Chipkaarten staan de laatste tijd in een kwaad daglicht als het om privacy gaat. Het biometrisch paspoort, de OV chipkaart, RFID: er is veel te doen om hoe ze onze privacy aantasten. Dat is terecht, maar wel jammer, want eigenlijk zijn chipkaarten een essentieel onderdeel als je een privacy vriendelijk systeem wilt bouwen. Door de ongelukkige beeldvorming rondom chipkaarten neemt het vertrouwen van de burgers in dergelijke privacy vriendelijke systemen echter af.
Goede chipkaarten zijn moeilijk te kraken zonder sporen achter te laten. Ze zijn dan zogenaamd 'tamper resistant'. Daarmee zijn het een soort draagbare kluisjes voor digitale informatie die nooit publiek mag worden. Cryptografische sleutels zijn een mooi voorbeeld van dit soort informatie. Zulke sleutels worden bijvoorbeeld gebruikt om een chipkaart een digitale handtekening op een document te laten zetten, zonder dat de sleutel zelf ooit de chipkaart verlaat.
Chipkaarten worden niet alleen gebruikt om sleutels te beschermen tegen kwaadwillende derden. Ze worden veel vaker nog gebruikt om te voorkomen dat de eigenaar van de chipkaart zelf de sleutels in handen krijgt. In dat geval zijn de sleutels eigendom van de kaartuitgever, en wordt de chipkaart dus gebruikt om de security policy van de chipkaart-uitgever te handhaven (tegen een zich misdragende eigenaar). Voorbeelden hiervan zijn de al genoemde OV chipkaart, maar ook de Chipknip. De chipkaart zorgt ervoor dat de gebruiker niet zomaar de Chipknip kan opwaarderen, of vervoersbewijzen op de OV chipkaart kan zetten.
Volgens datzelfde principe zijn chipkaarten ook ideaal om kenmerken van personen op te slaan. Bijvoorbeeld of je ouder bent dan 18, een abonnement hebt op een digitale krant, een OV jaarkaart hebt, of je lid bent van de voetbalclub, etc. Door gebruik te maken van een chipkaart kan de gebruiker zelf niet zomaar kenmerken veranderen of toevoegen. Belangrijker is nog dat de chipkaart er voor zorgt dat je niet zomaar een kenmerk met iemand anders kunt delen, zoals bijvoorbeeld een abonnement op een digitale krant. Daarnaast kan de chipkaart voorkomen dat anderen zomaar die kenmerken ongemerkt kunnen uitlezen. Tenslotte maakt de chipkaart dat je je kenmerken altijd bij je hebt. Dat is een niet te onderschatten gebruikersgemak.
Om de privacy te waarborgen moeten dergelijke kenmerken wel op een anonieme manier worden opgeslagen en gebruikt. Bijvoorbeeld door gebruik te maken van zogenaamde 'anonymous credentials'. Die verbergen niet alleen je identiteit, maar verbergen ook het verband tussen verschillende gebeurtenissen. Deze 'onkoppelbaarheid' zorgr er voor dat als je dagelijks met je OV jaarkaart van Groningen naar Nijmegen reist, de NS desondanks niet kan zien dat het één en dezelfde persoon is die in de trein zit.
Zijn er nog andere andere manieren om aan te tonen dat je in het bezit bent van een bepaald kenmerk, zonder de identiteit prijs te geven, en zonder de gebeurtenissen koppelbaar te maken? Een voor de hand liggende manier is om gebruik te maken van een identity management systeem. Maar dat voldoet niet helemaal, omdat zo'n systeem de privacy maar beperkt waarborgt, en niet altijd even veilig is. Bovendien is zo'n systeem niet geschikt voor fysieke interacties met een dienst (denk aan de OV chipkaart of sigarettenautomaten), of als je toegang krijgt tot de dienst via apparatuur die niet van jou is (bijvoorbeeld een internetkiosk of via een internetcafé): door in te loggen maak je je identiteit immers al kenbaar.
Zo’n goede chipkaart kan toch ook gewoon gestolen worden? Of aan je zoontje uitgeleend, zodat hij z’n kratje pils kan halen om het WK te zien?
Klopt, maar een PIN code geeft een eerste berscherming tegen diefstal. Als zo’n chipkaart vaak gebruikt wordt, dan zal vermissing snel opgemerkt worden, en kan de pas geblokkeerd worden.
Uitlenen is een ander verhaal. Dat is niet eenvoudig te voorkomen. Mogelijke oplossing is bijvoorbeeld om het systeem zo in te richten dat als je je chipkaat uitleent aan iemand, dat je dan alle credentials uitleent (dus ook de toegang tot je bankrekening, of je prive email e.d.). Dat maakt uitlenen iets minder aantrekkelijk, zeker aan mensen die je niet 100% vertrouwt.
Maar knaag je dan niet aan de sociale acceptatie van zo’n kaart? Een kaart waarmee je alles kan, wil ik nooit in mijn broekzak hebben. Ik beschouw het als een belangrijke verworvenheid dat je de een meer kan vertrouwen dan de ander. Door zo’n kaart te introduceren ontneem je me het recht iemand in vertrouwen te nemen tot het niveau waarop ik dat wil. Dus wel chipknip maar geen pincode. Wel toegang tot mijn e-mail maar niet tot mijn linkedin account.
Verder betekent het dat alle punten waar je zo’n kaart gebruikt hetzelfde -hoge- niveau van beveiliging dienen te hebben. Als iemand in de tram zijn pincode intikt voor een enkele reis moet het net zo moeilijk zijn over zijn schouder mee te kijken als bij de aanschaf van een nieuwe auto.