Archives for posts with tag: identity

De overheid is al jaren bezig met het invoeren van een nationaal elektronisch identiteitsstelsel (eID stelsel). Dit is belangrijk om een aantal redenen. Ten eerste wordt het steeds belangrijker om ook in de digitale wereld mensen betrouwbaar te kunnen identificeren. Ook is het niet fair dat in de fysieke wereld mensen moeten aantonen dat ze ouder zijn dan 18, terwijl de webshop dat niet hoeft te doen omdat ze dat niet kan doen. De vraag rijst dan of een paspoort of ID kaart ook voor digitaal gebruik geschikt gemaakt kan worden. Zo zou DigiD veiliger gemaakt kunnen worden. Tenslotte is de afhankelijkheid van DigiD een groot probleem: als DigiD uitvalt of gehackt wordt zijn alle digitale overheidsloketten waar burgers moeten inloggen onbereikbaar geworden.

Maar al die jaren is de overheid geen stap verder gekomen. Het laatste miljoenen project, Idensys, lijkt op sterven na dood. Na uittreden van een aanbieder zijn er nog maar drie aanbieders over, waarvan KPN tijdelijk geen middelen uitgeeft. Uit arren moede (zo lijkt het) is maar besloten om DigiD iets veiliger te maken door het uitbrengen van een DigiD app (ter vervanging van het steeds onveiligere SMS authenticatie). Alleen iDIN, het authenticatiemiddel van de banken, lijkt nog enig leven beschoren.

Maar een nationaal eID stelsel lijkt verder weg dan ooit. En dat terwijl de noodzaak alleen maar is toegenomen.

Naar mijn mening is Idensys mislukt omdat de overheid teveel aan de markt heeft willen overlaten. Voor succesvolle invoering van een nationaal eID-stelsel zal de overheid de regie moeten nemen. Maar dan rijst de vraag: welke keuzes heeft de Nederlandse overheid als het gaat om het invoeren van een nationale elektronische identiteit (eID)? Welke beslissingen moet de overheid nemen? En wat moet ze zelf doen, en wat moet ze aan anderen overlaten?

(Een wellicht makkelijker te lezen pdf versie van deze post is ook beschikbaar)

Read the rest of this entry »

Naar aanleiding van mijn blog over de veiligheidsrisico’s van federatieve identiteiten schreef mijn collega Eric Verheul een kritische reactie. Volgens hem maak ik een denkfout en hebben ook niet-federatieve vormen van authenticatie hetzelfde veiligheidsprobleem. Uit zijn reactie maak ik op dat de essentie van mijn kritiek op federatieve authenticatie niet helemaal goed is overgekomen. Bij deze een nieuwe poging.
Read the rest of this entry »

De Nederlandse overheid werkt al een aantal jaren aan een nieuw eID stelsel (een elektronische vorm van identificatie online) ter vervanginging van DigiD. Dat is ook wel nodig, want DigiD is kwetsbaar, wat tot grote schade kan leiden. Onder deze druk, en vanwege het feit dat marktpartijen de oorspronkelijke plannen voor het eID stelsel niet zagen zitten, heeft de overheid er onlangs voor gekozen een andere koers te varen. Het eID stelsel wordt een uitbreiding van eHerkenning (een systeem voor online identificatie voor bedrijven), en gaat Idensys heten. Dat is wat mij betreft niet alleen een stap terug (eHerkenning is gebaseerd op verouderde en relatief onveilige concepten), maar zelfs een stap in de verkeerde richting.

De oorspronkelijke plannen voor een eID stelsel

Read the rest of this entry »

Google’s right-to-be-forgotten road show is yet another aggressive step in their fight against the fundamental rights of the European citizen provided by the European Union. Ever since the ruling by the Court of Justice of the European Union (CJEU) that Google needs to honour requests by European citizens to have certain search results removed, it has wilfully acted against the spirit of this ruling. It still shows the search results on google.com. It informs people searching that certain results have been removed. It informs websites hosting pages that their pages are no longer found using certain search terms. It honours obviously wrong requests (involving public figures the CJEU ruling explicitly excluded) and appears to reject perfectly legitimate requests.
Read the rest of this entry »

In our IRMA project we are implementing attribute based credentials on a smart card. In fact, we are developing a proof of concept for the Dutch Ministry of the Interior, to show that this technology can, in principle, be embedded on a national identity card to support eID functionality. One important other application of eID’s are digital signatures. The use of smart cards (combined with secure terminals) allow the generation of so called qualified digital signatures as specified in the law. How should these two applications be combined on one smart identity card?

Read the rest of this entry »

Last week I attended the For Your Eyes Only conference held in Brussels on November 29 and November 30. These are my, personal, main findings.

Read the rest of this entry »

Summary of presentations and discussions of day two of the For Your Eyes Only conference held in Brussels on November 29 and November 30. My main findings can be found here.
Read the rest of this entry »