie. Barcode met BSN en de politie krijgt automatisch alle gegevens van de ID kaart. Waarom is er in godsnaam een inlog nodig o.O

Heerlijk makkelijk, niet eens internet nodig. Gewoon een barcode op je telefoon lokaal opslaan en klaar.

[Reactie gewijzigd door GoT.Typhoon op 23 juli 2024 20:18]

Viince1 @GoT.Typhoon • 15 februari 2016 15:12

Ho ho, je bent security vergeten!

Als je je ID kaart verliest wil je niet dat degene die 'm vindt al je toeslagen/info/etc. kan inzien (laat staan wijzigen).
Verder krijg je het bijkomend nadeel dat iedereen die een kopie heeft van jouw ID in principe alles kan wijzigen, ten alle tijden, hij heeft immers alleen de barcode nodig.

[Reactie gewijzigd door Viince1 op 23 juli 2024 20:18]

GoT.Typhoon @Viince1 • 15 februari 2016 15:22

Hoe zit het met DigID dan? Het staat er allang op allemaal en allang in de gegevens van de overheid. Dit is slechts gebruik maken van deze gegevens, wat intern (en dit is uiteraard ook intern) toch al wordt gedaan. Ik zie het probleem niet.

Sterker nog, zo een barcode is veiliger. Dit kan allene uitgelezen worden door speciale systemen van de overheid, met alleen de code en geen toegang tot de systemen heb je niks. Nu heb je nog best wel wat als je een ID kaart verliest.

Aan de hand van de barcode en de gegevens van het systeem, is er natuurlijk altijd een persoon nodig om te autoriseren dat het om de juiste persoon gaat etc. Lijkt mij een stuk veiliger dan een ID.

Trouwens je beseft toch wel dat dit systeem al wordt gebruikt he? Alleen nog niet rechtsgeldig is? Want mijn rijbewijs wordt regelmatig uitgelezen met behulp van een codescanner.

[Reactie gewijzigd door GoT.Typhoon op 23 juli 2024 20:18]

Rafe @GoT.Typhoon • 15 februari 2016 15:58

Sterker nog, zo een barcode is veiliger. Dit kan allene uitgelezen worden door speciale systemen van de overheid

Ik heb zojuist het documentnummer gescand van mijn rijbewijs, het is een ITF-barcode. Security through obscurity is no security at all

Hoe zit het met DigID dan?

Er wordt een brief gestuurd naar het adres dat in de BRP staat bij het BSN dat je invult. In theorie ben je de enige persoon die de brief kan ontvangen en de gegevens daarin kan gebruiken om het aangevraagde account te activeren. Je verzonnen gebruikersnaam en wachtwoord houd je geheim. Dat is ook niet waterdicht, daarom wordt er gekeken naar opvolgers.

Als je inlogt met DigiD bij een partij als de Belastingdienst krijgt die van DigiD terug dat jij BSN xyz bent en ingelogd met een bepaalde beveiligingsniveau (midden/laag = wel of geen two-factor met SMS, hoog is waar het nieuwsartikel over gaat).

Aan de hand van de barcode en de gegevens van het systee, is er natuurlijk altijd een persoon nodig om te autoriseren dat het om de juiste persoon gaat etc.

Het idee is wel dat een dergelijk systeem het sneller, makkelijker en goedkoper maakt om zaken te regelen met de overheid. Hoe ga je dat realiseren als er altijd een persoon aanwezig moet zijn, zelfs voor zoiets simpels als een afspraak bij de gemeente?

In plaats van een barcode hebben paspoorten tegenwoordig al een NFC-chip die uit te lezen is en eigenlijk alles doet wat je beschrijft, maar veiliger (oa digitaal ondetekend certificaat) en praktischer (in te trekken bij verlies). Het nadeel is wel dat je hardware nodig hebt om in te kunnen loggen. Elders in het commentaar hier kan je zien dat de Belgen het hebben en het ook niet zaligmakend is.

[Reactie gewijzigd door Rafe op 23 juli 2024 20:18]

GoT.Typhoon @Rafe • 15 februari 2016 16:14

Leuke informatie, erg informatief! Ik was mij uiteraard bewust van het feit dat deze barcodes inderdaad al op rijbewijs/ID kaarten zitten. Echter heb ik een tijdje terug opgezocht (omdat ik naar het buitenland ging) of ik mij ook digitaal mocht identificeren (gewoon ID kaart lokaal op telefoon en gaan), dit mocht echter niet en dat vond ik spijtig en achterhaald. Ik weet namelijk dat zij beschikking hebben tot deze gegevens.

NFC is natuurlijk in de toekomst zeker een optie, hiervoor is ook niet langer een kaart nodig maar komt natuurlijk met de nodige security problemen. Wellicht moet er naar 2 verschillende systemen gekeken worden. Eentje die niet telkens geautoriseerd hoeft te worden (zoals een afspraak met de gemeente) en eentje die dat wel moet. Wat ik in mijn post alleen duidelijk wil maken en jij ook bevestigd, is dat deze infrastructuur er allang ligt. Het probleem is momenteel alleen de usability en de rechtsgeldigheid van deze documenten. Dus voor de mensen die nu nog zeggen dat dit de nodige security issues met zich meebrengt, dat kan zeker zo zijn, maar ben ervan bewust dat het systeem al in diverse situaties wordt gebruikt.

[Reactie gewijzigd door GoT.Typhoon op 23 juli 2024 20:18]

WhatsappHack

Internet

@Rafe • 15 februari 2016 16:14

Als DigID gewoon de optie om *niet* te werken met 2fa eruit zou slopen, dan zou t al een tik veiliger zijn. Ik snap niet welke idioot heeft verzonnen dat je bij het inloggen kan kiezen voor met of zonder 2fa. Waarom zou je mét 2fa kiezen als je zonder ook kan inloggen?

Vind dat echt een leipe optie. Maarja.

Als je geen 2fa kan gebruiken is t iets anders. (Geef die mensen een token ofzo.) Als t wel kan moet t gewoon aanstaan en daarmee uitl

CAPSLOCK2000

Overheid
Internet

@WhatsappHack • 15 februari 2016 19:28

Ik snap niet welke idioot heeft verzonnen dat je bij het inloggen kan kiezen voor met of zonder 2fa.

Het idee is helemaal niet zo gek alleen in de dagelijkse praktijk zie je er niet zo veel van.
Digid is gekoppeld aan heel veel systemen. De beheerder van zo'n systeem kan een veiligheidsniveau kiezen, bv dat 2FA verplicht is. Beheerders van andere systemen kunnen een andere keuze maken.
Op het moment dat je bij DigiD wil inloggen weet DigiD niet wat je van plan bent en welk beveilingsniveau nodig is.

Eenmaal ingelogd kun je overigens aangeven dat je altijd 2FA wil gebruiken.

WhatsappHack

Internet

@CAPSLOCK2000 • 16 februari 2016 01:10

Waar bedoel je dan in te loggen?
Als je bijvoorbeeld bij het CJIB (

) wil inloggen, dan krijg je de optie om in te loggen met of zonder 2FA; wat heel 2FA volslagen nutteloos maakt. DigID weet op dat moment echter wel dat je daar gaat inloggen.

Als je bij de DUO inlogt, tenminste: dat was vroeger zo; weet nu hoe het nu zit, dan werd 2FA geforceerd en was de optie om in te loggen *zonder* SMS code grijs, daar kon je gewoon niet voor kiezen.

Wat dat betreft lijkt DigID dus wel te weten wat je wil, dan ben ik benieuwd waar jij inlogt waar DigID dat niet zou weten? o0 Heb ook nog geen opties gezien om 2FA te forceren.

CAPSLOCK2000

Overheid
Internet

@WhatsappHack • 17 februari 2016 01:30

Waar bedoel je dan in te loggen?
Als je bijvoorbeeld bij het CJIB () wil inloggen, dan krijg je de optie om in te loggen met of zonder 2FA; wat heel 2FA volslagen nutteloos maakt. DigID weet op dat moment echter wel dat je daar gaat inloggen.

Ik kan geen voorbeelden geven van waar ze het doen, als er überhaupt iemand is die het doet, zelf gebruik ik Digid nauwelijks. Technisch gezien is het mogelijk, maar de aanbieders moeten er zelf voor kiezen. Dat doen ze blijkbaar massaal niet, waarschijnlijk omdat ze het maar moeilijk vinden.

bogy @GoT.Typhoon • 15 februari 2016 18:19

als je je id-kaart verliest en je geeft dit aan bij de politie kan je onmiddellijk een nieuwe aanvragen, intussen wordt het certificaat ingetrokken van je gestolen id-kaart ... men kan ze dus nog wel uitlezen, maar er iets mee doen?? dat niet

cadsite @Viince1 • 15 februari 2016 15:23

Waarom? Uitlezen is nog iets anders dan aanpassen.
Om aan te passen hebben we in België een PIN code nodig.

bogy @cadsite • 15 februari 2016 16:09

niet waar ... een kaart kan door iedereen uitgelezen worden zonder pincode; alleen is de beschikbare informatie gebonden aan de persoon die het uitleest...

als je anoniem uitleest krijg je enkel de ID-gegevens die bij de kaart horen; naam, adres, geboortedatum & plaats, nationaliteit, rijksregisternr (sofinr voor de NL's)

ben je bv een ziekenhuis of mutualiteit, dan krijg je extra gegevens te zien zoals mutualiteit waarbij je bent aangesloten (dit is het SIS-gedeelte, vroeger hadden we een sis-kaart, deze data zit nu mee in onze id-kaart)

op het gemeentehuis kan men ook je burgerlijke staat zien

maar verder is er dus niemand die meer gegevens van je kaart kan halen, in de toekomst zou men het rijbewijs ook nog mee willen integreren had ik ergens opgepikt; in dat geval zal de politie ook weer wat extra info kunnen afhalen zonder pincode namelijk je type rijbewijs.

voor het buitenland kan je altijd zelf een afdruk maken van je gegevens... zeker als je buiten europa gaat is het slim om in de eID software een printout te maken van je data en dit mee te nemen. je kaart zelf laat je best in het hotel liggen in de kluis. Ten eerste staat er meer op de printout dan op de kaart; namelijk je adres. en als je iets moet invullen (bv huur van een scooter tijdens vakantie) heb je altijd je adres nodig. Op de printout staat bovenaan alijd ook je foto zoals op je id-kaart en er staat duidelijk vermeld dat dit je ID is. op de kaart zelf staat je adres niet afgedrukt (= goedkoper als je verhuist, moet je geen nieuwe kaart gaan halen), bij de oude kaarten zette men het op de sticker op de achterzijde als je adres veranderd was, maar dat gaat nu uiteraard niet meer.

cadsite @bogy • 15 februari 2016 16:40

En waar precies vertel ik iets dat niet correct is?

bogy @cadsite • 15 februari 2016 18:00

ik denk dat ik reply heb gedrukt bij jou terwijl ik een post erboven gelezen had ofzo... want wat jij schrijft klopt idd gewoon... maar een topic hoger (niet boven, maar niveau hoger) wordt bv over barcodes enzo gesproken en daar gaat men de fout in ivm veiligheid sorry

cadsite @bogy • 15 februari 2016 19:52

z1rconium @GoT.Typhoon • 15 februari 2016 15:09

Klinkt als de ultieme manier voor identiteitsdiefstal.

Op dit item kan niet meer gereageerd worden.

Pilot elektronische id-kaart gaat van start in Den Haag

Lees meer

IT-banen

Reacties (107)

Sorteer op:

Weergave: