IRMA-ontwikkelaar SIDN neemt deel aan EU-pilot voor digitale identiteitswallet

SIDN gaat de Europese Commissie helpen met het ontwikkelen van een Europese digitale identiteitswallet. In de pilot wordt reizen met de wallet getest, evenals het veilig uitwisselen van passagiersgegevens, het kopen van goederen en diensten, en een Europees diplomabewijs.

Met een digitale identiteitswallet kunnen EU-inwoners zich online en offline identificeren. Het is een concept waar zowel de Europese Commissie als lidstaten, waaronder Nederland, aan werken. Stichting Internet Domeinregistratie Nederland gaat de Commissie helpen met haar deel van de identiteitswallet.

De pilot waaraan SIDN deelneemt, is gericht op de interoperabiliteit en adoptie van de wallet, in verschillende contexten. De Europese Commissie wil namelijk dat EU-inwoners de wallet voor verschillende doeleinden kunnen gebruiken, bijvoorbeeld om hotels en vliegtuigen te boeken, om in te checken bij die hotels en vliegtuigen, en om te kunnen betalen voor deze diensten.

Een ander voorbeeld waar SIDN bij gaat helpen, is het standaardiseren van onderwijs- en studiegegevens om de internationale beweging van studenten en vrije Europese studiekeuze makkelijker te maken. In de pilot worden diverse van zulke scenario's nagebootst en worden eventuele belemmeringen gesignaleerd om deze te kunnen verhelpen.

SIDN gaat de Europese Commissie helpen als onderdeel van twee grotere consortiums waaraan SIDN deelneemt: het EUDI Wallet Consortium en het Digital Credentials 4 Europe Consortium. Zo zijn er tientallen deelnemers uit bijna elke EU-lidstaat betrokken bij de pilot. De stichting is onder meer bekend als beheerder van het .nl-domein, maar ook als ontwikkelaar en beheerder van IRMA. IRMA is een privacyvriendelijke authenticatieapp die samen met Privacy By Design is ontwikkeld.

Door Hayte Hugo

Redacteur

Feedback • 16-12-2022 13:1988

16-12-2022 • 13:19

88 Linkedin

Lees meer

SIDN doopt identificatie-app IRMA om tot Yivi Nieuws van 1 maart 2023
SIDN voegt gegevens uit Kamer van Koophandel toe aan IRMA Nieuws van 24 februari 2023
SIDN: bijna zestig procent .nl-domeinen maakt gebruik van dnssec Nieuws van 23 februari 2023
Europese Commissie zet referenties online waaraan Europese wallet moet voldoen Nieuws van 14 februari 2023
SIDN begint bètatest met RDAP als vervanger voor Whois op .nl-domeinen Nieuws van 31 januari 2023
SIDN ontwikkelt tool die risico op misbruik van .nl-domeinregistraties inschat Nieuws van 27 januari 2023
SIDN wil met splitsing in stichting en bv continuïteit van .nl-domein waarborgen Nieuws van 11 januari 2023
Nederland krijgt een paspoort voor op internet. Hoe gaat dat werken? Nieuws van 15 december 2022
Nederland gaat meedoen aan Europese pilot voor digitaal reisdocument Nieuws van 29 november 2022
Van Huffelen wil data uit Basisregistratie Personen gebruiken voor digitaal ID Nieuws van 27 september 2022
Amsterdam test app waarmee burgers zich privacy-vriendelijk kunnen identificeren Nieuws van 12 november 2020
Privacyvriendelijke authenticatieapp IRMA krijgt nieuw uiterlijk Nieuws van 8 juni 2020
Nijmegen test identificatieapp IRMA die privacy waarborgt Nieuws van 26 september 2018
Meer producten en artikelen
Politiek en recht Privacy Authenticatie Europa Europese Commissie Europese unie Identifier SIDN

Reacties (88)

-Moderatie-faq
88
86
40
8
1
39
Wijzig sortering
joost00719
16 december 2022 13:23
Toch een beetje huiverig voor dit soort praktijken.
In theorie kun je zo iedereen enorm eenvoudig volgen. Mocht er een datalek komen ligt je hele gaan en staan op straat.

Het is een leuk concept als vervanger voor overheidsinstanties waarmee je bijvoorbeeld in logt met DigiD, maar om hotels te boeken of goederen te kopen, gaat mij nogal ver.
jvdmeer
@joost0071916 december 2022 13:32
Ik weet natuurlijk niet hoe het straks gaat werken, maar momenteel heeft iRMA al een wallet in de playstore staan, en die haalt de gegevens op van diverse instanties en die bewaart de app lokaal op je telefoon. Dus in dat geval is er geen sprake van een grote centrale database met alle gegevens daarin.
De gegevens in je wallet hebben een geldigheidsduur die wordt bepaald door de leverende instantie. Daarna zal je de betreffende gegevens moeten verversen.

Afnemende instantie kunnen middels een QR-code aangeven in welke gegevens zij zicht willen hebben. Na het scannen van de QR-code, vraagt de app of de betreffende instantie die gegevens mag hebben. En alleen die gegevens worden dan doorgegeven. Zie de demo op de website: https://privacybydesign.foundation/demo/
xSNAKEX
@jvdmeer16 december 2022 13:45
Sterker nog, ze krijgen alleen maar de minimale info die ze nodig hebben en die gegevens worden ondertekend zodat ze weten dat dit waar is. Mocht je bijvoorbeeld ouder dan 21 moeten zijn ergens voor, dan presenteren ze alleen die vraagstelling en krijgen ze alleen een gevalideerde ja of nee terug.
denan
@xSNAKEX16 december 2022 13:55
Kanttekening is dat IRMA momenteel nog geen implementatie heeft voor 'range proofs'. Dit staat wel op de backlog maar de huidige implementatie gebruikt voor dit doel een set attributen die door PbDF uitgegeven worden. Dit zijn afgeleide attributen die gemaakt worden op basis van het BRP credential, bijvoorbeeld 'ouder dan 18'
J_van_Ekris
@denan16 december 2022 14:44
Kanttekening is dat IRMA momenteel nog geen implementatie heeft voor 'range proofs'.
Klopt, maar zowel GBA als mijn bank geven wel een zwikje af (tot 65+ aan toe).
ByteArray
@xSNAKEX16 december 2022 18:33
Maar hoe voorkomt IRMA dat ik mijn sleutel(s) op een server zet, en iedereen aanbiedt om via die server anderen te authoriseren als het bijvoorbeeld over leeftijd gaat? Aangezien het volledig anoniem zou moeten, zou dat moeten werken.

Garbage in, is garbage out...

[Reactie gewijzigd door ByteArray op 16 december 2022 18:36]

xSNAKEX
@ByteArray16 december 2022 18:44
Door je personal key niet exporteerbaar te maken?
ByteArray
@xSNAKEX16 december 2022 18:49
Maar hoe garandeer je dat als het het geen gecertificeerde HSM (Hardware Security Module) betreft? Zo'n chip is peperduur.

Een normale TPM kraken is te doen, en als één iemand dat lukt en zo'n server aanbiedt ergens ter wereld, dan is het hele systeem lek.

Of je koopt een ambtenaar om... Aangezien een authorisatie zelf nooit herleidbaar is, kan dat via een server werken. Hooguit kan de sleutel worden ingetrokken als ze achter de omkoping zelf komen, maar goed, zoiets kan ook in corrupte landen.

[Reactie gewijzigd door ByteArray op 16 december 2022 19:08]

xSNAKEX
@ByteArray16 december 2022 19:37
Of je koopt iemand bij de root certification authority om. Kan je gelijk alle overheidscertificaten spoofen.
Er zijn serieus zat manieren om een certificaat niet portable te maken en die worden gebruikt voor veel belangrijkere zaken.
Je HSM referentie past hier ook niet echt. Ik geloof dat net even omgekeerd aan het redeneren bent.
ByteArray
@xSNAKEX16 december 2022 20:30
Die root certificaten worden beschermd door een HSM. Het genereren van certificaten is toevertrouwd aan een beperkt aantal partijen waar als het misgaat er veel geld op het spel staat. DigiNotar was finito na 1 incident. Daar was het ook herleidbaar, Gmail gebruikte bijv. geen DigiNotar, behalve in Iran.

De overheid verliesde het vertrouwen niet na fraude met coronabewijzen. Toen trokken ze die wel in uiteindelijk, maar vraag is of dat in corrupte landen wel lukt.

Feit is dat zo'n authorisatie onherleidbaar moet zijn, dus ja, hoe ga je dat intrekken?
increddibelly
@ByteArray18 december 2022 19:53
denk je dat corrupte landen het een biet interesseert wat je app zegt? wat ga je doen, je gelijk aantonen met een groen vinkje in een app in landen waar nu demonstreren over dingen die er echt toe doen, levensgevaarlijk is?
TLDR irma is geen oplossing voor jouw probleem.
ByteArray
@increddibelly18 december 2022 19:56
Dat klopt, ik hoop ook dat IRMA faalt, want ik moet niks hebben van dat neurotische maakbaarheidsdenken. Pubers horen soms ook een beetje de grenzen op te zoeken (alcohol, porno) en er soms *iets* (niet te ver) overheen te gaan, dus vind deze ontwikkeling dat alles 18+ moet zijn ook ongewenst.
denan
@ByteArray16 december 2022 22:29
Er is nog een extra component in elke transactie: de keyshare server die de pin-code checked bij elke transactie.
ByteArray
@denan16 december 2022 22:52
Dus je bent hoe dan ook afhankelijk van een externe server? Dan is het ook niet decentraal meer en zijn je sleutels ook niet volledig in eigen beheer.

[Reactie gewijzigd door ByteArray op 16 december 2022 22:53]

denan
@ByteArray16 december 2022 23:02
Nee, de keyshare server slaat alleen (een deel) van je key op. De andere staat op de mobiel. Bij elke transactie checked je app je pin-code op de keyshare server. Het maakt geen onderdeel uit van de transactie en IRMA ziet niet welke attributen je deelt met welke partij. Wel komt er een update aan waarbij het binden van het device aan de transactie meegegeven kan worden aan de verifierende partij. Dit betreft puur de check, geen identificerende attributen.

Maar hiermee kan een partij die attributen verifiert ook zeker weten dat de keys gechecked en veilig zijn. Het is dus een bewijs" richting een verifier.

https://irma.app/docs/keyshare-protocol/

(al staat hier nog niet alle informatie omtrent wat er nu in ontwikkeling is rond dat bewijs)

[Reactie gewijzigd door denan op 16 december 2022 23:03]

ByteArray
@denan16 december 2022 23:06
Dus dan ben je wel afhankelijk van die externe server, maar die externe server doet alleen niet alles. Maar wat belet mij om van mijn apparaat waar die sleutel aan gebonden is een server te maken die autorisaties voor anderen uitvoert?
denan
@ByteArray16 december 2022 23:14
Dus dan ben je wel afhankelijk van die externe server, maar die externe server doet alleen niet alles. Maar wat belet mij om van mijn apparaat waar die sleutel aan gebonden is een server te maken die autorisaties voor anderen uitvoert?
Je bent ook afhankelijk van de server waarop het identity scheme staat. Dat is ook een centraal component dat geupdate moet worden.

Je hebt nooit de hele sleutel in ieder geval. Een deel staat in de TPM op je mobiel, een ander deel in de keyshare server. Als ik het goed begrijp stel je voor dat je een fork van IRMA maakt en die extern benaderbaar maakt.. waarna mensen jouw device kunnen gebruiken om aan te tonen dat ze 18+ zijn?
ByteArray
@denan16 december 2022 23:15
Ja precies, volgens mij krijg je dat nooit waterdicht en kan iemand hier een gebruikersvriendelijke omweg voor vinden.
denan
@ByteArray21 december 2022 15:26
Even gechecked bij het dev-team. Er zijn checks om dit te voorkomen (en anders zou ook bijvoorbeeld device attestatie geimplementeerd kunnen worden) maar in de praktijk ontkom je er niet aan dat er altijd wel een workaround voor is. Zo kan iemand natuurlijk zijn attributen delen door een mobiel aan het internet te hangen en er een fysiek robotje voor te zetten.

Vanwege de decentrale natuur van IRMA kunnen wij niet zien welke transacties iemand uitvoert. Maar een partij die de attributen opvraagt (verifier) kan natuurlijk wel de IP's zien. Die zou daar weer op kunnen filteren als blijkt dat 1 IP 10k requests per maand uitvoert.

Ook kun je je afvragen wat de schade eventueel is. Er zijn weinig partijen die alleen een "18+" attribuut vragen. Vaak willen ze ook meer. Voor drank aankopen zou hier nog een stukje biometrie bij kunnen komen, of een pasfoto. Maar in de praktijk zie ik weinig mensen een hele set aan attributen (incl. BSN) aan vreemden op het internet doorgeven.
iOnoWLIt
@jvdmeer16 december 2022 14:48
De IRMA-app heeft een hele slechte UX imo.
denan
@iOnoWLIt16 december 2022 14:57
Er komt een nieuwe UX met een volledig nieuwe interface in Q1 volgend jaar.
J_van_Ekris
@joost0071916 december 2022 14:43
Toch een beetje huiverig voor dit soort praktijken.
In theorie kun je zo iedereen enorm eenvoudig volgen. Mocht er een datalek komen ligt je hele gaan en staan op straat.
Als de IRMA aanpak gevolgd dus juist niet. Je kunt door een vertrouwde partij (overheid, maar ook een bank) ondertekende attributen ophalen en op je eigen telefoon opslaan. Er is verder geen centraal punt waar al die data bij elkaar komt.
bzuidgeest
@joost0071916 december 2022 13:38
Op veel van die plekken moet je al identificeren, dus dat volgen kan al, zij het wat lastiger. Dit levert niet veel extra voor de overheid, maar mogelijk wel meer gemak voor de burger.

Ja ik ken de bezwaren, maar bij alles wat nieuw is zie ik dezelfde bezwaren. Ooit had men bezwaar tegen de auto, want de paardeigenaren voelde zich bedreigd. (en ja dat was serieus zo op een aantal plekken)

[Reactie gewijzigd door bzuidgeest op 16 december 2022 13:39]

Kevinp
@bzuidgeest16 december 2022 14:45
En nog terecht ook want hoeveel paarden verkopers zie je op de hoek.

Maar alles overal en iedereen volgen, zoals ze bv in China al jaren doen. Dan werd je toch voor gek verklaard, maar het wordt werkelijkheid.

Zolang de overheid (en in dit geval allemaal) te vertrouwen is is het goed. Maar tja regeringen veranderen.
deniz280
@Kevinp18 december 2022 20:40
We zien nu al dat ze niet te vertrouwen zijn met alle lekken wat al uit komt via klokkenluiders. Ik volg al een tijdje huig plug en het is gewoon te bizar hoe onze regering nog daar kan functioneren na alle corruptie schandalen wat naar buiten komt.
RM-rf
@joost0071916 december 2022 13:37
Je wordt ook voortdurend gevolgd door private en commerciele bedrijven die hun geld met advertentie-inkomsten verdienen.
Tegelijkertijd vormen bepaalde overkoepelende diensten gemakkelijk een monopolie, waarbij de overkoepelende dienstaanbieders ook zelf alle controle uitoefenet onder resellers, bv bij Amazon is dat een heel sterk voorbeeld.

Overheidsorganisaties zijn juist een 'veiligere' optie omdat deze ook veel minder een commerciele insteek hebben en vooral een eventuele monopoliepositie financieel willen uitnutten (iets dat overigens initieel de private partijen een voorsprong geft omdat die veel meer 'druk' kennen snel marktaandeel te veroveren) en beter controleerbaar zijn en dus ook beter gedwongen worden zich te houden aan privacy-reguleringen.

Niet dat de Overheid helemaal schuldvrij is met schendingen van privacy of soms nog vaker een slordige omgang met privacy-geralteerde zaken, maar overall hebben ze wel een iets grotere betrouwbaarheid dan commerciele en veelal buitenlandse commerciele partijen.
joost00719
@RM-rf16 december 2022 13:43
Bij een commerciële partij kan ik mij voordoen als iemand die niet bestaat. Als ze deze methode verplichten, is dat ook niet meer mogelijk.

Als het werkt zoals @jvdmeer aan geeft, is dit wel een goed alternatief voor bijvoorbeeld alcohol kopen of pakketje ophalen, of registreren voor services waar je je id-kaart moet uploaden.
OruBLMsFrl
@joost0071916 december 2022 13:53
En precies dat laatste is de bedoeling. Al die plekken waar je een valse naam op zou geven, die moeten vaak enkel ook maar zeer minimale info van je hebben. Zoals haast alle sociale media dat je 13+ bent, of zelfs 16+ voor bepaalde features, en nog wat meer volwassen sites ook natuurlijk, waarvan er genoeg legit willen draaien, troep op internet blijft er altijd. Uitstekend als bij die legit platformen, je daar niet meer met een valse opgave zomaar op kan.
Dat wil niet zeggen dat je op al zulke platformen voortaan je echte naam zou moeten gebruiken tenzij het platform dat in kwestie afdwingt, enkel dat ze in de EU gaan vereisen op enig moment dat je een leeftijd check wel werkelijk kan valideren, ipv zo'n knopje ik ben ouder dan X jaar.

[Reactie gewijzigd door OruBLMsFrl op 16 december 2022 14:00]

Ricofizz
@joost0071916 december 2022 14:07
Voelt een beetje zoals het BankID in Zweden, waar je zonder eigenlijk helemaal niks kan aanvragen, van pakketjes tot mobiele abbonementen en bankrekeningen.

Hoop dat er wel een goed alternatief blijft bestaan en daar ook rekening mee gehouden wordt.
ErikvanStraten
@joost0071916 december 2022 15:55
joost00719 eindigde met:
Het is een leuk concept als vervanger voor overheidsinstanties waarmee je bijvoorbeeld in logt met DigiD, maar om hotels te boeken of goederen te kopen, gaat mij nogal ver.
IRMA is zeker een leuk concept, maar het probleem van online authenticatie (op het huidige web) is dat je niet altijd weet wie de authenticerende partij is (en dan ook niet hoe onbetrouwbaar deze is).

De beheerders van DigiD weten dat, en stellen daarom strenge eisen aan websites waarop je met DigiD kunt inloggen. Het stellen van dergelijke eisen aan willekeurige websites is niet realistisch.

Het is veel te eenvoudig om een "lijkt-op" of "zou-kunnen-zijn-van" domeinnaam te registreren, een nep website op te tuigen en daar, in een oogwenk, een "no questions asked" gratis https servercertificaat voor te verkrijgen.

Zodra jij op een nepsite (of een gehackte server met neppagina) authenticeert met jouw "paspoort in smartphone", kan de eigenaar van die fake site als zijnde jou elders authenticeren.

Dit gaat (kennelijk voor velen onverwacht) tot veel identiteitsfraude leiden, zoals ik hier verder toelicht.
edwinjm
@ErikvanStraten16 december 2022 22:06
In de app zie je de werkelijke naam van de authenticerende partij. Zo'n valse website valt zo snel genoeg door de mand.
ErikvanStraten
@edwinjm16 december 2022 22:19
edwinjm schreef:
In de app zie je de werkelijke naam van de authenticerende partij.
Waar haalt de app die "werkelijke naam" vandaan?
ErikvanStraten
16 december 2022 14:10
Ik herhaal mijn post van gisteren betreffende mijn 3 belangrijkste zorgen:

1) Fake sites waarvan slachtoffers denken dat zij van een andere organisatie zijn, en waar de eigenaar van die site elders als zijnde het slachtoffer authenticeert. Je gaat met deze "wallet-ID's" wel van personen eisen dat zij zich "betrouwbaar" authenticeren, terwijl authenticatie van de authenticeerder (meestal websites), en de manier waarop organisaties domeinnamen kiezen, een puinhoop is.

Hoe moet je als potentieel slachtoffer weten dat bijv. azuresharepoint[.]com [x]
niet van Microsoft is en wat als je een typo over het hoofd ziet in bijv. microsofloffice365[.]com [x] (waar al 24x een Let's Encrypt certificaat aan is toegekend)?

Mensen trappen massaal in dit soort phishing sites (en niet alleen sukkels).

[x] Links verwijzen naar crt.sh die het aantal uitgegeven https servercertificaten laat zien.

2) Gecompromitteerde smartphones: dat aantal gaat alleen maar toenemen. Vooral via kwaadaardige apps die boven andere apps het scherm kunnen wijzigen en jou zo voor andere sites laten authenticeren dan jij denkt.

3) Minder digitaal vaardige mensen die nu een stokoude of nog helemaal geen smartphone hebben maar zich gedwongen "voelen" om te participeren (probeer maar eens zonder internetbankieren te leven). Er bestaan geen alternatieve betrouwbare manieren om online te authenticeren (kopie-ID opsturen is ridicuul).

Het wellicht allergrootste risico is dat te veel mensen denken dat online authenticatie betrouwbaarder is dan zij is, en er niet van begin af aan vangnetten voor slachtoffers van identiteitsfraude worden opgetuigd.

Nb. de meeste mensen zijn niet zo digitaalvaardig als de gemiddelde tweaker met de laatste smartphone van 1000 Euro.
denan
@ErikvanStraten16 december 2022 15:43
Voor elk probleem is een oplossing te bedenken. En voor elke oplossing is weer een workaround te bedenken. Alleen een ecosystem met 100% controle is 100% 'veilig' te maken. En dat wil je vanuit privacy aspecten niet doen.

1) Bij IRMA lossen wij het "fake site" probleem op door verifiers (partijen die attributen opvragen) de optie te geven om een "trusted verifier" te worden. Dan krijgt men een ander logo en de naam van de verifier in de UX te zien ipv de URL. Trusted verifier wordt je alleen als je identiteit gecontroleerd is en je in de scheme opgenomen bent.


2) Het is een continue race tussen malafide partijen en security oplossingen. Voor IRMA (en andere eID's) is het nodig dat het voldoende bescherming biedt tegen aanvallers met een hoog aanvalspotentieel. Anders haal je ook eIDAS "hoog" nooit. Maatregelen die nu geimplementeerd zijn:
- Gebruik van de TPM voor de opslag van keys/credentials
- Device binding (een link tussen de transactie en het device/user, cryptografisch getekend zodat MITM niet mogelijk is en gelinked aan de PIN-code van de user).

Sowieso scheelt het dat voor elke transactie/actie de PIN nodig is. Deze staat niet op het device maar op een centrale server die verder geen deel uitmaakt van de transactie.

3) Dit probleem blijf je houden. IRMA wordt bewust getest met een diverse doelgroep en heeft ook ondersteuning (in de nieuwe UX) voor accessibility. Screenreader support, text zoom support, etc. Maar uiteindelijk heb je te maken met een doelgroep die niet erg digivaardig is. De voor hen makkelijkste oplossing zou zijn om alles naadloos te laten werken. Maar dat creeert weer enorme privacy issues. Daarom kiest IRMA er bewust voor om frictie aanwezig te laten in de userflows. Juist om een gebruiker duidelijk te maken dat men gevoelige gegevens gaat delen.

Uiteindelijk is dat wel een balans.Te veel frictie en je verliest de gebruiker. Te weinig en je bent 'niet veilig'.
ErikvanStraten
@denan16 december 2022 16:17
denan schreef:
Voor elk probleem is een oplossing te bedenken. En voor elke oplossing is weer een workaround te bedenken. Alleen een ecosystem met 100% controle is 100% 'veilig' te maken. En dat wil je vanuit privacy aspecten niet doen.
Ik snap dat je 100% nooit haalt. Waar ik om vraag zijn vangnetten voor de slachtoffers, en die komen er niet.

denan schreef:
1) Bij IRMA lossen wij het "fake site" probleem op door verifiers (partijen die attributen opvragen) de optie te geven om een "trusted verifier" te worden. Dan krijgt men een ander logo en de naam van de verifier in de UX te zien ipv de URL. Trusted verifier wordt je alleen als je identiteit gecontroleerd is en je in de scheme opgenomen bent.
Zolang je niet alle untrusted sites buitensluit, gaat een deel van de gebruikers in social engineering aanvallen trappen. Daarmee verlaag je het vertrouwen in het hele systeem.

Geef jij jouw paspoort tijdelijk mee "naar achteren" aan een onbekende, die zijn uiterste best heeft gedaan om er betrouwbaar uit te zien?

Waarom denk je dat Logius strenge eisen stelt aan alle websites waarop je met DigiD mag authenticeren?

denan schreef:
2) Het is een continue race tussen malafide partijen en security oplossingen. Voor IRMA (en andere eID's) is het nodig dat het voldoende bescherming biedt tegen aanvallers met een hoog aanvalspotentieel. Anders haal je ook eIDAS "hoog" nooit. Maatregelen die nu geimplementeerd zijn:
- Gebruik van de TPM voor de opslag van keys/credentials
- Device binding (een link tussen de transactie en het device/user, cryptografisch getekend zodat MITM niet mogelijk is en gelinked aan de PIN-code van de user).
Niets helpt tegen trojans die van "accessibility" privileges gebruik maken (bedoeld voor mensen met beperkingen). Dat soort malware verschijnt steeds vaker.

denan schreef:
Sowieso scheelt het dat voor elke transactie/actie de PIN nodig is. Deze staat niet op het device maar op een centrale server die verder geen deel uitmaakt van de transactie.
Helpt niet bij een AitM (Attacker in the Middle) op jouw mobile device.

denan schreef:
3) Dit probleem blijf je houden.
Nee, dit probleem wordt erdoor vergroot.

Onder het mom van "vooruitgang" en met valse beloftes wordt burgers een fraudegevoelige online authenticatiemethode door de strot geduwd door een stel technosolutionisten die kritiek wegvuiven met "overal is een oplossing voor". De risico's komen volledig bij de gebruikers te liggen.

Zoals het huidige web is ingericht, is dat ongeschikt voor online authenticatie.

Niet elke burger is zo digitaalvaardig als de gemiddelde tweaker en heeft de laatste smartphone van 1000 Euro.
denan
@ErikvanStraten16 december 2022 16:51
Ik snap dat je 100% nooit haalt. Waar ik om vraag zijn vangnetten voor de slachtoffers, en die komen er niet.
Hoe zou je die vangnetten voor je zien? En wat is de impact daarvan op privacy/decentraliteit en unlinkability?
Zolang je niet alle untrusted sites buitensluit, gaat een deel van de gebruikers in social engineering aanvallen trappen. Daarmee verlaag je het vertrouwen in het hele systeem.
Dat zou inhouden dat je voor elke partij die online attributen opvraagt een validatieproces in moet richten. En dus een stuk centraliteit. Gezien de decentrale natuur van IRMA is dat simpelweg niet mogelijk. Ook is het open source.. dus iedereen kan een eigen verifier opzetten en IRMA attributen valideren. Daar beperkingen op aanbrengen is erg lastig.. wat let een kwaadwillende om de source te forken en de centrale checks eruit te halen?

Verder werkt social engineering op alle vlakken. Een website / link is daar maar een deel van. In de praktijk werken de indische callcenters nog het beste, het merendeel van de kwetsbare mensen laat zich door een validatie/betaalproces kletsen. Ongeacht de reeksen drempels die vanuit security zijn aangebracht.
Geef jij jouw paspoort tijdelijk mee "naar achteren" aan een onbekende, die zijn uiterste best heeft gedaan om er betrouwbaar uit te zien?
Nee, ik niet. Maar het merendeel van de mensen wel. Ga maar eens op een vakantiepark een tijdje naast de balie staan.
Waarom denk je dat Logius strenge eisen stelt aan alle websites waarop je met DigiD mag authenticeren?
En ook die zijn weer te omzeilen. Dezelfde schil die je bij IRMA voorstelde kan ook rond DigID transacties.
Helpt niet bij een AitM (Attacker in the Middle) op jouw mobile device.
Zou je de exacte aanval eens kunnen beschrijven? (note: Als je een situatie beschrijft waarin een aanvaller toegang heeft tot je telefoon en root heeft.. ben je sowieso het bokje. Maar als dat aan de hand is heb je grotere problemen.)
Onder het mom van "vooruitgang" en met valse beloftes wordt burgers een fraudegevoelige online authenticatiemethode door de strot geduwd door een stel technosolutionisten die kritiek wegvuiven met "overal is een oplossing voor". De risico's komen volledig bij de gebruikers te liggen.
Eens. De mensen achter IRMA zagen dit ook gebeuren (en ook die achter Schluss), vandaar dat men met deze oplossing is begonnen. Met alleen heel hard roepen dat dingen anders moeten kom je vaak niet verder. Je zult ook een oplossing/alternatief moeten leveren. Wat je nu ziet is dat de EU kaders enorm aangepast zijn op basis van het IRMA gedachtengoed. Dat is al een eerste winst. De controle moet terug naar de gebruiker.

[Reactie gewijzigd door denan op 16 december 2022 17:57]

ErikvanStraten
@denan16 december 2022 20:12
denan schreef:
Hoe zou je die vangnetten voor je zien?
Bijvoorbeeld:

a) Een realistische beschrijving van de risico's die gebruikers lopen, afhankelijk van hun digitale vaardigheden en de veiligheid van hun smartphone. Een eerlijke voorlichtingscampagne waaruit overduidelijk blijkt dat het een rat-race met cybercriminelen blijft, die hun uiterste best doen om slachtoffers te maken.

Nodig minder digitaalvaardige mensen uit voor voorlichtingssessies en wees ook daarbij eerlijk en geen marktkoopman.

Als voorbeeld hoe het niet moet: nergens op de CoronaMelder website en in de overheidscommunicatie over die app werd gewaarschuwd dat als jouw app niet (of nog niet) waarschuwde, je wel degelijk besmet kon zijn geraakt en zelfs al besmettelijk kon zijn (De Jonge zei zelfs: "die app werkt prima, als je hem gebruikt"). Dat was grove misleiding met het risico dat niet door hun app gewaarschuwden, lichte symptomen negeerden en naar oma of hun werk gingen.

Dus de waarheid, geen bij elkaar gelogen marketingverhalen.

b) Een instantie waar slachtoffers van identiteitsfraude snel terecht kunnen, worden geloofd én geholpen (dus niet de politie). O.a. doordat zij contact hebben met authenticeerders (o.a. social media bedrijven) waarbij de EU die authenticeerders verplicht om met zo'n instantie samen te werken. Bijvoorbeeld om afgesloten accounts na wangedrag door een identiteitsfraudeur weer terug te krijgen.

c) Een landelijk fonds voor schadeloosstelling (evt. deels) van slachtoffers. Mensen die nu slachtoffer worden van bankfraude dachten dat hun spaargeld, net als vroeger, veiliger was op de bank dan thuis in een sok - maar komen nu bedrogen uit. Als het digitaalvaardige deel van de maatschappij vindt dat bankfilialen dicht kunnen omdat alles online kan, vind ik het onze plicht om de minder digitaalvaardigen niet aan hun lot over te laten. Tenzij je onverhoopt vroeg overlijdt, komt er een tijd dat ook jij (elke lezer van deze tekst) de ontwikkelingen niet meer allemaal kunt bijbenen.

denan schreef:
En wat is de impact daarvan op privacy/decentraliteit en unlinkability?
Gezien de enorme privacyrisico's die je sowieso loopt als je een smartphone of PC gebruikt, apps installeert en websites bezoekt, zie ik privacy voor doorsnee Nederlandse gebruikers niet als het grootste probleem (in bijv. Hongarije zou ik mij meer zorgen maken, en buiten de EU helemaal).

M.b.t. punt 1 (betrouwbaarheid van authenticerende websites) schreef denan:
Dat zou inhouden dat je voor elke partij die online attributen opvraagt een validatieproces in moet richten. [...]
Ik heb me de laatste tijd veel in passkeys verdiept. Ik weet even niet meer waar ik het las maar ik meen dat een Google medewerker in een blog erop wees dat de authenticerende website vrij zou moeten zijn van meekijkende analytics en andere Javascript van third party sites (zie bijv. deze Yubico pagina).

M.a.w. eigenaren van websites zover krijgen dat mensen daar veilig (met beperkte = acceptabele risico's) op kunnen authenticeren, is al allesbehalve simpel. Nog los van hoe je kunt weten van welke organisatie een website is waar je op terechtgekomen bent. Deze feiten negeren (of de risico's niet jouw probleem vinden) vind ik uiterst onverstandig.

denan schreef:
Verder werkt social engineering op alle vlakken. [...]
Je breidt het probleem uit, flink zelfs. Je zorgt dat mensen hun identiteitsbewijs (of een deel daarvan) aan ook brakke websites met incompetente beheerders, of ordinaire nepsites, "laten zien". Als ik mij niet vergis is het aantal beroepen dat in Frankrijk om jouw identiteitsbewijs mag vragen, enorm beperkt (in NL mag iedereen vragen, alleen bij sommige officials mag je niet weigeren).

M.b.t. vereiste beveiligingsmaatregelen voor websites waarop je met DigiD mag inloggen, schreef denan:
En ook die zijn weer te omzeilen.
Dat is flauw. Je kunt door Logius geaccepteerde websites niet vergelijken met phishing sites.

M.b.t. punt 2, AitM in smartphone, schreef denan:
Zou je de exacte aanval eens kunnen beschrijven? (note: Als je een situatie beschrijft waarin een aanvaller toegang heeft tot je telefoon en root heeft.. ben je sowieso f-caked. Maar als dat aan de hand is heb je grotere problemen.)
M.b.t. dat laatste: hoe nieuwer jouw smartphone, hoe minder malware deze zal kunnen rooten. Maar oudere smartphones, vooral die geen updates meer ontvangen, kunnen hier zeer kwetsbaar voor zijn. Ook al ben je dan "sowieso f-caked", een digitaal paspoort is dan simpelweg een flink extra risico (vooral als je niet internetbankiert op die smartphone). Maar als de ID-Wallet uitsluitend op recente en prijzige smartphones zou werken, krijg je veel te weinig gebruikers.

Terug naar de "user space" AitM: de accessibility privileges zijn er bijvoorbeeld voor mensen die slecht zien. Je kunt dan een app installeren die beter leesbaar maakt of voorleest wat er normaal gesproken op jouw scherm zou verschijnen, waarbij bijv. een full-screen keyboard de toetsen groter maakt.

Effectief is dat hetzelfde als een mens die voorleest wat er op jouw scherm staat en invoert wat jij zegt dat er ingevoerd moet worden.

Als je die "Mens in the Middle" niet kunt vertrouwen, is het m.i. fundamenteel onmogelijk om jezelf te beschermen - tenzij er sprake is van een betrouwbaar kanaal buiten die mens om en/of je uit je hoofd asymmetrische cryptografische berekeningen kunt uitvoeren (met voldoende bits).

Wat wij E2EE (End to End Encryption) en de daarbij vereiste E2EA (-Authentication) noemen, is dat helemaal niet - want dat is niet van persoon tot persoon maar van apparaat tot apparaat. Als één (of beide) van die apparaten gecompromitteerd zijn, ben je "f-caked".

Om veilig te kunnen authenticeren (en andere gegevens uit te wisselen) is het dus noodzakelijk dat de apparatuur en software aan beide kanten betrouwbaar is, en dat de andere kant is wie jij denkt dat deze is.

M.v.t. punt 3 schreef danon:
[...] Met alleen heel hard roepen dat dingen anders moeten kom je vaak niet verder.
Om te beginnen roepen de voorstanders van de Wallet-ID/IRMA app heel hard dat online authenticatie anders moet, niet ik.

Aan de andere kant vind ik de huidige online "authenticatie" methodes ook volstrekt onacceptabel. Een flinke verbetering is nodig, alleen vind ik dat een aantal randvoorwaarden daarbij niet genegeerd mogen worden.
Wat je nu ziet is dat de EU kaders enorm aangepast zijn op basis van het IRMA gedachtengoed. Dat is al een eerste winst.
Het glas is half vol?

Beveiliging hoort geen politiek compromissen-spelletje te zijn. Als je veilig op vakantie wilt, zul je niet alleen de voordeur op slot moeten doen, maar ook de achterdeur.
De controle moet terug naar de gebruiker.
Ja, maar dan moet die gebruiker er wel op kunnen vertrouwen dat wat zij/hij ziet klopt, en een redelijke garantie daarop geeft nu niemand. Sterker, er lijkt gesuggereerd te worden dat er geen problemen bestaan, en als die al zou bestaan, dat deze (eenvoudig?) oplosbaar zouden zijn.

[Reactie gewijzigd door ErikvanStraten op 16 december 2022 20:17]

denan
@ErikvanStraten16 december 2022 22:58
<snip> maatregelen .. (even wat dingen geknipt.. anders worden het boekwerken van 4 pagina's)
Volgens mij zijn we het in de basis eens maar hebben we het over verschillende dingen. Ik had het over de app. Jouw punten over informatiecampages/instanties en een fonds zijn relevant maar staan los van de app. Dat lijken me zeker goede initiatieven.

Er is vanuit IRMA niet voor niets een continue lobby geweest voor een reeks kernwaarden die in een dergelijke eID oplossing gedragen moeten worden. Ook is er een grote focus op bewustwording: Mensen moet duidelijk gemaakt worden dat hun privacy een belangrijk goed is en dat de potentiele schade die kan ontstaan door het onachtzaam omgaan met eID middelen significant is. Helaas ben je daarmee al wel snel een 'roepende in de woestijn'. Net als met security vinden veel mensen het maar 'lastig' en gooit men zonder problemen de persoonsgegevens over de lijn als er een online korting tegenover staat. Of zelfs puur vanuit gebruiksgemak/luiheid.

Dwz.. tot de eerste pijn gevoeld wordt. Maar de mens is van nature niet geneigd om zich daar continu bewust van te zijn. Ook is er een groot verschil tussen het besef dat gedrag ongewenst is.. en het daarop acteren. Iedereen weet dat je niet in de auto op je mobiel moet kijken.. en iedereen zal dat in het openbaar ook zeggen. In de praktijk kijkt bijna iedereen toch.. met alle gevolgen van dien.

Je kunt mensen maar tot op zekere hoogte beschermen, uiteindelijk zal het toch de eigen verantwoordelijkheid worden. Wettelijke kaders daarvoor zijn nodig maar zouden (m.i.) nooit tot gevolg mogen hebben dat de vrijheid of privacy van een persoon in het geding komt.
Gezien de enorme privacyrisico's die je sowieso loopt als je een smartphone of PC gebruikt, apps installeert en websites bezoekt, zie ik privacy voor doorsnee Nederlandse gebruikers niet als het grootste probleem (in bijv. Hongarije zou ik mij meer zorgen maken, en buiten de EU helemaal).
Dit lees ik toch echt als "het is zinloos aangezien het toch al continu gebeurt". Je ziet een (langzame) verandering in de wereld. Er is meer en meer bewustwording, niet alleen bij mensen maar ook bij overheden. De vraag is wel hoe we daar de komende 10-20 jaar mee om gaan. Dat er een verandering komt is helder. De digitalisering van de samenleving is niet zomaar om te draaien. Dan zou ik dat liever doen vanuit een privacy vriendelijk perspectief dat erop gericht is om het individu te beschermen.
<snip>
Dat is flauw. Je kunt door Logius geaccepteerde websites niet vergelijken met phishing sites.
Waarom niet? Omgekeerd zou die logica ook opgaan. Als het zo makkelijk is kunnen we toch gewoon regels neerleggen dat eID validatie alleen uitgevoerd mag worden door intstanties die daartoe bevoegd zijn en zich aan de wettelijke kaders houden. En.. die regels zijn er grotendeels al. Maar in de praktijk blijkt toch keer op keer dat er te veel data gevraagd wordt.

Om nog maar niet te spreken over malafide partijen, die houden zich niet aan die regels en jouw attack vectors betreffen toch echt partijen die tot die groep behoren. Zorg er dan voor dat je in elk dataverzoek kunt zien ' met wie' je zaken doet en welke attributen je exact deelt.

Dat is meer waar dan een "click here to log in" knopje dat alles over de lijn gooit.
M.b.t. dat laatste: hoe nieuwer jouw smartphone, hoe minder malware deze zal kunnen rooten. Maar oudere smartphones, vooral die geen updates meer ontvangen, kunnen hier zeer kwetsbaar voor zijn. Ook al ben je dan "sowieso f-caked", een digitaal paspoort is dan simpelweg een flink extra risico (vooral als je niet internetbankiert op die smartphone). Maar als de ID-Wallet uitsluitend op recente en prijzige smartphones zou werken, krijg je veel te weinig gebruikers.
Op IOS is er een duidelijke ondergrens door de voorwaarde van de TPM (voor IRMA). Voor Android zijn er softwarematige oplossingen maar is vanuit eIDAS ook gewenst dat er een lijst komt met insecure devices/os versies. eIDAS "hoog" attributen worden niet toegestaan vanaf een device op die lijst.
Hoe dat in de praktijk gaat werken is nog wel spannend. Vooral met de snelheid waarmee nieuwe android devices uitkomen.

Bij IRMA is wel geimplementeerd dat er een duidelijke melding in beeld komt als je de app start op een rooted device. Afhankelijk van de eisen kan het zelfs zo zijn dat een eID app strakst niet meer mag starten op rooted devices. Of attributen op een rooted device (of met een softwarematige TPM) een lager trust level krijgen.
<snip>
Om te beginnen roepen de voorstanders van de Wallet-ID/IRMA app heel hard dat online authenticatie anders moet, niet ik.

Aan de andere kant vind ik de huidige online "authenticatie" methodes ook volstrekt onacceptabel. Een flinke verbetering is nodig, alleen vind ik dat een aantal randvoorwaarden daarbij niet genegeerd mogen worden.
Klopt.. en daarover zijn we het eens. Ook dat we er nog lang niet zijn.
Het glas is half vol?
Het glas was leeg (op wat druppels na).. en na veel werk is het glas nu half vol. Niet alleen is bij veel overheden nu duidelijk dat een vol glas veel beter is dan een leeg glas.. maar ook de impact van een leeg glas staat bij iedereen helder op het vizier. Nu op weg om dat glas helemaal vol te schenken.. en continu bij te blijven schenken als blijkt dat het niet vol genoeg is.
Ja, maar dan moet die gebruiker er wel op kunnen vertrouwen dat wat zij/hij ziet klopt, en een redelijke garantie daarop geeft nu niemand. Sterker, er lijkt gesuggereerd te worden dat er geen problemen bestaan, en als die al zou bestaan, dat deze (eenvoudig?) oplosbaar zouden zijn.
Zeker niet.. maar ik ga ervan uit dat elke tweaker weet dat 100% niet bestaat. Zeker niet op het gebied van veiligheid en al helemaal niet in een digitale wereld. Elk systeem, elk keurmerk is te faken. Het begint bij bewustwording bij gebruikers. En acceptatie bij diezelfde groep dat zij toch echt aan de bak moeten. En als dat niet vanzelf lukt -> De juiste hulp om hen daarbij te ondersteunen.

[Reactie gewijzigd door denan op 16 december 2022 23:04]

ErikvanStraten
@denan17 december 2022 00:00
Dank voor het lezen van mijn argumenten en de uitgebreide antwoorden; ik denk dat we onze standpunten duidelijk hebben gemaakt.

Gegeven dat steeds meer "transacties" online plaatsvinden, zie ook ik dat betrouwbare online authenticatie steeds belangrijker wordt.

Mijn vraag is echter of we niet harder rennen dan onze benen kunnen: zijn we doorgeschoten met alles onvoorwaardelijk online te willen kunnen? De OVV schreef deze week: "De kloof tussen cyberdreiging en weerbaarheid wordt steeds groter" en dat zie ik al een hele tijd gebeuren.

We bouwen steeds complexere en steeds moeilijker te beveiligen systemen met steeds meer waardevolle gegevens op oude fundamenten die zijn ontworpen voordat cybercrime een serieuze bedreiging vormde.

Eenvoudige oplossingen die geen pijn doen bestaan niet, maar met oogkleppen op doorgaan zal ook steeds meer pijn gaan doen. Wie niet horen wil, moet voelen zou je denken, maar helaas zal de pijn niet eerlijk worden verdeeld.
Keyb
16 december 2022 13:30
Ik vraag mij echt af wie nu werkelijk om deze toepassingen vragen. Je kan mijn niet wijsmaken dat het "kopen van goederen en diensten" nu echt een probleem is in de EU. Dus welk probleem willen ze nu echt oplossen?
bzuidgeest
@Keyb16 december 2022 13:36
Het gaat niet om het kopen, maar om veilig gegevens uitwisselen tijdens het kopen. Iets waarmee je kunt identificeren en alleen die data doorgeven die nodig is om de koop af te handelen. Voor een licentie is geen adres nodig, voor een vaas wel.

Zelfs voor wat ik suggereer zijn al oplossingen. Dus er is niet noodzakelijk een probleem. De EU is vooral aan het zorgen dat het voor zover mogelijk bij blijft met de ontwikkelingen in de wereld. En digitale identiteit, Wallet en muntjes en ook de privacy van je gegevens en waar ze naartoe gaan is een Hot topic. Ik vind het logisch dat hier tijd aan word besteed. Zeker dat er tijd word besteed aan Europese infrastructuur in plaat van afhankelijkheden van de VS voor al ons betaal verkeer. Nu hangt alles, zelfs van onze banken, aan de visa infrastructuur of zo.
Memori
@bzuidgeest16 december 2022 15:59
Ik ben alleen bang dat je straks geen andere keus hebt dan gegevens afstaan bij het kopen. Nu kan ik nog mooi 0600000000 invullen bij telefoonnummer. Straks vraagt de webshop of hotel toestemming om mijn telefoonnummer in te zien, en bij weigering gaat het hele verhaal niet door. Datzelfde gelft bijvoorbeeld voor volledige voornaam i.p.v. voorletter(s), geboortedatum, geslacht, e-mail, etc.

Ik ben benieuwd hoe dat straks beschermd/voorkomen gaat worden.
edwinjm
@Memori16 december 2022 22:10
Daar is al een wet voor en die heet AVG. Je mag niet meer gegevens vragen/opslaan dan nodig zijn voor het bedrijfsproces.
Memori
@edwinjm17 december 2022 03:20
Dat klopt. Dat staat ook nog eens in het GDPR of ook wel EU Regulation 2016/679. Maar veel webshops verplichten om telefoonnummer en volledige voornaam (1 karakter is bijv. niet toegestaan) in te vullen terwijl dat niet nodig is. Dat is nu nog makkelijk op te lossen met handmatige invoer.

Maar als ik IRMA goed begrijp, en wellicht deze digitale ID wallet straks ook, kan een webshop een aanvraag doen naar bepaalde gegevens waar jij toestemming op kan geven of weigeren. Je kan dan dus niet meer sjoemelen om je privacy te bewaren. En dat is best jammer.
StefanJanssen
@Keyb16 december 2022 15:05
Een Gall&Gall bijvoorbeeld, zodat je alleen kan bestellen als je daadwerkelijk oud genoeg bent.
jeroenvandiesen
@StefanJanssen16 december 2022 16:02
Wat moet de medewerker van Gall & Gall van je weten? Of jij het bestelde artikel mag kopen. Kleurtje 'rood' of kleurtje 'groen'. Het tonen van je identiteitsbewijs geeft veel meer data vrij dan noodzakelijk is.
StefanJanssen
@jeroenvandiesen16 december 2022 16:29
Inderdaad, dat is waarom een dergelijk systeem dus best goed kan werken.
Mathijs22
@Keyb16 december 2022 13:38
Je kan mijn niet wijsmaken dat het "kopen van goederen en diensten" nu echt een probleem is in de EU. D
Dit zou een fraude tot op een bepaald punt kunnen tegengaan. Ongeveer 14% van de creditcard transacties komt van een gestolen kaart en dat kost allemaal enorm veel tijd. Als we de zekerheud hebben dat de klant is wie hij zegt te zijn (zonder dat wij doorvoor niets hoeven op te slaan!!) zou dat een hele hoop dingen mogelijk maken die nu moeizaam zijn.
ErikvanStraten
@Mathijs2216 december 2022 14:59
Mathijs22 schreef:
Dit zou een fraude tot op een bepaald punt kunnen tegengaan.
Alleen gaat er veel meer identiteitsfraude plaatsvinden met een "digitaal paspoort voor online authenticatie" dan de meeste mensen lijken te vermoeden.

Anders dan dat jij live een legitimatiebewijs aan iemand laat zien, geef je online een "digitale volmacht" af aan de authenticerende partij. Als die partij niet is wie hij suggereert te zijn, loop je een groot risico op identiteitsfraude.

Die partij kan dan, met die "volmacht", als zijnde jou elders authenticeren.

Precies om deze reden bestaan er zeer strenge eisen voor sites waarop je met DigiD inlogt; dergelijke eisen voor willekeurige websites zijn niet realistisch.

Om een idee van de problematiek te geven, op deze pagina vind je een lijst van domeinnamen van websites die vandaag zijn gemeld als phishing sites of verspreiders van malware (een klein deel ervan zijn gehackte bestaande websites, bij de meeste gaat het om domeinnamen die door cybercriminelen zijn geregistreerd).

De mogelijkheden om argeloze gebruikers met social engineering ervan te overtuigen dat zij moeten authenticeren, zijn eindeloos.

Dit naast gecompromitteerde smartphones: naarmate meer mensen internetbankieren met mobiele apps neemt het aantal malware-exemplaren rap toe (voorbeeld).

Dat er malware bestaat die digitaal is ondertekend met o.a. de private key die Samsung gebruikt voor het digitaal ondertekenen van systeem-executables in hun smartphones, stelt ook niet bepaald gerust.
b4rtw
@Keyb16 december 2022 13:39
Het probleem van verschillende standaarden tussen Europese landen, gok ik. Met dit soort 'stream-lining' kan een hoop tijd en geld bespaard worden.

Hoe dan ook, zoek het antwoord niet in het Europese-superstaat-syndroom :)
Keyb
@b4rtw16 december 2022 15:52
haha nee ik ben niet zo van de complottheoriën. Maar wel van de complete incompetentie van de overheid. Daarom geloof ik niet dat er veel streamlining uit voort zal komen.

Ik zie de laatste tijd ook op ontzettend veel sites een banner langsvliegen met een knop om in te loggen met mijn Google account. Maar ik heb geen Google account (meer) en ik zou er ook echt geen willen. Zoiets ga ik met dit ook krijgen ben ik bang.
mocem
@Keyb16 december 2022 13:56
Het is heel simpel. Je maakt eerst een wallet die niet verplicht is zonder dwang. Daarna pas je de regels aan zodat je moet voor bepaalde producten puur voor macht
Melones
@Keyb16 december 2022 13:59
Het probleem volgens de voorstanders is dat nu niet bij te houden is wie welke producten of diensten gekocht heeft. Dan kunnen ze niet controleren of je uitgaven plausibel zijn (meer geld uitgegeven dit jaar dan dat je had, waar komt dat vandaan?), of je dingen bezit die je helemaal nooit gekocht hebt en hoe veel co2 budget je kwijt bent door je aankopen.
Verder kan in het huidige systeem niet voorkomen worden dat je een trein binnen stapt om te protesteren of je een hotelkamer boekt om je terug te trekken waar met een centrale wallet gemakkelijk al je privileges ingetrokken kunnen worden en dit direct effect heeft. Dat voorkomt ook dat de burger de kans of tijd krijgt om bezwaar te maken voordat het effectief wordt. Persona non grata binnen de 100 milliseconden.
Gelukkig heeft de overheid merkbaar geleerd van de diverse affaires en zijn inmiddels alle gedupeerden adequaat gecompenseerd voor de specifieke geleden schade. Alle onterecht uit huis geplaatste kinderen zijn terug dus als dit in de toekomst sneller en vaker voorkomt en de gevolgen van een onterechte verdachtmaking direct van kracht zijn kan het gelukkig ook direct ongedaan gemaakt worden.

/Cynism
denan
@Keyb16 december 2022 13:59
De regels rond KyC worden steeds strikter. Niet alleen voor eindgebruikers maar ook voor b2b transacties.

Ook in de zorg is er een grote behoefte. Vooral in zorg ketens waar het gebruik van BSN niet door alle partijen toegestaan is, maar er wel absolute zekerheid moet zijn rond identificatie.
sprikkel25
16 december 2022 13:25
Eerst voor de geschreven toepassingen, Later voor de ongeschreven toepassingen. Zoals verplicht op een forum voor je mag posten, Verplicht om door te gaan naar een "nieuws" site, Alles is zwart tot je netjes geïdentificeerd bent voor je überhaupt het internet op kan. Triest dat hier zo graag aan gewerkt wordt.
jeroenvandiesen
@sprikkel2516 december 2022 13:39
Ik heb de pagina van de Europese Commissie er nog even bijgenomen en voor mij lijkt het project veel kenmerken te hebben van wat we in Nederland via DigID ontsluiten. Wat mij Europees een prima idee lijkt.

Als ik naar je reactie kijk, dan leid ik daar alleen maar uit af dat in jouw vaststellingen een overtuiging zit dat dit ook echt zal gaan gebeuren. Daar is uiteraad helemaal geen sprake van en als dit 'Chinese model' werklijk in de toekomst zou liggen dan zal daar eerst via democratische weg over gestemd moeten worden.
Met je reactie in gedachte, zul je me wel als erg naief beschouwen en ook onze democratie niet vertrouwen.
Melones
@jeroenvandiesen16 december 2022 14:13
Nee natuurlijk gaat dit nooit gebeuren. Net zoals toen de overheid beloofde om geen 'gezondheidscertificaat' te gaan eisen voor terrassen. "Daar gaan we lijnrecht voor liggen." Dit is een citaat. Ondertussen waren de besprekingen al gaande om dit gewoon te gaan doen. Deze certificaten en bijgehorende technologie zijn in de koelkast gedaan, op de cop20 https://www.whitehouse.go...bali-leaders-declaration/ is door de eu al gecommitteerd aan de grootschalige permanente invoer hier van. (Punt 23).

Verder ligt er een aangenomen motie om de CDBC niet te accepteren als er centraal besloten kan worden wat je er wel en wat niet mee mag kopen, en ondanks dat is er toch gewoon getekend door 'onze democratie'.

Zelfs als de verkiezingen uitpakken zoals je dat hoopt maakt het op het internationale toneel geen enkel verschil.
jeroenvandiesen
@Melones16 december 2022 15:35
Ik zit niet zo dik in de materie dat ik je citaat kan bevestigen. Maar als ik kijk naar je aangehaalde punt 23 dan is deze conferentie vrij recent geweest (Bali, Indonesia, 15-16 November 2022) en staat daar volgens mij alleen dat We support continued international dialogue and collaboration on the establishment of trusted global digital health networks as part of the efforts to strengthen prevention and response to future pandemics, that should capitalize and build on the success of the existing standards and digital COVID-19 certificates.
23. We recognize the need for strengthening local and regional health product manufacturing capacities and cooperation as well as sustainable global and regional research and development networks to facilitate better access to VTDs globally, especially in developing countries, and underscore the importance of public-private partnership, and technology transfer and knowledge sharing on voluntary and mutually agreed terms. We support the WHO mRNA Vaccine Technology Transfer hub as well as all as the spokes in all regions of the world with the objective of sharing technology and technical know-how on voluntary and mutually agreed terms. We welcome joint research and joint production of vaccines, including enhanced cooperation among developing countries. We acknowledge the importance of shared technical standards and verification methods, under the framework of the IHR (2005), to facilitate seamless international travel, interoperability, and recognizing digital solutions and non-digital solutions, including proof of vaccinations. We support continued international dialogue and collaboration on the establishment of trusted global digital health networks as part of the efforts to strengthen prevention and response to future pandemics, that should capitalize and build on the success of the existing standards and digital COVID-19 certificates.
Ik snap je gevoel en punt ten aanzien van de gang rondom de CDBC.Mahir Alkaya haalt dat ook aan in zijn bericht.
De Tweede Kamer gaat op 23 november a.s. voor het eerst in debat met Minister Kaag van Financiën over een publieke digitale munt. Dat is rijkelijk laat want invloedrijke personen, zoals onze eigen koningin Máxima, hebben op diverse internationale vergaderingen al uitgesproken voorstanders te zijn van zo’n Central Bank Digital Currency (CBDC). In Europa experimenteert de ECB bovendien al met het technische ontwerp van haar CBDC: de digitale euro. Veel mensen krijgen daardoor het gevoel dat hun volksvertegenwoordigers weinig invloed hebben op dit soort ingrijpende ontwikkelingen en dat belangrijke keuzes elders beklonken worden. Dit tast het vertrouwen in de democratie verder aan.
vdr01
@jeroenvandiesen16 december 2022 14:03
Zoals het nieuwe pensioenstelsel bijvoorbeeld?
jeroenvandiesen
@vdr0116 december 2022 15:26
Wil je weten of ik het een goed idee vind om het nieuwe pensioenstelsel via deze manier te ontsluiten? Mijnpensioenoverzicht.nl gaat al via DigID en 'met een Europees erkend inlogmiddel'. Wat dat laatste is dat weet ik niet.
vdr01
@jeroenvandiesen16 december 2022 18:49
Nee, het gaat mij er om dat toen wij naar de stembus gingen dit geen onderwerp was maar dat het nu wel voor ons bedisseld wordt. Dat zit mij dwars. Al zou je het met veel inbeeldingsvermogen democratisch kunnen noemen. Het nieuwe pensioenstelsel was overigens slechts een voorbeeld. Met veel belangrijke onderwerpen gaat het helaas op deze manier in onze democratie.

[Reactie gewijzigd door vdr01 op 16 december 2022 18:52]

jeroenvandiesen
@vdr0119 december 2022 09:18
Het simpele is dat wij geen directe democratie zijn waar het volk beslist over belangrijke zaken. Wij kiezen afgevaardigden. Als we jouw wens willen laten leven dan komen we bij D66's kroonjuwelen: de referenda en de gekozen burgemeester.
MischaBoender
@sprikkel2516 december 2022 13:37
Waarom verwacht jij dat een "nieuws" site (of forum) jouw identiteit, authenticatie en authorisatie gaat afdwingen?
Melones
@MischaBoender16 december 2022 14:02
Omdat andere de wettelijk verplichte upload-filters niet geïmplementeerd kunnen worden.
MischaBoender
@Melones16 december 2022 16:39
Mij ontgaat de link een beetje, heb je wat meer achtergrondinformatie? Voor zover ik weet gaan upload filters over content, niet over de identiteit van de uploader. Nu worden er ook al upload filters toegepast door Microsoft, YouTube, Facebook, enz. Allemaal zonder eID.
Melones
@MischaBoender16 december 2022 17:43
Die filters schalen niet en zijn voor de kleinere partijen niet haalbaar om nog goed te doen zonder ten onder te gaan aan personeelskosten.
Dus gaat de volgende stap zijn dat je ook op de persoon een ban krijgt ipv op de post.
Vervolgens gaat ook als DDoS bescherming deze check er voor etc etc
Anonyymm
@sprikkel2516 december 2022 13:34
Dat is een kant, maar de andere kant is dat veel meuk, pesterijen, bedreigingen en allerlei niet leuke dingen op forums en sociale media worden geschreven omdat het in grote lijnen anoniem te doen is. Ik vraag me af in hoeverre mensen zich nog uitleven als bekend is wie wat schrijft. Maar het moet ook geen politiestaat worden. Het is een mooi koorddanslijntje.
ErikvanStraten
@Anonyymm16 december 2022 15:29
Anonyymm schreef:
Ik vraag me af in hoeverre mensen zich nog uitleven als bekend is wie wat schrijft.
Naast dat "Anonyymm" niet als een echte naam klinkt, gaat dit niet goed werken.

Bij verplichte authenticatie op social media middels "digitale paspoorten op smartphones" gaan de meeste hufters heus niet hun echte identiteit prijsgeven, maar zullen met de identiteiten van anderen registreren (die daar vervolgens de onaangename consequenties van zullen ondervinden).

Iets vergelijkbaars gebeurt overigens nu al, o.a. met een Android trojan op smartphones van slachtoffers. De aanvallers maken bijv. Facebook, Google of WhatsApp accounts aan, kiezen daarbij voor SMS-verificatie en vullen de telefoonnummers van hun slachtoffers in. De trojan stuurt vervolgens de ontvangen SMS-verificatiecode door naar de aanvallers, die de code invullen op de website, die zo "bewijzen" dat zij hun slachtoffer zijn.

Betrouwbare online authenticatie is wishful thinking (hier en hier leg ik verder uit waarom).

[Reactie gewijzigd door ErikvanStraten op 16 december 2022 15:30]

Anonyymm
16 december 2022 13:28
Ik snap op dit moment nog niet echt hoe dit rijmt met het Plus-artikel van gisteren dat Nederland een eigen NL Wallet gaat ontwikkelen. Verschillende toepassingen of gaan we nu in Nederland weer iets dubbel overnieuw doen terwijl we al iets van IRMA hebben? Dat er vanuit de EU het een-en-ander gedaan wordt snap ik vanuit de verordening uit 2014.
NLkaiser
@Anonyymm16 december 2022 13:34
hoe is het begreep is het net als met het corona vaccinatie bewijs dat er een eu data model wordt afgesproken maar dat ieder land zijn eigen Apps (wallets) moet maken
Anonyymm
@NLkaiser16 december 2022 13:36
Of het efficient is een tweede, maar dat idee kan ik wel volgen. Dank voor het antwoord!
Mathijs22
@Anonyymm16 december 2022 13:35
Wat Nederland doet is een onderdeel hiervan. Data bij de gebruiker houden en niet in handen van bedrijven.
b4rtw
@Mathijs2216 december 2022 13:42
...of verschillende overheden.
wvdburgt
@Anonyymm16 december 2022 13:30
Dat is hoe deze overheid werkt. Alles zo min mogelijk efficient uitwerken lijkt het wel.
msatter
16 december 2022 14:27
Dit is dus waar de Tweede Kamer tegen was, de regering tekende daarna bij het kruisje.

Jammer dat de eens hoog aangeschreven SIDN meewerkt aan dit.
StefanJanssen
@msatter16 december 2022 15:07
De SIDN heeft als een van de weinige al tijden een goed systeem voor dit in gebruik. Ik ben blij dat ze dus hun ervaring kunnen delen.
msatter
@StefanJanssen16 december 2022 16:04
1984 Was echt niet als handleiding geschreven.
denan
@msatter16 december 2022 15:32
Ik kan je verzekeren dat de grondbeginselen van IRMA (Privacy by design, open source, decentraliteit, etc) zeker niet uit het oog verloren worden. Er wordt juist sterk ingezet op dit gedachtengoed.
Atheistus
16 december 2022 15:51
Ik had nooit zo goed naar IRMA gekeken en dacht kom, laat ik het eens installeren.
Na alle gegevens erin te hebben gezet vroeg ik mij af waar het nu al gebruikt wordt. En op de pagina van 'Privacy by design' blijkt een overzicht te staan. Veel zijn alleen demos, maar sommige zouden moeten werken.
Het is alleen wel hilarisch dat of de beveiliging van een van de website niet deugt (https://www.030irma.nl/) en een andere gewoon niet werkt (https://www.idbellen.nl/).

Mijn aanvankelijke enthousiasme is meteen weg.
denan
@Atheistus16 december 2022 17:09
De informatie op de site van de stiching is inderdaad wat achterhaald. De links waarnaar je verwijst zijn trouwens niet van de stichting zelf maar van partijen die een poc/demo met IRMA hebben opgezet. Daarvoor is de stichting niet verantwoordelijk.

Op https://irma.app/ vind je meer informatie, waarbij de meest relevantie info te vinden is op
https://irma.app/docs/what-is-irma/

Als je op zoek bent naar demo's kun je het beste naar de site van gem. Amsterdam gaan, zij hebben wat voorbeelden opgezet: https://id.amsterdam.nl/

IRMA krijgt wel een nieuwe naam en een nieuw uiterlijk + nieuwe app. Dus een hoop van deze informatie gaat in een nieuw jasje gegoten worden begin volgend jaar. Dan worden ook de nieuwe naam en de nieuwe sites gelanceerd.

Als je irma ook in een realistische test wil draaien:
https://inzage.stichtingcis.nl/

Zij gebruiken IRMA al een tijdje om gebruikers te identificeren die toegang willen tot hun claim overzicht in de CIS databank.

[Reactie gewijzigd door denan op 16 december 2022 17:14]

Atheistus
@denan16 december 2022 17:42
Dank voor de toevoeging. Maar slechts één werkende site is wat karig.
Bovendien heb ik nergens een PHP implementatie gezien, wat ook niet bij zal dragen aan een snelle acceptatie.
Ik gebruik regelmatig IDN en dat werkt niet alleen goed maar is ook goed ingevoerd op verschillende sites.
Voorlopig denk ik dat het idee heel goed is, maar de uitvoering bijzonder slecht.
denan
@Atheistus16 december 2022 17:47
IRMA wordt momenteel veel ingezet bij partijen waarbij er al een link is tussen de gebruiker en de dienstverlener. Je daar links van geven zou weinig zin hebben als je niet bij die PGO zit, of bij een huisarts die daar gebruik van maakt :)

Stichting CIS is een van de implementaties die door iedereen te gebruiken is.
Atheistus
@denan16 december 2022 18:19
In het filmpje van IRMA hebben ze het over login en dat zou wel een goede toepassing kunnen zijn. Zo zou je het volgens mij ook kunnen implementeren.
ErikvanStraten
@Atheistus18 december 2022 16:26
Ik voorzie veel grotere problemen.

Een kwaadwillende had het domein "idbellen.nl" kunnen overnemen en jou, via de IRMA-app, vertrouwelijke persoonsgegevens kunnen aftroggelen. Of identiteitsfraude plegen met de gegegevens die jij "als demo" had aangeleverd. Als je als "vertrouwensorganisatie" naar websites van derden verwijst, heb je een verantwoordelijkheid voor de betrouwbaarheid van die links en de websites daarachter.

Sterker, als je https://irma.app/ of https://privacybydesign.foundation/ opent in jouw webbrowser, hoe weet je dan redelijk zeker van welke organisatie(s) die websites zijn?

Duidelijker verwoord, als ik nu de domeinnamen "irma-app.com" of "privacybydesign-foundation.org" registreer en naar een server laat wijzen die ik beheer (evt. van een ander die ik heb gehacked), en ik daar (bloedsnel, gratis en no questions asked) een Let's Encrypt certificaat op zet en de pagina's van de echte servers kopieer, hoe weet jij dan dat deze sites niet van de bedoelde "IRMA" organisatie zijn?

Nb. dit is geen theoretisch geneuzel, er komen elke dag nieuwe nepsites bij. En steeds vaker wordt 2FA omzeild (en trappen zelfs ontwikkelaars er in).

Aan de https servercertificaten kun je dat in elk geval niet zien: ook de (vermoedelijk) echte IRMA sites gebruiken namelijk Let's Encrypt Domain Validated certificaten. Het slotje naast de adresbalk in jouw browser toont dan aan dat jouw browser verbinding heeft met de getoonde domeinnaam. Van wie die domeinnaam is weet je niet, laat staan of je die partij kunt vertrouwen.

Op zo'n nepsite kan ik (in afwijking van de gekopieerde pagina's) bijvoorbeeld schrijven dat er een ernstige beveiligingsfout zit in de IRMA-app op de Google play store, en dat Google zeer traag is met het updaten. Het veiligste ben je als je tijdelijk de beperking tot downloads uit de play store uitzet, en de updated app direct vanaf de (mijn) server downloadt (als je dat doet is het game over).

Maar ook kan ik in "privacybydesign-foundation.org/gebruik/" (in plaats van in de echte https://privacybydesign.foundation/gebruik/), onder MIJNPGO naar een nepsite verwijzen (zoals
"mijnpgo.com" i.p.v.
"mijnpgo.org").

Want ook voor https://mijnpgo.org/ geldt: hoe weet je dat die site van een betrouwbare organisatie is voordat je daarop een account aanmaakt met IRMA? Ook mijngpo.org gebruikt namelijk een Let's Encrypt certificaat.

En hoe weet je überhaupt dat het geen leugens zijn die je kunt lezen op https://mijnpgo.org/?

Op ca. 2/3 van de pagina staat een logo met "NEN-7510-1-2017": als ik daarop klik kom ik uit op https://www.nen.nl/zorg-welzijn. Wat bewijst dat? Waarom geen link naar een NEN7510 certificaat bij een reputabele vertrouwde auditor - vergelijkbaar met hoe logo''s van Thuiswinkel waarborg horen te werken?

En waarom vindt "account aanmaken" en inloggen ineens plaats op "shell.mijngpo.app" terwijl ik zojuist nog op "mijngpo.org" zat?

Welliswaar gebruikt "shell.mijngpo.app" een betrouwbaarder https servercertificaat, maar dat is te laat. Dit had al goed geregeld moeten zijn op de site waarop de meeste mensen beginnen, want de kans dat mensen checken is dan het grootst. En mensen kijken nog minder naar domeinnamen als zij eenmaal op de site van een organisatie zitten; in elk geval ik verwacht dan geen "major jumps" naar andere TLD's.

Zie desgewenst ook wat ik op security.nl schreef over een andere PGO-aanbieder, vitaalbank.nl (zo te zien stikt het van de cowboys die snel geld willen verdienen).

Zolang partijen, die wij zouden moeten vertrouwen, hun uiterste best lijken te doen om zich niet eenvoudig onderscheidbaar te maken van websites van cybercriminelen en andere bedriegers, bouwen we op drijfzand.

M.a.w., zolang wij wel moeten bewijzen wie wij zijn maar zij niet, gaat dit tot zeer veel slachtoffers leiden - slachtoffers van zowel identiteitsfraude als van ander misbuik van privacygevoelige identificerende gegevens. Wallet-ID/IRMA wordt een puinhoop op deze manier.
DaveFlash
16 december 2022 17:44
hmm, het ontgaat mij een beetje waarom een domeinboer hier betrokken bij moet zijn, en dat partijen als apple en google met hun wallets nog niet eens betrokken zijn
rookie no. 1
16 december 2022 20:32
Als het dan toch moet gebeuren (kennelijk), dan zou het goed dat er zoiets of eigenlijk precies IRMA gebruikt gaat worden.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee