Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Logius voert beveiligingsniveau DigiD op met paspoortcontrole via nfc in app

De Nederlandse organisatie achter DigiD, Logius, heeft het mogelijk gemaakt om in te loggen met een hoger beveiligingsniveau door een eenmalige controle van een paspoort, rijbewijs of id-kaart toe te voegen aan de app. Daardoor kunnen gebruikers veiliger inloggen dan tot nu toe mogelijk was.

Door de controle is het mogelijk om met de Android-app van DigiD in te loggen met beveiligingsniveau Substantieel. Gebruik van de DigiD-app zonder de controle geldt als beveiligingsniveau Midden. Met een hoger niveau van beveiliging hebben organisaties meer zekerheid over de identiteit van degene die inlogt en kunnen zij dus toegang geven tot gevoeligere gegevens dan tot nu toe mogelijk was.

De controle van het paspoort, id-kaart of rijbewijs is eenmalig, blijkt uit het stappenplan. Het rijbewijs moet van na 14 november 2014 zijn, omdat vanaf die datum het Nederlandse rijbewijs een chip kreeg met nfc. Gebruikers hebben voor de controle een Android-telefoon met nfc nodig, draaiend op Android 4.4 of hoger. DigiD ondersteunt alleen de 'meest gebruikte Android-telefoons', maar een lijst is niet beschikbaar.

De DigiD-app verscheen een half jaar geleden en is in gebruik als tweede factor bij het inloggen bij overheidsdiensten. Daarvoor moeten gebruikers de app en het account eerst koppelen. De controle van het identiteitsbewijs is niet mogelijk in de iOS-versie van de app, omdat Apple dergelijk gebruik van de nfc-chip in iPhones niet toestaat.

Door

Redacteur mobile

63 Linkedin Google+

Submitter: Meyiox

Reacties (63)

Wijzig sortering
De controle van het paspoort, id-kaart of rijbewijs is eenmalig.
En hoezo is dit extra veilig ? Er is nog steeds geen enkele onafhankelijke verificatie van de daadwerkelijke identiteit van de gebruiker. Alleen dat van het feit dat het ID-bewijs en de telefoon ooit bij elkaar in de buurt waren. Nadat bijvoorbeeld de telefoon gestolen is (al of niet in combinatie met ID-bewijs), is dit even (on)veilig als SMS-verificatie. En dan is het nog maar wachten op de persoon die dit hackt, en dan de paspoort-gegevens van n telefoon naar een andere kan kopiren.
omdat Apple dergelijk gebruik van de nfc-chip in iPhones niet toestaat.
Incorrect, Apple staat schrijven naar de NFC chip niet toe (voor betalingen) maar vanaf iOS 11 is het mogelijk NFC chips te lezen. Dus dit zou gewoon op iPhones kunnen werken...
Lezen is leuk, wil niet zeggen dat dit te implementeren is op de iPhones.

Het paspoort zal waarschijnlijk op dezelfde manier werken als een pinpas, je moet namelijk input geven, waar op de chip zelf mee gehocuspocust wordt om er een resultaat uit te geven. En niet dat het slechts als "BSN = 123456790" uit te lezen is. Ik mag toch hopen dat de data op het paspoort, minstens encrypted opgeslagen ligt.

Als je dus enkel NFC chips kan uitlezen, kan je er geen data, dus input, heen sturen.

[Reactie gewijzigd door batjes op 1 november 2017 18:16]

Ik mag toch hopen dat de data op het paspoort, minstens encrypted opgeslagen ligt.
Je kunt gewoon alle data (inclusief pasfoto) uitlezen.
Het enige wat je daarvoor nodig hebt is: documentnummer, geboortedatum en vervaldatum.
Dit is overigens alleen om "skimmen" te voorkomen. Je bent op deze manier zeker dat diegene die het paspoort uitleest ook fysiek toegang heeft.

Overigens zijn de datavelden waar de fingerprint en evt. irisscan (die voorbereiding is al getroffen) in opgeslagen liggen wel voorzien van een versleuteling die alleen met een key van de overheid te lezen is.

[Reactie gewijzigd door Oeroeg op 1 november 2017 18:30]

En daarmee is de data dus versleuteld.
Met alleen uitlezen kom je er dus niet als je ook zaken moet doorgeven om de chip uit te lezen
Als ik het goed heb kan je toch de machine readable code gebruiken die op je paspoort of id staat.

PS Leuke app om te zien wat er allemaal op de chip staat.
https://play.google.com/s...nnovalor.nfciddocshowcase
coole app, werkt leuk.

Enig idee waar je een lijst met hash reg codes komt?
Een write commando mag niet, maar dat betekent niet dat alle andere commando's ook niet kunnen.
Het sturen van zogenaamde APDU commando’s wordt niet ondersteund via de daarvoor opengestelde APIs.
Nee, zo werkt het lezen van een paspoort niet. De iPhone ondersteunt alleen z.g.n. NDEF tags. Om een paspoort uit te lezen is iso14443a/b support nodig. Het is ook niet een simpele leesactie, je moet eerst uit wat gegevens in de MRZ (de 2 regels onderaan je paspoort) een sleutel afleiden en hiermee een encrypted communicatie kanaal met de chip opzetten. Daarna kan je een aantal van de files op de chip uitlezen en nog wat andere checks doen, o.a. om te checken of het geen kopie is. Let wel dat je niet overal bij kan, voor het uitlezen van de vingerafdrukken heb je extra sleutels nodig.
je moet eerst uit wat gegevens in de MRZ (de 2 regels onderaan je paspoort)
De MRZ is gewoon (een subset van) dezelfde data als op de rest van het document. De gegevens die je noemt zijn gewoon het documentnummer, geboortedatum en vervaldatum.

Ik vond het wel grappig dat er een kleurenversie van de pasfoto in die chip zit trouwens.
De MRZ staat exact zo in DG1, maar daar heb je natuurlijk niks aan voordat je eerst die 3 items uit de MRZ haalt, want je kan DG1 niet uit de chip lezen zonder die 3 gegevens.
Ik zou dat hier melden. Maar dat wist ik niet, wel goed dat het mogelijk is.
Ik zie zowel het stappenplan als de optie om iets te wijzigen niet. Moet er nog een update volgen?
Id van juni 2014, dus even wachten tot juni 2024.
Gaat alleen om rijbewijzen. Id-kaarten hebben dit al sinds 26 augustus 2006.
Bedankt! Dan vraag ik me wel af hoe ik het kan instellen. Ik gebruik de app al om in te loggen met de QR code, heb de nieuwste versie van 31 oktober, maar ik zie nergens de mogelijkheid om dit in te stellen. Het stappenplan zie ik niet.
Het stappenplan staat in het plaatje bij dit artikel
Dus een telefoon gebruiken met android 4.4, wat al zwaar out-dated en zo lek als een mandje is noemen ze veiliger?

Ik hou het wel gewoon op de 2 traps authenticatie via sms.
De enige reden dat dit gedaan is, is omdat eerst voor de belastingdienst het noodzakelijke niveau verlaagt is door aan te passen wat substantieel is. Je wilt eigenlijk hoog qua persoons identificatie garanties maar dat is met digid niet mogelijk, en dus lijkt dit een verbeterpunt maar stelt het weinig voor omdat er simpelweg te weinig mensen zijn die dit doen en en-persona froude nog steeds mogelijk is (pak het paspoort van je oma en je bent klaar). Het is echter wel makkelijk te implementeren.

DigiD kan nooit hoog halen zonder volledig op de schop te gaan, en dit is geneuk met de regels om niet direct een nieuw systeem in te voeren. DigiD zonder paspoort verificatie kan ook substantieel halen, maar dat vergt aanzienlijk meer implementatiekosten en dus kosten maar zou voor iedereen toegankelijk zijn ( dit vergt bijvoorbeeld face to face verificatie maar er zijn meer opties), en het liefst een eidas/eherkenning 4 (lees hoog tegenwoordig) approved cryptoprovider om dan direct het naar hoog te trekken als je toch bezig bent.
Klinkt een beetje nutteloos. Je kunt optioneel in de app het beveiligings niveau verhogen als je aan een berg eisen voldoet. Wat is dan het voordeel?
Wat kan ik niet als ik het niet doe (want geen NFC kaart/telefoon)?
Wat kan ik niet als ik het niet doe

Dit is de kernvraag inderdaad, want omgekeerd, wat kan een crimineel niet als die wel mijn andere gegevens heeft maar niet mijn paspoort.

Ik laat me graag corrigeren, maar vooralsnog lijkt het erop dat het antwoord "niets" is, en het vooral een test is om in de toekomst wellicht NFC te gebruiken als alternatief/aanvulling.
Overschrijven van auto's op naam van iemand anders is 1 van de use cases die Substantieel eisen
Kijk dat is inderdaad handig. Tevens staat daar ook de rest van de informatie: het is ook mogelijk met behulp van een PC en losse USB kaartlezer.
Je kunt instellen dat je een minimaal niveau vereist voor het gebruik van DigID diensten. Dit is dus eigenlijk hetzelfde als een gemiddelde 2FA: je kunt zelf instellen dat je een hoger niveau vereist. Daarnaast kunnen bepaalde diensten van de overheid k een minimaal niveau vereisen om van die dienst gebruikt te kunnen maken. Zo kun je bij DUO (of was het Studielink?) niet zonder 2FA inloggen terwijl dit bij andere DigID diensten wel kan.
"vroeger" (lees enkele jaren terug) kon ik bij DUO zonder 2FA inloggen, al was het niet vaak nodig.
Er zijn verschillende beveligingsniveau’s onderkend door de overheid: laag, midden, substantieel en hoog. Verschillende diensten vereisen verschillende niveau’s, Bij veel diensten waar de authenticatie wordt afgehandeld via DigiD is laag (inloggen met gebruikersnaam en wachtwoord) voldoende. Zodra de gevoeligheid van gegevens toeneemt (denk aan medische dienstverleners) zal ook het beveiligingsniveau omhoog moeten.

Deze nieuwe methode van inloggen wordt voor het eerst niveau ‘substantieel’ behaald. ‘Hoog’ komt later, bij de introductie van het eRijbewijs en de eNIK.
In de zorg zitten we hier erg op te wachten. Patient-informatie heeft een hoge wbp-niveau. Door niveau substantieel te kunnen aanbieden, zal het ook mogelijk worden om een bi-directioneel contact tussen zorgverlener en patient aan te bieden dat voldoet aan eisen van privacy en regelgeving.

Of je er dan als patient op die manier gebruik van wil maken op je smartphone, of toch kiest voor een andere oplossing: dat is het voordeel. De keuze _is_ de meerwaarde.
En vervolgens komt je info binnen bij een zorgaanbieder die nog een handjevol niet gepatchte XP-machines heeft staan, waar alle gegevens zonder veel moeite door iedereen in te zien zijn. O-)
Daar staat het nu ook al, natuurlijk.
En niet iedere zorgaanbieder werkt meer op XP, dat is inmiddels een beetje broodje aap aan het worden. Maar dat de NEN nog niet overal goed geland is in de zorg, is me af en toe wel duidelijk. Ander issue, moet ook aandacht krijgen, maar mag innovatie niet in de weg staan. Stilstand is achteruitgang.
Ik mag inderdaad hopen dat die XP machines inmiddels tot het verleden behoren.
Maar ik denk dat voor kwaadwillenden de systemen bij de zorgaanbieders een veel voor de hand liggender doelwit zijn dan het proberen te onderscheppen van het contact tussen zorgaanbieder en patint.
Het voordeel is:
- Je kunt zelf instellen dat er, als er met jouw Digid account wordt in gelogd, altijd een niveau 3 inlog vereist wordt.
- Andere (overheids)diensten kunnen eisen dat je met met niveau 3 moet inloggen.

Op die manier kan de veiligheid voor bepaalde diensten en/of accounts worden opgeschroefd zonder dat dat voor het hele systeem (lees: alle diensten/accounts) nodig is. Dat is het voordeel.
En kan Google vervolgens paspoort koppelen aan andere zaken? :Y)
Sinds wanneer heeft Google toegang tot Digid dan?

even los van alle misre bij de Belastingdienst waar ook iedereen met USB-sticks met data in het rond liep te strooien.....
Dat laatste (over de belastingdienst) gebeurt in gewone bedrijven uiteraard ook aan de lopende band, maar dat komt niet in de media....
Met de AVG/GPDR wetgeving komend jaar wordt dat ook wel anders. Niet dat ze dan in de media moeten komen, maar het wordt knap streng allemaal.

De Belastingdienst is natuurlijk wel heel slecht. Die hebben data van pakweg 17 miljoen mensen in huis.
Ik neem aan van niet (al kunnen ze SSL decrypten), maar Android zit tussen de hardware (NFC) en de app.
Mja. Ik heb 2 weken geleden ook in een uurtje tijd met moeder de vrouw samen de Android Factory Reset Protection in Android 6 van een LG G4 gekraakt dus wat dat betreft.......
Ik neem aan van niet (al kunnen ze SSL decrypten)
Leg uit.
De endpoints moeten decrypten om de data te tonen. Sessiesleutels zijn immers bekend bij de endpoints.
Ja, en hoe doet de NSA dat dan?
NSA? Ik heb het over Google.
Oh ok, maar dezelfde vraag. SSL kunnen decrypten als endpoint is logisch. Maar begrijp ik je goed, dat je denkt dat Google dat kan zonder endpoint te zijn?
Het artikel gaat over een android-app. De endpoint is dus "van" Google.
Theoretisch gezien is dat mogelijk voor alle browsers ongeacht welk OS je gebruikt. Maar alleen dan als ze tussen jouw browser en de HTTPS verbinding met Digid een tunneltje hebben gemaakt waarbij alles af te luisteren is.
Hoe doen de andere EU-landen dit? Ik krijg nml het gevoel dat dit weer een typsich "wij kunnen het beter ohnee toch niet" gevalletje is, voor iets dat op EU-niveau geregeld moet worden.
Maar stel dat dit verplicht wordt en je bent een buitenlander die in NL vast woont maar geen NL nationaliteit heeft, dan zou een buitenlandse EU document zoals ID of paspoort toch ook moeten voldoen?

Voor de rest, wel optioneel maar gezien het feit hoeveel mensen ik ken met een toestel die naar deze eisen niet voldoet misschien voorlopig maar beter ook.
Alhoewel alle paspoorten volgens de ICAO standaard ontwikkeld zijn, is er toch een aantal verschillen.

Zo is Nederland bijvoorbeeld het enige land wat een Elliptic Curve-versleuteling heeft toegepast (i.t.t. RSA wat in de rest van Europa gebruikelijk is).
Dit kan niet verplicht worden. Hoeveel mensen hebben een telefoon die werkt met dit? Zat mensen die geen eens smartphone hebben. Sowieso duurt het nog minstens 7 jaar voor dat iedereen een kaart met NFC heeft.

Heb je geen andere kaart als je NL inwoner bent zonder nationaliteit? Om aan te tonen dat je een visum hebt ?
Tja, als EU-burger heb je geen extra documenten nodig (dat *mag* ook niet) bovenop die waar je staatsburger bent. Dan zou dit dus f EU-breed ingevoerd moeten worden, f niet verplicht mogen/kunnen zijn.
Nu nog niet nee, maar als ik straks als een van de weinige een telefoon met een niet mainstream OS gebruik en hier niks mee kan, maar de rest van het land doodleuk meegaat met android of een ander mainstream OS, dan ben ik inderdaad de pineut. Gezien het ondersteuningsbeleid van de overheid is dat geheel niet ondenkbaar.
Voor die mensen zonder ondersteund Android telefoon is er ook een USB nfc kaartlezer. Daar houden ze zeker wel rekening mee, lijkt mij.
Daarom zeg ik specifiek EU burger, die hebben geen visum nodig alleen een paspoort of id.

Maar in dat geval zou dit niet verplicht kunnen worden, sowieso niet omdat meeste mensen berhaupt niet aan die smartphone eisen voldoen.
Dan kun je niet met DigID inloggen. Dit is nu met Studielink ook al het geval voor buitenlandse studenten. Deze studenten kunnen via een andere method inloggen.
Maar stel dat dit verplicht wordt en je bent een buitenlander die in NL vast woont maar geen NL nationaliteit heeft, dan zou een buitenlandse EU document zoals ID of paspoort toch ook moeten voldoen?

Rijbewijs en/of IND kaart wellicht?

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*