De Nederlandse overheid werkt al een aantal jaren aan een nieuw eID stelsel (een elektronische vorm van identificatie online) ter vervanginging van DigiD. Dat is ook wel nodig, want DigiD is kwetsbaar, wat tot grote schade kan leiden. Onder deze druk, en vanwege het feit dat marktpartijen de oorspronkelijke plannen voor het eID stelsel niet zagen zitten, heeft de overheid er onlangs voor gekozen een andere koers te varen. Het eID stelsel wordt een uitbreiding van eHerkenning (een systeem voor online identificatie voor bedrijven), en gaat Idensys heten. Dat is wat mij betreft niet alleen een stap terug (eHerkenning is gebaseerd op verouderde en relatief onveilige concepten), maar zelfs een stap in de verkeerde richting.

De oorspronkelijke plannen voor een eID stelsel

Toen de overheid een aantal jaren geleden startte met het nadenken over een eID stelsel waren de ambities hoog. Er werd nagedacht over een flexibel, veilig en privacy vriendelijk systeem op basis van attributen. Het idee was dat de chip op de nationale identiteitskaart (en ook het paspoort en het rijbewijs) een extra module zou krijgen waar burgers niet alleen hun identiteit online zouden kunnen aantonen, maar ook bepaalde attributen (zoals hun leeftijd, of nationaliteit). Om die reden is er een tijd veel contact geweest tussen de overheid en het IRMA project (waar ik lid van ben). Ook zou het systeem veel veiliger moeten worden dan het huidige op username/wachtwoord gebaseerde DigiD systeem. (Soms werd omwille van de veiligheid nagedacht over een aparte chip, i.p.v. van een naderhand te installeren eID module op de bestaande chip.) Zo’n attribuut gebaseerd systeem zou ideaal zijn geweest vanuit zowel privacy als security perspectief.

Gaandweg veranderden de plannen. DigiD bleek toch snel aan vervanging toe, dus werd gekeken naar oplossingen die in de buurt kwamen van het oorspronkelijke ideaal, maar makkelijker te realiseren waren. Zo is bijvoorbeeld het Duitse eID systeem nadrukkelijk in beeld geweest voor het Nederlandse eID stelsel. Het Duitse eID stelsel ondersteunt weliswaar maar een kleine en vaste set aan attributen, maar wordt al wel daadwerkelijk gebruikt in Duitsland (alhoewel slechts op beperkte schaal).

Daarnaast werd het steeds belangrijker om verschillende authenticatiemiddelen te ondersteunen: niet alleen door de overheid uitgegeven identiteitskaarten, maar ook door private partijen uitgegeven passen en kaarten. In een dergelijke benadering ligt het niet voor de hand om de attributen direct op de kaart te plaatsen (zoals IRMA en het Duitse eID systeem dat doen): dat zou private partijen dwingen hun infrastructuur en hun chipkaarten massaal aan te passen aan een standaard die dergelijke attributen ondersteund. In plaats daarvan worden in een dergelijk systeem de attributen door derde partijen online als een service geleverd op het moment dat de gebruiker ze nodig heeft.

Een nieuwe koers voor het eID stelsel

De nieuwe plannen voor het eID stelsel worden toegelicht in de vergaderstukken van het eID platform van december 2014. Onder druk van marktpartijen (die eerder al een behoorlijke investering in eHerkenning hebben gedaan) wordt het eID stelsel een uitbreiding bovenop eHerkenning. Hiervoor wordt een update van de eHerkenning specificatie geschreven. De volledige specificaties van deze eHerkenning 1.9 komen (volgens mijn informatie) in februari beschikbaar. Idensys wordt de ‘merknaam’ van dit eID stelsel nieuwe stijl.

In essentie wordt eHerkenning uitgebreid met een extra register, het zogenaamde BSN koppelregister, dat voor geauthenticeerde gebruikers het bijbehorende BSN kan leveren. Hieronder volgt een beschrijving van hoe eHerkenning werkt, en hoe het BSN koppelregister daarin wordt ingepast. Ik zal daarbij ingaan op de risico’s die daar mee gepaard gaan.

eHerkenning

eHerkenning is een systeem voor authenticatie en identiteitsbeheer voor bedrijven en overheidsdiensten. Het geeft medewerkers van bedrijven de mogelijkheid om zich met verschillende authenticatie middelen te authenticeren, en uit naam van het bedrijf waar ze voor werken bepaalde online diensten te gebruiken. Zo kan de eigenaar van een bedrijf iemand uit de financiële administratie machtigen om een belasting aangifte te doen. eHerkenning is een netwerk-gebaseerd systeem voor identiteits beheer en werkt (grosso modo) als volgt.

Als een medewerker in wil loggen op een online dienst, wordt hij doorverwezen naar een makelaar. Daar kiest hij via welke authenticatiedienst (waar hij een authenticatie middel, bijvoorbeeld een smart card, of een username-wachtwoord, van heeft) hij zich wil authenticeren. Bij een succesvolle authenticatie ontvangt de makelaar het pseudoniem van de medewerker. Vervolgens vraagt de makelaar aan het machtigingenregister of de eigenaar van dit pseudoniem gemachtigd is voor de geselecteerde dienst. Als dat het geval is ontvangt de makelaar een dienst-specifiek pseudoniem voor de medewerker terug. Dit dienst-specifieke pseudoniem wordt vervolgens doorgegeven aan de dienst, die dit pseudoniem gebruikt voor het selecteren van het juiste account bij de dienst.

Opgemerkt moet worden dat de machtigingenregister een uitgebreide machtigingenadministratie bijhoudt. Hierin staat per bedrijf, voor iedere bekende medewerker de naam en diens (globale) pseudoniem, en voor iedere dienst waarvoor deze medewerker gemachtigd is het dienst-specifieke pseudoniem. Via het machtigingenregister is dus voor ieder pseudoniem altijd de bijbehorende volledige identiteit te achterhalen. Daarnaast is het zo dat de makelaar, als spin in het web die alle transacties [toevoeging 30-01-2105: daarmee bedoel ik alle <em>inlog-transacaties</em> die door eHerekking zelf worden gefaciliteerd, en niet de transacties die gebruikers na inloggen op de site van de dienst uitvoeren] ziet en berichten aan de verschillende partijen doorgeeft, precies weet welke diensten de houder van een (globale) pseudoniem allemaal benadert. De privacy is dus maar zeer beperkt beschermd door het gebruik van (eenvoudig koppelbare) pseudoniemen. Dit is een bekende tekortkoming van alle vormen van netwerk-gebaseerd identiteits beheer.

Ook op de veiligheid van dergelijke systemen is overigens wel een en ander af te dingen. De kern van het probleem is dat een groot aantal partijen vertrouwd moet worden voor het maken van de juiste veiligheids-kritische beslissingen. Helemaal zorgelijk is dat de dienstaanbieder uiteindelijk de makelaar volledig vertrouwt als het gaat om het verlenen van toegang tot een dienst. Normaal gesproken krijgt de dienstaanbieder via de makelaar een ondertekend bericht van de authenticatiedienst, met daarin de identiteit van de persoon die toegang wenst. De dienstaanbieder controleert de handtekening onder dit bericht. Dit betekent dat de makelaar niet zelf valse berichten kan creëren om zo zichzelf onder valse voorwendselen toegang tot accounts van anderen te geven. In eHerkenning werkt dit anders: daar controleert de makelaar de handtekening van de authenticatiedienst, en maakt de makelaar zelf een nieuw bericht (met zijn handtekening) voor de dienstaanbieder! (Dit is makkelijker voor de dienstaanbieder omdat deze dan slechts de sleutels van de makelaar hoeft te kennen om de handtekening te controleren, en niet hoeft te weten welke authenticatiediensten op dit moment actief zijn.)

Het BSN koppelregister

Voor het introductieplatform eID wordt een BSN koppelregister (onder beheer van een instantie in het publieke domein) ingericht. Het BSN koppelregister is nodig omdat een private authenticatiedienst geen BSN mag opslaan en verwerken. (Dit vormt nog wel een probleem bij de registratie van een authenticatiemiddel, zie onder.) Dit koppelregister is qua functionaliteit vergelijkbaar met het hierboven beschreven machtigingenregister. Het BSN koppelregister houdt bij welk BSN nummer bij een bepaald pseudoniem hoort. Dit pseudoniem komt van de authenticatiedienst waar de burger een account heeft en een authenticatiemiddel aan heeft gekoppeld. Dat kan een door de overheid uitgegeven eID kaart zijn, maar in de toekomst ook een bankpas, of (bij wijze van spreken) een elektronische AH Bonus kaart. Het eID stelsel is nadrukkelijk bedoeld om verschillende publieke en private authenticatiemiddelen naast elkaar te laten bestaan.

Een burger die via Idensys (i.e. eID via eHerkenning) wil inloggen op een overheidsdienst (zoals hij daar nu DigiD voor gebruikt), wordt via de eHerkenning makelaar naar zijn authenticatiedienst doorverwezen. Daar authenticeert hij zich met zijn authenticatiemiddel. Het pseudoniem dat de gebruiker bij de authenticatiedienst heeft wordt vervolgens doorgegeven aan het BSN koppelregister. Die zoekt het bijbehorende BSN er bij, dat vervolgens weer via de makelaar aan de dienstaanbieder wordt doorgegeven.

Een burger die gebruik wil maken van Idensys zal eenmalig zijn authenticatiemiddel aan zijn BSN moeten koppelen. Dat verloopt (grofweg, want de op dit moment beschikbare informatie is nog niet volledig) als volgt. De burger geeft bij zijn authenticatiedienst aan dat hij zijn authenticatiemiddel wil koppelen aan zijn BSN. De authenticatiedienst controleert het wettelijke identiteitsdocument (WID, e.g. paspoort) en neemt het documentnummer en BSN daarvan over. (Voor een sterke vorm van authenticatie is fysieke inspectie van het document door de authenticatiedienst vereist.) De authenticatiedienst geeft deze twee nummers, plus het pseudoniem van de burger (en kennelijk ook de NAW gegevens) door aan het BSN koppelregister. Het koppelregister controleert in de basisadministratie de gegevens, en met name of het documentnummer correspondeert met een geldig identiteitsdocument voor het opgegeven BSN. Als dit het geval is koppelt het BSN koppelregister het BSN aan het door de authenticatiedienst opgegeven pseudoniem. De authenticatiedienst gooit vervolgens het BSN weg.

Merk op dat tijdens deze registratieprocedure de authenticatiedienst het BSN van de burger weliswaar niet (permanent) opslaat maar wel degelijk verwerkt. Dat mag juridisch gesproken niet, dus hiervoor is een aanpassing van de wet nodig. Dat had ook wel anders gekund, door de fysieke inspectie van het identiteitsdocument niet door de authenticatiedienst maar door het BSN koppelregister zelf uit te laten voeren. Bijvoorbeeld door hiervoor een loket bij de gemeente in te richten. De procedure zou dan grofweg als volgt verlopen. De burger gaat met zijn authenticatiemiddel en zijn paspoort naar zijn gemeente. Bij het loket logt hij met zijn authenticatiemiddel in bij zijn authenticatiedienst. Het loket krijgt van de authenticatiedienst het bijbehorende pseudoniem, controleert het paspoort fysiek en tegen de gegevens in de basisadministratie, en zet vervolgens de koppeling van het pseudoniem met het BSN in het BSN koppelregister.

Fysieke inspectie van identiteitsdocumenten is lastig (voor zowel burger als controlerende partij), tijdrovend en daarom kostbaar. De overheid dacht misschien slim te zijn door deze kosten af te schuiven op de authenticatiediensten. De vraag is of die daarop zitten te wachten, en of ze de infrastructuur hebben om in heel Nederland dat soort controles met voldoende waarborgen omkleed uit te voeren. Die waarborgen zijn wel essentieel om een voldoende veilig en betrouwbaar elektronische authenticatiedienst te realiseren.

Conclusies

Met Idensys is in mijn ogen het eID stelsel een heilloze weg ingeslagen. Ten eerste wordt het idee van een innovatie-stimulerende overheid die als katalysator van vooruitstrevende ecosystemen van identiteitsbeheer losgelaten. In plaats daarvan wordt teruggevallen op het oude, en verouderde, eHerkenning systeem. Het concept van attributen is nagenoeg volledig losgelaten, in ieder geval in het zogenaamde Introductieplateau. (Volgens mij gaat het stelsel er te gemakkelijk van uit dat de ingeslagen weg het alsnog mogelijk maakt om later alsnog op een zinvolle en veilige wijze attributen aan het stelsel toe te voegen.) Dit is een doodlopende weg die gegarandeerd betekent dat over een paar jaar alsnog gezocht moet worden naar een nieuw eID stelsel dat wel toekomstvast is.

Daarnaast spelen er (zoals hierboven geschetst) een aantal ernstige veiligheid en privacy problemen. eHerkenning is sowieso niet voldoende veilig, met name niet vanwege de centrale rol die de makelaar speelt. Diezelfde makelaar is een hotspot die alle transacties van gebruikers kan zien. Hierdoor is de privacy van de gebruikers niet voldoende gegarandeerd. Het machtigingenregister is ook een groot privacy risico omdat deze voor alle dienst specifieke pseudoniemen waarmee gebruikers inloggen bij online diensten de bijbehorende persoonsgegevens bewaart.