Nederlandse elektronische identiteitskaart (eid) Analyse haal- en maakbaarheid van 4 eid scenario s

Eemsgolaan 3 9727 DW Groningen Postbus 1416 9701 BK Groningen

TNO-rapport

www.tno.nl

TNO 2013 R10422 Final 1.0

T +31 88 866 70 00 F +31 88 866 77 57

Nederlandse elektronische identiteitskaart (eID) Analyse haal- en maakbaarheid van 4 eID scenario’s

Datum

25 april 2013

Auteur(s)

Reviewer(s) Aantal pagina's Aantal bijlagen Opdrachtgever Projectnaam Projectnummer

29 (incl. bijlagen) 1 Carlo Luijten, Ministerie van Binnenlandse Zaken Analyse haal- en maakbaarheid van 4 eID scenario’s 055.02096

Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd en/of openbaar gemaakt door middel van druk, foto-kopie, microfilm of op welke andere wijze dan ook, zonder voorafgaande toestemming van TNO. Indien dit rapport in opdracht werd uitgebracht, wordt voor de rechten en verplichtingen van opdrachtgever en opdrachtnemer verwezen naar de Algemene Voorwaarden voor opdrachten aan TNO, dan wel de betreffende terzake tussen de partijen gesloten overeenkomst. Het ter inzage geven van het TNO-rapport aan direct belang-hebbenden is toegestaan. © 2013 TNO

2 / 29

TNO-rapport | TNO 2013 R10422 | Final

Samenvatting Achtergrond Voor het faciliteren van veilige online transacties wil de Nederlandse overheid een elektronische identiteit (elD) voor burgers beschikbaar maken. De eID moet burgers een hoog betrouwbaarheids- en veiligheidsniveau bieden voor gebruik van online diensten. Opdracht Het doel van dit project is om de technische haal- en maakbaarheid van vier eID scenario’s te analyseren en daarnaast om antwoord te krijgen op de vraag: “Waar liggen de technische mogelijkheden en waar liggen de valkuilen?”. Om dit doel te bereiken worden de vier scenario’s geanalyseerd aan de hand van een aantal aspecten, de keuzemogelijkheden binnen deze aspecten en de consequenties van de te maken keuzes. Resultaten Wanneer de plussen en de minnen uit de analyse van de vier scenario’s worden opgeteld, ontstaat het resultaat zoals weergegeven in onderstaande figuur. De kolom “eID Open” is groen gemarkeerd vanwege drie pluspunten. De rij “eID op WID” is rood gemarkeerd vanwege drie minpunten. Verder merken we op dat de kolom “eID Gesloten” simpeler is dan kolom “eID Open” vanwege het ontbreken van complexiteit van het werken met wijzigingen op de eID na uitgifte. Daarentegen geldt voor de kolom “eID Gesloten” dat wanneer gekozen wordt voor werken met attributen in de backoffice deze variant ingewikkelder wordt.

Figuur 1: Resultaten

Conclusie Met de flexibiliteit van een open eID kunnen meer use-cases worden geïmplementeerd dan bij een gesloten eID. Een gesloten eID waarbij flexibiliteit wordt bereikt door extra identiteitsinformatie op te slaan in een backoffice kent bepaalde nadelen zoals dienstaanbieders die netwerktoegang moeten hebben tot de backoffice, toegang van attribuut uitgevers tot de backoffice en privacy nadelen van het kunnen volgen van activiteiten van eID houders in de backoffice (‘hotspot’). Een gesloten eID daarentegen zonder extra identiteitsinformatie in de backoffice is simpeler dan een open eID.

712UDSSRUW_7125_)LQDO

$DQEHYHOLQJHQ • 2YHUZHHJWHVWDUWHQPHWHHQH,'RSHHQQLHW:,'µ'LJL'+RRJ¶NDDUW +LHUPHHNXQQHQGHPLQSXQWHQJHQRHPGLQGLWRQGHU]RHNZRUGHQYHUPHGHQ 'H]HVWDUWVWDDWHHQPLJUDWLHQDDUHHQH,'RSHHQ:,'QLHWLQGHZHJ • 2YHUZHHJWHVWDUWHQPHWHHQH,'PHWHHQEHSHUNWDDQWDOQLHWWHZLM]LJHQ DWWULEXWHQGLHELMXLWJLIWHJHYXOGZRUGHQ+LHUPHHNXQQHQHQNHOHSOXVSXQWHQ JHQRHPGLQGLWRQGHU]RHNZRUGHQEHQXWHQLVHUERYHQGLHQQRJJHHQ LQJHZLNNHOGH LQIUDVWUXFWXXUQRGLJELMELMYRRUEHHOGJHPHHQWHQYRRUKHW DDQEUHQJHQYDQZLM]LJLQJHQRSGHH,' • 6WDUWPHWSUDNWLVFKHH,'WHVWHQSURHIRPJHYLQJHQYRRUGHYHUVFKLOOHQGH YDULDQWHQYDQGHH,'RPµKDQGVRQ¶HUYDULQJRSWHGRHQ+LHUPHHNXQQHQGH YHUVFKLOOHQGHYDULDQWHQYDQGHH,'ZRUGHQJHWHVWHQXLWJHSUREHHUGYDQXLWKHW SHUVSHFWLHIYDQ]RZHOJHEUXLNHUVGLHQVWDDQELHGHUVDOVOHYHUDQFLHUV


4 / 29

Inhoudsopgave Samenvatting ........................................................................................................... 2 1. 1.1 1.2 1.3 1.4

Inleiding .................................................................................................................... 6 Achtergrond ............................................................................................................... 6 Doelstelling ................................................................................................................ 7 Aanpak ....................................................................................................................... 7 Scope ......................................................................................................................... 8

2. 2.1 2.2 2.3 2.4

eID use-cases ........................................................................................................... 9 Rollen ......................................................................................................................... 9 Publieke sector ........................................................................................................ 10 Private sector ........................................................................................................... 11 Analyse .................................................................................................................... 13

3. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12

eID aspecten ........................................................................................................... 15 Overzicht van aspecten met impact op eID ............................................................. 15 Drager ...................................................................................................................... 15 Lezer ........................................................................................................................ 16 Gebruikersplatform .................................................................................................. 16 Middleware .............................................................................................................. 17 Contact en/of contactloos ........................................................................................ 17 Privacy ..................................................................................................................... 17 Doelgroep ................................................................................................................ 18 Connectiviteit ........................................................................................................... 18 Governance ............................................................................................................. 18 Beveiliging ............................................................................................................... 18 Toekomstvastheid.................................................................................................... 18

4. 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15 4.16 4.17 4.18 4.19

Keuzemogelijkheden en consequenties ............................................................. 19 eID op WID of rijbewijs en verlies, diefstal of ingenomen ....................................... 19 Misbruik PIN op geïnfecteerde PC .......................................................................... 19 USB stick geen aparte lezer nodig .......................................................................... 19 Gebruik van smartcard lezers van banken .............................................................. 19 Software aanbieden voor computing device van eindgebruiker .............................. 20 Open specificaties en open interfaces..................................................................... 20 Slijtage ..................................................................................................................... 20 Smartphone als lezer ............................................................................................... 21 Volgen activiteiten eID houder via backoffice .......................................................... 21 Wie mag wat weten van de eID houder................................................................... 21 Expats in Nederland ................................................................................................ 21 Noodzaak Internetverbinding dienstaanbieder ........................................................ 21 Flexibiliteit in de architectuur ................................................................................... 21 Privé en zakelijk gescheiden: meerdere eID’s per persoon .................................... 22 Gevolgen van compromitteren eID chip .................................................................. 22 Veiligheid: centraal vs. decentraal ........................................................................... 22 Toekomstvastheid gesloten eID vereist backoffice ................................................. 22 Analyse .................................................................................................................... 23 Resultaten ................................................................................................................ 24


5 / 29

5. 5.1 5.2

Conclusies en aanbevelingen .............................................................................. 26 Conclusies ............................................................................................................... 26 Aanbevelingen ......................................................................................................... 26

6.

Referenties ............................................................................................................. 28

7.

Bijlage A: Tabel overzicht use-cases .................................................................. 29


6 / 29

1. Inleiding 1.1

Achtergrond

Voor het faciliteren van veilige online transacties wil de Nederlandse overheid een elektronische identiteit (elD) voor burgers beschikbaar maken. De eID moet burgers een hoog betrouwbaarheids- en veiligheidsniveau bieden voor gebruik van online diensten. Hiervoor is een identiteitsbewijs nodig vergelijkbaar met een Nederlands paspoort of Nederlandse identiteitskaart (NIK) maar dan met nieuwe functionaliteiten zoals bijvoorbeeld het kunnen genereren van een “gekwalificeerde elektronische handtekening” [2]. Daarnaast zou de eID, afhankelijk van de uiteindelijk gekozen implementatie, ook gebruikt kunnen worden voor offline diensten. Definitie 1: eID. In de context van dit project definiëren we eID als een elektronische identiteitskaart met e-functionaliteit. Met e-functionaliteit bedoelen we dat de eID meer is dan alleen fysieke en elektronische opslag van identiteitsgegevens. De eID bevat een microchip die naast identiteitsinformatie ook functionaliteit rondom identiteiten bevat zoals bijvoorbeeld het kunnen werken met digitale certificaten. Met een authenticatiecertificaat en 1 bijbehorende ‘private key’ in de eID is het mogelijke je identiteit bij het aanmelden op een website te bevestigen. Met een handtekeningcertificaat en bijbehorende private key in de eID kun je een elektronische handtekening plaatsen. Een elD is onderdeel van een ‘identity management’ (ldM) systeem dat er voor zorgt dat de digitale identiteit van een persoon met hoge mate van betrouwbaarheid en veiligheid kan worden vastgesteld. Definitie 2: Open. In de context van dit project noemen we een eID 'open' als bepaalde partijen na uitgifte van de drager nog informatie (bijvoorbeeld attributen, certificaten, sleutels of applicaties) op de eID kunnen toevoegen, wijzigen of verwijderen. Definitie 3: Gesloten. In de context van dit project noemen we een eID 'gesloten' als na uitgifte alleen informatie van de eID kan worden uitgelezen en waar geen enkele interface nog de mogelijkheid biedt om informatie op de eID toe te voegen, te wijzigen of te verwijderen. Om tot concrete keuzes te komen heeft de 'Zomerwerkgroep' onder leiding van het Ministerie van Binnenlandse Zaken (BZK) vier high level scenario’s bedacht. Deze high level scenario’s beschrijven variaties van twee dimensies (zie Figuur 2) die bepalend zijn voor de inrichting van de eID.

1

Voor meer achtergrondinformatie over public keys, private keys en certificaten zie http://en.wikipedia.org/wiki/Public-key_cryptography

7 / 29


Figuur 2: Twee dimensies

Uit verschillende combinaties van de twee dimensies volgen vier scenario’s A, B, C en D (zie Figuur 3).

Figuur 3: Vier scenario’s

Voor de ontwikkeling van de eID moet een adequaat overzicht worden verkregen op het complexe speelveld. Onder andere de technische haal- en maakbaarheid van de vier scenario’s moet worden onderzocht. Voor het uitvoeren van dit onderzoek is inzet van TNO gevraagd. 1.2

Doelstelling

Het doel van dit project is om de technische haal- en maakbaarheid van de vier scenario’s te analyseren en daarnaast om antwoord te krijgen op de vraag: “Waar liggen de technische mogelijkheden en waar liggen de valkuilen?”. Om dit doel te bereiken worden de vier scenario’s geanalyseerd aan de hand van een aantal aspecten, de keuzemogelijkheden binnen deze aspecten en de consequenties van de te maken keuzes. De volgende onderzoeksvragen zoals afgesproken in de offerte [1] zijn leidend voor dit project: 1. Hoe ziet het speelveld er uit voor dit complexe onderwerp? 2. Welke fundamentele aspecten zijn hierin aanwezig? 3. Welke technische consequenties hebben bepaalde aspecten en keuzes op de haal- en maakbaarheid van de vier gekozen scenario’s van de eID? 1.3

Aanpak

Om de projectdoelstelling te halen en daarmee de Zomerwerkgroep expertise aan te leveren rondom technische mogelijkheden en valkuilen van de eID binnen de vier scenario’s wordt de aanpak gehanteerd zoals grafisch weergegeven in Figuur 4.


)LJXXU$DQSDN

2PGDWGHGRRUORRSWLMGYDQKHWSURMHFWEHSHUNWLVWRWGULHPDDQGHQHQERYHQGLHQ QRJQLHWDOOHGHWDLOVYDQGH62//VLWXDWLHEHNHQG]LMQLVKHWQLHWRQ]HDPELWLHRP YROOHGLJWH]LMQLQKHWLGHQWLILFHUHQYDQDOOHXVHFDVHVDOOHDVSHFWHQHQDOOH PRJHOLMNHFRQVHTXHQWLHV 'HWHDQDO\VHUHQDVSHFWHQNRPHQGHHOVXLWGHXVHFDVHVPDDURRNXLWDQGHUH VPDUWFDUGSURMHFWHQZDDU712ELMEHWURNNHQLV]RDOV2SHQ3$6 ,50$ HQ8=, SDV $OVLQSXWQHPHQZHRRNHUYDULQJHQHQRISXEOLFDWLHVPHHYDQGH'XLWVHH,' HQGH%HOJLVFKHH,'8LWRQVRQGHU]RHNLVJHEOHNHQGDWYRRUGH]HEHLGH EXLWHQODQGVHH,'RPJHYLQJHQIXQGDPHQWHHODQGHUHNHX]HV]LMQJHPDDNW+HWLV EHODQJULMNRPWHVQDSSHQZDDURPGLWLVJHGDDQRQGHUDQGHUHRPGHJHYROJHQYRRU GH1HGHUODQGVHFRQWH[WHQXVHFDVHVKHOGHUWHNULMJHQ

6FRSH

0HWGHRSGUDFKWJHYHULVGHYROJHQGHVFRSHDIJHVSURNHQ • 3UDNWLVFKHSURHIHQGHPRRSVWHOOLQJHQYDOOHQYRRUQXEXLWHQVFRSH • 'HDQDO\VHYDQ712EHSHUNW]LFKWRWWHFKQLVFKHDVSHFWHQYDQGHH,' &RPPHUFLsOHSROLWLHNHMXULGLVFKHHQDQGHUHW\SHDVSHFWHQYDOOHQEXLWHQ VFRSHYDQGLWRQGHU]RHN

2SHQ3$6LVHHQSURMHFWGDW712XLWJHYRHUGKHHIWLQRSGUDFKWYDQKHW0LQLVWHULHYDQ'HIHQVLH ,50$LVHHQSURMHFWLQVDPHQZHUNLQJVYHUEDQGWXVVHQGH5DGERXG8QLYHUVLWHLW1LMPHJHQ 685)QHW712HQ6,'1]LHKWWSVZZZLUPDFDUGRUJ 0HWGH8=,SDVNXQQHQ]RUJDDQELHGHUV]RUJYHUOHQHUVHQ]RUJLQVWHOOLQJHQ HQLQGLFDWLHRUJDQHQ &,=HQ%XUHDXV-HXJG]RUJ YLDGHHOHNWURQLVFKHZHJYHLOLJWRHJDQJNULMJHQWRWYHUWURXZHOLMNH SDWLsQWLQIRUPDWLH]LHKWWSZZZX]LUHJLVWHUQOX]LSDV


9 / 29

2. eID use-cases Het startpunt voor onze analyse van de technische haal- en maakbaarheid van de vier eID scenario’s is het bestuderen en analyseren van een verzameling usecases. Het doel van het opnemen van deze use-cases is om een breed overzicht te krijgen op het speelveld. Daarnaast zullen we uit de use-cases een aantal aspecten halen en de keuzemogelijkheden binnen deze aspecten beschrijven om uiteindelijk de consequenties van de te maken keuzes op de vier scenario’s te kunnen analyseren. Om een te beperkt perspectief te voorkomen, hebben we de use-cases zoveel mogelijk uniform over het hele domein verspreid. Merk op dat onze achtergrond en expertise ligt op het gebied van ICT en security. Wij zijn geen domeinexpert op bijvoorbeeld het gebied van belastingen of de zorg. Hierdoor zijn de geschetste use-cases slechts een beperkte afspiegeling van de werkelijkheid die voor ons doel volstaan. Echter wanneer de eID wordt ontworpen en gespecificeerd, moeten ervaren domeinexperts de gewenste use-cases aandragen. 2.1

Rollen

In de use-cases onderscheiden we minimaal drie rollen: 1. eID Issuer De eID issuer verstrekt eID’s aan burgers en is verantwoordelijk voor beheer en instandhouding van de eID infrastructuur. 2. eID Dienstaanbieder Een eID dienstaanbieder biedt een dienst aan en heeft voor deze dienst interactie met een houder van een eID in een proces waarvoor informatie of functionaliteit van de eID nodig is. 3. eID Houder Een eID houder is een burger die van de eID issuer een eID ontvangt en deze eID kan gebruiken, onder andere om diensten af te nemen van eID dienstaanbieders. Daarnaast wordt in sommige use-cases gesproken over ‘attributen’. Definitie 4: Attribuut. In de context van dit project definiëren we een attribuut als een elementair gegeven dat een eigenschap of kenmerk van een entiteit (persoon) weergeeft. In de use-cases waar attributen worden gebruikt, onderscheiden we een extra rol: 4. eID Attribuut Issuer Een attribuut issuer geeft attributen uit die gebruikt kunnen worden om permanente of tijdelijke eigenschappen of kenmerken aan een persoon te koppelen.


2.2 2.2.1

10 / 29

Publieke sector Belastingdienst

2.2.1.1 Ondertekenen digitale aangifte 5 Voor het ondertekenen van de digitale belastingaangifte wordt op dit moment gebruik gemaakt van DigiD. Bij gebruik van het eID zou het proces als volgt kunnen verlopen: 1. Gebruiker vult aangifte in. 2. Gebruiker ondertekent aangifte met behulp van zijn eID. Gebruikt daarvoor zijn PIN code en een smartcard lezer. 3. De ingevulde aangifte wordt samen met de cryptografische gekwalificeerde digitale handtekening verstuurd naar de belastingdienst. 2.2.1.2 Inzien oude aangiftes en gegevens Het ligt voor de hand om een eID ook te gebruiken om in te loggen bij een dienstaanbieder zoals de belastingdienst, bijvoorbeeld voor het inzien van oude aangiftes, het kunnen muteren van persoonsgegevens of mogelijk het online aangifte doen zonder gebruik te maken van het lokale Aangifteprogramma. Dit zou dan als volgt kunnen verlopen: 1. Bezoek pagina belastingdienst. 2. Log in door eID aan te bieden met PIN code. 3. Presenteer een persoonlijke portal voor de eID houder. 4. Gebruiker ondertekent aangifte met behulp van zijn eID. Gebruikt daarvoor zijn PIN code en een smartcard lezer. 2.2.2

Zorg

2.2.2.1 Inzien van zorggegevens 6 Met een sterk ‘two-factor’ authenticatiemiddel als het eID zou een dienstaanbieder patiënten toegang tot hun zorgdossier kunnen bieden. 2.2.2.2 Inzien van zorggegevens met machtiging Indien iemand zelf niet meer in staat is om digitale diensten af te nemen, kan iemand anders gemachtigd worden om namens een ander de dienst af te nemen. Na het inloggen met het eID geeft de gemachtigde aan een machtiging te willen gebruiken en kan dan daarmee namens de patiënt de diensten afnemen. 2.2.2.3 Inzien van medische gegevens door professionals Medische professionals krijgen toegang tot medische gegevens op basis van hun rol volgens de Wet op de Beroepen in de Individuele Gezondheidszorg (BIG) registratienummer en de instantie waarvoor zij acteren. Een deel van de zorgverleners werken nu met een UZI-pas. Het Unieke Zorgverlener Identificatie Register (UZI-register) is de organisatie die de unieke identificatie van zorgaanbieders en indicatieorganen in het elektronisch verkeer mogelijk maakt. Wanneer een medische professional een eID houder is, zou hij/zij mogelijk kunnen inloggen met behulp van de eID. 5

Merk op dat vanuit een beveiligingsperspectief gezien hier geen sprake is van een cryptografische handtekening. 6 ‘Two-factor’ authenticatie is een aanpak waarbij twee authenticatie factoren worden gebruikt: iets wat de gebruiker heeft en iets wat de gebruiker weet.


11 / 29

2.2.2.4 Ondertekenen door medische professionals Naast authenticatie biedt de hierboven genoemde UZI-pas ook de mogelijkheid tot het zetten van een digitale handtekening. Deze handtekening bevat niet alleen de identiteit van de medisch professional maar ook zijn rol alsmede organisatie waarvoor hij acteert. 2.2.3

Gemeentes

2.2.3.1 Wijzigen gegevens in GBA De Gemeentelijke Basis Administratie (GBA) bevat onder andere persoons- en adresgegevens van burgers. Wijzigingen in de GBA administratie, bijvoorbeeld bij verhuizing, zouden online gedaan kunnen worden door burgers zelf met behulp van de eID. Indien adresgegevens ook op het eID zelf staan, moeten deze na verhuizing mogelijk ook aangepast kunnen worden. 2.2.4

RDW

2.2.4.1 Overschrijven auto Persoon A verkoopt persoon B een voertuig en het voertuig moet dan overgeschreven worden. Wanneer beide personen met hun eID gebruik maken van de dienstaanbieder RDW zou dit via online dienstverlening van de RDW kunnen worden aangeboden. 2.2.5

DUO

2.2.5.1 Inzien van gegevens Vergelijkbaar met 2.2.1.2 en 2.2.2.1. 2.2.5.2 Opsturen van formulieren met ondertekening Vergelijkbaar met 2.2.1.1 en 2.2.2.4. 2.2.6 Rijkspas De eID zou kunnen fungeren als Rijkspas waarbij autorisaties voor ambtenaren voor toegang tot eigen en andere ministeries dynamisch kunnen worden uitgedeeld en weer worden ingetrokken. 2.3 2.3.1

Private sector Burger naar Burger

2.3.1.1 Online aankoop Bij het doen van een aankoop is het vaak gewenst een koopcontract op te stellen en te ondertekenen. Bij een online scenario kan dit gefaciliteerd worden door een digitaal koopcontract dat met behulp van de eID op elektronische wijze ondertekend kan worden. 2.3.2

Casino

2.3.2.1 Leeftijdsverificatie (online) Bij online gokken kan een casino het eID gebruiken om leeftijdsverificatie uit te voeren. Indien een geboortedatum is opgeslagen op de eID zou dit uitgelezen


12 / 29

kunnen worden door de casino website of door software die lokaal op een computer geïnstalleerd is. Ook is mogelijk dat een leeftijdsattribuut, bijvoorbeeld ‘ouder dan 18’, op de eID wordt bijgeschreven bijvoorbeeld aan een loket van een gemeentehuis. 2.3.2.2 Lidmaatschapskaart In plaats van een eigen kaart uit te geven zou een dienstaanbieder als het casino een lidmaatschapsattribuut op het eID kunnen plaatsen. 2.3.3

Onderwijsinstellingen

2.3.3.1 Studentenkaart Op dit moment geven hogescholen en universiteiten een eigen studentenkaart uit. Deze zou vervangen kunnen worden door een gestandaardiseerd attribuut dat op het eID geplaatst wordt. 2.3.4

Vervoersmaatschappijen

2.3.4.1 Vliegticket Een vliegticket is omwille van veiligheidsredenen persoonsgebonden en de ingevoerde identiteitsinformatie wordt bij het inchecken gecontroleerd. Als alternatief zou de aanvoer van identiteitsinformatie met de eID kunnen worden gedaan. Dit bespaart invoerwerk en garandeert de luchtvaartmaatschappij van de geldigheid en correctheid van de ingevoerde gegevens. 2.3.4.2 NS: e-ticket Een treinkaartje hoeft, in tegenstelling tot een vliegticket, niet persoonsgebonden te zijn. De eID zou gebruikt kunnen worden om online tickets te kopen. In theorie is het ook mogelijk om e-tickets op de eID op te slaan waardoor (attributen op) de eID als vervoersbewijs kan dienen. 2.3.5

Werkgevers

2.3.5.1 Toegangspas Werknemers krijgen voor fysieke toegang meestal een persoonlijk identificatie- en toegangsmiddel uitgereikt om gebouwen en kantoren binnen te komen. De eID zou uitgerust kunnen worden met een daarvoor geschikt attribuut om toegang te krijgen tot gebouwen of ruimtes binnen gebouwen. In dit geval moet specifiek de voor toegang verantwoordelijke partij een dergelijk attribuut kunnen genereren. Mogelijke wettelijke aspecten rondom concurrentie bepalingen dienen in dit geval nog uitgezocht te worden. 2.3.5.2 Toegang tot bedrijfsnetwerk Veel bedrijven gebruiken tegenwoordig een of andere vorm van two-factor authenticatie om medewerkers ‘remote’ toegang te geven tot het bedrijfsnetwerk of gevoelige systemen. Vaak wordt hiervoor een hardware token gebruikt. Het eID zou deze rol voor sterke authenticatie ook kunnen vervullen.


2.3.6

13 / 29

Winkels

2.3.6.1 Klantenkaart De eID zou kunnen functioneren als klantenkaart voor fysieke winkels. Een bekend voorbeeld van een klantkaart is de Albert Heijn bonuskaart. Een winkel schrijft dan een attribuut op de eID waarmee de gekochte producten kunnen worden geadministreerd. 2.3.6.2 Slijterij Een slijterij is wettelijk verplicht een controle uitvoeren of een klant ouder dan 18 is. Indien een geboortedatum is opgeslagen op de eID zou dit uitgelezen kunnen worden door een terminal. Ook is mogelijk dat een leeftijdsattribuut, bijvoorbeeld ‘ouder dan 18’, op de eID wordt bijgeschreven, bijvoorbeeld door een gemeente. De slijterij moet dan controleren of zo’n attribuut correct is en of het attribuut door een vertrouwde partij is uitgegeven. 2.3.6.3 Online afsluiten mobiel abonnement Bij het afsluiten van een nieuw abonnement voor telefonie worden NAW gegevens, identiteit (kopietje paspoort) en bankrekening nummer (betalen van minimaal bedrag) gecontroleerd. Deze attributen/gegevens zouden door de eID geleverd kunnen worden. Daarnaast kan het contract digitaal ondertekend worden. 2.3.6.4 Wietpas In een bepaald aantal gemeenten moet men, om producten te mogen kopen in een coffeeshop, aantonen dat men ingezetene is van een Nederlandse gemeente en ouder is dan 18 jaar. Hiervoor zouden een ‘ingezetene van’ en een ‘ouder dan 18’ attribuut aan het eID kunnen worden toegevoegd. 2.4

Analyse

De genoemde use-cases laten zien dat de volgende functionaliteit vaak terugkomt: 1. Authenticatie (aan de hand van een PKI infrastructuur). 2. Cryptografische handtekening (aan de hand van een PKI infrastructuur). 3. Beveiliging van toegang tot bepaalde functies of data op de eID met een PIN code (onder andere voor ‘two-factor authenticatie’). 4. Het aantonen van het hebben van één of meerdere attributen. Daarnaast zijn er nog een aantal uitzonderlijke functionaliteiten: 5. Het faciliteren van machtigingen. Wat opvalt is dat de volgende functionaliteit niet vaak voorkomt: 6. Encryptie (aan de hand van een PKI infrastructuur). Uit de mogelijke use-cases en de rollen wordt duidelijk dat de eID potentieel op veel verschillende manieren en door veel verschillende partijen gebruikt kan worden. Ook wordt duidelijk dat er zowel online als offline use-cases mogelijk zijn en dat veel verschillende partijen mogelijk de rol van dienstaanbieder gaan vervullen. Ook blijkt dat naast de veel voorkomende ‘standaard’ smartcard functionaliteit (authenticatie, handtekening, PIN code) in veel use-cases een bepaalde mate van flexibiliteit rondom identiteitsinformatie nodig is (attributen) om de use-case uit te kunnen voeren. Tot slot blijkt dat deze extra identiteitsinformatie door meerdere


14 / 29

verschillende partijen aangeleverd moet worden omdat alleen deze partijen iets kunnen zeggen over deze extra identiteitsinformatie.


H,'DVSHFWHQ 'HYROJHQGHVWDSLQRQ]HDDQSDNYRRUKHWNXQQHQDQDO\VHUHQYDQGHKDDOHQ PDDNEDDUKHLGYDQGHYLHUH,'VFHQDULR¶VLVRPQDDUEHSDDOGHDVSHFWHQYDQGHH,' WHNLMNHQ'H]HDVSHFWHQKHEEHQHHQWHFKQLVFKH LPSDFWRSGHUHDOLVDWLHYDQGH H,'9RRUHONDVSHFWEHVFKULMYHQZHLQGLWKRRIGVWXNHQNHOHNHX]HPRJHOLMNKHGHQ +HWGRHOYDQKHWRSQHPHQYDQGHDVSHFWHQHQKXQNHX]HPRJHOLMNKHGHQLVRP]H LQKHWYROJHQGHKRRIGVWXNWHNXQQHQJHEUXLNHQRPGHFRQVHTXHQWLHVYDQGH NHX]HVYRRUGHYLHUVFHQDULR¶VDDQWHJHYHQ'DDUQDDVWJHYHQZHPHWGH]H DVSHFWHQLQYXOOLQJDDQGHYUDDJRYHUZDWGHWHFKQLVFKHPRJHOLMNKHGHQ]LMQ

2YHU]LFKWYDQDVSHFWHQPHWLPSDFWRSH,'

,QRQGHUVWDDQGH)LJXXULVJUDILVFKHHQRYHU]LFKWZHHUJHJHYHQYDQHHQDDQWDOH,' DVSHFWHQ

)LJXXU2YHU]LFKWYDQDVSHFWHQ

'UDJHU

'HGUDJHULVHHQEHODQJULMNDVSHFWYRRUGHH,'KRXGHURPGDWGLHGHH,'I\VLHN PRHWEHZDUHQ'DDUQDDVWLVGHGUDJHUEHODQJULMNYRRUGHH,'LVVXHURPGDWHHQ FRPELQDWLHPHWHHQDOEHVWDDQGHLGHQWLWHLWVLQIUDVWUXFWXXU]RDOVELMYRRUEHHOGGH1,. ULMEHZLMVRIKHWSDVSRRUWZHOOLFKWNRVWHQHIILFLsQWHULVGDQKHWRSWXLJHQYDQHHQ FRPSOHHWQLHXZHRPJHYLQJ 0HWEHWUHNNLQJWRWGHGUDJHU]LHQZHGHYROJHQGHPRJHOLMNHRSWLHVRPHHQH,'RS WHNXQQHQDDQELHGHQ • µ%DQNSDV¶IRUPDDWNDDUW,62 P 1,. P 5LMEHZLMV


• • • • •

P µ'LJL'+RRJ¶NDDUW 3DVSRRUW 6HFXUH(OHPHQW LQVPDUWSKRQH 6,0NDDUW PLFUR6'NDDUW 86%VWLFN

=RZHOGH%HOJLVFKHH,'DOVGH'XLWVHH,'GH8=,SDVHQGH,50$NDDUW]LMQDSDUWH µEDQNSDV¶IRUPDDWNDDUWHQ(UEHVWDDQRRN6,0NDDUWHQPLFUR6'JHKHXJHQNDDUWHQ HQ86%VWLFNVGLH]LMQXLWJHUXVWPHWHHQVPDUWFDUGFKLS2SGH]HGUDJHUVNDQRRN HHQH,'ZRUGHQJHSODDWVW ,QHQNHOH1)&VPDUWSKRQHV]LWHHQ]RJHQDDPGH µ6HFXUH(OHPHQW¶GLHJHEUXLNWNDQZRUGHQDOVVPDUWFDUGPDDULQVRPPLJHJHYDOOHQ ELMYRRUEHHOGGH*RRJOH1H[XV61)& KHHIWDOOHHQGHIDEULNDQWYROOHGLJHWRHJDQJ WRWGH6HFXUH(OHPHQW

/H]HU

'HVPDUWFDUG OH]HUKDUGZDUH NDQZRUGHQJHEUXLNWRPGHH,'WHODWHQ FRPPXQLFHUHQPHWELMYRRUEHHOGHHQ3&RIODSWRS(HQSURJUDPPDRSHHQ3&RI ODSWRSNDQYLDHHQVPDUWFDUGOH]HUFRPPDQGR¶VVWXUHQQDDUGHVPDUWFDUGHQ UHVXOWDWHQRQWYDQJHQ0HWEHWUHNNLQJWRWGHOH]HU]LHQZHGHYROJHQGHPRJHOLMNH RSWLHV • 0HWRI]RQGHUHHQDSDUWWRHWVHQERUGRSGHOH]HU • 0HWRI]RQGHUHHQGLVSOD\RSGHOH]HU • 6PDUWSKRQHJHEUXLNHQDOVOH]HUYRRUFRQWDFWPHWELMYRRUEHHOG3&RIODSWRS • +HUJHEUXLNEHVWDDQGHOH]HUVELMYRRUEHHOGGLHYDQHHQEDQN • *HEUXLNYDQLQJHERXZGHVPDUWFDUGOH]HUVLQEXVLQHVV ODSWRSV 6RPPLJHVPDUWFDUGOH]HUVKHEEHQHHQDSDUWWRHWVHQERUGYRRUKHWLQJHYHQYDQHQ 3,1FRGHHQRIHHQGLVSOD\ELMYRRUEHHOGYRRUKHWDDQJHYHQYDQVWDWXVEHULFKWHQRI NHQPHUNHQYDQHHQGRFXPHQWGDWPRHWZRUGHQRQGHUWHNHQG1)&VPDUWSKRQHV NXQQHQDOVVPDUWFDUGOH]HUJHEUXLNWZRUGHQLQGH]LQGDWHHQDSSOLFDWLHµDSS¶ RS GHVPDUWSKRQHPHWHHQVPDUWFDUGNDQFRPPXQLFHUHQHQHYHQWXHHOWHJHOLMNHUWLMG PHWELMYRRUEHHOGHHQ3&RIHHQODSWRSNDQFRPPXQLFHUHQ %LMVRPPLJHGUDJHUV]RDOVELMYRRUEHHOGHHQ86%VWLFNLVJHHQDSDUWHOH]HUQRGLJ RPGDWGH86%VWLFNUHFKWVWUHHNVLQELMYRRUEHHOGHHQ3&RIODSWRSNDQZRUGHQ JHVWRNHQ(HQ6HFXUH(OHPHQWHQHHQPLFUR6'NDDUW]LMQVWHUNJHUHODWHHUGDDQKHW JHEUXLNYDQDDQPRELHODSSDUDDWDOKRHZHOHURRN86%VWLFNVWHNRRS]LMQZDDUHHQ 6,0NDDUWRIHHQPLFUR6'NDDUWLQNXQQHQZRUGHQJHVWRSW

*HEUXLNHUVSODWIRUP

0HWJHEUXLNHUVSODWIRUPVRIWZDUH EHGRHOHQZHKHW2SHUDWLQJ6\VWHPZDWGRRUHHQ HLQGJHEUXLNHUZRUGWJHEUXLNWRSHHQFRPSXWLQJGHYLFH

=LHKWWSZZZJOREDOSODWIRUPRUJPHGLDJXLGH6(DVS ³7KHRSHQVRXUFHSURMHFW6HHNIRU$QGURLGFDQSURYLGHDVXEVHWRIWKH%HOJLDQH,'IHDWXUHVRQ \RXUDYHUDJH$QGURLGSKRQHZLWKDQRWVRDYHUDJHVHFXUHPLFUR6'FDUG ´]LH KWWSMRLQXSHFHXURSDHXFRPPXQLW\HLGQHZVDZDUGIHGLFWFRVLFVPDUWSKRQHHLGSURMHFW 'LWZDVHHQH[SOLFLHWHYUDDJYDQKHW0LQLVWHULHYDQ%=.


• •

'HVNWRSSODWIRUPHQ0LFURVRIW:LQGRZV$SSOH0DF26;/LQX[ HQ]RYRRUW 0RELHOHGHYLFHV*RRJOH$QGURLG$SSOHL260LFURVRIW:LQGRZV3KRQH HQ]RYRRUW

+HWJHEUXLNHUVSODWIRUPLQFRPELQDWLHPHWGHPLGGOHZDUHYRUPWHHQEHODQJULMNH VFKDNHOWXVVHQHLQGJHEUXLNHUFRPSXWLQJGHYLFHYDQGHHLQGJHEUXLNHU GLHQVWDDQELHGHUHQH,'

0LGGOHZDUH

0HWµPLGGOHZDUH¶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• ,QWHJUDWLHPHWEHVWDDQGHVRIWZDUH]RDOVELMYRRUEHHOG0LFURVRIW2XWORRN $GREH$FUREDW5HDGHURIKHWEHODVWLQJDDQJLIWHSURJUDPPD • $DQVOXLWLQJRSLQWHUQDWLRQDOH VWDQGDDUGHQ]RDOVELMYRRUEHHOG3.&6HQ 0LFURVRIW&U\SWR$3,

&RQWDFWHQRIFRQWDFWORRV

0HWEHWUHNNLQJWRWGHµEDQNSDV¶IRUPDDWNDDUWHQNDQRQGHUVFKHLGJHPDDNWZRUGHQ WXVVHQHHQFRQWDFWHQHHQFRQWDFWOR]HLQWHUIDFH6RPPLJHVPDUWFDUGV RQGHUVWHXQHQEHLGHW\SHLQWHUIDFHVQDDUGHVPDUWFDUGFKLSµGXDOLQWHUIDFH¶ +HW W\SHLQWHUIDFHEHSDDOWLQEHODQJULMNHPDWHKHWJHEUXLNHUVJHPDN2RNPDDNW FRQWDFWORRVKHWPRJHOLMNRPGHH,'PHWDQGHUHDSSDUDWHQWHODWHQFRPPXQLFHUHQ ]RDOVHHQVPDUWSKRQHRIWDEOHWPHW1)&

3ULYDF\

(HQDDQWDOXVHFDVHVVFKHWVWKHWJHEUXLNYDQGHH,'LQSULYDF\JHYRHOLJHVLWXDWLHV +HWV\VWHHPDOVJHKHHOGLHQWLQGH]HVLWXDWLHVGHSULYDF\YDQGHHLQGJHEUXLNHUWH ZDDUERUJHQ,QVRPPLJHVLWXDWLHVLVKHWZHWWHOLMNYHUSOLFKWGDWGHSULYDF\HQ DQRQLPLWHLWYDQGHEXUJHUJHZDDUERUJGEOLMIWELMYRRUEHHOGYDQZHJHZHWWHOLMNH EHSDOLQJHQ]RDOVGH:HWEHVFKHUPLQJSHUVRRQVJHJHYHQV:ES =RLVELMYRRUEHHOG KHWJHEUXLNYDQKHW%61YRRUGHWRHJDQJVSDVYRRUDPEWHQDUHQGH5LMNVSDV RQZHWWHOLMNJHEOHNHQ

=LHEH,'WRHSDVVLQJHQRSKWWSHLGEHOJLXPEHQOHLGWRHSDVVLQJHQBRQWZLNNHOHQ =LH'HU1HXH3HUVRQDODXVZHLVPRELHOHDSSRSKWWSVZZZDXVZHLVDSSEXQGGHSZHELQGH[GR =LH³5HFKWHUVWHOW&%3LQKHWJHOLMNRYHU%61HQ5LMNVSDV´RS KWWSZZZFESZHEQO3DJHVPHGBBEVQBULMNVSDVDVS[


3.8

18 / 29

Doelgroep

De use-cases geven een breed scala aan toepassingen van het eID weer. Voor alle beoogde eindgebruikers van de eID moet de eID ook daadwerkelijk voor deze toepassingen beschikbaar zijn. Dit betekent bijvoorbeeld dat de eID ook voor eindgebruikers met een niet Nederlands staatsburgerschap beschikbaar moet zijn. 3.9

Connectiviteit

Met name in de private sector zijn een aantal use-cases in principe offline, dat wil zeggen dat de interactie tussen de eID houder en de eID dienstaanbieder lokaal is. Denk bijvoorbeeld aan toegangspas- en de slijterij use-case. In deze situaties zou het onwenselijk zijn wanneer voor het gebruik van de eID verbinding met het internet nodig zou zijn omdat: 1. Een internet verbinding niet op elke locatie beschikbaar is zoals bijvoorbeeld een festivalterrein. 2. De applicaties een hoge mate van beschikbaarheid vereisen en dus ook moeten functioneren als een internetverbinding tijdelijk niet beschikbaar is. 3.10 Governance Vele partijen spelen een rol binnen het eID systeem. Van de geschetste use-cases valt slechts een klein aantal, zoals die voor de belastingdienst, geheel binnen het overheidsdomein. Bij vrijwel alle anderen ligt dit subtieler en treedt vaak een semiprivate partij op als dienstaanbieder. Daarnaast vereist een groot aantal andere use-cases, bijvoorbeeld uit de zorg, de Rijkspas en de toegangspas, dat vaak extra of andere vormen van identiteitsinformatie nodig is om een use-case te kunnen uitvoeren. Deze informatie wordt vaak uitgegeven en beheerd door semi-private partijen. De eID uitgever moet dit heterogene stelsel van partijen aansturen en controleren. 3.11 Beveiliging Omdat de eID op zeer grote schaal verspreid en gebruikt zal gaan worden, zal de beveiliging van de eID, de eventuele eID backoffice en de dienstaanbieders naar verwachting zwaar op de proef worden gesteld. Het is mogelijk dat gedurende de levensduur van de eID overgestapt moet worden naar bijvoorbeeld een andere chip, naar andere cryptografische algoritmes of naar langere sleutellengtes enzovoort. 3.12 Toekomstvastheid Een aantal use-cases, zoals de NS e-ticket case en de wietpas case, laten toepassingen zien die 5 tot 10 jaar geleden nog niet (volledig) te voorzien waren. Het is aannemelijk dat gedurende de levensduur van de eID in de toekomst meer van dergelijke gevallen kunnen optreden. Daarom is een zekere mate van flexibiliteit van het systeem wenselijk.

19 / 29


4. Keuzemogelijkheden en consequenties De laatste stap in onze aanpak voor het kunnen analyseren van de technische haal- en maakbaarheid van de vier eID scenario’s is om naar de consequenties te kijken van de keuzemogelijkheden voor bepaalde aspecten van de eID. Deze consequenties vormen op hun beurt argumenten om voor- of nadelen aan een bepaald scenario te kunnen toewijzen. 4.1

eID op WID of rijbewijs en verlies, diefstal of ingenomen

Het is nu een risico voor een burger dat een paspoort of NIK wordt verloren of gestolen. Als de eID daarop staat, is een bijkomend probleem dat de eID functionaliteit ook niet meer beschikbaar is. Voor het rijbewijs geldt nog een extra beschikbaarheidsrisico want deze kan naast verlies en diefstal ook kwijtraken doordat hij wordt ingenomen door de politie. De kans dat een burger geen eID beschikbaar heeft, kan worden verminderd door de burger een keuze in meerdere middelen aan te bieden. Ook kan een proces helpen waarmee na verlies, diefstal of inname kan worden overgestapt op een ander middel. Bijvoorbeeld overstappen op een ‘bankpas’ eID wanneer je je NIK met eID bent kwijtgeraakt. 4.2

Misbruik PIN op geïnfecteerde PC

Als een PIN code wordt ingevoerd op een onveilig computing device, bijvoorbeeld een PC die is geïnfecteerd met een virus, kan mogelijk misbruik worden gemaakt van de eID. Bijvoorbeeld met een ‘caching-aanval’ waarbij een ingegeven PIN code wordt onthouden ergens in de software en misbruikt om een document te ondertekenen zonder dat de eindgebruiker dit door heeft. Om dit probleem te vermijden kan een PIN code bijvoorbeeld op een smartcard lezer met PIN pad worden ingevoerd in plaats van op de mogelijk geïnfecteerde PC. 4.3

USB stick geen aparte lezer nodig

Als een smartcard op een USB-stick wordt gebruikt als drager voor de eID heeft dit als voordeel dat voor de verbinding met bijvoorbeeld een PC geen aparte smartcard lezer meer nodig is. De koppeling met een smartphone wordt daarentegen dan moeilijker omdat een smartphone vaak een mini- of micro-USB interface heeft en soms een NFC interface. 4.4

Gebruik van smartcard lezers van banken 13

14

Alleen ABN Amro (“e.dentifier” ) en Rabobank (“Random Reader” ) gebruiken een lezer waar een bankpas in kan worden gedaan. ING gebruikt Transactie Autorisatie Nummer (TAN) codes en soms een Persoonlijke Authenticatie Code (PAC) via smartphone of papier dus zonder bankpas lezer. De zakelijk gebruikte ING calculator wordt zonder bankpas gebruikt. SNS Bank gebruikt een apparaat 13 14

e.dentifier, https://www.abnamro.nl/nl/prive/betalen/edentifier/kenmerken.html Random Reader, https://bankieren.rabobank.nl/klanten


20 / 29

15

(“Digipas” ) die ‘One-Time-Password’ (OTP) getallen genereert zonder bankpas lezer. Van de lezers waar een bankpas in kan worden gedaan, heeft de lezer van de Rabobank geen verbinding naar de PC of laptop. Alleen de lezer van de ABN Amro heeft een optionele verbinding via USB naar de PC of laptop. Van deze lezer is onbekend of het generiek genoeg is om ook voor andere toepassingen zoals een eID in combinatie met PKI in te zetten. Daarnaast gaat het hier enkel om kaarten met een contactchip. 4.5

Software aanbieden voor computing device van eindgebruiker

Voordat burgers met hun eID gebruik kunnen maken van online diensten, zal de eID moeten kunnen samenwerken met een computing device van een eindgebruiker zoals PC, laptop, smartphone, tablet en misschien zelfs wel een ‘smart TV’. Een computing device van een eindgebruiker is voorzien van een software Operating System. Het operating system vormt een belangrijke schakel tussen eindgebruiker, computing device van de eindgebruiker, dienstaanbieder en 16 17 eID. Voor zowel de Belgische eID als de Duitse eID wordt hiervoor software aangeboden. 4.6

Open specificaties en open interfaces

Als de software componenten in de keten inclusief de software op de eID open (genoeg) zijn dan zou in theorie een onafhankelijke derde partij, denk bijvoorbeeld aan universiteiten en andere onderzoeksinstituten, een volledige technische beveiligingsanalyse kunnen uitvoeren. Dergelijke beveiligingsanalyses zijn cruciaal om security issues te identificeren. Een andere consequentie van open interfaces en open specificaties is dat 18 makkelijker extra toepassingen voor de eID kunnen worden ontwikkeld, mogelijk door derde partijen. 4.7

Slijtage

Het gebruik van een contact interface kan leiden tot een kortere levensduur van de chip van de eID in verband met slijtage. Dit is wel afhankelijk van het aantal gebruiksmomenten van de eID per jaar. Daarentegen is een eID met een contactloze interface gevoeliger voor andere vormen van slijtage zoals scheurtjes in het plastic vanwege de vorm en locatie van de antenne die door de hele eID pas loopt.

15

Digipas, https://www.snsbank.nl/particulier/klantenservice/wat-is-een-digipas.html Belgische eID software zie http://eid.belgium.be/nl/je_eid_gebruiken/de_eidmiddleware_installeren/ 17 Duitse eID software zie http://www.personalausweisportal.de/DE/Buergerinnen-undBuerger/Online-Ausweisen/Das-brauche-ich/Software/software-node.html 18 Extra toepassingen voor de Belgische eID zie http://eid.belgium.be/nl/beschikbare_eidtoepassingen/online_overheidstoepassingen/toepassingen_voor_de_overheid/ 16


4.8

21 / 29

Smartphone als lezer

Een contactloze eID kan in theorie communiceren met sommige smartphones zoals de Google Nexus S, de Samsung Galaxy SII-Plus, de III en de IV. Dit betekent dat de smartphone gebruikt kan worden als smartcard lezer en dat daarmee mogelijk minder lezers aangeboden hoeven te worden aan burgers. Het gebruik van alleen een contact interface eID sluit de mogelijkheid van het gebruik van een smartphone als smartcard lezer uit. 4.9

Volgen activiteiten eID houder via backoffice

Als identiteitsinformatie in de backoffice staat en deze informatie wordt gebruikt door verschillende dienstaanbieders, kan in de backoffice nauwgezet worden gevolgd wat een eID houder allemaal doet. Dit brengt de privacy (-beleving) van de eID houder in gevaar. 4.10 Wie mag wat weten van de eID houder De eID issuer moet gaan bepalen of de eID houder kan reguleren in hoeverre de informatie op de kaart of in backoffice beschermd is tegen onterecht uitlezen. Denk aan het voorbeeld van de slijter die alleen moet weten of een klant ouder is dan 18. Het is voor de slijter niet noodzakelijk te weten wat de exacte geboortedatum is van een klant. Ook is niet noodzakelijk te weten op welk adres de klant woont. De slijter mag dus geen andere informatie uitlezen of opvragen dan alleen die informatie die hij nodig heeft voor zijn interactie met klanten. 4.11 Expats in Nederland Bij het gebruik van een Nederlands paspoort, NIK of rijbewijs als drager voor de eID levert dit beperkingen op voor diegenen die een dergelijk document niet kunnen krijgen maar wel diensten van dienstaanbieders moeten kunnen afnemen. Personen die acteren in Nederland maar geen Nederlandse staatsburger zijn of die geen Nederlands rijbewijs hebben, hebben misschien wel een eID nodig. 4.12 Noodzaak Internetverbinding dienstaanbieder Als voor de dienstverlening van een dienstaanbieder, bijvoorbeeld een leeftijdsvalidatie voor een slijterij, belangrijke identiteitsinformatie in de backoffice staat, heeft de dienstaanbieder een internetverbinding naar de backoffice nodig om toegang te krijgen tot deze voor hem belangrijke informatie. 4.13 Flexibiliteit in de architectuur Voor de beide open kaarten, Duitse eID en IRMA, geldt dat de kaarten attributen kunnen opslaan. Bij de Duitse eID gaat men ervan uit dat er maar één uitgever van attributen is, namelijk de overheid. Bij IRMA gaat men ervan uit dat meerdere partijen, zowel publiek als privaat, als attribuut uitgever kunnen optreden. Voor het Duitse eID systeem geldt dat een specifiek attribuut wordt opgeslagen in een vooraf vastgelegde data groep. Voor ieder nieuw type attribuut moet daarom een aparte data groep gereserveerd worden.


22 / 29

Bij het gebruik van een backoffice voor het opslaan van extra identiteitsinformatie moeten in sommige scenario’s externe partijen informatie kunnen toevoegen aan de backoffice omdat alleen deze externe partijen uitspraken kunnen doen over een bepaalde identiteitscontext. Bijvoorbeeld de Dienst Uitvoering Onderwijs (DUO) kan een uitspraak doen over of iemand student is. Of een universiteit of hogeschool kan een uitspraak doen over of iemand staat ingeschreven bij die universiteit of hogeschool. Met betrekking tot flexibiliteit zien we in ieder geval de volgende mogelijke keuzes: 1. De eID issuer moet bepalen of de eID zal gaan werken met attributen. 2. De eID issuer moet bepalen of de attributen op de eID of in de backoffice worden opgeslagen. 3. De eID issuer moet bepalen of de attributen zelf nog extra beveiligd moeten worden. 4. De eID issuer moet bepalen welke partijen deze attributen mogen aanmaken en onder welke voorwaarden. 5. De eID issuer moet bepalen welke dienstaanbieders deze attributen mogen gebruiken voor dienstverlening en onder welke voorwaarden. 4.14 Privé en zakelijk gescheiden: meerdere eID’s per persoon Stel dat een burger zijn of haar privé en zakelijk leven gescheiden wenst te houden. Als een eID voor zowel privé als zakelijke doeleinden kan of moet worden gebruikt, kan dit in sommige situaties risicovol zijn. Bijvoorbeeld bij een notaris die privé belastingaangifte doet met de eID maar zakelijk met zijn eID contracten ondertekend. Een mogelijkheid om dit te ondervangen is om meerdere eID’s aan één individu uit te reiken. 4.15 Gevolgen van compromitteren eID chip Mocht de eID chip gecompromitteerd raken zoals bijvoorbeeld bij de ‘Mifare classic’ gebeurde, kan het noodzakelijk zijn alle kaarten op termijn te vervangen. Deze termijn was bij de ov-chipkaart duidelijk korter dan de geplande geldigheidsduur van tien jaar voor het eID. Indien het eID op een WID wordt uitgegeven moet daarmee ook het WID vervangen worden, terwijl deze kaart door de extra echtheidskenmerken waarschijnlijk duurder is. 4.16 Veiligheid: centraal vs. decentraal De identiteitsinformatie op een gesloten eID chip kan mogelijk worden aangevuld door een centrale backoffice die extra attributen levert na authenticatie via de kaart. Dit heeft wel consequenties voor veiligheid omdat in deze situatie het systeem op meerdere punten kan worden aangevallen, namelijk bij de eID chip zelf en bij de centrale backoffice. 4.17 Toekomstvastheid gesloten eID vereist backoffice Bij een vaste kaart kan er geen extra informatie op de kaart bijgeschreven worden. Om toch extra informatie te kunnen bieden, kan deze aangeboden worden via een centrale backoffice. Dit heeft consequenties voor de connectiviteit van

23 / 29


dienstaanbieders, voor de toegang van attribuut uitgevers tot de backoffice en voor de privacy van de gebruikers. 4.18 Analyse In Figuur 6 staat een herhaling van het overzicht van de door ons gebruikte eID aspecten (linkerkant). Aan deze verschillende aspecten zijn de beschreven consequenties gekoppeld voor de keuzemogelijkheden (midden). De consequenties vormen de argumentatie voor het geven van een plus of een min aan een scenario of aan een dimensie van een scenario (rechterkant).

Figuur 6: Overzicht van consequenties

Op basis van de gegeven argumenten zijn drie plussen en drie minnen weergegeven in Figuur 6 genummerd 1 tot en met 6. De argumenten weergegeven in blauw zijn onderscheidend voor de vier te analyseren scenario’s. Hiermee bedoelen we dat ze gebruikt kunnen worden om kleine of grote verschillen aan te geven in de vier scenario’s. Het is nog niet bekend 19 hoe belangrijk deze verschillen zijn (weegfactor). De overige argumenten zijn weliswaar niet onderscheidend (ze gelden voor alle vier genoemde scenario’s) maar we nemen ze toch mee in de analyse omdat we hiermee invulling geven aan

19

Voor wat betreft de weegfactor van een bepaald argument kunnen wij geen indicatie geven want wij kijken alleen naar technische aspecten. Technische aspecten vormen slechts een subset van het geheel van argumenten; bijvoorbeeld ‘time-to-market’ kan voor het ministerie zwaar wegen terwijl dit voor ons geen onderwerp van onderzoek is.

24 / 29


de vraag van het Ministerie van BZK over wat de technische mogelijkheden en valkuilen zijn. De haalbaarheid van een ‘bankpas’ formaat eID of ‘DigiD Hoog’ kaart is hoger dan een eID op een WID want dan is de eID niet afhankelijk van de WID. Denk bijvoorbeeld aan fysieke eisen in verband met echtheidskenmerken waar het materiaal van een WID aan moet voldoen die kunnen conflicteren met de fysieke eisen voor de antenne van een eID. Een open eID met ondersteuning voor attributen op de kaart is haal- en maakbaar want de Duitse eID doet dit. Een gesloten eID zonder attributen is ook haal- en maakbaar want de Belgische eID doet dit. Voor een gesloten eID is het nog steeds mogelijk om met attributen te werken maar deze moeten dan in de backoffice worden bijgehouden. Aan het werken met attributen in de backoffice kleven onder andere connectivity nadelen voor dienstaanbieders, het moeten regelen van toegang van attribuut uitgevers tot de backoffice en privacy nadelen voor eID houders. Het kunnen maken van wijzigingen op de eID na uitgifte is weliswaar maakbaar maar minder haalbaar op korte termijn want daar moet een hele infrastructuur voor worden ingericht. 4.19 Resultaten Voor de overzichtelijkheid geven we de drie plussen en de drie minnen uit Figuur 6 nogmaals weer (zie Figuur 7) maar dan alleen voor die argumenten die onderscheidend zijn voor de vier te analyseren scenario’s.

Figuur 7: Pluspunten en minpunten

Merk op dat de lege cellen in Figuur 7 weergegeven met afwijkende achtergrondkleur om twee redenen leeg kunnen zijn:

25 / 29


1. De cellen gemarkeerd met achtergrondkleur groen zijn leeg omdat we een min hebben uitgedeeld voor een eID op een WID. Als we ook nog een plus zouden uitdelen op dezelfde rij voor een eID op een niet-WID dan lijkt het alsof één argument dubbelop wordt geteld. 2. De cellen gemarkeerd met achtergrondkleur oranje zijn leeg omdat het nog onbekend is of het Ministerie van BZK, indien zij kiezen voor een gesloten eID, extra identiteitsinformatie in de backoffice willen gaan bijhouden. Wanneer de plussen en de minnen worden opgeteld, ontstaat het resultaat zoals weergegeven in Figuur 8.

Figuur 8: Resultaat

De kolom “eID Open” is groen gemarkeerd vanwege de drie plussen. De rij “eID op WID” is rood gemarkeerd vanwege de drie minnen. Verder merken we op dat de kolom “eID Gesloten” simpeler is dan kolom “eID Open” vanwege het ontbreken van complexiteit van het werken met wijzigingen op de eID na uitgifte. Daarentegen geldt voor de kolom “eID Gesloten” dat wanneer gekozen wordt voor werken met attributen in de backoffice deze variant ingewikkelder wordt. Merk op dat indien bijvoorbeeld “zo-simpel-mogelijk” of “zo-snel-mogelijk” een hoge weegfactor heeft voor het Ministerie van BZK dan kan dit net zo zwaar of zelfs zwaarder wegen dan de huidige uitgedeelde technische plussen en minnen. Merk op dat de Duitse eID in de kolom “eID Open” is weergegeven met (*). De Belgische eID in de kolom “eID Gesloten” is weergegeven met (**).


26 / 29

5. Conclusies en aanbevelingen 5.1

Conclusies

Met betrekking tot de onderzoeksvragen genoemd in het inleidende hoofdstuk hebben we in dit rapport het speelveld voor de eID onderzocht en beschreven en ook de fundamentele (deels technische) aspecten die daar een rol in spelen. Ook hebben we de invloed aangegeven van verschillende keuzemogelijkheden binnen deze aspecten op de technische haal- en maakbaarheid van de vier gekozen eID scenario’s. Naast het analyseren van de scenario’s hebben we nog enkele extra aspecten uitgewerkt om invulling te geven aan de vraag van het Ministerie van BZK over waar welke technische mogelijkheden en valkuilen liggen. Op basis van het uitgevoerde onderzoek trekken we de volgende conclusies: 1. Naast de dimensies Open/Gesloten en Wel/Niet WID bestaan nog andere aspecten die belangrijk kunnen zijn voor de realisatie van de eID omdat ze de mogelijke inrichting van de eID sterk kunnen beïnvloeden. Dit zijn onder andere de keuze voor de drager en of deze contact of contactloos kan communiceren en het privacy aspect. 2. Het valt op dat voor de Belgische eID en de Duitse eID fundamenteel andere keuzes zijn gemaakt. De Belgische eID is gesloten (geen wijzigingen mogelijk op de eID na uitgifte) en de Duitse eID is open (wel wijzigingen mogelijk op de eID na uitgifte). Dit komt doordat de Duitse variant variabele attributen op de eID ondersteunt en de Belgische variant niet. 3. Met de flexibiliteit van een open eID kunnen meer use-cases worden geïmplementeerd dan bij een gesloten eID. Een gesloten eID waarbij flexibiliteit wordt bereikt door extra identiteitsinformatie op te slaan in een backoffice kent bepaalde nadelen zoals dienstaanbieders die netwerktoegang moeten hebben tot de backoffice, toegang van attribuut uitgevers tot de backoffice en privacy nadelen van het kunnen volgen van activiteiten van eID houders in de backoffice (‘hotspot’). Een gesloten eID daarentegen zonder extra identiteitsinformatie in de backoffice is simpeler dan een open eID. 5.2

Aanbevelingen

Op basis van het uitgevoerde onderzoek doen we de volgende aanbevelingen: 1. Overweeg te starten met een eID op een niet-WID (‘DigiD Hoog’ kaart). Hiermee kunnen de minpunten genoemd in dit onderzoek worden vermeden. Dit maakt een snellere uitrol mogelijk vanwege het onafhankelijk van een WID kunnen ontwikkelen van een eID. Bovendien ondersteunt dit ook gebruikers die geen WID-document kunnen krijgen en toch gebruik willen of moeten maken van bepaalde eID dienstaanbieders. Deze keuze


27 / 29

staat een migratie naar een eID op een WID niet in de weg. Indien beide op termijn naast elkaar bestaan, worden ook de geconstateerde minpunten ondervangen. 2. Overweeg te starten met een eID met een beperkt aantal niet te wijzigen attributen die bij uitgifte gevuld worden. Hiermee kunnen enkele pluspunten genoemd in dit onderzoek worden benut en is er bovendien nog geen (ingewikkelde) infrastructuur nodig bij bijvoorbeeld gemeenten voor het aanbrengen van wijzigingen op de eID.

Naast bovenstaande aanbevelingen op basis van het onderzoek doen we nog een algemene aanbeveling: 3. Start met praktische eID testen proefomgevingen voor de verschillende varianten van de eID om ‘hands-on’ ervaring op te doen. Hiermee kunnen de verschillende varianten van de eID worden getest en uitgeprobeerd vanuit het perspectief van zowel gebruikers als dienstaanbieders. Geef ook leveranciers de mogelijkheid om de invloed van de verschillende varianten op de ontwikkeling van hardware en software te testen en uit te proberen.


6.

28 / 29

Referenties [1] [2]

“Voorstel voor een verordening van het Europees Parlement en de Raad betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt”, 04 juni 2012, Europese Commissie

[3]

Europa Decentraal, http://www.europadecentraal.nl/menu/371/e_Handtekening.html

[4]

Project STORK, https://www.eid-stork.eu/

[5]

Electronic Identity Card, http://en.wikipedia.org/wiki/Electronic_identity_card

[6]

CCC reveals security problems with German electronic IDs, http://www.honline.com/security/news/item/CCC-reveals-security-problems-withGerman-electronic-IDs-1094577.html

[7]

Der neue Personalausweis, http://www.personalausweisportal.de

[8]

29 / 29


7.

Bijlage A: Tabel overzicht use-cases

Use-case

Partijen

Ondertekenen aangifte Inzien aangiftes/informatie Inzien zorggegevens Inzien zorggegevens + machtiging Medische professionals: inzien gegevens Medische professionals: ondertekenen Wijzigen gegevens GBA Overschrijven auto Inzien gegevens studiefinanciering Digitaal formulier ondertekenen Rijkspas Online leeftijdsverificatie Lidmaatschapskaart Casino Studentenkaart Vliegticket NS: e-ticket Toegangspas Toegang tot bedrijfsnetwerk Klantenkaart Leeftijdsverificatie (offline) Online afsluiten mobiel abonnement

Wietpas Online aankoop: koopcontract

20

20

PKI Sign Ja Nee Nee Nee Nee

Attributen

Belastingdienst(D) Belastingdienst(D) CIBG(U), Zorg(D) CIBG(U), Zorg(D) CIBG(U), Zorg(D)

PKI Auth Nee Ja Ja Ja Ja

CIBG(U), Zorg(D)

Nee

Ja

Rol, Werkgever

Gemeente(U) RDW(D) DUO(D) DUO(D) Rijksgebouwendienst(U+D) Casino(D) Casino(U+D) Onderwijsinstelling(U+D) Luchtvaartmaatschappij(D+U)

Ja Ja Ja Nee Nee Ja Ja Ja Ja

Nee Ja Nee Ja Nee Nee Nee Nee Nee

NS(D+U) Werkgever(U+D) Werkgever(U+D) Winkel(U+D) Slijterij(D) Bank(U), Gemeente(U), Telecommunicatie aanbieder(D) Coffeeshop(D), Burger(D)

Nee Ja Ja Nee Nee Ja

Nee Nee Nee Nee Nee Ja

NWA gegevens Geen Geen Geen Toegangsinformatie Leeftijd Lidmaatschapsnr. Studentennummer GBA + Paspoortnummer Geen Geen Geen Klantnummer Leeftijd Rekeningnummer, NWA gegevens

Nee Nee

Nee Ja

Geen Geen Geen Rol, Werkgever

Leeftijd, woonplaats

U: uitgever, D: dienstaanbieder, indien niet vermeld is Rijksoverheid uitgever.

Nederlandse elektronische identiteitskaart (eid) Analyse haal- en maakbaarheid van 4 eid scenario s

Recommend Documents