Goedkope koffie met anonieme superchip

19-11-2013, 00:00

Privacy en (digitale) identificatie zitten elkaar nogal eens in de weg. Wie wil aantonen dat hij oud genoeg is om een fles whisky te kopen, toont de slijter nu ook noodgedwongen zijn naam, geboorteplaats en BSN-nummer. Het IRMA-project moet dat veranderen. Gisterenmiddag startte een pilot onder studenten. Privacy ‘Het is nu zo dat men zich vaak volledig moet identificeren, terwijl het doorgaans maar om een klein stukje van je identiteit gaat – zoals om je leeftijd bij het kopen van drank’, zegt Jaap-Henk Hoepman van de afdeling Digital Security van de Radboud Universiteit. ‘Een IRMA-kaart bevat allerlei informatie, maar toont alleen het noodzakelijke – en dat is in iedere situatie anders. Hij kan gebruikt worden om in de kantine aan te tonen dat je een Radboudstudent bent, of om bij een popconcert te laten zien dat je een kaartje hebt gekocht, of als paspoort op een luchthaven. De betreffende instantie die de kaart scant is alleen gemachtigd om het strikt noodzakelijke te zien – de rest gaat ze niets aan. Daarbij is het volledig anoniem en dus niet tot een persoon terug te herleiden.’ Kraken Op dit moment werkt de overheid aan een DigiD-kaart. Hoepman denkt dat de technologie die binnen het IRMA-project ontwikkeld wordt hier erg geschikt voor is. ‘We proberen een zo goed mogelijk prototype af te leveren en hopen dat bedrijven of overheden daarmee aan de slag gaan.’ Daarvoor is eerst de hulp van de studenten van de Kerckhoffs-master (een samenwerking tussen de technische universiteiten van Twente en Eindhoven en de Radboud Universiteit over computerveiligheid) nodig. Sinds gisteren worden zij gevraagd om de kaart te gebruiken, te testen, te kraken en verder te ontwikkelen. ‘Dat de ontwikkeling van zo’n kaart enorm fout kan gaan hebben we gezien bij de OV-chipkaart’, zegt student Remy Spaan. ‘Het lijkt me interessant om zelf mee te werken aan een veel beter alternatief.’ Spaan heeft al een idee van een toepassing van de kaart, al vreest hij dat zijn plan iets te ambitieus is. ‘Nu moet ik soms ver reizen om colleges bij te wonen. Het zou ideaal zijn die via het internet te kunnen volgen, waarmee de kaart kan dienen om me online te identificeren als Kerckhoffs-student.’ Geïnteresseerde studenten kunnen een kaart aanvragen en er zelf mee aan de slag gaan. Wie de kaart test, kan – wellicht, wie weet, misschien – meewerken aan een chip die later overal in het land gebruikt gaat worden. Maar, veel belangrijker: er komen speciale tablets in de kantine te liggen; als deelnemende studenten daar hun kersverse IRMA-kaart overheen trekken, krijgen ze goedkopere koffie. Lekker en honderd procent anoniem! /Tim van Ham

0 reacties

  1. vomov schreef op 22 november 2013 om 09:45

    1) De bruikbaarheid van deze nieuwe kaart is zeer beperkt. Afgezien van slijters e.d. zie ik geen functie hiervoor.
    2) Hoe gevoelig zijn deze gegevens? Wat kan iemand doen met een BSN-nummer, leeftijd, of geboorteplaats?
    3) Wie interesseert zich voor deze gegevens? Ik denk niet dat het iemand interessert waar ik geboren ben.

    Deze kaart kan echter extra mogelijkheden bieden; includeer huidige woonplaats, combineer het met een OV-chip-kaart, etc.
    Een universele oplossing voor identificatie en interactie is waar een vraag naar is, niet naar nog meer nutteloze kaarten.

    • . schreef op 23 november 2013 om 19:28

      Deze kaart is juist bedoeld om dat te kunnen realiseren, namelijk dat je veel verschillende soorten informatie op één kaart laadt, terwijl dat nu juist niet gebeurt omdat je dan veel te veel informatie blootlegt, elke transactie opnieuw. Het zou een enorm risico zijn als je bankgegevens op dezelfde kaart staan als je OV-kaart.

      Even een indicatie van gevoeligheid; met je BSN-nummer en je geboortedatum kan ik voor jou een DigiD aanvragen. Ook kan ik zonder al te veel moeite een lening afsluiten op je naam, etc etc etc. Identiteitsfraude was nog nooit zo gemakkelijk als vandaag de dag.

    • vomov schreef op 25 november 2013 om 10:01

      Met het BSN-nummer en de geboortedatum kan men een DigiD aanvragen, maar alleen als er niet al een DigiD aangemaakt is.
      Een lening afsluiten kan niet alleen op naam; met moet zich identificeren (en het rijbewijs wordt zelfs niet altijd geaccepteerd). Overigens, wat geldzaken betreft; de betrokken instanties hebben de verantwoordelijkheid de identiteit te controleren voordat ze iets doen. Als de identiteit achteraf vals blijkt, wordt het hele verhaal geannuleerd, en draait de instantie voor de kosten op. Amerikaanse praktijken kunnen hier niet voorkomen.

      Een gemakkelijke, aangename kaart met een scala aan functies lijkt me zeer aangenaam, maar moet natuurlijk wel aan banden gelegd worden. Bijvoorbeeld; als er bankgegevens op de kaart staan, dan zou er ook voor gezorgd moeten worden dat er een pin-code ingevoerd moet worden bij transacties. Voor een OV-chip-element lijkt me hetzelfde van toepassing, hoewel dat nu niet geïmplementeerd is. Verdere gegevens, zoals contactgegevens of allergiegegevens (incl. welke zorgverzekering er aanwezig is) lijkt me vrij toegankelijk, met beperkingen. Simpelweg de pas uitlezen zou moeten resulteren in “Meneer is getrouwd, woont in Amsterdam, en is allergisch voor de bruine pleisters”, en zou geen compleet adres of volledige medische geschiedenis moeten bevatten.

      Zulke systemen zijn en enkele landen al geïmplementeerd zonder problemen, maar ik neem aan dat in Nederland wel wat problemen gemaakt kunnen worden, zoals bij de OV-chip kaart gedaan is.

Geef een reactie