Kijken in IRMA’s keuken naar authenticatie 2.0

Bart Jacobs, hoogleraar cybersecurity aan de Radboud Universiteit Nijmegen: “Het is de privacyvriendelijkste chipkaart die je maar kunt bedenken!” (Beeld Bert Beelen)

Den Haag is bezig aan een sterkere versie van de huidige DigiD, die als verouderd wordt ervaren. De opvolger moet zowel betrouwbaar zijn als gemakkelijker in het gebruik. Daarbij kijkt minister Plasterk (BZK), die verantwoordelijk is voor de vernieuwing, met een schuin oog naar het iDeal-systeem van de banken en webwinkels. Over het vernieuwingsproject, dat de naam eID draagt, denken ook private partijen mee. Daartoe lanceerde Plasterk in maart het zogenaamde eID-platform.

Er werd begin dit jaar al een eerste (controversieel) ontwerp van het nieuwe stelsel voorbereid door ambtenaren. Het kabinet heeft de private sector uitgenodigd om het te verbeteren en aan te vullen. Aan die oproep gaven twintig private partijen gehoor, waaronder ook buitenlandse bedrijven.
Het ministerie heeft vooralsnog geen nieuws te melden over de stand van zaken in het eID-project. Vóór het zomerreces schreef Plasterk de Kamer dat de plannen dit najaar ver genoeg zullen zijn voor nieuwe mededelingen. Dat gebeurt binnenkort, zo laat een woordvoerder weten. In Nijmegen is al veel werk verricht en het is aan het kabinet en de markt om daarvan te profiteren.

Kaart

Bart Jacobs, hoogleraar cybersecurity aan de Radboud Universiteit Nijmegen, is al geruime tijd bezig met onderzoek naar een nieuwe manier van authenticatie en laat zich graag in de kaart kijken, want dat is juist de bedoeling van wetenschap, zo benadrukt hij.

Jacobs en zijn vakgroep kwamen zes jaar geleden volop in het nieuws door de OV-chipkaart te kraken om aan te tonen dat de beveiliging veel te zwak was. Volgens de Nijmeegse onderzoekers had Trans Link Systems (TLS), dat de kaart ontwikkelde, onder andere een verkeerde chip gekozen. IT-bedrijven hebben te weinig contact met onderzoekers aan Nederlandse universiteiten, zo luidde het verwijt van de Tweede Kamer. TLS startte daarop een programma waarbij universiteiten voorstellen konden indienen voor twee promotieplaatsen, die de universiteiten van Tilburg en Nijmegen wisten binnen te halen.

Jacobs: “Ons voorstel ging over een privacyvriendelijke OV-chipkaart. Daarvoor hebben we geavanceerde cryptografische technieken gebruikt. De technologie bleek echter te traag voor toegangspoortjes: het lezen kost drie seconden, dat is veel te lang. Om geen rijen te krijgen bij de poortjes zou je terug moeten naar 300 milliseconde. Dat zit er voorlopig niet in, maar het is wel snel genoeg voor een elektronische identiteitskaart.”

Attributen

“De identiteit van een persoon is eigenlijk een verzameling eigenschappen: geslacht, naam, adres, kind of volwassen, noem maar op. Die, wat wij noemen, ‘attributen’ kun je allemaal opslaan op een chipkaart, met andere woorden een elektronisch identiteitsbewijs. De gedachte achter ons project is nu dat de houder van de kaart zelf kan beslissen welke van die attributen hij wil tonen aan derden”, vertelt Jacobs. Deze ‘selective disclosure’ komt erop neer dat je de kaart laat zien aan de caissière van de supermarkt als je een sixpack koopt, om aan te tonen dat je 18 jaar of ouder bent. De kaart zegt dan alleen maar: deze meneer of mevrouw is 18 jaar of ouder. Je naam, je leeftijd of je verjaardag krijgt zij dus niet te zien. De attributen op de IRMA-kaart zijn niet aan elkaar te koppelen. “Het is de privacyvriendelijkste chipkaart die je maar kunt bedenken”, aldus Jacobs.

EU-wetgeving is gericht op ‘dataminimalisatie’: burgers zouden alleen het allernoodzakelijkste over zichzelf prijs moeten hoeven te geven. “Dat is dus precies waar IRMA voor staat”, aldus Jacobs. “Het is een acroniem van I Reveal My Attributes. En bovendien is het de naam van onze afdelingssecretaresse. Ik moet bekennen dat de naam soms tot hilariteit leidt. Toen ik eens een dame de afkorting uitlegde, zei ze: viezerik!”

Geen profiel

Wat de Nijmeegse onderzoekers betreft kan de houder de kaart ook gebruiken in contacten met bedrijven. “Je zou je ermee kunnen identificeren bij bijvoorbeeld bol.com om een bestelling te plaatsen. In feite hoeft zo’n bedrijf, als je direct elektronisch betaalt, alleen maar je adres te weten, niet eens je naam. Dat kan dus met deze kaart.” De vakgroep heeft zelfs al een IRMA-tube in het leven geroepen: een soort Netflix, rudimentair en bescheiden, maar bruikbaar. Via een QR-code, gelezen door een smartphone, kan de abonnee toegang krijgen tot het filmaanbod, zonder dat diens filmkijkgedrag en voorkeuren worden vastgelegd. Er kan dus geen enkel profiel aan de individuele gebruiker worden gehangen.

Burgers zouden alleen het allernoodzakelijkste over zichzelf prijs moeten hoeven te geven.

Een kaart mag een obsoleet concept lijken, geeft de hoogleraar toe. Ook hij vraagt zich af of het niet handiger is om je attributen bij je te dragen in je telefoon. In het verlengde van het IRMA-project zoekt hij nu uit of dat kan én wenselijk is.
In september kwam NWO met een subsidie van 300.000 euro over de brug voor een onderzoek dat de titel Own Your Own Identity meekreeg. Ook KPN en SURFnet hebben er geld in gestoken. Het gaat erom het IRMA-principe ook mobiel toepasbaar te maken. Dat is geen sinecure. Jacobs: “Welbeschouwd is een mobiele telefoon net zo onbetrouwbaar als een pc. In het telefoongeheugen is vrijwel geen secure storage mogelijk. Daarin een stevige en dus veilige cryptografische sleutel bouwen, dat lukt niet goed. Maar op de SIM-kaart kan dat wel. Dat is immers een afgesloten wereldje.”

Achteloosheid

Mobiel je eigen identiteit beheren en delen dient zonder meer het gebruiksgemak, maar over de wenselijkheid heeft Jacobs oprechte twijfels. “Er is een psychologische reden om het niet te willen: op de telefoon klik je veel te snel. Een kaart daarentegen zorgt voor een zekere vertraging, een uitstel, want je moet hem opzoeken, hem ergens in steken en dergelijke en juist gedurende die paar seconden kom je in een hogere staat van paraatheid. Je bent dan dus alerter als je toestemming wordt gevraagd om bepaalde attributen te onthullen. Er is ruimte voor bedenkingen, de kans op achteloosheid is minder dan met een telefoon.”

Al met al geeft Jacobs dus vooralsnog de voorkeur aan een kaart boven de telefoon. Volgens hem is de overheid te veel bezig met gebruiksgemak en gaat dat ten koste van de veiligheid. Dat roept associaties op met de recente klacht uit de Tweede Kamer dat de OV-chipkaart niet gebruiksvriendelijk genoeg is. “Er heerst een soort gemaksterreur. De overheid durft niet te zeggen: sommige mensen zal dit een beetje meer moeite kosten dan anderen, dat is dan maar zo. Terwijl dat vanuit het oogpunt van veiligheid wel verstandig zou zijn.”

USP

Is de IRMA-technologie ver genoeg om in praktijk te worden gebracht? Jacobs: “Ik zou zeggen: het is klaar om in de praktijk te worden uitgetest. Bedrijven kunnen ermee aan de slag. Wij onderzoekers zouden misschien nog kunnen proberen om de kaart twintig procent sneller te maken of er allerlei toeters en bellen aan te hangen, maar dat levert ons verder geen publicatie op. Dat kunnen bedrijven beter. In academisch opzicht is IRMA klaar. Wie ermee aan de slag wil, hoeft het alleen maar op te pikken.”

Met een kaart is de kans op achteloosheid minder dan met een telefoon

Google, Netflix of Apple zullen IRMA niet snel omarmen. Het is eenvoudigweg te privacy-vriendelijk. Google wil niet voor niets dat iedereen overal voor inlogt, want dan kunnen zij het consumentengedrag analyseren en de gegevens verkopen aan adverteerders en marketeers. “Er zijn overigens wel – ik noem het maar even zo – verlichte bedrijven, die doorhebben dat privacy ook juist een unique selling point kan zijn. In Duitsland adverteren internetproviders met privacygaranties zoals versleuteling van e-mails en de verzekering dat absoluut geen data op buitenlandse servers worden opgeslagen.”
Jacobs hoopt vooral op belangstelling van overheden en privacyregulators, zoals het CBP en zijn Europese evenknie EDPS, maar ook van wat hij noemt ‘geavanceerde, specifieke gebruikers’, zoals medisch en militair personeel.

Open standaard

Het wachten is op minister Plasterk. Kort na zijn update voor de Tweede Kamer wordt besloten, aldus een woordvoerder, “of en zo ja hoe er een stelsel komt voor elektronische identificatie. Met zo’n stelsel kunnen mensen digitale diensten bij publieke en private organisaties afnemen met een middel van hun keuze.”
Jacobs is warm voorstander van een openstandaard- en opensourceaanpak. Volgens hem is die ideaal voor een overheidsproject als eID, omdat het voorkomt dat één partij gaat monopoliseren en een vendor lock-in creëert.

Het ministerie wil daar nog wel wat over kwijt: “Het eID-ontwerp gaat uit van het gebruik van open standaarden. Het programma publiceert de technische specificaties van de koppelvlakken (een interface die volgens een bepaalde standaard de uitwisseling van gegevens tussen informatiesystemen verzorgt). Het is aan elke leverancier om daar zelf een software-invulling aan te geven. Deze software-invullingen worden niet als open source ter beschikking gesteld. Het gebruik van de open standaarden en de open specificaties voorkomt dat er een vendor lock-in ontstaat.” Wordt aanstonds vervolgd.