Via Twitter werd ik op deze interessante discussie gewezen op de mailinglist van de Piratenpartij. De discussie ging over het risico van een online identificatieplicht, die mede door ons onderzoek naar IRMA veroorzaakt zou worden.

Ik ben een van de onderzoekers in het IRMA project. Dirk’s zorgen t.a.v. een online identificatieplicht zijn zeer terecht, en daar zijn we ons ook terdege bewust van. Sterker nog, we zijn bezig om deze (en andere mogelijke bezwaren van IRMA) nader in kaart te brengen.

Samir vliegt wat mij betreft echter een beetje uit de bocht, en ik zal proberen uit te leggen waarom.

IRMA implementeert zogenaamde Attribute Based Credentials (ABCs). Vroeger werdt dezelfde onderliggende technologie Anonymous Credentials genoemd, maar juist vanwege het risico dat Samir schetst (dat een credential ook een zwaar identificerend attribuut zoals je naam, BSN oid
kan bevatten) gebruiken we die term liever niet meer. We wijzen ook altijd op dit risico.

Als we zeggen “it prevents linking different transactions, and thus hidden/implicit profiling”, dan verwijst dit naar de onderliggende technologie (in ons geval Idemix) die deze unlinkability garandeert (los van de attribuut waarden in de credential).

Het is net als met Tor: Tor maakt je communicatie ontraceerbaar en kan dus je anonimiteit beschermen, maar als je zo stom bent om toch te vertellen wie je bent… daar helpt niets tegen.

IRMA (en ABCs in het algemeen) is dus juist -perfect- in staat om “identificatie”, “autorisatie” en “authenticatie” strikt van elkaar te scheiden. Een credential met een attribuut waarin mijn abonnement op het zwembad, of mijn OV abonnement, oid in staat autoriseert mij voor het
zwembad of het OV zonder mij te identificeren.

Samir heeft overigens gelijk als hij stelt dat dit verschil voor het algemene publiek niet duidelijk is. Daar lopen wij ook regelmatig tegen aan. Met als gevolg dat beleidsmakers en politici altijd weer voor de simpele (en dus volledig identificerende, privacy onvriendelijke) oplossing kiezen. Maar dat is niet de schuld van IRMA. Sterker nog, met IRMA willen we juist het belangrijke verschil laten zien.

Terug naar Dirk’s zorgen over een online identificatieplicht. Dat is zeker een risico. Dat risico is er overigens sowieso al, omdat de overheid nadenkt over een eID systeem dat ook online te gebruiken is. Zonder een vorm van attribuut gebaseerde autorisatie is zo’n systeem sowieso een privacy nachtmerrie. Maar ook met een systeem als IRMA bestaat het risico dat dienstaanbieders alsnog je naam adres woonplaats van de kaart lezen.

In de techniek hebben we dat gepoogd te ondervangen door de mogelijkheden hiervoor bij de dienstaanbieder te beperken. Om een attribuut uit te lezen heeft de dienstaanbieder toestemming nodig van de IRMA autoriteit. Die toestemming staat gecodeerd in een certificaat, dat iedere keer door de IRMA kaart wordt gecontroleerd.

Dat neemt het risico niet helemaal weg: als de IRMA autoriteit niet sterk in zijn schoenen staat, dan kan deze aan iedereen die een beetje druk zet alsnog een certificaat uitgeven die toestemming geeft om mijn naam of BSN uit te lezen, terwijl voor de dienst alleen mijn leeftijd relevant is.

Ik hoor graag andere mogelijkheden om dit risico te beperken.