Chipkaarten staan de laatste tijd in een kwaad daglicht als het om privacy gaat. Het biometrisch paspoort, de OV chipkaart, RFID: er is veel te doen om hoe ze onze privacy aantasten. Dat is terecht, maar wel jammer, want eigenlijk zijn chipkaarten een essentieel onderdeel als je een privacy vriendelijk systeem wilt bouwen. Door de ongelukkige beeldvorming rondom chipkaarten neemt het vertrouwen van de burgers in dergelijke privacy vriendelijke systemen echter af.

Goede chipkaarten zijn moeilijk te kraken zonder sporen achter te laten. Ze zijn dan zogenaamd ‘tamper resistant’.
Daarmee zijn het een soort draagbare kluisjes voor digitale informatie die nooit publiek mag worden. Cryptografische sleutels zijn een mooi voorbeeld van dit soort informatie. Zulke sleutels worden bijvoorbeeld gebruikt om een chipkaart een digitale handtekening op een document te laten zetten, zonder dat de sleutel zelf ooit de chipkaart verlaat.

Chipkaarten worden niet alleen gebruikt om sleutels te beschermen tegen kwaadwillende derden. Ze worden veel vaker nog gebruikt om te voorkomen dat de eigenaar van de chipkaart zelf de sleutels in handen krijgt. In dat geval zijn de sleutels eigendom van de kaartuitgever, en wordt de chipkaart dus gebruikt om de security policy van de chipkaart-uitgever te handhaven (tegen een zich misdragende eigenaar). Voorbeelden hiervan zijn de al genoemde OV chipkaart, maar ook de Chipknip. De chipkaart zorgt ervoor dat de gebruiker niet zomaar de Chipknip kan opwaarderen, of vervoersbewijzen op de OV chipkaart kan zetten.

Volgens datzelfde principe zijn chipkaarten ook ideaal om kenmerken van personen op te slaan. Bijvoorbeeld of je ouder bent dan 18, een abonnement hebt op een digitale krant, een OV jaarkaart hebt, of je lid bent van de voetbalclub, etc. Door gebruik te maken van een chipkaart kan de gebruiker zelf niet zomaar kenmerken veranderen of toevoegen. Belangrijker is nog dat de chipkaart er voor zorgt dat je niet zomaar een kenmerk met iemand anders kunt delen, zoals bijvoorbeeld een abonnement op een digitale krant. Daarnaast kan de chipkaart voorkomen dat anderen zomaar die kenmerken ongemerkt kunnen uitlezen. Tenslotte maakt de chipkaart dat je je kenmerken altijd bij je hebt. Dat is een niet te onderschatten gebruikersgemak.

Om de privacy te waarborgen moeten dergelijke kenmerken wel op een anonieme manier worden opgeslagen en gebruikt. Bijvoorbeeld door gebruik te maken van zogenaamde ‘anonymous credentials’. Die verbergen niet alleen je identiteit, maar verbergen ook het verband tussen verschillende gebeurtenissen. Deze ‘onkoppelbaarheid’ zorgr er voor dat als je dagelijks met je OV jaarkaart van Groningen naar Nijmegen reist, de NS desondanks niet kan zien dat het één en dezelfde persoon is die in de trein zit.

Zijn er nog andere andere manieren om aan te tonen dat je in het bezit bent van een bepaald kenmerk, zonder de identiteit prijs te geven, en zonder de gebeurtenissen koppelbaar te maken? Een voor de hand liggende manier is om gebruik te maken van een identity management systeem. Maar dat voldoet niet helemaal, omdat zo’n systeem de privacy maar beperkt waarborgt, en niet altijd even veilig is. Bovendien is zo’n systeem niet geschikt voor fysieke interacties met een dienst (denk aan de OV chipkaart of sigarettenautomaten), of als je toegang krijgt tot de dienst via apparatuur die niet van jou is (bijvoorbeeld een internetkiosk of via een internetcafé): door in te loggen maak je je identiteit immers al kenbaar.