Op zoek naar een Digitale Identiteit van paspoort kwaliteit


Eind 2026 zal de European Digital Identity Wallet (EDIW) worden geïntroduceerd. De EU heeft hiermee twee doelen voor ogen: het openen van de Europese digitale markt en een stap richting digitale soevereiniteit. De introductie van de EDIW zal grote voordelen hebben voor individuen en bedrijven in Europa: de momenteel gelokaliseerde markt voor digitale diensten zal Europees ontsloten worden en individuen moeten in staat zijn om volledig digitaal met organisaties te communiceren. Hierbij vervangen we de huidige hybride vorm waarin digitale informatie met hoge betrouwbaarheid ondersteund moet worden door fysiek bewijs (paspoorten, diplomas, etc.). Verder zouden instellingen geverifieerde informatie kunnen ontvangen over hun klanten, waardoor ze processen verder kunnen digitaliseren, kosten kunnen besparen en de klanttevredenheid kunnen verbeteren. De EDIW zou het mogelijk moeten maken om bijvoorbeeld een financieel product in één stap aan te schaffen zonder onnodige of privacygevoelige informatie te delen, terwijl de bank aantoonbaar kan voldoen aan AML/CFT-regelgeving. 

Om dit te bereiken, moeten we digitale gegevens net zo kunnen vertrouwen als fysieke documenten. Het Architectural Reference Framework (ARF) gaat in op hoe vertrouwen in gegevens wordt ingebed, en creëert een kader voor technische interoperabiliteit en vertrouwen binnen de Europese Unie. Hoewel er grondige werk is verricht, maken bedrijven die straks verplicht worden de EDIW te accepteren zich zorgen over diepgang van de ARF en de robuustheid van nationale implementaties.. Zal het voldoende vertrouwen bieden om de volgende golf van digitalisering te vergemakkelijken? Op basis van de huidige status lijkt dat niet het geval te zijn. Het zou zelfs de huidige situatie kunnen verergeren. 

De belangrijkste reden voor deze zorg is dat de koppeling tussen digitale gegevens en het subject waar ze over gaan onvoldoende wordt geadresseerd. Het blijft mogelijk voor iemand om zich voor te doen als een ander individu en digitaal vertrouwde gegevens te presenteren die niet betrekking hebben op de gene die ze toont. We moeten deze problemen aanpakken door vanuit het perspectief van een fraudeur kijken: hoe kunnen we het zo moeilijk mogelijk maken om fraude met een EDIW te plegen? Het antwoord: we hebben een identiteit van paspoortkwaliteit nodig. 

In passports we trust 

Wat maakt een paspoort zo betrouwbaar? Natuurlijk zijn er de moeilijk te vervalsen beveiligingskenmerken, zoals ingebedde hologrammen, watermerken en tastbare inkt. Maar een paspoort heeft nog een extra kenmerk: het bevat biometrische gegevens. Twee zelfs: een foto van de gebruiker en diens vingerafdrukken Dit draagt bij aan de betrouwbaarheid en veiligheid van het document omdat altijd gecontroleerd kan worden of de toner van het document overeenkomt met het subject van het document.  

Als we naar de ARF kijken, is het concept van basisidentificatie opgenomen. Dit wordt de “Personal Identification Data” (PID) genoemd. Als we een PID vergelijken met een paspoort, zien we dat de beveiligingskenmerken lijken te zijn aangepakt: device binding zorgt er waarschijnlijk voor dat de PID of een andere attestatie niet kan worden gekopieerd of vanaf een ander apparaat getoond kan worden. Hierbij wordt vertrouwt op de sleutels in de Wallet Secure Cryptographic Device (WSCD) en de authenticatie mechanismes van de wallet. User binding wordt op een vergelijkbare technische manier aangepakt, waarbij gebruik wordt gemaakt van de mechanismen die zijn geïmplementeerd door de Wallet en de WSCD. Helaas zullen deze mechanismen niet sterk genoeg zijn om te voorkomen dat fraudeurs te weerhouden van identiteitsdiefstal. Een persoon kan nog steeds worden gedwongen om diens identiteit en sleutels af te geven om de wallet te bedienen. Ook kunnen twee personen samenspannen om attestaties van elkaar te combineren in één wallet. Vervolgens kunnen combinaties van de attestaties worden gepresenteerd alsof ze toebehoren aan één individu. Kortom: er zijn aanvullende middelen nodig om user binding echt te waarborgen. 

We zouden het fraudeurs veel moeilijker kunnen maken om identiteitsfraude te plegen door biometrie op te nemen in de PID, vergelijkbaar met hoe dit in paspoorten gebeurt. Gelukkig heeft de ARF het gebruik van biometrie voorzien en deze opgenomen voor user binding voor wanneer je een bewijs moet leveren in de fysieke wereld. (toon me je foto) of voor het digitaal correleren van user met een foto in geval van digitale gebruiksscenario’s. Het slechte nieuws is echter dat biometrie optioneel is om op te nemen in de PID. Niet alle landen, inclusief Nederland, hebben dit voorzien. Dit leidt tot een situatie waarin sommige nationale EDIWs aantrekkelijker voor fraudeurs zullen zijn. Iets wat de Nederlandse (of elke andere) overheid niet zou moeten willen. 

Veilige biometrie 

Natuurlijk moeten we voorzichtig te zijn met biometrische gegevens. Het lekken van biometrie is de ergste vorm van een beveiligingsincident. Maar biometrie dient ook een goed doel: het kan voorkomen dat je identiteit misbruikt wordt. Zouden we een manier kunnen vinden om biometrie te gebruiken voor user binding zonder ooit deze gevoelige gegevens met anderen te hoeven delen? Het goede nieuws is: Ja, dat kan. Een biometrisch kenmerk kan lokaal op een apparaat (versleuteld) worden opgeslagen en gebruikt om te verifiëren of de gebruiker van de wallet overeenkomt met de persoon aan wie de wallet toebehoord. Een Zero Knowledge Proof (ZKP) van dit resultaat kan gedeeld worden met uitgevende of ontvangende partijen, zodat dat deze partij de biometrie niet hoeft te zien. Hiervoor hebben we wel twee wijzigingen nodig in de volgende versie van de ARF: wallet implementaties verplichten het mogelijk te maken voor gebruikers om biometrie aan de PID toe te voegen om hun wallet beveiligen en ZKP-schema’s toevoegen zodat het bewijs van binding in de wallet gegenereerd kan worden..  

Veilige biometrie faciliteert meerdere vormen van binding. 

Het gebruik van veilige biometrie zal een eerste en belangrijke stap zijn om user binding te waarborgen. Er zijn echter nog veel andere vormen van binding die aandacht behoeven. Mandaten zijn tot nu toe “out of scope” van de ARF, maar essentieel om te implementeren. Anders kunnen we wallets van rechtspersonen niet goed ondersteunen en houden we de huidige gedoogde situatie in stand waarbij iemand (zoals een straatcoach of het gezinslid belast met de administratie) onbeheerd controle heeft over meerdere digitale identiteiten. Verder moeten we de functie van user binding uitbreiden naar het subject van de attestatie. Hierdoor kunnen ontvangende partijen controleren of het subject van gepresenteerde attestaties overeenkomt met de user, of dat de user gemachtigd is namens het subject te handelen. Vervolgens moet het mogelijk zijn om meerdere gepresenteerde attestaties te correleren met hetzelfde subject. En de identiteit van dit subject moet (indien nodig en met altijd toestemming van de gebruiker) gekoppeld kunnen worden aan de gegevens die aanwezig zijn in het CRM-systeem van de ontvangende partij zonder de principes van unlinkability te schaden. Al deze vormen van binding worden mogelijk zodra user binding op basis van veilige biometrie is vastgesteld. 

Hoe gaat veilige biometrie ons beschermen? 

Als we allemaal onze digitale identiteit zouden kunnen beschermen met veilige biometrie, zou het voor fraudeurs veel moeilijker worden identiteitsfraude te plegen. Een bonafide individu zou zijn biometrie moeten matchen met die in de PID voordat hij een attestatie ophaalt of presenteert. Deze eenvoudige stap zou plaatsvinden bij de toestemming voor de transactie. Een fraudeur zou echter geen attestaties kunnen ontvangen of presenteren met de wallet van iemand anders, omdat de biometrie niet overeenkomt. Ontvangende partijen kunnen vertrouwen op de biometrische correlatie in de wallet, maar zullen zelf geen biometrische gegevens ontvangen, waardoor het risico op lekkage van deze gevoelige gegevens wordt beperkt. Veilige biometrie fungeert als het stijgende tij dat alle boten optilt naar een hoger pijl, behalve het frauduleuze vaartuig. Het waarborgt de bescherming van digitale identiteiten voor individuen en de entiteiten die zij vertegenwoordigen. Uitgevende partijen kunnen met vertrouwen attestaties in de juiste handen geven en ontvangende partijen kunnen erop vertrouwen dat gepresenteerde attestaties aan het subject toebehoren zonder nog een kopie van het paspoort op te hoeven vragen. 

Conclusie 

De EDIW, geïntroduceerd door de herziening van de eIDAS-regelgeving, biedt aanzienlijk potentieel voor een betere gebruikerservaring, privacy en kostenbesparing voor zowel organisaties als hun klanten. Om echter bestand te zijn tegen samenzweringsaanvallen en identiteitsdiefstal is meer zekerheid over binding nodig. We stellen voor om de mogelijkheid voor gebruikers om hun wallet met biometrie te beveiligen verplicht te maken voor alle implementaties en bewezen ZKP-schema’s op te nemen in de volgende versie van de ARF. Het digitaal delen van biometrie moet onmogelijk zijn, aangezien alleen het bewijs van user binding voldoende is. Dit zal de eerste stap zijn in het vestigen van een identiteit van paspoortkwaliteit voor de EDIW en een middel waarop andere vormen van binding veilig en privacybehoudend kunnen vertrouwen. 

Auteur: Alexander van den Wall Bake - PCSI 

Beeldmerk PCSI
PCSI is een samenwerking van
    ABN-AMRO Achmea ASML Belastingdienst ING TNO