[Overheidsbeleid:] Authenticatie / DigiD; uitsluiting door toepassing Big Tech?

Het is een goede brief en verwacht dat, wanneer er in de 2e alinea al verwezen wordt naar mogelijke betere oplossingen, de brief nog beter gelezen wordt. Want op die manier heb je met een klein stukje lezen de kern van de brief al te pakken.

Bijvoorbeeld met de volgende tekst (voor de 2e alinea):

In deze brief wil ik u wijzen op de mogelijke alternatieven voor SMS-authenticatie die niet discrimerend zijn, zodat iedere nederlander gebruik kan blijven maken van de digitale overheidsdiensten.

@anon97139585
Net als @Subbink vind ik het een prima brief. Vind je het oké als we de brief iets meer naar onze hand zetten, uiteraard zonder afbreuk te doen aan jouw origineel?

Met behulp van een magnetron zèlf geregeld,
of “goed werk” van de producent ?!?

Als jouw RFID leeg is, dan wil ik daarvan wel een kopie op de mijne zetten
( zijn wij wèl ineens dezelfde persoon geworden … ) :crazy_face:

Absoluut niet leeg, voor de zekerheid net nog even gecontroleerd met een id check app. Alle gegevens inclusief foto zijn prima uit te lezen.
Duidelijk een bug in de didid app

Vandaag voor rijbewijs een foto laten maken bij een bij de RDW erkende fotograaf. Daar wordt ook je rijbewijs gecontroleerd en moet je een handtekening op een scanner zetten. De foto en handtekening word daar dan door de fotograaf naar de RDW gemaild.
Je krijgt daarna een mail van de RDW dat het ontvangen is en kan je beginnen met je rijbewijs te verlengen…
tenminste…
als die app werkt. Je kan namelijk bij de RDW uitsluitend met de digid app inloggen. En die werkt dus niet.

Dat wordt dus een afspraak maken op het gemeentehuis om daar op de oude manier je rijbewijs te gaan verlengen.
Dat gaat lekker worden als die digid app steeds meer verplicht gaat worden…

En die fotograaf heeft ook een verwerkersovereenkomst? De e-mail versleuteld verstuurd en verwijderd? Je pasfoto en handtekening worden direct uit hun systeem verwijderd? Etc.? En hoe kan hij dat garanderen, met een DPIA?

[Sarcasme] Een mooie doelgroep voor de NZK business en datagraaiers [/Sarcasme]

Dat is ook gelijk mijn overweging. Het is in mijn geval dan wel weer een vakfotograaf waar ik 100% vertrouwen in heb anders had ik die stap sowieso al niet genomen.

Heb de digid app gelijk maar verwijderd.

Maar als je bij de playstore kan, moet je voor de lol eens de reviews op de app lezen, en dan vooral de reacties van de app bouwers.

overigens ook zeer veel reakties van mensen die door het falen van digid app hun corona qr code niet op konden vragen.

Een blanko handtekening achterlaten bij een “random fotograaf” dat er bij een overheidsorgaan al iets dergelijks achtergelaten moet worden is m.i. al een dingetje. En blanko ondertekening laat je alleen achter bij iemand die je absoluut vertrouwt…
In het verleden moest je de Toeristen kaart/ Paspoort tekenen bij ontvangst in het bijzijn van de ambtenaar… Dat kon niet misbruikt worden.

Daarnaast zien mijn handtekening op een scanner er waarschijnlijk anders uit dan een die met een pen gezet is omdat zo’n scanner over het algemeen een glad oppervlak heeft.

Helemaal mee eens. Dit is een vakfotograaf waar ik vrijwel al mijn Pentax camera’s en toebehoren koop. En hij (of eigenlijk zijn vader) heeft zelfs de foto’s nog afgedrukt van mijn vader toen hij nog een jongeman was (en mijn vader was geboren in 1924)

Vrij vertaald, het is voor de gemiddelde en privacy bewuste nederlander absoluut geen aan te raden aktie om bij een fotograaf een handtekening achter te laten.

Was er niet een pas-toe-of-leg-uit principe afgesproken mbt. open standaarden?
Of valt Authenticatie daar niet onder?

BTW, ook in Belgie hebben ze een open standaard gebruikt. Ik heb ooit voor een Belgisch labo een werkplek authenticatie moeten maken voor de Belgische eID kaart. Een standaard USB-Paslezer op een Raspberry PI zorgde in dat geval voor de authenticatie, zodat een laborant de meetgegevens van weegschalen, pH meter en nog wat waarden kon doorgeven naar een achterliggende database.
Laborant hoefde alleen maar een Pas in te steken en daarna op een ja of nee knop te drukken. (nadat het monster door de molen was gehaald). OpenCV bevat alles wat nodig was.

Door de omgeving waar de apparatuur stond was de meeste apparatuur na een maand of 4-6 compleet onbruikbaar geworden hierdoor waren RPi’s een zeer grote besparing op de paar honderd werkplekken die een paar keer per jaar vervangen moesten worden… in vergelijking met PC’s).

Hier wordt FIDO2 wel genoemd:
https://www.noraonline.nl/wiki/Authenticatie(middelen)beheer#Nuttige_linkjes_voor_authenticatie

TOTP staat ook op de lijst:
https://www.forumstandaardisatie.nl/open-standaarden/aanbevolen

1 like

Even uit z’n verband gerukt:…

Met betrekking tot open source merk ik op dat ik graag gebruik maak van de kennis en kunde die
de hele samenleving te bieden heeft. Waar het om gaat is dat aan het doel van veiligheid en
betrouwbaarheid wordt voldaan. De openbaarheid van de broncode – door het ‘meer-ogen-principe’
– kan bijdragen aan veiligheid. Door dit principe kunnen meer mensen kijken of de software werkt
zoals bedoeld, en of er geen veiligheidsproblemen in zitten. De kracht of sterkte van open source is
echter primair afhankelijk van de sterkte en activiteit van omvang van de gemeenschap en
ontwikkelaars die dit ‘dragen’. De eigenschap open source als zodanig biedt niet de garantie voor
transparantie en veiligheid. Om het principe te laten gelden zal een voldoende omvangrijke en
actieve gemeenschap moeten bestaan en in stand worden gehouden.

Tja en dan mensen die andere keuzen maken digibeet noemen…???
En de staats secretaris haalt iets door elkaar:

De eigenschap open source als zodanig biedt niet de garantie voor transparantie en veiligheid.

Dat klopt marginnaal: Opensource is voorwaardelijk voor transparantie, maar biedt geen veiligheidsgarantie.
Daarop is de daarop volgende zin wel van toepassing.

Overigens veel van de gebruikte encryptie methoden die de veiligheid moeten waarborgen ZIJN al open source.

1 like

Er is inmiddels in de VS en soort van lobby schat ik in want plotseling moet APP-store van Apple & Google concurrentie kunnen krijgen.
==> ik lees dan Microsoft heeft een balletje opgegooid om OOK een appstore voor zowel Apple als Google systemen te mogen openen.

1 like

En deze aanbevelingen uit de Rapportage Onderzoek Toegang Digitale Overheid van 20 mei 2020 door PricewaterhouseCoopers Advisory neem ik ook nog even mee.

Uit het artikel van Sven:

Criteria voor garanties
Garanties die leveranciers af zouden moeten geven bij het gebruik van open source componen-
ten moeten gaan over:
• Koppelbaarheid;
• Onderhoudbaarheid;
• Voldoen aan open standaarden;
• Bewezen integratie met andere (deel)producten;
• Voldoende beschikbare deskundigheid en capaciteit;
• Performance;
• Enterprise ondersteuning.

Moeten die dan niet op closed source componenten?.. Want dit is speciaal vermeld voor gebruik van OS.

2 likes

Ik kreeg de verzekering van Kevin dat FIDO al jaren oud is.
De oudste IETF RFC die ik zo snel kan vinden is 8812. van Maart 2018. - Standaard geworden in 2020.
Webauthn is door W3C in 2019 tot standaard verklaard.
De oudste meldingen op de FIDO-DEV newsgroup zijn van 2015. met referenties naar U2F.
In press-releases komt 2013 als jaartal naar voren.

Ik ben bang dat dit in ambtelijke ketens mogelijk te jong is. De gemiddelde ambtenaar heeft het in z’n eigen studie nog niet meegemaakt/gebruikt en mogelijk zijn de kids nog te jong om Pa/Ma uit te leggen dat ze hopeloos achterlopen zonder Yubikey/NitroKey etc.

En het staatje hier belooft ook niet veel goeds (Geen ETA op MacOS implementaties…), Geen Linux implemetaties genoemd…

Overheid en FIDO2:

Er zit wel veel Rood-Wit-Blauw tussen maar niet de goede:

Ze hebben wel de leeftijd om Fidonet te kennen, :stuck_out_tongue_winking_eye::joy: maar zijn waarschijnlijk nooit verder gekomen.

Maar de smartphones zijn dank zij WA etc. min of meer afgedwongen ik denk dat de gemiddelde ambtenaar ook leidt aan FOMO.
Ik kan me ook voorstellen dat er een hoger Apple gehalte heerst. (maar dat is gewoon op niets anders gebaseerd dan mijn inschatting en dat voor de overheid de prijs niet direct relevant is, zie ook Overheids ICT projecten).

Een FOMO voor FIDO2 dongles heerst er denk ik niet.

De mensen die willen helpen om de betrokken partijen te bewegen om de geplande digitalisering van DigiD (vooral de wijze waarop) en de beschikbare authenticatiemethoden te heroverwegen heeft @anon97139585 al een mooie brief als template beschikbaar beschikbaar gemaakt. Een uitgebreider alternatief vind je hieronder:

Brief Commissie Digitale Zaken_alt versie.odt (51,3 KB)

Kun je je vinden in de inhoud? Dan kun je uit deze versies kiezen en is het slechts een kwestie van het aanpassen van de NAW-gegevens in het briefhoofd en je naam bij de ondertekening te zetten.

Een kleine moeite om jouw brief te versturen en/of digitaal te versturen.

Heb je andere interessante contacten die hieraan mee zouden willen werken of ontvangers binnen politiek of media die belang kunnen hebben bij deze kwestie? Dan kun je je brief natuurlijk doorsturen!

2 likes

Des te meer reden om er vanuit onze community meer brieven naartoe te sturen!

1 like

Een korte verwijzing naar de I-strategie Rijk 2021-2025 en het bijbehorende rapport.

Om op korte termijn naar uit te kijken (pag. 81 rapport):

Acties die lopen/zijn toegezegd in andere agenda’s en eventueel uitwerking of regie behoeven voor de rijksoverheid:

• In 2021 wordt de aangescherpte Wet Hergebruik Overheidsinformatie van kracht. Deze stelt nieuwe, hogere eisen aan het beschikbaar stellen van (realtime) overheidsdata voor hergebruik aan derden. Met de komst van de Europese Data Governance Act16 zullen deze eisen naar verwachting verder worden aangescherpt.

• In 2021 worden in de Wet Digitale Overheid (tranche II) nieuwe afspraken opgenomen over het delen van persoonsgegevens met derden (Regie op Gegevens). Vanaf 2022 start een uitvoeringsprogramma gericht op het delen van gegevens met en door burgers. Daarnaast start een ‘proeftuin’ waar private partijen met aan de slag gaan met het delen van gegevens.

• In 2021 verschijnt een onderzoek naar de mogelijkheid om data op een veilige manier in een gemeenschappelijke omgeving met andere overheidsorganisaties en/of maatschappelijke partners te kunnen delen. In het onderzoek worden aspecten als informatiebeveiliging, privacy, architectuur, generieke infrastructuur, toegang tot data(autorisaties), metadatering/catalogus en data-kwaliteit onderzocht.

1 like